YDT1190-2002基于网络的虚拟IP专用网框架

YDT1190-2002基于网络的虚拟IP专用网（IP-VPN）框架 范围 本标准规定了基于网络的虚拟IP专用网（IP-VPN）的业务定义，并分别定义了VR模式的业务体系、BGP背负模式的业务体系及VPDN接入模式的业务体系。主要内容包括VPN业务的组网与设备要求、业务定义、实现要求、业务体系等。 本标准适用于国内各种 IP-VPN 设备的生产、销售和使用以及 IP-VPN 业务的提供。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 RFC2764（2000） 基于 IP的虚拟专用网框架体系，A Framewurk for IP Based Virtual Private Networks[Informational] RFC2685（1999） 虚拟专用网标识符，Virtual Private Networks Identifier[Standards Track RFC2661（1999） 二层隧道协议，Layer Two Tunneling Protocol L.2TP（Standards Track） RFC2784（2000） 通用路由封装协议，Generic Routing Encapsulation（GRE）[Standards Track] RFC2402（1998） IP鉴权头协i，IP Authentication Header（Standards Track] RFC2406（1998）RFC2409（1998） IP 安全封装净荷协议，IP Encapeulating Security Paykad（ESP）[Standurds Track] 因特网密钥交换协议，The Internet Key Exchange（IKE）Stundurds Track） RFC2212（1997） 确保服务质量业务规范，Specification of Guaranteed Quality of Service [Standards Track] RFC2475（1998） 区分业务的框架体系，An architecture for Differeritiated Services[Informational RFC2547（1999） 基于BGP 的MPLS VPN规范，BGP/MPLS VPN[Informational] RFCI771（1995） 边界网关协议A，Border Gateway Protocol 4（BGP-4）（Standards Track） RFC2858（2000）RFC3036（2000） 对BGP-4的多协议扩展，MutiProtocol Extension for BGP-4[Standards Track] LDP技术规范，LDP Specification[Standards Track] ITU-T Y.1311（2000） TU-T 13工作组 Y.1311 Generic Architecture and Service Requirements [Approved] 3 定义和缩略语 3.1定义 3.1.1 后备通道（Backdoor Link一种组网模式，指用户的两个站点之间存在非运营商管理的私有物理链路连接，主要用于金业本身大业务量的高速传送和防止运营商网络异常引起内都业务中断，见图1。 3.1.6 运营商核心路由器P（Provider router） 指运营商骨干网上的核心路由器，主要完成路由和快速转发功能。 3.1.7运营商边缘路由器 PE（Provider Edge router） 指运营商骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。 3.1.8 末梢连接（Stub Link） 如果网络设备到最终用户驻地设备的链路连接在 IP 层只体现为IP 路由的一跳，则本链路连接为 Stub Link 类型链路。 3.1.9 虚拟路由器 VR（Virtual Router） 在软、硬件层实现物理路由器的功能仿真，属于一种逻辑设备。每个VR应该具有逻辑独立的路由表和转发表，这样就使不同VPN 间的地址空间可以重用，并保证了VPN 内部路由和转发的隔商性。 3.1.10 闭用户群（CUG：Closed User Group） 指很多特定的用户站点形成一个闭合的用户群，通过基于网络的 IP-VPN 业务来保证其间的通讯，并防止未经授权的其他站点访问这些站点；某个 CUG内部使用私有的 IP 地址，多个 CUG之间的地址空间可以重用。本业务特性防止了未经授权的包扩放到网络内部，包欺骗、在传输中修改数据包等攻击方式，并可以对不同类型包进行处理、统计和计费。 3.1.11 隧道（Tunnel） 是利用一种协议来传输另外一种协议的技术，主要利用隧道协议来实现这种功能。隧道技术涉及了 3种协议，隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。如果被承载协议是网络层协议（如IP）则此隧道称之为3层隧道；如果被承载协议是链路层协议（如PPP）则称之为二层隧道，见图 3。 4 组网与设备总体要求 本章规定了IP-VPN业务的设备功能实现和IP-VPN业务提供的总体技术要求，用于确保IP-VPN 的实现及业务互通。 1）支持不同等级的安全机制。 2）基于网络的IP-VPN业务特性由边缘设备实现，核心设备只完成标准的路由、转发。 3）不限制在 VPN 域中或在骨干网中使用的路由协议。 4）多个VPN间地址空间可以重用。 5）每个不同的VPN允许有不同的QoS配置。 6）VPN大小只受设备资源限制（如CPU处理能力、内存大小等）；在PE设备上，对一个VPN的任何动作不能影响其他 VPN。 7）支持VPN站点不通过运营商骨干网直接相连的组网模式（如后备通道），并灵活的使用末梢连接通 （Stub Link）和后备通道（Backdoor Link）作为外部路径和内部路径。 8）适应不同的业务提供模式（如业务提供商通过自己的网络提供VPN业务或通过租用其他运营商网络实现 VPN 业务）。 5 IP-VPN的参考模型 本章主要描述了关于 IP-VPN的框架原理，并采用图例说明在VPN的实现过程中的相关功能模块以及相互的逻辑位置。 5.1 IP-VPN体系模型 图4主要描述了基于网络的IP-VPN业务的关键特性集中于运营商网络的边缘设备实现；基于网络的IP-VPN采用端到端模型，其业务管理和网络管理需要进行全网一体化管理；数据包通过骨干网传输时需要使用 IP 隧道技术。