讲解VPN配置实例的边缘设备部分,在网络时代的今天,大家经常会遇到VPN配置实例的安装问题,下面将介绍关于VPN配置实例的知识,包括如何了解有重叠地址空间的VPNs等等。
虚拟专用网VirtualPrivateNetworks
与被称为主干网的公共网相连的是一个“站点”集合。我们基于某些原则创建该集合的若干子集,并附加如下规则:只有当两个站点都同在某个子集里时,两者间才可能存在经由该主干网的IP互连。
我们创建的这些子集就是“虚拟专用网”(VPNs)。只有同属某个VPN时,两个站点间才存在经公共主干网的IP连接。不属同一个VPN配置实例 的两个站点间没有经主干网的连接。如果一个VPN配置实例 中的所有站点都属同一个企业,这个VPN配置实例 就是一个公司“内联网”。
如果分属不同企业,该VPN配置实例 就是个“外联网”。一个站点可在多个VPN配置实例 中,如一个内联网和多个外联网中。内联网和外联网我们都视作VPN配置实例 。一般而言,我们说的VPN配置实例 并不区分内联网或外联网。
我们主要考虑主干网为一个或多个服务提供商(SPs)所拥有的情况。站点为SP的用户所有,决定某些站点是否属于一个VPN配置实例 的策略由用户制定。有些用户可能希望完全由SP负责这些策略的执行,有些用户可能希望自己独立承担或与SP分担这项任务。
在本文中,我们主要讨论这些策略的执行机制。这些机制既可以由SP单独执行,也可以由VPN配置实例 用户与SP共同完成。这里,我们主要讨论前者。本文中所讨论的机制可用于多种策略的执行。如对给定的一个VPN配置实例 ,每个站点与其它所有站点都有直接连接(全连接),或者也可以限制某些站点间的直接连接(半连接)。
本文中我们感兴趣的是公共主干网提供IP服务的情况。我们关注于在一定契约条件下,一个服务提供商SP或多个SP为企业提供主干网的情形,而并非是基于公共Internet的VPN。下面,我们将详细说明VPN配置实例 应有的特性。本文的其余部分我们描述了一个具备所有这些特性的VPN配置实例 模型。该模型可视作[4]中描述的框架结构的实例。
边缘设备
假定每个站点都有一个或多个用户边缘(CE)设备,并都通过某种数据连接方式(如PPP,ATM,ethernet,FrameRelay,GREtunnel等)与一个或多个供应商边缘(PE)路由器相连。如果某个站点只有一个主机,这个主机可能就是CE设备。如果该站点有一个子网,CE设备可能是个交换机。一般而言,希望CE设备是路由器,我们称之为CE路由器。
如果一个PE路由器与某个VPN的一个CE设备相连,我们就说这个路由器与该VPN配置实例 相连。同样,如果一个PE路由器与某个站点的一个CE设备相连,则称这个路由器与该站点相连。如果CE设备是一个路由器。
它是其直接相连的PE的路由对等体,而不是其它站点上的CE路由器的路由对等体。不同站点上的路由器并不直接交换路由信息,它们甚至无需互相了解(除非因为安全的需要)。因为简化了每个站点的路由策略,可以支持大型的VPN配置实例 (有大量站点的VPN)。重要的一点是要保持SP和其用户间明晰的界限(cf.[4])。PE和P路由器仅由SP,SP用户无权介入。CE设备仅由用户(除非用户把服务委托给了SP)。
有重叠地址空间的VPNs
任何两个不相交的VPN配置实例 (如:无公共站点的VPN)可能有重叠的地址空间,而同一地址也可能用在不同VPN的不同系统中。只要端系统的地址在其所属的VPN中是唯一的,该端系统无须对VPN有所了解。
在这种模式下,VPN配置实例 的拥有者无须一个主干网或一个虚拟主干网。SP也无须为每个VPN一个单独的主干网或虚拟主干网。主干网中站点间的路由是最优化的(基于组建VPN的限制策略),并不受限于任何人工的隧道虚拟拓扑。
转载请注明:IT运维空间 » 安全防护 » 讲解VPN配置实例的边缘设备部分
发表评论