VPWS、组网、IPSEC加密
VPWS技术能解决点对点的二层报文透明传输,即能将用户原始的二层报文透明的从本地PE装备传送到远端PE装备,经过VPWS封装后的报文其在运营商网络上是通过组网标签交换进行报文传送。其没法实现对原始报文的加密处理。
另外一方面VPWS要求网络中间节点需要支持组网标签转发,其实不是所有现有的网络都能满足此要求。
而IPSEC技术是对IP层进行加密处理,没法对原始的二层报文进行加密并传送。
控制平面PE装备的处理,控制平面主要实现远端PE和本地PE之间分配方案标签,采取现有的LDP协议分发标签,采取在GRE隧道接口之上运行LDP的方法。控制平面还包括GRE的配置、IPSEC的配置,和复用路由器上的路由协议、ARP协议。
转发平面分为转发表模块和转发引擎模块,转发表模块由于控制平面生成,转发引擎履行查找动作,其包括接入端口VPWS配置信息表、GRE配置信息表、IPSEC加密信息表、路由表、ARP表、组网标签表。
转发引擎的处理可以分为本地PE和远端PE两个部份。
本地PE装备数据转发平面的处理,本地转发平面完成对用户原始二层报文的封装,第装(组网标签),第二层封装为GRE封装,第三层封装为IPSEC加密封装;并将封装后的报文发送到网络侧接口。
远端PE装备数据转发平面的处理,先做IPSEC解密处理,恢复成GRE封装报文,解析GRE封装根据ProtocolType可得知为组网标签封装,剥离GRE头,得到方案标签和原始报文,并将原始报文发送到用户侧接口。
将二层VPWS的组网标签引入GRE封装,且对GRE报文做IPSEC加密,使二层数据报文能够透明的逾越三层网络传送到远端,且该传送进程是加密的,满足了业务传送的透明性与安全性。
