- 中文名
- 用户网络边缘设备
- 外文名
- Customer Edge
CE
CE设备
CE更多的是出现在VPN中的,与之对应的是PE。
CE和PE的划分主要都是从运营商和用户的管理范围来划分的。这两者是范围的边界。
接入控制功能的实现为业务提供商给用户基于策略的流量限制提供了可能,更好地满足网络成本与业务服务等级之间的公平性,同时提高了网络的安全性。
近年来 [1],电子商务等网络应用的飞速发展,使网络安全问题体现得尤为突出。在这种背景下,VPN 的应用越来越广泛。当前实现 VPN的技术有多种,其中BGP / MPLS VPN 以其可扩展性好、 转发效率高、 灵活的地址策略等优势而得到广泛的部署。
BGP / MPLS VPN 中有3 种路由器,即用户边缘( Customer Edge,CE) 路由器,提供商边界 ( ProviderEdge,PE)路由器,提供商(Provider,P)路由器PE 路由器和 P路由器保存到达外网的全局路由表信息,而CE 路由器保存VPN 内网的路由信息PE 路由器上使用独立的虚拟路由转发实例 ( Virtual outing andForwarding Instance,V F)来保存并交换来自CE 路由器的 VPN路由信息,这些路由信息不与全局路由表交互 P路由器通常只根据数据包的标签执行快速转发,并不参与 VPN内网的路由信息交换。 这样,各VPN 路由信息只存在于各自独立的V F 下,PE 路由器和 P路由器的主路由表并没有各 VPN的路由信息,从而通过这样的路由隔离来实现流量隔离,提供了VPN 之间通信的安全性。由于采用了路由隔离,VPN中的用户不能访问Internet 。然而,VPN 中的某些用户除了需要安全的共享自身所在 VPN的网络资源,同时还需要能够访问Internet。 因此,在典型BGP / MPLS VPN 的基础上,结合使用 G E隧道技术,把特定的需要访问 Internet的流量通过隧道从 V F中分离出来,然后依据全局路由表的路由信息发往 Internet,而发往同一 VPN其它站点的流量仍依据 V F中的路由信息转发 ,应用各种仿真软件模拟网络环境已经得到广泛的应用。
基于CE-CE的路由认证机制重新应用了在CE-PE 路由认证过程中的MD5密钥,它的好处是不需要CE路由器或VPN站点改变或进行软件升级。机制运行时,PE路由器必须为每个VPN指明哪个MD5密钥是用来验证路由信息的,必须让每个VPN在所有的CE-PE 链路的路由认证过程使用同一个MD5密钥。MD5密钥必须唯一的对应一个VPN。VPN用户用此MD5密钥配置其所有的CE路由器。MPLS 服务提供商也用此密钥配置与客户CE连接的PE路由器。
路由信息发布过程为如下方式:
CE路由器向PE登记VPN的成员信息:一个PE有可能为多个VPN的CE服务,而PE必须能够辨别CE属于哪个VPN。每一个VPN都具有自己的VPN ID,VPN ID在提供者域内应该是唯一的,PE就是根据这个VPN ID来辨别CE属于哪个VPN。另外,CE路由器必须向PE路由器提供本VPN的路由认证密钥,因此如果在CE-PE之间采用动态路由协议,那么必须对路由协议进行MD5路由认证。一般只有经过MD5认证成功的路由信息才能够写入相应的VRF中,并且该VRF也是需要路由认证机制的。如果要在PE路由器上配置需要MD5认证的VRF时,必须确保先进行本地的路由认证然后才向其它PE路由上传播路由信息。此处的路由认证主要包括检查并确认在VRF中所有从连接的CE路由器上接收来的路由信息是否是正确的。
PE路由器需要把VRF转发给骨干网络中其它的PE路由器,只有当本地VRF从相连CE路由器接收到了至少一条路由信息并且该信息已经通过了路由认证机制的检查时才能转发。这样,就避免了将错误的VRF转发到其它VPN中。在配置路由认证机制后,PE 路由器首先为每个VRF产生一个随机数,作为"UPDATE authenticator"的'Generator'域的值。其次将该随机数同MP-BGPUPDATE消息一起进行HAMC MD5加密,此处用到的MD5密钥是与该VRF对 应CE的 密 钥 , 加 密结 果 写 在UPDATE-authenticator的"HMAC-MD5Signature" 域中。PE还要在UPDATE-authenticator属性上填充'key-identifier'域值。在VPN网络中,每个VRF的MD5密钥都与全局唯一的'key-identifier'相对应。每个有VPN成员的PE路由器均有 映射关系表,接收端PE应用'key-identifier'域值在映射表中查找相应MD5密钥来验证路由更新信息。最后,路由消息被送往 BGP 等价对 (其它的路由器或路由反射器),消息中route-targets值决定哪个PE路由器接收该路由信息,也决定了将更新哪一个VRF。
当PE路由器接收到UPDATE authenticator消息后,将进行一系列的检查,通过检查的路由消息才能够写入路由信息表中。接收路由信息的过程如下:首先检查路由信息是否包含UPDATE-authenticator属性,当路由信息具有UPDATE-authenticator属性并且VRF需要进行路由认证时,接收端PE才根据'key-identifier'域值在映射表中查找相应MD5密钥,用此密钥 对 路 由 信 息 进 行MD5加 密 , 然 后 将 加 密 结 果 与 接 收 到 的"UPDATEauthenticator" 属性中的值进行比较,如果两个值是相同的,则将路由信息写入VRF,如果两个值不同,则记录一个警告信息以提示出现错误配置。如《算法框图》所示:
算法框图IF target VRF is configured for Verification
THEN
IF UPDATE-authenticator attribute is present
THEN
subroutine determine_MD5-key
verify UPDATE-authenticator with MD5-key
IF result = signature of received UPDATE-authenticator
THEN
import route into VRF
ELSE
mark routes as 'not authenticated'; log error
ELSE
mark routes as 'not authenticated'; log error
ELSE
mark routes as 'not authenticated'; log error
subroutine determine_MD5-key
IF key-identifier = 0
THEN
MD5-key = the MD5 key used for routing authentication with one of the
routing peers of the VRF.
ELSE
MD5-key = lookup_in_config (key-identifier)
RETURN MD5-key.
与RFC2547中定义的BGP/MPLS VPN的路由信息发布过程类似,每个CE还需要知道它所能达到的地址信息,它将从与PE路由器接口相对应的VRF表中获取路由信息。
这种基于CE-CE的路由认证机制,目的是保证PE路由器上路由目标的正确配置,以顺利地完成BGP/MPLS VPN网络中路由配置、实现路由隔离及VPN之间的访问控制。应用这个认证机制的结果是将不属于该VPN网络的CE路由器进行隔离,并且对于出现的错误进行报警。
边缘接入控制模型边缘 PE的每个接口都配有入方向和出方向的接入控制策略表 ,且相互独立。
接入控制是一个策略模块,用于控制业务数据流的转发和网络安全部署。接入控制策略是一个有序的语句集,它基于已建立的标准匹配报文中信息与接入控制表参数,来允许报文通过或拒绝报文通过某个接口。接入控制策略控制范围之外,设备将按默认方式工作,如默认转发。接入控制策略应用于接口,每个接口可以配置不同的接入控制策略表(即接入控制表) ,其对数据流的监控具有方向性—“向内”
