網(wǎng)絡(luò)中MPLS VPN的設(shè)計(jì)和實(shí)施考慮

基本功能
MPLS VPN的建設(shè)在MPLS網(wǎng)絡(luò)的基礎(chǔ)設(shè)施上，VPN骨干網(wǎng)絡(luò)由兩部分組成：PE路由器和P路由器。

PE routers擁有并維護(hù)與其直接相連的VPN的路由信息。由于PE負(fù)責(zé)打 VPN標(biāo)簽和IGP標(biāo)簽兩層標(biāo)簽(詳見RFC2574的規(guī)定)，PE必須是一個(gè)邊緣LSR。

PE routers通過MP-iBGP協(xié)議(見RFC2283規(guī)定)交換VPN的路由信息，選用 MP-iBGP作為路由協(xié)議的原因是MPLS VPN要求傳送多種地址家族，并且還要傳送VPN的屬性。

PE與CE之間采用普通的IGP協(xié)議，如RIPv2，OSPF，Static Route，也可以采用EBGP協(xié)議，因而當(dāng)采用MPLSVPN技術(shù)時(shí)，用戶側(cè)的原有路由協(xié)不需要修改和重新配置。

出于安全性的考慮，在PE與CE之間做適當(dāng)?shù)脑L問控制，CE可以不均許從 PE能夠Telnet到CE路由器，即用戶側(cè)數(shù)據(jù)完全可由用戶側(cè)自己進(jìn)行維護(hù)處理；同時(shí)在位于局端的PE上，也不均許CE Telnet到PE上。

P router是LSR (MPLS節(jié)點(diǎn)) P router完全依據(jù)MPLS的包封(ENCAP)來作出前傳決定。由于P router完全不需要讀取原始的數(shù)據(jù)包信息來作出前傳決定，P不需要擁有VPN的路由信息。因此P只參與骨干IGP的路由。

實(shí)施規(guī)則

在ICS數(shù)據(jù)網(wǎng)絡(luò)中，所有的MPLS節(jié)點(diǎn)可以有一個(gè)和多個(gè)邊緣LSR.在只有路由器的節(jié)點(diǎn)處，路由器可以作為邊緣LSR；如果有VPN用戶，該路由器又可以被作為PE。為VPN用戶提供Internet連接，包括以下幾種方式：

－PE router上的接口定義為Internet網(wǎng)關(guān)，即Internet網(wǎng)關(guān)與PE Router共同存 在一個(gè)設(shè)備上；

－ 將PE Router接口與Internet網(wǎng)關(guān)連接，依據(jù)業(yè)務(wù)等級協(xié)議(SLA)采用CAR 進(jìn)行流量限制。 如果用戶有由ICS維護(hù)的防火墻，或者服務(wù)器放在ICS一方，則通過以太網(wǎng)交換機(jī)使用PE上的FE接口連接到Internet網(wǎng)關(guān)。

虛擬ISP

虛擬ISP，其含義是ICS通過提供出租端口包括專線端口或撥號(hào)端口，利用網(wǎng)絡(luò)的承載服務(wù)，為ISP提供透明網(wǎng)絡(luò)服務(wù)和虛擬的業(yè)務(wù)服務(wù)，即該ISP利用ICS所提供的撥號(hào)，接入，線路，傳送和Hosting等服務(wù)來建立自己的服務(wù)中心，各ISP擁有自己的用戶群，而各ISP之間是相對獨(dú)立的，或可以通過策略控制可以進(jìn)行信息互訪。

虛擬ISP目前能夠利用ICS所提供的認(rèn)證服務(wù)功能，大容量存儲(chǔ)能力，豐富的端口類型和資源，以及豐富的帶寬資源來提供具有各自特色的網(wǎng)絡(luò)服務(wù)，這些業(yè)務(wù)可包括VPDN，Web Hosting，Email Hosting等。