590 likes | 819 Views
DP500031 MPLS L3 VPN 高级运用. ISSUE 1.0. 前 言. MPLS 技术在网络中大规模的运用,使的服务提供商为客户提供更好的扩展 / 增值服务。但是要想在众多厂商激烈的竞争中脱颖而出,通过实现 MPLS 众多功能能够很容易获得成功。. 参考资料. VRP5 操作手册 VPN 分册 跨域技术白皮书 HoPE 技术白皮书 RFC 2547 , RFC 3107. 目 标. 学习完此课程,您将会: 了解 MPLS VPN 跨域, HoPE ,访问 Internet ,多主机接入等技术 掌握这些技术的细节 掌握各项技术在实际中的运用.
E N D
DP500031 MPLS L3 VPN高级运用 ISSUE 1.0
前 言 MPLS技术在网络中大规模的运用,使的服务提供商为客户提供更好的扩展/增值服务。但是要想在众多厂商激烈的竞争中脱颖而出,通过实现MPLS众多功能能够很容易获得成功。
参考资料 • VRP5操作手册VPN分册 • 跨域技术白皮书 • HoPE技术白皮书 • RFC 2547,RFC 3107
目 标 学习完此课程,您将会: • 了解MPLS VPN跨域,HoPE,访问Internet,多主机接入等技术 • 掌握这些技术的细节 • 掌握各项技术在实际中的运用
内容介绍 第1章 跨域解决方案 第2章 HoPE解决方案 第3章 Internet 连接解决方案 第4章 多角色主机技术
内容介绍 • 第1章 跨域解决方案 • 1.1 跨域技术解决方案 • 1.2 Carrier‘s Carrier解决方案
跨域MPLS VPN业务 跨域VPN的产生 • 在MPLS技术体系中,MPLS域与路由的AS是重叠的。但实际组网中,经常有MPLS域跨越多个AS的情况: • 运营商网络一个省为一个AS,要求跨省提供MPLS VPN业务; • 运营商之间相互合作(特别是国际业务上,与国外运营商之间的合作) • 为了实现这些业务,MPLS VPN就必须解决跨域的问题。跨域问题有两个方面: • 技术问题:如何把VPN-IPv4路由和VPN标记扩散到另一个AS; • 管理问题:一般不允许跨域建立LSP(对于运营商合作的情况特别重要)
跨域MPLS VPN业务 • 现在解决MPLS VPN跨域问题的技术方案有三种: • VRF-TO-VRF(背靠背方式); • MP-eBGP for VPNV4(单跳的MP-EBGP方式) • Multi-Hop MP-eBGP(多跳的MP-EBGP方式) 3种解决方案
不同的区域或者不同的运营商有着不同的自治域。不同的区域或者不同的运营商有着不同的自治域。 相同的VPN出现在不同的AS里。 跨域MPLS VPN业务 解决方案的描述 ASBR-1 ASBR-2 Back-to-back VRFs MP-eBGP for VPNv4 Multi-hop MP-eBGP AS #200 AS #100 PE-1 PE-2 CE-2 CE-1 VPN-A-1 VPN-A-2
跨域解决方案1: VRF-to-VRF VRF-to-VRF概述 VPN1-CE1 VPN1-CE2 ASBR-1 ASBR-2 MP-iBGP MP-iBGP PE PE AS#100 AS#200 PE PE VPN2-CE1 VPN2-CE2 MP-iBGP MP-iBGP 为每个VPN创建一个VRF和一个逻辑接口 VPN-LSP1 VPN-LSP2 IP Forwarding LSP-2 LSP-1 ASBR-2 ASBR-1 PE PE • ASBR 把对端的ASBR 作是自己的CE, 将会为每一个VPN创建VRF. 在两个ASBR之间是IP转发的过程,在AS内部使用MPLS转发。 • 优点: 简单,不要扩展协议和做特殊的配置,属于天然支持。在需要跨域的VPN数量比较少的情况,可以考虑使用。 • 缺点: ASBR需要为每个VPN创建一个VRF, 如果跨多个域,配置的工作量很大,扩展性太差。
跨域解决方案1: VRF-to-VRF 路由信息的扩散 BGP, OSPF, RIPv2 161.10.1.0/24,NH=CE-1 BGP, OSPF, RIPv2 161.10.1.0/24,NH=PE-3 VPN-v4 update:RD:1:27:161.10.1.0/24, NH=PE-1RT=100:1, Label=(L1) VPN-v4 update:RD:1:27:161.10.1.0/24, NH=ASBR-2RT=100:1, Label=(L2) VPN1-CE1 VPN1-CE2 MP-iBGP ASBR-1 ASBR-2 MP-iBGP PE-1 PE-3 AS#100 AS#200 PE-4 PE-2 VPN2-CE1 VPN2-CE2 MP-iBGP MP-iBGP D:161.10.1.0/24 NH:ASBR-1 VPN-LSP1 VPN-LSP2 IP Forwarding LSP-2 LSP-1 ASBR-2 ASBR-1 PE PE
跨域解决方案1: VRF-to-VRF 标签转换过程 161.10.1.1 VPN1-CE1 VPN1-CE2 161.10.1.1 ASBR-2 ASBR-1 PE MP-iBGP MP-iBGP PE Ly L1 161.10.1.1 Lx L2 161.10.1.1 AS#100 AS#200 PE 161.10.1.1 VPN2-CE1 VPN2-CE2 PE MP-iBGP MP-iBGP 为每个VPN创建一个VRF和一个逻辑接口 VPN-LSP1 VPN-LSP2 IP Forwarding LSP-2 LSP-1 ASBR-2 ASBR-1 PE PE
跨域解决方案 2: MP-eBGP for VPNV4 MP-eBGP for VPNV4概述 VPN1-CE1 VPN1-CE2 ASBR-1 ASBR-2 PE MP-iBGP MP-iBGP PE MP-EBGP AS#100 AS#200 PE (VPN-V4) PE VPN2-CE1 VPN2-CE2 MP-iBGP MP-iBGP VPN-LSP2 VPN-LSP1 VPN-LSP3 LSP-2 LSP-1 ASBR-2 ASBR-1 PE PE • 在ASBRs之间使用EBGP发布 VPN-IPv4 路由。 • 优点: • 不需要在ASBR上为每个VPN创建VRF。 • 不需要跨域扩展协议 , 容易管理和配置 • 缺点: 这种方案需要在ASBR上保存所有的VPN路由,因此这本身就对路由器提出了更高的要求,使的ASBR更容易成为故障点。
跨域解决方案 2: MP-eBGP for VPNV4 路由信息的扩散 BGP, OSPF, RIPv2 161.10.1.0/24,NH=PE-3 BGP, OSPF, RIPv2 161.10.1.0/24,NH=CE-1 VPN-v4 update:RD:1:27:161.10.1.0/24, NH=PE-1RT=100:1, Label=(L1) VPN-v4 update:RD:1:27:161.10.1.0/24, NH=PE-ASBR-2RT=100:1, Label=(L3) VPN1-CE1 VPN1-CE2 MP-iBGP MP-iBGP PE-3 ASBR-1 ASBR-2 PE-1 MP-EBGP AS#100 AS#200 (VPN-V4) PE-2 PE-4 VPN-v4 update:RD:1:27:161.10.1.0/24, NH=PE-ASBR-1RT=100:1, Label=(L2) VPN2-CE1 VPN2-CE2 MP-iBGP MP-iBGP VPN-LSP2 VPN-LSP1 VPN-LSP3 LSP-2 LSP-1 ASBR-2 ASBR-1 PE PE
跨域解决方案 2: MP-eBGP for VPNV4 标签转换过程 VPN1-CE1 VPN1-CE2 161.10.1.1 161.10.1.1 Lx L3 161.10.1.1 L1 161.10.1.1 PE-3 PE-1 L3 161.10.1.1 Ly L1 161.10.1.1 MP-iBGP ASBR-1 ASBR-2 MP-iBGP MP-EBGP AS#100 AS#200 PE-4 (VPN-V4) PE-2 VPN2-CE1 MP-iBGP MP-iBGP VPN2-CE2 L2 161.10.1.1
跨域解决方案3: Multi-Hop eBGP Multi-Hop eBGP概述 Multi-Hop MP-EBGP(VPN V4) VPN1-CE1 VPN1-CE2 ASBR-1 ASBR-2 MP-iBGP MP-iBGP PE PE EBGP AS#100 AS#200 PE PE VPN2-CE1 VPN2-CE2 MP-iBGP MP-iBGP Multi-Hop MP-EBGP VPN-LSP MP-IBGP BGP 4+ MP-IBGP LSP-1 LSP-2 ASBR-2 ASBR-1 PE PE • 在PE之间建立MP-EBGP邻居,通过这个连接分发VPN-IPV4路由。 • 优点: • 这种方案应该说是最理想的,因为他符合MPLS VPN的体系结构的要求,只有PE知道VPN路由信息,P只负责报文转发。 • 在跨越多个域时优势更加明显,而且这个方案支持负载分担等功能。 • 缺点: 要对BGP做扩展,而且隧道的生成也是有别于普通的MPLS VPN结构,因此维护和理解起来难度比较大
跨域解决方案3: Multi-Hop eBGP 路由信息的扩散 VPN-v4 update:RD:1:27:162.11.1.0/24, NH=PE-1RT=100:1, Label=(L3) VPN1-CE1 VPN1-CE2 Network=PE-1 NH=ASBR-2Label=(L10) BGP, OSPF, RIPv2 162.11.1.0/24, NH=PE-2 BGP, OSPF, RIPv2 162.11.1.0/24, NH=CE-1 MP-iBGP MP-iBGP ASBR-1 ASBR-2 PE-1 PE-2 EBGP AS#100 AS#200 PE-4 PE-3 Network=PE-1 NH=ASBR-1Label=(L9) VPN2-CE1 VPN2-CE2 MP-iBGP MP-iBGP
跨域解决方案3: Multi-Hop eBGP 标签转换过程 VPN1-CE1 VPN1-CE2 161.10.1.1 161.10.1.1 Lx L10 L3 161.10.1.1 L3 161.10.1.1 PE-3 PE-1 L10 L3 161.10.1.1 Ly 161.10.1.1 L3 MP-iBGP MP-iBGP ASBR-1 ASBR-2 MP-EBGP AS#100 AS#200 PE-4 PE-2 L9 L3 161.10.1.1 VPN2-CE1 VPN2-CE2 MP-iBGP MP-iBGP
内容介绍 • 第1章 跨域解决方案 • 1.1 跨域技术的解决方案 • 1.2 Carrier‘s Carrier解决方案
Carrier’s Carrier解决方案 Carrier’s Carrier拓扑结构 MP-IBGP/Romete-Peer LDP IBGP LDP/BGP LDP/BGP LDP LDP LDP 2层 PE 1层 PE 1层 PE 2层 PE 1层 CE 1层 CE 2级运营商 1级运营商 2级运营商 VPNB VPNA VPNB VPNA 二级运营商可以提供L2&L3 VPN
Carrier’s Carrier解决方案 • 1级运营商采用MPLS/BGP VPN技术 • 2级运营商不采用VPN技术 • 2级运营商采用VPN技术 • 1级运营商采用2层MPLS VPN技术 3种解决方案
2级运营商不提供MPLS/BGP VPN。 1级运营商没有2级运营商的IGP路由信息。 假设流量从CE-1到CE-2,LSP是从CE-1开始,到PE-2结束。 Carrier’s Carrier解决方案 解决方案一 MP-IBGP BGP/LDP MP-IBGP / LDP BGP/LDP PE-1 PE-2 CE-1 CE-2 Level-2 SP Level-2 SP Level-1 SP
2级运营商提供MPLS/BGP VPN。 Carrier’s Carrier解决方案 解决方案二 MP-IBGP / Remote Peer LDP LDP BGP/LDP MP-IBGP / LDP BGP/LDP LDP CE-1 PE-1 PE-2 CE-2 Level-2 SP Level-2 SP Level-1 SP PE-3 PE-4 VPN 1 Site 1 VPN 2 Site 1 VPN 1 Site 2 VPN 2 Site 2
Carrier’s Carrier解决方案 解决方案三 MP-IBGP / Remote Peer LDP LDP MP-IBGP / LDP LDP CE-1 PE-1 PE-2 CE-2 Level-2 SP Level-2 SP Level-1 SP PE-3 PE-4 VPN 1 Site 1 VPN 2 Site 1 VPN 1 Site 2 VPN 2 Site 2 • 2级运营商提供MPLS L2 VPN。
Carrier’s Carrier解决方案 Carrier’s Carrier总结
内容介绍 第1章 跨域解决方案 第2章 HoPE解决方案 第3章 Internet 连接解决方案 第4章 多角色主机技术
内容介绍 • 第2章 HoPE解决方案 • 2.1 HoPE技术的背景 • 2.2 HoPE技术的框架结构 • 2.3 HoPE技术的应用
PE越往下移,由于路由更具体,要维护的路由数目更多!PE越往下移,由于路由更具体,要维护的路由数目更多! HoPE技术的背景 PE设备的处境 核心层 汇聚层 接入层 • PE设备在不同层次间的尴尬处境: • 接入层:容量小,无法承担。 • 汇聚层:识别用户需要大量(子)接口,用户数目大,而接口数量有限。 • 核心层:用户数目更大,接口数目更少,带宽粒度更粗
要求接口数目和存储容量同时增长,最终超出设备能力要求接口数目和存储容量同时增长,最终超出设备能力 网络规模扩大,本地和远程站点增加用户,也要求本地PE更多的存储容量 解决方法 PE扩容、替换 增加PE,分别负担一部分VPN用户 HoPE技术的背景 问题的出现 这是一种昂贵的解决方案
HoPE技术的背景 原因所在 • 接入用户需要大量接口,处理用户报文需要大容量的内存和转发能力 • PE难以同时具备大容量内存和大量接口 • 典型的网络是分层的,边缘接口多,核心容量大 • MPLS VPN是平面模型,PE无论处于网络中哪个位置,对内存容量的要求基本相同,甚至在PE向边缘扩展时,对内存容量要求更大,而同时网络设备的容量是下降的 关键点:MPLS VPN的模型同典型网络的模型不符合
HoPE技术的背景 Multi-VRF解决方案 • 扩展CE的功能,具备VRF能力,称为Multi-VRF CE,简称VCE • VCE接入多个VPN用户,模拟多个CE设备 • VCE同PE通过多个(子)接口连接 • VCE只需要维护本地Site的路由 • PE不需要做任何修改 VPN1 Site1 VPN2 Site1 VCE1 MPLS网络 PE VPN1 Site2 VPN2 Site2 VCE2
HoPE技术的背景 Multi-VRF方案的缺陷 • 在PE和VCE之间上要需要大量的接口、子接口,它们消耗有限的接口资源; • 在PE、CE上需要配置多个VRF,配置工作量大,而且重复; • PE和VCE之间交换路由时,如果使用动态路由协议,需要PE和VCE都运行多个实例,如果使用静态路由,则配置工作量大; • PE和VCE如果不是直接连接,而采用隧道接口时,每个VRF需要一个隧道,消耗资源大; • VCE之间要相互连接,传递VPN报文,从而减轻PE负担时,每个VRF需要一个接口/子接口 • 最终实现的还是一种单层式的VPN接入,不能解决一个独立的MPLS VPN网络接入问题
内容介绍 • 第2章 HoPE解决方案 • 2.1 HoPE技术的背景 • 2.2 HoPE技术的框架结构 • 2.3 HoPE技术的应用
PE同另外一些PE相连,各有分工,完成传统上一个PE的功能PE同另外一些PE相连,各有分工,完成传统上一个PE的功能 PE之间具有层次结构,直接连接VPN用户的称为UPE(Underlayer PE),位于网络内部的称为SPE(Superstratum PE) UPE和SPE之间可以直接相连,也可以通过一个IP/MPLS网络相连 这种结构称为HoPE(Hierarchy of PE) HoPE的框架结构 新的解决方案——PE的分层体系结构 VPN1 Site1 VPN1 Site3 VPN2 Site1 PE UPE1 MP-BGP MPLS网络 MPLS SPE 网络 VPN1 Site2 VPN2 Site2 VPN2 Site3 UPE2 PE 分层式PE
HoPE的框架结构 UPE和SPE的分工 • UPE仅维护其直接连接的VPN Site的路由,但不维护VPN中其它远程Site的路由;SPE维护其通过UPE所连接的Site所在的VPN中的所有路由,包括本地和远程Site中的路由 • UPE为其直接连接的Site的路由分配内层标签,并发布给SPE;SPE只发布VRF默认路由给UPE,并携带标签 • UPE和SPE之间采用标签转发,因而只需要一个(子)接口相互连接。若相隔一个IP/MPLS网络,采用GRE/LSP等隧道连接 UPE是一个传统的PE,而SPE要在传统PE的基础上增加功能
HoPE的框架结构 数据的转发过程 SPE1发布VPN默认路由给UPE,并携带一个内层标签 PE2为这个路由分配内层标签 CE2发布Site2中的一个路由 UPE发布默认路由给CE1 Dest/Mask Dest/Mask, Li 0/0 0/0, L0 Site1 Site2 CE1 UPE SPE1 P PE2 CE2 Dest/Mask Dest/Mask, L0 Dest/Mask, Li, Lo Dest/Mask, Li Dest/Mask Site1访问Site2中的目的地址根据默认路由转发到UPE 根据VPN默认路由PUSH内层标签转发到SPE1 POP默认路由对应的内层标签,查看对应的VRF路由表PUSH内外层标签 倒数第二跳POP外层标签 POP内层标签
HoPE的框架结构 数据的转发过程 SPE1将UPE分配的标签替换为另外一个内层标签 UPE为路由分配内层标签发布给SPE1 PE2发布不带标签的路由给CE2 CE1发布Site1中的一个路由 Dest/Mask, Li1 Dest/Mask Dest/Mask Dest/Mask, Li2 Site1 Site2 CE1 UPE SPE1 P PE2 CE2 Dest/Mask Dest/Mask, Li1 Dest/Mask, Li2 Dest/Mask, Li2, Lo Dest/Mask 倒数第二跳POP外层标签 查找VRF路由表PUSH内外层标签 查找路由表转发到PE2 POP内层标签转发到CE1 SWAP内层标签
采用MP-BGP协议分布VPN-IPv4路由 SPE和UPE属于同一个运营商,采用MP-iBGP,SPE作为RR SPE和UPE属于不同运营商,采用MP-eBGP,UPE一般使用私有AS号码 SPE根据UPE上VRF import route-target list的合集构造全局import route-target list UPE通过ORF机制传递import route-target list,SPE自动生成 SPE上手工生成 HoPE的框架结构 SPE-UPE协议 VPN路由(标签) ORF(扩展团体列表) VRF1 Import route-target 100:1 Global Import route-target 100:1, 200:1 VRF2 Import route-target 200:1 VRF默认路由(标签) UPE SPE
通过任何形式的接口/子接口连接 通过隧道接口连接 MP-BGP可以跨越多跳 采用LSP时,UPE/SPE运行LDP/RSVP-TE HoPE的框架结构 SPE SPE-UPE连接 专线 LSP GRE隧道 UPE UPE 一对SPE/UPE间只需要一个连接
HoPE的框架结构 SPE • 一个分层PE作为UPE(SPE)同另外一个SPE(UPE)组成新的分层PE • 中间的PE称为MPE • SPE在连接一个分层PE的同时,可以连接单个的UPE 分层PE的嵌套 VRF默认路由 VRF默认路由 MPE UPE VRF默认路由 VRF默认路由 UPE UPE VPN2 VPN1 Site3 Site3 VPN1 VPN1 VPN2 VPN2 Site1 Site2 Site2 Site1 无穷嵌套
UPE同多个SPE连接 多个SPE都向UPE发布VRF默认路由,UPE选择其中一个作为优选路由,或者选择多个路由进行负载分担 UPE向多个SPE发布其VPN路由,可以全部发布给所有SPE,也可以给每个SPE发布一部分VPN路由,从而形成负载分担 HoPE的框架结构 多归路的UPE SPE1 SPE2 VPN1 路由 VPN2 路由 VRF默认路由 VRF默认路由 UPE VPN1 Site VPN2 Site
SPE在连接UPE的同时,仍然能连接CE 同一个VPN的site通过SPE互通 HoPE的框架结构 SPE同时连接UPE和CE SPE CE UPE VPN1 Site1 VPN1 Site2 VPN2 Site2
UPE间建立后门连接,VPN站点通过这个连接直接通信,不需要通过SPEUPE间建立后门连接,VPN站点通过这个连接直接通信,不需要通过SPE UPE间通过MP-BGP对等,交换路由 UPE间可以跨越一个网络 HoPE的框架结构 UPE之间的后门连接 SPE 后门连接 UPE2 UPE1 MP-BGP VPN1 Site1 VPN2 Site1 VPN1 Site2 VPN2 Site2
HoPE的框架结构 最完善的解决方案 • SPE和UPE之间只需要一个接口/子接口,节约有限的接口资源; • SPE不需要重复配置UPE上已经配置的VRF,配置工作量小; • SPE和UPE通过动态路由协议MP-BGP交换路由、发布标签,每一个UPE只要运行这样的一个对等体,协议开销小,配置工作量小; • SPE和UPE可以通过隧道接口连接,从而可以跨越一个网络。特别的,这可以是一个MPLS网络,在分层部署MPLS VPN时,有良好的可扩展性; • UPE之间的后门连接,可以减轻SPE的负担,并且UPE之间只需要一个接口/子接口; BGP/MPLS VPN可以逐层部署。当UPE的性能不够的时候,可以添加一个SPE,将UPE的位置下移。当SPE的接入能力不足的时候,可以为其添加UPE
内容介绍 • 第2章 HoPE解决方案 • 2.1 HoPE技术的背景 • 2.2 HoPE技术的框架结构 • 2.3 HoPE技术的应用
HoPE的应用 SPE SPE 金融/政务网的应用 MPLS骨干网 省 NE80/NE40/NE20/NE20s NE16/08/05 SPE NE08/NE05 R3680 MPE 地市 R3680 R2630 UPE 县 VPN1 Site1 VPN2 Site1 VPN1 Site1 VPN2 Site1 VPN1 Site1 VPN2 Site1 VPN1 Site1 VPN2 Site1
HoPE的应用 在城域网中的应用 核心 核心 接口数 目不足 C75XX C6509 NE16/08 S8016 C75XX C6509 NE16/08 S8016 汇聚(SPE) 汇聚(PE) NE05 R3680 接入 接入(UPE) 路由容 量不足 路由容 量不足 NE80 NE80 核心(SPE) 核心(SPE) 接口数 目不足 C75XX C6509 NE16/08 S8016 NE16/08 S8016 C75XX C6509 汇聚(UPE) 汇聚(MPE) NE05 R3680 接入 接入(UPE)
HoPE的应用 在城域网-骨干网跨域应用 ASBR SPE NE80 骨干网 域内全 部路由 域内全 部路由 VRF默 认路由 VRF默 认路由 ASBR/RR UPE NE80/40/20 NE16/08 城域网A 城域网B
内容介绍 第1章 跨域解决方案 第2章 HoPE解决方案 第3章 Internet 连接解决方案 第4章 多角色主机技术
Internet连接解决方案 Internet连接的3种方法 • 在任何一种网络中,用户希望访问Internet,这是不可避免的一个问题。 • 在MPLS VPN网络中,有3种解决方法: • 通过外部ISP的Internet连接 • 静态默认路由的Internet连接 • 配置子接口的Internet连接