MPLSVPN培训广东电信.ppt

Page1 MPLSVPN MPLSVPN培训 Page2 内容介绍 第一章MPLS原理第二章BGPMPLSVPN Page3 MPLS产生背景 传统的IP 每一跳分析IP头 效率低QoS难于部署 而且效率低所有路由器都要知道整个网络的所有路由 Page4 MPLS产生背景 ATM的交换过程 面向连接 有N2问题靠链路层选路 基于VPI VCI或标签业务质量有保证 可保证实时业务 Page5 MPLS产生背景 MPLS技术 MPLS Multi ProtocolLabelSwitchingMulti Protocol 支持多种三层协议 如IP IPv6 IPX SNA等LabelSwitching 给报文打上标签 以标签交换取代IP转发 Page6 MPLS基本概念 LSR LabelSwitchRouterLER LabelEdgeRouterLSP LabelSwitchPath Page7 MPLS包头结构 通常 MPLS包头有32Bit 其中有 20Bit用作标签 Label 3个Bit的EXP 协议中没有明确 通常用作COS1个Bit的S 用于标识是否是栈底 表明MPLS的标签可以嵌套 8个Bit的TTL 理论上 标记栈可以无限嵌套 从而提供无限的业务支持能力 这是MPLS技术最大的魅力所在 Page8 MPLS术语 标签 Label 是一个比较短的 定长的 通常只具有局部意义的标识 这些标签通常位于数据链路层的数据链路层封装头和三层数据包之间 标签通过绑定过程同FEC相映射 FEC ForwardingEquivalenceClass FEC 转发等价类 是在转发过程中以等价的方式处理的一组数据分组 通常MPLS中一条路由条目对应一个FEC 通常在一台设备上 对一个FEC分配相同的标签 LSP 标签交换通道 一个FEC的数据流 在不同的节点被赋予确定的标签 数据转发按照这些标签进行 数据流所走的路径就是LSP LSR LSR是MPLS的网络的核心交换机 它提供标签交换和标签分发功能 LER 在MPLS的网络边缘 进入到MPLS网络的流量由LER分为不同的FEC 并为这些FEC请求相应的标签 它提供流量分类和标签的映射 标签的移除功能 Page9 47 1 47 2 47 3 1 2 3 1 2 1 2 3 IP47 1 1 1 IP47 1 1 1 IP47 1 1 1 IP的hop by hop逐跳转发 IP的逐跳转发 在经过的每一跳处 必须进行路由表的最长匹配查找 可能多次 速度缓慢 Page10 LabelSwitchedPath LSP MPLS的标签转发 通过事先分配好的标签 为报文建立了一条标签转发通道 LSP 在通道经过的每一台设备处 只需要进行快速的标签交换即可 一次查找 Page11 LabelSwitchedPath LSP FEC的精妙之处 不同目的地址 属于相同的网段 的IP报文 在ingress处被划分为相同的FEC 具有相同的标签 这样在LSR处 只需根据标签做快速的交换即可 而对于传统的IP路由 在每一跳处实际上都是一次重新划分FEC的过程 FEC的致命缺陷 对于一条FEC来说 沿途所有的设备都必须具有相同的路由 前缀和掩码必须完全相同 才可以建成一条LSP 换句话说 使用MPLS转发的所有沿途设备上 对于要使用标签转发的路由 都不能做路由聚合的操作 Page12 MPLSLDP 有了标签 转发是很简单的事 但是如何生成标签 却是MPLS中最难修练的部分 在MPLS秘笈中 这部分被称为LDP LabelDistributionProtocol 是一个动态的生成标签的协议 其实LDP与IP帮派中的动态路由协议 例如RIP 十分相像 都具备如下的几大要素 报文 或者叫消息 邻居的自动发现和维护机制一套算法 用来根据搜集到的信息计算最终结果 只不过前者计算的结果是标签 后者是路由罢了 Page13 LDP消息 在LDP协议中 存在4种LDP消息 发现 Discovery 消息用于通告和维护网络中LSR的存在 会话 Session 消息用于建立 维护和结束LDP对等实体之间的会话连接 通告 Advertisement 消息用于创建 改变和删除特定FEC 标签绑定 通知 Notification 消息用于提供消息通告和差错通知 Page14 邻居发现 通过互发hello报文 UDP prot 646 IP 224 0 0 2 建立TCP连接 由地址大的一方主动发起 TCP port 646 会话初始化 由Master发出初始化消息 并携带协商参数 由slave检查参数能否接受 如果能则发送初始化消息 并携带协商参数 并随后发送keepalive消息 master检查参数能否接受 如果能则发送keepalive消息 相互收到keepalive消息 会话建立 期间收到任何差错消息 均关闭会话 断开TCP连接 M M M M M LDP会话的建立和维护 Page15 LDP邻居状态机 Page16 标签的分配和管理 标记分发方式DOD DownstreamOnDemand 下游按需标记分发DU DownstreamUnsolicited 下游自主标记分发标记控制方式 有序方式 Odered 标记控制独立方式 Independent 标记控制标签保留方式保守方式自由方式上游与下游 在一条LSP上 沿数据包传送的方向 相邻的LSR分别叫上游LSR upstreamLSR 和下游LSR downstreamLSR 下游是路由的始发者 Page17 LDP标签分配方式 DU 下游主动向上游发出标记映射消息 标签分配方式中同样存在水平分割 即 对我已经选中的出口标签 就不再为下一跳分配出标签 标签是设备随机自动生成的 16以下为系统保留 还有一种DOD方式 由上游向下游请求 运用较少 47 1 47 3 1 3 1 1 3 3 Page18 LDP标签保留方式 自由方式 Liberalretentionmode 保留来自邻居的所有发送来的标签优点 当IP路由收敛 下一跳改变时减少了lsp收敛时间缺点 需要更多的内存和标签空间 保守方式 Conservativeretentionmode 只保留来自下一跳邻居的标签 丢弃所有非下一跳邻居发来的标签 优点 节省内存和标签空间 缺点 当IP路由收敛 下一跳改变时lsp收敛慢比较流行的是自由方式 Page19 LDP标签控制方式 有序方式 Odered 标记控制 除非LSR是路由的始发节点 否则LSR必须等收到下一跳的标记映射才能向上游发出标记映射 独立方式 Independent 标记控制 LSR可以向上游发出标记映射 而不必等待来自LSR下一跳的标记映射消息 比较流行的是有序方式 Page20 LDP标签分配 如果采用 DU 自由 有序 的标签分配及控制方式 发现自己有直连接口路由时会发送标签 收到下游到某条路由的标签并且该路由生效 也就是说 在本地已经存在该条路由 并且路由的下一跳和标签的下一跳相同 时会发送标签 标签表中会存在大量的非选中的标签 下面的说法正确吗 如果某个网络中只有部分设备运行MPLS MPLS域嵌在IP域中 则只会对运行MPLS的设备 MPLS域 的直连路由生成标签 对于其他设备 IP域 始发的路由则不会生成标签 如果没有标签 那对于通过MPLS域的目的地址在IP域的报文如何转发呢 Page21 标签转发表 心法口诀 入标签是我分给别人的 出标签是别人分给我的 我分配的标签是给别人用的 我不会添加到报文中 对于一台设备的标签转发表 全局标签空间 来说 所有的入标签 对于相同的路由 下一跳也相同 出标签 对于不同的路由 但下一跳相同 出标签 对于不同的路由 下一跳也不同 出标签 对于同一条路由 入标签和出标签 A一定不同B一定相同C可能相同 Page22 倒数第二跳弹出 PHP EgressLSR本应变MPLS转发为IP路由查找 但是他收到的仍旧是含有标签的MPLS报文 能做的只是去掉标签 然后送交IP层 其实对于EgressLSR 处理MPLS报文是没有意义的 最好能够保证他直接收到的就是IP报文 这就需要在ELSR的上游 倒数第二跳 就把标签给弹出来 以减少最后一跳的负担 但关键问题是 上游设备如何知道自己是倒数第二跳呢 其实很简单 在倒数第一跳为其分配标签时做一下特殊说明即可 分配一个特殊的标签3 Page23 MPLS的衰落 MPLS最初是为了提高路由器的转发速度而提出的 与传统IP路由方式相比 它在数据转发时 只在网络边缘分析IP报文头 而不用在每一跳都分析IP报文头 节约了处理时间 随着ASIC技术的发展 路由查找速度已经不是阻碍网络发展的瓶颈 这使得MPLS在提高转发速度方面不再具备明显的优势 但是MPLS支持多层标签和转发平面面向连接的特性 使其在VPN VirtualPrivateNetwork 流量工程 QoS QualityofService 等方面得到广泛应用 Page24 内容介绍 第一章MPLS原理第二章BGPMPLSVPN Page25 VPN分类 VirtualPrivateNetwork OverlayVPN Peer to PeerVPN MPLSVPN L2VPN L3VPN FR ATM GRE IPSec Page26 MPLSBGPVPN网络结构 Page27 MPLSBGPVPN基本工作原理 路由信息发布本地CE到入口PE路由信息交换入口PE到出口PE路由信息交换出口PE到出口CE路由信息交换VPN报文转发封装两层标签外层标签用于报文在公网上的转发内层标签用于指示报文到达哪个Site Page28 如何处理地址空间重叠问题 PEA连接的公司A总部和公司B总部使用相同的IP地址空间 Page29 VRF VPNRouting Forwarding Page30 VRF和接口的绑定关系 VRF即VPN instance Page31 PEAVRFforSiteA 公司A总部 路由转发表 PEA displayiprouting tablevpn instancevpnaRoutingTables vpnaDestinations 7Routes 7Destination MaskProtoPreCostNextHopInterface10 1 1 0 30Direct0010 1 1 1Serial210 1 1 1 32Direct00127 0 0 1InLoopBack010 1 1 2 32Direct0010 1 1 2Serial210 1 2 0 30BGP25503 3 3 3 10 1 2 2 32BGP25503 3 3 3 10 1 5 0 24BGP255010 1 1 2Serial210 1 6 0 24BGP25503 3 3 3 Page32 PEAVRFforSiteC 公司B总部 路由转发表 PEA displayiprouting tablevpn instancevpnbRoutingTables vpnbDestinations 7Routes 7Destination MaskProtoPreCostNextHopInterface10 1 3 0 30Direct0010 1 3 1Serial110 1 3 1 32Direct00127 0 0 1InLoopBack010 1 3 2 32Direct0010 1 3 2Serial110 1 4 0 30BGP25503 3 3 3 10 1 4 2 32BGP25503 3 3 3 10 1 5 0 24BGP255010 1 3 2Serial110 1 8 0 24BGP25503 3 3 3 Page33 PEA公网路由表 displayiprouting tableRoutingTables PublicDestinations 9Routes 9Destination MaskProtoPreCostNextHopInterface1 1 1 1 32Direct00127 0 0 1InLoopBack02 2 2 2 32OSPF10156311 11 11 2Serial33 3 3 3 32OSPF10312511 11 11 2Serial311 11 11 0 30Direct0011 11 11 1Serial311 11 11 1 32Direct00127 0 0 1InLoopBack011 11 11 2 32Direct0011 11 11 2Serial311 11 11 4 30OSPF10312411 11 11 2Serial3127 0 0 0 8Direct00127 0 0 1InLoopBack0127 0 0 1 32Direct00127 0 0 1InLoopBack0 Page34 如何区分不同的VPN中相同的IP地址前缀 PEA PEB P CEA CEC CEB CED 公司A总部 公司A分部 公司B总部 公司B分部 11 11 11 0 30 1 2 S3 S3 11 11 11 4 30 5 6 S0 S0 10 1 5 0 24 10 1 6 0 24 10 1 5 0 24 10 1 8 0 24 s3 10 1 1 0 30 s2 2 1 10 1 3 0 30 s1 s0 1 2 10 1 2 0 30 2 1 s0 s1 10 1 4 0 30 1 2 s3 s2 公司A总部和公司B总部的路由信息通过一种路由协议MP BGP传递到PEB VPNA VPNA VPNB VPNB MPLSDomain VPNV4Address Page35 RD RouteDistinguisher RD RouteDistinguisher64bits前缀VPNV4Address由64bit的RD加上IPv4地址构成RD唯一 VPNV4地址唯一 RouteDistinguisher IPv4地址 VPNV4Address Page36 如何判断将VPNV4路由注入到VRF中 CEA即属于VPNA又属于VPNC Page37 PEAVRFforSiteA 公司A总部 路由转发表 PEA displayiprouting tablevpn instancevpnaRoutingTables vpnaDestinations 11Routes 11Destination MaskProtoPreCostNextHopInterface10 1 1 0 30Direct0010 1 1 1Serial210 1 1 1 32Direct00127 0 0 1InLoopBack010 1 1 2 32Direct0010 1 1 2Serial210 1 2 0 30BGP25503 3 3 3 10 1 2 2 32BGP25503 3 3 3 10 1 5 0 24BGP255010 1 1 2Serial210 1 5 0 30BGP255010 1 5 1Serial010 1 5 1 32BGP2550127 0 0 1InLoopBack010 1 5 2 32BGP255010 1 5 2Serial010 1 6 0 24BGP25503 3 3 3 10 1 9 0 24BGP255010 1 5 2Serial0 Page38 PEAVRFforSiteE 公司C 路由转发表 PEA displayiprouting tablevpn instancevpncRoutingTables vpncDestinations 8Routes 8Destination MaskProtoPreCostNextHopInterface10 1 1 0 30BGP255010 1 1 1Serial210 1 1 1 32BGP2550127 0 0 1InLoopBack010 1 1 2 32BGP255010 1 1 2Serial210 1 5 0 24BGP255010 1 1 2Serial210 1 5 0 30Direct0010 1 5 1Serial010 1 5 1 32Direct00127 0 0 1InLoopBack010 1 5 2 32Direct0010 1 5 2Serial010 1 9 0 24BGP255010 1 5 2Serial0 Page39 PEAVRFforSiteC 公司B总部 路由转发表 displayiprouting tablevpn instancevpnbRoutingTables vpnbDestinations 7Routes 7Destination MaskProtoPreCostNextHopInterface10 1 3 0 30Direct0010 1 3 1Serial110 1 3 1 32Direct00127 0 0 1InLoopBack010 1 3 2 32Direct0010 1 3 2Serial110 1 4 0 30BGP25503 3 3 3 10 1 4 2 32BGP25503 3 3 3 10 1 5 0 24BGP255010 1 3 2Serial110 1 8 0 24BGP25503 3 3 3 Page40 RouteTarget RouteTarget为路由的扩展属性ExportRouteTargetImportRouteTarget Page41 通过设置不同的import exportRT 可以灵活的实现多种不同的VPN应用 RouteTarget的应用 im bex a Page42 MPLSL3VPNCE与PE之间路由信息的交换 Page43 MP IBGP交换路由信息以及私网标签分配过程 Page44 MP BGP路由注入VRF过程 Page45 公网标签分配过程 Page46 数据转发过程 Page47 小结 什么是VRF VRF中维护哪些路由信息 RD和RT的作用分别是什么 简述MPLSBGPVPN路由信息的发布过程 简述MPLSBGPVPN中VPN数据的转发过程 DP500031MPLSL3VPN高级运用 ISSUE1 0 MPLSL3VPN高级运用 Page49 第1章跨域解决方案第2章Internet连接解决方案 内容介绍 Page50 第1章跨域解决方案1 1跨域技术解决方案1 2Carrier sCarrier解决方案 内容介绍 Page51 跨域MPLSVPN业务 在MPLS技术体系中 MPLS域与路由的AS是重叠的 但实际组网中 经常有MPLS域跨越多个AS的情况 运营商网络一个省为一个AS 要求跨省提供MPLSVPN业务 运营商之间相互合作 特别是国际业务上 与国外运营商之间的合作 为了实现这些业务 MPLSVPN就必须解决跨域的问题 跨域问题有两个方面 技术问题 如何把VPN IPv4路由和VPN标记扩散到另一个AS 管理问题 一般不允许跨域建立LSP 对于运营商合作的情况特别重要 跨域VPN的产生 Page52 跨域MPLSVPN业务 现在解决MPLSVPN跨域问题的技术方案有三种 VRF TO VRF 背靠背方式 MP eBGPforVPNV4 单跳的MP EBGP方式 Multi HopMP eBGP 多跳的MP EBGP方式 3种解决方案 Page53 跨域MPLSVPN业务 不同的区域或者不同的运营商有着不同的自治域 相同的VPN出现在不同的AS里 VPN A 1 PE 1 VPN A 2 PE 2 CE 2 Back to backVRFs MP eBGPforVPNv4 AS 100 AS 200 ASBR 1 ASBR 2 CE 1 Multi hopMP eBGP 解决方案的描述 Page54 跨域解决方案1 VRF to VRF ASBR 1 ASBR 2 PE ASBR 1 ASBR 2 PE IPForwarding VPN LSP1 LSP 1 LSP 2 VPN LSP2 PE PE PE PE VPN2 CE2 VPN1 CE2 VPN2 CE1 VPN1 CE1 为每个VPN创建一个VRF和一个逻辑接口 AS 100 AS 200 MP iBGP MP iBGP MP iBGP MP iBGP VRF to VRF概述 ASBR把对端的ASBR作是自己的CE 将会为每一个VPN创建VRF 在两个ASBR之间是IP转发的过程 在AS内部使用MPLS转发 优点 简单 不要扩展协议和做特殊的配置 属于天然支持 在需要跨域的VPN数量比较少的情况 可以考虑使用 缺点 ASBR需要为每个VPN创建一个VRF 如果跨多个域 配置的工作量很大 扩展性太差 Page55 跨域解决方案1 VRF to VRF BGP OSPF RIPv2161 10 1 0 24 NH CE 1 ASBR 1 ASBR 2 PE ASBR 1 ASBR 2 PE IPForwarding VPN LSP1 LSP 1 LSP 2 VPN LSP2 PE 2 PE 1 PE 4 PE 3 VPN2 CE2 VPN1 CE2 VPN2 CE1 VPN1 CE1 AS 100 AS 200 MP iBGP MP iBGP MP iBGP MP iBGP 路由信息的扩散 VPN v4update RD 1 27 161 10 1 0 24 NH PE 1RT 100 1 Label L1 D 161 10 1 0 24NH ASBR 1 VPN v4update RD 1 27 161 10 1 0 24 NH ASBR 2RT 100 1 Label L2 BGP OSPF RIPv2161 10 1 0 24 NH PE 3 Page56 跨域解决方案1 VRF to VRF ASBR 1 ASBR 2 PE ASBR 1 ASBR 2 PE IPForwarding VPN LSP1 LSP 1 LSP 2 VPN LSP2 PE PE PE VPN2 CE2 VPN1 CE2 VPN2 CE1 VPN1 CE1 为每个VPN创建一个VRF和一个逻辑接口 AS 100 AS 200 MP iBGP MP iBGP MP iBGP MP iBGP 标签转换过程 L2 Lx 161 10 1 1 Ly 161 10 1 1 161 10 1 1 161 10 1 1 PE 161 10 1 1 L1 Page57 跨域解决方案2 MP eBGPforVPNV4 ASBR 1 ASBR 2 PE PE PE PE VPN2 CE2 VPN1 CE2 VPN2 CE1 VPN1 CE1 AS 100 AS 200 MP EBGP PE ASBR 1 ASBR 2 VPN LSP2 VPN LSP1 LSP 1 LSP 2 VPN LSP3 PE MP iBGP MP iBGP MP iBGP MP iBGP VPN V4 MP eBGPforVPNV4概述 在ASBRs之间使用EBGP发布VPN IPv4路由 优点 不需要在ASBR上为每个VPN创建VRF 不需要跨域扩展协议 容易管理和配置缺点 这种方案需要在ASBR上保存所有的VPN路由 因此这本身就对路由器提出了更高的要求 使的ASBR更容易成为故障点 Page58 跨域解决方案2 MP eBGPforVPNV4 ASBR 1 ASBR 2 PE 2 PE 1 PE 4 PE 3 VPN2 CE2 VPN1 CE2 VPN2 CE1 VPN1 CE1 AS 100 AS 200 MP EBGP PE ASBR 1 ASBR 2 VPN LSP2 VPN LSP1 LSP 1 LSP 2 VPN LSP3 PE MP iBGP MP iBGP MP iBGP MP iBGP VPN V4 BGP OSPF RIPv2161 10 1 0 24 NH CE 1 VPN v4update RD 1 27 161 10 1 0 24 NH PE 1RT 100 1 Label L1 VPN v4update RD 1 27 161 10 1 0 24 NH PE ASBR 1RT 100 1 Label L2 VPN v4update RD 1 27 161 10 1 0 24 NH PE ASBR 2RT 100 1 Label L3 BGP OSPF RIPv2161 10 1 0 24 NH PE 3 路由信息的扩散 Page59 跨域解决方案2 MP eBGPforVPNV4 ASBR 1 ASBR 2 PE 2 PE 1 PE 4 PE 3 VPN2 CE2 VPN1 CE2 VPN2 CE1 VPN1 CE1 AS 100 AS 200 MP EBGP MP iBGP MP iBGP MP iBGP MP iBGP VPN V4 161 10 1 1 L2 161 10 1 1 161 10 1 1 L3 161 10 1 1 L1 161 10 1 1 161 10 1 1 L3 Lx 161 10 1 1 L1 Ly 标签转换过程 Page60 跨域解决方案3 Multi HopeBGP ASBR 1 ASBR 2 PE PE PE PE Multi HopMP EBGP VPNV4 Multi HopMP EBGP VPN2 CE2 VPN1 CE2 VPN2 CE1 VPN1 CE1 AS 100 AS 200 EBGP MP iBGP MP iBGP MP iBGP MP iBGP PE ASBR 1 ASBR 2 PE VPN LSP LSP 1 LSP 2 Multi HopeBGP概述 MP IBGP MP IBGP BGP4 在PE之间建立MP EBGP邻居 通过这个连接分发VPN IPV4路由 优点 这种方案应该说是最理想的 因为他符合MPLSVPN的体系结构的要求 只有PE知道VPN路由信息 P只负责报文转发 在跨越多个域时优势更加明显 而且这个方案支持负载分担等功能 缺点 要对BGP做扩展 而且隧道的生成也是有别于普通的MPLSVPN结构 因此维护和理解起来难度比较大 Page61 跨域解决方案3 Multi HopeBGP ASBR 1 ASBR 2 PE 3 PE 1 PE 4 PE 2 VPN2 CE2 VPN1 CE2 VPN2 CE1 VPN1 CE1 AS 100 AS 200 EBGP MP iBGP MP iBGP MP iBGP MP iBGP BGP OSPF RIPv2162 11 1 0 24 NH CE 1 VPN v4update RD 1 27 162 11 1 0 24 NH PE 1RT 100 1 Label L3 Network PE 1NH ASBR 1Label L9 Network PE 1NH ASBR 2Label L10 BGP OSPF RIPv2162 11 1 0 24 NH PE 2 路由信息的扩散 Page62 跨域解决方案3 Multi HopeBGP ASBR 1 ASBR 2 PE 2 PE 1 PE 4 PE 3 VPN2 CE2 VPN1 CE2 VPN2 CE1 VPN1 CE1 AS 100 AS 200 MP EBGP MP iBGP MP iBGP MP iBGP MP iBGP 161 10 1 1 161 10 1 1 161 10 1 1 L3 161 10 1 1 L10 L3 161 10 1 1 标签转换过程 161 10 1 1 L3 L10 Lx Ly L3 161 10 1 1 L3 L9 Page63 第1章跨域解决方案1 1跨域技术的解决方案1 2Carrier sCarrier解决方案 内容介绍 Page64 Carrier sCarrier解决方案 1级运营商 2级运营商 VPNA VPNB VPNB MP IBGP Romete PeerLDP LDP LDP BGP IBGP LDP BGP 1层PE 1层PE 1层CE 1层CE 2层PE 2层PE 2级运营商 LDP LDP 二级运营商可以提供L2 L3VPN VPNA Carrier sCarrier拓扑结构 Page65 Carrier sCarrier解决方案 1级运营商采用MPLS BGPVPN技术2级运营商不采用VPN技术2级运营商采用VPN技术1级运营商采用2层MPLSVPN技术 3种解决方案 Page66 Carrier sCarrier解决方案 2级运营商不提供MPLS BGPVPN 1级运营商没有2级运营商的IGP路由信息 假设流量从CE 1到CE 2 LSP是从CE 1开始 到PE 2结束 Level 1SP PE 1 Level 2SP Level 2SP PE 2 CE 1 CE 2 BGP LDP BGP LDP MP IBGP MP IBGP LDP 解决方案一 Page67 Carrier sCarrier解决方案 2级运营商提供MPLS BGPVPN Level 1SP PE 1 Level 2SP Level 2SP PE 2 CE 1 CE 2 BGP LDP BGP LDP LDP LDP MP IBGP RemotePeerLDP MP IBGP LDP PE 3 PE 4 VPN1Site1 VPN1Site2 VPN2Site1 VPN2Site2 解决方案二 Page68 Carrier sCarrier解决方案 Level 1SP PE 1 Level 2SP Level 2SP PE 2 CE 1 CE 2 LDP LDP MP IBGP RemotePeerLDP MP IBGP LDP PE 3 PE 4 VPN1Site1 VPN1Site2 VPN2Site1 VPN2Site2 解决方案三 2级运营商提供MPLSL2VPN Page69 Carrier sCarrier解决方案 Carrier sCarrier总结 Page70 第1章跨域解决方案第2章Internet连接解决方案 内容介绍 Page71 Internet连接解决方案 在任何一种网络中 用户希望访问Internet 这是不可避免的一个问题 在MPLSVPN网络中 有3种解决方法 通过外部ISP的Internet连接静态默认路由的Internet连接配置子接口的Internet连接 Internet连接的3种方法 Page72 Internet连接解决方案 通过外部ISP的Internet连接 优点 VPN1的所有站点都将通过CE1为出口 方便管理 所以这种方法也称为集中式接入 在实际运用中被广泛使用 缺点 多条默认路由可能被加入到VPN的VRF实例 这可能导致多个默认的网关的数据包转发不是最优化 MPLSVPN 骨干网 CE2 VPN1 VPN1 CE3 CE1 Eudemon 外部用户ISP VPN1 PE1 PE3 PE2 Page73 Internet连接解决方案 静态默认路由的Internet连接 MPLSVPN 骨干网 CE2 VPN1 VPN1 CE3 CE1 外部用户ISP VPN1 PE1 PE3 PE2 优点 通过PE接入Internet VPN的每个站点都可以通过自己的PE接入Internet 方便用户各自管理 我们称之为分散式接入 缺点 CE上的网段将被公布到公网上 安全系数比较低 CE上需要做NAT 61 1 1 0 1 2 Page74 Internet连接解决方案 特点 CE与PE的连接将使用子接口的方式 如上图所示 一个子接口负责VPN通信 一个负责访问公网 MPLSVPN 骨干网 CE2 VPN1 VPN1 CE3 CE1 外部用户ISP VPN1 PE1 PE3 PE2 配置子接口的Internet连接 MPLSL2VPN原理 ISSUE3 0 MPLSL2VPN Page76 第一章MPLSL2VPN简介第二章MPLSL2VPN实现方式第三章MPLSL2VPN与BGP MPLSVPN比较 内容介绍 Page77 MPLSL2VPN的引入 传统VPN面临的困境 租赁专线 leasedline 方式主要缺点是 建设时间长 价格昂贵 难于管理 虚电路方式 主要有FR和ATM 虚电路方式与租赁专线相比 建设时间短 价格低依赖于专用的介质 如ATM或FR 在不同类型的网络 如ATM FR 上提供业务 需要建设并维护独立的网络其速率较慢配置较复杂 Page78 MPLSL2VPN MPLSL2VPN提供基于MPLS网络的二层VPN服务 使运营商可以在统一的MPLS网络上提供基于不同介质的二层VPN 如ATM FR Ethernet PPP 同时 MPLS网络仍可以提供MPLSL3VPN 流量工程和QoS等服务 简单来说 MPLSL2VPN就是在MPLS网络上透明传输用户二层数据 从用户的角度来看 MPLS网络是一个二层交换网络 可以在不同节点间建立二层连接 MPLSNetwork Page79 MPLS方式的L2VPN的特点 扩展了运营商的网络功能和服务能力具有更高的可扩展性管理责任分工明确用户数据私有 安全配置简单 N方的解决 主要体现在隧道复用 多协议支持 Page80 MPLSL2VPN的基本架构 MPLSL2VPN的基本架构可以分为AC VC和Tunnel三个部分 AC AttachmentCircuit 接入电路 AC是一条连接CE和PE的独立的链路或电路 AC接口可以是物理接口或逻辑接口 AC属性包括封装类型 最大传输单元MTU 以及特定链路类型的接口参数 VC VirtualCircuit 虚电路 这里指在两个PE节点之间的一种逻辑连接 Tunnel NetworkTunnel 隧道 用于透明传送用户数据 Page81 MPLSL2VPN基本原理 MPLSL2VPN也是通过标签栈实现用户报文在MPLS网络中的透明传送 外层标签 称为Tunnel标签 用于将报文从一个PE传递到另一个PE 内层标签 在MPLSL2VPN中称为VC标签 用于区分不同VPN中的不同连接 接收方PE根据VC标签决定将报文转发给哪个CE L2PDU ProtocolDataUnit 是链路层报文 T是Tunnel标签 V是VC标签 T 表示转发过程中外层标签被替换 Page82 MPLSL2VPN的报文结构 控制字主要有三个功能 1 报文转发是需要的序列号2 当最小的mtu大于实际的传输报文时需要进行填充3 二层帧头中需要携带的控制位 Page83 MPLSL2VPN分类的与扩展 VPWS VirtualPrivateWireService VPWS是指在分组交换网络PSN PacketSwitchedNetwork 中尽可能真实地模仿ATM 帧中继 以太网 低速TDM电路和SONET SDH等业务的基本行为和特征的一种二层业务承载技术 本质上 VPWS技术是一种点到点的虚拟专线技术 能够支持几乎所有的链路层协议 VPLS VirtualPrivateLANService VPLS是通过分组交换网络PSN PacketSwitchedNetwork 连接多个以太网LAN网段 使它们像一个LAN那样工作 VPLS也称为透明局域网服务TLS TransparentLANService 或虚拟专用交换网服务 不同于普通L2VPN的点到点业务 利用VPLS技术 服务提供商可以通过MPLS骨干网向用户提供基于以太的多点业务 PWE3 Pseudo WireEmulationEdgetoEdge 是一种端到端的二层业务承载技术 PWE3对VPWS进行了扩展 主要表现在对Martini方式的扩展 MPLSL2VPN包括VPWS和VPLS两种方式 Page84 第一章MPLSL2VPN概述第二章MPLSL2VPN实现原理第一节VPWS介绍第二节VPLS介绍第三节PWE3介绍第三章MPLSL2VPN与BGP MPLSVPN比较 内容介绍 Page85 VPWS实现方式 CCC SVC方式不使用信令协议 通过静态配置VC标签的方式来实现MPLSL2VPN Martini方式使用LDP信令 通过LDP信令协议传递二层信息和VC标签的方式来实现MPLSL2VPN Kompella方式使用BGP信令 通过BGP信令协议传递二层信息和VC标签的方式来实现MPLSL2VPN VPWS的实现方式分为4种 CCC SVC Martini Kompella Page86 CCC方式概述 CCC是CircuitCrossConnect 电路交叉连接 的缩写 是一种静态配置VC连接的方式 CCC方式分为本地CCC连接和远程CCC连接 VPN2 Site1 Site2 Site2 VPN1 Site1 VPN1 ISPnetwork CCC本地连接 CCC远程连接 P P P P PE1 PE2 PE3 CE CE CE Page87 CCC方式的报文转发举例 CCC远程连接 PE1 P PE2 CE1 CE2 L2PDU 100 L2PDU 101 L2PDU L2PDU Page88 StaticVC方式概述 SVC的模式是在PE上直接根据VCID来分配内层标签 SVC的外层标签 公网隧道 由MPLSLDP建立 内层标签在配置VC的时候进行手工指定 PE之间不需要信令来传递标签信息 Page89 Martini方式概述 Martini方式使用两层标签 内层标签是采用扩展的LDP作为信令进行交互 在Martini草案中对标准的LDP进行了扩展 增加了FEC类型 VCFEC 用于VC标签的交换 此外 如果交换VC标签的两个PE不是直接相连的 必须建立RemoteLDP会话 在这个会话上传递VCFEC和VC标签 Page90 Martini的协议处理 Martini的协议包括两部份Tunnel建立LDP用来建立在PE之间建立Tunnel 其他的tunnels协议也可以使用如GRE VC建立通过LDP在两个PE间建立远程邻居通过VCID来建立绑定关系 LDP为VC分配标签 Page91 Martini协议处理及数据转发 VPN2 Site2 VPN2 Site1 VPN1 Site2 VPN1 Site1 运营商网络 VLAN10 VLAN10 1001 300 VLAN10 VLAN10 LSP1 CE CE CE CE P P PE 1 PE 0 L2数据 1003 300 L2数据 1002 300 L2数据 分配300 分配400 2001 400 L2数据 2003 400 L2数据 2002 400 L2数据 Page92 Martini优点 在这种Martini方式中 由于在运营商网络中 只有PE设备需要保存少量的VClabel LSP的映射等少量信息 P设备不包含任何二层VPN信息 所以扩展性好 当需要新增加一条VC时 只在相关的两端PE设备上各配置一个单方向VC连接即可 不影响网络的运行 它配置 实现相对简单 没有VPN的概念 只是提供二层链路的连接性 易于理解 Martini方式适合稀疏的二层连接 例如星型连接 VPN1 Site2 VPN1 Site1 运营商网络 CE CE P P PE 1 PE 0 VPN1 Site3 CE PE 2 Page93 Kompella方式概述 Kompella方式的L2VPN与三层BGP MPLSVPN很相似 是使用BGP作为交换信令 与MPLSL3VPN类似 各个PE之间使用BGP作为传递二层信息和VC标签的信令协议 在MPLS网络上以端到端 CE到CE 方式实现L2VPN 类似于BGP MPLSVPNKompella方式也使用VPNTarget来进行VPN路由收发的控制 给组网带来了很大的灵活性 区别是kompella传送的是二层信息 而MPLSBGPVPN传送的是三层路由信息 为此kompella进行了相应的BGPNLRI扩展处理的信息不同了 那么发送接受二层信息的流程也发生了相应的变化 Page94 Kompella方式的结构 Kompella方式的MPLSL2VPN既支持远程连接 也支持本地连接 VPN1的Site1和Site2 通过Kompella远程连接 红色虚线 互连 VPN2的Site1和Site2 通过Kompella本地连接 蓝色虚线 互连 ISPnetwork P P P P PE1 PE2 Site1 Site2 Site1 Site2 VPN1 VPN1 VPN2 CE CE CE CE Kompella 远程连接 Kompella 本地连接 Page95 Kompella方式的报文交互过程 Kompella方式的报文交互过程与Martini方式的报文交互过程类似 都使用标准的两层标签 Martini方式的内层标签是采用扩展的LDP作为信令进行交互 而Kompella方式的内层标签则是采用MP BGP作为信令进行交互 两者VC表项的形式略有不同 Page96 Kompella方式 VC标签的计算 1 Kompella的实现相对复杂 主要是VC标签的计算部分 2 Kompella方式的内层标签则是采用MP BGP作为信令进行交互 BGP交互的内容是标签块 也就是LabelBlock 标签块是一个连续的标签范围 需要定义几个值 a 标签块的起始标签LB LabelBase b 块的大小LR LabelRange c 偏移量LO Label blockOffset d CEID 标识CE PE1 PE2 CEID 1 CEID 2 Page97 Kompella方式 VC标签的计算 ISPnetwork P P P P PE1 PE2 CE1 CE4 CE2 偏移量LO的应用 Page98 Kompella方式 VC标签计算 计算方法 PE A为CE n分配内层标签为 LBn m LOn 即VC的出标签 PE A为CE m分配内层标签为 LBm n LOm 即VC的入标签 其中m n为CEID 入标签 出标签 标签传送方法 实际上就是对BGPNLRI进行扩展 引入了新的sub TLV Page99 Kompella方式的VC标签计算 举例 假设PE之间都是通过BGP来交换标签块的信息 全部公网LSP隧道都处于正常UP的状态 只需要进行VC标签的计算 图中CE1的CEID为1 CE2的CEID为2 以此类推 local LBm n LOm remote LBn m LOn Page100 kompella优点 自动拓扑发现 以MP BGP为信令传播相应信息组网灵活 部署方案成熟 route target部分解决配置的n方问题 余额配置同时支持本地 远程虚拟链路支持不同接入方式 IPInterworking跨域的解决方式与MPLSL3VPN类似 Page101 第一章MPLSL2VPN概述第二章MPLSL2VPN实现原理第一节VPWS介绍第二节VPLS介绍第三节PWE3介绍第三章MPLSL2VPN与BGP MPLSVPN比较 内容介绍 Page102 VPLS概述 V