一个 VPN 是模仿了一个通用的基础设施的专用网络的网络。专用网络要求所有客户站点都能够互连并与其他VPN完全分开。VPN通常属于一家公司,并具有跨通用服务提供商基础结构互连的多个站点。
服务提供商可以部署两种主要的VPN模型来为其客户提供VPN服务:
- Overlay VPN模型
- 对等VPN模型
Overlay VPN模型
在上层overlay模型中,服务提供商在其客户路由器之间的网络上提供点对点链接或虚拟电路服务。客户路由器直接通过服务提供商的链路或虚拟电路在它们之间形成路由对等。
来自服务提供商的路由器或交换机在服务提供商网络上承载客户数据,但是在客户和服务提供商路由器之间没有路由对等发生。结果是服务提供商路由器永远看不到客户路由。
这些点对点服务可以是第1层,第2层甚至第3层。第1层的示例是时分复用(TDM),E1,E3,SONET和SDH链路。第2层的示例是由X.25,ATM或帧中继创建的虚拟电路。
下图显示了在帧中继上构建的上层overlay网络的示例。在服务提供商网络中是帧中继交换机,它们在帧中继网络边缘的客户路由器之间建立虚拟电路。
上层overlay服务也可以通过IP第3层协议提供。在IP上构建上层overlay网络的最常用隧道是通用路由封装(GRE)隧道。
这些隧道使用GRE标头和IP标头封装流量。GRE标头指示传输的协议是什么。IP标头用于通过服务提供商网络路由数据包。
下图显示了具有GRE隧道的上层overlay网络的示例。GRE隧道的优点之一是它们可以路由IP流量以外的流量。
可以在GRE隧道上使用IPsec,从而在加密数据时提供安全性。
对等VPN模型
在对等VPN模型中,服务提供商路由器通过网络承载客户数据,但它们也参与客户路由。换句话说,服务提供商路由器直接与第3层的客户路由器对等。结果是,客户与服务提供商路由器之间存在一种路由协议邻居或邻接关系。
下图显示了对等VPN模型的概念。
在MPLS出现之前,可以通过在客户和服务提供商路由器之间创建IP路由对等来实现对等VPN模型。VPN模型还需要不同客户之间的私有性或隔离性。
您可以通过配置数据包筛选器(访问列表)来控制往返于客户路由器的数据来实现此目的。实现私密性的另一种方法是配置路由过滤器以通告路由或停止将路由通告给客户路由。或者,您可以同时部署这两种方法。
在MPLS出现之前,与点对点VPN模型相比,上层overlayVPN模型的部署要普遍得多。对等VPN模型对资源调配的要求很高,因为添加一个客户站点需要在许多站点进行许多配置更改。MPLS VPN是MPLS的一种应用,它使对等VPN模型的实现更加容易。
现在,添加或删除客户站点变得更容易配置,因此需要更少的时间和精力。使用MPLS VPN,一台称为客户边缘(CE)路由器的客户路由器在IP层上与至少一台称为提供商边缘(PE)路由器的服务提供商对等。
带有MPLS的虚拟路由转发(VRF)
MPLS VPN网络中的专用性是通过使用虚拟路由/转发(VRF)的概念以及将数据作为标记的数据包在主干中转发的事实来实现的。
VRF确保来自不同客户的路由信息保持独立,并且骨干网中的MPLS确保数据包是基于标签信息而不是基于IP头信息进行转发。
下图显示了VRF的概念,并在运行MPLS VPN的网络的骨干网中转发带标签的数据包。
添加一个客户站点意味着在PE路由器上,仅必须添加与CE路由器的对等体。您不必像创建上层overlay模型那样麻烦地创建许多虚拟电路,也不必通过IP网络使用对等VPN模型来配置数据包过滤器或路由过滤器。这是MPLS VPN对服务提供商的好处。
服务提供商的另一个好处是,它只需要在PE和CE路由器之间设置链接。使用上层overlay模型,服务提供商需要提供站点之间的链接或虚拟电路。
预测一个站点的流量以及带宽需求比预测所有客户站点之间的完整流量模型要容易得多。
列出与上层overlayVPN模型相比的对等VPN模型的缺点是很公平的:
- 客户必须与服务提供商共同承担路由责任。
- 服务提供商的边缘设备增加了负担。
第一个缺点是客户必须与服务提供商建立路由对等方。与上层overlay模型一样,客户不再在第3层以及IP路由方面控制其网络端到端。
第二个缺点是对于服务提供商。服务提供商的负担是边缘设备(PE路由器)的额外任务。服务提供商负责客户网络的可扩展性和路由收敛,因为PE路由器必须能够承载许多客户的所有路由,同时提供及时的路由收敛。