rfcrfc2764.txt

本程序为在linux下实现FTP传输文件的实现

假定用于IGP的是RIP，其实也可以是其他IGP。ISP边缘路由器将插入VPRN路由RIP的实例，该实
例就是通过5.3.4描述的内联VPRN可达性机制学习获得的。注意运行载CPE的RIP实例以及任何用
于学习内联VPRN可达性（甚至RIP）的路由协议实例都是独立的，由ISP边缘路由器从一个实例
把路由重发布到另一个边缘路由器。
5.3.3.1.3 多宿连接
    CPE路由器对于ISP网络来说是多宿的，提供VPRN连接性。
    这种情况下，所有的ISP边缘路由器可以把相同的VPRN路由广播到CPE路由器，后者便可以
通过所有链路认知所有可达VPRN前缀。当然还有其他特殊的重发布，ISP边缘路由器对CPE路由
器广播不同的前缀集。
5.3.3.1.4 后门连接
    CPE路由器连接到ISP网络上，后者提供VPRN连接，但也可以由一个后门链接直接通往客户
站点。
    这种情况下，ISP边缘路由器将广播VPRN路由到CPE设备上。然而现在相同的目的地是如何
通过ISP边缘路由器和后门链接达到的呢？如果连接到后门链路上的CPE路由器运行了客户IGP，
那么后门链路总是作为优先链路，就像一个内部链路一样，而通过ISP边缘路由器插入的目的地
就好像是外部通道（对于客户IGP来说），为了避免这种情况，假设客户希望自己的数据流量通
过ISP网络，就需要一个独立的RIP运行在后门链路两端的CPE路由器上，就如RIP运行在桩链路
或者备份链路（在CPE路由器和ISP边缘路由器之间）一样，这便使得后门链路像向外部通路一
样，通过适当调整该链路的费用，ISP通道可以总是可以优先，除非它关闭，后门链路才启用。
    上面就等于描述了ISP边缘路由器和CPE路由器各自的可达性信息要求，以及传送这些信息
的机制。下面的小节将详细介绍这些机制。
5.3.3.2 路由协议实例
    路由协议可以运行在CPE边缘路由器和ISP边缘路由器之间，交换可达性信息，这样可以使
ISP边缘路由器在客户站点学习可达VPRN前缀，以及让CPE路由器通过业务提供商网络学习可达
目的地。
    虽然客户也运行相同的协议，就像它的IGP，但是这个协议路由域的只扩展到ISP边缘路由
器和CPE路由器，域可以扩展到客户站点，如果客户站点正在运行一个不同的路由协议，CPE在
ISP边缘路由器实例和客户站点实例之间重发布路由。
    考虑到这个路由实例的限制，一个简单的协议就足够了，RIP可能是最普通的协议，其他也
可，如OSPF或者BGP运行在内部模式（IBGP）。
    注意桩链路路由协议的实例是不同于内联VPRN可达性路由协议实例的，例如，如果ISP边缘
路由器用路由协议背载操作，通过内核发布VPRN成员资格和可达性信息，那么它就可以由CPE
路由实例到核心路由协议实例重发布合适标签的路由，用于每个实例的路协议弱化了，任何合
适的协议可以用在每个场合。不需要相同的协议，甚至不需要相同的桩链路可达性信息收集机
制，不需要它运行在CPE路由器和某一VPRN关联的ISP边缘路由器之间，因为这纯粹是本地事务。
    这种弱化允许ISP使用一种普通的内联VPRN机制，通过这些机制，各个VPRN互相隔离，也隔
离于客户网络的IGP。在第一种情况中，ISP可以不和桩链路操作，就能获得和内联VPRN可达性
机制的隔离；第二种情况，ISP不需要知道客户站点的IGP。还有其他一些情况，如ISP边缘路由
器和客户站点运行相同的IGP，但这很不实际，因为这样便失去了VPRN简化CPE路由器配置的目
的。如果要让客户在多站点上运行IGP，VPLS方案比较合适。
    注意，如果某一客户站点同时属于几个VPRN（或者希望同时与VPRN和Internet通信），ISP
边缘路由器必须映射桩链路地址前缀到特定的VPRN。简单一点，可以在每个VPRN中使用多条桩
链路，通过确保（或者，通过配置ISP边缘路由器，使其知道）某一非结合的地址前缀映射到单
个的VPRN，或者由用合适的VPN标识标记来自于CPE路由器的路由广播，从而可以在同一条桩链
路上运行多个VPRN。如，MPLS传送桩链路可达性信息，不同的MPLS标记将用来区别不同的VPRN
所分配的前缀。不论如何，这种协同都需要一些管理规程。
5.3.3.3 配置
    跨过每一个桩链路的可达性信息可以手工配置，当地址集和前缀集很小或者为静态时比较
合适。
5.3.3.4 ISP管理的地址
    每一个桩站点的地址集可以由VPRN的边缘路由器管理和分配，当客户站点比较小的时候比
较合适，特别是包含单主机或者单子集。地址分配可以由PPP或者DHCP【37】来完成，如，边缘
路由器作为一个Radius客户，检索客户IP地址，或者作为一个DHCP中继，检查DHCP消息，中继
给客户站点，这时的边缘路由器需要建立桩链路可达性信息表。虽然这些IP地址分配机制一般
用于分配给单个的主机，一些销售商加了一些扩展，使其可以分配地址前缀。在某些情况下，
让CPE设备可以作为一个小型DHCP服务器，在客户站点为主机分配地址。
    注意在这些方案下，地址分配服务器有责任保证VPN的每个站点收到不同的地址空间，也要
注意，ISP通常只为小的桩站点使用这种机制，小站点不太可能有后门链路。
5.3.3.5 MPLS LDP
    CPE路由器运行MPLS时，LDP可以在桩站点传送前缀集给VPRN边缘路由器。用下行标记发布
的主动模式，CPE可以从头站点的每个路由器发布一个标记。然而需要注意的是，由于是LDP学
习新路由，而不是从存在的路由器学习标记－－通过标准路由机制学习，边缘路由器执行的处
理就不仅仅是普通的LDP处理过程。
5.3.4 内联VPN可达性信息
    一旦边缘路由器确定了联结每个桩链路的前缀集，这个信息便必须马上发布到每个边缘路
由器。这里也有一个隐含的要求，那就是可达地址集本地唯一，也就是说，每个VPRN桩链路（不
执行负载共享）维护与任何其他地址空间无关的一个地址空间。实际中虽然不是要求这样，但
至少希望这样，这个地址空间要很好的分割开，如，每个边缘路由器用一个特殊的地址前缀，
以便消除维护发布大数量主机路由的必要。
    内联VPN可达性信息的发布可以通过许多途径解决，下面将分别叙述一下它们其中的几个。
5.3.4.1 直接查找
    和VPRN成员信息一起，中心目录可以维护连接每一个客户站点的地址前缀列表，这样的信
息可以由服务器通过边缘路由器协议的交互作用获得，注意5.3.2讨论到的目录同步问题也可以
应用在这个场合。
5.3.4.2 显式配置
    地址空间可以显式配置，但是这样不容易升级，特别是当使用随机拓扑时，同时这也提出
了管理系统如何学习这些信息的问题。
5.3.4.3 本地内联VPRN路由实例化
    在这种方法中，每个边缘路由器运行一个路由协议（一个"虚路由"）的实例，通过VPRN
隧道到每个对端边缘路由器，发布内联VPRN可达性信息。由于路由协议自身可以运行在任何拓
扑上，全网拓扑和随机拓扑都可以很容易的得到支持。内联VPRN路由广播可能不同于普通的隧
道数据包，它可以直接定址对端边缘路由器，或者使用隧道特殊机制。
    注意这里的内联VPRN路由协议可以和任何客户站点的IGP协议以及ISP在IP骨干网的其他路
由协议不发生任何关系。根据VPRN尺寸的大小和规模，不论是简单的RIP协议还是复杂的OSPF
协议都可以使用。由于内联VPRN路由协议运行在IP骨干网之上，对于任何中间路由器完全透明，
对于不在VPRN内的任何其他边缘路由器也完全透明，这也暗示了这样的路由信息可以对这样的
路由器保持不透明，在一些场合下这提供了必要的安全要求。也要注意，如果路由协议象数据
一样直接运行在同一个隧道上，那么它和数据流量有同等水平的安全，例如强加密或者认证。
    如果内联VPRN路由协议所运行的隧道对于特定VPN（如，一个不同的复接域）是专用的，那
么就不需要改变路由协议自身；另一方面，如果使用了共享隧道，那么就很有必要扩展路由协
议，以允许VPN－ID包含在路由更新包中，允许前缀集连接到特定的VPN上。
5.3.4.4 链路可达性协议
    链路可达性协议就是允许两个节点通过点到点链路连接，相互交换可达性信息，对于全网
拓扑，每个边缘路由器可以运行链路可达性协议，例如MPLS CR－LDP的一些变种，通过隧道到
每个对端边缘路由器，在两个边缘路由器之间通过隧道运载VPN－ID和可达性信息。如果VPRN
成员信息已经发布到边缘路由器，那么就不再需要传统的邻路由发现协议，因为邻节点集已经
知道了。TCP连接可以用来互联邻接点，提供可达性。这个方法可以减少每个VPRN的路由协议实
例的处理负担，可以支持多VPRN使用共享隧道机制连接边缘路由器时。
    另一个链路可达性协议的方法可以基于IBGP，这时链路可达性协议需要解决的问题与IBGP
非常相似－－在边缘路由器之间可靠传送地址前缀。
    用链路可达性协议可以直接支持全网拓扑－－每个边缘路由器传送它的本地可达性信息到
其他所有的路由器上，但是却决不把从其他路由器接收来的信息重发布。然而，一旦需要支持
随机拓扑，链路可达性协议需要开发成一个全路由协议，由于需要避免死环，重新发明一种路
由协议没有什么好处。为什么在一个隧道环境中也需要部分连接网已经在5.1.1中讨论过。
5.3.4.5 IP骨干网路由协议的背载操作
    VPRN成员资格和关联于每个头接口的地址前缀也背载在从每个边缘路由器的路由广播和网
络的传播中。其他路由器就像它们获得VPRN成员资格信息那样（隐含在每个路由广播源的标识
中）抽取该信息。注意，由于所设计路由协议的特性，这个方案可能要求中间路由器－－如边
缘路由器，缓存内联VPRN路由信息，以便重发；同时，这也隐含了安全要求，提出了内联VPRN
路由信息可能的安全水平。
    注意，上面所说的任何情况，边缘路由器都要以某种方式发布桩链路前缀，以允许从远端
边缘路由器直接流出桩链路的隧道传输。它也可以发布这些信息，以便让边缘路由器关联所有
的前缀，而不是特定的桩链路。这种情况下，边缘路由器需要实现一个VPN特殊转发机制以导出
流量，确定正确的桩链路。这样做的一个好处就是可以很大程度上减少不同隧道的数目以及需
要创建和维护隧道的标签信息。注意，这个选择只是本地事件，对于远端边缘路由器是不可见
的。
5.3.5 隧道机制
    一旦VPRN成员资格信息得到发布，包含VPRN内核的隧道就可以构建了。
    建立隧道网的一种方法是用点到点IP隧道，这种隧道的要求和存在的问题已经在3.0节中讨
论过了，例如，虽然隧道的建立可以通过手工配置，但是却不容易升级，（数量级O（n^2））。
象这样的话，隧道的建立需要用某些形式的信令协议，以允许两个节点构建隧道，能够知道双
方的身份。
    另一种方法是用多点到点的隧道，如MPLS。如【38】所提到的，MPLS可以视为某种形式的
IP隧道，由于MPLS包的标记允许路由，弱化了数据包本身地址信息的作用。MPLS标记发布机制
可以用来关联MPLS标记集和出口点（如桩链路和边缘路由器)的VPRN地址前缀，因而允许其他路
由器显式地标记和路由，把流量导向特定的VPRN头链路。
    MPLS的引人之处在于，作为一种隧道机制，它仅仅要求很少的处理，这主要是因为MPLS网
络的数据安全隐含在显式的标记绑定中，而不象面向网络的连接，如帧中继。因而使得用户不
必为数据安全的处理做过多考虑，比如IPSec。然而，MPLS却有其他潜在的安全问题，它没有直
接的认证、机密性和完整性这样的安全特性，MPLS的信任模型意味着需要通过中间路由器，（可
能属于不同管理域）来传送成员资格和前缀可达性信息，因而中间路由器必须得到信任，而不
仅是边缘路由器本身。

5.4 多宿桩路由器
    这里假定桩路由器仅仅连在一个VPRN边缘路由器，总起说来，如果市场因为可靠性或者其
他原因，这个限制可以减少VPRN操作。特别是如果桩路由器支持多宿冗余链路，一次只有一个
运行，链路连在同一个VPRN边缘路由器上，或者两个或多个不同VPRN边缘路由器上，那么桩链
路可达性机制既要能够发现活动链路的丢失，又要主要备份链路的活动。在前一种情况，前一
个连接的VPRN边缘路由器将停止广播可达性信息，而带有活动链路地VPRN边缘路由器将开始广
播可达性，然后存储连接