1 / 55

進階網路系統

進階網路系統. 第三組 組員 : 郭淑貞 935609 林瑞棋 935611 林慶昌 935615 林宏霖 935628 姚明芳 935637 許添財 935659. 指導老師 : 王井煦 教授. Chapter 4 Hybrid L2 and L3 IP/MPLS Networks. 了解 VPN 的各項元件 透過 IP 網路傳送 L3VPNs 透過 IP/MPLS 網路提供 L2 乙太網路服務. Understanding VPN Components. TYPE: CPE Based VPNs 客戶端

tobias-gregory
Download Presentation

進階網路系統

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 進階網路系統 第三組 組員 : 郭淑貞 935609 林瑞棋 935611 林慶昌 935615 林宏霖 935628 姚明芳 935637 許添財 935659 指導老師: 王井煦 教授

  2. Chapter 4 Hybrid L2 and L3 IP/MPLS Networks • 了解VPN的各項元件 • 透過IP網路傳送L3VPNs • 透過IP/MPLS 網路提供L2乙太網路服務

  3. Understanding VPN Components TYPE: • CPE Based VPNs 客戶端 • Network-Based VPNs 網路型 Elements: • Customer edge(CE) • Provider edge(PE) • Provider(P)

  4. Customer edge(CE) • 客戶端的設備位置存在於企業端的邊緣,這種設備通常是一顆路由器或者是一台L3VPN的主機,或者是在L2VPN的網路中,CE也可以是一台L2的交換機.CE連接到網路供應商,是透過各種不同的資料鏈結層的協定來傳送,像PPP,ATM,Fame Relay,Ethernet,GRE 等等。

  5. Provider edge(PE) • 網路供應商邊緣設備,是網路供應商所擁有的設備,它提供從不同的CE端第一層的匯集,PE 設備邏輯性的區隔開不同的聚集VPN線路,PE端設備不加入所有的VPN,只會跟本身相連的企業端VPN相互連接

  6. Provider (P) • 網路供應商設備通常是指核心的IP/MPLS路由器,用於對PE端設備的做第二的匯集,此設備通常不具任何VPN的功能,而且通常無法得知VPN的存在

  7. 各種VPN及其L2和L3服務的區別 • GRE & MPLS網路的L3 VPN • 從L2TPv3網路建立混合型乙太網路與IP/MPLS L2VPN、Ethernet over MPLS 與虛擬私人網路服務(VPLS)

  8. MPLS ( Multi-Protocol Label Switching ) 屬於第三代網路架構,是新一代的IP高速骨幹網路交換標準,由 IETF ( Internet Engineering Task Force,網際網路工程專案小組 ) 所提出,由 Cisco、3Com 等網路設備大廠所主導。MPLS 的運作原理是提供每個 IP 封包一個標籤,由此決定封包的路徑以及優先順序,與 MPLS 相容的路由器,會將封包轉送到其路徑前,僅讀取封包標籤,無須讀取每個封包的IP位址以及標頭,因此網路速度便會加快許多,同時藉由 QoS ( Quality of Service ) 的機制對所傳送的封包加以分級,進而大幅提升網路服務品質並且提供更多樣化的服務。

  9. What is a Label ? • 一個短的、固定長度的、而且只具本地意義(Local significance)的識別符(Identifier),此點與ATM所用的VPI/VCI之意義相同; • 可以在整個網路中是唯一的、或者只在某個MPLS節點中是唯一的或者共在某個單一介上是唯一的; • 可以被放在Layer-2的標頭或Layer-3的標頭中或介於Layer-2標頭與Layer-3標頭之間。 Section 3.1 of RFC 3031: ""Multiprotocol Label Switching Architecture" " http://www.ietf.org/rfc/rfc3031.txt

  10. Label Encapsulation and Packet Forwarding

  11. MPLS Label Fields • The label field (20-bits) carries the actual value of the MPLS label. • The CoS field (3-bits) can affect the queuing and discard algorithms applied to the packet as it is transmitted through the network. • The Stack (S) field (1-bit) supports a hierarchical label stack. • The TTL (time-to-live) field (8-bits) provides conventional IP TTL functionality.

  12. Delivering L3VPNs over IP • 網路供應商利用L3VPN 可以將其客戶專用的IP網路在其網路骨幹上進行其他服務,當網路供應商提供的是L3的服務時,他會提供一段IP Address給客戶端,這通常是為了提供Internet 的接取服務或者是提供群播(multicast)的服務等.L3VPN的提供可以藉由GRE tunnels or MPLS L3 VPN來傳遞

  13. GRE-Based VPNs • CE Based VPNs • 企業的各站點可選擇全部連結或部分連結 • VPN 集結點到點 Tunnel • 費用高,管理不易 GRE Generic routing encapsulation 通用路由封裝

  14. MPLS L3VPNs • Network-based VPNs • 比較有彈性的企業VPN服務 • Intranet(企業) & Extranet(企業供應商) 的延伸 都會乙太網路服務 L3VPN:IPv4 傳輸 L2VPN:IPv4,IPX,SNA(IBM)傳輸

  15. ●每個PE都知道與其相連的VPN,PE1只知道VPN-A,PE3只知道VPN-B●P路由器沒有任何VPN的訊息●CE路由器與相連的PE是相對的,A1與PE1對等,B1與PE3對等,以此類推●每個PE都知道與其相連的VPN,PE1只知道VPN-A,PE3只知道VPN-B●P路由器沒有任何VPN的訊息●CE路由器與相連的PE是相對的,A1與PE1對等,B1與PE3對等,以此類推

  16. 1. MPLS L3VPN PE 在不同的VPN之間分別維護轉送表 2. VPN-IPv4 位址的概念 3. 利用MPLS L3VPN機制如何在骨幹網路傳輸封包

  17. 維護站點虛擬路由器轉送表 • 對於相連接的每個點,PE路由器都分別維護虛擬路由器轉送表(Virtual router forwarding),轉送表內含有參予多個VPN的所有點的路由 • PE 從直接相連點,或跨越骨幹與其在同一VPN內的PE中學習到其他的轉送表訊息,再與CE直接相連中是透過路由協定像,OSPF, ISIS,RIP,and BGP or 透過靜態路由配製而學到的.跨越骨幹送出的VPN訊息是透過多重協定BGP(multiprotocol BGP,MP-BGP)來學到 • CE端的路由學習則是透過PE端的路由選擇協定或靜態路由而達成

  18. MPLSL3VPN 使用下列三種屬性 來分辨與隔離不同的VPN路由,確認特定的路由來源 • Traget VPNs • VPN of origin • Site of origin

  19. Traget VPNs(目標VPN) 利用目標VPN屬性可以組織成一組站台,將特定目標VPN屬性與一條路由相聯接,已使該路由可以置於針對站台的轉送表中,用於轉送從相對應站的流量。

  20. VPN of origin(來源VPN) 此屬性用於標示唯一的一組站台,以及相對應的路由標示為源自那一組站台的其中之一,典型的應用可能是標示有路由指向站台的企業,或者標示該站台Intranet

  21. Site of origin(來源站台) 唯一可以辦識站台從PE路由器中學到的路徑(此屬性可以拓展BGP的社群屬性,來進行編碼),對所有加入站台學習到的路由都必須指定到同一各來源站台

  22. Using VPN-IPv4 Address in MPLS L3VPNs在MPLS L3VPNs裡使用VPN-IPv4位址 使用VPN-IPv4 位址的主要目的是允許路由器建立不同的路由在相同的IPv4的位址,可以使用在與L3VPNs相關的不同情況。 當有多數的VPNs 擁有重複的IPv4的位址時,會產生類似的情況,在這種情況下,每個路由器對其下的站台的轉送表必須對每個位址進行不同的處裡。如果同一組IP被兩路的VPN所使用,那麼路由器必須將該重複的IP位址加到不同的VRF(虛擬路由轉送)表中.VPN-IPv4的另一個應用是建立不同的路由,以便到達相同的IPv4的位址,例如在一家企業裡有使用Intranet & Extranet的情況,同一台的伺服器,可將其IP位址在兩台不同的路由器中進行宣告,一台用於Intranet ,一台用於Extranet,這樣可以強制Extranet 到達伺服器前須先經過防火牆。

  23. Forwarding Traffic Across the Backbone透過骨幹網路傳送訊務 只有PE路由器才有VPN IP Prefixes的相關資訊,P路由器並不紀錄任何有關VPN IP Prefixes紀錄,在傳統的IP轉送中,此模型是沒有作用的,但是在MPLS網路中他是根據標籤,而不是IP Address。 跨越骨幹從一個站台傳送至另一個站台時,它的訊務是根據MPLS 的 Label Switched path LSP 來達成 跨越MPLS的骨幹網路是包含著堆疊標籤來達成訊務的傳遞,在堆疊標籤的上層名為封包交換網路(PSN)隧道標籤,它是用於入口PE到出口PE沿途封包所必須經過的路徑.下面的標籤用於指定其所屬的VPN,如果網路供應商是一般的IP 轉送網路(非MPLS)的狀況,可以利用GRE隧道替代PSN隧道,該封包將在GRE隧道內承載VPN的標籤。

  24. Applicability of MPLS L3VPNs for Metro EthernetMPLS L3VPNs 在都會乙太網路的彈性 MPLS L3VPN 的架構在傳送都會乙太網路會有很多難題,從管理員的角度來看,MPLS L3VPN架構規定網路供應商要參與制定客戶IP定址方案,先前提過,CE路由器與網路供應商的路由器須對等,如果沒有採用靜態路由,在兩端就可能必須配置RIP 或OSPF之類的路由協定,而且要遵循其規則,以便可以讓類似OSPF之類的協定可以在不同的VPN路由中分開,並且散播正確的路由在BGP與OSPF中 從設備廠商角度來看,雖然MPLS L3VPN模型在理論上有很好的彈性,但此模型會給邊緣路由器(PE)帶來很大的負載。

  25. Example: 1 PE  1000 VPN 1 VPN 1000 IP Prefixes 1 PE 1000 VRF =1,000,000 IP Prefixes Router -> 256,000 ~500,000 IP entries 較簡單的VPN方案,如 L2VPN,避免了L3VPN的複雜性並且可建立較簡易的服務,如透通LAN服務(Transparent LAN Service,TLS)

  26. L2 Ethernet Services over an IP/MPLS NetworkIP/MPLS 網路提供 L2 乙太網路服務 IP 與MPLS在大型的網路供應商中一直被廣泛的應用,並且這些協定已經逐年的調整優化,可以提供高度的穩定性和彈性,下圖為IP/MPLS與L2乙太網路一些優缺點的比較:

  27. IP/MPLS網路與客戶端距離越近,可以服務的彈性也就越高,但是其複雜度也隨之提高IP/MPLS網路與客戶端距離越近,可以服務的彈性也就越高,但是其複雜度也隨之提高

  28. Layer 3與Layer 3 MPLS VPN比較表

  29. Figure 4-6. Hybrid L2 and IP/MPLS Metro 如上圖所示,說明如何利用IP/MPLS進行一定程度的分 級以便將L2服務限制在入口/邊緣網路中。

  30. 利用IP/MPLS 邊緣/核心網路可以將L2網域限制存取在入口或是入口/邊緣的一邊,而且可以提供較具彈性的L2的傳輸服務 透過IP/MPLS所提供的乙太網路服務的有點對點(Point-to-point,P2P)或者多點對多點(Multipoint-to-multipoint,MP2MP),它非常相似於由都會乙太網路論壇(Metro Ethernet Forum ,MEF)所定義的乙太線路服務(Ethernet Line Service,ELS),與乙太區網服務(Ethernet LAN Service,E-LAN)

  31. P2P Ethernet Service點對點 乙太網路服務 相似於ELS,傳輸的方式如下 -在IP網路上使用L2TPv3 -在乙太網路上使用MPLS,也稱為馬丁尼草案(draft-martini) 原始草案之作者 MP2MP Ethernet Service多點對多點 乙太網路服務 相似於乙太網路Lan服務(E-LAN),傳輸的方式是透過VPLS所提供

  32. The Pseudo wire Concept偽線路的概念 由IETF 所定義的偽線路(pseudowire ,PW),利用乙太網PW可以將乙太網路/802.3協定的數據單元(PDU)在類似IP/MPLS的私人服務網路(PSN)上進行傳輸.這就可以讓網路供應商或企業網路在先有的IP/MPLS的網路上提供乙太網路的服務. 可以透過手動設定或者訊令協定(Signaling protocol)來配置偽線路,此種線路可以在MPLS,IPv4或IPv6的私人服務網路PSN中. 乙太網PW跟一條介接在乙太網路兩個對口端點相似,PW是與PE內的邏輯介面相聯接,此介面可以提供乙太網路的MAC服務,用於將介面上收到的每一個封包傳送給PW另一端PE的邏輯介面

  33. 封包在PE中進入PW之前,需經過下列封包處裡程序:封包在PE中進入PW之前,需經過下列封包處裡程序: • 剝離(Stripping) • 標記堆疊或替換(Tag stacking or swapping) • 橋接(Bridging) • L2封裝(L2 encapsulation) • 政策(Policing) • 重整(Shaping)

  34. 從L2TPv3 中建立PW L2TP提供動態隧道機制,是為了多條L2線路跨越以封包導向的資料網路,L2TP原本是為了點對點協定(PPP)隧道傳輸而制定,線在成為包含乙太網路在內的許多L2協定進行隧道傳輸的機制,IETF RFC 2661所規定的L2TP 就是第二層隧道傳輸協定,稱為L2TPv2,而L2TPv3是該協定的延伸,其用義在於承載L2協定而不是PPP時有更大的彈性. L2TPv2與L2TPv3最大的差異在於,L2TPv3與所有的PPP相關的屬性與引用已完全脫離,原本16位元的Session ID與Tunnel ID已經變成32位元的Session ID與Control Connection ID,可以提供更好的彈性使用

  35. 乙太網路埠或乙太網路VLAN的供應和其相關PE中PW的關聯可以觸發L2TP對話的建立,下列是建立PW所需的要素:乙太網路埠或乙太網路VLAN的供應和其相關PE中PW的關聯可以觸發L2TP對話的建立,下列是建立PW所需的要素: • PW TYPE :其類型可以為乙太網路埠或是乙太網路的Vlan 前者的PW視為可以兩個物理性連接的乙太網 路介面,後者PW為一個乙太網路VLAN與另一 個乙太網路VLAN的 相連接。 • PW ID : 每一條PW都與一個PW ID相關聯,PW ID 用途在 於指示出實際的PW。

  36. Ethernet over MPLS--Draft-MartiniMPLS上的乙太網路—馬丁尼草案 IETF有制定了關於在MPLS網路上承載L2訊務的方法,包括在MPLS承載Ethernet(Ethernet over MPLS,EoMPLS),Frame Relay,and ATM.以上這些也引用了馬丁尼草案(Draft-Martini)裡的封裝,它是參考原作者所定義的在MPLS上對L2做封裝定義.關於此類的封裝,PW是通過在兩個端點的PE之間所建立一對單向MPLS虛擬連接(virtual connection,VC) LSP建立起來的,一條VC-LSP用於傳輸出口訊務,另一條則負責傳輸入口訊務.VC-LSP都是利用MPLS的標籤來分辨,MPLS標籤是靜態指定,或者利用標籤分送協定(Label Distribution Protocol,LDP)分配的 下面將解釋經過MPLS網路封裝乙太網路的機制,並顯示兩種利用LDP來建立PWs經過直接相連與非直接相連的狀況:

  37. Ethernet Encapsulation乙太網路封裝 乙太網路的封裝與從L2TPv3 中建立PW章節裡描述的非常相似,PW的設置可以根據下列之一: • 原始模式(Raw mode) – 在這模式中,它表示PW在兩端乙太網路介面的虛擬連接,當他從一端傳送至另一段端時,不管他是否帶標籤,都會再出口端原封不動的傳送出去 • 標籤模式(Tagged mode) -在這模式中,它表示PW在兩端Vlan介面的連接,每個vlan都由不同的PW代表,而且以不同的方式在網路中轉送,進入PW入口時的標記可能再出口時被重新寫過 draft-ietf-pwe3-ethernet-encap-09.txt

  38. Maximum Transmit Unit最大傳輸單元 在PW兩端的最大傳輸單元必須要一致,以便在PSN上進行傳輸,且網路必須設定為傳輸最大封裝訊框.如果是在MPLS的網路進行隧道協定,需要額外再MPLS 空隙層增加訊框的長度

  39. Frame Reordering訊框紀錄 IEEE 802.3要求必須按照順序傳送同一個對話的訊框,所以因為是在PW內進行封裝,所以PW必須能夠支援紀錄

  40. Directly Connect PEs直接相連的PEs • 利用兩台直接相連PE 之間建立LDP Session,LDP Session建立後所有的PW將利用LDP進行訊令的傳遞 • 此類封裝不但用於對乙太網路,而且還可用於ATM、FR和模擬電路之類的其他流量進行隧道的傳輸

More Related