Molet

多协议标记交换(mpls) VPN-IPv4地址结构

Molet 安全防护 2023-01-20 401浏览 0

多协议标记交换(mpls) VPN-IPv4地址结构

VPN-IPv4地址为12字节长,由8字节的RD及随后的4字节IPv4地址前缀组成。   

8字节长的RD由2字节类型区域及6字节数值区域组成。类型区域决定数值区域内两个子区域(管理器和分配数值)的长度,同时还确定管理器区域内的语义。目前,类型区域定义了两个值:0和1。   

对于类型0,管理器子区域包括2个字节,而分配数值子区域包括4个字节。管理器子区域使用自治域号码(ASN)。强烈不建议使用私有ASN。分配数值子区域为来自由服务提供商管理的数值空间,该数值空间用于提供VPN服务并与分配使用的ASN相关。   

对于类型1,管理器子区域包括4个字节,而分配数值子区域包括2个字节。管理器子区域使用一个IPv4地址。强烈不建议使用时有IP地址空间。分配数值子区域为来自由服务提供商管理的数值空间,该数值空间用于提供VPN服务并与分配使用的IPv4地址相关。对于类型1的RD配置选项可以使用产生路由的 PE路由器的回环地址作为4字节的管理器子区域,然后选择一个PE路由器本地数值作为2字节分配数值子区域。   

当在PE路由器上对RD进行配置时,RFC 2547bis并不要求一个VPN内的所有路由使用相同的RD,而事实上,一个VPN内的每个VRF可以使用自己的RD。但是,服务提供商必须确保每个 RD是全局唯一的。由于这个原因,在定义RD时,强烈不建议使用私有ASN空间或私有IP地址空间。使用公共ASN空间或公共IP地址空间确保了每个RD 全局唯一。全局唯一RD提供了一种机制,使每个服务提供商在不与其他服务提供商分配的RD发生冲突的前提下,能够管理自己的地址空间并建立全局唯一的 VPN-IPv4地址。使用全局唯一的RD支持以下功能。   

为一个通用IPv4前缀创建不同的路由。   

为同一系统创建多条全局唯一的路由   

通过使用策略来决定哪个数据包应该使用哪条路由   

最后,一些观察结果可以帮助避免在理解如何在BGP/MPLS VPN中使用VPN-IPv4地址中产生混淆。   

VPN-IPv4地址仅在服务提供商网络中被使用。   

VPN用户并不意识到对VPN-IPv4地址的使用。   

VPN-IPv4地址仅在提供商骨干网中运行的路由协议中承载。   

VPN-IPv4地址并不在VPN数据业务的报头内承载。

继续浏览有关 安全 的文章
发表评论