CE三类路由器

近年来 ，电子商务等网络应用的飞速发展，使网络安全问题体现得尤为突出。在这种背景下，VPN 的应用越来越广泛。当前实现 VPN的技术有多种，其中BGP / MPLS VPN 以其可扩展性好、 转发效率高、 灵活的地址策略等优势而得到广泛的部署。

BGP / MPLS VPN 中有3 种路由器，即用户边缘( Customer Edge，CE) 路由器，提供商边界 ( ProviderEdge，PE)路由器，提供商(Provider，P)路由器PE 路由器和 P路由器保存到达外网的全局路由表信息，而CE 路由器保存VPN 内网的路由信息PE 路由器上使用独立的虚拟路由转发实例 ( Virtual outing andForwarding Instance，V F)来保存并交换来自CE 路由器的 VPN路由信息，这些路由信息不与全局路由表交互 P路由器通常只根据数据包的标签执行快速转发，并不参与 VPN内网的路由信息交换。 这样，各VPN 路由信息只存在于各自独立的V F 下，PE 路由器和 P路由器的主路由表并没有各 VPN的路由信息，从而通过这样的路由隔离来实现流量隔离，提供了VPN 之间通信的安全性。由于采用了路由隔离，VPN中的用户不能访问Internet 。然而，VPN 中的某些用户除了需要安全的共享自身所在 VPN的网络资源，同时还需要能够访问Internet。 因此，在典型BGP / MPLS VPN 的基础上，结合使用 G E隧道技术，把特定的需要访问 Internet的流量通过隧道从 V F中分离出来，然后依据全局路由表的路由信息发往 Internet，而发往同一 VPN其它站点的流量仍依据 V F中的路由信息转发 ，应用各种仿真软件模拟网络环境已经得到广泛的应用。

CE设备

CE更多的是出现在VPN中的，与之对应的是PE。

CE（Customer Edge）设备：是用户网络边缘设备，有接口直接与服务提供商相连，可以是路由器，也可以是交换机等。CE是感知不到VPN的存在的。

PE是运营商边缘路由器（Provider Edge）。

CE和PE的划分主要都是从运营商和用户的管理范围来划分的。这两者是范围的边界。

接入控制功能的实现为业务提供商给用户基于策略的流量限制提供了可能,更好地满足网络成本与业务服务等级之间的公平性,同时提高了网络的安全性。

基于CE-CE的路由认证机制重新应用了在CE-PE 路由认证过程中的MD5密钥，它的好处是不需要CE路由器或VPN站点改变或进行软件升级。机制运行时，PE路由器必须为每个VPN指明哪个MD5密钥是用来验证路由信息的，必须让每个VPN在所有的CE-PE 链路的路由认证过程使用同一个MD5密钥。MD5密钥必须唯一的对应一个VPN。VPN用户用此MD5密钥配置其所有的CE路由器。MPLS 服务提供商也用此密钥配置与客户CE连接的PE路由器。

路由信息发布过程为如下方式：

CECE向入口发布

CE路由器向PE登记VPN的成员信息：一个PE有可能为多个VPN的CE服务，而PE必须能够辨别CE属于哪个VPN。每一个VPN都具有自己的VPN ID，VPN ID在提供者域内应该是唯一的，PE就是根据这个VPN ID来辨别CE属于哪个VPN。另外，CE路由器必须向PE路由器提供本VPN的路由认证密钥，因此如果在CE-PE之间采用动态路由协议，那么必须对路由协议进行MD5路由认证。一般只有经过MD5认证成功的路由信息才能够写入相应的VRF中，并且该VRF也是需要路由认证机制的。如果要在PE路由器上配置需要MD5认证的VRF时，必须确保先进行本地的路由认证然后才向其它PE路由上传播路由信息。此处的路由认证主要包括检查并确认在VRF中所有从连接的CE路由器上接收来的路由信息是否是正确的。

CEPE路由器发送

PE路由器需要把VRF转发给骨干网络中其它的PE路由器，只有当本地VRF从相连CE路由器接收到了至少一条路由信息并且该信息已经通过了路由认证机制的检查时才能转发。这样，就避免了将错误的VRF转发到其它VPN中。在配置路由认证机制后，PE 路由器首先为每个VRF产生一个随机数，作为"UPDATE authenticator"的'Generator'域的值。其次将该随机数同MP-BGPUPDATE消息一起进行HAMC MD5加密，此处用到的MD5密钥是与该VRF对 应CE的 密 钥 ， 加 密结 果 写 在UPDATE-authenticator的"HMAC-MD5Signature" 域中。PE还要在UPDATE-authenticator属性上填充'key-identifier'域值。在VPN网络中，每个VRF的MD5密钥都与全局唯一的'key-identifier'相对应。每个有VPN成员的PE路由器均有 映射关系表，接收端PE应用'key-identifier'域值在映射表中查找相应MD5密钥来验证路由更新信息。最后，路由消息被送往 BGP 等价对 (其它的路由器或路由反射器)，消息中route-targets值决定哪个PE路由器接收该路由信息，也决定了将更新哪一个VRF。

CEPE路由器接收

当PE路由器接收到UPDATE authenticator消息后，将进行一系列的检查，通过检查的路由消息才能够写入路由信息表中。接收路由信息的过程如下：首先检查路由信息是否包含UPDATE-authenticator属性，当路由信息具有UPDATE-authenticator属性并且VRF需要进行路由认证时，接收端PE才根据'key-identifier'域值在映射表中查找相应MD5密钥，用此密钥 对 路 由 信 息 进 行MD5加 密 ， 然 后 将 加 密 结 果 与 接 收 到 的"UPDATEauthenticator" 属性中的值进行比较，如果两个值是相同的，则将路由信息写入VRF，如果两个值不同，则记录一个警告信息以提示出现错误配置。如《算法框图》所示：

IF target VRF is configured for Verification

THEN

IF UPDATE-authenticator attribute is present

THEN

subroutine determine_MD5-key

verify UPDATE-authenticator with MD5-key

IF result = signature of received UPDATE-authenticator

THEN

import route into VRF

ELSE

mark routes as 'not authenticated'; log error

ELSE

mark routes as 'not authenticated'; log error

ELSE

mark routes as 'not authenticated'; log error

subroutine determine_MD5-key

IF key-identifier = 0

THEN

MD5-key = the MD5 key used for routing authentication with one of the

routing peers of the VRF.

ELSE

MD5-key = lookup_in_config (key-identifier)

RETURN MD5-key.

CE出口信息发布

与RFC2547中定义的BGP/MPLS VPN的路由信息发布过程类似，每个CE还需要知道它所能达到的地址信息，它将从与PE路由器接口相对应的VRF表中获取路由信息。

这种基于CE-CE的路由认证机制，目的是保证PE路由器上路由目标的正确配置，以顺利地完成BGP/MPLS VPN网络中路由配置、实现路由隔离及VPN之间的访问控制。应用这个认证机制的结果是将不属于该VPN网络的CE路由器进行隔离，并且对于出现的错误进行报警。

在 用户网络和提供商网络之间 ,即在客户边缘 (CE)设备和提供商边缘 (PE)设备之间通过用户网络接口 (UNI)相互连接 ,如图《边缘接入控制模型》所示。用户跨越 UNI进行网络访问,产生用户网络业务流(UNSF)映射为一个单一的业务会话虚连接(SCVC)。在提供商网络侧的 PE针对每个 SCVC部署接入控制策略 ,控制业务流允许进入网络的流量 ,从而实现占用网络资源与业务服务等级之间的合理匹配。

边缘 PE的每个接口都配有入方向和出方向的接入控制策略表 ,且相互独立。

接入控制是一个策略模块,用于控制业务数据流的转发和网络安全部署。接入控制策略是一个有序的语句集,它基于已建立的标准匹配报文中信息与接入控制表参数,来允许报文通过或拒绝报文通过某个接口。接入控制策略控制范围之外,设备将按默认方式工作,如默认转发。接入控制策略应用于接口,每个接口可以配置不同的接入控制策略表(即接入控制表) ,其对数据流的监控具有方向性—“向内”2100433B

Water Edge处于罕见的集海滨、交通、购物、休闲、娱乐为一体的地区Rhodes区。地铁、大型购物中心、娱乐设施应有尽有。

Water Edge以其优美的景色、发达的商业而成为人口密集且新房林立的高尚新区。与Mirvac的Rhodes Shopping Centre著名的宜家商场-IKEA近在咫尺，附近的Rhodes火车站连通着其它各区。最令人关注的是，该楼盘离南半球最大的购物中心Top Ryde Shopping Centre 仅5分钟的车距，便利的购物及交通设施使得该区成为众多购买者关注的焦点。属于“地理中心”，同时具有火车和巴士等公共交通，是悉尼进出最方便的地区之一。

Mirvac本次推出的楼盘步行至Rhodes火车站仅需5分钟。

《Solid Edge钣金设计》是Velocity Series实践指导专题类辅导书，系统、全面地介绍了Solid Edge钣金设计模块的各种设计功能、操作方法和设计技巧。在内容编排上，充分考虑读者的思路和接受能力，去繁从简、由浅入深，实用性和可操作性强，从而使读者能够迅速上手并且产生成就感。另外，在每个主要章节的实例中，贯穿了Solid Edge设计的特点和技巧，以加深读者的印象和理解。