Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

VPN 类型

虚拟专用网络 (VPN) 由两个拓扑区域组成:提供商的网络和客户的网络。客户的网络通常位于多个物理站点上,也是专用的(非互联网)。客户站点通常由位于单个物理位置的一组路由器或其他网络设备组成。该提供商的网络在公共互联网基础架构上运行,包括向客户提供 VPN 服务的路由器以及提供其他服务的路由器。提供商的网络连接客户的各个站点,在客户和提供商看来是专用网络。

为了确保 VPN 保持私有状态,并与其他 VPN 和公共互联网隔离,提供商的网络维护着将来自不同 VPN 的路由信息隔离的策略。只要提供商的策略将来自不同 VPN 的路由保持分离,即可为多个 VPN 提供服务。同样,只要客户站点将来自不同 VPN 的路由保持分离,就可以属于多个 VPN。

Junos® 操作系统 (Junos OS) 提供多种类型的 VPN:您可以选择适合您的网络环境的最佳解决方案以下每个 VPN 都有不同的功能,并且需要不同类型的配置:

2 层 VPN

在路由器上实施第 2 层 VPN 类似于使用 ATM 或帧中继等第 2 层技术实施 VPN。但是,对于路由器上的第 2 层 VPN,流量会以第 2 层格式转发到路由器。它由 MPLS 通过服务提供商的网络传输,然后在接收站点转换为第 2 层格式。您可以在发送和接收站点上配置不同的第 2 层格式。MPLS 第 2 层 VPN 的安全性和隐私与 ATM 或帧中继 VPN 的安全性和隐私相同。

在第 2 层 VPN 上,路由发生在客户的路由器上,通常发生在 CE 路由器上。连接到第 2 层 VPN 上服务提供商的 CE 路由器必须选择发送流量的相应电路。接收流量的 PE 路由器通过服务提供商的网络将其发送到连接到接收站点的 PE 路由器。PE 路由器不需要存储或处理客户的路由;它们只需要配置为将数据发送到相应的隧道

对于第 2 层 VPN,客户需要配置自己的路由器来承载所有第 3 层流量。服务提供商只需要知道第 2 层 VPN 需要承载多少流量。服务提供商的路由器使用第 2 层 VPN 接口在客户站点之间传输流量。VPN 拓扑由 PE 路由器上配置的策略决定。

3 层 VPN

在第 3 层 VPN 中,路由发生在服务提供商的路由器上。因此,第 3 层 VPN 需要服务提供商进行更多配置,因为服务提供商的 PE 路由器必须存储和处理客户的路由。

在 Junos OS 中,第 3 层 VPN 基于 RFC 4364、 BGP/MPLS IP 虚拟专用网络 (VPN)。此 RFC 定义了一种机制,通过该机制,服务提供商可以使用其 IP 主干向客户提供第 3 层 VPN 服务。构成第 3 层 VPN 的站点通过提供商现有的公共互联网主干网进行连接。

基于 RFC 4364 的 VPN 也称为 BGP/MPLS VPN,因为 BGP 用于在提供商的主干网之间分配 VPN 路由信息,而 MPLS 用于通过主干网络将 VPN 流量转发到远程 VPN 站点。

客户网络由于是专用地址,因此可以使用公共地址或专用地址,如 RFC 1918“ 专用互联网地址分配”中的定义。当使用专用地址的客户网络连接到公共互联网基础架构时,专用地址可能会与其他网络用户使用的专用地址重叠。BGP/MPLS VPN 通过为特定 VPN 站点的每个地址添加 VPN 标识符前缀来解决此问题,从而创建在 VPN 和公共互联网中唯一的地址。此外,每个 VPN 都有自己特定于 VPN 的路由表,仅包含该 VPN 的路由信息。

VPLS

虚拟专用 LAN 服务 (VPLS) 允许您连接地理上分散的客户站点,就像它们连接到同一 LAN 一样。在很多方面,它的工作原理就像第 2 层 VPN。VPLS 和第 2 层 VPN 使用相同的网络拓扑结构,运行方式类似。源自客户网络的数据包首先被发送到 CE 设备。然后,它被发送到服务提供商网络内的 PE 路由器。该数据包通过 MPLS LSP 遍历服务提供商的网络。它会到达出口 PE 路由器,然后出口 PE 路由器将流量转发到目标客户站点的 CE 设备。

VPLS 的主要区别在于数据包可以以点到多点的方式遍历服务提供商的网络,这意味着源自 CE 设备的数据包可以广播到 VPLS 中的 PE 路由器。相比之下,第 2 层 VPN 仅以点对点方式转发数据包。PE 路由器从 CE 设备接收的数据包的目标位置必须知道第 2 层 VPN 才能正常运行。

只能在第 3 层网络中配置虚拟专用 LAN 服务 (VPLS),以便通过 MPLS 骨干网将地理上分散的以太网局域网 (LAN) 站点相互连接。对于实施 VPLS 的 ISP 客户,即使流量通过服务提供商的网络传输,所有站点似乎都在同一个以太网 LAN 中。VPLS 旨在通过支持 MPLS 的服务提供商网络传输以太网流量。在某些情况下,VPLS 会模仿以太网网络的行为。使用 VPLS 路由实例配置的 PE 路由器从 CE 设备接收数据包时,它会首先检查相应的路由表以寻找 VPLS 数据包的目标。如果路由器有目标,它会将其转发到相应的 PE 路由器。如果没有目标,它将向属于同一 VPLS 路由实例的所有其他 PE 路由器广播数据包。PE 路由器将数据包转发至其 CE 设备。作为数据包的目标接收者的 CE 设备将其转发至最终目的地。其他 CE 设备丢弃它。

虚拟路由器路由实例

虚拟路由器路由实例(如 VPN 路由和转发 (VRF) 路由实例)会为每个实例维护单独的路由和转发表。但是,虚拟路由器路由实例不需要 VRF 路由实例所需的许多配置步骤。具体来说,您不需要在 P 路由器之间配置路由识别器、路由表策略( vrf-exportvrf-importroute-distinguisher 语句)或 MPLS。

但是,您需要在参与虚拟路由器路由实例的每台服务提供商路由器之间配置单独的逻辑接口。您还需要在服务提供商路由器与参与每个路由实例的客户路由器之间配置单独的逻辑接口。每个虚拟路由器实例都需要为所有参与的路由器提供自己唯一的逻辑接口集。

图 1 展示了其工作原理。服务提供商路由器 G 和 H 配置为虚拟路由器路由实例红色和绿色。每个服务提供商路由器直接连接到两个本地客户路由器,每个路由实例中各一个。服务提供商路由器也通过服务提供商网络彼此连接。这些路由器需要四个逻辑接口:一个用于每个本地连接的客户路由器的 逻辑 接口,一个逻辑接口,用于在每个虚拟路由器实例的两个服务提供商路由器之间传输流量。

图 1:虚拟路由器路由实例 Logical Interface per Router in a Virtual-Router Routing Instance中每个路由器的逻辑接口

第 3 层 VPN 没有此配置要求。如果在一个 PE 路由器上配置多个第 3 层 VPN 路由实例,则所有实例都可以使用相同的逻辑接口连接到另一个 PE 路由器。之所以如此,是因为第 3 层 VPN 使用 MPLS (VPN) 标签来区分往返于各种路由实例的流量。与虚拟路由器路由实例一样,没有 MPLS 和 VPN 标签,您需要单独的逻辑接口来分隔不同实例的流量。

在服务提供商路由器之间提供此逻辑接口的一种方法是在路由器之间配置隧道。您可以在服务提供商路由器之间配置 IP 安全 (IPsec)、通用路由封装 (GRE) 或 IP-IP 隧道,以终止虚拟路由器实例上的隧道。