跨域的MPLS_VPNHOPE多角色主机解读.ppt

* 接入用户需要大量接口 处理用户报文需要大容量的内存和转发能力 PE难以同时具备大容量内存和大量接口 典型的网络是分层的，边缘接口多，核心容量大 MPLS VPN是平面模型，PE无论处于网络中哪个位置，对内存容量的要求基本相同，甚至在PE向边缘扩展时，对内存容量要求更大。 MPLS VPN的模型同典型网络的模型不符合 * 分层PE架构地定义。 * UPE和SPE的分工。 UPE和SPE实际上是相对的概念。 在多个层次的结构中，上层相对于下层就是SPE，下层相对于上层就是UPE。 UPE为其直接连接的Site的路由分配内层标签，并发布给SPE；SPE只发布VRF默认路由给UPE，并携带标签 UPE和SPE之间采用标签转发，因而只需要一个(子)接口相互连接 * SPE和UPE之间可以通过任何形式的接口/子接口连接，也可以通过隧道接口连接，这时候SPE和UPE之间可以相隔一个IP网络或MPLS网络，由于SPE和UPE通过MP-BGP对等，因而路由可以直接传递，无需做特殊处理，MP-EBGP的情况下配置Multi-hop EBGP即可。在转发时，UPE或SPE发出的标签报文要经过一个隧道传递。如果是GRE隧道，要求GRE支持对MPLS报文的封装，如果是LSP，则需要中间的网络是一个MPLS网络，UPE和SPE上运行LDP/RSVP-TE等协议。 * 关键还是体系结构的高明。 * HOVPN在政府行业具有广阔的应用前景。 （1）中国特色：国家、省、地市、县、乡镇、村 （2）纵向业务贯穿到网络最边缘 （3）横向业务也需要到边缘 （4）无限扩展、无限延伸 * PE初期部署在汇聚层。 当汇聚层接口数目不足时，扩展到接入层，接入层充当UPE，汇聚层充当SPE。 当汇聚层路由容量不够时，扩展到核心层，核心层充当SPE，汇聚层充当UPE。 当两种情况都发生时，形成3层结构，汇聚层充当MPE。 Cisco设备只能作为UPE，而华为设备能够灵活组网。 * 分布式控制: (1) 在这种方式INTERNET访问控制放置在服务提供商的INTERNET出口处（PE）; (2) 为了解决各VPN中采用重叠的保留地址的问题，需要为每个VPN配置一个防火墙，各个VPN的用户通过属于各自的防火墙实现对Internet的访问； (3)这种方法，需要运营商为每个VPN配置一个访问Internet的VPN，在客户端需要配置一条访问Internet VPN的缺省路由。 (4) 这种方法需要运营商进行一定的配置，而且由于每个VPN都需要一个防火墙，如果VPN用户较多则需要大量投资，但采用这种方法，运营商可以对各VPN用户访问Internet进行有效的管理。 集中式控制: (1)这种方式在每个企业的VPN内部对INTETNET访问做NAT,防火墙处理，既将安全机制放在企业的统一出口处（CE2）。VPN内部的各site的访问INTERNET的数据流，必须首先到该VPN的某一site中（该site一般为公司的总部），在该site做NAT,FIREWALL处理后再走到公网中去。 (2)这种方式，只需要在客户端进行配置，对运营商一侧的网络没有配置要求，但对运营商不对客户访问Internet进行统一管理，而是由各VPN企业独自完成。 NAT多实例: 在PE上可以为每个VRF配置一个NAT实例，在PE上进行地址转换。 集中式与分布式都能支持。 * 多角色终端：这里是指可能属于多个VPN的普通终端，与VPN的关系可以是静态的，也可以是动态的。 多角色服务器：被多个VPN共享的服务器，与VPN的关系可以是静态的。 超级终端：行政首长或网络管理员。 * 客户端选择方案的实质是： －－－－VPN的动态接入。 （1）接入方式：L2TP/PPPOE/VLAN… （2）验证方式：L2TP/PPP/WEB/802.1X… （3）验证方：PE本地验证（L2TP/PPPOE）、CAMS验证（支持所有认证方式） （4）验证结果：用户名或@域名决定属于什么VPN。 * 服务器位置较固定，与多个VPN的关系也比较固定。 位置较重要，但数量不多。 在PE上可以为这些服务器配置独立的VRF，并与多个VPN发生关联。 为增强服务器的安全性，可以在PE上配置防火墙或采用专用防火墙。 * 政府企业在组网时可以采用专线方式，也可以直接由公网承载。 这就涉及到企业内部的MPLS VPN如何跨越公网的问题。 * 第一种情况：运营商不能提供VPN服务，或企业网跨越多个运营商。 这种情况企业出口的PE需要同时解决内部和外部两种隧道。 为保证安全性，跨越公网的隧道可以采用IPSEC；在安全性要求不太高的情况下采用GRE。 MPLS报文在IPSEC/GRE上承载，跨越公网。 这样从企业网全局来看，还是一个完