高手講解IP-VPN連接模型和相應(yīng)安全問題，對(duì)于很多朋友來說，IP-VPN 還是一個(gè)很陌生的詞語。它到底是干什么的，有什么作用呢？帶著這些疑問，我們來了解一下吧。

連接模型

給出了MPLS/BGP VPN的連接模型。從中可以看出，P路由器位于MPLS網(wǎng)絡(luò)的核心。 PE路由器將使用MPLS與核心MPLS網(wǎng)絡(luò)通信，同時(shí)使用IP路由技術(shù)來與CE路由器通信。 P與PE路由器將使用IP路由協(xié)議（內(nèi)部網(wǎng)關(guān)協(xié)議）來建立MPLS核心網(wǎng)絡(luò)中的路徑，并且使用LDP實(shí)現(xiàn)路由器之間的標(biāo)記分發(fā)。

PE路由器使用多協(xié)議BGP4來實(shí)現(xiàn)彼此之間的通信，完成標(biāo)記交換和每一個(gè)IP-VPN策略。除非使用了路徑映射標(biāo)志（route reflector），否則PE 之間是BGP全網(wǎng)狀連接。特別地，中的PE處于同一自治域中，它們之間使用內(nèi)部BGP （iBGP）協(xié)議。P路由器不使用BGP協(xié)議而且對(duì)VPN一無所知，它們使用普通的MPLS協(xié)議與進(jìn)程。

PE路由器可以通過IP路由協(xié)議與CE路由器交換IP路徑，也可以使用靜態(tài)路徑。在CE與PE路由器之間使用普通的路由進(jìn)程。CE路由器不必實(shí)現(xiàn)MPLS或?qū)PN有任何特別了解。PE路由器通過iBGP將用戶路徑分發(fā)到其他的PE路由器。為了實(shí)現(xiàn)路徑分發(fā)，BGP使用IP-VPN地址（由RD和IPv4地址構(gòu)成）。這樣，不同的VPN可以使用重疊的IPv4地址空間而不會(huì)發(fā)生IP-VPN地址重復(fù)的情況。

PE路由器將BGP計(jì)算得到的路徑映射到它們的路由表中，以便把從CE路由器收到的分組轉(zhuǎn)發(fā)到正確的LSP上。這一方案使用兩級(jí)標(biāo)記：內(nèi)部標(biāo)記用于PE路由器對(duì)于各個(gè)VPN的識(shí)別，外部標(biāo)記則為MPLS網(wǎng)絡(luò)中的LSR所用——它們將使用這些標(biāo)記把分組轉(zhuǎn)發(fā)給正確的PE。

建立IP-VPN區(qū)域的操作

希望提供IP-VPN業(yè)務(wù)的網(wǎng)絡(luò)提供者必須按照連接需求對(duì)網(wǎng)絡(luò)進(jìn)行設(shè)計(jì)與配置，這包括：PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進(jìn)行配置；MPLS網(wǎng)絡(luò)或者是一個(gè)路徑映射標(biāo)志中的PE路由器之間必須進(jìn)行對(duì)等關(guān)系的配置；為了與CE進(jìn)行通信，還必須進(jìn)行普通的路由協(xié)議配置；為了與MPLS核心網(wǎng)絡(luò)進(jìn)行通信，還必須進(jìn)行普通的MPLS配置（如LDP、IGP）。另外，P路由器除了要求能夠支持MPLS之外，還要能夠支持IP-VPN。

IP-VPN成員資格和可到達(dá)性信息的傳播

PE路由器使用IP路由協(xié)議或者是靜態(tài)路徑的配置來交換路由信息，并且通過這一過程獲得與之直接相連的用戶網(wǎng)站IP地址前綴。PE路由器通過與其BGP對(duì)等實(shí)體交換IP-VPN地址前綴來獲得到達(dá)目的VPN站點(diǎn)的路徑。

另外，PE路由器還要通過BGP與其PE路由器對(duì)等實(shí)體交換標(biāo)記，以此確定PE路由器間連接所使用的LSP。這些標(biāo)記用作第二級(jí)標(biāo)記，P 路由器看不到這些標(biāo)記。PE路由器將為其支持的每一個(gè)IP-VPN分別建立路由表和轉(zhuǎn)發(fā)表，與一個(gè)PE路由器相連的CE路由器則根據(jù)該連接所使用的接口選擇合適的路由表。

IP分組轉(zhuǎn)發(fā)

PE之間的路由信息交換完成之后，每一個(gè)PE都將為每一個(gè)VPN建立一個(gè)轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴與下一跳PE路由器聯(lián)系起來。當(dāng)收到發(fā)自CE路由器的IP分組時(shí)，PE路由器將在轉(zhuǎn)發(fā)表中查詢?cè)摲纸M對(duì)應(yīng)的IP-VPN。如果找到匹配的條目，路由器將執(zhí)行以下操作：

如果下一跳是一個(gè)PE路由器，轉(zhuǎn)發(fā)進(jìn)程將首先把從路由表中得到的、該P(yáng)E路由器所對(duì)應(yīng)的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧；PE路由器把基本的標(biāo)記推入分組，該標(biāo)記用于把分組轉(zhuǎn)發(fā)到到達(dá)目的PE路由器的、基本網(wǎng)絡(luò)LSP上的第一跳；帶有兩級(jí)標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP上的下一個(gè)LSR。

P路由器（LSR）使用頂層標(biāo)記及其路由表對(duì)分組繼續(xù)進(jìn)行轉(zhuǎn)發(fā)。當(dāng)該分組到達(dá)目的LER時(shí)，最外層的標(biāo)記可能已發(fā)生多次改變，而嵌套在內(nèi)部的標(biāo)記保持不變。當(dāng)PE收到分組時(shí)，它使用內(nèi)部標(biāo)記來識(shí)別VPN。此后， PE將檢查與該VPN相關(guān)的路由表，以便決定對(duì)分組進(jìn)行轉(zhuǎn)發(fā)所要使用的接口。

如果在VPN路由表中找不到匹配的條目，PE路由器將檢查Internet路由表（如果網(wǎng)絡(luò)提供者具備這一能力）。如果找不到路由，相應(yīng)分組將被丟棄。IP-VPN轉(zhuǎn)發(fā)表中包含VPNIP地址所對(duì)應(yīng)的標(biāo)記，這些標(biāo)記可以把業(yè)務(wù)流路由至VPN中的每一個(gè)站點(diǎn)。

這一過程由于使用的是標(biāo)記而不是IP 地址，所以在企業(yè)網(wǎng)中，用戶可以使用自己的地址體系，這些地址在通過服務(wù)提供者網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)傳輸時(shí)無需網(wǎng)絡(luò)地址翻譯（NAT）。通過為每一個(gè)VPN使用不同的邏輯轉(zhuǎn)發(fā)表，不同的VPN業(yè)務(wù)將可以被分開。

使用BGP協(xié)議，交換機(jī)可以根據(jù)入口選擇一個(gè)特定的轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表可以只列出一個(gè)VPN有效目的地址。為了建立企業(yè)的Extranet，服務(wù)提供者需要對(duì)VPN之間的可到達(dá)性進(jìn)行明確指定(可能還需要進(jìn)行NAT配置)。

IP-VPN安全

在服務(wù)提供者網(wǎng)絡(luò)中，PE所使用的每一個(gè)分組都將與一個(gè)RD相關(guān)聯(lián)，這樣，用戶無法將其業(yè)務(wù)流或者是分組偷偷送入另一個(gè)用戶的IP-VPN。要注意的是，在用戶數(shù)據(jù)分組中沒有攜帶RD，只有當(dāng)用戶位于正確的物理端口上或擁有PE路由器中已經(jīng)配置的、適當(dāng)?shù)腞D時(shí)，用戶才能加入一個(gè)Intranet或 Extranet。這一建立過程可以保證非法用戶無法進(jìn)入VPN，從而為用戶提供與幀中繼、租用線或ATM業(yè)務(wù)相同的安全等級(jí)。