近年来 ,电子商务等网络应用的飞速发展,使网络安全问题体现得尤为突出。在这种背景下,VPN 的应用越来越广泛。当前实现 VPN的技术有多种,其中BGP / MPLS VPN 以其可扩展性好、 转发效率高、 灵活的地址策略等优势而得到广泛的部署。
BGP / MPLS VPN 中有3 种路由器,即用户边缘( Customer Edge,CE) 路由器,提供商边界 ( ProviderEdge,PE)路由器,提供商(Provider,P)路由器PE 路由器和 P路由器保存到达外网的全局路由表信息,而CE 路由器保存VPN 内网的路由信息PE 路由器上使用独立的虚拟路由转发实例 ( Virtual outing andForwarding Instance,V F)来保存并交换来自CE 路由器的 VPN路由信息,这些路由信息不与全局路由表交互 P路由器通常只根据数据包的标签执行快速转发,并不参与 VPN内网的路由信息交换。 这样,各VPN 路由信息只存在于各自独立的V F 下,PE 路由器和 P路由器的主路由表并没有各 VPN的路由信息,从而通过这样的路由隔离来实现流量隔离,提供了VPN 之间通信的安全性。由于采用了路由隔离,VPN中的用户不能访问Internet 。然而,VPN 中的某些用户除了需要安全的共享自身所在 VPN的网络资源,同时还需要能够访问Internet。 因此,在典型BGP / MPLS VPN 的基础上,结合使用 G E隧道技术,把特定的需要访问 Internet的流量通过隧道从 V F中分离出来,然后依据全局路由表的路由信息发往 Internet,而发往同一 VPN其它站点的流量仍依据 V F中的路由信息转发 ,应用各种仿真软件模拟网络环境已经得到广泛的应用。