YDT1190-2002 基于网络的虚拟IP专用网(IP-V.P.N)框架

2 规范性引用文件 范围 本标准规定了基于网络的虚拟IP专用网（IP-VPN）的业务定义，并分别定义了VR模式的业务体系、BGP背负模式的业务体系及VPDN接入模式的业务体系。主要内容包括VPN业务的组网与设备要求、业务定义、实现要求、业务体系等。 本标准适用于国内各种IP-VPN设备的生产、销售和使用以及IP-VPN业务的类供。 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改革（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 RFC2764（2000） 基于IP的虚拟专用网框架体系，A Framework for IP Based Virtual Private Networks[Informational） RFC2685（1999） 虚拟专用网标识符，Virtual Private Networks Identifier（Standards Track） RFC2661（1999） 二层隧道协议，Layer Two Tunneling Protocol L.2TP[Standards Traek] RFC2784（2000）RFC2402（1998） 通用路由封装协议，Generic Routing Encapsulation（GRE）Standards Track] IP鉴权头协议，IP Authentication Header（Standards Track] RFC2406（1998）RFC2409（1998） IP安全封装净荷协议，IP Encapeulating Security Paykad（ESP）[Standards Track] 因特网密钥交换协议，The Irternet Key Exchange（IKE）[Stundards Track） RFC2212（1997） 确保服务质量业务规范，Specification of Guaranteed Quality of Service [Standards Track] RFC2475（1998） 区分业务的框架体系，An architecture for Differenitiated Services[Informational RFC2547（1999） 基于BGP的MPLS VPN规范，BGP/MPLS VPN[Informational] RFCI771（1995） 边界网关协议 A，Border Gateway Protocol 4（BGP-4）[Standards Track） RFC2858（2000） 对BGP-4的多协议扩展，MultiProtoool Extension for BGP-4[Standards Track] RFC3036（2000） LDP 技术规范，LDP Specification（Standards Track） ITU-T Y.1311（2000） ITU-T 13工作组 Y.1311 Generic Architecture and Service Requirements [Approved] 3定义和缩略语 3.1 定义 3.1.1 后备通道（Backdoor Link） 一种组网模式，指用户的两个站点之间存在非运营商管理的私有物理链路连接，主要用于金业本身大业务量的高速传送和防止运营商网络异常引起内都业务中断，见图1。 3.1.2 边缘设备隧道 ED TUNNEL（Edge Device TUNNEL） 边缘设备隧道，创建和终结于边缘设备，用于透明传送 VPN 业务报文。 3.1.3 虚拟 IP 专用网 IP-VPN（IP Virtual Private Network） 利用IP设施（包括公用的Internet或专用的IP骨干网等）实现专用广域网设备专线业务（远程拨号、DDN 等）的业务仿真。对应于多种广域网业务组网模式，有多种类型的IP-VPN与其对应（如VLL、VPDN，VPLS，VPRN）。 3.1.4 多点接入（Multi-Home） 一种组网模式，企业站点通过物理链路连接到多个边缘设备上，可以用于系统备份或负荷分担，见图 2。 3.1.6 运营商核心路由器P（Provider router） 指运营商骨干网上的核心路由器，主要完成路由和快速转发功能。 3.1.7 运营商边缘路由器PE（Provider Edge router） 指运营商骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。 3.1.8 末梢连接（Stub Link） 如果网络设备到最终用户驻地设备的链路连接在IP层只体现为IP路由的一跳，则本链路连接为Stub Link类型链路。 3.1.9 虚拟路由器VR（Virtual Router） 在软、硬件层实现物理路由器的功能仿真，属于一种逻辑设备。每个VR应该具有逻辑独立的路由表和转发表，这样就使不同VPN间的地址空间可以重用，并保证了VPN内部路由和转发的隔离性。 3.1.10 闭合用户群（CUG：Closed User Group） 指很多特定的用户站点形成一个闭合的用户群，通过基于网络的IP-VPN业务来保证其间的通讯，并防止未经授权的其他站点访问这些站点；某个CUG内部使用私有的IP地址，多个CUG之间的地址空间可以重用。本业务特性防止了未经授权的包扩散到网络内部，包欺骗、在传输中修改数据包等攻击方式，并可以对不同类型包进行处理、统计和计费。 3.1.11 隧道（Tunnel） 是利用一种协议来传输另外一种协议的技术，主要利用隧道协议来实现这种功能。隧道技术涉及了3种协议，隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。如果被承载协议是网络层协议（如IP）则此隧道称之为3层隧道；如果被承载协议是链路层协议（如PPP）则称之为二层隧道，见图 3。 4 组网与设备总体要求 本章规定了IP-VPN业务的设备功能实现和IP-VPN业务提供的总体技术要求，用于确保IP-VPN的实现及业务互通。 1）支持不同等级的安全机制。 2）基于网络的IP-VPN业务特性由边缘设备实现，核心设备只完成标准的路由、转发。 3）不限制在VPN域中或在骨干网中使用的路由协议。 4）多个VPN间地址空间可以重用。 5）每个不同的VPN 允许有不同的QoS配置。 6）VPN 大小只受设备资源限制（如CPU 处理能力、内存大小等）；在 PE 设备上，对一个VPN的任何动作不能影响其他 VPN 7）支持VPN站点不通过运营商骨干网直接相连的组网模式（如后备通道），并灵活的使用末梢连接通 （Stub Link）和后备通道（Backdoor Link）作为外部路径和内部路径。 8）适应不同的业务提供模式（如业务提供商通过自己的网络提供VPN业务或通过租用其他运营商网络实现 VPN 业务）。 5 IP-VPN的参考模型 本章主要描述了关于IP-VPN的框架原理，并采用图例说明在VPN的实现过程中的相关功能模块以及相互的逻辑位置。 5.1 IP-VPN 体系模型 图4主要描述了基于网络的IP-VPN业务的关键特性集中于运营商网络的边缘设备实现；基于网络的IP-VPN采用端到端模型，其业务管理和网络管理需要进行全网一体化管理；数据包通过骨干网传输时需要使用 IP 隧道技术。