城域网二层VPN及BAS备份部署——华为.ppt

城域网二层VPN级BAS备份部署方案,国内数通工程部,Page 2,第1章 VPN概述第2章 二层VPN简介第3章 BAS备份方案第4章 城域网二层VPN部署方案,内容介绍,Page 3,VPN概述,虚拟专用网VPN是依靠ISP（Internet Service Provider）和NSP（Network Service Provider），在公共网络中建立的虚拟专用通信网络。VPN有以下特点：专用性：VPN资源只能被该VPN的用户使用，不能被网络中其他用户所使用。同时VPN提供足够的安全保证，确保VPN内部信息不受外部侵扰。虚拟性：VPN用户内部的通信是通过一个公共网络进行的，而这个公共网络同时也被其他非VPN用户使用,Page 4,VPN的优势,连接可靠，可保证数据传输的安全性。利用公共网络进行信息通讯，可降低成本，提高网络资源利用率。VPN的调整和维护基于软件实现，可提高应用的灵活性。支持用户实时、异地接入，可满足不断增长的移动业务需求。支持QoS功能，可为VPN用户提供不同等级的服务质量保证。,Page 5,VPN的基本原理,VPN的基本原理是利用隧道技术，把VPN报文封装在隧道中，利用VPN骨干网建立专用数据传输通道，实现报文的透明传输。隧道技术使用一种协议封装另外一种协议报文，而封装协议本身也可以被其他封装协议所封装或承载。,Page 6,隧道协议,第二层隧道协议 第二层隧道协议将整个数据帧封装在内部隧道中。主要包括点到点隧道协议PPTP（Point-to-Point Tunneling Protocol）、二层转发协议L2F（Layer 2 Forwarding）、二层隧道协议L2TP（Layer 2 Tunneling Protocol）。第三层隧道协议 第三层隧道协议的起点与终点均在ISP内，PPP会话终止在NAS处，隧道内只携带第三层报文。现有的第三层隧道协议主要包括通用路由封装协议GRE、IPSec协议体系。GRE和IPSec主要用于实现专线VPN业务。MPLS LSP协议 在“二层半”的MPLS网络中，标签交换路径LSP本身就是构建在公网上的隧道，可用于构建基于MPLS的L3VPN或L2VPN。,Page 7,VPN分类按照业务用途,按照业务用途Access VPN，Intranet VPN，Extranet VPN按照运营模式分类CPE-Based VPN，Network-Based VPN按照组网模型分类VPDN，VPRN，VLL，VPLS 按照网络层次一层VPN，二层VPN，三层VPN,Page 8,MPLS L2VPN的优点（1）,扩展了运营商的网络功能和服务能力 MPLS L2VPN可以连接不同地域的FR和ATM网络，使运营商可以在一个更大的网络范围内为更多用户提供FR/ATM专线服务，从而获得更多的盈利。运营商只需要使用统一的一个网络就可以提供MPLS L2VPN、三层BGP/MPLS VPN、IP数据等服务；并且可利用MPLS相关的增强技术，如流量工程、QoS等功能为客户提供不同的服务级别，以满足客户多种多样的需求。具有更高的可扩展性 克服了传统的ATM或FR网络中扩展复杂的缺点，MPLS L2VPN，通过使用标签栈技术，可以在一条LSP中复用多条VC，PE只要维护一条LSP信息就可以了，因此大大提高了系统的可扩展性。管理责任分明 在MPLS L2VPN中，运营商仅负责提供二层的连接性，客户负责三层的连接性，如路由等。这样，当用户由于配置错误，引起路由振荡时，不会影响运营商网络的稳定性。,Page 9,MPLS L2VPN的优点（2）,提供更好的安全性和保密性 能提供等同与ATM或FR VPN网络提供的安全性和保密性。由于用户自己维护其路由信息，运营商不必考虑各个用户的地址重叠问题，也不用担心一个用户的路由信息会泄漏到其它用户的私有网络中。这一方面减少了运营商的管理负担，另一方面，也增加了用户信息的安全性。多网络协议支持 由于运营商只提供二层连接，客户可以使用其愿意使用的任何三层协议，如IP、IPv6、IPX、SNA等。对于传统的L2VPN客户能做到网络平滑升级 由于MPLS L2VPN对于用户是透明的，当运营商从ATM、FR等传统的二层VPN向MPLS L2VPN升级时，不需要用户进行任何重新配置，除了切换时可能造成短时间的数据丢失外，对用户来说几乎没有任何影响。,Page 10,第1章 VPN概述第2章 二层VPN简介第3章 BAS备份方案第4章 城域网二层VPN部署方案,内容介绍,Page 11,第2章 二层VPN简介2.1 L2TP2.2 VLL2.3 VPLS,内容介绍,Page 12,L2TP,L2TP VPN技术将整个PPP帧封装在二层隧道中进行数据传输，属于二层隧道技术。L2TP协议提供了对PPP链路层数据包的隧道（Tunnel）传输支持，允许二层链路端点和PPP会话点驻留在不同设备上，并采用包交换网络技术进行信息交互，从而扩展了PPP模型,Page 13,L2TP协议介绍,L2TP协议的组成部分：VPN用户 指通过L2TP协议连入VPN的用户，通常是外地出差员工或办事机构L2TP访问集中器(LAC)VPN用户和LNS之间传递数据的设备，通常是当地ISP的接入设备L2TP网络服务器(LNS)L2TP协议的服务器端部分，通常是企业内部网的边缘设备,Page 14,L2TP协议简介,L2TP报文封装层次结构,此报文格式是LAC与LNS之间的数据报文。L2TP报文头是VPN协议报文头，其内封装的是PPP报文，因此L2TP是二层VPN协议。,Page 15,LAC发起连接(LAC-initialized)用户通过PSTN/ISDN接入NAS(LAC)，NAS判断如果是VPN用户，就向指定的LNS发起L2TP连接用户发起连接(Client-initialized)用户通过PSTN/ISDN接入NAS，获得访问Internet权限然后直接向远端LNS服务器发起L2TP连接,L2TP隧道发起方式,Page 16,L2TP的实现方式,VPN用户货车，NAS收费站NAS：你可以通行了VPN用户：好的，我自己把货物送过去,PSTN/LAN,Internet,VPDN 用户,LAC,LNS,企业网,Page 17,L2TP的实现方式,VPN用户货车，LAC托运处LAC：你的货物可以通过，有什么需要帮忙的？VPN用户：请把这些货物托运到XX街XX号,PSTN/LAN,Internet,VPDN 用户,LAC,LNS,企业网,Page 18,MA5200G业务批发,MA5200G将某个ISP（Internet Service Provider）的用户的业务报文，通过VPN的方式，统一转发到该ISP的接入服务器。在业务批发模式下，MA5200G不再根据用户报文的目的IP地址进行传统的路由转发，而是根据用户所属的ISP信息，将其报文统一转发到ISP的接入服务器，由ISP的接入服务器实施业务或进行计费。通过业务批发，可以实现对多ISP业务的支持。多ISP业务也叫虚拟ISP业务，是指在同一个物理网络上，存在多个业务运营商，这些ISP租用基础网络提供商的物理网络进行业务运营。,Page 19,L2TP与BAS的灵活部署,MA5200G预先和各ISP的接入服务器之间建立L2TP隧道。L2TP用户上线时，MA5200G根据用户名中的域名后缀，确定用户所属的ISP。MA5200G将用户报文通过L2TP隧道转发给相应的ISP。,Page 20,L2TP与BAS的灵活部署,Page 21,第2章 二层VPN简介2.1 L2TP2.2 VLL2.3 VPLS,内容介绍,Page 22,MPLS L2 VPN,MPLS L2 VPN的两大类：VLL(Virtual Leased Line)，虚拟租用链路Martini方式(LDP方式)Kompella方式(BGP方式)CCC(Circuit Cross Connect)方式VPLS(Virutal Private LAN Service)，虚拟私有LAN服务,Page 23,MPLS L2VPN-Martini,MPLS网络,B公司总部,PE,MPLS隧道(LSP),MPLS隧道(LSP),PE,MPLS隧道(LSP),A公司分支机构1,A公司分支机构2,A公司总部,B公司分支机构1,B公司分支机构2,外层标签,VC标签,二层头部,数据,PE,draft-martini-l2circuit-trans-mpls,LDP发布VC标签,Page 24,MPLS L2VPN-Martini,在传统的没有MPLS的ATM或FR网络中，二层VPN由虚电路（VC）提供。对于每一条VC，网络中的边缘设备（PE）和核心设备（P）都需要维护完整的VC信息。这样，当运营商要连接PE上的多个CE设备时，需要建立多条VC，因此，在PE和P设备上需要维护许多VC的信息。对于MPLS L2VPN，通过使用标签栈技术，可以在一条LSP中复用多条VC，因此PE只要维护一条LSP信息就可以了，因此大大提高了系统的可扩展性。它也是利用标记栈来实现用户报文在MPLS网络中的透明传送：外层标记（称为tunnel标记）用于将报文从一个PE传递到另一个PE，内层标记（在MPLS L2VPN中，称为VC标记）用于区分不同的VPN中的不同连接，接收方的PE根据VC标记决定将报文传递给哪个CE。,Page 25,MPLS L2VPN-Martini,Martini草案定义了通过建立点到点的链路来实现L2VPN的方法。它以LDP为信令协议来传递双方的VC标记。在运营商网络中，只有PE设备需要保存少量的VC label&LSP的映射等少量信息，P设备不包含任何二层VPN信息，所以扩展性很好。当需要新增加一条VC时，只在相关的两端PE设备上各配置一个单方向VC连接即可，不影响网络的运行。,Page 26,MPLS L2VPN-Martini,Martini方式总结：以LDP为信令传递二层可达信息（VC FEC）和VC Label，以VC-ID标志每个连接，VC-ID在整个SP唯一。点到点连接，Martini方式适合稀疏的二层连接，例如星型连接。不提供本地交换功能存在跨域建立tunnel LSP问题 由于在运营商网络中，只有PE设备需要保存少量的VC label&LSP的映射等少量信息，P设备不包含任何二层VPN信息，所以扩展性很好。此外，当需要新增加一条VC时，只在相关的两端PE设备上各配置一个单方向VC连接即可，不影响网络的运行。,Page 27,MPLS L2VPN-Kompella,MPLS网络,B公司总部,PE,MPLS隧道(LSP),MPLS隧道(LSP),PE,MPLS隧道(LSP),A公司分支机构1,A公司分支机构2,A公司总部,B公司分支机构1,B公司分支机构2,外层标签,VPN标签,二层头部,数据,MP-BGP发布VC标签,PE,draft-kompella-ppvpn-l2vpn,Page 28,MPLS L2VPN-Kompella,象BGP/MPLS VPN一样，各个PE之间通过建立的IBGP会话，可自动发现二层VPN的各个站点。在初始时已经为各CE分配了标签块，通过特定算法可以自动计算出每条连接所需要的标签。二层VPN信息是通过对扩展的BGP在PE之间传播。据此，通过MPLS LSP实现转发。Kompella方式也可以象CCC方式二层连接一样，建立本地连接，PE充当交换机。采用Kompella方式，在全连接的情况下配置很简单。此外，用户可以在一开始，通过过量配置，在以后新增加二层VPN站点时，只配置新站点所连接的PE，而不必配置其它的PEs。,Page 29,MPLS L2VPN-Kompella,Kompella方式总结：以MP-BGP为信令传播二层可达信息和VC Label，以CE-ID标志每个CE。配置简单-自动拓扑发现，全连接网络的配置非常简单。可扩展性强-添加站点只需修改一个PE的配置摆脱二层限制-IP Interworking支持本地交换功能跨域的解决方式与MPLS L3 VPN类似,Page 30,MPLS L2VPN-CCC(交叉电路连接),MPLS网络,B公司总部,PE,LSP,LSP,PE,PE,A公司分支机构1,A公司分支机构2,A公司总部,B公司分支机构1,B公司分支机构2,VC标签,2层头部,数据,LSP,LSP,LSP,星形拓扑总部需要N-1个连接,全网状拓扑每个站点需要N-1个连接,Page 31,MPLS L2VPN-CCC(交叉电路连接),CCC（Circuit Cross Connect）方式可以在两条PE-CE连接之间配置透明的连接。通过这种方式，源CE分组可以被发送到目的CE中去，最多只有二层地址被改变了，而不会有其它任何处理。CCC方式分为本地CCC连接和远程CCC连接。对于本地CCC连接，这两个CE连接到同一个PE设备上，PE设备相当于一个二层交换机。对于远程CCC连接，两个CE连接到不同的PE上，使用PE之间独享的静态LSP作为隧道，不需要任何信令协议传递二层VPN信息。这种情况下，PE转发时使用该LSP对应的标签。这种方式的最大优点是：不需要任何标签信令传递二层VPN信息，只要能支持MPLS转发即可，保证在任何情况下，运营商之间可以进行互连。此外，由于LSP是专用的，可以提供QoS保证。,Page 32,MPLS L2VPN-CCC(交叉电路连接),CCC总结：CCC（Circuit Cross Connect）方式可以在两条PE-CE连接之间配置透明的连接。CCC方式分为本地CCC连接，远程CCC连接及LSP粘合。优点：不需要任何标签信令传递二层VPN信息，只要能支持MPLS转发即可。缺点：需要逐跳配置，一条LSP只能被一条远程CCC连接独享。,Page 33,第2章 二层VPN简介2.1 L2TP2.2 VLL2.3 VPLS,内容介绍,Page 34,MPLS L2 VPN-VPLS,MPLS网络,B公司总部,PE,MPLS隧道(LSP),MPLS隧道(LSP),PE,MPLS隧道(LSP),A公司分支机构1,A公司分支机构2,A公司总部,B公司分支机构1,B公司分支机构2,外层标签,VC标签,MAC头部,数据,LDP发布VC标签(Martini方式),只需要1个连接,只需要1个连接,PE,Page 35,MPLS L2 VPN-VPLS,VPLS是在传统L2 VPN方案的基础上发展而成的。VPLS和传统的二层VPN相比，区别在于：后者是点到点的连接方式，在这种方案中，每台PE设备必须为每条连接分配一个逻辑接口，而VPLS是点到多点的连接方式，它可以在一个逻辑接口中建立多条连接。VPLS是一种结合了以太网与MPLS VPN各自优点的技术，它使得构建跨广域网的ethernet网络或VLAN成为可能。,Page 36,MPLS L2 VPN-VPLS,只能用于以太网和VLAN接入方式PE之间采用Martini方式进行协商PE和CE之间只需要一条链路接入PE内部完成各个VPN的隔离VPLS对于P设备是透明的,Page 37,VPLS典型组网应用传统方式报文在VC上的传输过程,P E,Vlan,:,10,20,.,50,P E,CE,CE,.,.,Vlan,:,20,30,.,60,P,网络,1.1.1.1,2.2.2.2,Page 38,VPLS典型组网应用Q-in-Q方式报文在VC上的传输过程,PE-,A,Vlan,:,10,20,.,50,PE-B,CE1,CE2,.,.,Vlan,:,10,20,.,50,P,网络,Vlan,:,10,20,.,50,.,Vlan,:,10,20,.,50,.,CE,3,CE,4,VC,VLAN 100,VLAN 100,Page 39,MPLS L2VPN的比较,Page 40,MPLS L2 VPN的局限性,标准不统一，各种解决方案之间不能互通各草案本身还不完善缺乏完善的L2 VPN网管系统只支持单一介质的VPN跨域、运营商支持运营商等业务还不成熟,Page 41,第1章 VPN概述第2章 二层VPN简介第3章 BAS备份方案第4章 城域网二层VPN部署方案,内容介绍,Page 42,第3章 BAS备份方案3.1 冷备份方式3.2 自由备份方式3.3 ASSP端口备份方式,内容介绍,Page 43,BAS冷备份方式,在网络上配置相邻两台BAS设备，这两个设备的软硬件配置是完全相同的，但是这两台设备不做物理联接。只有主用BAS连接用户，备用BAS不连接用户。当主用BAS设备故障时，只需要把上下行的物理线路割接到备用的BAS设备上，即可以快速恢复业务，从而实现业务的备份。,Page 44,BAS冷备份方式,优点：此种方案在规划时比较简单，当作单台BAS设备考虑即可。缺点：当主用BAS设备故障时，必须手工切换线路到备用BAS设备，容易出错。同时如果线路比较多，切换速度会比较慢。可管理性不好。,Page 45,第3章 BAS备份方案3.1 冷备份方式3.2 自由备份方式3.3 ASSP端口备份方式,内容介绍,Page 46,自由备份方案就是在网络中同等位置部署两台BAS设备，让用户数据自由选择BAS设备作为网关。例如：有两台主备BAS设备接入PPPoE用户，因为PPPoE客户端发送的第一个报文为广播报文，所以两台BAS设备都可以接收到，客户端选择先响应的那台BAS设备作为网关。主设备故障之后，用户重新拨号，现在只有备用BAS设备会响应，客户端就选择备用BAS设备作为网关，业务可以继续。,BAS自由备份方式,Page 47,BAS自由备份方式,只有备份方式无法支持组播业务。,Page 48,优点：自由备份方案规划和部署都比较简单，用户自由选择BAS设备作为网关。两台设备是负荷分担工作的，如果一台设备故障，它所影响的用户重新拨号即可再次接入网络，不需要人工干预，可管理性比较好。而且BAS设备型号可以不同，而且可以是不同厂商的设备。管理性和扩展性比较好。缺点：不支持组播。两台设备是负荷分担工作的，用户自由选择BAS作为网关，对用户选则哪台BAS作为网关是不可控的。,BAS自由备份方式,Page 49,第3章 BAS备份方案3.1 冷备份方式3.2 自由备份方式3.3 ASSP端口备份方式,内容介绍,Page 50,为了满足客户对BAS设备冗余性的需求，华为公司推出了端口备份方案，即利用ASSP（Access Server Standby Protocol）协议实现BAS备份。ASSP是一种容错协议，用于实现多接入、组播和广播局域网（例如以太网）环境下的接口备份。,BAS端口备份方案,Page 51,类似于VRRP，ASSP也是通过备份组进行备份的。ASSP是把多个设备上的多个接口组成备份组，备份组中的接口根据优先级大小，分别选举出Master接口和Backup接口。当Master接口发生故障时，Backup接口会自动升级成为新的Master接口，继续向网络内的主机提供接口服务，从而实现网络内的主机不间断地与外部网络进行通信。Master 端口发送ASSP（Access Server Standby Protocol）报文的间隔时间可以设置。单位为秒，取值范围1255。缺省值为3 秒。ASSP只支持对以太网接口（FE或GE）和Eth-Trunk接口进行备份。,BAS端口备份方案,Page 52,SFU,SFU,SFU,端口备份,板间备份,设备备份,ASSP,ASSP协议类似于VRRP协议，主用端口故障后，会自动切换到备份端口；可以实现端口备份、板件备份和设备间备份 可以通过多对ASSP端口的设置，实现同一POP点两台BRAS之间的负载分担,BAS端口备份方案,ASSP,ASSP,Page 53,BAS端口备份方案,Page 54,BAS端口备份方案,优点：端口备份方案可以控制哪个BAS设备作为网关。让两台设备负荷分担工作，如果一台设备故障，它所影响的用户重新拨号即可再次接入网络，不需要人工干预，可控制性比较好。支持组播业务。缺点：ASSP是华为专有协议，BAS设备型号必须相同。运行ASSP的端口只能是以太网口。包括：FE、GE和Eth-Trunk端口，而其它接口如POS等目前不支持ASSP。端口备份方案支持单播和组播业务，可以灵活控制用户流量，管理比较方便。,Page 55,第1章 VPN概述第2章 二层VPN的特点第3章 BAS备份方案第4章 城域网二层VPN部署方案,内容介绍,Page 56,城域网业务控制层,城域网核心层,对不同的应用打不同的TAG,HG,DSLAM,DSLAM,SW,SW,BAS,SW,ROUTER,城域网业务接入层,HG,城域网二层VPN部署方案-1,L2TP/PPPOE用户,L2TP/PPPOE用户,VPLS用户,Page 57,城域网二层VPN部署方案-1,适用环境：用户比较少，VLAN规划合理，VLAN数量够用。对业务的可靠性要求不高。可支持组播业务。SW不支持QinQ。BAS/SR ROUTER不能终结两层TAG。,Page 58,城域网业务控制层,城域网核心层,启用灵活QinQ,对去往BAS的业务打两层TAG,其他打一层TAG,对不同的应用打不同的TAG,HG,DSLAM,DSLAM,SW,SW,BAS,SW,ROUTER,城域网业务接入层,HG,城域网二层VPN部署方案-2,L2TP/PPPOE用户,L2TP/PPPOE用户,VPLS用户,Page 59,城域网二层VPN部署方案-2,适用环境：用户比较多，VLAN数量不够用。对业务的可靠性要求不高。可支持组播业务。SW支持QinQ或灵活QinQ。BAS能终结两层TAG。SR ROUTER能终结一层或两层TAG。,Page 60,城域网业务控制层,城域网核心层,启用灵活QinQ,对去往BAS的业务打两层TAG,其他打一层TAG,对不同的应用打不同的TAG,HG,DSLAM,DSLAM,SW,SW,BAS,SW,BAS,两BAS为自由备份方式,城域网业务接入层,HG,城域网二层VPN部署方案-3,VRRP,VRRP,L2TP/PPPOE用户,L2TP/PPPOE用户,VPLS用户,Page 61,城域网二层VPN部署方案-3,适用环境：用户比较多，VLAN数量不够用。对业务的可靠性要求高。不支持组播业务。SW支持QinQ或灵活QinQ。BAS能终结两层TAG。SR ROUTER能终结一层或两层TAG。,Page 62,城域网业务控制层,城域网核心层,启用灵活QinQ,对去往BAS的业务打两层TAG,其他打一层TAG,对不同的应用打不同的TAG,HG,DSLAM,DSLAM,SW,SW,BAS,SW,BAS,城域网业务接入层,HG,城域网二层VPN部署方案-3,VRRP,VRRP,ASSP,ASSP,L2TP/PPPOE用户,L2TP/PPPOE用户,VPLS用户,Page 63,城域网二层VPN部署方案-4,适用环境：用户比较多，VLAN数量不够用。对业务的可靠性要求高。可支持组播业务。SW支持QinQ或灵活QinQ。BAS能终结两层TAG。SR ROUTER能终结一层或两层TAG。,Page 64,谢谢!,