Global Sources
電子工程專輯
 
電子工程專輯 > 記憶體/儲存
 
 
記憶體/儲存  

如何提高PP-VPN的可擴展性和安全性

上網時間: 2003年08月30日     打印版  Bookmark and Share  字型大小:  

關鍵字:Provider-Provisioned VPN(PP-VPN)  服務供應商指配的虛擬專用網  enterprise network  virtual private network (VPN)  virtual private network 

服務供應商虛擬專用網可以提供工作於IP層及其上層的安全網路解決方案,可以大幅減輕企業成本負擔,並使管理對象從CPE轉向服務供應商網路。這不僅簡化了企業VPN,而且大幅節省了成本和資源,因而為服務供應商和廠商提供新的業務成長點。

根據網際網路工程任務組(IETF)提出的rfc2547bis草案(圖1),PP-VPN不會在短期內取代現有業務,但可以同現有業務共存,並以新的接取技術(如乙太網路和EMERGE)順利升級。然而,為了向業務廠商提供具有成本效益的解決方案,業界必須仔細考慮相關的可擴展性、安全性、管理及複雜技術整合問題。

PP-VPN術語

在討論PP-VPN之前,有必要介紹PP-VPN中的一些專用術語(圖2):

客戶邊緣設備(CE)連接了客戶節點和服務供應商邊緣設備(PE)。CE可以是支援用戶同其它VPN節點通訊的路由器或交換機,而PE則是支援CE和服務供應商骨幹網設備(P設備)之間通訊的路由器或交換機。PE可在多協定標記交換(MPLS)網路中以標記邊緣路由器(LER)的方式工作。P設備工作於連接PE設備的服務供應商網路中,當然也可以是MPLS標記交換路由器。最後,服務供應商(SP)網路表示管理服務供應商或廠商PE和P設備之間互聯的網路。圖1:PP-VPN由網路和CPE VPN構成,可提供簡化的VPN並為服務供應商提供潛在的加值業務。

VPN解決方案必須解決可擴展性、性能、安全性、可用性、互通作業性和管理等諸多問題。為了提高可用性,PP-VPN必須對CPE沒有絲毫影響,並且不影響網路的可升級性。這無疑增加了PE解決方案的難度。

PP-VPN面臨的挑戰

PP-VPN採用IP技術實現解決方案的各個環節,這產生了一系列系統設計挑戰。在任何VPN解決方案中,可擴展性至關重要。傳統的基於網路和CPE的解決方案透過要求企業提供可靠的連接和路由支援以實現可擴展性。對於CPE通道解決方案,企業通道終端相當關鍵。

PP-VPN解決方案以及PE設備都必須具有可擴展性,以支援數以萬計的VPN,而每個VPN都具有50,000個甚至更多的介面。此外,PP-VPN解決方案還必須支援每個VPN中更多數目的路由器。所有這些介面和設備都必須速度快且具有簡單的可配置性。

在客戶IP VPN和採用IP尋址的服務供應商網路中,還需要解決一些其它問題。客戶節點地址通常採用專有IP地址配置,許多公司都採用相同的專有IP地址空間。這意味著第三層PP-VPN解決方案必須支援客戶IP地址空間的重疊、客戶IP地址之間的隔離以及客戶IP地址同服務供應商IP地址的隔離。在VPN可尋址的一組節點內,特定節點只是其中之一,因此IP地址必須保持唯一。

出於安全性考慮,PP-VPN解決方案應提供不同於既定方案的任何保護方法。這類安全特性可提供與設立在網路基礎上的傳統VPN相當的安全保護,但PP-VPN解決方案不能影響其它加密技術(如網際網路協定安全,IPsec)的使用。

PE設備的要求

傳統服務供應商使用的路由器只是單個路由域中的一部份,儘管這些路由器與其它路由域之間可能具有複雜的相互聯繫。主要的功能模組涉及內部網路閘道協議(IGP),如開放最短路徑優先(OSPF)協議以及中間系統-中間系統(ISIS)協議;外部網路閘道協議,如BGP4;轉送資訊庫(FIB)以及相關的IP轉送硬體。此外,複雜的策略配置規定了一個路由域如何獲得另一路由域的資訊。目前,越來越多的路由器支援MPLS。PE路由器不僅是服務供應商網路的一部份,而且也是用戶網路的一部份。PE路由器必須保持每個VPN的路由資訊,並使這些資訊不同於其它VPN和服務供應商網路。此外,PE路由器還必須能在VPN各部份間製作連接。rfc2547bis規定PE路由器必須實現以下作業:


1. VPN配置;圖2:PP-VPN具有如客戶邊緣設備(CE)和服務供應商邊緣設備(PE)等專門術語和定義。


2. 在互聯的CE之間發佈路由資訊;


3. 在服務供應商骨幹網中發佈路由資訊至其它PE;


4. 在PE路由器之間設立標記交換通路(LSP);


5. 在VPN中不同客戶節點之間傳輸數據。

假定PP-VPN不影響服務供應商的核心路由器且對於CE路由器完全透明,並要求必須將多協定(multiprotocol)標準提高到BGP4,以支援在PE之間發佈VPN路由資訊。在PE之間製作通道時,還要求採用MPLS,並作為在主動下行流(DU)模式下的最少標記分佈協議(LDP)。該基本機制可提供卓越的功能,實現與採用限制路由的標記分配協議(CR-LDP)或具有傳輸流工程擴展的資源保留(RSVP-TE)協議的互補,以製作支援業務品質(QoS)的傳輸工程通道。

PE功能模組

支援PP-VPN的設備的通用功能和專用功能要求產生了一系列理想架構需求。圖3顯示了圖2中LER PE2邏輯映射的實現方法。其中PE具有一個FIB,PE上的介面是用戶網路的一部份,必須包含如何同其它VPN節點通訊的相關資訊。這可以透過採用分離的路由表,即VPN路由資訊和轉送表(VRF)來實現,因此FIB保存了VPN的所有VRF。VPN配置伺服器可簡化VRF配置、與VRF的介面以及與VRF相關的策略。

採用兩級標記棧可以實現VPN中兩個CE設備之間的VPN資訊的轉送,包括整理經由BGP4承載並與特定VPN和PE路由器間使用的通道級標記相關的FIB標記資訊。這可以採用為FIB提供標記資訊的VPN通道管理器(VTM)進行處理。

為了提供可擴展性和某種程度的安全性,VPN必須支援多重路由情形,因為無論是服務供應商的介面還是PE-CE連接都可以執行OSPF、RIP和╱或BGP4協議。結合既定的協議特性,每個功能模組都能執行特定功能,因而實現完整的系統功能。

VPN配置

VPN配置對於基本的連接至關重要,並使服務供應商能夠建構適當的客戶網路作業。由於每個CE設備與服務供應商網路之間只有一條互聯通路,因此PE配置和作業中必須提供VPN的連接。例如,CE可透過全網狀(full mesh)方式加以連接。換言之,可採用星型網路配置,這樣遠端節點的傳輸流總能進入中心點。傳統VPN網路一般採用專線和訊框中繼專用虛擬電路拓樸進行處理,而PP-VPN則利用多協定擴展和BGP4擴展群特性實現。

VRF是接收來自客戶節點路由更新資訊的儲存庫,可根據策略結構適應多重VPN需求。從VRF至不同PE設備、FIB、BGP和其它路由協議的資訊傳播取決於VPN伺服器的配置情況。VPN伺服器採用幾個字段控制資訊流、路由識別符(RD)、輸入╱輸出路由目標和VPN標記資訊。

RD是與每個VRF相關的8位元組獨特值,在將該值加入VRF之前,必須將其添加到路由表中,因而確保兩個不同VPN使用相同IPv4地址產生截然不同的路由。

VPN路由資訊發送

透過一個或多個路由目標可以識別每個VPN。當收到一個來自互聯CE的路由資訊後,該資訊將被發送到其它PE路由器並配置輸出路由目標。當收到來自其它PE的路由資訊,將對經過配置的輸入路由目標與收到的路由目標進行比較。如果匹配,則在VRF中添加該路由資訊。

例如,如果VPN中每個VRF的輸入和輸出路由過濾器都相同,那麼就能製作一個全網狀路由表。透過使中央節點可以從所有的遠端節點輸入路由資訊,並且遠端節點配置為只能從中央節點輸入路由,那麼就能製作星型結構。該結構可以防止遠端節點之間的直接會話。

除了路由資訊,VRF還儲存標記資訊,PE在發送路由資訊到其它PE時會利用到這些標記資訊。這些VPN級的標記資訊可在PE內識別VPN,但不在核心網路部份使用(圖2)。

VPN標記共有兩類,主要根據BGP的配置和使用進行分類。在所有情況下,標記由中央節點VTM管理。最簡單的情況是發佈標記以獲得與VRF關聯的介面。FIB為VTM的介面申請標記,如果收到具有該標記的數據封包,VTM就能使用該標記對MPLS轉送器進行編程並在介面上傳輸數據。FIB也發送介面-標記映射至BGP,一旦連接至介面的CE發佈路由資訊,在PE將這些路由資訊發佈至連接的CE之前,將使路由資訊與介面標記產生關聯。

當BGP需要將多個VRF的路由資訊匯集到一個發佈資訊中時,將出現一些複雜的情況。一個簡單的實例是多個子網CE在一個PE中發佈資訊至VRF。BGP不在每個子網發佈標記資訊,而是收集資訊以得到發送至互聯PE的匯集標記。但這顯然加重了數據處理負擔,因為VPN標記並不能唯一地標示VRF,因此需要額外的查詢以確定目的地。

PE和CE可透過OSPF、外部BGP、RIP,或透過靜態地將路由插入關聯的VRF來設立路由會話。如果PE是不同VPN中CE的OSPF對等設備,那麼PE必須執行多個OSPF實例。如果PE-CE路由會話是OSPF、RIP或靜態的,那麼來自VPN節點的路由資訊將重新發佈至BGP。FIB在相應的VRF中儲存公佈的VPN節點路由資訊,而BGP則透過附加RD和相關標記資訊將CE路由資訊轉化為VPN IPv4路由資訊,並為VPN地址集在BGP本地路由資訊庫(RIB)中儲存這些路由。

SP網路中的所有PE路由器均透過全網狀連接I-BGP或路由反射標示(route reflector)進行互聯。為了交換VPN路由資訊,需要提升MP-BGP的性能,以支援額外的地址集(地址集標識符[AFI]=1,相應的AFI[SAFI]=128)。

BGP根據VRF資訊進行決策並利用VRF配置的輸出策略傳送最優路由,並發佈路由資訊至PE對等設備。注意到如果路由的輸出策略與相同PE路由器上另一VRF的輸入策略匹配,那麼路由資訊將發佈到與本地VRF互聯的CE路由器。

BGP協議

一旦遠端PE收到路由資訊,該資訊將按照輸入策略傳送至每個VRF。如果路由資訊與輸入策略相匹配,在將RD以與VRF關聯的RD取代後,將該路由資訊將插入VPN本地RIB。

BGP在VRF上進行決策過程,如果路由是最佳的路由,那麼就將其作為IPv4路由通知給關聯的CE。BGP也將路由資訊傳送給FIB,這樣使VRF轉送表更新。如果與VRF互聯的CE會話是OSPF協議,那麼路由資訊將重傳至OSPF,而OSPF將再次發送路由資訊至其鄰節點。這套機制的核心部份在於BGP傳送路由下行,即從出口PE至入口PE,在數據流反方向進行傳送。

FIB透過查詢VTM獲取LSP和到下一跳的介面資訊,該介面資訊在從遠端PE所收到的路由資訊中定義,然後,FIB將更新VRF表。在分配作業中,將VRF資訊從控制器卡複製到線路卡。這樣,當收到來自CE的數據封包時,VRF將直接在線路卡上查詢,在應用標記棧之後,數據封包將傳送給MPLS轉送器。

最佳通道

Rfc2547bis在PE路由器之間採用MPLS通道來提供服務供應商網路的可擴展性。該標準最低程度地要求LDP DU來製作最佳通道。實際上,RSVP-TE經常用來設立基於QoS的通道以滿足業務級規格要求。

然而,LDP DU和RSVP-TE的工作方式不一樣,這增加了整體設計複雜度,DU是一種標記映射機制。PE路由器將標記發送至下行流對等設備,最終到達入口PE路由器。在入口處理的標記將提交給VTM,VTM必須在MPLS通道及使用通道的VRF之間形成映射。MPLS通道可透過轉送等效類來識別,等效類可以是出口PE的路由器標示符或IP地址,這通常是回送地址。

在將MPLS通道與VRF進行關聯時需要注意,關鍵是需要確保BGP發佈VPN資訊時,下一跳地址成為目的PE的路由器ID。由於根據BGP發佈的資訊以及經由LDP DU轉送的等效類可獲得出口路由器ID,VTM可以在VRF和MPLS通道之間設立鏈接。一旦鏈接設立,MPLS通道和BGP VPN標記就儲存在VRF中,這樣MPLS轉送器就能用標記棧進行編程。

RSVP-TE是入口發起協議,因為RSVP-TE具有設立QoS的功能。此外,如有必要可對每個VPN連接設立一個通道,目標出口PE可由路由表查詢確定。這樣受限最短路徑優先引擎運算可產生以傳輸流路徑,而使VPN和MPLS通道關聯的相同BGP機制則可對在MPLS轉送器中進行標記棧編程。

數據傳輸圖3:一種支援全面的安全性和可擴展性的PP-VPN實現方案。(?????)

在基於rfc2547bis的VPN中,數據傳輸流一般採用設立在獲取路由資訊的PE路由器和發佈路由資訊的PE路由器之間的LSP進行轉送。VPN數據傳輸流在SP骨幹網中經由預先設立的LSP進行轉送,如圖2所示,CE2和CE1之間的數據傳輸方式如下:


1. CE2將目的地址指向CE1的IPv4數據封包轉送至PE2。


2. PE2在綠色VRF(green VRF)中查詢數據封包的目的地址,並採用VPN和MPLS標記棧。


3. PE2將MPLS數據封包轉送至P1。


4. P2交換外部MPLS標記,並轉送數據封包至P1。


5. P1採用PHP彈出MPLS標記,使VPN標記置頂並轉送數據封包至PE1。


6. PE1彈出VPN標記並將數據封包轉送至CE1。如果是匯集的VPN標記,PE1將參考綠色VRF來確定轉送數據封包的CE1介面。該機制可確保網路的可擴展性,因為核心網路的P路由器根本無須關心所傳送的來自多個VPN的傳輸流。

可擴展性和安全性

rfc2547架構的可擴展性是源自SP網路中所有VPN的非單一平台實現的結果,但對特定VPN的了解受限於加入VPN節點的PE路由器以及從這些PE接收路由資訊的BGP路由反射標示。

執行於服務供應商骨幹網的IGP必須為路由域中的每個LSP出口節點實現本地路由。這樣,IGP能實現的路由數目可以限定PE的數目。另一限制在於PE可以支援的路由實例,比如說,可以假定PE-CE路由協議採用OSPF。

基於rfc2547bis的VPN安全性可分為控制層面和數據層面兩類。為實現控制層面安全性,不信任的對等設備之間既不能設立BGP會話,也不能設立LDP會話。這兩種協議都應當使用傳輸控制協議MD5鑒權。執行於SP骨幹網的IGP也應確保安全性。

該架構提供的數據層面安全性實際上與訊框中繼和ATM VPN提供的安全性完全一樣。如果服務供應商的設備配置正確,那麼在得到鑒權之前,數據既不會進入VPN,也不會離開VPN。這可以透過檢測數據封包的置頂標記來實現。如果VPN的標記值是接收系統發佈給鄰近節點的值,或者如果數據封包的置頂標記值是接收系統發佈給除鄰近節點以外的值,那麼數據封包可被接收。

(全文資訊請參考:www.eetasia.com)

作者:E.S.N. Murthy


專案經理


Bill Herbst


首席軟體工程師


NetPlane Systems公司





投票數:   加入我的最愛
我來評論 - 如何提高PP-VPN的可擴展性和安全性
評論:  
*  您還能輸入[0]個字
*驗證碼:
 
論壇熱門主題 熱門下載
 •   將邁入40歲的你...存款多少了  •  深入電容觸控技術就從這個問題開始
 •  我有一個數位電源的專利...  •  磷酸鋰鐵電池一問
 •   關於設備商公司的工程師(廠商)薪資前景  •  計算諧振轉換器的同步整流MOSFET功耗損失
 •   Touch sensor & MEMS controller  •  針對智慧電表PLC通訊應用的線路驅動器
 •   下週 深圳 llC 2012 關於PCB免費工具的研討會  •  邏輯閘的應用


EE人生人氣排行
 
返回頁首