CE(Customer Edge),用戶網路邊緣設備,服務提供商所連線的用戶端路由器。CE路由器通過連線一個或多個PE路由器,為用戶提供服務接入。CE路由器通常是一台IP路由器,它與連線的PE路由器建立鄰接關係。
基本介紹
- 中文名:用戶網路邊緣設備
- 外文名:Customer Edge
設備介紹,三類路由器,認證機制,CE向入口發布,PE路由器傳送,PE路由器接收,出口信息發布,接入控制功能,
設備介紹
CE設備
CE更多的是出現在VPN中的,與之對應的是PE。
CE和PE的劃分主要都是從運營商和用戶的管理範圍來劃分的。這兩者是範圍的邊界。
接入控制功能的實現為業務提供商給用戶基於策略的流量限制提供了可能,更好地滿足網路成本與業務服務等級之間的公平性,同時提高了網路的安全性。
三類路由器
近年來,電子商務等網路套用的飛速發展,使網路安全問題體現得尤為突出。在這種背景下,VPN 的套用越來越廣泛。當前實現 VPN的技術有多種,其中BGP / MPLS VPN 以其可擴展性好、 轉發效率高、 靈活的地址策略等優勢而得到廣泛的部署。
BGP / MPLS VPN 中有3 種路由器,即用戶邊緣( Customer Edge,CE) 路由器,提供商邊界 ( ProviderEdge,PE)路由器,提供商(Provider,P)路由器PE 路由器和 P路由器保存到達外網的全局路由表信息,而CE 路由器保存VPN 區域網路的路由信息PE 路由器上使用獨立的虛擬路由轉發實例 ( Virtual outing andForwarding Instance,V F)來保存並交換來自CE 路由器的 VPN路由信息,這些路由信息不與全局路由表互動 P路由器通常只根據數據包的標籤執行快速轉發,並不參與 VPN區域網路的路由信息交換。 這樣,各VPN 路由信息只存在於各自獨立的V F 下,PE 路由器和 P路由器的主路由表並沒有各 VPN的路由信息,從而通過這樣的路由隔離來實現流量隔離,提供了VPN 之間通信的安全性。由於採用了路由隔離,VPN中的用戶不能訪問Internet 。然而,VPN 中的某些用戶除了需要安全的共享自身所在 VPN的網路資源,同時還需要能夠訪問Internet。 因此,在典型BGP / MPLS VPN 的基礎上,結合使用 G E隧道技術,把特定的需要訪問 Internet的流量通過隧道從 V F中分離出來,然後依據全局路由表的路由信息發往 Internet,而發往同一 VPN其它站點的流量仍依據 V F中的路由信息轉發 ,套用各種仿真軟體模擬網路環境已經得到廣泛的套用。
認證機制
基於CE-CE的路由認證機制重新套用了在CE-PE 路由認證過程中的MD5密鑰,它的好處是不需要CE路由器或VPN站點改變或進行軟體升級。機制運行時,PE路由器必須為每個VPN指明哪個MD5密鑰是用來驗證路由信息的,必須讓每個VPN在所有的CE-PE 鏈路的路由認證過程使用同一個MD5密鑰。MD5密鑰必須唯一的對應一個VPN。VPN用戶用此MD5密鑰配置其所有的CE路由器。MPLS 服務提供商也用此密鑰配置與客戶CE連線的PE路由器。
路由信息發布過程為如下方式:
CE向入口發布
CE路由器向PE登記VPN的成員信息:一個PE有可能為多個VPN的CE服務,而PE必須能夠辨別CE屬於哪個VPN。每一個VPN都具有自己的VPN ID,VPN ID在提供者域內應該是唯一的,PE就是根據這個VPN ID來辨別CE屬於哪個VPN。另外,CE路由器必須向PE路由器提供本VPN的路由認證密鑰,因此如果在CE-PE之間採用動態路由協定,那么必須對路由協定進行MD5路由認證。一般只有經過MD5認證成功的路由信息才能夠寫入相應的VRF中,並且該VRF也是需要路由認證機制的。如果要在PE路由器上配置需要MD5認證的VRF時,必須確保先進行本地的路由認證然後才向其它PE路由上傳播路由信息。此處的路由認證主要包括檢查並確認在VRF中所有從連線的CE路由器上接收來的路由信息是否是正確的。
PE路由器傳送
PE路由器需要把VRF轉發給骨幹網路中其它的PE路由器,只有當本地VRF從相連CE路由器接收到了至少一條路由信息並且該信息已經通過了路由認證機制的檢查時才能轉發。這樣,就避免了將錯誤的VRF轉發到其它VPN中。在配置路由認證機制後,PE 路由器首先為每個VRF產生一個隨機數,作為"UPDATE authenticator"的'Generator'域的值。其次將該隨機數同MP-BGPUPDATE訊息一起進行HAMC MD5加密,此處用到的MD5密鑰是與該VRF對 應CE的 密 鑰 , 加 密結 果 寫 在UPDATE-authenticator的"HMAC-MD5Signature" 域中。PE還要在UPDATE-authenticator屬性上填充'key-identifier'域值。在VPN網路中,每個VRF的MD5密鑰都與全局唯一的'key-identifier'相對應。每個有VPN成員的PE路由器均有 <key, key-identifier>映射關係表,接收端PE套用'key-identifier'域值在映射表中查找相應MD5密鑰來驗證路由更新信息。最後,路由訊息被送往 BGP 等價對 (其它的路由器或路由反射器),訊息中route-targets值決定哪個PE路由器接收該路由信息,也決定了將更新哪一個VRF。
PE路由器接收
當PE路由器接收到UPDATE authenticator訊息後,將進行一系列的檢查,通過檢查的路由訊息才能夠寫入路由信息表中。接收路由信息的過程如下:首先檢查路由信息是否包含UPDATE-authenticator屬性,當路由信息具有UPDATE-authenticator屬性並且VRF需要進行路由認證時,接收端PE才根據'key-identifier'域值在<key, key-identifier>映射表中查找相應MD5密鑰,用此密鑰 對 路 由 信 息 進 行MD5加 密 , 然 後 將 加 密 結 果 與 接 收 到 的"UPDATEauthenticator" 屬性中的值進行比較,如果兩個值是相同的,則將路由信息寫入VRF,如果兩個值不同,則記錄一個警告信息以提示出現錯誤配置。算法框圖如下:
IF target VRF is configured for Verification
THEN
IF UPDATE-authenticator attribute is present
THEN
subroutine determine_MD5-key
verify UPDATE-authenticator with MD5-key
IF result = signature of received UPDATE-authenticator
THEN
import route into VRF
ELSE
mark routes as 'not authenticated'; log error
ELSE
mark routes as 'not authenticated'; log error
ELSE
mark routes as 'not authenticated'; log error
subroutine determine_MD5-key
IF key-identifier = 0
THEN
MD5-key = the MD5 key used for routing authentication with one of the
routing peers of the VRF.
ELSE
MD5-key = lookup_in_config (key-identifier)
RETURN MD5-key.
出口信息發布
與RFC2547中定義的BGP/MPLS VPN的路由信息發布過程類似,每個CE還需要知道它所能達到的地址信息,它將從與PE路由器接口相對應的VRF表中獲取路由信息。
這種基於CE-CE的路由認證機制,目的是保證PE路由器上路由目標的正確配置,以順利地完成BGP/MPLS VPN網路中路由配置、實現路由隔離及VPN之間的訪問控制。套用這個認證機制的結果是將不屬於該VPN網路的CE路由器進行隔離,並且對於出現的錯誤進行報警。
接入控制功能
在用戶網路和提供商網路之間 ,即在客戶邊緣 (CE)設備和提供商邊緣 (PE)設備之間通過用戶網路接口 (UNI)相互連線 ,如圖 1所示。用戶跨越 UNI進行網路訪問,產生用戶網路業務流(UNSF)映射為一個單一的業務會話虛連線(SCVC)。在提供商網路側的 PE針對每個 SCVC部署接入控制策略 ,控制業務流允許進入網路的流量 ,從而實現占用網路資源與業務服務等級之間的合理匹配。
邊緣接入控制模型
邊緣接入控制模型邊緣 PE的每個接口都配有入方向和出方向的接入控制策略表 ,且相互獨立。
接入控制是一個策略模組,用於控制業務數據流的轉發和網路安全部署。接入控制策略是一個有序的語句集,它基於已建立的標準匹配報文中信息與接入控制表參數,來允許報文通過或拒絕報文通過某個接口。接入控制策略控制範圍之外,設備將按默認方式工作,如默認轉發。接入控制策略套用於接口,每個接口可以配置不同的接入控制策略表(即接入控制表) ,其對數據流的監控具有方向性—“向內”
