VPLS技术培训胶片.ppt

VPLS技术培训胶片 鉴定测试中心王君菠Tel 82774292 VPLS技术简介VPLS技术实现VPLS配置实例 VPLS产生背景 BGP MPLSVPN为大行业用户提供跨省跨国的VPN网络 给运营商带来了很多增值业务客户VPN互连时 不想让运营商干预其IP地址规划 这样用户设计自己的网络会更加灵活运营商不想干预 参与用户的IP地址 也不想关心用户的IP地址规划 此时运营商和用户都迫切需要一种二层的VPN技术 VPLS产生背景 Martini和Compella两种草案应运而生部分厂商推出了支持这两种协议的解决方案但这两种协议都有一个共同的致命缺陷 只提供点到点的服务 当一个企业分支过多时必然面临N 2问题VPLS这是来解决该问题的 它可提供多点到多点的隧道但VPLS也有天生不足 只支持以太网封装 目前被大量应用在城域以太网中 VPLS简述 VPLS VirtualPrivateLanServiceVPLS用Martini和Compella两种草案技术采用以太网封装来实现 目前以Martini方式为主 VPLS可为用户提供二层的多点到多点的VPN隧道 对于用户而言 VPLS网络可看作一台大型二层交换机 可透传用户所有的二层报文 VPLS简述 VPLS应用架构 MPLSBACKBONE VPNASITE1 PE PE PE PE CE CE CE CE CE CE CE VPNASITE2 VPNASITE3 VPNASITE3 VPNBSITE2 VPNBSITE1 VPNCSITE1 VPNCSITE2 企业A VPLS简述 MPLSBACKBONE 企业A 企业A VPLS隧道对于CE设备 就像是一台没有启动任何协议的二层交换机 透传用户所有报文 PE根据用户所属VPN给用户PDU封装VCLable用于在MPLS网络中区分不同的用户 根据用户的目的mac封装公网lable以传送到目的PE 由此可见VPLS网络中PE必须有学习用户MAC地址的能力 报文端到端的传送过程 PE转发来自PE的报文时根据VCLable选择UserPDU所属VPN 根据用户目的MAC查找该报文的出接口 把VCLable拆掉 把原始的用户PDU发送给CE 目录 VPLS技术简介VPLS技术实现VPLS配置实例 TableofContents VPLS技术实现 VPLS信令 VPLS信令有LDP和MP BGP两种LDP信令方式遵循draft martini l2circuit trans mpls草案 利用LDP做为传递VC信息的信令MP BGP信令遵循draft kompella ppvpn l2vpn 02草案 利用MP BGP做为传递VC信息的信令 MP BGP方式支持拓扑自动发现LDP方式只能手工静态指定PE邻居 MP BGP支持拓扑自动发现 VPLS技术实现 LDP信令实现 PE间通过扩展的LDP建立邻居关系 直接通过TCP连接发送LDP消息 维护RemoteLDPSession 通过该LDPSession交互VPN控制信息 包括分配PW标签 相当于L3VPN中私网标签 PE和P之间仍然需要建立普通LDPNeighber 以实现公网MPLS标签分配PE为每个VPN建立一个VSI VirtualSwitchInstance 每个VSI有一个ID 在LDP协商PW时 该ID作为VPN的标志PE和PE为每个VPN建立一对双向PW PseudoWire 并通过扩展LDP为每个PW分配标签 此标签在报文传输时被封装 做为区分不同VPN的标志PW标签分配 PE为入方向的PW分配标签 并标示为Local Lable 出方向的PW是对方分配的 在本地被标示为Remote Lable VPLS技术实现 报文转发 起始PE端 每个VSI绑定到一个连接CE的三层vlan虚接口报文转发时 收到用户报文后根据PE上该物理端口所属vlan选择该报文所属VSI 根据用户报文中目的MAC在该VSI中的MAC表中查询该报文对端PE的ID 根据对端PEID查找出方向PW的标签 在用户报文上封装该标签并标记S位为1如果VSI的MAC表中无用户目的mac条目 则按广播方式发送该报文 即把该报文发送到该VPN所有的PE Peer 在VPN中 用户的广播报文也是按此方式处理 封装PW标签后 私网标签 根据对端PE的ID查询公网MPLS的LSP表 进而封装公网标签 然后封装公网的MAC头 VPLS技术实现 报文转发 P设备和末端PE处理 该报文在MPLS骨干网中传播时所有的P设备都根据LSP表做普通的公网标签的SWAP 或做PHP该报文被转发到末端PE后 末端PE查看报文标签 并在标签表中查询该报文所属VSI 进而在该VSI的MAC表中查询该MAC的物理出口 把报文的标签POP 然后从相应的物理出口转发说到这里 聪明的你是否想到了什么 VSI需要有学习MAC地址的能力思考 Martini方式下也是用LDP做为信令传送控制信息 为什么Martini不需要学习MAC地址 VPLS技术实现 MAC地址学习 VPLS模拟LANSwitch功能 所以PE必须学习每个VPN中用户的MAC地址 以实现点到点的转发而不是HUB式的在一个VPN中广播转发每个VPN学习MAC地址的来源分为两类 来自对端PE的MAC地址 记录为MAC 远端PE的LSR ID来自本地CE的MAC 记录为MAC VLAN三层虚接口 VPLS技术实现 MAC地址学习举例 PE 1 displaymac addressvsiMACADDRSTATEVPNIDPEERAGINGTIME000f e207 f2e0dynamic1Vlan interface1003AGING00e0 fc09 bcf9dynamic12 2 2 2AGING00e0 fc3a 1f8edynamic13 3 3 3AGING00e1 fc00 5001dynamic1Vlan interface1003AGING00e1 fc00 5001dynamic2Vlan interface1005AGING000f e207 f2e0dynamic2Vlan interface1005AGING00e0 fc09 bcf9dynamic22 2 2 2AGING00e0 fc3a 1f8edynamic2Vlan interface1005AGING 8macaddress es found VPLS技术实现 MAC地址学习举例 MAC地址中有 VPNID 标示 表明该MAC是哪个VPN的每个VSI有VSI ID和VPN ID VSI ID用于LDP协商PW标签 整网有效 VPNID用于本地MAC标示 仅本地有效 NPE 1 displayvsiVPLS Instance h3cVSIservicestatus OpenVsiID 500VpnID 1 VPLS Instance h3c2VSIservicestatus OpenVsiID 1000VpnID 2 VPLS技术实现 MAC地址表的维护 VPN中MAC地址表维护方式类似与交换机的MAC地址表维护 每个MAC表项都有老化时间 在老化时间内如果MAC地址没有被更新 则清除该表项 除此之外被还有一种新的TLV被用来做MAC地址回收消息 该TLV在草案draft ietf l2vpn vpls ldp 06 txt中提出 在分层VPLS中 UPE双归属的情况下 当NPE链路发生变化时 为了保证快速收敛 NPE向UPE发送Mac地址回收消息消息来回收对端学习的Mac地址 另外草案描述了一种特殊的Mac地址回收消息 即MacList为空的消息 意思是让对端删除所有从本端PW上学习到的Mac地址 回顾VSI的MAC地址表 每个MAC地址都是有VPN标示 所以VPLS网络允许不同用户的VPN之间MAC地址重叠 VPLS技术实现 AC上报文封装模式 AC 指用户CE接入PE的链路 AC报文封装模式有时也被成为接入模式Ethernet接入 一般此方式下都使能QinQ功能 否则用户CE只能是Ethernet接入 意义不大 故此方式又被称为QinQ接入 运营商交换机忽略用户报文中的802 1Qtag 根据QinQVLAN为用户报文选择所属VPN 此方式不用干预用户的VLAN规划 一个PE设备上允许不同CE的VLAN重叠 VLAN接入 运营商给用户分配一个VLAN用于用户接入的VLAN 用户所有报文必须是打该VLAN的tag发送到PE 否则无法通信 此方式需干预用户VLAN规划 而且一个PE上不同CEVLAN不能重叠 一般都用Ethernet接入方式并启用QinQ功能 VPLS技术实现 U tag和P tag U tag 用户界定符 QinQ接入方式下 来自CE的用户报文的802 1Qtag即为U tag VLAN接入方式下无U tag P tag 服务界定符 QinQ接入方式下 QinQ的VLANtag为P tag VLAN接入方式下 用户原始tag为P tag 此时无U tag VPLS技术实现 PW封装模式 PW有两种封装模式 Tagged和RAWTagged模式 在PUSH私网标签时保留P TagRAW模式 在PUSH私网标签时去掉P Tag VPLS技术实现 AC封装PW封装的组合方式下的报文封装举例 QinQ RAW模式 用户VLAN为100 QinQvlan为1003 公网VLAN为20 公网Lable 私网Lable PWlable 用户VLAN 即U tag 公网TAG VPLS技术实现 AC封装PW封装的组合方式下的报文封装举例 QinQ TAG模式 用户VLAN为100 QinQvlan为1003 公网VLAN为20 公网Lable 私网Lable PWlable 用户VLAN 即U tag 公网TAG QinQVLAN即P tag VPLS技术实现 AC封装PW封装的组合方式下的报文封装举例 VLAN RAW模式 用户VLAN为1003 公网VLAN为20 公网Lable 私网Lable PWlable 公网TAG VPLS技术实现 AC封装PW封装的组合方式下的报文封装举例 VLAN TAG模式 用户VLAN为1003 公网VLAN为20 公网Lable 私网Lable PWlable 公网TAG P tag VPLS技术实现 AC封装PW封装的组合方式下的报文封装 QinQ RAW模式 QinQ接入模式下用户vlan标签为U TAG QinQvlan为P tag 而PW封装为RAW模式时在PUSH两层MPLS标签时要去掉P tag的 此时P tag的作用仅仅是为了标示用户所属的VPN以完成私网标签的PUSH操作 QinQ tagged模式 QinQ接入模式下用户vlan标签为U TAG QinQvlan为P tag 而PW封装为Tagged封装时PUSH两层MPLS标签时保留P tag 如果PE到P也是VLAN链路 那么此时在公网中转发的VPN报文有三层802 1Qtag VLAN RAW模式 VLAN接入模式下用户原始VLAN标签即P tag RAW封装是去掉P tag再PUSH两层MPLS标签 所以此时要求用户两端VLAN必须一致且与PE上连接CE的VLAN相同 否则CE间将无法通信 VLAN tagged模式 VLAN接入模式下用户原始VLAN标签即P tag Tagged封装模式带P tag标签 VPLS技术实现 环路产生 PE转发用户报文时是根据用户的目的MAC地址来选择目的PE并完成公网标签封装 当用户目的MAC的在VSI的条目中并不存在或用户的报文目的MAC是广播地址时 PE要在本VPN内给每个PE发送一份 VPLS网络的一个VPN中 PE如果和其他PE不建立全连接 那么CE间要互相通信必然需要PE转发其他PE的报文 如果保证每个VPN内PW不产生环路的话 公网中就不会有环路 但对于大型网络部署 稍有不慎就会产生环路 VPLS技术实现 环路避免 为了降低在大型网络中部署VPN时的难度 可将一个VPN内的PE逻辑全互联 即PW全互联 此时为了避免环路 所有的PE设备在转发VPN报文时都遵循 水平分割 原则水平分割 来自CE的VPN报文 PE发送到本VPN内所有的PE来自PE的VPN报文 PE只发送该报文给CE 不会转发给其他PE在分层VPLS中UPE和NPE是不遵循水平分割原则的 2020 3 15 27 可编辑 VPLS技术实现 分层VPLS的产生 PE间全互联 那么当VPN内站点增多时 必然面临N 2的问题PE全互联 可扩展性受到限制为了解决PE全互连带来的问题 提出分层VPLS的概念 VPLS技术实现 分层VPLS基本概念 分层VPLS中PE角色分为NPE和UPE NPE NetworkProviderEdge 网络核心PE设备 处于VPLS网络的核心域边缘 提供在核心网之间的VPLS透传服务 对设备性能要求较高 UPE Userfacing ProviderEdge 靠近用户侧的PE设备 主要作为用户接入VPN的汇聚设备 设备性能要求不是太高 NPE和其它PE建立PW全互连 UPE只和NPE建立PW连接 而不用再和其他PE连接 UPE连接CE VPLS技术实现 分层VPLS模型 MPLSBACKBONE PW CE CE CE CE UPE UPE NPE NPE NPE NPE VPLS技术实现 分层VPLS备份机制和环路避免 UPE可以只和一个NPE建立PW连接 但为了避免单链路故障 建议UPE到NPE采用双归属方式UPE和NPE间传输VPN数据时不遵循水平分割原则 为了避免环路 所有UPE如果是双归属方式 则UPE会阻塞一个PW将其置为backup状态 所有数据从Active的PW中转发 目录 VPLS技术简介VPLS技术实现VPLS配置实例 TableofContents VPLS配置实例 PE1 P PE2 CE1 CE2 CE4 CE3 CE1和CE3属于一个VPNCE2和CE4属于一个VPNPE1的VPN板在slot2 业务板在slot4PE2的VPN板在slot4 业务板在slot2 VPLS配置实例 以太网接入的QinQ方式和RAW模式 PE1配置 使能基本MPLS功能 PE 1 interfaceLoopBack0 PE 1 LoopBack0 ipaddress1 1 1 1255 255 255 255 PE 1 mplslsr id1 1 1 1 PE 1 Mpls PE 1 mplsldp PE 1 interfaceVlan interface10 PE 1 Vlan interface10 ipaddress10 10 1 1255 255 255 0 PE 1 Vlan interface10 mpls PE 1 Vlan interface10 mplsldpenable ToBeContinued VPLS配置实例 以太网接入的QinQ方式和RAW模式 使能公网路由协议 PE 1 ospf PE 1 ospf 1 area0 PE 1 ospf 1 area 0 0 0 0 network1 1 1 10 0 0 0 PE 1 ospf 1 area 0 0 0 0 network10 10 1 00 0 0 255 P设备使能路由协议 使能MPLS基本功能 PE2设备使能路由协议和MPLS基本功能 过程类似 此处省略 使能L2VPN并建立LDP的RemotePeer以交互VPN信息 PE 1 mplsl2vpn PE 1 mplsldpremote1 PE 1 mpls remote1 remote ip2 2 2 2 ToBeContinued VPLS配置实例 以太网接入的QinQ方式和RAW模式 创建VPLS实例 PE 1 vsih3cstatic PE 1 vsi h3c encapsulationethernet 指定PW默认封装为RAW模式 PE 1 vsi h3c pwsignalldp PE 1 vsi h3c ldp vsi id500 VSIID 双方必须一致 PE 1 vsi h3c ldp peer2 2 2 2encapsulationethernet PE 1 vsih3c1static PE 1 vsi h3c1 encapsulationethernet 指定PW默认封装为RAW模式 PE 1 vsi h3c1 pwsignalldp PE 1 vsi h3c1 ldp vsi id1000 PE 1 vsi h3c1 ldp peer2 2 2 2encapsulationethernet VPLS配置实例 以太网接入的QinQ方式和RAW模式 PE1上创建QinQ接入VLAN并把VPLS实例绑定到VLAN接口 PE 1 vlan1003 PE 1 vlan1003 interfaceGigabitEthernet4 1 2 PE 1 GigabitEthernet4 1 2 portaccessvlan1003 PE 1 GigabitEthernet4 1 2 vlan vpnenable PE 1 interfaceVlan interface1003 PE 1 Vlan interface1005 l2bindingvsih3caccess modeethernet PE 1 vlan1005 PE 1 vlan1003 interfaceGigabitEthernet4 1 3 PE 1 GigabitEthernet4 1 3 portaccessvlan1005 PE 1 GigabitEthernet4 1 3 vlan vpnenable PE 1 interfaceVlan interface1005 PE 1 Vlan interface1005 l2bindingvsih3c1access modeethernet VPLS配置实例 以太网接入的QinQ方式和RAW模式 把公网返回到PE1的报文重定向到VPN板 PE 1 flow templateuser definedslot4ethernet protocolvlanid PE 1 aclnumber4000 PE 1 acl link 4000 rule0permitmplsl2label rangeingressanyegressany PE 1 interfaceGigabitEthernet4 1 1 PE 1 GigabitEthernet4 1 1 portlink typetrunk PE 1 GigabitEthernet4 1 1 porttrunkpermitvlan110 PE 1 GigabitEthernet4 1 1 flow templateuser defined PE 1 GigabitEthernet4 1 1 traffic redirectinboundlink group4000rule0system index2slot210 slot2指VPN板 10指公网的VLAN10 VPLS配置实例 以太网接入的QinQ方式和RAW模式 PE2配置 PE2使能L2VPN并建立LDP的RemotePeer以交互VPN信息 PE 2 mplsl2vpn PE 2 mplsldpremote1 PE 2 mpls remote1 remote ip1 1 1 1 PE2上创建VPLS实例 PE 2 vsih3cstatic h3c为vsi实例的名称仅本地有效 PE 2 vsi h3c encapsulationethernet 指定PW默认封装为RAW模式 PE 2 vsi h3c pwsignalldp PE 2 vsi h3c ldp vsi id500 VSIID 双方必须一致 PE 2 vsi h3c ldp peer1 1 1 1encapsulationethernet VPLS配置实例 以太网接入的QinQ方式和RAW模式 PE 2 vsih3c1static h3c为vsi实例的名称仅本地有效 PE 2 vsi h3c1 encapsulationethernet 指定PW默认封装为RAW模式 PE 2 vsi h3c1 pwsignalldp PE 2 vsi h3c1 ldp vsi id1000 VSIID 双方必须一致 PE 2 vsi h3c1 ldp peer1 1 1 1encapsulationethernet VPLS配置实例 以太网接入的QinQ方式和RAW模式 PE2上创建QinQ接入VLAN并把VPLS实例绑定到VLAN接口 PE 2 vlan1003 PE 2 vlan1003 interfaceGigabitEthernet2 1 2 PE 2 GigabitEthernet2 1 2 portaccessvlan1003 PE 2 GigabitEthernet2 1 2 vlan vpnenable PE 2 interfaceVlan interface1003 PE 2 Vlan interface1003 l2bindingvsih3caccess modeethernet PE 2 vlan1005 PE 2 vlan1005 interfaceGigabitEthernet2 1 3 PE 2 GigabitEthernet2 1 3 portaccessvlan1005 PE 2 GigabitEthernet2 1 3 vlan vpnenable PE 2 interfaceVlan interface1005 PE 2 Vlan interface1002 l2bindingvsih3c1access modeethernet VPLS配置实例 以太网接入的QinQ方式和RAW模式 把公网返回到PE1的报文重定向到VPN板 PE 2 flow templateuser definedslot2ethernet protocolvlanid PE 1 aclnumber4000 PE 1 acl link 4000 rule0permitmplsl2label rangeingressanyegressany PE 1 interfaceGigabitEthernet2 1 1 PE 1 GigabitEthernet2 1 1 portlink typetrunk PE 1 GigabitEthernet2 1 1 porttrunkpermitvlan110 PE 1 GigabitEthernet2 1 1 flow templateuser defined PE 1 GigabitEthernet2 1 1 traffic redirectinboundlink group4000rule0system index2slot420 slot2指VPN板 20指公网的VLAN20 VPLS配置实例 以太网接入的QinQ方式和RAW模式 用相关display命令查看VPLSPW状态 PE 1 displayvplsconnectionVSIname h3cMTU 1500Status openVCIDEncapTypePeerAddrStateLcl Label Rmt LabelTnlType TnlID500ethernet2 2 2 2up131073 131073LSP 0VSIname h3c2MTU 1500Status openVCIDEncapTypePeerAddrStateLcl Label Rmt LabelTnlType TnlID1000ethernet2 2 2 2up131072 131072LSP 02totalconnection s 2up 0block 0down 分层VPLS配置实例 CE1 CE2和CE3属于一个VPNUPE到NPE采用双归属方式 UPE NPE1 NPE2 PE4 PE3 CE2 CE3 CE1 VPLS配置实例 分层VPLS配置 配置清单说明 省略个PE设备上MPLS基本能力和路由协议的配置重定向配置和基本VPLS配置相同 故省略UPE NPE1 NPE2 PE3 PE4mplslsr id分别为1 1 1 12 2 2 23 3 3 34 4 4 45 5 5 5 使能L2VPN并建立LDP的RemotePeer以交互VPN信息 UPE mplsl2vpn UPE mplsldpremote1 UPE mpls remote1 remote ip2 2 2 2 UPE mpls remote1 remote ip3 3 3 3 VPLS配置实例 分层VPLS配置 创建VPLS实例 UPE vsih3cstatic UPE vsi h3c encapsulationethernet UPE vsi h3c pwsignalldp UPE vsi h3c ldp vsi id500 UPE vsi h3c ldp peer2 2 2 2dual npeencapsulationethernet UPE vsi h3c ldp peer3 3 3 3dual npeencapsulationethernet VPLS配置实例 分层VPLS配置 创建QinQ接入VLAN并把VPLS实例绑定到VLAN接口 UPE vlan1003 UPE vlan1003 interfaceGigabitEthernet2 1 2 UPE GigabitEthernet2 1 2 portacce