【YD通讯标准】 公用三层虚拟专用网业务技术要求

ICS 33.040.40
中华人民共和国通信行业标准
YD/T 1943-2009
公用三层虚拟专用网业务技术要求Technique Requirement for Layer 3 Provider ProvisionedVirtual Private Network Service2009-06-15发布
2009-09-01实施
中华人民共和国工业和信息化部发布前
范围·
规范性引用文件…
术语、定义和缩略语
三层PPVPN分类*
通用业务要求…·
客户要求·
运营商网络要求
运营商管理要求
安全考虑
IKAOIKAca-
YD/T 1943-2009
YD/T1943-2009
本标准对应于IETFRFC4031《三层运营商虚拟专用网业务要求》（2005年英文版）。本标准与IETFRFC4031三层运营商虚拟专用网业务要求》：（2005年英文版）的一致性程度为非等效，主要差异如下：一本标准的第5章修改采用了ETFRFC4031《三层运营商虚拟专用网业务要求》（2005年英文版）第4章；
一本标准第6章修改采用了IETFRFC4031二层运营商虚拟专用网业务要求”（20051英文版）第5章；
本标推第7章修改采用了TETFRFC4031《正层运营商虚拟专用网业务要求》（2005年楚文版）第6章：
本标第8章修改采用了IETFRFC4031《三层运营商虚拟专用网业务要求》（2005年英文版）第7章。
本标雅为避拟专用购（VPN）的系列标雅之一，本系列标准的名称及结构如下：一YD/T1190-2002基于网络的虚拟LP专用网（IP-VPN）框架一YD/T1471-2006基于IP的二层虚拟专用网（VPN）业务技术要求一YD/T1943-2009公用三层虚拟专用网业务技术要求一YTD/T1476-2006基-十边界网关协议/多协议标记交换的虚拟专用网（BGP/MPLSVPN）技术要求YD/T[477-2006基边界网关协议/多协议标记交换的虚拟专用网（BGP/MPLSVPN）组网要求一YD/T1945-2009基于边界网关协议/多协议标记交换的虚拟专用网（BGP/MPLSVPN）测试方法一YD/T1942-2009基于标记分配协议（LDP）的虚拟专用以太网技术要求一基于标记分配协议（LDP）的虚拟专用以太网测试方法本标准由中国通信标准化协会提出并归口。本标雅起单位：业租德息化部电信研究院、上海贝尔阿尔卡特股份有限公司，华为技术有限公司、中兴通信股份有限公司
本标雅主要起草人：田辉、马科、高巍、何宝宏、张立新、李德丰、鸿军I
1范围
公用三层虚拟专用网业务技术要求YD/T 1943-2009
本标准从客户和运营商的不同角度出发，规定了运营商提供三层虚拟专用网业务的技术要求，包括通川业务要求、客户要求、运营商网络要求、运营商管理要求和安金考等。本标准适用于运营商提供的兰层虚拟专用网业务（包括基于卫的三层虚拟专用网业务），不适用于二层虚拟专用网业务和应用层显拟专用网业务。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研突是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准，YD/T1190-2002基网络的虚拟IP专用网框架ITU-T Y.1311
ITU-T Y.1311.1
IETF RFC1918
IETF RFC2205
IETF RFC2211
[ETF RFC2212
IETF RFC2385
IETFRFC2475
IETF RFC2597
IETFRFC2685
IETFRFC3246
IETFRFC3270
IETF RFC3809
基于网络的虚拟专用网通用框架和业务要求MPLS 体系结构上的 IP VPN网
私有因特网地址分配
资源预留协议（v1)：功能规范
负载控制网络业务规范
确保服务质晟业务规范
用TCPMD5签名选项保护BGP话
差分服务架构
确保转发的每跳行为
虚拟专用网标识
加速转发的每跳行为
多协议标记交换支持差分服务
运营商虚拟专用网（PPVPN）通用要求3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。3.1.1
对丁特定的骨干网，一个不需要通过骨干网就能完成互联的IP网络系统，被称之为…个站点。常，这些毛机和网络设备系统在地理上比较集中。但是两个地理位置较远的站点过租用线路连接，运行遇1
KAoNrKAa=
YD/T1943-2009
当的路由协议来传摇路由，并且这个租用线是这两个站点间数据转发的优选通道，那么这两个站点对于PE可以认为是一个VPN站点，即使每个站点有自已的CE路由器。这里的站点是一个拓扑概念，而不是一个地埋概念。如果站点间的租用线失效，则一个站点变成两个站点，两个站点间可以使用VPN来通信。3.1.2
客户是站点的所有者。客户从运营商处得到VPN服务：运营商的VPN客户可以是单个企业、多个企业、一个Internet运营商、一个应用提供商，甚至是同样提供VPN业务的运营商（拥有自已的客户）：客户还可以指定一组用户，并授权管理客户的VPN，这些用户被称为代理。3.1.3
运营商
运营商是骨于网的所有者，运营商为客户提供VPN业务。决定VPN包含哪些站点的管理策略由客户自己决定，某些客户将所有的管理T作交给运营商成，或者出客户和运营商一起管埋理。本标准对VPN的讨论仪针对运营商管理的情形，更进一步的策略可能还包会VPN内部的路出策略，如VPN站点内部站点之问存在直达路由（fullmesh），或强制两个站点之问的业务必须经过第三个站点（例如第三个站点内包含一个防火墙）。3.1.4
虚拟专用网
对连接到骨干网上的站点集合施某种控制策略，生成站点的子集，当某一子集同时包命两个或更多的站点，且这些站点之间通过骨干网连接具有可达性时，称这个子集为VPN。在站点之间利用共享的骨干网络设施实现三层通信的虚拟专用网称为三层虚拟专用网。如策运营商参与虚拟专用网业务的管理和运维，则称其为运营裔虚拟专用网。3.1.5
内联网/外联网
当VPN所有站点属于问--客户时，YPN通信被看作是内联网（Intranet）。当VPN站点属丁不同客户时，VPN通信被看作是外联网（Extranet）。单个站点可以同时属于一个Iniranet或多个Extranet。本标准不作特殊说明时，VPN不区分intranet和Extranet
用户边缘设备
川户边缘设备位丁客户网络的边缘，它通过到一个或多个运商边缘设备的数据连接链路为用户提供对运营商的接入。这里的连接可以是ATM、帧中继、以太网、PPP以及各种隧道等。CE设备可以是一台主机、以太网交换机或路由器。通常情况下，CE设备是台路由器，个站点可能包含多台路出器，仪将连接到PE的路由器称为CE。CE与直连的PE设备建立路由邻接关系，CE路由器将站点的本地路由广播给PE路由器，并从PE路由器学习远端VPN路由。不向站点的CE路II器之间不能直接交换路由信息。
运营商边缘设备
YD/T1943-2009
运营商边缘设备位于运营商网络的边缘，通常是路出器设备。PE路由器使用静态路出、RIPv2、OSPF、或BGP与CE路由器交换路由信息。为了增强VPN的可扩展性，对于PE路由器来说只需维护与其直接相连的VPN路由信息，而不要求PE路由器维护运营商网络中所有VPN的路由信息。当使用MPLS对VPN业务进行转发以穿越运营商网络时，入口PE路由器的作用相当于入口LSR，而出口PE路由器的作用相当于出口LSR。3.1.8
运营商路由器
运营商路出器是运营商网络中不连接CE设备的路由器。如果骨干网采用MPLS技术，当PE路由器间对VPN数据业务进行转发时，P路由器的功能相当丁传输LSR。由于数据在MPLS骨干网中被转发时使用了多层标记堆栈，P路由器只需要维护到达运营商PE路由器的路由，所以P路由器不需要为每个站点维护特定的VPN路由信息。3.1.9
包交换网络
包交换网络是IP或MPLS网络，该网络上可建立支持VPN业务的隧道。3.1.10
业务提供商网络
业务提供商网络是指由单个业务提供商管理的、PE和P设备互连的网络，该络可属于一个AS，也可属于多个AS。
接入网络
在CE和PE设备之间提供连通性的连接被称为接入连接，这种接入连接包括专用物理链路、FR、ATM、VLAN以及其他IP隧道。
在CE和PE设备之间提供连通性的网络被称为接入网络，这种接入网络包括TDM网络、FR网络，ATM网络、以太网以及其他支持隧道技术的IP网络。3.1.12
VPN应用中，为支持两个实体之间的数据包传送，用个封装头封装另··搬文的技术称为隧道，常见的隧道协议包括GRE，IPSec、LP-in-IP以及 MPLS隧道。将一个隧道封装到另一个隧道的技术称为层次化隧道，其中最内层隧道协议头定义了两个实体之间的逻辑联系（如CE或著PE之问）：3.2缩略语
下列缩略语适用于本标准。
Attachment Circuits
Address Field Identifier
Autunomous System
Autonomous System Border RouterKAorKAa=
直连电路
地址字段标识
自治系统
自治系统边界路由器
YD/T 1943-2009
IPSECIM
Autonomous System Number
Application Service ProviderAsynchronous Transfer Mode
Best Effort
Border Gateway Protocol
Customer EdgebZxz.net
Challenge Handshake Authenticatiun ProtocorCommand Line Interface
Class of Service
Data Link Connection IdentifierDynamic Host Configuration ProlocolDomain Name Service
Denial of Service
Dilfserv Code Point
Device Under Tesl
Extensible Authentication ProlocolExpedied Forwarding
Explicit Routing
Fault Configuration Accounting Performance SecurityForwarding Equivalence ClassFrame Relay
General Route Encapsulate
Gateway Router
Intemet Engineer Task Force
IntemelGroupManagementProtocolInterior Galeway Protocol
Intemnet Protocol
IP-only LAN-like Service
IPSecurity
IPSec Policy Information ModelInternet Protocol Versian 4
Internet Service Provider
International Telecommunications UnionLocal Area Net work
Labcl Information Base
Label Distribution I'rotocolLabcl Switched Path
自治系统编号
应用业务提供商
异步转移模式
尽力而为
边界网关协议
用户边缘设备
质询握手认证协议
命令行接口
业务类型
数据链路连接标志符
动态主机配置协议
域名服务
拒绝服务攻击
区分服务编码点
被测设备
可扩展认证协议
加速转发
显式路由
差错/配置/计费/性能/安全
转发等价类
顿中粼
通用路出封装
网关路出器
因特网工程任务组
互连网组管理协议
内联网关协议
互连网协议
只支持P的类似LAN业务
IP安全协议
IPSec策略信息模型
互连网协议一第四版
互连网业务提供者
国际电信联盟
局域网
标记信息库
标记分发协议
标记交换路径
L2 VPN
L3 VPN
RADIUS
Label Switching Rouler
LSR Under Test
Layer 2 Virtual Private NerworkLayer 3 Virtual Private NetworkMessageDigest5AigorithmMD5
Management Information Base
Multiprotocol Labcl SwitchingNetwork Address Transiate
Next Hop Route Protocol
Network Management Systenm
Network Layer Reach ability InformationNetwork Time Protocol
Outbound Route Filtering
Open Shortest Path First
Provider Router
Password Authentication ProtocolProvider Edge
Per Hop Behavior
Provider Provision Virtual Private Net wurkPacket Switched Netwark
Permanent Virtual Citcuit
Quality of Service
QoS Policy Informalion ModelRemote Authentication Dial-In User ServiceRouting Distinguisher
Routing Information ProtocolRouting Reflect
Resource Reservation ProtocolRoute Target
Sub Address Ficld IdentifierService Layer Agreement
Service level Specification
Service Provider
Transmission Control ProtocolTelecommunications Management NetworkTime-To-Live
User Datagram Prolocul
KAOKAa-
YD/T 1943-2009
标记交换路由器
被测LSR
二层虚拟专用网
三层虚拟专用网
消息摘要算法
管理信息库
多协议标记交换
网络地址翻译
下一跳路由协议
网络管理系统
网络层可达性信息
网络时问协议
出口路由过滤
开放最短露径优先
运营商路由器
密码认证协议
运营商边缘设备
每一跳行为
运营商运营席拟专用网
包交换网络
永久虚电路
服务质量
服务质量策略信息模型
远程认证拨号接入用户业务
路由区分器
路由信息协议
路由反射
资源预留协议
路由目标
子地址学段标识
业务等级协定
业务等级规范
业务提供商
传输控制协议
电信管理网络
牛存时间
用户数据报协议
YD/T 1943-2009
VPN-IPy4
Virtual Forwarding Instance
Virtual Local Area Network
Virtual Private LAN Service
Virtual PrivateWireService
Virtual Privale Nel work
VPN-IPv4
VPN Routing and Forwarding
Virtual Switching Inustance
4三层PPVPN分类
虚拟转发实例
虚拟局域网
虚拟专用LAN业务
虚拟专用线路业务
虚拟专用网
VPNIPv4地址：
VFN路由转发表
虚拟交换实例
根据VIN隧道终结点的不同，可以将PPVPN分为两类：基TPE的三层VPN和基丁CE的三层VPN。4.1基于PE的三层VPN
三层VPN隧道终结点为PE时，称为基丁PE的三层VPN。在基于PE的三层VPN业务中，运营商为客提供IP层的服务。此时，CE设备将PE看作为个三层设备（Pv4或IPvG路中器），而PE设备接入一个或多个CE设备，并椒据P包头（包括IPv4和IPv6）信息转发用户数据包。
在基于PE的三层VPN业务中，道过PE和CE之间的路由交互，PE设备为每个VPN创建并维护一个VFI该VFI终结与其他VFI互连的隧道，同时终结相应CE的接入连接。根据VFI中所包含的转发信息，PE设备从CE-PE接入连接上收到数据，并转发到相同VPN的其他PE，因此VFI应包含三层VPN的路由信息库和转发信息库，对VFI的支持，使得路由器从功能上看仅为单个VPN提供独享的服务，可以实现VIN路由与转发的陷离，并允许不同VPN之间使月重叠的地址空间，基于PE的三息VPN中，PE设备可以使道和层次化隧道为VFI提供通信连接图1为PE使用独立隧道承载不同VPN的参考模型，此时每个隧道为不同PE设备上的VFI建立通信连接。
图1基于PE的VPN（独立隧道）
图2为PE使用层次化隧道承载多个VPN的参考模型，该共享隧道为不同VPN提供通信连接。PE设备通过对最内层协议封装头的分析，判断数据包到底属哪个VPN。6
4.2基于CE的三层VPN
图2基于PE的VPN（共享分级隧道）三层VPN隧道终结点为CE时，称为基于CE的三层VPN。VPNA
YD/T 1943-2009
在基于CE的三层VPN业务中，CE逛常仪为单个客户站点服务，因此可从物理[实现与其他客户VPN路由与转发的隔离。此时，所有VPN功能由CE设备实现，VPN对PE设备保持透明，PE设备不感知VPN中CE设备的成员关系，PE和P设备仪提供CE设备之问间的路由和转发。根据VPN客户需求和流量模型，CE之间的隧道坏扑可以是FullMesh的，也可以是PartialMesh的，图3为基于CE的VPN参考模型。
5通用业务要求
-接入网络
运营商网络
图3基于CE的VPN
接入网络
本章是对L3PPVPN的通用业务的要求，既适用于客户，也适用于运营商。5.1隔离
PPVPN应提供VPN相关站点路由可达性信息的隔离机制，L3VPN应提供解决方案，阻止VPN内部路出器与非授信实体发生路出交互，避免不良路出信息的引入对VPN路由信息库产生干扰。PPVPN应提供手段，利用路由信息和配置方法，约束，隔离VPN数据仪分发至VPN站点。PPVPN应支持单个站点属于多个VPN的应用场景，此时VPN解决方案必须确保站点的数据仅在相同VPN站点间传送。
VPN内部拓扑结构不应通告或泄漏给外部网络。VPN隔离要求数据转发和路由信息的交互仅限于VPN内部站点之间，是PPVPN安全的重要组成。7
TYIKAOrKAca
YD/T 1943-2009
5.2地址
单个VPN内所有站点的P地址必须保证唯：性。PPVPN解决方案应支持Iv4，IPv6的封装和被封装协议，若客户使用私有地址或非唯一的IP地址，那么VPN业务应提供客户地址翻译功能，保证VPN客户能够与公网互通，
5.3服务质量
山于扩展性考虑，L3PPVPN采用何种服务质量技术应与接入网络技术无关。5.3.1服务质量标准
本标准不定义新的服务质量协议，也不对已有协议进行扩展。L3PPVPN应能支持以下--种或多种服务质量模型：
尽力而为的服务质（必须支持）：。聚合CE接口级别的服务质量；·站点到站点的服务质量：
●Interserv信令：
. Diffserv标记;
·跨包交换接入网络。
以上所有QoS机制需要CE和PE设备实施相应的流量整型及策略。对于特定客户的语音及视频会话应用，L3PPVPN的CE设备应实现InterserV服务质量模型。此时，CE设备应支持以下标准：
*资源预留协议（ETFRFC2205）：。负载控制网络业务规范（ETFRFC2211）：·确保服务质量业务规范（正TFRFC2212）。L3PPVPN的CE和PE设备应支持DifserV服务质量模型。此时，CE和PE设备应支持以下类型的每跳行为标推：
加速转发1HB（正TFRFC3246）
确保转发PHB（IETFRFC2597）。支持L3PPVPN业务的CE和PE设备应可根据以下IP头字段将数据包分类映射至IntcrserV、Diffscrv业务模型：
协议：
·源端口号；
·日的端口号；
：源地址：
［的地址。
对于特定的Internet流量，L3PPVPN设备应支持随机早期检测机制，避免网络发生拥塞。5.3.2服务模型
运营商必须能够为客户提供有服务质量保障的VPN服务，应提供以下通用业务类型：可管理的接入VPN服务和边缘到边缘的QoSVPN服务。8
YD/T1943-2009
可管理的接入VPN服务：该业务在CE和PE的接入连接上提供服务质量保障，对于Diffsery，要求仪在CE和PE的用户侧接口使能Diffsery，而不要求运营商骨干网实施。运营商应支持在PE设备上实施入口流最整型，还应支持数据包的分类和Diffserv标记。运营商应支持根据客户选择进行数据包分类，或根据客户特定需求定制，其他更加复杂的服务质量策略可再客户百行实现，边缘到边缘的QoSVPN服务：该业务根据运营商和客户驻地网业务划分点的不同，在本端CE到远竭CE，或本端PE到远端PE之问提供服务质量保障。边缘到边缘的QS服务应支持跨域和跨运营商的应用。5.4SLS和SLA
除IETFRFC3809所规定的SLA要求以外，DiffserV方案的SLS服务质量测量应遵循ITU-TY.1311的分类
，点到点SLS（Pipe模型）：该模型结合VPN站点之间流量交互的服务质量目标，界定流量参数。点到点SLS提供与点到点顿中继、ATMPVC以及边缘到边缘MPLS隧道类似的SLS，对VPN可达站点的SLS规格集中应包括对某-特定站点所有点的点SLS楚义。，点到云SLS（Hosc模型）：该模型结合CE和PE之间流量交互的服务质量目标，界定流量参数。点到云SLS根据VPN站点向SP网络发送数据包的汇聚角度制定要求，而不考虑数据包的具体目的VPN站点。，云到点SLS：该模型结合PE和CE之间流量交互的服务质量目标，界定相关流量参数。但来定义从多个源地址：向特定站点发送数据的流量参数，这种应用可能导致站点接口发生拥塞。SLS应根据业务提供商和客户站点的划分，定义上行和下行流量的流量参数利转发行为。这时需要在入口定义流量策略，出口进行流量型。5.5管理
L3PPVPN业务必须是可管理的，应提供给运营商和客户管理VPN能力和特性的于段。进一步考虑，业务还应支持标准管理平台上的自动化操作和互操作能力。要求L3PPVPN网络管理符合ITU-T电信管理网络模型，满足以下通用的架构：，从网络（网元网管）角度看，网管系统应能够对开展业务所需的各种资源进行设计、部署和管理，这些资源包括交换、路由和传输等；·从业务网管角度看，网管系统应能够管理以上资源上所开展的VPN，包括VPN业务管理以及VPN商务管理（主要提供VPN客户的相关管理、计费信息）。PPVPN管理应符合电信管理网露的“FCAPS”功能要求，包括故障，配置、计费，规定和安全。5.6互通
L3PPVPN应支持不同VPN解决方案之间的互通，且具有良好的扩展性。L3PPVPN的互通应满足VPN流量和路由的隔离、安全、服务质量、接入和管理方面的要求，在网络迁移过程中，保障分属网络不同部分站点的服务连续性。6客户要求
本章从客户的角度提出对L3PPVPN的业务要求，6.1VPN成员
L3PPVPN方案应支持VPN成员之间的Lntranet利ExLranet应用场景外联网方案中，应支持各个组织的客户代理根据多方的商业决策，批准VPN站点的添加、删除与管理。此外，还应提供手段，充许各个组织控制站点之问的流量和露由信息变互。9
KANiKAca
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。