| 何謂VPN? 「虛擬私有網路(VPN)」,簡單的說,就是指在公眾網路架構上所建立的企業網路,且此企業網路擁有與私有網路相同的安全、管理及效能等條件。VPN乃是原有專線式企業私有廣域網路的替代方案。 |
|||
| 企業VPN解決方案的種類 | |||
| 《一》私有網路(Private Network) 以租用實體電路的方式,建立企業內點對點的通訊網路,頻寬使用效能低(通常不超過50%),須自行管理的封閉網路,總公司埠(port)密度高,建置成本昂貴。 |
|||
 |
|||
| 《二》虛擬私有網路(Virtual Private Network) ISP建置X.25、Frame-Relay或ATM的網路架構,以虛擬電路(Virtual Circuit)在實體電路上建立連線,達到end to end VPN,連結可提供頻寬保證(CIR),但不易替客戶建置完全網狀連結(Fully-Meshed)之網路架構,並且缺乏Intranet、Extranet、Remote Access的完成整合能力。 |
|||
 |
|||
| 《三》IP VPN IP網路環境中結合Tunneling、Encryption、Authentication Access技術建立的虛擬內部網路。可輕鬆建置完全網狀連結(Fully-Meshed)容易擴充,並且具備Intranet、Extranet或 Remote Access的完全整合能力。這種Layer 3 VPN的解決方案是透過IP Tunnel 建立VPN連線,而IP tunnel技術是將Private IP包在Public IP之後,透過一個公眾網路連結,但還是有Security問題,因此利用IP Security機制將資料封包加密,以達到資料保密的功能。 |
|||
 |
|||
| 《四》MPLS VPN 上述企業VPN解決方案的Function都有一些不完美之處,傳統VPN 都是建構在Layer 2的ATM or Frame-Relay網路上,所以服務提供者(ISP)需要建構其Layer 2 Backbone。在IP網路越來越普遍的今天,實在不需再做此方面的擴充,另外在Layer 2骨幹網路提供的VPN解決方案中,在建置及維護VC方面是比較複雜的同時如果要擴展Extranet的網路需求時,則會有相當的困難度。然而Layer 3的IP VPN解決方案,其Security 和QoS上在透過公眾網路時將無法確知效果,所以傳統Layer 2及Layer 3皆有其發展上的限制及問題,於是MPLS VPN解決方案應運而生,其結合了Layer 2及Layer 3的優勢,可以很容易的提供VPN/Intranet/Extranet/Inter-AS VPN,,並且透過MPLS TE(Traffic Engineering)及MPLS Qos的功能保障傳輸的品質。 |
|||
| MPLS VPN Connection Model | |||
| P router(LSR):MPLS網路中的core,負責做 Label Switching。 PE router(ELSR):MPLS網路中的edge,負責連接客戶端router,負責將客戶的Packet加上Label。 CE router:客戶端router。 |
|||
 |
|||
| PE Router維護兩份獨立的Routing Table | |||
|
《一》Global Routing Table 和骨幹網路透過IGP交換彼此的路由資訊,包含了所有PE Router、P Router的Routes。 《二》VRF(VPN Routing & Forwarding) 每個VRF對應到各自VPN客戶的Routes,每個VPN客戶的Routes是各自分開獨立的,也就是說PE Router會根據不同的VPN客戶切割分配不同的Routing Table給它,彼此不會互相影響。 |
|||
|
|||
| 分散在各地的PE Router如何交換客戶VPN的Routing information? | |||
| 《Solution 1》 對於每個客戶獨立執行一個IGP的路由協定,來攜帶客戶的VPN routing information通過骨幹P Router 到達另一節點的PE router交換彼此資訊。 |
|||
缺點: |
|||
 |
|||
| 《Solution 2》 執行一個路由協定,攜帶所有客戶的VPN routing information通過骨幹P Router到達另一節點的PE router交換彼此資訊。 |
|||
缺點: |
|||
 |
|||
| 《Solution 3》 執行一個路由協定,攜帶所有客戶的VPN routing information直接和另一節點的PE router交換彼此資訊,並在骨幹中利用MPLS label來交換PE router間的封包。 |
|||
優點: |
|||
 |
|||
| 選用那一種路由協定來攜帶及交換PE Router間客戶VPN路由資訊? | |||
| 客戶的routing Information是很多的,唯一能攜帶大量routing information的路由協定就只有BGP,而且BGP也可以直接在PE router間交換客戶的routes。 | |||
|
《一》RD(Route Distinguisher)值簡介 在企業VPN中,很多的情況都有IP重覆使用的問題,如果有兩個VPN客戶使用了相同的網段,那要如何在使用單一路由協定(BGP)下的PE router,區分是不同的客戶的網段,因此在BGP路由協定中加入一些新的Attribute(屬性),將原來客戶的routing information延伸附加RD這個屬性值,使其客戶的routing information是唯一的。 RD是一個長度64bits的數字,附加於IPv4位址的前面使其達到絕對唯一(global unique),這樣組合長度為96bits的位址表示法稱為VPNv4。這種VPNv4的位址表示法,只用於PE router之間藉由BGP路由協定來交換,而這種BGP路由協定能支援除了IPv4位址表示法外的其他位址表示法(VPNv4)我們稱之為Multi-protocol BGP。所以在一個簡單的企業VPN架構中,每個客戶都需要有一個RD值,藉以區分每個客戶。 |
|||
 |
|||
|
《二》RT(Route Targets)值簡介 Route Targets是額外附加在VPNv4 BGP routes的Attribute(屬性),用來表示所屬的VPN,例如某一個客戶端的site可能需要參與或加入一個以上的VPN,而RD值無法顯示出 要參與或加入那些VPN,所以需要一個新的方法來顯示出這個VPNv4 BGP routes所屬的VPN,RT這個屬性值就是用在MPLS VPN結構中,支援複雜的VPN型態。 Route Targets是利用延伸原本BGP communities的屬性來使用,我們稱這個屬性為Extended communities。 |
|||
| 《三》RT(Route Targets)如何運作 |
|||
|
|||
| 結語 | |||
| 本篇文章先描述了現行企業VPN的各種解決方案的特性及優缺點,並且說明發展MPLS VPN技術的原因及其在未來的優勢,接著進一步詳述MPLS VPN的Connection Model及其中P router和PE router的角色。在PE router中為了使企業客戶的routing information各自獨立,設計了VRF的概念,另外更進一步探討如何利用Modified 的BGP路由協定(MP-BGP)來攜帶及交換各節點PE router所擁有的企業VPN routing information,使企業VPN客戶位於全省各節點的網路能夠互通,此外為了解決不同企業VPN客戶中,有很多的情況都有IP重覆使用的問題,因此在routing information中加入了RD的屬性,最後描述為了更彈性的規劃客戶的某個節點可以加入一個以上的VPN群組,而新增了RT這個屬性,由RT值來決定某個節點是否要和另一個節點網路互通,這個概念類似於區域網路的VLAN。 http://eservice.seed.net.tw/class/class14-1.html |
2013年12月6日 星期五
VPN 新趨勢 MPLS VPN(1)
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言