1、ICS 3304040M 32中华人民 共禾口Y口国通信行业标准YD厂丁1 944-2009基于IPv6的边界网关协议多协议标记交换的虚拟专用网(BGPMPLS IPv6 VPN)技术要求Technical Requirements for BGPMPLS IPv6 VPN2009-06-1 5发布 2009-09-01实施中华人民共和国工业和信息化部发布前言1范围2规范性引用文件3定义和缩略语4概述5 IPv6 VPN网络结构6 IPv6 VPN编址”61 VPNIPv6地址族62 VPN IPv6 NLRI编码”63 BGP下一跳编码64 Route Target。65 IPv6 VPN地
2、址类型7 IPv6 VPN路由分发”7 1 自治域内路由分发72自治域问路由分发8 IPv6 VPN报文封装9 VPN访问互联网10运营商的运营商11 VPN管理12安全问题121数据平面122控制平面123 PE和P设备的安全性13服务质量和可靠性-14可扩展性参考文献目 次YD厂r 1 944-2009享至享至至三刖 菁YD厂r 1 944-2009本标准是“IPv6虚拟专用网(VPN)”系列标准之一,本系列标准的结构预计如下:1基于IPv6的边界网关协议,多协议标记交换的虚拟专用网(BGPMPLS IPv6 VPN)技术要求2基于IPv6的边界网关协议多协议标记交换的虚拟专用网(BGPM
3、PLS lPv6 VPN)测试方法本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息部电信研究院、华为技术有限公司本标准主要起草人:吴英桦、田辉、刘淑英、曹玮基于IPv6的边界网关协议多协议标记交换的YD,T 1 944-2009虚拟专用网(BGPMPLS IPv6 VPN)技术要求1范围本标准规定TBGPMPLS IPv6 VPN的网络结构、VPN路由、运营商的运营商、跨域VPN、VPN访问Intemet、VPN管理、安全、服务质量、可靠性和扩展性等方面的内容。本标准适用于BGPMPLS IPv6 VPN稠络和设备。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的
4、条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YDT 14762006 基于边界网关协议,多协议标记交换的虚拟专用网(BGPMPLS VPN)技术要求YDfr 14772006 基于边界网关协议,多协议标记交换的虚拟专用网(BGPMPLS VPN)组网要求IETF RFC3107 使用BGP-4携带标记信息3定义和缩略语31定义下列定义适用于本标准。311站点Site指不需要通过骨干网就可以保证口连通性的IP系统集合。对于特定的骨干网
5、,个不需要通过骨干网就能完成互联的网络系统,被称之为一个站点(Site)。通常,这些主机和网络设备系统在地理上比较集中。但是两个地理位置较远的站点通过租用线路连接,运行适当的路由协议(如OSPF)来传播路由,并且这个租用线是这两个站点问数据转发的优选通道,那么这两个站点对于PE可以认为是一个VPN站点,即使每个站点有自己的CE路由器。这里的站点是一个拓扑概念,而不是一个地理概念。如果站点间的租用线失效,则一个站点变成两个站点,两个站点间可阻使用VPN来通信。312隧道Tunnel一种建立在公网基础设施上的逻辑连接。313VPN实例VPN Instance指给定VPN的所有被管信息集合。314基
6、于BGPMPLS的虚拟专用网 BGPMPLS Virtual Private Network1YDl 19442009基于BGPMPLS的VPN是指骨干网使用MPLS协议进行数据报文传输,并使用BGP协议进行VPN路由消息的分发。315IPv6 VPN lPv6 Virtual Private NetworkIPv6 VPN是指VPN的各个站点具有IPv6能,力,并通过IPv6接口或子接口通过PE设备与运营商的骨干网直接相连接。31 6虚拟专用网Virtual Private Network对连接到骨干网上的站点集合施加某种控制策略,生成站点的子集,当某一子集同时包含两个或更多的站点,且这些站
7、点之间通过骨干网连接具有可达性时,称这个子集为VPN。当VPN所有站点属于同一企业时,VPN被看作是内联网(intranet)。当VPN站点属于不同企业时,VPN被看作是外联网(extranet)。单个站点可以属于多个VPN,可以同时属于一个intranet或多个extranet。317骨干网Backbone骨干网指的是包括P路由器、PE路由器等设备组成的网络,由运营商或ISP管理和运营,在本标准里特指为用户提供BGPMPLS VPN业务的运营商网络。318用户边缘设备Customer Edge Device用户边缘设备(简称CE)位于客户网络的边缘,简称CE,它通过到一个或多个运营商边缘(P
8、E)设备的数据连接链路为用户提供对运营商的接入。这里的连接可以是ATM、帧中继、以太网、PPP以及各种隧道等。CE设备可以是一台主机、以太网交换机或路由器,通常情况下,CE设备是一台路由器,一个站点可能包含多个路由器,仅将连接!tJPE的路由器称为CE。CE与直连的PE设备建立路由邻接关系。CE路由器将站点的本地路由广播给PE路由器,并从PE路由器学习远端VPN路由。不同站点的CE路由器之间不能直接交换路由信息。319运营商边缘设备Provider Edge Device运营商边缘设备(简称PE)位于运营商网络的边缘,通常是路由器设备。PE路由器使用静态路由、RIPv2、OSPF、或BGP防议
9、与CE路由器交换路由信息。为了增强VPN的可扩展性,对于PE路由器来说只需维护与其直接相连的VPN路由信息,而不要求PE路由器维护运营商网络中所有VPN的路由信息。当使用MPLS对vPN业务进行转发以穿越运营商网络时,入VIPE路由器的作用相当于入3LSR,而出LqPE路由器的作用相当于出VILSR。3110运营商设备Provider Device运营商设备(简称P)是运营商网络中不连接CE设备的路由器。如果骨干网采用MPLS技术,当PE路由器间对VPN数据业务进行转发时,P路由器的功能相当于传输LSR。由于数据在MPLS骨干网中被转发时使用了多层标记堆栈,P路由器只需要维护到达运营商PE路由
10、器的路由,所以P路由器不需要为每个站点维护特定的VPN路由信息。2YD厂r 1 94420093111客户 Customer客户就是站点的所有者。客户从运营商处得到VPN服务。运营商的VPN客户可以是单个企业,多个企业,一个Intemet运营商,一个应用提供商,甚至是同样提供VPN业务的其他运营商(拥有它们自己的客户)。3112运营商Service Provider运营商就是骨干网的所有者。运营商为客户提供VPN业务,决定VPN包含哪些站点的管理策略由客户自己决定,某些客户将所有的管理工作交给运营商完成,还有客户和运营商一起管理这些策略。本标准对VPN的讨论仅针对运营商管理的情形。更进一步的策
11、略可能还包含VPN内部的路由策略,如VPN站点内部站点之间存在赢达路由(FullMesh),或强制两个站点之间的业务必须经过第三个站点(例如第三个站点内包含一个防火墙)。3-2缩略语下列缩略语适用于本标准。AFI Address Field Identifier 地址字段标识AS Aumnomous System 自治系统ASBR Aumnomous SystemBorderRouter 自治系统边界路由器BGP Border Gateway Protocol 边界网关协议BGP4+ BGP4 MuRiprotocol Extensions for IPv6 基于Pv6的BGP4多协议扩展CE
12、 CustomerEdge 用户边缘设备EBGP External Border Gateway Protocol 外部边界网关协议IBGP Intemal Border Gateway Protocol 内部边界网关协议IGP Interior Gateway Protocol 内部网关协议IP Intemet Protocol 互连网协议ISISv6 Routing IPv6 with ISIS 基于IPv6的ISIs路由协议ISP Intemet Service Provider 互连网业务提供者LDP Label Distribution Protocol 标记分发协议LSP Labe
13、l Switched Path 标记交换路径MPBGP Multiprotocol Extensions for BGP BGP多协议扩展MPLS Multiprotocol Label Switching 多协议标记交换NLRI Network Layer Reachability Information 网络层可达信息OSPFv3 Open ShortestPathFirstProtocolforIPv6 基于IPv6的开放最短路径优先协议P Provider 运营商路由器PE Provider Edge 运营商边缘设备QoS Quality of Service 服务质量RD Routi
14、ng Distinguisher 路由区分器RIPng Routing Information Protocol next generation基zjZIPv6的T-代路由信息协议forIPv6SAH Sub Address Field Identifier 子地址字段标识3、On 19442009VLAN Virtual LocaI Atea NetworkVPN VirmaI Private NetworkVRF VPN Routing and Forwarding4概述虚拟埘域咧虚拟专朋网VPN路由转牲表运营商利用甚于报文交按的骨干剐络*JIPv6用户提供虚拟专用哪胎务仕用井扩J程YDt
15、T 14762006日IYDT 1477-2006:l。规定的基IBGPMPIS的lPv4 VPN(阻F简称IPv4 VPN)n勺实现方法支持BGPMPLSIPv6VPN(咀F简稍:IPv6VPN)。北II,v6VPN:,CE驶备将Pv6 VPN路由信鼠艇送到运营商的PE设蔷,PE设蔷使用MP-BGP协议进行IPv6 VPN蹄信息交换。支llPv6 VPNi骨二H叫【!l=可以足IPv4啊络也可以灶IPv6M络,在干网为IPv41t4络旧情况rPE茸J。11,v4路由进立MPLS标记变换隧道,扑在其上传送IPv6VPN乜。7刚t干网为IPv6网络|:!J情d下,PE基-1Pv6路I建立MPLS
16、标记交换隧道”在其上传送Pv6VPN包。除非在本标准中特别声明IPv4 VPNf|!J远秆机制适川rIPv6VPN。IPv6 VPN路由分拉f日方式。7IPv4 VPN路由分艟方式裳似pE设备使用虚拟路山转发表vRF维护IPv6VPN呐转发信息和可达信息,任IPv6 VPNq一,每个IPv6 vPN拥肯自己的IPv6地址空可这是由flPv6VPN使用了新的VPNIPv6地址旌VPNIPv6Lk“:成们构成与VPNIPv4地址旌的构成兴似都使用了路m区分器(RD)。综来看IPv6VPNqk务Jl_自眦F特点:从体户I运营商们伯艘来开对于摊供给IPv6站点科【IPv4站点的VPN服务是相q的。一从
17、运营商的角度米看,IPv6VPN业务与IPv4VPN业务使加相H旧技术、流程雨i运行机制。一IPv4核心I叫络可咀蚓时支持1Pv4 VPN和IPv6 VPN。IPv6VPN业务独立于核心网络,所以在核心网络由IPv4引级为IPv6后仍然可咀支持IPv6VPN业务。5 IPv6VPN网络结构IPv6 VPN*4络结;_|与IPv4 VPNM络结榭相类似。IPv6 VPNIq络由用户站点、CE设备、运营商帕PE设?,rflIP设箭组成。其中P站-_年cE政辞H自Pv6f42力CE设掭通i2lPv6接1或于接u与PE设街直接连拉井通过运营商旧IE发备与运营商的甘下网相连接。PE之间建立IPv4隧道或
18、IPv6隧邀,用r传送lP、6 VPN毁槲流。IPvbVPNN络的框架结构如图l所州。目1 IPv6 VPN胡络镕构YD厂r 1 9442009一个IPv6 VPN由多个站点构成,各个站点通过CE设备连接至IpE设备上。BGPMPLS IPv6 VPN作为运营商管理的IPv6 VPN,CE和PE间有明确的管理边界,客户无需管理PE和P路由器,同样,运营商也无需管理CE设备。一个PE路由器可以连接多个CE,无论这些CE是位于相同还是不同的VPN;一个CE设备也可以从健壮性方面考虑连接到多个运营商的PE路由器。CE通过某种链路连接PE设备,这些链路可以是ATM、以太网(包括VLAN方式)、PPP以
19、及各种隧道等。在BGPMPLS IPv6 VPN中,CE设备可以是支持IPv6的以太网交换机或路由器设备,从CE至tJPE的路由分发可以采用静态路由、RIPng、BGP4+、OSPFv3和ISISv6,该CE设备是相应PE的路由对端,而不是同一)N其他CE的路由对端,CE间并不直接交换路由信息,因此客户并不需要路由骨干或虚拟路由骨干,也无需考虑跨站点的路由问题。PE设备是BGPMPLS IPv6 VPN实现的核心设备,承担VPN的IPv6路由分发和数据转发功能。PE设备为其直连的站点维持一个VRF,每个用户连接(如ATM PVC或VLAN等)被映射到一个特定的VRF,PE设备依据这些VRF来处
20、理VPN流量。PE维护多个转发表的能力使得不同VPN之间的IPv6路由信息得到了隔离。在从直连CE路由器学习到本地VPN的IPv6路由表后,PE路由器使用MPBGP与其他PE交换VPN的IPv6路由信息。P设备是运营商网络中不连接任何CE的路由设备。P设备和PE设备共同构成运营商骨干网,P设备不需要维护VPN路由信息。如果采用标记交换路径作为承载隧道技术,则要求P设备能够支持MPLS协议和标记交换功能。6 IPv6VPN编址61 VPN-IPv6地址族MPNIPv6地址族的组成与VPNIPv4地址族组成类似,一个VPNIPv6地址长度为24字节,其中前8字节为路由区分器RD字段,后16字节为一
21、个IPv6地址,VPNIPv6地址中使用RD的目的与在VPN-IPv4地址使用RD的目的类似,RD可以用来区分具有相同的IPv6地址前缀部分VPN路由。如果有两个VPN使用相同的IPv6地址前缀,PE设备就将它们翻译为全局惟一的地址前缀,这样就确保在不同VPN中使用相同地址时,BGP协议可以为每个VPN携带完全不同的路由。由于VPNIPv6地址与IPv6地址属于两个完全不同的地址族,所以BGP协议不比较两者。IPv6VPN中RD的编码结构与IPv4VPN中的RD编码结构相同。62 VPNIPv6 NLRI编码VPN IPv6 NLRI使用MPBGP协议扩展来进行编码,AFI和SAFI字段值如下
22、:AFI字段值为2;SAFI字段值为128。NLRI字段编码规则由IETFRFC3107定义(见IETFRFC3107第3章),其前缀由8字节RD和IPv6地址前缀构成。63 BGP下一跳编码BGP下一跳的编码取决于BGP speaker是使用Pv6隧道传输IPv6 VPN数据流量,还是使用IPv4隧道传输IPv6 VPN数据流量。具体是使用IPv6隧道还是mv4隧道由网络操作者决定。YDr 1 944-2009当PE路由器使用MP-BGP来分发VPN-IPv6路由时,使用自己的地址作为“BGP下一跳”,该地址编码为RD部分为0的VPNIPv6地址格式(MPBGP需要下一跳地址与NLRI处于同
23、一地址族)。PE在分发路由的同时也指定并分发MPLS标签(实际上PE路由器并不分发VPNIPv6路由,而是标记VPNIPv6路由)。当PE收到一个标记栈顶为自己标记的数据包时,PE将该标签弹出堆栈,并对数据包做相应处理。631使用IPv6隧道传输的编码当BGP Speaker使用IPv6隧道传输IPv6 VPN数据流时,例如使用IPv6 MPLS LSP隧道,IPv6 IPsec隧道等,BGP下一跳地址字段包含以下地址信息:8字节RD,置为全O;16字节IPv6地址,为BGP speaker的全局IPv6地址。还可包含以下信息:8字节RD,置为全0:16字节IPv6地址,为BGP speake
24、r的链路本地IPv6地址。MP_REACH_NLRI属性中下一跳字段长度值当为全局IPv6地址时,设置为24,当还包括链路本地地址时,设置为48。在特殊的情况下,对端BGP speaker只使用链路本地IPv6地址,例如,CE没有全局IPv6地址的情况,此时,在下一跳字段中用“unspecified address”标识。链路本地地址只有在BGP speaker与对端同处于同一子网的情况下,才会被包含在下一跳的字段中。通常情况下,下一跳的字段中只包含全局Iev619址。在跨域VPN-Pv6路由分发,不同自治域的ASBR属于同一v6子网的情况下,下一跳字段中同时包括全局地址和链路本地地址。63
25、2使用IPv4隧道进行传输的编码当BGP Speaker使用IPv4隧道传输1Pv6 VPN数据流时,例如使用IPv4 MPLS LSP隧道,IPv4 IPsec隧道等,BGP下一跳地址字段包含以下地址信息:8字节RD,置为全0;一16字节Wv6地tJL,为IPv4映射地址(IPv4-mappedPv6 address)。64 Route TargetIPv6 VPNRT(Route Target)的使用和编码机制与IPv4 VPN相同。RT属性的格式可以由类型域定义管理者域长度生成,属性的其他部分是从特定运营商号码空间中选取的一个号码。RT属性可以使用BGP扩展团体实现。65 lPv6 VP
26、N地址类型由于链路本地单播地址(Link Local Unicast Addresss)只能用于单一链路,可以用于PE设备和CE设备之间的链路,但是VPN站点之间的可达信息不支持使用链路本地单播地址,并且链路本地单播地址不会被MP-BGP协议传播到远端PE设备。全局单播地址(Global Unicast Addresses)用于定义IPv6互联网中惟一的地址接口,全局单播地址可以在IPv6 VPN中使用。惟一本地IPv6单播地址(Unique Local IPv6Unicast Addresses)可以在一组有限的站点之间使用,IPv6 VPN支持使用惟一本地IPv6单播地址,因此包含惟一本地
27、IPv6单播地址的可达性信息可以被MP-BGP协议传播到远端PE设备,并被PE设备按照全局单播地址的方式进行处理。67 IPv6VPN路由分发YD厂r 1 944-200971 自治域内路由分发如果连接VPN站点的PE设备都处于同一自治系统中,PE设备之间就可以通过IBGP来直接分发VPNIPv6路由信息,也可以通过与路由反射器(BGPRR)之间建立IBGP对等关系,来间接分发路由信息。对于Pv6 VPN来说,IBGP连接可以是IPv4连接也可以是1Pv6连接。PE设备通过MPBGP协议交换可达信息,使用自己的地址作为BGP下一跳。可达信息秆IBGP下一跳的编码规则将在后续章节进行描述。72自
28、治域问路由分发如果一个VPN的两个站点位于不同的自治系统之内,相应的PE设备之间、PE设备与路由反射器之间就无法使用IBGP连接来分发VPNIPv6路由,这时必须使用EBGP来在自治系统之间分发VPNIPv6路由。以下是三种跨自治系统的IPv6VPN的解决方案。721 ASBR之间使用VRFto-VRF连接在这种方案中,ASBR充当PE设备,某个AS的PE设备(ASBR)直接与另外一个AS的PE设备(ASBR)相连。这两个PE设备可以通过多个子接口相连,至少为需要跨域传送路由的每个IPv6 VPN保留一个子接口,各个子接口使能IPv6功能。PE设备之间相互将对方视作自己的CE设备,也就是说,P
29、E设备用一个VRF关联一个子接口,并使用MPBGP来分发未标记的IPv6路由。这种方案不需要跨域建立LSP,但由于ASBR之间需要建立大量的VRF连接,所以存在扩展性问题。722使用EBGP在域间分发VPN-IPv6路由采用这种方案,域间链路可以不使flglPv6功能,PE设备使用IBGP向ASBR或路由反射器(AsBR是反射器的客户端)分发标记VPNIPv6路由。如果VPNIPv6路由的分发是使用IPv6隧道,BGP下一跳地址字段应当包含IPv6地址;如果采用IPv4隧道,BGP下一跳地址字段应当包含IPv4映射IPv6地址(IPv4一mappedIPv6 address)。ASBR使用EB
30、GP将收到的标记VPNIPv6路由分发到另一个AS内的ASBR,如果路由到达目的As则AsBR通过IBGP将这些路由分发到相应的PE,否则继续使用EBGP分发路由到其他AS。使用这种方案时,只有EBGP连接的端点问存在信任关系时才可以接受VPNIPv6路由,如果路由来自于互联网或者是不可信任的BGP对端,则不应该接受或分发这些路由。ASBR只有在确认收到的标记报文的顶层标签是自己分发给对端ASBRHiJ-,才允许从EBGP对端接受这个标记数据包。如粜网络上存在多个跨自治系统的VPN,不要求使用一个ASBR来处理所有VPN的所有路由,可以使用多个ASBR分别处理VPN子集的路由,提高了网络的扩展
31、性。但这种方案需要跨域建立标记交换路径,因此在路径经过的自治系统问必须形成信任关系,并且必须对由哪些ASBR接受哪些RT的路由达成一致。723多跳EBGP分发VPN-lPv6路由使用这种方案时,需要各自治域要么都使用1Pv4隧道,或者都使用IPv6隧道。多跳EBGP协议(MultihopEBGP)在目的和源AS之间分发VPNIPv6路由和并使用EBGP在相邻AS之问分发标记IPv4或IPv6路由。此时,ASBR既不维护也不分发VPNIPv6路由,ASBR不必配置双栈,ASBR只需维护它所在自治系统内的PE设备的标记IPv4或IPv6主机路由,并使用EBGPtB这些路由分发给其他自治系统。穿越自
32、治系统内的ASBR也使用EBGP来传递这些标记主机路由。这样就从入HPE设备到出12PE设备之间创建了一条IPv4或IPv6标记交换路径,PE设备就能够跨越多个自治系统建立多跳的EBGP连接,并使用这个连接来交换7YD厂r 1 9442009VPNIPv6路由。如果VPNIPv6路由的分发是使用IPv6隧道,BGP下-gJ5地址字段应当包含IPv6地址;如果采用IPv4隧道,BGP下一跳地址字段应当包含IPv4映射IPv6地址(1Pv4-mapped IPv6 address)。如果自治系统内的P设备知道PE设备的主机路由,则多跳EBGP方案可以正常运行,否则就要求数据包的入HPE设备使用三层
33、标签栈,底层标签由出口PE设备分配,对应于特定强内的目的地址;中间标签由ASBR分配,对应于到出HPE设备的主机路由;顶层标签由入HPE设备的IGP下一跳分配,对应于到ASBR的主机路由。为提高扩展性,可以只在不同自治系统的路由反射器之间建立多跳EBGP连接(路由反射器在使用该连接分发路由时,不修改路由的BGP下一跳属性),而PE设备只需和本自治系统内部的ASBR建立IBGP连接即可。这种方案与运营商的运营商十分相似,需要跨域建立标记交换路径。8 IPv6VPN报文封装入EIPE设备将IPv6 VPN数据封装在隧道中按照BGP下一跳地址发送到出HPE设备。当BGP下一跳字段中包含的16字节IP
34、v6地址是IPv4映射IPv6地址(IPv4一mapped IPv6 address)时,入HPE设备使用IPv4隧道封装IPv6 VPN报文。当BGP下一跳字段中包含的16字节IPv6地址不是IPv4映射IPv6地址时(IPv4mappedIPv6 address)时,入HPE设备使用IPv6隧道封装IPv6VPN报文。当PE设备从CE设备收到数据报文时,根据报文的中的目的地址查找相应的VRF,找到正确的VPN-IPv6路由和与VPNIPv6路由相关联的MPLS标签以及BGP下一跳。首先,MPLS标签被压入标签栈栈底,然后报文被封装进相应的隧道中传输到由BGP下一跳标识的出HPE。IPv6
35、VPN数据在骨干网上的传输可以使用不同的隧道封装技术(例如MPLS隧道、口隧道和GRE隧道等),具体的封装格式如图2所示。数据IPv6报文头VPN标签隧道标签=层报文头物理层数据IPv6报文头VPN标签IPv4IPv6隧道报文头=层报文头物理层数据IPv6报文头VPN标签GRE隧道报文头IPv4IPv6报文头=层报文头物理层MPLS隧道的封装方法 IP隧道的封装方法 GRE隧道的劐装方法图2 IPv6 VPN数据在不同骨干网隧道传输时的封装方式9 VPN访问互联网IPv6 VPN访问互联网的方法与IPv4 VPN访问互联网的方法相同,见YDT 1477-2006第9章。需要说明的是如果运营商的
36、骨干网是IPv4网络,IPv6报文必须被封装在隧道中在IPv4网络中进行传输;如果从IPv6VPN中访问IPv6再联网,则必须使用IPv6全局地址,不能使用惟一本地IPv6单播地址(Unique Local IPv6Unicast Addresses)。10运营商的运营商一个运营商的IPv6网络可以构成一个IPv6 VPN,拥有自己的对端设备和路由策略,并从其他运营商处购买骨干网业务,并向自己的客户提供VPN业务。这种情况下,称其为运营商的运营商“cartierS carrier”,YD厂r 1 944-2009该运营商向客户提供IPv6 VPN业务的方法与IPv4 VPN中使用的方法相同,只
37、是在PE和CE之间使用的MPLS(包括LDP)协议适用于IPv6路由。11 VPN管理运营商管理IPv6站点中的CE设备,运营商可以使用IPv4协议用于管理工具与CE设备之间的通信,在这种情况下,CE设备成为v4 VPN的一部分,并且IPv4 VPN又从属于IPv6 VPN。另外,运营商也可以使用IPv6用于管理工具与CE设备之间的通信。mv4 VPN的管理方法适用于IPv6 VPN的管理,具体可以按照以下方案实施:PE设备与CE设备之间的子接口不要求是已编号接口。如果该接口是已编号接口,允许从VPN地址空间或运营商地址空问中为接口分配地址。如果运营商管理CE设备,运营商的网络管理系统(NMs
38、)在和CE设备通信时,就要求在运营商地址空间中为CE设备IPE设备相连的子接口分配地址,并且在该地址空间中全局惟一。同时,网络管理系统自身也通过VRF接口与PE设备连接,并将NMS的地址发布到与被管理CE设备链路关联的所有VRF中,CE设备的地址也被发布-NNMS关联的VRF中(但不是所有VRF)。通过以上配置,允许CE设备和NMs相互通信,而不允许属于不同VPN的CE设备进行通信。具体实现可以使用两个RT(如T1、T2)来确保路由的正确输入,输出,在连接被管理CE设备的VRF接口中,按如下规则配置VRF:一将带有T1属性的路由输入VRF;一将T2属性加到需要分配到对端VRF的路由中。如果运营
39、商网络管理系统连接到另一个VRF接口上,那么配置该VRF时,为网络管理系统的路由附加T1属性,同时允许接收带有T2属性的路由。12安全问题121数据平面数据平面的安全性主要是防止以下情况发生:一VPN内部数据包不遵循VPN配置策略,数据包被发送到VPN以外站点;一VPN外部数据包不遵循VPN配置策略,被发送到VPN内部。在同时满足以下三个条件的情况下,IPv6 VPN提供的数据平面安全性和FR VPN、ATM VPN安全性完全相同,数据不会非法进入或离开VPN。条件1:除非确信数据链路和可信的系统相连,或者确定在检查数据包的口头或其他底层标签之前,数据包可以离开骨干网,骨干网路由器不从该数据链
40、路接收已标记数据包;条件2:不接受非置信系统或不可靠系统发送的标记vPNIPV6路由;条件3:控制平面未受到攻击。上述条件1可以表述为, 如果不满足数据包的顶层标签是接收端为该邻居分配的标签,或者数据包的顶层标签是接收端为经过该邻居的其他系统分配的标记(也就说从接收端到其他系统的路径经过该邻居)的条件,则骨干网路由器丢弃从邻居收到的带标记的数据包。9YD丌1 9442009上述条件2对于跨运营商的情况应该充分考虑,其中第二种跨域方案的安全性易于检查,而第三种方案的安全性还有待进一步研究。使用MPLS提供数据平面的安全性,比用其他形式的D隧道来替代MPLS外层标记的方法更为简单。这是因为,在边缘
41、路由器处拒绝不满足条件l的标记数据包非常容易,而配置路由器来拒绝目的地址为PE的隧道数据包就要困难得多,虽然并非不可能,但必然会为系统的管理和性能带来影响。如果PE路由器支持“MPLS in IP”或者“MPLS in GRE”等封装形式,必须在边缘路由器上进行上述数据包的过滤,或采用可靠的认证手段(例如IPsec认证),否则数据平面的安全性可能遭到破坏。由于BGPMPLS VPN本身并不提供任何形式的加密措施,一般来说,可采用两种加密方案:CECE之间端到端加密;PEPE之间端到端加密。使用基于CECE之间的加密措施不对VPN结构带来任何影响,但是受技术、成本、管理能力的限制,而由运营商提供
42、PEPE之间端到端加密的安全通道,则相对更容易实施,也不会对VPN结构带来任何影响。在IPv6 VPN网络中实现PE-PE端到端加密数据传输,需要在PE设备上保存需要对数据进行加密传输的路由及加密参数信息(例如:密钥,加密算法),并将加密参数信息通过MPBGP扩展协议向对端PE设备发布,当需要进行数据传输时,发送端PE设备根据相关的加密参数信息对数据进行加密传输,接收端PE设备根据加密参数信息进行解密操作,然后转发给相应的CE设备。在多个CE通过局域网(LAN)接口连接lJpE的情况下,为确保安全性必须满足如下条件之一:局域网上所有的CE路由器属于同一个VPN,或一个置信的、安全的局域网交换机
43、将局域网划分为多个VLAN,并且每个VLAN仅包含相同VPN的CE。这种情况下,在转发数据包至IJPE路由器之前,交换机使用相应的VLAN标记(VLAN TAG)为数据包加上标识。122 控制平面数据平面的安全性是依赖于控制平面的安全性的。为保证控制平面的安全性,BGP或LDP都不应与非置信系统建立连接,必要时需要使用TCPIP的MD5验证来确保与置信系统建立可靠连接。在运营商网络内部也应该采取相似措施来保证路由协议的安全性。123 PE和P设备的安全性如果组成VPN的设备的物理安全受到威胁,则数据平面的安全性也可能遭到破坏。因此应该在设备上采取必要措施,以确保设备的配置不被来自互联网的口业务
44、所修改,同时避免拒绝服务(Denial ofService)攻击的发生。1 3服务质量和可靠眭IPv6VPN可以满足用户不断提高的对于高质量QoS、高可靠性的通信需求。IPv6VPNQoS机制与Pv4VPN QoS机制相似,所有适用于IPv4 VPNfftJQoS机制,例!FIDiffserv,Intserv,MPLS TE同样适用于IPv6VPN。IPv6 VPN网络的可靠性则体现在不仅要提供保护路径,更重要的是要提供能够进行快速切换的保护路径。IPv6 VPN可以通过在两端CE设备同时设置双归属PE设备,并在PE设备中预先设置以远端PE设备为起始节点和终止节点的至少两条隧道的转发路径。通常
45、情况下,PE设备根据检测的隧道状态信息以及预先设置的所述隧道的转发路由信息进行业务转发,同时不断检测隧道状态。在发生隧道不可用的情况下,例如隧道的终止节点出现异常时,PE设备可以直接根据预先设置的备份隧道的转发路径进行业务转发,这样就避免了重新选择路由的过程,并节省了转发路径切换的时间,满足了用户对于端到端业务的高可靠性通信需求的需要。10YD厂r 1 944200914可扩展性IPv6VPN网络具有与IPv4VPN网络相同的扩展性。IPv6VPN运营商骨干网包括PE设备、BGP路由反射器、P设备以及支持跨域实现的ASBR设备,各种设备具有以下扩展性:。P设备,由于使用两层标记(底层标记携带V
46、PN路由),P设备并不维护VPN的相关路由。为了正常转发VPN流量,P设备只需要维护到PE设备以及ASBR的路由信息。一PE设备,PE设备维护VPN路由,但仅限于直连vPN的路由。路由反射器,在网络上使用多个路由反射器,并将整个运营商网络上的vPN划分为几个VPN子集,这样单个路由反射器就不必维护网络上所有VPN的路由,而只需要维护一个VPN子集的路由即可。ASBR路由器设备,VPN跨域的情况下,如果ASBR维护和发布VPNIPv6路由,与路由反射器类似,可以采用多个ASBR并分区处理,这样单个ASBR就不必维护所有跨域VPN的路由。如果使用多跳EBGP,ASBR不参与VPNIPv6路由的维护
47、和发布。由此可见,运营商网络中的任何单一设备都不需要维护所有的VPN的所有路由,因此整个网络所能支持的VPN的数量就不会受限于单一设备。IPv6 VPN支持YDT 14762006(基于边界网关协议,多协议标记交换的虚拟专用网(BGPMPLS VPN)技术要求中的分层PE(HoPE)解决方案,分层PE解决方案将一个PE的处理功能分担在多个不同层次的PE上完成,并且可以根据网络容量的需求渐进地升级网络,可以进一步改善网络的可扩展性。YD厂r 1 944200912TF RFCl771TF RFCl997IETF RFC2474玎下RFC2796TF RFC2842TF RFC2858TF RFC
48、2918TF RFC3031TF RFC3032mTF RFC3036H下RFC3037TF RFC3209IETF RFC3215mTF RFC4023IETF RFC4090TF RFC4364F RFC46591下RFC4797n下RFC48171995199619982000200020002000200120012001200120012002200520052006200620072007draftietf-13vpn-ipsec-254705参考文献BGP4协议BGP团体属性IPv4及IPv6包头的DS字段定义BGP4路由反射BGP4能力通告多协议扩展BGP4BGP4路由反射能力MPLS体系结构MPLS标记栈编码LDP规范LDP可行性使用对RSVP的扩展来建立LSP隧道LDP状态机GRE或IP隧道中MPLS报文的封装方法RSVP TE LSP隧道快速重路由BGPMPLS虚拟专用网用于IPv6 VPN的BGPMPLSBGPMPLS VPN扩展在BGPMPLS
