1 / 59

DP500031 MPLS L3 VPN 高级运用

DP500031 MPLS L3 VPN 高级运用. ISSUE 1.0. 前 言. MPLS 技术在网络中大规模的运用,使的服务提供商为客户提供更好的扩展 / 增值服务。但是要想在众多厂商激烈的竞争中脱颖而出,通过实现 MPLS 众多功能能够很容易获得成功。. 参考资料. VRP5 操作手册 VPN 分册 跨域技术白皮书 HoPE 技术白皮书 RFC 2547 , RFC 3107. 目 标. 学习完此课程,您将会: 了解 MPLS VPN 跨域, HoPE ,访问 Internet ,多主机接入等技术 掌握这些技术的细节 掌握各项技术在实际中的运用.

clove
Download Presentation

DP500031 MPLS L3 VPN 高级运用

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. DP500031 MPLS L3 VPN高级运用 ISSUE 1.0

  2. 前 言 MPLS技术在网络中大规模的运用,使的服务提供商为客户提供更好的扩展/增值服务。但是要想在众多厂商激烈的竞争中脱颖而出,通过实现MPLS众多功能能够很容易获得成功。

  3. 参考资料 • VRP5操作手册VPN分册 • 跨域技术白皮书 • HoPE技术白皮书 • RFC 2547,RFC 3107

  4. 目 标 学习完此课程,您将会: • 了解MPLS VPN跨域,HoPE,访问Internet,多主机接入等技术 • 掌握这些技术的细节 • 掌握各项技术在实际中的运用

  5. 内容介绍 第1章 跨域解决方案 第2章 HoPE解决方案 第3章 Internet 连接解决方案 第4章 多角色主机技术

  6. 内容介绍 • 第1章 跨域解决方案 • 1.1 跨域技术解决方案 • 1.2 Carrier‘s Carrier解决方案

  7. 跨域MPLS VPN业务 跨域VPN的产生 • 在MPLS技术体系中,MPLS域与路由的AS是重叠的。但实际组网中,经常有MPLS域跨越多个AS的情况: • 运营商网络一个省为一个AS,要求跨省提供MPLS VPN业务; • 运营商之间相互合作(特别是国际业务上,与国外运营商之间的合作) • 为了实现这些业务,MPLS VPN就必须解决跨域的问题。跨域问题有两个方面: • 技术问题:如何把VPN-IPv4路由和VPN标记扩散到另一个AS; • 管理问题:一般不允许跨域建立LSP(对于运营商合作的情况特别重要)

  8. 跨域MPLS VPN业务 • 现在解决MPLS VPN跨域问题的技术方案有三种: • VRF-TO-VRF(背靠背方式); • MP-eBGP for VPNV4(单跳的MP-EBGP方式) • Multi-Hop MP-eBGP(多跳的MP-EBGP方式) 3种解决方案

  9. 不同的区域或者不同的运营商有着不同的自治域。不同的区域或者不同的运营商有着不同的自治域。 相同的VPN出现在不同的AS里。 跨域MPLS VPN业务 解决方案的描述 ASBR-1 ASBR-2 Back-to-back VRFs MP-eBGP for VPNv4 Multi-hop MP-eBGP AS #200 AS #100 PE-1 PE-2 CE-2 CE-1 VPN-A-1 VPN-A-2

  10. 跨域解决方案1: VRF-to-VRF VRF-to-VRF概述 VPN1-CE1 VPN1-CE2 ASBR-1 ASBR-2 MP-iBGP MP-iBGP PE PE AS#100 AS#200 PE PE VPN2-CE1 VPN2-CE2 MP-iBGP MP-iBGP 为每个VPN创建一个VRF和一个逻辑接口 VPN-LSP1 VPN-LSP2 IP Forwarding LSP-2 LSP-1 ASBR-2 ASBR-1 PE PE • ASBR 把对端的ASBR 作是自己的CE, 将会为每一个VPN创建VRF. 在两个ASBR之间是IP转发的过程,在AS内部使用MPLS转发。 • 优点: 简单,不要扩展协议和做特殊的配置,属于天然支持。在需要跨域的VPN数量比较少的情况,可以考虑使用。 • 缺点: ASBR需要为每个VPN创建一个VRF, 如果跨多个域,配置的工作量很大,扩展性太差。

  11. 跨域解决方案1: VRF-to-VRF 路由信息的扩散 BGP, OSPF, RIPv2 161.10.1.0/24,NH=CE-1 BGP, OSPF, RIPv2 161.10.1.0/24,NH=PE-3 VPN-v4 update:RD:1:27:161.10.1.0/24, NH=PE-1RT=100:1, Label=(L1) VPN-v4 update:RD:1:27:161.10.1.0/24, NH=ASBR-2RT=100:1, Label=(L2) VPN1-CE1 VPN1-CE2 MP-iBGP ASBR-1 ASBR-2 MP-iBGP PE-1 PE-3 AS#100 AS#200 PE-4 PE-2 VPN2-CE1 VPN2-CE2 MP-iBGP MP-iBGP D:161.10.1.0/24 NH:ASBR-1 VPN-LSP1 VPN-LSP2 IP Forwarding LSP-2 LSP-1 ASBR-2 ASBR-1 PE PE

  12. 跨域解决方案1: VRF-to-VRF 标签转换过程 161.10.1.1 VPN1-CE1 VPN1-CE2 161.10.1.1 ASBR-2 ASBR-1 PE MP-iBGP MP-iBGP PE Ly L1 161.10.1.1 Lx L2 161.10.1.1 AS#100 AS#200 PE 161.10.1.1 VPN2-CE1 VPN2-CE2 PE MP-iBGP MP-iBGP 为每个VPN创建一个VRF和一个逻辑接口 VPN-LSP1 VPN-LSP2 IP Forwarding LSP-2 LSP-1 ASBR-2 ASBR-1 PE PE

  13. 跨域解决方案 2: MP-eBGP for VPNV4 MP-eBGP for VPNV4概述 VPN1-CE1 VPN1-CE2 ASBR-1 ASBR-2 PE MP-iBGP MP-iBGP PE MP-EBGP AS#100 AS#200 PE (VPN-V4) PE VPN2-CE1 VPN2-CE2 MP-iBGP MP-iBGP VPN-LSP2 VPN-LSP1 VPN-LSP3 LSP-2 LSP-1 ASBR-2 ASBR-1 PE PE • 在ASBRs之间使用EBGP发布 VPN-IPv4 路由。 • 优点: • 不需要在ASBR上为每个VPN创建VRF。 • 不需要跨域扩展协议 , 容易管理和配置 • 缺点: 这种方案需要在ASBR上保存所有的VPN路由,因此这本身就对路由器提出了更高的要求,使的ASBR更容易成为故障点。

  14. 跨域解决方案 2: MP-eBGP for VPNV4 路由信息的扩散 BGP, OSPF, RIPv2 161.10.1.0/24,NH=PE-3 BGP, OSPF, RIPv2 161.10.1.0/24,NH=CE-1 VPN-v4 update:RD:1:27:161.10.1.0/24, NH=PE-1RT=100:1, Label=(L1) VPN-v4 update:RD:1:27:161.10.1.0/24, NH=PE-ASBR-2RT=100:1, Label=(L3) VPN1-CE1 VPN1-CE2 MP-iBGP MP-iBGP PE-3 ASBR-1 ASBR-2 PE-1 MP-EBGP AS#100 AS#200 (VPN-V4) PE-2 PE-4 VPN-v4 update:RD:1:27:161.10.1.0/24, NH=PE-ASBR-1RT=100:1, Label=(L2) VPN2-CE1 VPN2-CE2 MP-iBGP MP-iBGP VPN-LSP2 VPN-LSP1 VPN-LSP3 LSP-2 LSP-1 ASBR-2 ASBR-1 PE PE

  15. 跨域解决方案 2: MP-eBGP for VPNV4 标签转换过程 VPN1-CE1 VPN1-CE2 161.10.1.1 161.10.1.1 Lx L3 161.10.1.1 L1 161.10.1.1 PE-3 PE-1 L3 161.10.1.1 Ly L1 161.10.1.1 MP-iBGP ASBR-1 ASBR-2 MP-iBGP MP-EBGP AS#100 AS#200 PE-4 (VPN-V4) PE-2 VPN2-CE1 MP-iBGP MP-iBGP VPN2-CE2 L2 161.10.1.1

  16. 跨域解决方案3: Multi-Hop eBGP Multi-Hop eBGP概述 Multi-Hop MP-EBGP(VPN V4) VPN1-CE1 VPN1-CE2 ASBR-1 ASBR-2 MP-iBGP MP-iBGP PE PE EBGP AS#100 AS#200 PE PE VPN2-CE1 VPN2-CE2 MP-iBGP MP-iBGP Multi-Hop MP-EBGP VPN-LSP MP-IBGP BGP 4+ MP-IBGP LSP-1 LSP-2 ASBR-2 ASBR-1 PE PE • 在PE之间建立MP-EBGP邻居,通过这个连接分发VPN-IPV4路由。 • 优点: • 这种方案应该说是最理想的,因为他符合MPLS VPN的体系结构的要求,只有PE知道VPN路由信息,P只负责报文转发。 • 在跨越多个域时优势更加明显,而且这个方案支持负载分担等功能。 • 缺点: 要对BGP做扩展,而且隧道的生成也是有别于普通的MPLS VPN结构,因此维护和理解起来难度比较大

  17. 跨域解决方案3: Multi-Hop eBGP 路由信息的扩散 VPN-v4 update:RD:1:27:162.11.1.0/24, NH=PE-1RT=100:1, Label=(L3) VPN1-CE1 VPN1-CE2 Network=PE-1 NH=ASBR-2Label=(L10) BGP, OSPF, RIPv2 162.11.1.0/24, NH=PE-2 BGP, OSPF, RIPv2 162.11.1.0/24, NH=CE-1 MP-iBGP MP-iBGP ASBR-1 ASBR-2 PE-1 PE-2 EBGP AS#100 AS#200 PE-4 PE-3 Network=PE-1 NH=ASBR-1Label=(L9) VPN2-CE1 VPN2-CE2 MP-iBGP MP-iBGP

  18. 跨域解决方案3: Multi-Hop eBGP 标签转换过程 VPN1-CE1 VPN1-CE2 161.10.1.1 161.10.1.1 Lx L10 L3 161.10.1.1 L3 161.10.1.1 PE-3 PE-1 L10 L3 161.10.1.1 Ly 161.10.1.1 L3 MP-iBGP MP-iBGP ASBR-1 ASBR-2 MP-EBGP AS#100 AS#200 PE-4 PE-2 L9 L3 161.10.1.1 VPN2-CE1 VPN2-CE2 MP-iBGP MP-iBGP

  19. 内容介绍 • 第1章 跨域解决方案 • 1.1 跨域技术的解决方案 • 1.2 Carrier‘s Carrier解决方案

  20. Carrier’s Carrier解决方案 Carrier’s Carrier拓扑结构 MP-IBGP/Romete-Peer LDP IBGP LDP/BGP LDP/BGP LDP LDP LDP 2层 PE 1层 PE 1层 PE 2层 PE 1层 CE 1层 CE 2级运营商 1级运营商 2级运营商 VPNB VPNA VPNB VPNA 二级运营商可以提供L2&L3 VPN

  21. Carrier’s Carrier解决方案 • 1级运营商采用MPLS/BGP VPN技术 • 2级运营商不采用VPN技术 • 2级运营商采用VPN技术 • 1级运营商采用2层MPLS VPN技术 3种解决方案

  22. 2级运营商不提供MPLS/BGP VPN。 1级运营商没有2级运营商的IGP路由信息。 假设流量从CE-1到CE-2,LSP是从CE-1开始,到PE-2结束。 Carrier’s Carrier解决方案 解决方案一 MP-IBGP BGP/LDP MP-IBGP / LDP BGP/LDP PE-1 PE-2 CE-1 CE-2 Level-2 SP Level-2 SP Level-1 SP

  23. 2级运营商提供MPLS/BGP VPN。 Carrier’s Carrier解决方案 解决方案二 MP-IBGP / Remote Peer LDP LDP BGP/LDP MP-IBGP / LDP BGP/LDP LDP CE-1 PE-1 PE-2 CE-2 Level-2 SP Level-2 SP Level-1 SP PE-3 PE-4 VPN 1 Site 1 VPN 2 Site 1 VPN 1 Site 2 VPN 2 Site 2

  24. Carrier’s Carrier解决方案 解决方案三 MP-IBGP / Remote Peer LDP LDP MP-IBGP / LDP LDP CE-1 PE-1 PE-2 CE-2 Level-2 SP Level-2 SP Level-1 SP PE-3 PE-4 VPN 1 Site 1 VPN 2 Site 1 VPN 1 Site 2 VPN 2 Site 2 • 2级运营商提供MPLS L2 VPN。

  25. Carrier’s Carrier解决方案 Carrier’s Carrier总结

  26. 内容介绍 第1章 跨域解决方案 第2章 HoPE解决方案 第3章 Internet 连接解决方案 第4章 多角色主机技术

  27. 内容介绍 • 第2章 HoPE解决方案 • 2.1 HoPE技术的背景 • 2.2 HoPE技术的框架结构 • 2.3 HoPE技术的应用

  28. PE越往下移,由于路由更具体,要维护的路由数目更多!PE越往下移,由于路由更具体,要维护的路由数目更多! HoPE技术的背景 PE设备的处境 核心层 汇聚层 接入层 • PE设备在不同层次间的尴尬处境: • 接入层:容量小,无法承担。 • 汇聚层:识别用户需要大量(子)接口,用户数目大,而接口数量有限。 • 核心层:用户数目更大,接口数目更少,带宽粒度更粗

  29. 要求接口数目和存储容量同时增长,最终超出设备能力要求接口数目和存储容量同时增长,最终超出设备能力 网络规模扩大,本地和远程站点增加用户,也要求本地PE更多的存储容量 解决方法 PE扩容、替换 增加PE,分别负担一部分VPN用户 HoPE技术的背景 问题的出现 这是一种昂贵的解决方案

  30. HoPE技术的背景 原因所在 • 接入用户需要大量接口,处理用户报文需要大容量的内存和转发能力 • PE难以同时具备大容量内存和大量接口 • 典型的网络是分层的,边缘接口多,核心容量大 • MPLS VPN是平面模型,PE无论处于网络中哪个位置,对内存容量的要求基本相同,甚至在PE向边缘扩展时,对内存容量要求更大,而同时网络设备的容量是下降的 关键点:MPLS VPN的模型同典型网络的模型不符合

  31. HoPE技术的背景 Multi-VRF解决方案 • 扩展CE的功能,具备VRF能力,称为Multi-VRF CE,简称VCE • VCE接入多个VPN用户,模拟多个CE设备 • VCE同PE通过多个(子)接口连接 • VCE只需要维护本地Site的路由 • PE不需要做任何修改 VPN1 Site1 VPN2 Site1 VCE1 MPLS网络 PE VPN1 Site2 VPN2 Site2 VCE2

  32. HoPE技术的背景 Multi-VRF方案的缺陷 • 在PE和VCE之间上要需要大量的接口、子接口,它们消耗有限的接口资源; • 在PE、CE上需要配置多个VRF,配置工作量大,而且重复; • PE和VCE之间交换路由时,如果使用动态路由协议,需要PE和VCE都运行多个实例,如果使用静态路由,则配置工作量大; • PE和VCE如果不是直接连接,而采用隧道接口时,每个VRF需要一个隧道,消耗资源大; • VCE之间要相互连接,传递VPN报文,从而减轻PE负担时,每个VRF需要一个接口/子接口 • 最终实现的还是一种单层式的VPN接入,不能解决一个独立的MPLS VPN网络接入问题

  33. 内容介绍 • 第2章 HoPE解决方案 • 2.1 HoPE技术的背景 • 2.2 HoPE技术的框架结构 • 2.3 HoPE技术的应用

  34. PE同另外一些PE相连,各有分工,完成传统上一个PE的功能PE同另外一些PE相连,各有分工,完成传统上一个PE的功能 PE之间具有层次结构,直接连接VPN用户的称为UPE(Underlayer PE),位于网络内部的称为SPE(Superstratum PE) UPE和SPE之间可以直接相连,也可以通过一个IP/MPLS网络相连 这种结构称为HoPE(Hierarchy of PE) HoPE的框架结构 新的解决方案——PE的分层体系结构 VPN1 Site1 VPN1 Site3 VPN2 Site1 PE UPE1 MP-BGP MPLS网络 MPLS SPE 网络 VPN1 Site2 VPN2 Site2 VPN2 Site3 UPE2 PE 分层式PE

  35. HoPE的框架结构 UPE和SPE的分工 • UPE仅维护其直接连接的VPN Site的路由,但不维护VPN中其它远程Site的路由;SPE维护其通过UPE所连接的Site所在的VPN中的所有路由,包括本地和远程Site中的路由 • UPE为其直接连接的Site的路由分配内层标签,并发布给SPE;SPE只发布VRF默认路由给UPE,并携带标签 • UPE和SPE之间采用标签转发,因而只需要一个(子)接口相互连接。若相隔一个IP/MPLS网络,采用GRE/LSP等隧道连接 UPE是一个传统的PE,而SPE要在传统PE的基础上增加功能

  36. HoPE的框架结构 数据的转发过程 SPE1发布VPN默认路由给UPE,并携带一个内层标签 PE2为这个路由分配内层标签 CE2发布Site2中的一个路由 UPE发布默认路由给CE1 Dest/Mask Dest/Mask, Li 0/0 0/0, L0 Site1 Site2 CE1 UPE SPE1 P PE2 CE2 Dest/Mask Dest/Mask, L0 Dest/Mask, Li, Lo Dest/Mask, Li Dest/Mask Site1访问Site2中的目的地址根据默认路由转发到UPE 根据VPN默认路由PUSH内层标签转发到SPE1 POP默认路由对应的内层标签,查看对应的VRF路由表PUSH内外层标签 倒数第二跳POP外层标签 POP内层标签

  37. HoPE的框架结构 数据的转发过程 SPE1将UPE分配的标签替换为另外一个内层标签 UPE为路由分配内层标签发布给SPE1 PE2发布不带标签的路由给CE2 CE1发布Site1中的一个路由 Dest/Mask, Li1 Dest/Mask Dest/Mask Dest/Mask, Li2 Site1 Site2 CE1 UPE SPE1 P PE2 CE2 Dest/Mask Dest/Mask, Li1 Dest/Mask, Li2 Dest/Mask, Li2, Lo Dest/Mask 倒数第二跳POP外层标签 查找VRF路由表PUSH内外层标签 查找路由表转发到PE2 POP内层标签转发到CE1 SWAP内层标签

  38. 采用MP-BGP协议分布VPN-IPv4路由 SPE和UPE属于同一个运营商,采用MP-iBGP,SPE作为RR SPE和UPE属于不同运营商,采用MP-eBGP,UPE一般使用私有AS号码 SPE根据UPE上VRF import route-target list的合集构造全局import route-target list UPE通过ORF机制传递import route-target list,SPE自动生成 SPE上手工生成 HoPE的框架结构 SPE-UPE协议 VPN路由(标签) ORF(扩展团体列表) VRF1 Import route-target 100:1 Global Import route-target 100:1, 200:1 VRF2 Import route-target 200:1 VRF默认路由(标签) UPE SPE

  39. 通过任何形式的接口/子接口连接 通过隧道接口连接 MP-BGP可以跨越多跳 采用LSP时,UPE/SPE运行LDP/RSVP-TE HoPE的框架结构 SPE SPE-UPE连接 专线 LSP GRE隧道 UPE UPE 一对SPE/UPE间只需要一个连接

  40. HoPE的框架结构 SPE • 一个分层PE作为UPE(SPE)同另外一个SPE(UPE)组成新的分层PE • 中间的PE称为MPE • SPE在连接一个分层PE的同时,可以连接单个的UPE 分层PE的嵌套 VRF默认路由 VRF默认路由 MPE UPE VRF默认路由 VRF默认路由 UPE UPE VPN2 VPN1 Site3 Site3 VPN1 VPN1 VPN2 VPN2 Site1 Site2 Site2 Site1 无穷嵌套

  41. UPE同多个SPE连接 多个SPE都向UPE发布VRF默认路由,UPE选择其中一个作为优选路由,或者选择多个路由进行负载分担 UPE向多个SPE发布其VPN路由,可以全部发布给所有SPE,也可以给每个SPE发布一部分VPN路由,从而形成负载分担 HoPE的框架结构 多归路的UPE SPE1 SPE2 VPN1 路由 VPN2 路由 VRF默认路由 VRF默认路由 UPE VPN1 Site VPN2 Site

  42. SPE在连接UPE的同时,仍然能连接CE 同一个VPN的site通过SPE互通 HoPE的框架结构 SPE同时连接UPE和CE SPE CE UPE VPN1 Site1 VPN1 Site2 VPN2 Site2

  43. UPE间建立后门连接,VPN站点通过这个连接直接通信,不需要通过SPEUPE间建立后门连接,VPN站点通过这个连接直接通信,不需要通过SPE UPE间通过MP-BGP对等,交换路由 UPE间可以跨越一个网络 HoPE的框架结构 UPE之间的后门连接 SPE 后门连接 UPE2 UPE1 MP-BGP VPN1 Site1 VPN2 Site1 VPN1 Site2 VPN2 Site2

  44. HoPE的框架结构 最完善的解决方案 • SPE和UPE之间只需要一个接口/子接口,节约有限的接口资源; • SPE不需要重复配置UPE上已经配置的VRF,配置工作量小; • SPE和UPE通过动态路由协议MP-BGP交换路由、发布标签,每一个UPE只要运行这样的一个对等体,协议开销小,配置工作量小; • SPE和UPE可以通过隧道接口连接,从而可以跨越一个网络。特别的,这可以是一个MPLS网络,在分层部署MPLS VPN时,有良好的可扩展性; • UPE之间的后门连接,可以减轻SPE的负担,并且UPE之间只需要一个接口/子接口; BGP/MPLS VPN可以逐层部署。当UPE的性能不够的时候,可以添加一个SPE,将UPE的位置下移。当SPE的接入能力不足的时候,可以为其添加UPE

  45. 内容介绍 • 第2章 HoPE解决方案 • 2.1 HoPE技术的背景 • 2.2 HoPE技术的框架结构 • 2.3 HoPE技术的应用

  46. HoPE的应用 SPE SPE 金融/政务网的应用 MPLS骨干网 省 NE80/NE40/NE20/NE20s NE16/08/05 SPE NE08/NE05 R3680 MPE 地市 R3680 R2630 UPE 县 VPN1 Site1 VPN2 Site1 VPN1 Site1 VPN2 Site1 VPN1 Site1 VPN2 Site1 VPN1 Site1 VPN2 Site1

  47. HoPE的应用 在城域网中的应用 核心 核心 接口数 目不足 C75XX C6509 NE16/08 S8016 C75XX C6509 NE16/08 S8016 汇聚(SPE) 汇聚(PE) NE05 R3680 接入 接入(UPE) 路由容 量不足 路由容 量不足 NE80 NE80 核心(SPE) 核心(SPE) 接口数 目不足 C75XX C6509 NE16/08 S8016 NE16/08 S8016 C75XX C6509 汇聚(UPE) 汇聚(MPE) NE05 R3680 接入 接入(UPE)

  48. HoPE的应用 在城域网-骨干网跨域应用 ASBR SPE NE80 骨干网 域内全 部路由 域内全 部路由 VRF默 认路由 VRF默 认路由 ASBR/RR UPE NE80/40/20 NE16/08 城域网A 城域网B

  49. 内容介绍 第1章 跨域解决方案 第2章 HoPE解决方案 第3章 Internet 连接解决方案 第4章 多角色主机技术

  50. Internet连接解决方案 Internet连接的3种方法 • 在任何一种网络中,用户希望访问Internet,这是不可避免的一个问题。 • 在MPLS VPN网络中,有3种解决方法: • 通过外部ISP的Internet连接 • 静态默认路由的Internet连接 • 配置子接口的Internet连接

More Related