rfc2547.txt

RFC规范的翻译稿

组织：中国互动出版网（http://www.china-pub.com/）
RFC文档中文翻译计划（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
译者：maggiee（maggiee  maggiee@etang.com）
译文发布时间：2001-6-5
版权：本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载，但必须保留本文档的翻译及版权信息。

 
Network Working Group                                           E. Rosen
Request for Comments: 2547                                    Y. Rekhter
Category: Informational                              Cisco Systems, Inc.
March 1999


RFC2547  BGP/MPLS VPNs

Status of this Memo

   This memo provides information for the Internet community.  It does
   not specify an Internet standard of any kind.  Distribution of this
   memo is unlimited.

Copyright Notice
   Copyright (C) The Internet Society (1999).  All Rights Reserved.

摘要
本文档描述了拥有IP骨干网的服务提供商SP为其客户提供VPN服务的一种方法。在骨干网中，使用MPLS（多协议标签交换）进行包转发，BPG（边界网关协议）进行路由信息分发。这个方法主要目地是为企业网络提供IP骨干网服务的外包。这种方法不仅对企业而言很简单，对SP而言也有较好的可扩展性和灵活性，还可以提供增值服务。同时，这种方法还可以建立一个为客户提供IP服务的VPN。
 


目录
1. 简介	3
1.1  虚拟专用网Virtual Private Networks	3
1.2  边缘设备	3
1.3  有重叠地址空间的VPNs	4
1.4  由不同路由到达同一系统的VPN	4
1.5  PE上的转发表	4
1.6  SP 主干网路由器	5
1.7  安全Security	5
2. 站点和CE	5
3. PE中基于站点的转发表	6
3.1  虚拟站点	6
4. 用BGP分发VPN路由信息	7
4.1  VPN-IPv4地址族	7
4.2  控制路由分发	8
4.2.1  目标VPN属性	8
4.2.2  用BGP在PE中分发路由	9
4.2.3. 源VPN属性	10
4.2.4. 用目标和源属性组建VPN	10
5. 在主干网上的转发	11
6. PE如何从CE学习路由	12
7. CE如何从PE学习路由	14
8. CE支持MPLS	14
8.1 虚站点	14
8.2 用Stub VPN 表示 ISP VPN	14
9. 安全	14
9.1. CE路由器间的点到点安全隧道	15
9.2. 多方安全关联	15
10. 服务质量	16
12. 版权事宜	16
13. 安全考虑	17
14. 致谢	17
15. 作者地址	17
16. 参考文献	17
17. 版权说明	18
 
1. 简介
1.1  虚拟专用网Virtual Private Networks

与被称为主干网的公共网相连的是一个“站点”集合。我们基于某些原则创建该集合的若干子集，并附加如下规则：只有当两个站点都同在某个子集里时，两者间才可能存在经由该主干网的IP互连。

我们创建的这些子集就是“虚拟专用网”（VPNs）。只有同属某个VPN时，两个站点间才存在经公共主干网的IP连接。不属同一个VPN的两个站点间没有经主干网的连接。

如果一个VPN中的所有站点都属同一个企业，这个VPN就是一个公司“内联网”。如果分属不同企业，该VPN就是个“外联网”。一个站点可在多个VPN中，如一个内联网和多个外联网中。内联网和外联网我们都视作VPN。一般而言，我们说的VPN并不区分内联网或外联网。

我们主要考虑主干网为一个或多个服务提供商（SPs）所拥有的情况。站点为SP的用户所有，决定某些站点是否属于一个VPN的策略由用户制定。有些用户可能希望完全由SP负责这些策略的执行，有些用户可能希望自己独立承担或与SP分担这项任务。在本文中，我们主要讨论这些策略的执行机制。这些机制既可以由SP单独执行，也可以由VPN用户与SP共同完成。这里，我们主要讨论前者。
   
本文中所讨论的机制可用于多种策略的执行。如对给定的一个VPN，每个站点与其它所有站点都有直接连接（全连接），或者也可以限制某些站点间的直接连接（半连接）。
  
本文中我们感兴趣的是公共主干网提供IP服务的情况。我们关注于在一定契约条件下，一个服务提供商SP或多个SP为企业提供主干网的情形，而并非是基于公共Internet的VPN。
  
下面，我们将详细说明VPN 应有的特性。本文的其余部分我们描述了一个具备所有这些特性的VPN模型。该模型可视作[4]中描述的框架结构的实例。
  
1.2  边缘设备
假定每个站点都有一个或多个用户边缘（CE）设备，并都通过某种数据连接方式（如PPP，ATM，ethernet, Frame Relay, GRE tunnel等）与一个或多个供应商边缘（PE）路由器相连。
   
如果某个站点只有一个主机，这个主机可能就是CE设备。如果该站点有一个子网，CE设备可能是个交换机。一般而言，希望CE设备是路由器，我们称之为CE路由器。
  
如果一个PE路由器与某个VPN的一个CE设备相连，我们就说这个路由器与该VPN相连。同样，如果一个PE路由器与某个站点的一个CE设备相连，则称这个路由器与该站点相连。