實例講解IP-VPN區(qū)域的建立步驟，IP-VPN最近出現(xiàn)了很多漏洞，安全專家Alan Rateliff日前表示：官方已經(jīng)發(fā)布了相應(yīng)補丁，安全漏洞得到了很好的解決。

從概念上講，IP-VPN是運營商(即服務(wù)提供者)支持企業(yè)用戶應(yīng)用的方案。一個通用的方法可以適用于由一個運營商來支持的、涉及其他運營商網(wǎng)絡(luò)的情況（如運營商的運營商）。給出了實現(xiàn)IP-VPN的一個通用方案。其中，CE路由器是用于將一個用戶站點接入服務(wù)提供者網(wǎng)絡(luò)的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務(wù)提供者的邊緣路由器。

站點是指這樣一組網(wǎng)絡(luò)或子網(wǎng)，它們是用戶網(wǎng)絡(luò)的一部分，并且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點，一個站點可以同時位于不同的幾個VPN之中。

顯示了一個服務(wù)提供者網(wǎng)絡(luò)支持多個IP-VPN的情況。如所示，一個站點可以同時屬于多個IP-VPN。依據(jù)一定的策略，屬于多個VPN的站點既可以在兩個VPN之間提供一定的轉(zhuǎn)發(fā)能力，也可以不提供這種能力。當一個站點同時屬于多個VPN時，它必須具有一個在所有VPN中唯一的地址空間。

MPLS為實現(xiàn)IP-VPN提供了一種靈活的、具有可擴展性的技術(shù)基礎(chǔ)，服務(wù)提供者可以根據(jù)其內(nèi)部網(wǎng)絡(luò)以及用戶的特定需求來決定自己的網(wǎng)絡(luò)如何支持IP-VPN。所以，在MPLS/ATM網(wǎng)絡(luò)中,有多種支持IP-VPN的方法，本文介紹其中兩種方法。

IP-VPN方案一

本節(jié)介紹一種在公共網(wǎng)中使用MPLS提供IPVPN業(yè)務(wù)的方法。該方法使用LDP的一般操作方式，即拓撲驅(qū)動方式來實現(xiàn)基本的LSP建立過程，同時使用兩級LSP隧道(標記堆棧)來支持VPN的內(nèi)部路由。給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IPVPN業(yè)務(wù)的一種由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置。

LER (標記邊緣路由器)

LER是MPLS的邊緣路由器，它位于MPLS/ATM服務(wù)提供者網(wǎng)絡(luò)的邊緣。 對于VPN用戶的IP業(yè)務(wù)量，LER將是VPN隧道的出口與入口節(jié)點。如果一個LER同時為多個用戶所共享，它還應(yīng)當具有執(zhí)行虛擬路由的能力。這就是說，它應(yīng)當為自己服務(wù)的各個VPN分別建立一個轉(zhuǎn)發(fā)表，這是因為不同IP-VPN地址空間可能是有所重疊的。

LSR(標記交換路由器)

MPLS/ATM核心網(wǎng)絡(luò)是服務(wù)提供者的下層網(wǎng)絡(luò)，它為用戶的IP-VPN業(yè)務(wù)所共享。

建立IP-VPN區(qū)域的操作

希望提供IP-VPN的網(wǎng)絡(luò)提供者必須首先對MPLS域進行配置。這里的MPLS域指的就是IP-VPN域。作為一種普通的LDP操作，基本的LSP 建立過程將使用拓撲驅(qū)動方法來進行，這一過程被定義為使用基本標記的、基本的或是單級LSP建立。而對于IP-VPN內(nèi)部路由，則將使用兩級LSP隧道（標記堆棧）。

IP-VPN成員

每一個LER都有一個任務(wù)，即發(fā)現(xiàn)在VPN區(qū)域中為同一IP-VPN服務(wù)的其他所有LER。由于本方案最終目的是要建立第二級MPLS隧道，所以 LER發(fā)現(xiàn)對等實體的過程也就是LDP會話初始化的過程。每一個LER沿著能夠到達其他 LER的每一條基本網(wǎng)絡(luò)LSP，向下游發(fā)送一個LDP Hello消息。LDP Hello消息中會包含一個基本的MPLS標記，以方便這些消息能夠最終到達目的LER。

LDP Hello消息實際上是一種查詢消息，通過這一消息，發(fā)送方可以獲知在目的LER處是否存在與發(fā)送方LSR同屬一個VPN的LER（對等實體）。新的Hello消息相鄰實體注冊完成之后，相關(guān)的兩個LER之間將開始發(fā)起LDP會話。隨后，其中一個LER將初始化與對方的TCP連接。

當TCP連接建立完成而且必要的初始化消息交互也完成之后，對等LER之間的會話便建立起來了。此后，雙方各自為對方到自己的LSP 隧道提供一個標記。如果LSP隧道是嵌套隧道，則該標記將被推入標記棧中，并被置于原有的標記之上。

VPN成員資格和可到達性信息的傳播

通過路由信息的交換，LER可以學習與之直接相連的、用戶站點的IP地址前綴。LER需要找到對等LER，還需要找到在一個VPN中哪些LER 是為同一個VPN服務(wù)的。LER將與其所屬的VPN區(qū)域中其他的LER建立直接的LDP會話。換言之，只有支持相同VPN的LER之間才能成功地建立LDP會話。

VPN內(nèi)的可到達性

最早在嵌套隧道中傳送的數(shù)據(jù)流是LER之間的路由信息。當一個LER被配置成一個IP-VPN的一員時，配置信息將包含它在VPN內(nèi)部要使用的路由協(xié)議。在這一過程中，還可能會配置必要的安全保密特性，以便該LER能夠成為其他LER的相鄰路由器。在VPN內(nèi)部路由方案中，每一次發(fā)現(xiàn)階段結(jié)束之后，每一個LER 都將發(fā)布通過它可以到達的、IP-VPN用戶的地址前綴。