二、基于MPLS的二層VPN
過去，企業(yè)VPN網(wǎng)大多是通過租用數(shù)據(jù)專線（幀中繼或ATM）來組建的二層VPN 。提供二層VPN業(yè)務(wù)時，網(wǎng)絡(luò)提供商只需為客戶提供二層數(shù)據(jù)鏈路層的連通性，由客戶來控制路由并可以靈活地選擇三層協(xié)議，且客戶VPN的安全性相對較高 。但是對網(wǎng)絡(luò)提供商來說，過去FR或ATM網(wǎng)絡(luò)中的一般Internet流量和VPN流量是完全分離的，而且配置傳統(tǒng)的二層VPN存在全網(wǎng)狀連接的N2問題，因此這種傳統(tǒng)的疊加式二層VPN為網(wǎng)絡(luò)維護和治理帶來了沉重的負擔 。目前，采用MPLS技術(shù)的網(wǎng)絡(luò)已經(jīng)被普遍認為是下一代核心網(wǎng)絡(luò)的發(fā)展方向，而MPLS技術(shù)最主要的優(yōu)勢之一就是可以很好地支持VPN業(yè)務(wù) 。網(wǎng)絡(luò)提供商采用基于MPLS網(wǎng)絡(luò)提供二層VPN技術(shù)，可以僅維護和治理單一的網(wǎng)絡(luò)基礎(chǔ)設(shè)施來同時提供二層VPN業(yè)務(wù)、三層VPN業(yè)務(wù)以及其他各種靈活的“盡力而為”或擔保服務(wù)質(zhì)量的IP業(yè)務(wù)，且VPN業(yè)務(wù)的配置實施將更加自動化 。
基于MPLS網(wǎng)絡(luò)的二層VPN技術(shù)實現(xiàn)方案目前主要有兩種，分別是Kompella等提出的二層VPN（以下稱Kompella二層VPN）和Martini等提出的二層VPN（以下稱Martini二層VPN） 。這兩種方案的數(shù)據(jù)平面基本相似，都可以支持多種數(shù)據(jù)鏈路層技術(shù)，如幀中繼、ATMAAL5CPCS模式、ATM透明信元模式、以太網(wǎng)、以太網(wǎng)VLAN、思科HDLC和PPP等，它們的主要差別在于控制平面協(xié)議的使用 。下面分別討論兩種方案的具體實施過程 。
1.Kompella二層VPN
Kompella方案在實施二層VPN時分為以下三步：
第一步，建立LSP 。網(wǎng)絡(luò)在PE路由器間事先建立LSP，可采用RSVP－TE，LDP或CR－LDP中的任一種方法 。這些LSP可被用于多種業(yè)務(wù)，包括傳統(tǒng)Internet、二層VPN、三層VPN等 。這一步實際上是網(wǎng)絡(luò)提供商實施MPLS的一個必要步驟，與二層VPN的實施相對獨立 。

;第二步，在PE路由器上實施VPN信息 。這一步實際上是控制平面建立VPN數(shù)據(jù)傳輸通道的過程，是實施二層VPN的要害 。首先，在PE2路由器上為每一個連接到它的CE設(shè)備建立一個VPN轉(zhuǎn)發(fā)表（VFT），這個轉(zhuǎn)發(fā)表包括該CE設(shè)備的身份識別碼（ID）、可連接CE設(shè)備的最大數(shù)目N、標記值范圍（預留N個連續(xù)的標記）、使用邊界網(wǎng)關(guān)協(xié)議（BGP）時的路由目標共同體標識或使用標記分發(fā)協(xié)議（LDP）時的VPNID，分配給CE－PE連接的一組本地子接口ID 。其次，為每個CE設(shè)備配置VFT表（這里以配置CE3的VFT為例），為VFT中的每個子接口ID分配相應的標記，即要到達CE3的其他CE設(shè)備需要使用的VPN標記，如子接口數(shù)據(jù)鏈路連接標識（DLCI）＝44時，VPN標記＝300；然后使用BGP協(xié)議來實現(xiàn)成員自動發(fā)現(xiàn)和成員間鏈路自動分配，使用基于BGP路由目標共同體和目的地址的路由過濾來配置VPN拓撲 。接下來，PE2利用BGP或LDP協(xié)議向拓撲中的其他VPN成員（如PE1）發(fā)布VPN連接表（VCT），其中VCT是VFT的子集，包含VFT中除本地子接口ID之外的前四項 。收到VCT的PE1路由器更新自己VFT中相關(guān)的子接口ID列表，如子接口DLCI＝33是用于CE1去往CE3的，則為該子接口添加其VPN標記＝300和相應的PE1到PE2的LSP隧道的LSP標記101 。類似地可以配置其他VPN信息 。
第三步，實施VPN數(shù)據(jù)轉(zhuǎn)發(fā) 。數(shù)據(jù)沿第二步建立的VPN通道轉(zhuǎn)發(fā)的具體過程 。CE1發(fā)往CE3的數(shù)據(jù)以DLCI＝33發(fā)往PE1，在PE1處查找相應的VFT，將數(shù)據(jù)的幀中繼頭去掉，壓入兩層標記（VPN標記和LSP標記），核心網(wǎng)中的P路由器象處理普通MPLS分組一樣只是根據(jù)LSP標記進行交換，根本不知道VPN的存在，直到出口前，執(zhí)行倒數(shù)第二跳彈棧（pop） 。在PE2處再根據(jù)VPN標記，查找相應的VFT表，用子接口DLCI＝44恢復二層數(shù)據(jù)格式并轉(zhuǎn)發(fā)給CE3 。
2.Martini二層VPN
Martini二層VPN方案與Kompella二層VPN方案類似，數(shù)據(jù)轉(zhuǎn)發(fā)過程也采用兩層標記堆棧來提高轉(zhuǎn)發(fā)狀態(tài)的可擴展性，只是在Martini二層VPN方案中內(nèi)部標記被稱為虛鏈路（VC）標記，而不是VPN標記，外部標記仍稱為LSP隧道標記 。在控制平面，Martini二層VPN方案采用LDP來更新相應的接口信息，建立VPN通道 。為此不同于發(fā)布VCT表，Martini二層VPN方案定義了一個新的虛鏈路類型長度值（TLV）參數(shù)，在LDP的標記映射和標記撤銷消息中攜帶 。這個VCTLV中包括面向CE設(shè)備的接口參數(shù)、接口的最大傳輸單元（MTU）、連接ATM信元的最大數(shù)量等信息 。另外Martini二層VPN方案定義了在兩層標記和數(shù)據(jù)凈荷之間可選的一個32bit的控制字選項，可用于排序、對小數(shù)據(jù)包的填充以及與數(shù)據(jù)鏈路層協(xié)議相關(guān)的控制位的傳送 。其他的控制和處理過程與Kompella二層VPN方案相同 。

推薦閱讀

• 

  長豆角得炒多長時間能熟
• 

  后面帶黑字兩字詞語有哪些
• 

  微信視頻能保存下來嗎
• 

  荒野大鏢客2光追怎么開 荒野大鏢客2光追怎么打開
• 

  山姆會員店一次能進幾個人-山姆會員店一次能進2個人嗎
• 

  圓明園門票多少錢
• 

  長歌行劉宇寧和趙露思演的什么 長歌行劉宇寧和趙露思的角色簡介
• 

  maya鏡像復制的方法
• 

  唐國強前妻孫濤舊照資料，干什么工作演員嗎？自殺因壯麗是第三者？
• 

  支付寶鉑金會員厲害嗎？ 支付寶鉑金會員厲害嗎是真的嗎
• 

  變臉是怎么變的變臉是哪個劇種的絕活
• 

  用哪個播放器ios,用iPhone聽音樂
• 

  2018周口市房價如何,河南省周口市的房價如何
• 

  幾種水中具有觀賞性的花卉
• 

  下水管反臭怎么處理
• 

  美術(shù)高考前集訓，考美術(shù)專業(yè)的大學之前的集訓究竟是怎么一回事拜托各位大神

• SiteView電信行業(yè)網(wǎng)絡(luò)管理解決方案
• Radware:基于硬件架構(gòu)的電信級高速內(nèi)容檢查服務(wù)
• Radware:電信營運商增值業(yè)務(wù)網(wǎng)絡(luò)優(yōu)化整體方案
• 網(wǎng)絡(luò)詐騙得5萬會判多少年
• Radware:如何實現(xiàn)電信網(wǎng)絡(luò)的Cache和內(nèi)容監(jiān)測設(shè)備的負載均衡
• 如何刪除網(wǎng)絡(luò)設(shè)施1
• 標準互聯(lián)網(wǎng)絡(luò)管理框架第三版介紹
• ds網(wǎng)絡(luò)語言什么意思
• SNMP 簡單網(wǎng)絡(luò)管理協(xié)議的體系結(jié)構(gòu)
• 紅茶什么意思網(wǎng)絡(luò)