锐捷网络——VPE原理介绍

1    背景介绍

1.1 名词解释

MPLS：（Multi-protocol Label Switching）多协议标签交换，所谓多协议是指MPLS 支持多种网络层协议，例如IP、IPv6、IPX等；而且兼容包括ATM 、帧中继、以太网、PPP 等在内的多种链路层技术；所谓标签交换就是对报文附上标签，根据标签进行转发。在VPE中的MPLS技术应用于Layer3的VPN中，使用BGP作为标签分发协议，在服务提供商网络的PE之间交换VPN路由以及绑定的标签。

VPN：（Virtual Private Network）虚拟专用网。通过组合数据封装和加密技术，实现私有数据通过公共网络平台进行安全传输，从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接，或者提供移动用户安全的通过公共网络平台接入内网。

VPDN：(virtual private dialup networks)虚拟专用拨号网络技术, 是有拨号业务的VPN技术，即利用拨号方式通过公用电话网(PSTN)或综合业务数字网(ISDN)和接入网实现的虚拟专用网。VPDN先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中，用双层封装方法形成数据包靠第二层协议进行传输。第二层隧道协议包括PPTP和L2TP。

PPTP：(point-to-point tunneling protocol)点对点隧道协议，依靠TCP传输。

L2TP：（Layer 2 Tunneling Protocol ）第二层隧道协议，依靠UDP传输。

VRF：（VPN Routing & Forwarding Instance，VPN路由转发实例）可以看作虚拟的路由器，该虚拟路由器包括以下元素：一张独立的路由表，从而包括了独立的地址空间；一组归属于这个VRF的路由器接口的集合；一组只用于本VRF的路由协议。

1.2       技术背景

随着企业的发展，很多公司都在外地设有分公司或移动办公的人员，这些部门之间需要有一些专线联接起来，如果租用专线的话会造成高额的费用和资源的浪费，因此虚拟专用网VPN随之而生。VPN技术通过组合数据封装和加密技术来构建隧道，实现私有数据通过公共网络平台进行安全传输，从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接，或者提供移动用户安全的通过公共网络平台接入内网。

目前广泛应用的VPN技术包括IPSEC/ L2TP/GRE（可以统称为IP VPN）和 MPLS VPN。虽然都称之为VPN技术，但IP VPN和MPLS VPN在企业网中的作用有明显的不同。

• MPLS VPN是目前比较理想的实现网络资源分配和安全隔离的技术，通常用于网络的核心层与汇聚层，MPLS VPN技术可以将一个物理的企业网络划分为多个独立的“逻辑网络”，每类业务都可以获得一部分网络资源供自己使用，包括地址空间、路由转发表、带宽、隧道、服务质量等。而IT部门也可以在总部对全局的网络资源实现统一管理和分配。
• IP VPN可以取代专线接入，通过Internet将远程分支、合作伙伴和移动办公用户安全高效地接入到企业网中。

MPLS VPN和IP VPN在企业网都获得了广泛应用，但从网络全局来看，MPLS VPN的应用范围基本限制在企业内部网中，这样企业网的资源划分与安全隔离就无法跨越公网延伸到网络的最边缘。而IP VPN虽然实现了网络边缘节点对企业网的安全访问，但无法实现不同业务的安全隔离与区别服务。因此单纯采用任何一种VPN技术都不足以实现端到端的VPN业务，企业需要更加完善的VPN解决方案。当前企业VPN技术普遍存在的问题是：MPLS VPN和IP VPN各自为政，无法形成全程全网的VPN解决方案。

因此就有一个新的技术：结合MPLS VPN和IP VPN网络的技术——VPE。

VPE需要的功能：

• BGP MPLS技术
• VRF技术
• TUNNEL VRF技术（可以实现TUNNEL隧道和MPLS的互连）
• VPDN VRF技术（可以实现VPDN隧道和MPLS的互连）
• VPDN域认证技术（该域认证技术，专门为VPDN设计，仅支持VPDN域认证，用于查找VRF）

VPE可以将MPLS VPN和IP VPN结合起来，形成全网的VPN解决方案。

做为用户边缘的CE设备可以通过TUNNEL隧道和远端的PE相连，静态的配置VRF，进入VPN专网；也可以使用带域名的用户名，通过VPDN拨号与远端PE相连，通过域名动态的分配VRF，进入VPN专网。

2    原理概述

2.1       VPE技术原理描述

VPE（VPN网关 ＋ PE）是一种特殊的PE，它和CE之间的连接方式不是传统的DDN/E1/POS/ETH/PVC等专线技术，而是IPSEC/L2TP/GRE/IPIP VPN等隧道技术。VPE同时肩负起了VPN网关和PE设备的作用。VPE实现的核心功能是IP VPN隧道与MPLS VPN之间的映射和衔接，可在网络的边缘实现了网络资源的逻辑划分及安全隔离，使核心网与边缘网络形成了一个整体。

全网VPN结构可以分为两个层面。

• MPLS VPN用于实现企业网络资源逻辑划分和安全隔离，通常用于网络结构的核心层与汇聚层，为VPN结构的第一层面。
• IP VPN技术使远程分支、合作伙伴和移动办公用户安全高效地接入到企业网，通常应用于网络结构的边缘，为VPN结构的第二个层面。

而VPE设备就是连接两个VPN结构层面的桥梁。一方面作为VPN网关接入大量远程分支以及合作伙伴和移动办公用户，另一方面作为核心网的PE节点。

由于用GRE/IPIP TUNNEL隧道连接CE和PE的技术属于静态的连接技术，使用较为单一，在此不多阐述，以下介绍VPE技术，将详细介绍L2TP+MPLS的技术。

L2TP和MPLS结合的VPE涉及到的关键技术包括：VPDN VRF技术，VPDN 域认证技术，MPLS路由学习技术。

2.2       VPDN VRF技术

在一个基本的MPLS VPN网络中，CE通过网络连接到PE，CE设备接入PE设备的接口上需要绑定相对应的VRF，CE的数据报文到达PE上需转发报文时就查询对应的VRF路由表，查到路由后，在报文上打上MPLS标签进行转发，数据报文只能在同一个VRF内进行转发，保证了VPN的隔离。

VPE就是将CE和PE之间连接换成了IP VPN网络，以L2TP隧道为例，CE用户通过L2TP拨号连接建立隧道到PE设备上，这时L2TP隧道是终结在PE设备上的，隧道的两端分别是CE和PE。数据报文在CE端被封装成L2TP数据报文，报文头分别是（内层IP+L2TP+UDP+外层IP），其中外层IP只是帮助数据报文穿越CE和PE间的网络到达企业网的边缘，报文到达PE后就会被解封装，使其只剩下内层IP报文，这时的数据报文和一个普通的MPLS VPN网络中的数据报文是一样的，需要找寻对应的VRF路由表，查询路由进行转发，这就需要将L2TP隧道的接口映射到MPLS的VRF路由表中。这种映射技术就是VPDN VRF技术。

VPDN VRF技术通过将VPDN的隧道逻辑接口绑定到VRF上，将L2TP的隧道 Session（ 会话）和MPLS VPN的三层 VRF进行映射，终结L2TP隧道，将网络载荷转移到MPLS三层VPN隧道中。这种转换丝毫不影响MPLS VPN的原有设置和路由，用户感觉不到这种网络变化。

2.2.1    VRF跨越

VRF跨越技术就是使封装前的数据报文走一个VRF查找路由，封装后的数据报文进入另一个VRF查找路由，使得数据报文可以从一个VRF顺利的进入另一个VRF中进行传输，实现跨越。

一般的隧道报文都会进行多层封装，以L2TP隧道VRF 跨越技术为例：

• 首先，需要传输的数据报文属于VRF 1，该报文不能由属于别的VRF的接口转发，并且该报文的路由指向L2TP隧道接口，该隧道接口也绑定在VRF 1上，进入隧道后L2TP模块会对数据报文进行封装。
• 封装后的报文会被加一个外层的传输头，外层填写的是隧道的源和目的地址， 路由指向L2TP隧道的另一端的出接口，出接口属于VRF 2，这时在封装时就会修改数据报文的VRF属性，使其属于VRF 2从出接口传输出去。
• 对端设备接收到L2TP数据报文后，就会对其进行解封装，送到L2TP隧道接口上，这时该隧道接口属于VRF 3，此时修改解封装后的数据报文的VRF属性，使其属于VRF 3，并查找VRF 3的路由表进行转发。

2.2.2    LAC VRF

LAC是L2TP的客户端，是发起L2TP拨号的一方，LAC的逻辑接口是Virtual-ppp口，以下简称VP口，每个VP对应一条L2TP会话，VP口是可配置的，因此LAC的VRF支持技术，只用在VP口上做相应的VRF配置，使VP口绑定在相应VRF里，实现接口和VRF的静态绑定。

2.2.3    LNS VRF

LNS是L2TP服务器端，接收来自LAC拨号，LNS的逻辑接口是virtual-template和virtual-access，以下简称VT和VA口。VT口是一个模版接口，本身是不会转发报文的，该接口与vpdn-group绑定，可配置。VA口是不可配置的，依靠L2TP隧道协商协议生成，生成时拷贝VT口上的配置，每个VA口对应一个L2TP会话，一个VT口可以对应多个VA口，VA口负责处理转发经过的L2TP数据报文。因此LNS的VRF技术就是将VA口绑定在指定的VRF上。

由于VA口是动态生成，不可配置的，因此必须在生成的过程中动态的绑定，有两种绑定的方法：

• 由于VA口拷贝的是VT口的配置，VT口可以配置，因此可以将VT口预先绑定在VRF里，生成VA口时就同时可以绑定VRF了。该方法的优点是处理简单，配置易理解，但是必须每存在一个VRF就配置一个VT口和一个对应的group，并且用group区分拨号的条件有限，一旦需支持多路的VRF后配置就比较复杂，用户需要记住自己要拨入的专网的地址。现实应用中，用户希望通过拨号的域名认证来匹配应该进入哪个VPN专网，而用户拨号的域名是在建立了L2TP隧道后在PPP会话协商过程中才能获得的，这时VA口已经生成，并和VRF进行了绑定，此时如果域认证不过，就要重新更换VA口绑定的VRF和VT，分配别的地址，造成用户使用不便。目前10.42版本采用的就是这种方案。
• 将域名和VRF绑定，配置在vpdn-group里，VA口生成后通过用户携带的域名来找寻对应VRF并进行绑定，这就是下一节提到的域认证技术。这种方法配置较简单，VRF可以动态绑定，缺点是不易理解，并且VT口上就不能再配置任何的VRF了。目前10.35版本就采用的是这种方案。

2.3       VPDN域认证技术

L2TP隧道是一种使用用户名和密码拨号认证的隧道，结合域认证后就可以区分拨号者属于的VPN网络，提供动态的、基于用户的访问权限控制手段，防止用户越权访问。

VPDN域认证技术就是将域名和对应的VRF进行绑定，将配置保存在vpdn-group里。处理的流程如下：

• 当收到LAC的拨号请求报文时，LNS就会根据拨号请求报文的信息找对应的vpdn-group，依靠group的信息进行L2TP隧道协商。
• 协商成功后，拷贝group里对应的VT信息，生成VA口，开始PPP协商。
• 在PPP协商过程中获得拨号的用户名，解析该用户名，获得域名，查找对应group里的域名绑定信息，找到对应的VRF，将VA口和该VRF进行绑定。
• 至此该用户和拨号的接口就都进入了与该VRF对应的VPN专网中。