云杰通信助您了解行业,全方位掌握国际互联网最新资讯
MPLS中VPN之间的连接
MPLS为VPN服务提供VPN之间的地址和路由分隔。但是,在许多环境中,VPN中的设备必须能够到达VPN外部的目的地。例如,在两家公司合并的情况下,这可能用于Internet访问或合并两个VPN。MPLS不仅提供了完全的VPN分离,而且还允许合并VPN和访问Internet。
为此,PE路由器维护各种表:路由上下文表特定于CE路由器,并且仅包含来自此特定VPN的路由。从那里,路由被传播到VRF(虚拟路由和转发实例)路由表中,从中计算出VRF转发表。
对于分离的VPN,VRF路由表仅包含来自一个路由上下文的路由。为了合并VPN,将不同的路由上下文(来自不同的VPN)放入一个VRF路由表中。这样,可以将两个或多个VPN合并为一个VPN。在这种情况下,所有合并的VPN都必须具有互斥的寻址空间。换句话说,所有包含的VPN的总地址空间必须唯一。
为了使VPN具有Internet连接,将使用相同的过程:来自Internet VRF路由表(默认路由表)的路由会传播到需要Internet访问的VPN的VRF路由表中。除了传播所有Internet路由之外,还可以传播默认路由。在这种情况下,VPN和Internet之间的地址空间必须是不同的。由于所有其他地址都可以在Internet中出现,因此VPN必须使用专用地址空间。
从安全的角度来看,合并的VPN的行为就像一个逻辑VPN,并且上述安全机制现在在合并的VPN和其他VPN之间适用。合并的VPN内部必须具有唯一的地址空间,但是其他VPN可以使用相同的地址空间而不会受到干扰。合并VPN之间的数据包无法路由到其他VPN。MPLS的所有分离功能也适用于相对于其他VPN的合并VPN。
如果两个VPN以这种方式合并,则来自任一部分的主机都可以到达另一部分,就像这两个VPN是公共VPN一样。使用标准的MPLS功能,合并的VPN之间没有分隔,防火墙或数据包过滤。同样,如果VPN通过MPLS / BGP VPN机制接收Internet路由,则除了MPLS功能外,还必须设计防火墙或数据包过滤功能。
文章标题:《mpls的基本传送原理》
作 者:云杰小编。本文部分资料来源于网络,转载目的在于传递更多信息及学习参考:https://www.gdyunjie.cn/showinfo-115-2051-0.html