《IPv技术研究》PPT课件.pptVIP

IPv6技术与新业务 何宝宏 信息产业部电信传输研究所 主要内容 地址短缺问题 临时性解决方案 IPv6基本情况 从IPv4到IPv6 IPv6的现状 QoS问题 安全问题 第1部分 地址短缺问题 1.1 地址短缺与传统的对策 IPv4的地址空间 地址空间不足 32 2 个地址，大约43亿个，中国大约3000万个 原因 地址浪费、网络发 展、业务扩 展 缺乏有效地址规划，BGP路由表已经超过10000条(2002年) 1990年的预测 B类地址1994年用光 IPv4地址2005-2011年地址将枯竭 解决地址枯竭的策略 对于现有用户，阻止因特网的增长 对于新用户，禁止使用因特网 CIDR与VLSM 减少路由表大小：CIDR 打破地址类型划分 解决B类地址枯竭问题 提高子网地址利用率：VLSM 任意划分网络规模 提高IP地址的利用率 全球 Internet路由 110000 100000 90000 80000 70000 60000 50000 40000 30000 20000 10000 0 949596979899000102 私有地址 使用私有地址 -55 .-55 -55 网络地址翻译(NAT)+应用层网关 因特网 企业网 NAT 现在的因特网 无全球可编址性 专用的，特定应用解决方案 NAT-ALG IP 延缓了地址空间的消耗，但因特网在加速增长 “Everything 2005 2005 到2003 的新移动电话 将具有因特网接入 功能 估计到 IPv4的其他问题 系统管理 费人力，复杂，慢，容易出错 无法动态地重新编号或配置用户的网络 安全是可选的，没有一个唯一的标准 无法支持新协议 - 难以为基本的 1991: 至少开发了 1993: 已根据多数意见选择 新协议 1995: 从 1996: 1998: 如今 1.2 IPv6简介 IPv6的优势 支持网络结构的扩展性 改善网络的安全性 满足业务的QoS 自动配置 移动计算的特性 组播 骨干网络层更有效路由聚合 bit 0 24 31 Version IHL Identifier Hop Limit Time to Live IPv4 头 20字节，12 + 固定的最大选项 数量 改变的 取消的 IPv6 头 40字节，8个字段 IPv6 头与IPv4头 8 Service Next bit 3个标志bit 128 bit 16 16 Source bit 24 31 0 4 12 Total Length Version Class Flags Fragment Offset Payload Length Header Checksum Address 128 bit Address Padding 128bit地址的由来 计算公式：H = log(地址数)/位数 H的理论值为 log2=0.301，经验值为 0.22-0.26 32bit地址实际只可能分配大约0.11-2亿台主机 IPv6预期设计 目标是2020年 12 全球有100亿(10 )人口 每人100台机器 家电、汽车、灯泡、各种电器 12 15 IPng官方目标：通过10 个网络，连接10 台主机 地址长度68bit(H=0.22),至少57bit(H=0.26) IPv6 扩展头 IP选项已经被转移到一组可选扩展头中 扩展头之间采用链式连接在一起 IPv6 头 TCP 头 应用数据 Next = TCP IPv6 不同于 基本头中的字段更少 对基本头包的处理更快 64 Bit 高效的选项处 理 只有出现时才处理 多数选项只在目的地做处理 / - 选项不限制在40字节中 从网络层取消校验和 现在数据链路层更加可靠 上层校验和现在是必须的 ICMPv6) 在网络中不做分片处理 减轻路由器的负担 易于用硬件实现 易于做 (比如 TCP, IPv6 编址 IPv6 编址规则由多个 RFC 地址类 Unicast Anycast Multicast Reserved 一个接口可以分配得到多个任何类型的 (unicast, anycast, multicast) 无广播地址 单播地址 (RFC 2374) 001 TLA TLA NLA* SLA* 所有子字段都是变长的，非自我编码的 CIDR) 可以把 ( ID 接口 站点拓扑 (64 Aggregator(13bit) Aggregator(24bit) Aggregator(16bit) 第1.3部分 从IPv4到IPv6 IPv4-IPv6 并存的迁 移 已经出现了多种技术，主要分为三类： 允许在相同的设备 和网络上同时存在 升级主机、路由器或部分网络时 有顺 的设备 与只支持IPv4 可能这些技术都会得到使用，尤其是结合使 用 IPv6 应用 双协议栈 方法 TCP/UDP IPv4 IPv6 DRIVER 当为一个系统增加 捆绑进去，而不是新增加插件 应用 否则使用IPv4 这允许不确定地IPv6与IPv4的并存，并且逐渐地、逐个应用的 升级到IPv6 ( ) IPv6时，不去除IPv4 (比如AppleTalk, IPX等) 发布时会把IPv6 IP版本 DNS响应: 隧道方式 IPv4 IPv6 IPv4 IPv6 IPv4 IPv6 IPv4-IPv6 翻译: NAT-PT NAT-PT 只支持IPv4的设备 只支持IPv6的设备 IPv6 L3 硬件与协议支持： 必须首先部署 OS 网络管理 IPv6 第1.4章 IPv6的发展现状 实验网 6BONE 1996年建立 通过隧道穿越IPv4 50多个国家和地区参与 研究者、开发者和实践者的平台 6REN 实用的全球教育和科研网 IPv6在各国 目前已经组建了以6-BONE为中心的IPv6实验网 欧洲：大力推动IPv6在移动网络中的应用 2000.5 3GPP R5已将IPv6作为核心网协议 美国：也开始支持 Juniper全面支持 Cisco, IOS 12.2(1)T Microsoft2000, MS XP 中国： CERTNET已经接入6-BONE 2002年7月，Global IPv6 Summit, China 2002年6月，在湖南省的商用实验网 IPv6在日本 政府的大力支持 通过“IT振兴法” 投巨资支持IPv6 e-Japan计划(2001年3月)，2005年全部部署IPv6网络环 境 研究团体活跃 WIDE：产、学、研一体的权威机构 已经举办过 两次Global IPv6 Summit 产业界 IPv6设备 ：日立、NEC、富士通等 运营商：IIJ, OCN(NTT), BIGLOBE(NEC), DION(KDDI), JENS(日本电信) 应用开发 信息家电 信息家电网络 移动商务，视频传输 英国电信的预测 IPv6 时间表 商用 器出现 多数 3G 全部 IPv6 IPv4 1990 2005 2015 时间 : IPv6应用可用， IPv6 IPv4 地址枯竭 2003 2006 运营 2004 2005 3G系统 数量 1.5 IPv6 前途是光明的，道路是曲折的 IPv6 vs IPv4 IPv4 IPv6 QoS DiffServ, DiffServ, InterServ, InterServ, MPLS MPLS 安全 IPSec可选 IPSec必须 Mobile RFC3344 Draft NAT vs IPv6 私有IPv4地址的 问题出在这里 私有 IPv4 NAT 因特网 NAT-P IPv6 IPv6 部署IPv4的必要条件 NAT无法支持时 网上的应用不再是C/S模型占主导地位 P2P应用 多级NAT的使用 ISP之间 两级NAT IPv6 出现一种 解决不了的 曲折的道路 IPv6的采纳可能仍然有很长的路要走 电话运营商认为IPv6难以部署 IPv4设备很多并价格更便宜，IPv6需要更高的基础 设备费 用 风险问题 ，IPv6的部署与运营经验 ，运营商不想推 动这种经验的获得 最新的测试表明IPv6技术仍然不是很成熟 路由器中的软件实现较 多 IPv6的应用？ IPv6在Wireless Internet世界 被认为最需要IPv6 但WISP目前都采用的是“Walled Garden”模型 Internet “Open”业务模型 应用、接入设备 和内容由不同的实体分别控制，运营商只 是一个“bit pipe” “Walled Garden” 业务模型（3GPP, 3GPP2) 定义一个 profile(一组协议 和运营参数)，结合起来提供 一种定义清楚的业务 运营商一般(尽可能地)完全控制整个业务 ，包括用户接入 设备 、传输设 施甚至业务 “内容” 客户被限制在运营商所提供的业务 范围内，离开运营商延 伸特征或接入服务的能力受到限制 小结 目前IPv6核心与相关技术已经基本成熟 但商用进展迟缓，根本原因在于 部署新的IPv6网络短期内无法给ISP和客户带来任何 明显的价值 公开IPv4地址还够用 目前部署的价值与阻力 解决地址短缺问题 解决QoS问题 解决网络管理问题 性能更好 第2部分 QoS技术 主要内容 QoS的概述 QoS服务模型 QoS其他相关技术 QoS技术小结 2.1 QoS概述 Internet QoS的含义 IP包流经一个或多个IP网络时 ，所表现 的性能属性: 业务可用性 用户获得业务连接的可靠性 延迟 发送和接收IP包的时间间隔 抖动 延迟的变化 吞吐量 有效传递数据的速率(峰值/平均) 包丢失率 包丢失的可能性(拥塞引起) 恢复时间(?)-从故障中恢复的时间 不需要QoS机制的情形 需要QoS的情形 QoS机制带来的新问题 争论的经济学基础 寻求增加带宽和提供QoS机制成本的平衡点 解决的思路 从网络的角度看 如果全局拥塞：增加带宽 如果局部拥塞：流量工程做负载均衡 从业务的角度看 InterServ模型 DiffServ模型 配合与映射关系 高层 应用映射/TCP 低层 排队/调度，拥塞/流量控制 支持QoS的Internet体系结构 Application Layer Integrated Service/RSVP Transport Layer Differentiated Services Constraint Based Routing Network Layer MPLS Link Layer 2.2 QoS机制模型 什么是InterServ 在因特网中提供有差别的服务 关注的是单个流，以流为单位 每个流都从网络请求特定级别的服务 Best effort业务 保证型业务 受控负载 网络根据资源的可用性以及为其他流提供的保证，接 受或拒绝一个流的请求 把服务级别 量化为 最小服务速率 或最大可容忍的端到端延迟 InterServ模型的组成 流量规范：flowspec 流向网络通知它的特性 网络据此提供给该 流的QoS 路由 具有QoS约束的unicast和multicast路由服务 资源预留：信令协议RSVP 许可控制 为把网络负载 控制在合理的范围内，同意或拒绝预 留请求 包调度 交换机或路由器决定下一次是否调度和调度哪个包 InterServ工作过程 (2) PATH (3) PATH (1) PATH RSVP 云 发送端 路由器 路由器 接收端 (4) RESV (6) RESV (5) RESV 综合业务特点 优点 能够提供绝对 有保证的QoS RSVP使用IP包承载 支持multicast 缺点 伸缩性不好 对路由器的要求较高。 对保障型业务 需要网络全部使用综合业务 。 不适合于短生存期的流 现在 修改缺点，扩展RSVP成为“通用”的IP信令协议 什么是DiffServ 流量进入网络时加以分类，并在网络的边界可 能做一些调节，并指派不同的服务等级 该模型避免了在核心节点中维护每个流的状态 信息的复杂性，将不可避免的复杂性推到网络 的边缘 在因特网上提供了具有扩展性的差别服务，可 用于对因特网业务做不同的定价(pricing) 把包转发模型和路由模型分开 DiffServ DiffServ域 IP 流 TOS TOS IP 流 EF EF EF 流分类器流量调节 器 分类器 分类器 AF AF AF BE BE BE 分类调 度器 分类调 度器 分类调 度器 入口边缘路由器 核心路由器 出口边缘路由器 特点 可扩展性较好 DiffServ提供的业务类 型 业务类 型 EF PHB：加速转发 路由器使用策略和整形机制，确保一个流聚合的最大到达 速率低于最小离开速率 AF PHB：确保转发 只要流量没有违反合同，就尽可能的转发 AF之间没有优先级，但在一个AF内部有 BE PHB：尽力而为 InterServ与DiffServ的比较 InterServ DiffServ 业务差别的粒度 单个流 流的聚集 路由器中的状态 (如 每个流 每个聚集 调度、缓冲管理 流分类的基础 很多头字段 DS 字段 业务类 型 确定或统计保证 绝对或相对保证 许可控制 要求 绝对差别的 有要求 信令协议 要求(RSVP) 相对策略,不要求 InterServ与DiffServ的比较 InterServ DiffServ 业务差别的 端到端 本地 (每跳行为) 协调方法 业务差别的范围 Unicast或 网络中的任何地方或一 Multicast的路径 些特殊路径 可扩展性 受到流的数目的限制 受到服务类型 数目的限制 网络计费 基于流的特征和 基于类型用法 QoS用法参数 网络管理 类似于电路交换网 类似于IP网 域间部署 多边协议 双边协议 2.3 小结 CoS/GoS CoS:Class of Service 使得一些流量比其他的更重要 一般显式或隐式的做流量册聚合 交换机或路由器不为单个流维护状态信息 Grade of Service 用户所感觉到的网络服务的性能 拨号前/后延迟，接通率等 QoS QoS发展历史 时间 No state Aggregated Per-flow state state IntServ / RSVP Best Effort DiffServ 1. The original IP service 2. First efforts at IP QoS 3. Seeking simplicity and scale QoS待研究的问题 QoS型应用：基于应用/作为传输层 的选择？ 如何结合InterServ和DiffServ？ QoS发现 TCP与QoS 业务集合：目前还不清楚究竟需要多少不同的服务级别 业务传输 的测量 QoS计费 多样性的部署 QoS域间信令：QoS应该能够跨域使用 第三部分 安全 3.1 DDoS攻击 最近所报道的重大安全攻击事件都是DDoS！ 已经威胁因特网稳定性的最严重的安全攻击！ 可以很方便地得到界面友好的DDoS攻击工具！ 但却没有有效的方法加以防范！ DDoS 分布式拒绝服务攻击(DDoS) Distributed denial-of-service 攻击的对象可以是主机、路由器甚至网络 攻击的方式 利用系统设计 的弱点 如Ping of death, teardown 防范手段：系统补 丁 利用计算量巨大的任务 如加/解密， DF交换 防范手段：Cookie等 洪泛式DDoS 不是利用特殊的网络协议或设计弱点 利用被攻击对象与因特网之间资源的巨大不对 称性！ 足够数量的受感染主机同时向被攻击对象发送大量 无用的包 被攻击对象或因特网连接因此而被阻塞甚至宕机 实际上是切断了被攻击对象与因特网的连接 最近国际上在小范围的监测表明，三周内出现 了超过12000次DoS攻击 典型Server对付SYN攻击的比较 MS WIN2000 Advanced Server 重传时间为 3, 6。9s内未收到ACK就放弃 BSD 重传时间为 6, 24,48和75s Linux 2.2.9-19 重传时间为 3, 6, 309s。7次重传后放弃 洪泛式DDoS的类型 A A TCP SYN, ICMP, UDP, (用V的地 址作为源地址) TCP SYN, ICMP, UDP, (用R的地 R R 址作为源地址) TCP SYN-ACK TCP SYN-ACK TCP RST, ICMP, V V TCP RST, ICMP, UDP, UDP, 直接方式 反射器方式 对付DDoS攻击的方法 攻击预 防 事先 攻击检测 与过滤 发生过程中 攻击源跟踪与鉴别 事后 攻击检测 与过滤 因特网防火墙 攻击检测 与过滤 的位置 在被攻击者的网络中 在被攻击者网络的上游ISP 在被攻击者网络的更上游ISP 特点 越靠近攻击源，包过滤的效率越高 越靠近被攻击者，包检测的效率越高 因特网防火墙 试图 在因特网核心中检测 DDOS攻击，丢 弃可疑包 如果实现正确且有效，就可保在受攻击之间 被攻击者的服务也可保持正常 实现 方式 基于路由器的包过滤 把入口包过滤功能延伸到核心网 分布式攻击检测 3.2网络层安全协议 IP Security IETF IPSec工作组于1998年开始制订的一组基于密码学 的安全的、开放网络安全协议 IPSec独立于密码学算法，设置了默认值 IPSec工作在IP层，为IP层及其以上层协议提供保护 IPSec提供的安全服务 访问控制、无连接的完整性、数据来源验证、防重放保护、 保密性、自动密钥管理等 允许用户控制所提供的安全服务的粒度。 IPv4可以选支持IPSec，IPv6必须支持IPSec。 到目前为止最出色的安全协议！ IPSec的组成 IPSec体系 AH 加密算法验证算法 解释域(DOI) 密钥管理 AH和ESP的位置 IP头 AH头 TCP, UDP 或 IP IP头 ESP头 TCP, UDP 或 IP ESP尾 ESP认证 SA 安全联盟(SA)是IPSec密钥管理的基础 AH和ESP都使用SA，而且IKE协议的主要功能 就是建立和维护SA。 SA是两个通信实体经过协 商建立起来的一种简 单的“连接”， IPSec协议类 型、加密算法、认证方式、加密和认证 密钥、密钥的生存时间以及防重放攻击的序列号等， 为所承载的流量提供安全服务。 SA可以手工建立，也可以使用IKE协议自动建 基本工作原理 1. 规定使用的安全策略，保存在SPD中 应用、绕过 、丢弃 可以有不同的安全策略粒度 2. 根据安全策略手工或动态建立SA，保存在SAD中 3. 对于外出的IP包，首先在SPD中查询安全策略，如果 安全策略要求应用IPSec 如果存在SA，直接使用 如果没有SA，使用IKE协商 如果存在SA但无效，触发IKE重新协商 对于进入的IP包： 查SAD，验证 有效性，还原 IPSec密钥管理 密钥的产生、认证 、交换、存贮、使用 和销毁等。 IPSec要求支持两种类型的密钥管理 手工:系统管理员使用每个系统自己的密钥 和其他通信系统的密钥咯啊手工配置系统.适 用于小型的、相对静止的环境 自动：系统根据需要自动建立安全通信需要 的密钥，适用与大型的、不断变化的环境 IKE 在IPSec通信双方之间，建立起共享安全 参数及验证 的密钥(SA) IKE是一种常规用途的安全交换协议 SSL, SNMPv3, OSPFv2等 IKE定义的认证 方式 预先共享密钥(目前最流行的) 数字签名(DSS和RSA) 公钥加密(RSA和修改的RSA) IPSec应用:端到端 主机1 主机2 IP网 IPSec隧道 连接 IPSec应用:网络到网 络 主机 主机 2 安全网关 2 IP网 安全网关 1 安全网关2 主机1 安全网关1 主机2 IPSec应用:AH-ESP组合方式 IP网 IPSec隧道 连接 IPSec应用:远程访问 安全网关 IP网 企业网 每一段的安全要求都不一样 IPSec隧道 笔记本电脑 连接 IETF的新动态 IPSec工作组负责 修改完善IPSec ESP被认为稳 定并且容易理解 IKE被认为 是苦涩难 懂，并存在严重的互 操作性 严重的互操作性 阻碍了VPN市场的发展 影响了在其他协议中IPSec的采用 IKEv2 继承了相同的IKEv1的格式和思想 去掉了几乎用不上的模式和选项(简化) 更快地建立时间：4条消息 对DoS的更好防范 增加了一个轻型的往返 使用相同的端口号和格式，向上兼容 更加方面的功能 更快地建立第一个SA JFK 简化了很多IKEv1的特征，简单 的多 只使用了一个阶段，而不是两个 同时降低了用户和实现的复杂性 IKEv1的阶段2用其他简单的方式管理 在两个对端之间建立多个SA时要慢一些 抗DoS攻击，不需要额外的往返 各种Perfect forward Secrecy 第4部分 新业务 基于MPLS的虚拟专 用网(VPN)技术 三层 二层 4.1 PPVPN IETF PPVPN PPVPN(Provider Provision VPN)指由运营 商参与管理和实施，并提供VPN业务 的 VPN网络 从运营商和用户的角度研究VPN 外包方式的VPN 运营商可以以多种方式参与到一个VPN的实 施中 存在多种类型的 PPVPN模型 R3 CE2 R5 CE1 PE1 PE2 CE3 R6 R4 运营商 客户站点2 客户站点1 接入连接 CE:用户边缘设备 接入网 PE:运营商边缘设备 隧道 P:设备 嵌套 PPVPN的类型 根据提供业务 的层面 二层 VPN 三层VPN 根据VPN业务 隧道的终点 CE-based VPN(用户边缘 VPN) PE-based VPN(运营商边缘VPN) 不同类型PPVPN的特点 在基于CE的VPN网络中 CE设备之间的二层连接性对客户是可见的，或者 说客户网络的三层连接性会受到CE设备的限制。 客户站点通过隧道或嵌套隧道相互连接，运营商 的骨干网并不知道VPN的存在。 在基于PE的VPN网络中 运营商骨干网不但知道VPN的存在，维持VPN的 状态信息，而且运营商为互联的客户站点提供二 层和三层服务，利用客户的网络地址在客户站点 不同类型PPVPN的特点(续) 在基于CE的VPN网络中 通过CE设备在数据链路层为客户站点提供服务的情 形，称为基于CE的二层VPN 通过CE设备在网络层为 客户站点提供服务的情形， 称为基于CE的三层VPN 在基于PE的VPN网络中 二层VPN网络：运营商的骨干网不但知道VPN的存 在，而且为客户站点提供数据链路层互联服务 三层VPN网络：运营商骨干网不但知道VPN的存在， 而且为客户站点提供网络层服务，利用客户的网络 4.2 MPLS VPN 使用MPLS做用户数据 包封装的一种VPN业务 都是基于网络的 MPLS VPN类型 三层MPLS VPN 运营商为客户站点提供网络层 服务，利用客户的网络地址在 客户站点之间路由转发 数据包。 典型实现 方法 虚拟路由器(VR)：每个VR在物理SP边缘路由器上对应一个独立 的SP网络地址 RFC2547bis：在一个路由器中实现 VPN虚拟路由转发 表(VRF) 二层MPLS VPN 运营商为客户站点提供数据链路层互联服务 业务类 型 虚拟专用LAN段(VPLS) 虚拟专用线路段(VPWS) 典型实现 方法 4.3 虚拟路由器(VR)方式的VPN 虚拟路由器(VR) VR是对物理路由器的仿真 提供与物理路由器相同的路由和转发服务 不需要单独的OS(也可有) 对外表现为有一个为其连接的VPN用户提供服务的用 户专用路由器的感觉，从用户的角度看：几乎=物理 路由器 特点 每个VR维护独立的路由和转发表 每个VR能够运行任何路由协议 (OSPF, RIP, BGP-4) 可以使用的隧道机制 (MPLS, IPSec, GRE, L2TP等) VR结构允许以每个VPN为单位建隧道，也可让VPN 共享穿越骨干网的隧道 VR的问题 VPN端点发现 多种可能的选择(BGP, 组播，LDAP,.) 路由的可扩展性 必须在公网上同时运行多个进程 互通性 多种 VR实现方式 没有一个处于“领导地位” 网间互联 4.4 RFC2547方式的三层VPN BGP/MPLS VPN RFC2547bis: 已经成为一种主流的三层MPLS VPN实现方式 得到Cisco, Juniper等公司的支持 因为各自的缺点和优势 ，现在出现了一种将VR与2547方式结 合起来的趋势 PE为每个直连的VPN站点维护与该站点相关的转发表 客户与提供商间运行传统IP路由 使用BGP发布VPN路由 使用MPLS在提供商骨干网中对VPN业务进 行转发 客户边界路由器(CE) 客户边界 PE CE VPN A VPN A CE P P PE CE VPN B VPN B CE PE 客户边界（CE）路由器 位于客户处 ，提供到服务提供商网络的接入 CE/PE连接可使用任何接入技术或路由协议 CE设备类 型：主机、交换机、路由器 运营商边界路由器(PE) 提供商边界 PE CE VPN A VPN A CE P P PE CE VPN B VPN B CE PE 运营商边界（PE）路由器 维护 与站点相关的转发 表 使用BGP与其它PE路由器交换VPN路由信息 PE路由器与核心之间使用MPLS(RFC2547)转发 VPN业务 PE与CE路由器之间使用普通的 IP 运营商路由器(P) 提供商路由器 PE CE VPN A VPN A CE P P PE CE VPN B VPN B CE PE 运营商（P）路由器 P路由器 (LSR)位于MPLS云的核心 使用已建立的LSP对VPN数据进行透明转发 不维护 与VPN有关的路由信息 Internet接入 公共 Internet 客户 CE VPN VPN用户希望同时连接到Internet上 能够到达 Internet目的地址 Internet源能够到达VPN 必须使用安全机制 如果VPN使用专有地址，连接至Internet时需要NAT 服务提供商可执行NAT功能 MPLS VPN的安全性 MPLS VPN具有与ATM/FR相似的安全性 在入口 LSR，一个VPN的所有数据对应VPN地址唯 一的标签栈 ，保证数据只被送到目的地，不会泄露 任何其它进入SP网络的包要么不使用 MPLS，要么 被指派一个不同的标签，防止第三方插入数据 SP路由器可以使用MD5等防止虚假标签或LSR进入 标签分发协议 BGP MPLS的可扩展性 在SP骨干网中由 (a)PE路由器， (b)BGP路由反射器， (c)P路由器，并且在多运营商VPN时的(d)ASBR组成。 BGP/MPLS VPN是一种对等模型，不存在一般重叠模 型所固有的n平方问题 P路由器并不维护任何VPN路由。为了正确转发VPN流 量，P路由器只需要维护到PE路由器和ASBR的路由。 使用两级标记 使得P路由器不需要保持VPN路由 要求PE路由器维护VPN路由，但只维护与它直接相联 的那些VPN的路由，不维护到远端CE路由器的路由 结论：SP网络中没有一个组件需要维护所有VPN的所 有路由，网络支持不断增长的VPN数目的整个能力不 BGP MPLS的可扩展性(续) 路由反射器是网络中唯一一个不与VPN直接相连，但却 需要维护VPN路由信息的系统。但因为隔离的原因，不 要求任何一个路由反射器维护运营商网络中的所有VPN 的路由 对于跨运营商的VPN，如果ASBR维护和分发VPN-IPv4 路由，那么ASBR能够以相似的方式用于隔离VPN，那 么也就不要求任何一个ASBR维护所有跨运营商的VPN。 如果使用多跳EBGP方式，那么ASBR根本就不需要维护 和分发VPN-IPv4路由 结论：SP网络中没有一个组件需要维护所有VPN的所 有路由，网络支持不断增长的VPN数目的整个能力不 BGP方式的特点 优点 得到处于路由器领导 地位的Cisco和Juniper的支持 实现 比较容易 缺点 BGP负担重，限制了其它路由协议 的使用 客户无法介入管理 配置/管理/排错非常复杂 目前缺乏有效的手段，成为该 方式的最大问题 BGP/VR三层VPN的特点 优势 用户 适于不希望在其组织结 构中建立核心路由功能的中小型公司 提供商 缺点 基于策略的控制增加了提供商管理负担 一些客户希望维持控制他们的路由体系 VPN 三层MPLS VPN比较 VPN 类型 Multicast- RFC BGP- VR BGP/IPsec VR 2547bis VPN 功能 成员发现 BGP Multicast BGP BGP 路由协议实 例 每个 VPN 每个 VPN 骨干网聚合 骨干网聚合 MPLS/IPsec/ 隧道 MPLS MPLS IPsec 4.5 二层MPLS VPN 把分别位于不同地点的GE通过IP/MPLS云连接起 来 类似的例子 Frame Relay over ATM网 T1, E1 和 T3电路 over ATM 网络 Voice over ATM /AAL2, FR, IP (VoIP)和 MPLS网络 PPP over IP, ATM和FR网络 北京上海 二层传输 GE 网络融合前 纽约 北京 IP PoP IP PoP 全球IP FR PoP 骨干网 FR FR PoP FR 全球FR 骨干网 巴黎 IP PoP 融合前: 多个并行的网络 FR PoP 重复的国际链 路 网络融合后 纽约 IP + FR PoP 全球 IP IP + FR PoP IP + FR PoP 骨干网 巴黎 网络融合后：统一的网络 只有唯一的一个骨干网络链路：IP网络 在IP+FR的POP点，在同一个平台上同时提供FR和IP 业务 使用L2TPv3隧道穿越IP骨干网提供 FR 业务 二层VPN的优势 提供商 用户 扩展的新业务机会 网络融合：把多个网络 VPWS/VLL, VPLS 基础设备 和运维成本融 对RFC 2547bis的补充 合到一个网络 在相同的核心网上运行， 外包线路 使用相同的出境LSP 能够维持对路由的控制 将现有帧中继及ATM VPN可被合并至一个 统一的Internet和专网接 IP/MPLS基础设施平台 口 比TDM/传统L2方式的 支持任何三层协议 效率更高 伪线路(PW) IETF PWE3工作组 端到端的伪线路仿真 关注的重点是点到点的二层传输 伪线路(PW)的含义 在包交换网络上仿真某种业务的基本属性 包交换网络可以是IP或MPLS网络，被仿真的业务 通常是二层业务 选择哪种PW是运营商的事情，不在PWE3 WG的工 作范畴内 L2VPN 在一个融合后的网络上承载被仿真的数据链路 的一组伪线路(PW) 可以提供的仿真业务 Ethernet, PPP, HDLC, AAL5帧, ATM信元, FR, SONET / SDH 为了能够在IP网络上运行，一个非常重要的组 成部分是能够互操作的隧道协议 隧道协议用于承载每条链路到参与方的边缘路由器 PWE3的网络结构 PWE3 端点业务 PSN隧道 端点业务 PW1 PW2 CE PE PE CE 仿真的业务 客户边缘 (CE)设备：仿真业务的起点和终点 运营商边缘(PE)设备：为CE提供PWE3业务，提供CE和PW之间的适配服务 伪线路(PW)：承载在包交换网络之上的，位于两个PE之间的连接 PW端点业务：PE和CE之间的接口，可以是物理接口(如T1或Eth)，也可以是虚 接口(如VC或VLAN)套多个PW，以透明地穿越核心网络设备。 协议分层模型 载荷层 封装层 复用层 PSN头 MAC/数据链路层 物理层 逻辑协议分层模型 L2TPv3 IPv4/IPv6 MPLS垫层 MPLS 载荷 (电路/信元l/包) 特定封装信息 排序(可选) 长度(载荷/特定PSN) 时标信息(特定载荷) PWE3协议栈实例 载荷层 载荷封 装定义 汇聚层 PSN头 MAC/数据链路层 物理层 L2VPN例子 伪线路 (L2隧道) 隧道化的 串口 隧道1 pos3 pos2 R4 R3 pos1 IP 网络 pos4 R2 e2 R1 e1 隧道2 LAN1 LAN2 隧道化的LAN 把原来的业务