VPN运作方式概述

  作者:Amteam.org
2007/2/9 16:08:00
本文关键字: 存储 方案 案例

在MPLS_VPN中,服务供应商业为每个VPN分配一个独有的标识符,称为路由区分符(RD),在服务供应商网络中每一个Intranet或Extranet的区分符都不同。转发表包含独有的地址、称为VPN-IP地址,由RD和用户的IP地址构成。VPN_IP地址是网络中每一个端点所独有的,条目存储在VPN中每一个节点的转发表中。

BGP是一个路由选择分配协议,它定义谁可以与使用多协议分支(multiprotocol_extensions)和群体属性(Community_attributes)的人对话。在MPLS的VPN中,BGP只向同一个VPN中的成员发布有关VPN的信息,通过业务分离来提供本机安全性。由于所有的业务都使用LSP进行传输,从而确保了额外的安全性。LSP定义了一个特定的通道穿过网络,这个通道是不可更改的。这种基于标记的模式保证了帧中继和ATM连接中的私密性。

当提供VPN时,服务供应商而非客户将特定的VPN与每一个接口连接。在服务供应商网络中,RD与每个数据包连接,这样,VPN就不会被非法者渗透“偷窃”数据流或数据包。用户只要位于正确的物理端口上,有相应的RD就可以加入Intranet或Extranet中。这种设置使Cisco的MPLS_VPN基本上不可能被突破,因而可提供人们在帧中继、租赁线路或ATM业务中所习惯的相同级别的安全性。

VPN_IP转发表包含与VPN_IP地址上对应的标记,这些标记将应用业务路由到VPN中的每一个站点。由于使用标记而不是IP地址,因些,用户可以在企业Internet中保留他们的专用编址方案,而不需要进行网络地址转换(NAT)。每一个VPN应用在逻辑上都拥有区分的转发表,以在VPN之间分离业务。根据呼入的接口,交换机选择一个特定的转发表,由于有BGP,这个表只列出VPN中的有效的目的地。若要建立一个Extranet,服务供应商则需要在VPN之间清晰地配置延及的范围(可能需要NAT配置)

工作流程

(1)用户端的路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知提供商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,以下简称为内层标记),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,以下称为外层标记)的梆定。到此时,CE,PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。
(2)当属于某一VPN的CE用户数据进入网络时,在CE与PE连接的接口上可以识别出该CE属于那一个VPN,进而到该VPN的路由表中去读取下一跳的地址信息,同时,在前传的数据包中打上VPN标记(内层标记)。这时得到的下一跳地址为与该PE作Peer的PE的地址,为了达到这个目的端的PE,此时在起始端PE中需读取骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记(外层标记)。
(3)在骨干网络中,初始PE之后的P均只读取外层标记的信息来决定下一跳,因此骨干网络中只是简单的标记交换。
(3)在达到目的端PE之前的最后一个P路由器时,将外层标记去掉,读取内层标记,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址处。

【相关文章】

责任编辑: 雪花(TEL:(010)68476636-8008)

责编:
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map