RFC3093_防火墙增进协议 (FEP)

发表于 5年以前  | 总阅读数:574 次
组织:中国互动出版网(http://www.china-pub.com/)
RFC文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm)
E-mail:ouyang@china-pub.com
译者:maggiee(maggiee  maggiee@etang.com)
译文发布时间:2001-6-5
版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,但必须保留本文档的翻译及版权信息。

 
Network Working Group                                           E. Rosen
Request for Comments: 2547                                    Y. Rekhter
Category: Informational                              Cisco Systems, Inc.
March 1999


RFC2547  BGP/MPLS VPNs

Status of this Memo

   This memo provides information for the Internet community.  It does
   not specify an Internet standard of any kind.  Distribution of this
   memo is unlimited.

Copyright Notice
   Copyright (C) The Internet Society (1999).  All Rights Reserved.

摘要
本文档描述了拥有IP骨干网的服务提供商SP为其客户提供VPN服务的一种方法。在骨干网中,使用MPLS(多协议标签交换)进行包转发,BPG(边界网关协议)进行路由信息分发。这个方法主要目地是为企业网络提供IP骨干网服务的外包。这种方法不仅对企业而言很简单,对SP而言也有较好的可扩展性和灵活性,还可以提供增值服务。同时,这种方法还可以建立一个为客户提供IP服务的VPN。
 


目录
1. 简介	3
1.1  虚拟专用网Virtual Private Networks	3
1.2  边缘设备	3
1.3  有重叠地址空间的VPNs	4
1.4  由不同路由到达同一系统的VPN	4
1.5  PE上的转发表	4
1.6  SP 主干网路由器	5
1.7  安全Security	5
2. 站点和CE	5
3. PE中基于站点的转发表	6
3.1  虚拟站点	6
4. 用BGP分发VPN路由信息	7
4.1  VPN-IPv4地址族	7
4.2  控制路由分发	8
4.2.1  目标VPN属性	8
4.2.2  用BGP在PE中分发路由	9
4.2.3. 源VPN属性	10
4.2.4. 用目标和源属性组建VPN	10
5. 在主干网上的转发	11
6. PE如何从CE学习路由	12
7. CE如何从PE学习路由	14
8. CE支持MPLS	14
8.1 虚站点	14
8.2 用Stub VPN 表示 ISP VPN	14
9. 安全	14
9.1. CE路由器间的点到点安全隧道	15
9.2. 多方安全关联	15
10. 服务质量	16
12. 版权事宜	16
13. 安全考虑	17
14. 致谢	17
15. 作者地址	17
16. 参考文献	17
17. 版权说明	18
 
1. 简介
1.1  虚拟专用网Virtual Private Networks

与被称为主干网的公共网相连的是一个“站点”集合。我们基于某些原则创建该集合的若干子集,并附加如下规则:只有当两个站点都同在某个子集里时,两者间才可能存在经由该主干网的IP互连。

我们创建的这些子集就是“虚拟专用网”(VPNs)。只有同属某个VPN时,两个站点间才存在经公共主干网的IP连接。不属同一个VPN的两个站点间没有经主干网的连接。

如果一个VPN中的所有站点都属同一个企业,这个VPN就是一个公司“内联网”。如果分属不同企业,该VPN就是个“外联网”。一个站点可在多个VPN中,如一个内联网和多个外联网中。内联网和外联网我们都视作VPN。一般而言,我们说的VPN并不区分内联网或外联网。

我们主要考虑主干网为一个或多个服务提供商(SPs)所拥有的情况。站点为SP的用户所有,决定某些站点是否属于一个VPN的策略由用户制定。有些用户可能希望完全由SP负责这些策略的执行,有些用户可能希望自己独立承担或与SP分担这项任务。在本文中,我们主要讨论这些策略的执行机制。这些机制既可以由SP单独执行,也可以由VPN用户与SP共同完成。这里,我们主要讨论前者。
   
本文中所讨论的机制可用于多种策略的执行。如对给定的一个VPN,每个站点与其它所有站点都有直接连接(全连接),或者也可以限制某些站点间的直接连接(半连接)。
  
本文中我们感兴趣的是公共主干网提供IP服务的情况。我们关注于在一定契约条件下,一个服务提供商SP或多个SP为企业提供主干网的情形,而并非是基于公共Internet的VPN。
  
下面,我们将详细说明VPN 应有的特性。本文的其余部分我们描述了一个具备所有这些特性的VPN模型。该模型可视作[4]中描述的框架结构的实例。
  
1.2  边缘设备
假定每个站点都有一个或多个用户边缘(CE)设备,并都通过某种数据连接方式(如PPP,ATM,ethernet, Frame Relay, GRE tunnel等)与一个或多个供应商边缘(PE)路由器相连。
   
如果某个站点只有一个主机,这个主机可能就是CE设备。如果该站点有一个子网,CE设备可能是个交换机。一般而言,希望CE设备是路由器,我们称之为CE路由器。
  
如果一个PE路由器与某个VPN的一个CE设备相连,我们就说这个路由器与该VPN相连。同样,如果一个PE路由器与某个站点的一个CE设备相连,则称这个路由器与该站点相连。
   
如果CE设备是一个路由器,它是其直接相连的PE的路由对等体,而不是其它站点上的CE路由器的路由对等体。不同站点上的路由器并不直接交换路由信息,它们甚至无需互相了解(除非因为安全的需要,见第9节)。因为简化了每个站点的路由策略,可以支持大型的VPN(有大量站点的VPN)。
   
重要的一点是要保持SP和其用户间明晰的管理界限(cf. [4])。PE和P路由器仅由SP管理,SP用户无权介入。CE设备仅由用户管理(除非用户把管理服务委托给了SP)。
   
1.3  有重叠地址空间的VPNs 

任何两个不相交的VPN(如:无公共站点的VPN)可能有重叠的地址空间,而同一地址也可能用在不同VPN的不同系统中。只要端系统的地址在其所属的VPN中是唯一的,该端系统无须对VPN有所了解。
  
在这种模式下,VPN的拥有者无须管理一个主干网或一个虚拟主干网。SP也无须为每个VPN管理一个单独的主干网或虚拟主干网。主干网中站点间的路由是最优化的(基于组建VPN的限制策略),并不受限于任何人工的隧道虚拟拓扑。

1.4  由不同路由到达同一系统的VPN

一个站点可以在多个VPN中,但不同VPN到该站点中某一系统的路由无须相同。例如,假设一个内联网中包含站点A、B、C,一个外联网中包含A、B、C和一个外部站点D。若在站点A上有一个服务器,我们希望来自于B、C、D的客户能使用该服务器。同时,在站点B上有一个防火墙,为了对来自外联网的业务进行接纳控制,所有站点D连到服务器的业务都要通过这个防火墙。而来自站点C的业务是内联网的,无须经由该防火墙到达服务器。

也就是说,到服务器有两条路径。站点B和C使用一条路径直接通向站点A,站点D使用第二条路径,先到达站点B的防火墙,如果防火墙允许该业务流通过,该业务就象从站点B发出的业务流一样发往站点A。

1.5  PE上的转发表

每个PE路由器都要维护若干独立的转发表。每个与PE相连的站点必须对应于其中的一个转发表。当从某个站点收取一个包时,需查找与该站点相应的转发表以确定该包的转发路径。只有当路由的目标站点与站点S同在至少一个VPN中时,才产生站点S的转发表,这可以防止两个不在同一VPN的站点间的通信,而且,这样两个没有公共站点的VPN也可以使用重叠的地址空间。

1.6  SP 主干网路由器

SP的主干网包括PE路由器和未直接与CE设备相连的其它路由器(P路由器)。
  
如果SP主干网中的每个路由器都得为所有VPN维护路由信息,那么无疑这个模式的扩展能力很差,SP能支持的站点数取决于一个路由器上可保存的路由信息的数量。因此,一个重要的要求就是,一个VPN的路由信息只保存在与该VPN相连的PE路由器上,而P路由器无需保存任何VPN的路由信息。
  
VPN可以跨越多个服务提供商。如果两个服务提供商SP之间是相互信任的,那么它们的PE路由器间的通路可根据一个专用的对等协议穿越SP网络间的边界。特别是,每个提供商信任对方并把正确的路由信息和来源可靠的带有标签的包(在MPLS情况下[9])传递给对方。在此,我们假定标签交换路径可以穿越SP间的边界。

1.7  安全Security

即使不加密,一个VPN模型也应当提供相当于第二层主干网(如Frame Relay)的安全保证。也就是说,即使在误配置或故意将不同VPN间互连的情况下,一个VPN的系统也不能进入另一个VPN的系统。
  
同时,该模型应该也可以采用标准的安全措施。

2. 站点和CE

从主干网的角度看,如果一系列IP系统相互连接且它们之间的通信无需主干网参与,则这些IP系统组成了一个站点。一般来说,一个站点由一些地理位置相近的系统组成,当然并非总是这样。如果地理位置较远的两地间用一根运行OSPF的专线相连,也可以组成一个站点,因为两地间的通信无须主干网的参与。
   
一个CE设备常被视为在一个单独的站点上(但一个站点可能由多个“虚拟站点”组成)。而一个站点可能在多个VPN中。

一个PE路由器可能与多个站点中的CE设备相连,无论它们是否在同一个VPN 中。出于鲁棒性的考虑,一个CE设备也可能与多个PE路由器相连,这些路由器可能属于同一个或不同的服务提供商。如果这个CE设备是路由器,则它与相连的PE路由器互为邻接路由器。

如果互连的基本单元是站点,这里描述的体系结构可以实现更为精细的互连控制粒度。例如,一个站点上的某个系统可能是一个内联网的成员,同时也是一个或多个外联网的成员,而该站点上的其它系统却只限于是内联网的成员。
 
3.  PE中基于站点的转发表

每个PE路由器维护一个或多个“站点转发表”,与PE相连的每个站点都对应于其中的一个表。当从某站点接收到一个包时,从与该站点相应的转发表中查找该包的目的地址。

站点转发表是如何产生的呢?如,PE1,PE2,PE3是三个PE路由器,CE1,CE2,CE3是三个CE路由器。PE1从CE1了解站点CE1可达的路由信息。如果PE2和PE3分别与CE2、CE3相连,且VPN V包括CE1、CE2、CE3,PE1用BGP向PE2、PE3分发它从CE1得到的路由信息。PE2,PE3使用这些路由信息产生与CE2、CE3相应的转发表。来源于VPN V以外站点的路由不出现在这些转发表中,也就是说,CE2,CE3发出的包不会发送到VPN V以外的站点。

如果一个站点在多个VPN中,其对应的转发表将包含其在所有VPN中的路由信息。

一般,一个PE只为每个站点维护一个转发表,即使它与该站点间有多个连接。如果几个不同的站点共用相同的路由,它们共享同一个转发表。

假设一个PE路由器从一直接相连的站点收到一个包,但在相应的站点转发表中找不到这个包的目的地址。如果SP在该站点处并不提供Internet接入服务,那么该包因为无法发送而被丢弃。否则,将会查询PE的Internet转发表。也就是说,即使提供Internet接入,一般每个PE也只需要维护一个Internet路由转发表。

要保持VPN间的隔离,重要的一点就是主干网中的路由器不接收来自于邻接的非主干设备的带标签的包,除非
1)	标签栈顶的标签是主干网路由器分配给该设备的;
2)	主干网路由器能确定由于该标签的使用,这个包在离开主干网之前,不会检查IP包头和标签栈中的其余标签。
这些限制对于防止包进入其它VPN相当有必要。

PE中的站点转发表只用于那些从PE直接相连的站点发来的包,而不用于来自于SP主干网的包。因此,到同一系统可能有多个不同的路由,包从哪一个站点接入主干网,就由哪一个站点决定选用何种路由。如,你可以为由外联网发往指定系统的包指定一个路由(通向防火墙),为内联网发往同一系统的包(包括那些已经通过防火墙的包)指定另一路由。

3.1  虚拟站点

有时,一个站点可能被用户用VLAN分成几个虚拟站点。每个虚拟站点可能是不同VPN的成员。PE要为每个虚拟站点维护一个独立的转发表。例,如果一个CE支持VLAN,并希望每个VLAN对应于一个独立的VPN,PE与CE间发送的包可封装在该站点的VLAN中。PE可以利用这一点,以及接收包的接口,把该包指定到某一虚拟站点。

也可以把接口分成多个“子接口”(尤其是如果接口是Frame Relay 或 ATM),并根据包到达的子接口把包指定到一个VPN。或者简单些,每个虚拟站点使用不同的接口。无论何种情况,即使有多个虚拟站点,每个站点都只需一个CE路由器。当然,如果愿意,每个虚拟站点也可以使用不同的CE路由器。

注意,无论哪种情况,控制业务流属于何VPN的机制和策略都由用户掌握。

如果希望一个主机在多个虚拟站点上,那么主机必须确定,每个包对应于哪一个虚拟站点。例如,它可以在不同的VLAN的不同虚拟站点上通过不同的网络接口发送包。

这些并不要求CE支持MPLS。对于支持MPLS的CE如何支持多个虚拟站点,在第八节中有一个简短的讨论。

4. 用BGP分发VPN路由信息

PE路由器使用BGP相互分发VPN路由信息(更确切地说,是引起路由信息的分发)。

一个BGP传播者只能安装和分发一个路由到指定的地址前缀。我们允许每个VPN有各自的地址空间,也就是说,相同的地址可被若干VPN使用,而在每个VPN中这个地址代表不同的系统。因此,我们应该允许BGP为某个IP地址前缀安装和分发多个路由。甚至于,如果BGP为某一IP地址前缀安装了多个路由,我们必须确保在任何一个站点转发表中只出现其中的一个。

我们使用下面描述的新的地址族来实现上述目标。
   
4.1  VPN-IPv4地址族 

BGP多协议扩展[3]允许BGP携带来自多个“地址族”的路由。我们先介绍VPN-IPv4地址族的概念。一个VPN-IPv4地址长12字节,以8字节的“路由标记”RD开头,后接一个4字节的IPv4地址。如果两个VPN使用相同的地址前缀,PE可以把它们翻译成不同的VPN-IPv4地址前缀。这样,如果在两个VPN中使用了相同的地址,也可以分别为每个VPN安装与该地址对应的不同的路由。

RD本身并没什么特别的语义,它并不包含路由来源或向哪些VPN分发路由的信息。RD的目的仅在于可以对一普通的IPv4前缀产生一个与众不同的路由,RD还可以用于决定路由的重新分发。(见4.2)
   
RD还可以用于产生到同一系统的多个不同的路由。在第3节中,我们曾给出一个例子:从内联网到某一服务器的路由必须与从外联网的业务流路由不同。这可以通过产生两个IPv4地址部分相同,但RD不同的VPN-IPv4路由来实现。这样,BGP就可以安装到同一系统的多个路由,还可以使用一定的策略(见第4.2.3节)来决定包的路由选择。
 相关推荐

刘强东夫妇:“移民美国”传言被驳斥

京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。

发布于:1年以前  |  808次阅读  |  详细内容 »

博主曝三大运营商,将集体采购百万台华为Mate60系列

日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。

发布于:1年以前  |  770次阅读  |  详细内容 »

ASML CEO警告:出口管制不是可行做法,不要“逼迫中国大陆创新”

据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。

发布于:1年以前  |  756次阅读  |  详细内容 »

抖音中长视频App青桃更名抖音精选,字节再发力对抗B站

今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。

发布于:1年以前  |  648次阅读  |  详细内容 »

威马CDO:中国每百户家庭仅17户有车

日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。

发布于:1年以前  |  589次阅读  |  详细内容 »

研究发现维生素 C 等抗氧化剂会刺激癌症生长和转移

近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。

发布于:1年以前  |  449次阅读  |  详细内容 »

苹果据称正引入3D打印技术,用以生产智能手表的钢质底盘

据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。

发布于:1年以前  |  446次阅读  |  详细内容 »

千万级抖音网红秀才账号被封禁

9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...

发布于:1年以前  |  445次阅读  |  详细内容 »

亚马逊股东起诉公司和贝索斯,称其在购买卫星发射服务时忽视了 SpaceX

9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。

发布于:1年以前  |  444次阅读  |  详细内容 »

苹果上线AppsbyApple网站,以推广自家应用程序

据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。

发布于:1年以前  |  442次阅读  |  详细内容 »

特斯拉美国降价引发投资者不满:“这是短期麻醉剂”

特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。

发布于:1年以前  |  441次阅读  |  详细内容 »

光刻机巨头阿斯麦:拿到许可,继续对华出口

据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。

发布于:1年以前  |  437次阅读  |  详细内容 »

马斯克与库克首次隔空合作:为苹果提供卫星服务

近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。

发布于:1年以前  |  430次阅读  |  详细内容 »

𝕏(推特)调整隐私政策,可拿用户发布的信息训练 AI 模型

据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。

发布于:1年以前  |  428次阅读  |  详细内容 »

荣耀CEO谈华为手机回归:替老同事们高兴,对行业也是好事

9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI操控无人机能力超越人类冠军

《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI生成的蘑菇科普书存在可致命错误

近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。

发布于:1年以前  |  420次阅读  |  详细内容 »

社交媒体平台𝕏计划收集用户生物识别数据与工作教育经历

社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”

发布于:1年以前  |  411次阅读  |  详细内容 »

国产扫地机器人热销欧洲,国产割草机器人抢占欧洲草坪

2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。

发布于:1年以前  |  406次阅读  |  详细内容 »

罗永浩吐槽iPhone15和14不会有区别,除了序列号变了

罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。

发布于:1年以前  |  398次阅读  |  详细内容 »