VPWS培训胶片

1、测试一部 董继强/26979 2 3 按照业务用途 access vpn，intranet vpn，extranet vpn 按照运营模式分类 cpe-based vpn，network-based vpn 按照组网模型分类 vpdn，vprn，vll，vpls 按照网络层次 一层vpn，二层vpn，三层vpn 4 vll （vpws） vprnvpdnvpls 5 mpls l2vpn就是在mpls网络上透明传递用户 的二层数据。从用户的角度来看，这个mpls网 络就是一个二层的交换网络，通过这个网络， 可以在不同站点之间建立二层的连接。 pe pe tunnel pseudo wires

2、customer site customer site customer site customer site 6 租赁专线（leased line）方式 主要缺点是：建设时间长，价格昂贵， 难于管理。 虚电路方式 虚电路方式与租赁专线相比，建设时间 短、价格低 在不同类型的网络（如atm、fr）上提 供业务，需要建设并维护独立的网络 其速率较慢 配置较复杂 7 access ip / ipsec fr / atm broadband ethernet access ip / ipsec fr / atm broadband ethernet only partial integration

3、different core solutions different access technologies 8 access ip / ipsec fr / atm broadband ethernet access ip / ipsec fr / atm broadband ethernet complete integration unified core solutions different access technologies 9 扩展了运营商的网络功能和服务能力 具有更高的可扩展性 管理责任分工明确 路由私有、安全 易配置（n方解决？主要体现在隧道复用） 多协议支持 网络平滑升

4、级 10 martini：遵循草案draft-martini-l2circuit- trans-mpls，使用ldp作为传递vc信息的 信令。 kompella：遵循草案draft-kompella-ppvpn- l2vpn-xx，与rfc2547定义的bgp/mpls vpn相似。 ccc：在两条pe-ce连接之间配置透明的 连接，独占隧道，一层标签。 static vc：martini的一种静态实现 11 vpn的分类 l2vpn的发展历程 l2vpn的优点 l2vpn（vpws部分）的vrp实现 12 13 总体结构 ccc martini static vc kompella 14 t

5、unnel header (tunnel label) to get pdu from ingress to egress pe; mpls label gre tunnel demultiplexer field (vc label) to identify individual circuits within a tunnel; could be an mpls label. emulated vc encapsulation (control word) information on enclosed layer-2 pdu; implemented as a 32-bit contro

6、l word tunneling component l2 pdu (emulated) transport component control connection 连接控制（连接控制（ldp、bgp、static-lsp） used for vc-label negotiation, withdrawal, error notification emulated circuits have 3 layers of encapsulation 15 有些情况下，在网络上传输l2vpn报文的时候没有必要传 送整个的二层帧，而是在入口端把二层头给剥离，然后 在出口端重新添加。但是如果二层头中有些

7、信息需要携 带，这种方式就不可取了，因此提出了控制字的方法来 解决这个问题，控制字里携带的信息都是ingress端 和egress端协商好的。 控制字主要有三个功能： 1、报文转发是需要的序列号 2、当最小的mtu大于实际的传输报文时需要进行 填充 3、二层帧头中需要携带的控制位 16 frame relay帧在转发的时候不携带frame relay header和和fcs，控制字是必须使用的，控制字是必须使用的 becn、fecn、 de和和c/r位使用控制字来位使用控制字来 携带。携带。 17 ccc是circuit cross connect（电路 交叉连接）的缩写，是通过静态配 置来实

8、现l2vpn的一种方式。 18 tunnel header (tunnel label) to get pdu from ingress to egress pe; mpls label demultiplexer field (vc label) 无无 emulated vc encapsulation (control word) information on enclosed layer-2 pdu; implemented as a 32-bit control word tunneling component l2 pdu (emulated) transport component

9、 control connection 连接控制连接控制 static lsp（专门为（专门为l2vpn定制的定制的lsp，不生成，不生成ftn项）项） emulated circuits have 3 layers of encapsulation 19 ccc方式分为本地ccc连接和远程ccc 连接。 对于本地ccc连接， 这两个ce连接到同一 个pe设备上，pe设备相当于一个二层交换 机。 对于远程ccc连接，两个ce连接到不同的 pe上，使用pe之间独享的静态lsp作为隧道， 不需要任何信令协议传递二层vpn信息。 20 与其他的mpls l2vpn不同的是 ccc采用一层标记一层标记

10、来传送用户数据，因此它 对lsp的使用是独占性（不能用于其他 l2vpn连接，也不能用于bgp/mpls vpn或承载普通的ip报文）的，用户必 须单独为每一个ccc连接手工配置两条手工配置两条 l2vpn lsp（两个方向各一条），这两条 l2vpn lsp将只能用于传递这个ccc连接的 数据。 p节点也要进行static lsp的配置 21 mpls网络网络 a公司 分支机构2 pe lsp lsp pe pe a公司 分支机构1 a公司 分支机构3 a公司 总部 tunnel标签2层头部数据 本地本地 连接连接 远程远程 连接连接 22 遵循草案draft-martini-l2circu

11、it-trans-mpls，使用 ldp作为传递vc信息的信令。 pe之间建立ldp的remote session，pe为ce之 间的每条连接分配一个vc标签。二层vpn信 息将携带着vc标签，通过ldp建立的lsp转发 到remote session的对端pe。 这种方式不能提供象ccc方式的本地交换功能， 但是不象ccc远程连接那样，一条lsp只能被 一条远程ccc连接独享，服务运行商网络中的 一条隧道可以被多条vc共享使用。 23 tunnel header (tunnel label) to get pdu from ingress to egress pe; mpls label g

12、re tunnel demultiplexer field (vc label) to identify individual circuits within a tunnel; could be an mpls label emulated vc encapsulation (control word) information on enclosed layer-2 pdu; implemented as a 32-bit control word tunneling component l2 pdu (emulated) transport component control connec

13、tion directed ldp used for vc-label negotiation, withdrawal, error notification emulated circuits have 3 layers of encapsulation ldpldp 24 vc labels通过ldp remote session交换 label还是放在以前的label tlv中，在mapping 中发送 定义了新的ldp fec用来携带vc信息 fec element type 128 virtual circuit fec element:carried within ldp labe

14、l mapping message vc信息的交换是通过du方式进行的，cisco不 支持dod described in draft-martini-l2circuit-trans-mpls dod 25 26 27 28 c: control word (1 bit) 1表示需要控制字；0为不需要 vc-type (15 bits) vc类型， e.g fr, atm, vlan, ethernet, ppp, hdlc vc info length (8 bits) vcid field和interface parameters的长度 group id (32 bits) 一些vc组成一

15、个组，主要用来批量撤消相应 的vc信息。 vc id (32 bits) 一个vc是由vc id和vc type来唯一确定 interface parameters (不定) 一些接口参数，目前用的有mtu 29 在这种martini方式中，由于在运营商网络中， 只有pe设备需要保存少量的vc label mpls label gre tunnel demultiplexer field (vc label) to identify individual circuits within a tunnel; could be an mpls label emulated vc encapsula

16、tion (control word) information on enclosed layer-2 pdu; implemented as a 32-bit control word tunneling component l2 pdu (emulated) transport component control connection mbgp used for vc-label negotiation, withdrawal, error notification emulated circuits have 3 layers of encapsulation 34 与mpls bgp

17、vpn实现机理类似，特别 是ce、pe、route-target、rd、 site的定义以及用途 区别是kompella传送的是二层信息，而 mpls bgp vpn传送的是三层路由信息， 为此kompella进行了相应的bgp nlri扩 展 处理的信息不同了，那么发送接受二层 信息的流程也发生了相应的变化。 35 label block label base label range label-block offset ce id connection l2vpn instance 36 label block1、 label block2、 label block3组成一个label b

18、lock； lb：label base lr：label range lbo：label block offset label block 1 102400/10/0 lb/lr/lbo label block 2 102410/10/10 lb/lr/lbo label block 3 102420/10/20 lb/lr/lbo 37 l3vpn传递fec和单个label的方式； bgp方式l2vpn采取标记块的方式，一次为多 个连接分配标记。用户可以指定一个本地ce的 范围（ce range），表明这个ce能与多少个ce 建立连接。系统会一次为这个ce分配一个标记 块，标记块的大小等于c

19、e range。这种方式允 许用户为vpn分配一些额外的标记，留待以后 使用。这样会造成标记资源的浪费，但是同时 带来一个很大的好处：减少vpn部署和扩容时 的配置工作量。 38 假设pe a、pe b为同属于vpn x的cem和cek建立一条vc。 为了叙述方便，我们称pea为ce m分配的label block为lm；称 lm的block offset为lom；称lm的label-base为lbm；称lm的label- range为lrm 为了叙述方便，我们称peb为ce k分配的label block为lk；称lk 的block offset为lok；称lk的label-base为lbk

20、；称lk的label-range 为lrk 那么peb收到pea发送过来的信息会做如下工作： lsp peapebcemcek 39 首先检查从pea收到ce的封装类型，如果不一致，弃之且停止处 理； 检查是否 k=m，如果是，报错“ce id k has been allocated to two ces in vpn x (check ce at pe a)”，然后停止处理； 检查和ce m相关的所有的label-blocks是否满足lom = k lom + lrm，如果任何一个都不满足，报错 “cannot communicate with ce m (pe a) of vpn x:o

21、utside range”然后停止处理； 检查和ce k相关的所有的label-blocks是否满足lok = m lok + lrk，如果任何一个都不满足，报错 “cannot communicate with ce m (pe a) of vpn x:outside range”然后停止处理； 检查pea和peb之间的通道是否正常建立，如果没有就停止处理， 这里假设为lsp隧道，标签为z； peb为ce-m分配内层标签为(lbm + k - lom) ，pea为ce-k分配 内层标签为(lbk + m - lok)； peb到pea的外层隧道的标签为z； 内外层标签兼备，可以干活了，any

22、 question? 40 引入了新的sub-tlv circuit status vector lbel range tunnel status length (2 octets) route distinguisher (8 octets) ce id (2 octets) label-block offset (2 octets) label base (3 octets) variable tlvs (0 to n octets). 还有什么字段没有定义？ 41 extended community type (2 octets) encaps type (1 octet) cntrl

23、 flags (1 octet) layer-2 mtu (2 octet) reserved (2 octets) extended community type tbd encapsulation type 标识二层封装类型, e.g., atm, frame relay etc. control flags mbz：must be zero c：1表示需要控制字；0为不需要 s：1表示需要序列号；0为不需要 q&f：保留 layer-2 mtu mbz qfcs 42 0reserved7ppp 1frame relay8cem 8 2atm aal5 vcc transport 9at

24、m vcc cell transport 3atm transparent cell transport 10atm vpc cell transport 4ethernet vlan11mpls 5ethernet12vpls 6cisco-hdlc64ip-interworking 43 tunnel encapvpn labell2 frame ip-only layer 2 interworking 在ingress端，二层帧头全部剥离取出ip报文进行转发； 此时转发是用到的二层信息依然基于接收帧的二层信息。 在egress端，报文被重新封装成二层帧然后发送给ce， 此时二层转发信息是

25、依靠vc label来获得的。 ingress端和相应ce端的链路类型独立于egress端和相 应ce端的链路类型，因此这种情况下l2vpn独立于链路类 型 目前这一块只有理论，并没有实现 tunnel encapvpn labelip packet 44 自动拓扑发现以mp-bgp为信令传播相 应信息 组网灵活，部署方案成熟route-target 部分解决配置的n方问题余额配置 同时支持本地、远程虚拟链路 支持不同接入方式ip interworking 跨域的解决方式与mpls l3 vpn类似 45 46 比较项目比较项目kompellamartinicccsvc 信令协议信令协议 bg

26、pldp否否否否 隧道情况隧道情况 gre、lsp， 共用共用 gre、lsp， 共用共用 专门的静态专门的静态 lsp，独占，独占 gre、lsp， 共用共用 应用场景应用场景 密集模式密集模式稀疏模式稀疏模式nana 扩展性扩展性 支持过量配支持过量配 置，较好置，较好 差差很差很差差差 本地连接本地连接 是是否否是是否否 47 项目项目bgp/mpls vpnbgp/mpls vpnkompellakompella l2 vpn l2 vpnmartinnimartinni l2 vpn l2 vpn pepe设备开销设备开销内存开销大，接口内存开销大，接口 资源消耗小，信令资源消耗小，

27、信令 协议开销小协议开销小 内存开销小，接口内存开销小，接口 资源消耗大，信令资源消耗大，信令 协议开销小协议开销小 内存开销小，接口内存开销小，接口 资源消耗大，信令资源消耗大，信令 协议开销大协议开销大 vpnvpn拓扑扩散方式拓扑扩散方式bgpbgp自动发现自动发现bgpbgp自动发现自动发现手工配置手工配置 vpnvpn路由扩散方式路由扩散方式通过通过pepe设备扩散，设备扩散， 收敛慢收敛慢 在在cece之间直接扩散，之间直接扩散， 收敛快收敛快 在在cece之间直接扩散，之间直接扩散， 收敛快收敛快 cece的接入方式的接入方式任何任何2 2层连接、层连接、2 2层层 隧道和隧道和

28、3 3层隧道，同层隧道，同 一个一个vpnvpn中不同站点中不同站点 接入方式可以不相接入方式可以不相 同同 atmatm、frfr、pppppp、 hdlchdlc、ethernetethernet （vlan)vlan) 不同封装之间不能不同封装之间不能 互通互通 pure ippure ip atmatm、frfr、pppppp、 hdlchdlc、ethernetethernet （vlan)vlan) 不不同封装之间不能同封装之间不能 互通互通 48 项目项目bgp/mpls vpnbgp/mpls vpnkompellakompella l2 vpn l2 vpnmartinnim

29、artinni l2 vpn l2 vpn vpnvpn嵌套能力嵌套能力支持支持不支持不支持不支持不支持 多播支持能力多播支持能力协议开销大，转发协议开销大，转发 开销小开销小 协议开销小，转发协议开销小，转发 开销大开销大 协议开销小，转发协议开销小，转发 开销大开销大 协议独立性协议独立性只能承载只能承载ipip承载任何承载任何3 3层协议层协议承载任何承载任何3 3层协议层协议 隧道的多样性隧道的多样性支持支持lsp/gre/ipseclsp/gre/ipsec支持支持lsp/grelsp/gre支持支持lsplsp 对传统对传统vpnvpn的继承性的继承性对传统对传统2 2层层vpnv

30、pn的扬的扬 弃弃 改进继承传统改进继承传统2 2层层 vpnvpn 改进继承传统改进继承传统2 2层层 vpnvpn 标准的成熟度标准的成熟度成熟成熟较成熟较成熟不成熟不成熟 易用性易用性简单简单较复杂较复杂复杂复杂 可管理性可管理性外包路由、分权管外包路由、分权管 理理 外包拓扑、集中管外包拓扑、集中管 理理 外包拓扑、集中管外包拓扑、集中管 理理 49 ccc使用的satic-lsp和普通的static- lsp是一样的吗？ ccc和svc都是静态配置的l2vpn，他 们有什么区别？ martini和svc的关系？ kompella和l3vpn的异同？ 50 51 lsp peapebc

31、e1ce2 ce3 p ce1、ce2建立远程连接 ce1、ce3建立本地连接 配置步骤 配置虚电路 使能mpls 配置静态l2vpn lsp 注意配置l2vpn类型的static-lsp的时候下一跳为严 格的下一跳，其他的部分和开发交流过，以后会做。 使能mpls l2vpn 创建ccc连接 52 pea mpls static-lsp ingress 1-2 l2vpn nexthop 10.2.7.2 out-label 100 static-lsp egress 2-1 l2vpn incoming-interface serial3/1/2 in-label 201 mpls l2v

32、pn ccc 1-2 interface ethernet3/0/0.1 transmit-lsp 1-2 receive-lsp 2-1 ccc 1-3 interface e3/0/0.2 out-interface e4/2/0.2 p mpls static-lsp transit 1-2 l2vpn incoming-interface serial1/2 in-label 100 nexthop 10.3.7.1 out-label 101 static-lsp transit 2-1 l2vpn incoming-interface serial1/1 in-label 200

33、nexthop 10.2.7.1 out-label 201 peb mpls static-lsp egress 1-2 l2vpn incoming-interface serial1/1 in-label 101 static-lsp ingress 2-1 l2vpn nexthop 10.3.7.2 out-label 200 mpls l2vpn ccc 2-1 interface ethernet2/0.1 transmit-lsp 2-1 receive-lsp 1-2 53 peadis ccc total connections : 2 local connections

34、: 1, 1 up remote connections : 1, 1 up name: 1-2, type: remote, state: up, intf: ethernet3/0/0.1 (up), tran-lsp: 1-2 (up), rcv-lsp: 2- 1 (up) name: 1-3, type: local, state: up, intf1: ethernet3/0/0.2 (up), intf2: ethernet4/2/0.2 (up) 54 lsp peapebce1ce2p 配置步骤 配置虚电路 使能mpls 使能mpls l2vpn 配置两个pe之间的隧道（ld

35、p|gre） 创建svc方式l2vpn连接 55 pea interface serial3/1/0.1 fr dlci 100 mpls static-l2vc destination 202.202.202.3 transmit-vpn-label 100 receive-vpn-label 100 p 无 peb interface serial1/0.1 fr dlci 100 mpls static-l2vc destination 202.202.202.2 transmit-vpn-label 100 receive-vpn-label 100 pebdis mpls stati

36、c-l2vc total connections: 1, 1 up, 0 down ce-intf state destination tr-label rcv-label tnl-type tnl-index serial1/0.1 up 202.202.202.2 100 100 lsp 7 56 lsp peapebce1ce2p 配置步骤 配置虚电路 使能mpls 使能mpls l2vpn 配置两个pe之间的隧道（ldp|gre） 配置ldp remote peer 创建ldp方式l2vpn连接 57 pea mpls ldp remote 0 remote-ip 202.202.20

37、2.7 interface ethernet3/0/0.1 vlan-type dot1q vid 10 mpls l2vc 202.202.202.7 101 p无 peb mpls ldp remote 0 remote-ip 202.202.202.2 interface ethernet2/0.1 vlan-type dot1q vid 10 mpls l2vc 202.202.202.2 101 peadis mpls l2vc vc-id destination state lcl-label/rmt-label tunnel/index interface: ethernet3/

38、0/0.1, encapsulation: vlan, service: vll 101 202.202.202.7 up 1024/1024 lsp/4 58 lsp peapebce1ce2 ce8 p ce1、ce2建立远程连接 ce1、ce8建立本地连接 配置步骤 配置虚电路 使能mpls 使能mpls l2vpn 配置各个pe间的隧道 配置bgp参数 创建和配置vpn 创建ce 创建连接 59 peampls l2vpn vpntest encapsulation vlan route-distinguisher 1:1 vpn-target 1:1 import-extcommun

39、ity vpn-target 1:1 export-extcommunity mtu 0 ce ce1 id 1 range 10 default-offset 0 connection ce-offset 2 interface ethernet2/0.1 connection ce-offset 8 interface ethernet2/0.100 ce ce8 id 8 range 10 default-offset 0 connection ce-offset 1 interface ethernet5/1.100 bgp 30000 undo synchronization gro

40、up djq1 internal peer 202.202.202.2 group djq1 peer 202.202.202.2 connect-interface loopback0 l2vpn-family peer djq1 enable 60 p 无 peb mpls l2vpn vpntest encapsulation vlan route-distinguisher 1:1 vpn-target 1:1 import-extcommunity vpn-target 1:1 export-extcommunity mtu 0 ce ce2 id 2 range 10 defaul

41、t-offset 0 connection ce-offset 1 interface ethernet3/0/0.1 bgp 30000 undo synchronization group djq1 internal peer 202.202.202.3 group djq1 peer 202.202.202.3 connect-interface loopback0 l2vpn-family peer djq1 enable 61 peadis mpls l2vpn conn total connections: 3, connections: 3 up, 0 down, 2 local

42、, 1 remote, 0 unknown vpn-instance name: vpntest, total connections: 3, connections: 3 up, 0 down, 2 local, 1 remote, 0 unknown ce name: ce2, id: 2, rid type status peer-id route-distinguisher intf 1 rmt up 202.202.202.2 1:1 ethernet2/0.1 8 loc up - - ethernet2/0.100 ce name: ce8, id: 8, rid type status peer-id route-distinguisher intf 2 loc up - - ethernet5/1.100 62 常见错误 vc状态是down的 可能错误 隧道没有up fr封装时dte、dce要配对 fr封装时dlci要一致 vlan封装时vid要一致 marini的ceid不一致 kompella的ceid不匹配或者存在冲突或者超出 label range 63 ？ 冗余备份 即时启动 验证计费 服务质量 cisco动向 64 draft-martini-l2cir