组网数据平面如何工作?管理平面如何工作?
在数据平面上,CE根据路由表将用户流量作为普通IP流量转发到PE。由于CE没法“看到”核心或其他方案,因此转发与任何其他网络中的转发相同。
PE转发来自多个方案的流量,并且由于这些方案可能使用相同的地址空间,因此组网核心上的转发不能使用常规IP地址空间。各种方法用于将来自不同方案的流量分开。例如,这可以是标签交换路径(LSP)或IPsec隧道。所有这些方法的共同点是,方案通讯是在一种隧道中承载的。在LSP上,最经常使用的技术IP数据包通过一组标签进行隧道传输,这些标签辨别各种方案的流量。
管理平面如何工作?
组网核心的管理平面与其他IP网络中的相同。所有装备都具有带内和带外管理通道,通常都使用这两种通道。
带外通道通常通过非IP网络(例如电话网络)连接,并通过终端服务器进行控制,在终端服务器上连接服务提供商的存在点(PoP)的路由器。这些带外通道通过终端服务器得到保护。
带内管理通道将服务提供商的网络运营中心(NOC)连接到要通过IP网络进行管理的装备。图16显示了带内和带外管理通道。要保护此通道,一定要履行几个步骤:
1.通过将管理通道上的访问限制为仅需要访问的接口和仅需要访问的源地址,可以保护每一个装备。另外,需要强身份验证。
2.全部组网网络应禁止从外部使用的管理通道,以使外部用户没法将数据包发送到管理端口。这类做法也称为基础结构访问控制列表(iACL)。
3.一定要保护NOC免受入侵,以免黑客首先控制NOC系统,然后从那里进行装备管理。
网友留言: