Microsoft Word T-REC-Y C.doc

Size: px

Start display at page:

Download "Microsoft Word - 201502-T-REC-Y1314-200510C.doc"

某淇魏
7 years ago
Views:

1 国际电信联盟 ITU-T Y.1314 国际电信联盟电信标准化部门 (10/2005) Y 系列 : 全球信息基础设施网际协议问题和下一代网络互联网的协议问题传输虚拟专用网络功能分解 ITU-T Y.1314 建议书

2 ITU-T Y 系列建议书全球信息基础设施网际协议问题和下一代网络全球信息基础设施概要业务应用和中间件网络方面接口和协议编号寻址和命名运营管理和维护安全性能互联网的协议问题概要业务和应用体系接入网络能力和资源管理传输互通服务质量和网络性能信令运营管理和维护计费下一代网络框架和功能体系模型服务质量和性能业务方面 : 业务能力和业务体系业务方面 :NGN 中业务和网络的互操作性编号命名和寻址网络管理网络控制体系和协议安全通用移动性 Y.100-Y.199 Y.200-Y.299 Y.300-Y.399 Y.400-Y.499 Y.500-Y.599 Y.600-Y.699 Y.700-Y.799 Y.800-Y.899 Y.1000-Y.1099 Y.1100-Y.1199 Y.1200-Y.1299 Y.1300-Y.1399 Y.1400-Y.1499 Y.1500-Y.1599 Y.1600-Y.1699 Y.1700-Y.1799 Y.1800-Y.1899 Y.2000-Y.2099 Y.2100-Y.2199 Y.2200-Y.2249 Y.2250-Y.2299 Y.2300-Y.2399 Y.2400-Y.2499 Y.2500-Y.2599 Y.2700-Y.2799 Y.2800-Y.2899 欲了解更详细信息, 请查阅 ITU-T 建议书目录

全通用移动性 Y.100-Y.199 Y.200-Y.299 Y.300-Y.399 Y.400-Y.499 Y.500-Y.599 Y.600-Y.699 Y.700-Y.799 Y.800-Y.899 Y.1000-Y.1099 Y.1100-Y.1199 Y.1200-Y.1299 Y.1300-Y.1399 Y.1400-Y.1499 Y.1500-Y.1599 Y.

3 ITU-T Y.1314 建议书虚拟专用网络功能分解摘要本建议书描述建立操作和维护客户机 / 服务器和对等层虚拟专用网络 (VPN) 所需要的一组功能网络的功能特性是从网络层的观点来描述的, 它考虑了 VPN 分层的网络结构客户特征信息客户机 / 服务器的联系联网拓扑技术和层网络的功能特性建议书采用 ITU-T G.805 和 G.809 建议书介绍的模型化方法描述了功能模型所用的模型化方法独立于网络技术, 因而该功能模型和所描述的相关功能将适用于所有的 VPN 层网络技术来源 ITU-T 第 13 研究组 ( ) 按照 ITU-T A.8 建议书规定的程序, 于 2005 年 10 月 14 日批准了 ITU-T Y.1314 建议书关键词 ITU-T 建议书 D.000 由 ITU-T 第 3 研究组 ( 年 ) 编写, 并按照 WTSA 第 1 号决议的程序于 2002 年 6 月 14 日批准 ITU-T Y.1314 建议书 (10/2005) i

VPN 分层的网络结构客户特征信息客户机 / 服务器的联系联网拓扑技术和层网络的功能特性建议书采用 ITU-T G.805 和 G.

4 前言国际电信联盟 (ITU) 是从事电信领域工作的联合国专门机构 ITU-T( 国际电信联盟电信标准化部门 ) 是国际电信联盟的常设机构, 负责研究技术操作和资费问题, 并且为在世界范围内实现电信标准化, 发表有关上述研究项目的建议书每四年一届的世界电信标准化全会 (WTSA) 确定 ITU-T 各研究组的研究课题, 再由各研究组制定有关这些课题的建议书 WTSA 第 1 号决议规定了批准建议书须遵循的程序属 ITU-T 研究范围的某些信息技术领域的必要标准, 是与国际标准化组织 (ISO) 和国际电工技术委员会 (IEC) 合作制定的注本建议书为简明扼要起见而使用的主管部门一词, 既指电信主管部门, 又指经认可的运营机构遵守本建议书的规定是以自愿为基础的, 但建议书可能包含某些强制性条款 ( 以确保例如互操作性或适用性等 ), 只有满足所有强制性条款的规定, 才能达到遵守建议书的目的应该或必须等其它一些强制性用语及其否定形式被用于表达特定要求使用此类用语不表示要求任何一方遵守本建议书知识产权国际电联提请注意 : 本建议书的应用或实施可能涉及使用已申报的知识产权国际电联对无论是其成员还是建议书制定程序之外的其它机构提出的有关已申报的知识产权的证据有效性或适用性不表示意见至本建议书批准之日止, 国际电联尚未收到实施本建议书可能需要的受专利保护的知识产权的通知但需要提醒实施者注意的是, 这可能并非最新信息, 因此特大力提倡他们通过下列网址查询电信标准化局 (TSB) 的专利数据库 : 国际电联 2006 版权所有未经国际电联事先书面许可, 不得以任何手段复制本出版物的任何部分 ii ITU-T Y.1314 建议书 (10/2005)

际标准化组织 (ISO) 和国际电工技术委员会 (IEC) 合作制定的注本建议书为简明扼要起见而使用的主管部门一词, 既指电信主管部门, 又指经认可的运营机构遵守本建议书的规定是以自愿为基础的, 但建议书可能包含某些强制性条

5 目录页码 1 范围参考文献定义缩写词和缩略语客户机 / 服务器 VPN 客户机 / 服务器的组合 VPN 客户层的透明性对等层 VPN 包 / 路由的过滤加密以太网 VLAN VPN 的功能结构面向连接的 VPN 层网络无连接的 VPN 层网络 VPN 的客户机 / 服务器关系多个 VPN 客户层多个 VPN 服务器层采用分区的 VPN 模型描述 VPN 对等层 VPN 拓扑的支持全互连的 VPN 拓扑部分互连的 VPN 拓扑中心和幅条的 VPN 拓扑 VPN QoS 的考虑电路交换的层网络包交换的层网络客户机 / 服务器 VPN 建立所需要的功能 VPN 服务器层的建立 VPN 客户层的认证 / 配置 VPN 客户层的选路和信令对等层 VPN 建立所需要的功能 VPN 成员关系的发现 CE/ 用户的认证授权和记账 (AAA) VPN 对等层的选路 VPN 对等层网元的配置 VPN 的 OAM 功能故障管理 ITU-T Y.1314 建议书 (10/2005) iii

6 采用分区的 VPN 模型描述... 23 7.7 VPN 对等层... 24 8 VPN 拓扑的支持... 26 8.1 全互连的 VPN 拓扑... 27 8.2 部分互连的 VPN 拓扑... 27 8.3 中心和幅条的 VPN 拓扑... 28 9 VPN QoS 的考虑... 28 9.1 电路交换的层网络.

6 页码 12.2 性能管理 OAM 的激活 / 去激活与各种网络模式相关的故障功能的融合和服务情景客户机 / 服务器 VPN 服务的情景对等层 VPN 的情景 VPN 的安全考虑附录一 VPN 客户层 TCP/TFP 的位置附录二有多个 VPN 服务器层的客户机 / 服务器 VPN 附录三客户机 / 服务器和对等层 VPN 服务情景的举例参考资料 iv ITU-T Y.1314 建议书 (10/2005)

.. 48 14 VPN 的安全考虑... 48 附录一 VPN 客户层 TCP/TFP 的位置.

7 ITU-T Y.1314 建议书虚拟专用网络功能分解 1 范围本建议书描述建立操作和维护客户机 / 服务器和对等层虚拟专用网络 (VPN) 所需要的一组功能网络的功能特性是从网络层的观点来描述的, 它考虑了 VPN 分层的网络结构, 客户特征信息客户机 / 服务器的联系联网拓扑技术和层网络的功能特性建议书采用 ITU-T G.805 和 G.809 建议书介绍的独立于网络技术的模型化方法描述了功能模型 2 参考文献下列 ITU-T 建议书和其它参考文献的条款, 在本建议书中的引用而构成本建议书的条款在出版时, 所指出的版本是有效的所有的建议书和其它参考文献均会得到修订, 本建议书的使用者应查证是否有可能使用下列建议书或其它参考文献的最新版本当前有效的 ITU-T 建议书清单定期出版本建议书引用的文件自成一体时不具备建议书的地位 ITU-T Recommendation G.805 (2000), Generic functional architecture of transport networks. ITU-T Recommendation G.809 (2003), Functional architecture of connectionless layer networks. ITU-T Recommendation G.8010/Y.1306 (2004), Architecture of Ethernet layer networks. ITU-T Recommendation Y.1311 (2002), Network-Based VPNs Generic architecture and service requirements. 3 定义本建议书使用 ITU-T G.805 建议书中定义的如下术语 : 3.1 access point 接入点 3.2 access group 接入群 3.3 adapted information 经过适配的信息 3.4 characteristic information 特征信息 3.5 client/server relationship 客户机 / 服务器关系 3.6 connection 连接 3.7 connection point 连接点 3.8 layer network 层网络 3.9 link 链路 3.10 link connection 链路连接 3.11 matrix 基体 3.12 network 网络 ITU-T Y.1314 建议书 (10/2005) 1

户机 / 服务器的联系联网拓扑技术和层网络的功能特性建议书采用 ITU-T G.805 和 G.

8 3.13 network connection 网络连接 3.14 port 端口 3.15 reference point 参考点 3.16 subnetwork 子网络 3.17 subnetwork connection 子网络连接 3.18 termination connection point 终端连接点 3.19 trail 路径 3.20 trail termination 路径终端 3.21 transport 传送 3.22 transport entity 传送实体 3.23 transport processing function 传送处理功能 3.24 unidirectional connection 单向连接 3.25 unidirectional trail 单向路径本建议书使用 ITU-T G.809 建议书中定义的如下术语 : 3.26 access point 接入点 3.27 access group 接入群 3.28 adapted information 经过适配的信息 3.29 characteristic information 特征信息 3.30 client/server relationship 客户机 / 服务器关系 3.31 connectionless trail 无连接路径 3.32 flow 信流 3.33 flow domain 流域 3.34 flow domain flow 流域信流 3.35 flow point 流接点 3.36 flow point pool 流接点集 3.37 flow termination 信流终端 3.38 flow termination sink 信流终端信宿 3.39 flow termination source 信流终端信源 3.40 layer network 层网络 3.41 link flow 链路信流 3.42 network 网络 3.43 network flow 网络信流 3.44 port 端口 3.45 reference point 参考点 3.46 traffic unit 业务流单元 3.47 transport 传送 3.48 transport entity 传送实体 2 ITU-T Y.1314 建议书 (10/2005)

25 unidirectional trail 单向路径本建议书使用 ITU-T G.809 建议书中定义的如下术语 : 3.26 access point 接入点 3.27 access group 接入群 3.28 adapted information 经过适配的信息 3.

9 3.49 transport processing function 传送处理功能 3.50 termination flow point 终端流接点本建议书使用 ITU-T G.8010/Y.1306 建议书中定义的如下术语 : 3.51 flow domain fragment 流域段本建议书使用 ITU-Y.1311 建议书中定义的如下术语 : 3.52 Layer 1 VPN 第 1 层 VPN 3.53 Layer 2 VPN 第 2 层 VPN 3.54 Layer 3 VPN 第 3 层 VPN 本建议书定义了如下术语 : 3.55 VPN client layer network VPN 客户层网络 : 客户机 / 服务器 VPN 中的一个拓扑构件, 它代表了同类型的一组接入点, 它们为传送 VPN 客户层的特征信息而相互关联 3.56 VPN server layer network VPN 服务器层网络 : 客户机 / 服务器 VPN 中的一个拓扑构件, 它代表了同类型的一组接入点, 它们为传送适配的 VPN 客户层信息而相互关联 3.57 VPN peer layer network VPN 对等层网络 : 为一个拓扑构件, 它代表了同类型的一组接入点, 它们为传送 VPN 对等层的特征信息而相互关联 4 缩写词和缩略语本建议书使用如下缩写词和缩略语 : AAA AAL AG AI AIS AP ASON ATM BFD BGP CAC CBR CC CE CI CL-PS CO-CS CO-PS 认证授权和记账 ATM 适配层接入群经过适配的信息告警指示信号接入点自动交换光网络异步传送模式双向转发检测边界网关协议连接允许控制恒定比特率连通性检查客户边缘特征信息无连接包交换面向连接的电路交换面向连接的包交换 ITU-T Y.1314 建议书 (10/2005) 3

55 VPN client layer network VPN 客户层网络 : 客户机 / 服务器 VPN 中的一个拓扑构件, 它代表了同类型的一组接入点, 它们为传送 VPN 客户层的特征信息而相互关联 3.

10 CP CV DHCP DLCI DSCP DWDM EBGP E-LMI ES FDF FDFr FDI FP FPP FR FT FTP GRE IGP IKE IPv4 IPv6 ISIS L2TP LDP LF LMI LOC LOS LSP MAC MP2P MP-BGP MPLS MTU NE NF 连接点连通性检验动态主机配置协议数据链路连接识别码差别服务编码点密集波分复用外部边界网关协议外部的 LMI 末端系统流域信流流域段转发差错指示流接点流接点集帧中断信流终端信流终接点一般性选路包装内部网关协议互联网密钥交换网际协议第 4 版网际协议第 6 版中间系统到中间系统第二层隧道协议标签分配协议链路信流本地管理接口失去连续性失去信号标签交换通道媒体接入控制多点到点多协议 BGP 多协议标签交换最大传输单元网络实体网络信流 4 ITU-T Y.1314 建议书 (10/2005)

接点流接点集帧中断信流终端信流终接点一般性选路包装内部网关协议互联网密钥交换网际协议第 4 版网际协议第 6 版中间系统到中间系统第二层隧道协议标签分配协议

11 NMS 网络管理系统 NSAP 网络服务接入点 OAM 操作管理和维护 OOB 带外 OSI 开放系统互连 OSPF 首先打开最短路径 OSS 操作支撑系统 P 提供商 ( 节点 ) P2P 点到点 P2MP 点到多点 PCR 峰值信元速率 PE 提供商边缘 PM 性能监测 PNNI 专用的网络到网络接口 PHP 在倒数第二跳弹出 PM 性能监测 PW 伪线 QoS 服务质量 RADIUS 远程认证拨入用户服务 RIP 选路信息协议 RPR 弹性数据包环网 RMON 远程监测 RSVP-TE 有业务量工程扩展的资源预留协议 SCR 持续的信元速率 SDH 同步数字系列 SES 严重误码秒 SLA 服务水平协定 SNC 子网络连接 SNMP 简单网络管理协议 SONET 同步光网络 SPVC 交换的永久虚电路 SSL 安全套接层 STP 生成树协议 SVC 交换的虚电路 TCP 终端连接点 TDM 时分复用 TFP 终端流接点 ITU-T Y.1314 建议书 (10/2005) 5

弹性数据包环网 RMON 远程监测 RSVP-TE 有业务量工程扩展的资源预留协议 SCR 持续的信元速率 SDH 同步数字系列 SES 严重误码秒 SLA 服务水平协定 SNC 子网络连接 SNMP 简单网络管

12 TTL TTSI UNI VC VCCV VCI 生存时间路径终端信源识别码用户网络接口虚电路 / 通道虚电路连通性检验虚通道识别码 VLAN 虚拟局域网 ( 络 ) VPI 虚通路识别码 VPN 虚拟专用网 ( 络 ) WDM 波分复用 5 客户机 / 服务器 VPN 客户机 / 服务器 VPN 有一个两层的体系, 在此使用一个 VPN 的服务器层网络来支持一或多个 VPN 的客户层网络 ITU-T Y.1311 建议书依据 VPN 服务类型和 VPN 的传送描述了客户机 / 服务器 VPN, 在此, 术语 VPN 服务类型是指 VPN 的客户层, 而 VPN 传送是指 VPN 的服务器层不同的 VPN 服务 ( 客户机 ) 和传送 ( 服务器 ) 的类型在 ITU-T Y.1311 建议书中进行了分类, 如下面表 5-1 所示表 5-1/Y.1314 Y.1311 服务类型服务类型描述第 1 层第 2 层第 3 层在属于同一 VPN 的客户站点提供物理层服务连接可以是基于物理端口光波长 SDH/SONET VC 频率信道或者时隙在属于 VPN 的客户节点之间提供数据链路层的服务用户数据包的转发是基于数据包数据链路层包头中的信息 ( 如 DLCI ATM VCI/VPI 或 MAC 地址 ) 在属于 VPN 的客户节点之间提供网络层的服务用户数据包的转发是基于第 3 层包头中的信息 ( 如 IPv4 或 IPv6 的目的地地址 ) ITU-T Y.1311 建议书使用的分类方法有一个缺点, 用这种方法 MPLS 无法放入到这些类别中的任何一类, 因而必须作为一个独特的层网络技术来处理另一个缺点是 : 从功能的观点, 同一层的网络技术可以具有很不相同的特征和要求例如以太网和 ATM, 两者都是第 2 层技术 ; 然而, 以太网是基于广播的无连接技术, 而 ATM 是面向连接的非广播技术 6 ITU-T Y.1314 建议书 (10/2005)

1311 建议书依据 VPN 服务类型和 VPN 的传送描述了客户机 / 服务器 VPN, 在此, 术语 VPN 服务类型是指 VPN 的客户层, 而 VPN 传送是指 VPN 的服务器层不同的 VPN 服务 ( 客户机 ) 和传送 ( 服务器 ) 的类型在 ITU-T Y.

13 对网络技术分类的另一种方法是依据它们所属的网络模式来分类所有网络技术都可以映射到三种模式中的一种 : 无连接包交换的 (CL-PS) 面向连接包交换的 (CO-PS) 和面向连接电路交换的 (CO-CS) 各种模式的功能要求是不同的, 因为各种模式具有不同的特征表 5-2 显示了 VPN 网络层技术的例子及它们所属的模式表 5-2/Y 网络的操作模式及其例子操作模式例子无连接包交换 IP, 以太网,MPLS MP2P ( 注 1) 面向连接的包交换面向连接的电路交换帧中继,MPLS P2P/P2MP ( 注 2),ATM SDH/SONET,TDM 注 1 MPLS 多点到点 (MP2P)LSP 是直接跨越相邻的 LDP 同层实体采用工作于下游主动或有序控制方式的 LDP 建立的注 2 MPLS 点到点 (P2P) 或点到多点 (P2MP)LSP 是跨越 RSVP-TE 同层实体采用 RSVP-TE 来建立的, 或者 P2P LSP 是在非相邻的 LDP 同层实体之间采用对准目标 / 直接的 LDP 来建立的 5.1 客户机 / 服务器的组合基于三种网络模式有九种可能的客户机 / 服务器组合, 尽管某种组合比其他的更为兼容表 5-3 描述了可能的客户机 / 服务器组合, 并提供了它们间兼容性的一些信息一个 VPN 服务器层网络必须支持复用 / 去复用, 以便在多个 VPN 客户层之间提供数据平面的分割 VPN 服务器层还必须支持客户业务流的适配, 这种适配是客户机 / 服务器特定的, 并取决于 VPN 客户层和服务器层网络的模式和所采用的特定技术承载于包交换 VPN 服务器层上的电路交换 VPN 客户的一个重要的适配要求是 : 这种适配功能必须提供速率去耦 ( 即空闲填充 ) 和 VPN 客户层数据包的定界在客户机 / 服务器都为包交换 (CO 或 CL) 情况下的关键要求是 : 如果 VPN 服务器层的业务流单位 ( 即数据包的 MTU) 小于 VPN 客户层的业务流单位, 适配功能必须支持分段和排序依据所采用的特定的 VPN 客户机 / 服务器技术还可能需要其他的适配功能, 包括编码速率改变和对齐 ITU-T Y.1314 建议书 (10/2005) 7

1314- 网络的操作模式及其例子操作模式例子无连接包交换 IP, 以太网,MPLS MP2P ( 注 1) 面向连接的包交换面向连接的电路交换帧中继,MPLS P2P/P2MP ( 注 2),ATM SDH/SONET,TDM 注 1 MPLS 多点到点 (MP2P)LSP 是直接跨越相邻

14 表 5-3/Y 网络客户机 / 服务器操作模式的组合 CL-PS VPN 客户层 CO-PS VPN 客户层 CO-CS VPN 客户层 CL-PS VPN 服务器层理想情况, 虽然要提供逐个流传递的保证会在确定比例上带来挑战一个并不提供逐个流传递保证的通常做法是采用过量配置和基于等级的优先级队列 ( 来管理任意点之间突发的业务量和拥塞 ) 例子 : 一个以太网的服务器层支持一个 IP 的客户层提供逐个流传递的保证会在确定比例上带来挑战一个并不提供逐个流传递保证的通常做法是采用过量配置和基于等级的优先级队列 VPN 客户层必须能对失去顺序的业务流单元进行恢复 ( 由于服务器层对数据包重新定序的可能性 ) 例子 : 一个 IP 服务器层支持一个 ATM 的客户层提供逐个流传递的保证会在确定比例上带来挑战一个并不提供逐个流传递保证的通常做法是采用过量配置和基于等级的优先级队列恢复时钟定时是技术上的挑战 VPN 客户层必须能对失去顺序的业务流单元进行恢复例子 : 一个 IP 服务器层支持一个 TDM 的客户层 CO-PS VPN 服务器层对于按需建立并具有很短保持时间的 VPN, 有一个与保持连接, 也即 SPVC 的状态相联系的开支例子 : 一个 ATM 的服务器层支持一个 IP 的客户层理想的例子 : 一个 P2P MPLS 的服务器层支持一个 ATM 的客户层恢复时钟定时是技术上的挑战例子 : 一个 ATM 的服务器层支持一个 TDM 的客户层 CO-CS VPN 服务器层在汇聚点之间没有统计复用在递增过程中永久分配的带宽会导致很差的网络利用率对于按需建立并具有很短保持时间的 VPN, 连接建立的响应时间缓慢例子 : 一个 SDH 的服务器层支持一个以太网的客户层在汇聚点之间没有统计复用在递增过程中永久分配的带宽会导致很差的网络利用率对于按需建立并具有很短保持时间的 VPN, 连接建立的响应时间缓慢例子 : 一个 ATM 的服务器层支持一个 TDM 的客户层理想的例子 : 一个光服务器层 ( 例如一个 DWDM 信道 ) 支持一个 SDH/SONET 客户层 8 ITU-T Y.1314 建议书 (10/2005)

采用过量配置和基于等级的优先级队列 ( 来管理任意点之间突发的业务量和拥塞 ) 例子 : 一个以太网的服务器层支持一个 IP 的客户层提供逐个流传递的保证会在确定比例上带来挑战一个并不提供逐个流传递保证的通常做法是采

15 5.2 VPN 客户层的透明性在一个客户机 / 服务器 VPN 中, 属于 VPN 客户层网络的功能构件 ( 如选路信令 OAM 管理等 ) 应该完全独立于 VPN 服务器层网络的功能构件虽然有可能对客户机 / 服务器 VPN 的解决方案进行设计, 使 VPN 服务器层网络的功能构件能与 VPN 客户层网络的功能构件进行互动, 但这一做法会导致一系列不希望的结果, 例如 : 1) 如果客户对 VPN 客户层网络的任何功能构件进行改动,VPN 的服务会破坏 2) VPN 服务提供商需要跟踪客户的 VPN 客户层技术的发展, 并在它的网络中实现相应的升级 3) 在出现差错的情况下, 要确定这差错是在 VPN 客户层网络还是 VPN 服务器层网络将变得很困难既然要求 VPN 客户层和服务器层网络能相互独立地运行, 自然地需要 :VPN 服务器层应该透明地传送 VPN 的客户层例如, 如果 VPN 客户层网络是 ATM,VPN 的客户层网络可以实现一些特有的特性 ( 例如 AAL 非 PNNI 的选路和信令 OAM), 这些特性如果不能透明地运送, 将破坏 VPN 服务客户层透明性不仅仅是一个技术要求, 它还同时具有商业意义, 因为 VPN 服务提供商很可能会认为它的网络的一些细节是商业敏感的, 因而希望将这些细节对 VPN 的客户层网络隐藏起来例如在上述例子中, VPN 的服务器层网络将不希望成为 VPN 客户层网络选路和信令的对等体 6 对等层 VPN 在第 5 节中 VPN 的拓扑是基于 VPN 客户层和 VPN 服务器层之间的客户机 / 服务器关系在这个客户机 / 服务器的 VPN 模型中,VPN 服务器层的信源适配功能将 VPN 客户层的 CI 适配成 VPN 服务器层的 AI, 同时 VPN 服务器的信宿适配功能将 VPN 服务器层的 AI 适配成 VPN 客户层的 CI 用基本的术语来讲, 这种适配是指用 VPN 服务器层的帧 / 信号来包装客户层的帧 / 信号然而不是所有的 VPN 拓扑都基于这客户机 / 服务器的模型 VPN 也可以采用 CL-PS 网络技术, 基于另一种模型来提供, 在此 VPN 在共享区域内可通达性的隔离是通过客户机 / 服务器包装以外的其他手段来实现的本建议书称这种类型的 VPN 为对等层的 VPN 术语对等层是指 : 提供商是在它接收客户数据包的同一个网络层上跨越它共享的基础设施来传送客户的 VPN 数据包的这并不涉及客户 / 提供商控制平面的对等关系, 客户与提供商可以在控制平面中相互对等, 而不论 VPN 的类型如何只有 CL-PS 的网络模式支持这种类型的 VPN, 因为在 CO-PS 和 CO-CS 的情况下, 面向连接的特性在技术上会强制可通达性的隔离, 也即 NE 只能与属于同一 P2P 或 P2MP 连接的 NE 进行通信为了支持跨越共享区域的 VPN, 所用的网络技术必须有某种能确保 VPN 隔离的手段, 也即 NE 必须只能和属于同一 VPN 的其他 NE 进行通信, 或者只能对属于同一 VPN 的 NE 的数据包进行解密 ITU-T Y.1314 建议书 (10/2005) 9

层技术的发展, 并在它的网络中实现相应的升级 3) 在出现差错的情况下, 要确定这差错是在 VPN 客户层网络还是 VPN 服务器层网络将变得很困难既然要求 VPN 客户层和服务器层网络能相互独立地运行, 自然地需要 :VPN 服务器层应

16 6.1 包 / 路由的过滤跨越共享区域实现 VPN 隔离的一种方法是与由多个客户共享的 PE 一起使用包过滤采用这种方法, 服务提供商网络中的所有节点知道客户的所有路由它们包括提供商面向客户站点的边缘 (PE) 节点和核心网中的提供商节点 (P) 在这一体系下,PE 节点由不同的客户共享服务提供商将一部分它的地址空间分配给一个客户, 并在 PE 路由器上对包过滤器进行管理, 来确保一个客户站点之间的可通达性和客户之间的隔离为了克服需要在逐个客户逐个站点的基础上保持相一致的路由表和包过滤器, 另有一种方法是与专用的 PE 一起, 即一个 VPN 一个 PE, 实施基于路由过滤的解决方案, 而不是包过滤在这一架构下,P 节点具备所有客户的路由, 但 PE 节点仅具有单个客户的路由客户路由的隔离由路由过滤来实现 PE 节点将配置路由过滤器, 它只允许客户知道属于它们的有关路由边界网关协议 (BGP) 是提供商骨干网络中为此而通常使用的协议的一个例子, 原因是它的多功能路由过滤工具路由过滤的一种替代方法是为每一个 VPN 使用不同选路协议的实例然而采用这种方法, 由于 P 节点只能支持有限数量的选路协议实例以及管理多协议实例在操作上的复杂性, 共享的网络将只能支持小量的 VPN 为了克服需要为每一个 VPN 使用一个不同的 PE 节点, 一个替代的方法是使用虚拟路由器 (VR) 用这种方法, 一个物理节点在实际上将被划分为一些虚拟的路由器可以将一个 ( 或几个 ) 虚拟路由器分配给一个特定客户这样, 一个节点可以为多个用户提供相分割的选路实例一个单独的虚拟路由器的表现就像分别的专用于一个特定 VPN 的 PE 节点正如路由过滤方法那样,P 节点包含所有客户的路由, 因而需要在 PE 进行路由过滤加密代替包 / 路由过滤的另一种选择是与包加密相结合在连接到共享基础设施的所有客户之间提供全通达性包加密将确保 : 在客户从一个不是他们所属的 VPN 接收到数据包时, 他们得不到包中所包含的信息客户可以在业务流经由共享网络送出之前对 VPN 数据包加密, 管理 VPN 由客户负责用这种方法, 在服务提供商网络内, 业务流将同任何其他的 IP 业务流一样进行选路, 服务提供商看不到隧道之内的东西服务提供商网络也不需要以任何专门的方式进行配置换一种做法,VPN 数据包也可以在提供商的共享网络的边缘用提供商管理的设备 ( 即 PE 或提供商管理的 CE) 进行加密用这种方式, 提供商将负责管理 VPN 1 这一方法的自然演化是使用 MPLS 或其他的隧道方法, 使得 VPN 特定的路由不必要保存于骨干路由器中然而, 这样将形成为客户机 / 服务器拓扑, 因而这种方法适用于第 5 节, 而不是本节 10 ITU-T Y.1314 建议书 (10/2005)

个站点的基础上保持相一致的路由表和包过滤器, 另有一种方法是与专用的 PE 一起, 即一个 VPN 一个 PE, 实施基于路由过滤的解决方案, 而不是包过滤在这一架构下,P 节点具备所有客户的路由, 但 PE 节点仅具有单个客户的路由客户

17 支持加密架构的一个例子是 RFC 2401 网际协议安全架构 (IPsec) IPsec 定义密码算法认证和密 2 钥管理程序, 可用于 IPsec 网关 / 客户之间建立安全的 IP 业务流隧道 IPsec 在信息跨越共享的基础设施时保证 VPN 中的保密完整性和对数据源点的鉴别 IPsec 对于跨越像互联网那样的公众网络提供 VPN, 用于站点到站点或远程接入的 VPN, 是特别有用的 IPsec 的功能特性可以由 PE CE 或末端的用户装置 ( 例如执行 IPsec 客户程序的膝上型电脑 ) 来提供安全套接层 (SSL)VPN 是使用加密来提供逐个 VPN 隔离的另一类 VPN SSL VPN 的典型使用是允许用户经由互联网安全地接入应用和文档这一方法的优点是不需要对末端的用户系统在配置上做任何修改, 只需要支持标准的应用 ( 如 Web 浏览, 电子邮件客户端等 ) 即可同样地对于 VPN 对等层,SSL VPN 是透明的 ( 由于加密是在应用层进行 ), 因而为了支持 SSL VPN, 不需要对选路 / 交换节点进行配置 6.3 以太网 VLAN 标准 IEEE 802.1Q 定义了虚拟 LAN(VLAN) 网桥的操作, 它允许在桥接 LAN 的基础设施内对虚拟 LAN 的拓扑进行定义操作和管理 VLAN 使得位于多个物理的 LAN 段上的端站能进行通信, 就好像它们是连接在同一个 LAN 段上一样末端用户和集线器 / 交换机可以通过改变 VLAN 的配置移动到不同的 VLAN 中, 配置在它们所连接的符合 802.1Q 的交换装置的端口 / 接口上进行广播和组播帧将受 VLAN 边界的限制, 使得端站只能接收来自它们所属的 VLAN 的广播 / 组播帧这一点, 与如何学习 MAC 地址的机制一起, 将确保只有属于同一个 VLAN 的端站可以相互通信, 因而可以考虑是同一个 VPN 的成员对于跨越共享的基础设施的属于不同的 VLAN 的帧, 业务流的分离是通过在每个帧中插入带有 VLAN 识别码 (VID) 的标记来实现的对每一个 VLAN 必须分配一个 VID(1 至 4 096), 它在同一个物理基础设施内必须是全局地惟一的这一方法的缺点之一是 : 客户在它们自己的网络中也使用 VLAN, 这会带来 VID 的分配和限制问题为了解决这一问题, 可以在进入提供商网络的客户的带有 IEEE 802.1Q 标记的数据包上附加第二个标记 (IEEE 802.1ad 中定义的 Q-in-Q) 这就分开了提供商的 VLAN 空间和客户的 VLAN 空间, 允许客户使用它们要用的任何 VID 3 2 密钥是控制加密 / 解密算法操作的信息片 3 另一个选项是使用 MAC-in-MAC 方法 ( 如 IEEE 802.1ah 所定义的 ), 在此提供商在客户数据包上附加第二个以太网包头然而这一选项建立的是一个客户机 / 服务器 VPN 而不是一个对等层 VPN, 因为客户帧是包装在一个提供商的帧之内 ITU-T Y.1314 建议书 (10/2005) 11

接层 (SSL)VPN 是使用加密来提供逐个 VPN 隔离的另一类 VPN SSL VPN 的典型使用是允许用户经由互联网安全地接入应用和文档这一方法的优点是不需要对末端的用户系统在配置上做任何修改, 只需要支持标准的应用 ( 如 Web 浏

18 7 VPN 的功能结构出自 ITU-T Y.1311 建议书的 VPN 参考模型如图 7-1 所示图 7-1/Y.1314-ITU-T Y.1311 建议书的 VPN 参考模型这一模型虽然显示了物理拓扑和不同的网络构件, 但它并没有显示不同的 VPN 服务器层和客户层的拓扑或层间适配功能的位置另一种表达客户机 / 服务器 VPN 网络的方法是使用功能模型面向连接的 (CO-PS/CO-CS) 和无连接的 (CL-PS) 的层网络的功能结构可以分别采用 ITU-T G.805 建议书传送网络的一般性功能结构和 ITU-T G.809 建议书无连接层网络的功能结构来描述 ITU-T G.805 和 G.809 建议书提供了一种一般化的方法从功能的和结构体系的观点将网络模型化定义的术语是独立于技术的, 可用于描述给定的任何一种网络的物理和拓扑构件由于可以对整个网络的视图做模型描述, 从管道中的光纤直到在上面运行的 VPN 服务, 这对于网络的盘点和管理将是特别有用的一个 VPN 网络可以分解为一系列独立的层网络, 相邻的层网络间具有客户机 / 服务器关系正如 ITU-T G.805 建议书所说明的, 采用功能模型定义的层网络不应该与开放系统互连 (OSI) 模型 (ITU-T X.200 建议书 ) 中的层相混淆 OSI 模型中的每一个层提供特定的功能, 为每一个层定义的协议执行对应于那个层的特定功能, 例如传送层 ( 第 4 层 ) 从会晤层接受数据, 将它传送给提供端到端传递服务的网络层与之相反, 基于 ITU-T G.805 或 G.809 建议书的功能模型中的每一个层网络提供的是同样的服务, 也即在输入和输出之间进行比特 / 帧的传送通常地采用了抽象, 将细节隐藏起来, 而关注于感兴趣的层 / 构件, 但网络可以模型化直到网元, 例如以太网交换机铜线对 SDH 交叉连接等 12 ITU-T Y.1314 建议书 (10/2005)

(CO-PS/CO-CS) 和无连接的 (CL-PS) 的层网络的功能结构可以分别采用 ITU-T G.805 建议书传送网络的一般性功能结构和 ITU-T G.809 建议书无连接层网络的功能结构来描述 ITU-T G.805 和 G.

19 7.1 面向连接的 VPN 层网络 VPN 客户层和服务器层网络, 各自有其自己的连通性的输入和输出组, 称为接入点 (AP) 它们可以相互关联从输入到输出跨越层网络来透明地传送信息对于 CO 层网络,AP 之间关联的有效拓扑构造是点到点 (P2P) 和点到多点 (P2MP) VPN 服务器层的 AP 标志着 VPN 服务器层和客户层网络之间的功能性边界从 VPN 服务器层的观点, 一个 VPN 服务器层的 AP 代表了可以支持路径的一个选路的目的地从 VPN 客户层的观点, 一个 VPN 服务器层的 AP 代表了可能获得链路能力的一个点 CO 网络层中的功能构件和参考点已示意于图 7-2 中图 7-2/Y.1314-CO 的功能构件和参考点连接是 CO 层网络中的传送实体, 它由一对相关联的单向连接组成, 两者能在相反方向上在它们各自的输入和输出之间同时传送信息网络连接是 CO 层网络中的传送实体, 它由终端连接点 (TCP) 之间一系列邻接的链路连接和 / 或子网络连接构成子网络是 CO 层网络中的一种拓扑构件, 用于实现特定特征信息的选路 ; 子网络在单个 CO 网络层中包含有一组与管理功能相关联的点子网络连接能跨越子网络传送信息, 它由子网络边界上的端口 ( 路径终端信源的输出 / 路径终端信宿的输入 ) 之间的联合所构成链路连接互连拓扑上相邻接的子网络, 它们具有共同的点的子集链路连接的输入被连到另一个链路连接输出的点是连接点 (CP) CO 层网络中一个路径终端的信源输出被连接到网络连接输入的点是信源 TCP, 而路径终端的信宿输入被连接到网络连接输出的点是信宿 TCP CP 和 TCP 都具有与它们相关联的管理对象, 因而有可能为了管理的需要而将属于同一 VPN 的 TCP 和 CP 点组合在一起 ITU-T Y.1314 建议书 (10/2005) 13

的 AP 代表了可能获得链路能力的一个点 CO 网络层中的功能构件和参考点已示意于图 7-2 中图 7-2/Y.

20 7.2 无连接的 VPN 层网络与 CO 层网络不同,CL 层网络支持多点到多点 (MP2MP) 或任意到任意的拓扑 CL 层网络使用信流, 而不是连接, 它们是一个或多个具有共同选路项的业务流单元的集合信流可以是单向的或双向的, 双向信流由方向相反的两个单向信流所组成网络信流是 CL 层网络的一个传送实体, 它由终端流接点 (TFP) 之间一系列邻接的信流构成 CL 层网络的功能构件和参考点如图 7-3 所示图 7-3/Y.1314-CL 的功能构件和参考点流域是 CL 层网络的一个拓扑构件, 用于实现特定特征信息的选路流域信流是跨越流域传送信息的传送实体, 它由流域边界上的端口间的联合所构成流域在单个 CL 网络层中包含有一组与管理功能相关联的点链路信流互连拓扑上相邻接的流域, 它们具有共同的点的子集链路信流的输入被连到另一个链路信流输出的点是流接点 (FP) CL 层网络中一个无连接路径终端的信源输出被连接到网络信流输入的点是信源 TFP, 而无连接路径终端的信宿输入被连接到网络信流输出的点是信宿 TFP 和 CO 情况下的 CP 和 TCP 一样, 在 CL 情况下,FP 和 TFP 都具有与它们相关联的管理对象, 因而有可能为了管理的需要而将属于同一 VPN 的 TFP 和 FP 点组合在一起 7.3 VPN 的客户机 / 服务器关系从功能的角度, 一个 VPN 客户层网络是客户机 / 服务器 VPN 中的一个拓扑构件, 它代表了同一类型, 为了传送 VPN 客户层特征信息而相关联的一组接入点, 这些接入点受 VPN 服务器层路径或无连接路径的支持 VPN 客户层连接 / 信流的信源 / 信宿 TCP/TFP 可以位于 CE 节点, 或者在客户网络其他的节点 / 末端系统中例如 ATM VPN 客户层的 TCP 很可能位于 CE 节点, 而以太网 VPN 客户层的 TFP 很可能位于末端用户的计算机或服务器中从客户的角度,VPN 客户信流 / 连接的 TFP/TCP 的位置是重要的, 因为这是客户网络中 VPN 客户层和更高层之间必须进行适配的地点从 OAM 的角度, 它同样是重要的, 因为它是与 VPN 客户层信流 / 连接相关联的路径 / 无连接路径的信源和信宿 AP 的所在地 TFP/TCP 位于不同地点的客户机 / 服务器 VPN 的例子已在附录一中提供 14 ITU-T Y.1314 建议书 (10/2005)

1314-CL 的功能构件和参考点流域是 CL 层网络的一个拓扑构件, 用于实现特定特征信息的选路流域信流是跨越流域传送信息的传送实体, 它由流域边界上的端口间的联合所构成流域在单个 CL 网络层中包含有一组与管理功能相关联

21 一个 VPN 服务器层网络是客户机 / 服务器 VPN 中的一个拓扑构件, 它代表了为了给一个或多个 VPN 客户层信流或连接传送经适配的客户层信息而相关联的同一类型的一组接入点 VPN 服务器层包含有信源 / 信宿的适配功能, 它们将 VPN 客户层的特征信息适配成 VPN 服务器层中经过适配的信息或反之 VPN 的客户层和服务器层可以属于同一种模式 ( 即客户层和服务器层都是 CO, 或者都是 CL), 但两种模式的组合也是可能的, 也即 CO 的 VPN 服务器层可以支持 CL 的客户层, 同样 CL 服务器层也可以支持 CO 的客户层图 7-4 显示了支持 CL VPN 客户层的一个 CL VPN 服务器层的例子, 它从功能的角度出发, 并基于图 7-1 所示的 ITU-T Y.1311 建议书网络模型的物理拓扑这一模型中的底层是 VPN 服务器层, 顶层是 VPN 客户层为了简便起见, 图中仅示意了 VPN 的客户机 / 服务器层, 客户的高于 VPN 客户层的客户层以及低于 VPN 服务器层的服务器层并没有显示在这一例子中 VPN 服务器层是 CO( 例如 ATM), 而 VPN 的客户层是 CL ( 例如以太网 ), 尽管 CO 或 CL 对的任何组合都是可能的图 7-4/Y 客户机 / 服务器 VPN 的功能模型图 7-4 突出显示了哪些功能和网络参考点存在于哪个网元 ( 即 CE PE 或 P 节点 ) 中, 由此显示了功能模型与图 7-1 中的网络图形之间的联系 CE 和 P 节点分别属于 VPN 的客户层和服务器层, 而 PE 节点同时属于这两个层在 VPN 客户层中的 TFP 标识 P2P VPN 客户层信流从哪里 ( 在本例中即从那个 CE 节点 ) 开始 ( 它的信源 ) 和终结 ( 它的信宿 ), 而 FP 标识 P2P 信流要通过哪些 PE 节点类似地,VPN 服务器层中的 TFP 标识 VPN 服务器层连接的信源和信宿, 而 FP 标识信流要通过哪些 P 节点 VPN 服务器层中的 AP 标识 VPN 服务器层路径的信源 / 信宿随后的子节将采用功能模型对 4 种可能的客户机 / 服务器 VPN 组合进行逐一的介绍, 并描述客户机 / 服务器 VPN 适配功能的作用 ITU-T Y.1314 建议书 (10/2005) 15

22 7.3.1 由 CO VPN 服务器层支持 CO VPN 客户层由 CO VPN 服务器层网络支持的一个 CO VPN 客户层网络的例子如图 7-5 所示图 7-5/Y 具有 CO VPN 客户机的 CO VPN 服务器层在这一例子中,CO VPN 客户层连接是由 CO VPN 服务器层路径来支持的 CO VPN 服务器层的信源适配功能将 CO VPN 客户层的特征信息 (CI) 适配成 CO VPN 服务器层中经过适配的信息 (AI) CO VPN 服务器层的信宿适配功能将 CO VPN 服务器的 AI 适配成 CO VPN 客户层的 CI 16 ITU-T Y.1314 建议书 (10/2005)

23 7.3.2 由 CL VPN 服务器层支持 CL VPN 客户层由 CL VPN 服务器层网络支持的一个 CL VPN 客户层网络的例子如图 7-6 所示图 7-6/Y 具有 CL VPN 客户机的 CL VPN 服务器层在这一例子中,CL VPN 客户层信流是由 CL VPN 服务器层无连接路径来支持的 CL VPN 服务器层的信源适配功能将 CL VPN 客户层的特征信息 (CI) 适配成 CL VPN 服务器层中经过适配的信息 (AI) CL VPN 服务器层的信宿适配功能将 CL VPN 服务器的 AI 适配成 CL VPN 客户层的 CI ITU-T Y.1314 建议书 (10/2005) 17

24 7.3.3 由 CL VPN 服务器层支持 CO VPN 客户层由 CL VPN 服务器层网络支持的一个 CO VPN 客户层网络的例子如图 7-7 所示图 7-7/Y 具有 CO 客户机的 CL VPN 服务器层在这一例子中,CO VPN 客户层连接是由 CL VPN 服务器层无连接路径来支持的 CL VPN 服务器层的信源适配功能将 CO VPN 客户层的特征信息 (CI) 适配成 CL VPN 服务器层中经过适配的信息 (AI) CL VPN 服务器层的信宿适配功能将 CL VPN 服务器的 AI 适配成 CO VPN 客户层的 CI 18 ITU-T Y.1314 建议书 (10/2005)

25 7.3.4 由 CO VPN 服务器层支持 CL VPN 客户层由 CO VPN 服务器层网络支持的一个 CL VPN 客户层网络的例子如图 7-8 所示图 7-8/Y 具有 CL 客户机的 CO VPN 服务器层在这一例子中,CL VPN 客户层信流是由 CO VPN 服务器层路径来支持的 CO VPN 服务器层的信源适配功能将 CL VPN 客户层的特征信息 (CI) 适配成 CO VPN 服务器层中经过适配的信息 (AI) CO VPN 服务器层的信宿适配功能将 CO VPN 服务器的 AI 适配成 CL VPN 客户层的 CI 7.4 多个 VPN 客户层本节中到此为止的例子中, 端到端使用的都是单个的 VPN 客户层但情况并不总是这样, 一个客户可能愿意在 VPN 的一侧使用 VPN 的一个客户层类型, 而在 VPN 的另一侧使用不同的 VPN 客户类型例如在一侧,VPN 的客户层可能是 IP, 而在另一侧可能是 MPLS, 或者在一侧是帧中继 (FR), 另一侧是 ATM 在这样的情况下, 两个不同的 VPN 客户层网络必须在对等层的基础上进行联网应该注意 : 这里使用的术语 VPN 客户层网络是指客户机 / 服务器 VPN 中的一个拓扑构件, 它代表为传送 VPN 客户层 CI 而相关联的同类型的一组接入点它并不是第 1 层第 2 层和第 3 层意义上的网络分层, 也即在 VPN 客户层上要互通的两种技术可以都是第 2 层技术 ( 例如一个可能是 ATM, 另一个是 FR), 但它们被认为是不同的层网络, 因为它们包含不同的接入点, 这些接入点是不同类型的 ITU-T Y.1314 建议书 (10/2005) 19

26 互通功能可以处于 VPN 服务器层信源适配功能之前, 或者在 VPN 服务器层信宿适配功能之后图 7-9 显示了客户机 / 服务器 VPN 网络的物理拓扑, 它在 VPN 的各侧使用了不同的 VPN 客户层图 7-9/Y.1314-VPN 客户机对等层互通的物理拓扑图 7-10 依据图 7-9 的物理拓扑, 提供了对等层 VPN 客户机互通的一般性功能模型, 在此互通功能处于 VPN 服务器层信源适配功能之前图 7-10/Y.1314-VPN 客户机对等层的互通 ( 在 VPN 服务器信源适配之前 ) 在这一模型中两个异构的 VPN 客户层是 VPN 客户层 X 和 VPN 客户层 Y 在这一例子中,PE 执行互通功能, 但它也可以用单独的装置来执行互通功能将 VPN 客户层 X 的 CI 转换为 VPN 客户层 Y 的 CI VPN 服务器层的信源适配功能将 VPN 客户层 Y 的 CI 适配到 VPN 服务器层的 AI, 而 VPN 服务器层的 AI 跨越 VPN 服务器层路径进行发送在 VPN 服务器层的信宿, 适配功能将 VPN 服务器层的 AI 适配到 VPN 客户层 Y 的 CI 作为例子, 假如 VPN 客户层 X 是 FR, 而 VPN 客户层 Y 是 ATM, 那么信源 PE 将把 FR 的业务流转换成 ATM 的业务流 ( 例如使用 FRF.8), 同时 VPN 客户层业务流将作为 ATM 运载于 VPN 的服务器层 20 ITU-T Y.1314 建议书 (10/2005)

27 图 7-11 提供了对等层 VPN 客户互通的一般性功能模型, 在此互通功能处于 VPN 服务器层信宿适配功能之后图 7-11/Y.1314-VPN 客户机对等层的互通 ( 在 VPN 服务器信宿适配之后 ) VPN 服务器层的信源适配功能将 VPN 客户层 X 的 CI 适配到 VPN 服务器层的 AI, 而 VPN 服务器层的 AI 跨越 VPN 服务器层路径进行发送在 VPN 服务器层的信宿, 适配功能将 VPN 服务器层的 AI 适配到 VPN 客户层 X 的 CI 互通功能将 VPN 客户层 X 的 CI 转换为 VPN 客户层 Y 的 CI 如果 VPN 客户层 X 是 FR, 而 VPN 客户层 Y 是 ATM, 那么 VPN 客户层业务流将作为 FR 运载于 VPN 的服务器层, 并由信宿 PE 转换成 ATM 7.5 多个 VPN 服务器层在前面的例子中, 端到端使用单个的 VPN 服务器层来跨越提供商网络支持 VPN 的客户层但情况并不总是这样, 例如一个提供商由于网络覆盖的不足, 用单个 VPN 服务器层有可能不能提供端到端的连通性, 或者一个 VPN 客户层可能需要跨越多个提供商网络在这些情况下, 将需要多个 VPN 服务器层依据特定的网络技术和提供商设备的互通能力, 分别的 VPN 服务器层可以在对等层的基础上进行互通, 或者在客户机 / 服务器的基础上与 VPN 客户互通尽管使用多个 VPN 服务器层是可能的, 但在考虑使用多个 MPLS VPN 服务器层时有一些因素需要考虑要考虑的因素具体取决于所需互通的类型和要用的 VPN 服务器层技术在附录二中提供了多个服务器层对等层和客户机 / 服务器互通的例子以及对每一种情况的一些考虑应该注意 : 在 VPN 服务器层之下使用多个服务器层不应与采用多个 VPN 服务器层的情况相混淆例如, 如图 7-12 所示, 一个服务提供商可以端到端地使用单个 MPLS VPN 服务器层, 但在这 VPN 服务器层之下在一部分网络中使用 MPLS 服务器层 ( 采用 MPLS 标记堆栈 ), 而在另一部分网络中使用 IP 服务器层 ( 例如采用 GRE 封装 ) ITU-T Y.1314 建议书 (10/2005) 21

28 图 7-12/Y 采用 MPLS 和 IP 服务器层的客户机 / 服务器 VPN 在 MPLS 服务器层网络中 PE 和 P 路由器必须都支持 MPLS, 然而在 IP 服务器层中只有 PE 路由器需要支持 MPLS,P 路由器不需要支持 MPLS 与图 7-12 示意的网络相关的功能模型在图 7-13 中描述图 7-13/Y 由多个服务器层支持的 VPN 服务器层在这一例子中,MPLS 服务器层信源适配功能将 MPLS VPN 服务器层的 CI( 它是 MPLS 服务器层的一个客户 ) 适配到 MPLS 服务器层中的 AI, 而 MPLS 服务器层信宿适配功能将 MPLS 服务器层 AI 适配到 MPLS VPN 服务器层的 CI IP 服务器层信源适配功能将 MPLS VPN 服务器层的 CI 适配到 IP 服务器层中的 AI, 而 IP 服务器层信宿适配功能将 IP 服务器层的 AI 适配到 MPLS VPN 服务器层的 CI 22 ITU-T Y.1314 建议书 (10/2005)

29 7.6 采用分区的 VPN 模型描述前面章节中提供的功能模型是采用分层的方法形成的将网络分解为一系列独立的层网络可以为相邻层网络之间的客户机 / 服务器关系建立模型, 并对对应的适配终端和互通功能进行描述另一种建立模型的方法是分区, 它用于定义一个层网络内的网络结构和网络区域间管理 / 选路的边界, 这种网络区域可能是不同运营商拥有的网络在要分解的一个层次上, 分区可以将一个子网络分成为它包含的一些子网络以及它们间的链路这种分区可以一直继续, 直到达到递推的极限, 也就是一个网元内的单个子网络正如 ITU-T G.805 建议书所描述的, 它被称为基体在图 7-14 中对分区做了示意图 7-14/Y 在层网络内对子网络进行分区作为分区进程的一部分, 最大的子网络中的流 / 连接点的数量在分区中是保持不变的, 而它内部的连接点在下一层的分区中会展现出来从连通性的角度, 子网络 ( 流域 ) 代表了它输入与输出间的一个有弹性的点 ( 如信源 / 信宿接入点或流 / 连接点 ) 一般地讲, 它允许任何的一个输入可以连接到任何的一个输出这一模型对于公众网络是充分的, 在此, 资源可以假定都总是可用的然而, 它对于虚拟专用网络并不适合原因是 : 子网络 / 流域输入和输出间的连通性将限制于属于同一 VPN 的输入和输出为了支持用分区方法来建立 VPN 模型, 可采用由 ITU-T G.8010 建议书描述的流域段 (FDFr) 的构造和子网络连接 (SNC) 的构造 FDFr/SNC 是通过将它的输入和输出分割成不同的组群的办法来进行分段的连通性被限制于同一组群的成员之间这样一种组群可以是以太网网桥上的 VLAN( 一个以太网流域 ) 或者是子网络或流域上的 VPN 一个 FDFr/SNC 可以用它相关联的层网络的名称和段号来标记, 或通过将流接点分组为特定的段, 例如用 VLAN 识别码来标记用 VLAN 来提供 VPN 隔离的一个网络的例子如图 7-15 所示 ITU-T Y.1314 建议书 (10/2005) 23

30 图 7-15/Y.1314-VPN 分区功能模型的例子流域中的一个 FDFr 是通过互连的构件链路与另一流域中的 FDFr 相关联的类似地, 子网络中的一个 SNC 是经由互连的链路连接与另一个子网络中的 SNC 相关联的这样将使这构造可以分区或者聚合, 与子网络的模型相一致由于这样, 这一模型非常灵活, 使得 VPN 的结构可以在子网络分区的任何层次上进行显示 7.7 VPN 对等层图 7-16 显示了一个对等层 VPN 的物理拓扑在这一例子中, 网络云雾表示共享的网络区域, 而灰线表示一个 P2P 的 VPN VPN 的隔离可以通过第 6 节中定义的任何方法来实现, 如以太网的 VLAN IPsec 的隧道等图 7-16/Y 对等层 VPN 物理拓扑的例子 24 ITU-T Y.1314 建议书 (10/2005)

31 图 7-17 从功能的角度描述了图 7-1 的 VPN 拓扑, 显示了 VPN 层和 PE 之间底下的单个服务器层在这一例子中, 服务器层是 CO, 但它也同样地可以是 CL 图 7-17/Y 一个单层 VPN 的分层模型正如图 7-17 所示, 网络中的所有节点 ( 包括 P 节点 ) 都属于 VPN 层, 因此它们必须能够利用 VPN 层包头中的信息将数据包转发到正确的目的地由于单层的 VPN 架构, 这一层次模型并未提供它在用于客户机 / 服务器情况下所提供的那么多的信息尤其是图 7-17 的呈现格式没有提供有关 VPN 在何处开始和终结的任何信息加入这种信息的方法之一是进一步叙述 VPN/ 服务器层的适配功能图 7-18 示出 VPN/ 服务器层适配功能的两个不同的例子, 一个采用 IPsec, 另一个采用以太网 VLAN 标记图 7-18/Y.1314-VPN/ 服务器层适配功能的扩展 ITU-T Y.1314 建议书 (10/2005) 25

32 描述对等层 VPN 的另一种方法是采用第 7.6 节引入的分区的概念如何用这种方法使用分区的一个例子已在图 7-19 中提供图 7-19/Y 用分区进行模型描述的对等层 VPN 图 7-19 描述了对等层 VPN 的拓扑, 还显示了对应的 VLAN(123), 但没有提供有关 VPN 在何处开始和终结, 也即 IEEE 802.1Q VLAN 标记在何处插入 / 删除的信息从图 7-19 的模型很容易看出 : 节点 P1 和 P2 是 VLAN 的一部分, 但尽管 PE1 和 PE2 是 VPN 的开始 / 终结点, 模型恰并没有给出这一信息然而, 只要将 VPN/ 服务器层的适配功能加入这分区模型, 并进一步描述 VPN 层特定的进程就可以提供这种信息 ( 如图 7-18 所示 ) 8 VPN 拓扑的支持本建议书所用的术语 VPN 拓扑是指从 VPN 客户角度来看的 VPN 拓扑, 也即 VPN 站点之间的拓扑, VPN 站点可以是 CE 节点或末端系统 VPN 站点之间的连通性只有在它们之间的 VPN 服务器层或对等层的路径已经建立时才能提供一般地, 在 n 层的拓扑决定于在 n-1 层上服务器层路径所提供的拓扑一旦 VPN 服务器或对等层的路径已经建立, 如果 VPN 客户层或对等层的技术是包交换的, 那么就有可能通过限制 VPN 内某些站点之间的连通性来修剪 VPN 的拓扑限制 VPN 成员间连通性的一种方法是控制 VPN 客户层上的路由分配 (VPN 站点, 如果相互间没有路由可以通达, 就不能通信 ) 另一种可用于限制连通性的方法是使用包过滤 ( 例如基于 VPN 客户层和对等层上的源 / 目的地地址 ) 如第和 8.3 节所描述的, 有三种基本的 VPN 拓扑, 它们是全互连部分互连以及中心和幅条 26 ITU-T Y.1314 建议书 (10/2005)

33 8.1 全互连的 VPN 拓扑在全互连的 VPN 拓扑中, 正如图 8-1 所描述的, 每一个 VPN 站点都有一个路由 / 连接通往其他的每一个 VPN 站点图 8-1/Y 全互连 VPN 拓扑的一个例子全互连拓扑提供了完整的冗余, 由于 VPN 站点可以使用最短 / 最好的路由相互通达, 它也能提供高效的网络利用率和性能全互连的一个缺点是 : 全互连要实现可能会很贵, 尽管这一点决定于所采用的 VPN 网络模式 / 技术 ( 例如由 ATM VC 全互连构成的 VPN 网络很可能会贵于支持任何到任何连通性的以太网 VPN) 另一个缺点是 : 随着全互连站点数的增加, 连接 / 路由和控制面邻接关系的数量会成比例地增长 ( 设 n 为 VPN 的站点数, 那么全互连中的连接数量为 n(n 1)/2) 要支持大量的连接 / 路由和控制平面的邻接关系, 由于所需带宽和 CPU 资源的增加, 会带来扩展性问题 8.2 部分互连的 VPN 拓扑在部分互连的 VPN 拓扑中,VPN 站点有路由 / 连接通往一些 VPN 站点, 但不是所有的站点图 8-2 提供了部分互连拓扑的一个例子图 8-2/Y 部分互连 VPN 拓扑的一个例子 ITU-T Y.1314 建议书 (10/2005) 27

34 在某些情况下,VPN 站点有可能能经由中转的 VPN 站点通达没有直接路由 / 连接的其他 VPN 站点然而, 在其他情况下, 如果 VPN 站点没有直接的路由 / 连接可相互通达, 那么它们之间就可能不能通信在没有直接路由 / 连接相互通达的节点之间, 进行通信的能力取决于 VPN 服务器层或对等层路径的存在以及对拓扑连通性的任何限制 ( 例如选路策略或包过滤 ) 由于所需带宽和 CPU 资源减少了, 部分互连的拓扑比全互连更能扩展, 尽管这是以牺牲最佳路由和高效的网络利用为代价的 ( 如果某些 CE 要用于作为中转节点 ) 尽管部分互连网络在设计上通常会在最需要的场合使用冗余的路由 / 连接, 网络的冗余也同样减少了例如, 在图 8-2 中,CE 节点 CE2 和 CE5 可以作为核心节点, 而其他 CE 节点作为边缘节点这一拓扑在这种情况下, 边缘节点将有冗余的路由 / 连接通达核心客户通常由于开支 ( 也即全互连比较昂贵 ) 或地理限制等因素而被迫使用部分互连的拓扑 8.3 中心和幅条的 VPN 拓扑在中心和幅条 ( 或星型 ) 的拓扑中, 一个 VPN 站点, 对于一个特定的 VPN 而言, 可以是一个幅条或者是一个中心 ( 如果一个 VPN 站点属于多个 VPN, 它对于某些 VPN 可以是中心, 而对于其他是幅条 ) 中心和幅条拓扑中的所有幅条都有直接的路由 / 连接通达中心, 但没有直接的路由 / 连接可以相互通达图 8-3 显示了中心和幅条拓扑的一个例子, 在此 CE2 是中心, 所有其他的 CE 节点是幅条图 8-3/Y 中心和幅条 VPN 拓扑的一个例子在某些情况下, 可以将中心配置成中转节点, 使得幅条可以经由中心相互通信然而在其他情况下, 幅条之间的连通性可能是不允许的中心和幅条拓扑一种普遍的使用是将办公点 ( 幅条 ) 连接到公司的总部 ( 中心 ) 采用中心和幅条的拓扑将可以使用集中的网络资源 ( 例如互联网的接入防火墙和电子邮件服务器 ), 它与分布的网络资源配置相比可以带来开支的节省 9 VPN QoS 的考虑关于服务质量 (QoS) 有大量的信息资源, 它们对于 QoS 到底是什么具有不同的定义 ITU-T E.800 建议书将 QoS 定义为服务性能集合的效果, 这种集合效果决定了服务用户的满意程度 ITU-T G.1000 建议书提供了通信服务质量的框架和定义, 而 ITU-T G.1010 建议书定义了基于用户观点的多媒体服务质量的等级模型在这些建议书以及它处所定义的满足服务质量要求所需的功能将决定于网络的操作模式因此对于服务质量的要求对于 VPN 服务提供商选择 VPN 服务器层的技术以及可以支持的 VPN 客户层的技术可能会有影响 28 ITU-T Y.1314 建议书 (10/2005)

35 9.1 电路交换的层网络在面向连接电路交换的层网络中, 在连接持续期间将建立一个基于物理链路光波长 SDH/SONET VC 或 TDM 时隙的通道, 专门用于 AP 间的单个连接当一个新连接被请求时, 网络必须确定是否接受该连接, 如果接受, 进而确定如何经由网络为它选路以及为连接保留什么资源将使用连接接纳控制 (CAC) 机制在带宽可用时接受连接, 或者在请求的连接带宽超过可用带宽时加以拒绝数据是以恒定的比特速率按它送出时完全相同的顺序发送的连接可以采用静态指配人工地建立, 或者用信令机制或自动的指配工具动态地建立能否建立新连接的能力决定于网络是否有空余能力如果连接已经建立, 那么跨越连接的数据传递是有保证的在如同 PSTN 那样的 CO-CS 网络中, 时延主要地是传输距离的函数 CO-CS 网络节点的交换时延与传输 ( 传播 ) 时延相比相对较小, 尤其是当呼叫跨越长距离的干线时 9.2 包交换的层网络在包交换网络中, 数据包是按照包头中的信息转发的包交换在提供连通性的同时, 通过由许多用户共享网络资源 ( 它假设 : 不是所有用户所有时间都需要使用资源的 ) 使网络资源得到高效的利用信流或连接的包转发行为可以用一组被称为业务流描述语的参数来描述业务流描述语的例子有包 / 比特速率, 最大的突发长度 / 包长度和数据包在固定时间间隔内到达的概率用户的质量要求通常用可接受的包丢失率时延和抖动来表达可以使用业务流的整形机制来调节网络所接纳的业务流量, 这种调节一般地是在逐个队列 / 信流逐个连接或逐个接口的基础上进行的在基于数据包的网络中, 如果业务流量超过了网络实体 (NE) 的转发能力或可用的网络容量, 会发生拥塞当网络变得拥塞时, 数据包可能被缓冲存储或者丢弃, 缓冲存储将引入时延在包交换网络中, 时延决定于与底下的物理的服务器层相关联的传输距离, 再加包交换层的一些其他因素在包交换层引入时延的因素有包长度链路速度逐跳的转发时延 ( 它又可以分解为装包压缩 / 解压交换 / 选路以及缓冲存储的时延 ), 还有跳数在基于数据包的网络中为了保证范围广泛的质量水平, 优先级控制是需要的一般地讲, 优先级控制是通过逐个连接逐个信流和每一接口上逐个 QoS 等级地采用分别的队列, 并控制每一队列的优先级来实现的可以采用包排序机制将数据包按照特定的策略分配到具体的队列面向连接包交换的在面向连接包交换的层网络中, 连接将建立, 并保持到连通性不再需要时为止 ( 而不管数据是否要发送 ) 正像面向连接的电路交换层网络一样, 连接可以经由人工的指配管理系统或信令协议来建立网络当前的状态可以通过监测网络资源的利用和 / 或对已接纳连接行为的特征描述来确定可以用 CAC 机制来为恒定比特率 (CBR) 的业务流信源预留需要的连接的峰值带宽另一种做法是与 CAC 机制一起采用统计复用的方案, 分配的带宽小于所需的峰值带宽, 以提高网络效率然而, 由于所需的带宽会随时间有很大的变化, 要描述所请求连接的带宽特征是很困难的 ITU-T Y.1314 建议书 (10/2005) 29

36 在 CO-PS 网络 ( 例如 ATM 网络 ) 中, 如果要支持的是 CBR 服务 ( 而且没有过度的预订 ), 逐跳的转发时延将保持恒定, 因而时延 / 抖动将可以计算 / 保证然而, 如果为了提高网络利用率, 服务会过度预订 ( 服务通常是这样 ), 那么在拥塞的节点由于缓冲存储或者丢弃超过契约的业务流, 将会引入时延 / 丢失尽管逐跳的转发时延变成为可变的, 但其他因素, 如链路速度距离 / 跳数 ( 以及 ATM 情况下的包长 ) 将保持不变无连接包交换的在无连接包交换的网络中, 数据一旦送出, 连接就中断了, 直到有进一步的信息要发送或接收 ( 一个数据包可以看成是一个连接, 它在数据包被发送和接收所用的时段内存在 ) 这里没有储存的连接状态, 因而, 相继的数据包不必要遵循同一个路径, 或者按它们送出的顺序到达业务流是以可变的比特速率送出的, 资源通常是按先来先服务的原则分配的在 CL-PS 网络 ( 如 IP 网络 ) 中, 决定时延的因素, 如包长度链路速度跳数和逐跳的转发时延都是可变的, 尤其是当采用提供负荷平衡的技术时可以在边缘实现速率限制 / 业务流整形以限制进入网络的业务流量, 但由于 CL-PS 业务流任意到任意的特性 ( 以及对等联网的增长 ), 将很难预测跨越 CL-PS 网络逐个链路的带宽利用率可以采用业务流监测连同模型化技术一起来获得业务流矩阵, 并抓取 IGP 的性能来提高链路利用率, 但由于 CL-PS 业务流的突发性和不可预测性, 要使服务保证得到满足的一个最为简单 / 最为安全的方法是过量地装备网络然而, 即使是过量装备, 由于无连接业务流的不确定性,CL-PS 网络中节点 / 链路仍可能会拥塞, 尤其是当发生链路 / 节点故障和拒绝服务攻击 (DoS) 时不仅如此, 链路 / 节点故障的影响还不只限于穿越这故障链路 / 节点的业务流, 重新选路还会导致网络中其他地点的拥塞一个保护重要业务流免遭拥塞的通常做法是采用基于优先级的队列 ( 例如基于 RFC 2475 用于 IP 的差别服务架构 ) 来控制逐个等级的转发行为, 也即较高优先级的业务流将得到比较低优先级业务流更为优先的处理这使得提供商可以向客户提供多层次的服务 ( 例如, 首要的实时的尽力而为的 ), 并据此对服务定价差别服务 (Diffserv) 方法的一个缺点是 : 带宽只是在逐个集合的基础上预留的, 因而集合中单个信流的传递将不能保证另一个可供选择 ( 或补充 ) 的方法是采用综合的服务架构 ( 基于 RFC 1633), 在此将采用资源预留协议 (RSVP RFC 2205), 它通过在数据包发送前先传送有关信流要求的信令来沿着端到端的路径预留能力由于带宽是在逐个信流的基础上预留的, 将有可能为单独的信流提供有保证的传递这一点再现了 CO 网络中使用的 CAC 模型, 在 CO 网络中为了保证网络有足够的能力, 在 CAC 已执行之前是不发送业务流的这种方法的主要缺点是 : 它会给核心路由器带来相当的 (RSVP) 处理负荷, 这种负荷随着需要资源预留的包信流数量的增加将成正比地增加 30 ITU-T Y.1314 建议书 (10/2005)

37 另一种支持在逐个流基础上预留资源的方法是使用基于信流的路由器基于信流的路由器保持每个流的状态, 它只在有足够的可用资源时才接受新的信流如同用 RSVP, 这一方法的挑战是处理负荷将随着信流数的增加而增加然而, 至今还没有可用的路由器, 能为大量的信流支持逐个流的选路 10 客户机 / 服务器 VPN 建立所需要的功能在客户机 / 服务器 VPN 的建立过程中, 对于必定要发生的事件有一个严格的顺序 VPN 客户层信流 / 连接在 VPN 服务器层信流 / 连接已经建立之前是不能建立的同样地,VPN 服务器层信流 / 连接在服务器层连接 / 信流 ( 对于它 VPN 服务器层是一个客户 ) 已经建立之前是不能建立的采用这种信流 / 连接的建立顺序的原因 : 客户层的拓扑是由下面的服务器层的拓扑确定的, 这种情况可以循环下去直到管线 10.1 VPN 服务器层的建立这里假设 : 下层的服务器层拓扑已经建立, 而且 VPN 服务器层的 TCP/TFP 和 CP/FP 已经用地址进行了配置, 那么在 VPN 客户层成员之间 VPN 服务器层连通性的建立将涉及 3 个主要的步骤 : 步骤 1: 发现 VPN 成员, 并存储 VPN 成员信息步骤 2: 计算 VPN 服务器层上 VPN 成员之间的路由步骤 3: 在 VPN 服务器层上 VPN 的成员之间建立连接 / 隧道 /VLAN 支持 VPN 服务器层建立和保持所需要的每一个功能以及各单独的功能实体已经进一步在表 10-1 中描述表 10-1/Y.1314-VPN 服务器层功能功能功能实体网元服务器层的工作模式 VPN 成员关系的发现 VPN 成员 ( 属于同一 VPN 的 VPN 客户层 CP/FP) 的发现 PE 所有 VPN 成员信息 ( 包括加入离开可用性 ) 的分发 / 收集 PE 所有 VPN 成员信息的保持 PE 所有 VPN 客户层 CP/FP 到 VPN 服务器层 AP 的映射 PE 所有 VPN 服务器层选路 VPN 服务器层通达性 / 拓扑 / 资源信息的分发 / 收集 PE, P 所有 VPN 服务器层通达性 / 拓扑 / 资源信息的保持 PE, P 所有 VPN 服务器层 AP 之间最佳路由的计算 PE, P 所有 VPN 服务器层隧道 / 连接的建立连接接纳控制 (CAC) PE, P 所有连接 / 隧道请求成功 / 失败的通告 PE, P 所有 VPN 服务器层去复用字段的分配和配置 PE, P 所有连接 / 隧道的信息, 如 QoS 去复用字段带宽等的分发 PE, P 所有 ITU-T Y.1314 建议书 (10/2005) 31

38 VPN 成员关系的发现为了建立 PE 之间 VPN 服务器层的拓扑, 首先有必要确定哪些 PE 是连接到哪个特定客户机 / 服务器 VPN 成员的 CE 的这一功能可以由操作人员依据已知的网络拓扑人工地执行或者, 这一功能也可以经由集中的服务器 / 系统或分布式协议动态地执行, 以便使指配进程能自动化 / 简化为了支持动态的发现,PE 必须配置以 VPN 识别码, 来指示它们要连接到特定 VPN 的一个或多个 CE 用于发现的集中的服务器 / 系统的例子是使用认证服务器 ( 例如 RADIUS), 用它作为客户认证进程的一部分来分发关于 VPN 成员的信息分布式协议的例子是将 BGP 用于 RFC 2547 VPN, 它用路由目标作为 VPN 识别码, 确保 PE 只接收那些是成员的 VPN 的信息 VPN 服务器层的选路在信源 / 信宿 VPN 服务器层端点之间, 如果底下的服务器层 (VPN 服务器层底下的层 ) 是单个一跳的 P2P 连接 / 信流, 由于只有单个路由 / 通路可用, 不需要进行选路但另一方面, 如果有可选择的路由 / 通道能经由中间点到达同一个目的地, 或者底下的服务器层提供一个 P2MP 4 拓扑, 那么就必须在 VPN 服务器层上进行选路, 以找到拓扑和 / 或计算通达目的地的最佳路由选路的需要在 CO 层网络的情况下, 在给定层上的路由 / 通道已经算出之前, 信令是不能进行的在 CL 层网络的情况下, 在到达目的地的路由已经算出 / 配置之前, 数据包是不能转发的这并不是说, 网络的每一个节点都需要有明确的路由通往网络中其他的每一个节点网络地址的归纳通常与选路区域的等级架构相结合使用来改善可扩展性地址归纳的最终形式是使用默认路由, 它可以作为一种百达机制来转发数据包, 而不论其目的地地址对于 CL 数据包在路由计算完 ( 或默认路由已配置 ) 以前不能转发这一规则的一个例外是当 CL 技术支持广播时广播是指将数据包跨越拓扑中所有的服务器层路径 ( 不包括收到数据包的路径 ) 复制和转发到未知的目的地地址支持这种功能特性的技术的一个例子是以太网这种规则的另一个例外是令牌环网的运行模式在令牌环层网络中, 当节点接收到数据包时, 它重发这数据包将它送往环中的下一个节点, 直到数据包环回到源节点时被删除目的地节点保留一个数据帧的拷贝, 并通过在帧中设置响应比特来指示它已经接收到数据帧尽管有一些技术, 它们不需要选路, 但应该指出 : 这些技术作为 VPN 服务器层技术是不理想的对于那些扩展到很大的地理地区包含有大量节点的层网络选路, 连同分等级的地址结构都是很基本的要求从 VPN 的角度, 诸如广播和令牌传送等机制是固有地不安全的, 而且对于单播 (P2P) 的业务流传输效率也是很低的 4 这里对 P2MP 的引用从单个源点 PE 而言是指出网的服务器层拓扑基于 PE 间双向连接 / 信流的全互连 / 部分互连, 整个层网络实际的拓扑可以是任意到任意的 32 ITU-T Y.1314 建议书 (10/2005)

39 需要选路的网络拓扑例子图 10-1 示出一个有两个可选择的路由 / 通路 (A 和 B) 通往同一目的地的网络的例子图 10-1/Y 多个路由 / 通路通往同一目的地正如图 10-1 所示, 从 CE1 到 CE2 的路由 A 穿越了 PE1 P1 P2 P4 和 PE2, 而路由 B 穿越的是 PE1 P1 P3 P4 和 PE2 这一信息在图 10-2 中用功能模型进行了描述图 10-2/Y 多通路 / 路由的功能模型图 10-2 示出两个可供选择的服务器层路径 (A 和 B), 可以由 VPN 服务器层使用依据由 VPN 服务器层选路功能计算的路由, 有一个服务器层路径将被选出 ( 或者两个, 如果需要负荷平衡 ), 以便在位于 CE1 的 VPN 服务器层信源 TFP 和位于 CE2 的信宿 TFP 之间传送 VPN 服务器层的信流 ITU-T Y.1314 建议书 (10/2005) 33

40 图 10-3 示出服务器层从 CE1( 源点 ) 到 CE2 CE3 和 CE4(P2MP 拓扑中的信宿分支 ) 提供 P2MP 连通性的案例图 10-3/Y.1314-P2MP 服务器层拓扑图 10-3 中的网络被作为功能模型在图 10-4 中示出图 10-4/Y.1314-P2MP 服务器层拓扑的功能模型 34 ITU-T Y.1314 建议书 (10/2005)

41 如果 CE1 是一个特定 VPN 服务器层信流的信源,CE2 是它的信宿, 那么 CE1 需要知道用什么路由通达 CE2 然而, 图 10-4 中显示的 VPN 服务器层中的路由 / 通路是由底 F 的服务器层中的 P2P 路径提供的, 也即在 P2MP 拓扑中只有一个路由存在, 它从信源的 TFP 到每一个分支信宿的 TFP 这意味着选路功能只需要将拓扑弄明白 ; 它不需要进行路由计算 ( 因为到每一个信宿只存在一个路由 ) 随着拓扑的发现, 从 CE1 去往 CE2 的信流将使用由服务器层路径 A 提供的路由 / 通路 A 可选择的选路方法当需要选路时, 一个操作人员可以执行选路功能, 在这种情况下, 操作人员基于已知的拓扑和资源利用信息计算跨越网络的路由选路可以人工地执行的一个例子是当 VPN 客户层基于 IP 时对双宿的 CE 节点进行配置在这一例子中, 有意义的是使用静态路由 ( 也即一个主用, 一个浮动的默认路由 ), 因为只有两个可选择的路由存在如果使用网络管理系统来执行选路功能, 那么管理系统必须通过请求或收集可通达性 / 拓扑 / 资源信息来寻找网络拓扑, 然后利用这些信息计算路由并将选路信息分发给网络节点选路由 NMS 执行的一个例子是跨越基于 SDH 的层网络建立 P2P 的连接在连接可以建立之前,NMS 必须首先计算穿越网络的最佳路由如果使用动态的选路协议来执行选路功能, 那么可通达性 / 拓扑 / 资源信息将经由选路协议跨越网络分发到每一个节点, 并用来计算通达目的地的最佳路由动态选路协议的一个例子是用于 ATM 层网络的 PNNI 构件 ( 它也可以和其他的网络技术一起使用 ), 它用于寻找网络拓扑并为动态连接计算路由另一个例子是 RPR, 它使用拓扑消息来弄清环路拓扑当一个节点接收到拓扑消息时, 它将它的 MAC 地址附在上面, 并传递给环上的下一个节点, 最终数据包将带着环路拓扑图 ( 地址清单 ) 返回到它的源点在控制面上使用动态选路协议的另一种方法是使用数据平面上的地址学习, 利用这种操作模式的网络技术的例子是以太网以太网采用生成树 ( 通过网络拓扑的删改避免环路 ) 和数据平面上透明的桥接 ( 基于源地址的学习 ) 来将数据包转发到正确的目的地, 而不必要将它们广播到所有的节点 / 端站然而, 如果要使用数据平面上的地址学习, 为了将数据包转发到还不曾得知的目的地地址, 这网络技术就也必须支持广播由于路由在带有它相对应地址的数据包已经接收之前是不知道的, 数据平面上的地址知识不能用于执行 CO 层网络的选路功能, 它只适合于 CL 层网络 VPN 服务器层的信令为了本建议书的需要, 信令是指建立 CL 隧道 ( 例如 L2TP 隧道 ) 和 CO 连接 ( 例如 ATM VPI/VCI) 所需要的信息交换所需要的信息包括诸如复用 / 去复用字段 QoS( 例如时延抖动 ) 带宽加密密钥和恢复力 ( 例如 1+1 保护 ) 等参数 ITU-T Y.1314 建议书 (10/2005) 35

42 隧道和连接之间的一个关键的不同点是 : 连接, 在任何用户数据可以发送之前, 总需要有信令 ( 或者人工的指配 ) 来建立连接尽管某些隧道技术 ( 例如 :L2TP 隧道, 明确配置的 GRE 隧道 ) 在用户数据发送以前也需要信令传送隧道的参数, 但其他的, 如软 / 动态的 GRE IP-in-IP 隧道都不需要任何信令这些隧道技术只是依据本地的策略 / 选路信息简单地将 VPN 客户层数据包装入到 VPN 服务器层的包头内在隧道信源 / 信宿端点之间遇到的中间节点 (P) 只是查看 VPN 服务器层的包头来确定是否以及如何将这数据包转发到 VPN 服务器层的信宿 ( 目的地 PE) VPN 客户层包头仅当数据包到达 VPN 服务器层信宿所在的目的地 PE 时才使用还请注意 : 在内部的 VPN 客户层包头中, 中间节点通常是不能有任何意义的 ( 例如能够选路 ) 在连接建立时要执行连接接纳控制 (CAC) 来确定在底下的服务器层上是否有足够的带宽以维护客户层的 QoS 要求客户层信令期间将使用业务流描述语 ( 如 ATM 中用的峰值信元速率 (PCR) 和持续信元速率 (SCR)) 从底下的服务器层请求适当的资源依据客户层的请求确定在服务器层有多少带宽可用的能力意味着 : 在控制平面上 CAC 功能与服务器层和客户层必须都是对等的关系在 CO-CS 服务器层的情况下,CAC 是依据被请求的服务器层上可用的物理带宽的数量 ( 例如空闲的 TDM 时隙或 WDM 波长 ) 在 CO-PS 服务器层的情况下,CAC 是依据未被现有连接使用的空闲的带宽数量这种信息是通过在那个特定层网络的每个节点上保持有关每个连接的状态信息 ( 例如 : 建立 / 中断, 所用资源的数量 ) 而得到的与可用带宽受限于可用的物理带宽的 CO-CS 层网络不同, 在 CO-PS 网络中, 在网络的每一个节点必须要逐个连接地进行管制, 以保证每个连接只发送 / 接收连接建立时约定的业务流量在 CL-PS 服务器层网络的情况下,CAC 可以依据物理 / 逻辑接口或队列 / 信流 / 服务等级水平的可用带宽来执行如同 CO-PS 层网络, 管制必须在网络的每个节点上依据所请求的带宽来执行然而, 与 CO-PS 上为每一个连接保持状态的情况不同, 相当的 ( 也即逐个信流的 ) 信息在 CL 层网络上通常不保存 5 这一点, 再加上 CL 业务流不确定的任意到任意的特性, 意味着 :CL 层网络中的 CAC 将取决于广泛使用业务流监测和模型描述来求得业务量矩阵以及网络的过量装备来保证带宽是可用的, 尤其是在故障情况下如果需要逐个 VPN 的严厉的 CAC 以及严格的 SLA, 那么应该使用 CO 的服务器层网络, 而不是 CL 的服务器层网络 10.2 VPN 客户层的认证 / 配置在 VPN 客户层 CE 和 PE 节点之间建立连通性所需要的功能可以使用静态的指配或动态的协议来实现静态指配可以通过人工配置或自动的网络管理系统来实现建立 VPN 客户层连通性所涉及的功能实体如表 10-2 所示 5 例外的情况有使用 RSVP RFC 2205( 基于端到端信令的解决方案 ) 和信流状态的选路 ( 逐跳的解决方案 ), 在此将保持每个信流的状态, 在没有足够的带宽可用时将拒绝新的信流 36 ITU-T Y.1314 建议书 (10/2005)

展开

...31 (POTS) Internet VPN VPN VPN ATM ( ) CPE VPN L2TP PPTP ( ) IPSec ( ) VPN (PP-VPNs) MPLS VPN BGP/MPLS VPN RFC2547bis ( ) RFC 2547bis VPN RFC 2547b

...31 (POTS) Internet VPN VPN VPN ATM ( ) CPE VPN L2TP PPTP ( ) IPSec ( ) VPN (PP-VPNs) MPLS VPN BGP/MPLS VPN RFC2547bis ( ) RFC 2547bis VPN RFC 2547b RFC 2547bis: BGP/MPLS VPN Juniper 网络公司, 爱立信公司,2001 年 3 月...2 BGP/MPLS VPN...2...3...3...3...4...4...4...5...6 BGP/MPLS VPN...7...7...8 VPN-IPv4...8 BGP...9...9...10 BGP...11 VPN...13 PE...13...14 VPN...16