基本功能
MPLS VPN的建设在MPLS网络的基础设施上,VPN骨干网络由两部分组成:PE路由器和P路由器。
PE routers拥有并维护与其直接相连的VPN的路由信息。由于PE负责打 VPN标签和IGP标签两层标签(详见RFC2574的规定),PE必须是一个边缘LSR。
PE routers通过MP-iBGP协议(见RFC2283规定)交换VPN的路由信息,选用 MP-iBGP作为路由协议的原因是MPLS VPN要求传送多种地址家族,并且还要传送VPN的属性。
PE与CE之间采用普通的IGP协议,如RIPv2,OSPF,Static Route,也可以采用EBGP协议,因而当采用MPLSVPN技术时,用户侧的原有路由协不需要修改和重新配置。
出于安全性的考虑,在PE与CE之间做适当的访问控制,CE可以不均许从 PE能够Telnet到CE路由器,即用户侧数据完全可由用户侧自己进行维护处理;同时在位于局端的PE上,也不均许CE Telnet到PE上。
P router是LSR (MPLS节点) P router完全依据MPLS的包封(ENCAP)来作出前传决定。由于P router完全不需要读取原始的数据包信息来作出前传决定,P不需要拥有VPN的路由信息。因此P只参与骨干IGP的路由。
实施规则
在ICS数据网络中,所有的MPLS节点可以有一个和多个边缘LSR.在只有路由器的节点处,路由器可以作为边缘LSR;如果有VPN用户,该路由器又可以被作为PE。为VPN用户提供Internet连接,包括以下几种方式:
-PE router上的接口定义为Internet网关,即Internet网关与PE Router共同存 在一个设备上;
- 将PE Router接口与Internet网关连接,依据业务等级协议(SLA)采用CAR 进行流量限制。 如果用户有由ICS维护的防火墙,或者服务器放在ICS一方,则通过以太网交换机使用PE上的FE接口连接到Internet网关。
虚拟ISP
虚拟ISP,其含义是ICS通过提供出租端口包括专线端口或拨号端口,利用网络的承载服务,为ISP提供透明网络服务和虚拟的业务服务,即该ISP利用ICS所提供的拨号,接入,线路,传送和Hosting等服务来建立自己的服务中心,各ISP拥有自己的用户群,而各ISP之间是相对独立的,或可以通过策略控制可以进行信息互访。
虚拟ISP目前能够利用ICS所提供的认证服务功能,大容量存储能力,丰富的端口类型和资源,以及丰富的带宽资源来提供具有各自特色的网络服务,这些业务可包括VPDN,Web Hosting,Email Hosting等。
