Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

运营商间和运营商至运营商 VPN

传统 VPN、跨运营商 VPN 和运营商间 VPN

由于 VPN 部署在互联网上,因此 VPN 服务提供商的客户可能是其他服务提供商,而非最终客户。客户服务依靠 VPN 服务提供商在客户服务提供商的接入点 (POP) 或区域网络之间提供 VPN 传输服务。

如果客户服务提供商的站点具有不同的自治系统 (AS) 编号,则 VPN 传输服务提供商支持跨运营商VPN 服务的运营商间 VPN 服务。如果客户服务提供商的站点具有相同的 AS 编号,则 VPN 传输服务提供商将提供载波至载波 VPN 服务。

有几种不同的方法可以基于 RFC 4364 启用提供商间 VPN, BGP/MPLS IP Virtual Private Networks (VPNs)

  • 提供商间第 3 层 VPN 选项 A — AS 边界路由器 (ASBR) 上的提供商间 VRF 到 VRF 连接(可扩展性不强)。

  • 提供商间第 3 层 VPN 选项 B — 带标记的 VPN-IPv4 路由的跨运营商 EBGP 重新分配从 AS 到相邻 AS(一定程度上可扩展)。

  • 提供商间第 3 层 VPN 选项 C — 提供商间多跳 EBGP 在源和目标 AS 之间重新分配标记的 VPN-IPv4 路由,EBGP 将标记的 IPv4 路由从 AS 重新分配到相邻 AS(非常可扩展)。

在传统的 IP 路由架构中,内部路由和外部路由之间有明显的区别。从互联网服务提供商 (ISP) 的角度来看,内部路由包括提供商的所有内部链路(包括 BGP 下一跳)和环路接口。这些内部路由通过内部网关协议 (IGP)(如 OSPF 或 IS-IS)与 ISP 网络中的其他路由平台进行交换。在互联网对等点或客户站点获知的所有路由都归类为外部路由,并通过外部网关协议 (EGP) (如 BGP)进行分发。在传统的 IP 路由架构中,内部路由的数量通常远小于外部路由的数量。

了解运营商间和运营商的运营商 VPN

所有运营商间 VPN 和运营商的运营商 VPN 都具有以下共同特征:

  • 每个跨运营商或运营商至运营商 VPN 客户都必须区分内部和外部客户路由。

  • 内部客户路由必须由 VPN 服务提供商在其 PE 路由器中进行维护。

  • 外部客户路由仅由客户的路由平台传输,而非由 VPN 服务提供商的路由平台传输。

提供商间 VPN 和运营商的运营商 VPN 之间的主要区别在于客户站点是属于相同的 AS 还是属于单独的 AS:

  • 提供商间 VPN — 客户站点属于不同的 AS。您需要配置 EBGP 来交换客户的外部路由。

  • 了解载波至载波 VPN — 客户站点属于同一 AS。您需要配置 IBGP 来交换客户的外部路由。

通常,VPN 层次结构中的每个服务提供商都需要在其 P 路由器中维护自己的内部路由,并在其 PE 路由器中维护其客户的内部路由。通过递归应用此规则,可以创建 VPN 层次结构。

以下是特定于提供商间和运营商的运营商 VPN 的 PE 路由器类型的定义:

  • AS 边界路由器位于 AS 边界,处理离开和进入 AS 的流量。

  • 终端 PE 路由器即为客户 VPN 中的 PE 路由器;它连接到最终客户站点的 CE 路由器。

提供商间和运营商间 VPN 示例术语

bgp.l3vpn.0

提供商边缘 (PE) 路由器上的表,用于存储从其他 PE 路由器接收的 VPN-IPv4 路由。根据 vrf-import PE 路由器上配置的所有 VPN 的语句检查传入路由。如果存在匹配,VPN – Internet 协议版本 4 (IPv4) 路由将添加到 bgp.l3vpn.0 表中。要查看 bgp.l3vpn.0 表,请发出 show route table bgp.l3vpn.0命令。

routing-instance-name.inet.0

  • 特定路由实例的路由表。例如,名为 VPN-A 的路由实例有一个名为 VPN-A.inet.0 的路由表。通过以下方式将路由添加到此表中:

    • 它们从在 VPN-A 路由实例中配置的客户边缘 (CE) 路由器发送。

    • 它们从远程 PE 路由器播发,该路由器传递 vrf-import 在 VPN-A 中配置的策略(要查看路由,请运行 show route 命令)。IPv4(非 VPN-IPv4)路由存储在此表中。

vrf-import policy-name

在 PE 路由器上的特定路由实例上配置的导入策略。此策略是配置运营商间 VPN 和运营商的运营商的 VPN 所必需的。它适用于从其他 PE 路由器或路由反射器获知的 VPN-IPv4 路由。

vrf-export policy-name

在 PE 路由器上的特定路由实例上配置的导出策略。它是配置运营商间和运营商的运营商 VPN 所必需的。它适用于 VPN-IPv4 路由(最初是作为 IPv4 路由从本地连接的 CE 路由器获知的),这些路由会播发至其他 PE 路由器或路由反射器。

MP-EBGP

多协议外部 BGP (MP-EBGP) 机制用于跨自治系统 (AS) 边界导出 VPN-IPv4 路由。要应用此机制,请在[edit protocols bgp group group-name family inet]层次结构级别使用labeled-unicast语句。

支持的运营商至运营商和跨运营商 VPN 标准

Junos OS 实质上支持以下 RFC,这些 RFC 定义了运营商的运营商和提供商间虚拟专用网络 (VPN) 的标准。

  • RFC 3107, 在 BGP-4 中携带标签信息

  • RFC 3916, 伪线边到边缘仿真要求 (PWE3)

    在带有 SFP 通道化 OC3/STM1(多速率)电路仿真 MIC 的 MX 系列路由器上受支持。

  • RFC 3985, 伪线仿真边缘到边缘 (PWE3) 架构

    在带有 SFP 通道化 OC3/STM1(多速率)电路仿真 MIC 的 MX 系列路由器上受支持。

  • RFC 4364,BGP/MPLS IP 虚拟专用网络 (VPN)

  • RFC 6368, 内部 BGP 作为 BGP/MPLS IP 虚拟专用网络 (VPN) 的提供商/客户边缘协议

另见

相关主题