MPLS_L3_VPN高级运用.ppt

MPLS L3 VPN高级运用,1,MPLS技术在网络中大规模的运用，使的服务提供商为客户提供更好的扩展/增值服务。但是要想在众多厂商激烈的竞争中脱颖而出，通过实现MPLS众多功能能够很容易获得成功。,前 言,2,参考资料,VRP5操作手册VPN分册跨域技术白皮书HoPE技术白皮书RFC 2547，RFC 3107,3,学习完此课程，您将会：了解MPLS VPN跨域，HoPE，访问Internet，多主机接入等技术掌握这些技术的细节掌握各项技术在实际中的运用,目 标,4,第1章 跨域解决方案第2章 HoPE解决方案第3章 Internet 连接解决方案,内容介绍,5,MPLS跨域解决方案,随着MPLS-VPN应用范围的扩展，网络规模的扩充，逐渐的出现了在不同的AS之间开通MPLS-VPN业务的需求。目前比较流行的解决方案有三种：VRF-VRF方案“单跳”M-EBGP方案Multi-Hop-EBGP方案,6,VRF-VRF解决方案,VRF-VRF解决方案技术上最简单的，没有在“AS内部的MPLS-VPN”上作任何扩展，完全应用已有技术实现。ASBR对等体间，通过划分子接口方式，每个子接口分别绑定一个VRF，保证域间传播路由的私有性。ASBR对等体间，只运行普通BGP，不运行LDP，交互IPV4路由。每个PE-ASBR路由器都把对方PE-ASBR路由器当做CE路由器看待。比较适合运用在AS域间交互VPN(VRF)数量较少的情况。但是扩展性较差。,7,VRF-VRF组网结构,VPN-A-1,PE-1,VPN-A-2,PE-2,CE-4,VPN-B-1,CE-2,CE-1,CE-3,VPN-B-2,One logical interface&VRF per VPN client,PE-ASBR-1,PE-ASBR-2,AS#100,AS#200,VRF to VRF Connectivity between PE-ASBRs,8,VRF-VRF控制平面,PE-1,PE-2,VPN-B-1,CE-2,CE-3,VPN-B-2,PE-ASBR-1,PE-ASBR-2,152.12.4.0/24,BGP,OSPF,RIPv2 152.12.4.0/24,NH=CE-2,VPN-v4 update:RD:1:27:152.12.4.0/24,NH=PE-1RT=1:222,Label=(29),VPN-B VRFImport routes with route-target 1:222,BGP,OSPF,RIPv2 152.12.4.0/24 NH=PE-ASBR1,VPN-v4 update:RD:1:27:152.12.4.0/24,NH=PE-ASBR-2RT=1:222,Label=(92),VPN-B VRFImport routes with route-target 1:222,BGP,OSPF,RIPv2 152.12.4.0/24,NH=PE-2,9,VRF-VRF转发平面,PE-1,PE-2,VPN-B-1,CE-2,CE-3,VPN-B-2,PE-ASBR-1,PE-ASBR-2,152.12.4.0/24,152.12.4.1,LDP PE-ASBR-2 Label 92 152.12.4.1,152.12.4.1,LDP PE-1 Label 29 152.12.4.1,152.12.4.1,10,“单跳”M-EBGP方案,PE-ASBR对等体之间建立单跳的MP-EBGP邻接体，传递VPN-IPV4路由，不运行IGP和LDP。PE-ASBR对等体之间传递私网路由时，因为EBGP邻居关系，需要改变路由的下一跳，所以需要交换内层标签。接收端PE-ASBR，可以使用next-hop-local命令，强制修改路由的下一跳，同时再次交换内层标签，通告给MP-IBGP邻居。PE-ASBR路由器上需要保存所有域间的私网路由。对于ASBR路由器来说，压力较大。和VRF-VRF方式相比，具有更好的扩展性。,11,“单跳”M-EBGP组网,VPN-A-1,PE-1,VPN-A-2,PE-2,CE-4,VPN-B-1,CE-2,CE-1,CE-3,VPN-B-2,PE-ASBR-1,PE-ASBR-2,AS#100,AS#200,MP-eBGP for VPNv4,Label exchange between Gateway PE-ASBR routers using MP-eBGP,MP-BGP VPNv4 prefix exchange between Gateway PE-ASBRs,12,“单跳”M-EBGP控制平面,PE-1,PE-2,VPN-B-1,CE-2,CE-3,VPN-B-2,PE-ASBR-1,PE-ASBR-2,152.12.4.0/24,BGP,OSPF,RIPv2 152.12.4.0/24,NH=CE-2,VPN-v4 update:RD:1:27:152.12.4.0/24,NH=PE-1RT=1:222,Label=(L1),VPN-v4 update:RD:1:27:152.12.4.0/24,NH=PE-ASBR-2RT=1:222,Label=(L3),BGP,OSPF,RIPv2 152.12.4.0/24,NH=PE-2,VPN-v4 update:RD:1:27:152.12.4.0/24,NH=PE-ASBR-1RT=1:222,Label=(L2),13,“单跳”M-EBGP转发平面,PE-1,PE-2,VPN-B-1,CE-2,CE-3,VPN-B-2,PE-ASBR-1,PE-ASBR-2,152.12.4.0/24,152.12.4.1,LDP PE-ASBR-2 Label L3 152.12.4.1,152.12.4.1,L3,L2,152.12.4.1,LDP PE-1 Label L1 152.12.4.1,152.12.4.1,L1,152.12.4.1,14,“单跳”M-EBGP方案的扩展,“单跳”M-EBGP方案中，PE-ASBR既是BGPV4的ASBR，又是MBGPV4的ASBR。保存所有的公网和私网路由，路由数目巨大。从网络分层角度分析，核心层并不希望维护汇聚层的私网路由，毕竟私网路由条目又多又散。目前许多运营商国干上还没有部署MPLS，但是各省干网络上部署MPLS VPN业务，要实现各省网跨域的MPLS VPN业务的互通，“单跳”M-EBGP方案实现不了。我们假设一下，如果“单跳”能扩展到逻辑链路上，那么MBGPV4 ASBR的位置就比较随意了，BGPv4的ASBR不再必须启动MBGP，也实现了BGPv4 ASBR与MBGP ASBR的分离。流行的扩展解决方案：MPLS-VPN over GRE。,15,MPLS-VPN Over GRE,VPN-A-1,PE-1,VPN-A-2,PE-2,CE-4,VPN-B-1,CE-2,CE-1,CE-3,VPN-B-2,PE-ASBR-1,PE-ASBR-2,AS#100,AS#200,MP-EBGP over GRE for VPNv4,Routing exchange between Gateway PE-PE routers using MP-EBGP over GRE,MP-IBGP&LDP,MP-IBGP&LDP,GRE Tunnel,AS#300,16,Multi-Hop-EBGP方案,“Multi-Hop-EBGP方案”在“单跳M-EBGP方案”的基础上进一步对LDP协议进行了扩展，并且将其应用在了AS边界，从而实现了MBGP部署与传统BGPv4部署的“完全分离”。域间PE之间建立Multi-MP-EBGP邻居关系，传递私网路由。ASBR之间建立普通的EBGP邻居关系“Multi-Hop-EBGP方案”，对于运营商来说，公网ASBR不需要维护任何“私网”信息,17,Multi-Hop-EBGP组网,VPN-A-1,PE-1,VPN-A-2,PE-2,CE-4,VPN-B-1,CE-2,CE-1,CE-3,VPN-B-2,AS#100,AS#200,Muliti-MP-EBGP for VPNv4,Routing exchange between Gateway PE-PE routers using Multi-MP-EBGP,EBGP,PE-ASBR-1,PE-ASBR-2,18,Multi-Hop-EBGP控制平面,PE-1,PE-2,VPN-B-1,CE-2,CE-3,VPN-B-2,PE-ASBR-1,PE-ASBR-2,152.12.4.0/24,BGP,OSPF,RIPv2 152.12.4.0/24,NH=CE-2,VPN-v4 update:RD:1:27:152.12.4.0/24,NH=PE-1RT=1:222,Label=(L1),IPV4 update:1.1.1.1/32,Label=L3 NH=PE-ASBR-2 LDP ASBR-2,Label=L4 NH=X.X.X.X,BGP,OSPF,RIPv2 152.12.4.0/24,NH=PE-2,L0:1.1.1.1/32,LDP,L0:1.1.1.2/32,IPv4 update:1.1.1.1/32 label：L2 NH=PE-ASBR-1,LDP,LDP 1.1.1.1/32 label：L5 NH=PE1,19,PE-1,PE-2,VPN-B-1,CE-2,CE-3,VPN-B-2,PE-ASBR-1,PE-ASBR-2,152.12.4.0/24,152.12.4.1,152.12.4.1,L1,152.12.4.1,Multi-Hop-EBGP转发平面,152.12.4.1,L1,L3,20,第1章 跨域解决方案第2章 HoPE解决方案第3章 Internet 连接解决方案,内容介绍,21,第2章 HoPE解决方案2.1 HoPE技术的背景2.2 HoPE技术的框架结构2.3 HoPE技术的应用,内容介绍,22,HoPE技术的背景,PE越往下移，由于路由更具体，要维护的路由数目更多！,核心层,汇聚层,接入层,PE设备在不同层次间的尴尬处境：接入层：容量小，无法承担。汇聚层：识别用户需要大量(子)接口，用户数目大，而接口数量有限。核心层：用户数目更大，接口数目更少，带宽粒度更粗,PE设备的处境,23,HoPE技术的背景,要求接口数目和存储容量同时增长，最终超出设备能力网络规模扩大，本地和远程站点增加用户，也要求本地PE更多的存储容量解决方法PE扩容、替换增加PE，分别负担一部分VPN用户,问题的出现,这是一种昂贵的解决方案,24,HoPE技术的背景,接入用户需要大量接口，处理用户报文需要大容量的内存和转发能力PE难以同时具备大容量内存和大量接口典型的网络是分层的，边缘接口多，核心容量大MPLS VPN是平面模型，PE无论处于网络中哪个位置，对内存容量的要求基本相同，甚至在PE向边缘扩展时，对内存容量要求更大，而同时网络设备的容量是下降的,原因所在,关键点：MPLS VPN的模型同典型网络的模型不符合,25,HoPE技术的背景,扩展CE的功能，具备VRF能力，称为Multi-VRF CE，简称VCEVCE接入多个VPN用户，模拟多个CE设备VCE同PE通过多个(子)接口连接VCE只需要维护本地Site的路由PE不需要做任何修改,VCE1,VCE2,PE,VPN1 Site1,VPN1 Site2,VPN2 Site1,VPN2 Site2,MPLS网络,Multi-VRF解决方案,26,HoPE技术的背景,在PE和VCE之间上要需要大量的接口、子接口，它们消耗有限的接口资源；在PE、CE上需要配置多个VRF，配置工作量大，而且重复；PE和VCE之间交换路由时，如果使用动态路由协议，需要PE和VCE都运行多个实例，如果使用静态路由，则配置工作量大；PE和VCE如果不是直接连接，而采用隧道接口时，每个VRF需要一个隧道，消耗资源大；VCE之间要相互连接，传递VPN报文，从而减轻PE负担时，每个VRF需要一个接口/子接口最终实现的还是一种单层式的VPN接入，不能解决一个独立的MPLS VPN网络接入问题,Multi-VRF方案的缺陷,27,第2章 HoPE解决方案2.1 HoPE技术的背景2.2 HoPE技术的框架结构2.3 HoPE技术的应用,内容介绍,28,HoPE的框架结构,PE同另外一些PE相连，各有分工，完成传统上一个PE的功能PE之间具有层次结构，直接连接VPN用户的称为UPE(Underlayer PE)，位于网络内部的称为SPE(Superstratum PE)UPE和SPE之间可以直接相连，也可以通过一个IP/MPLS网络相连这种结构称为HoPE(Hierarchy of PE),UPE1,UPE2,SPE,VPN1 Site1,VPN1 Site2,VPN2 Site1,VPN2 Site2,MPLS网络,分层式PE,PE,PE,VPN1 Site3,VPN2 Site3,MP-BGP,MPLS,网络,新的解决方案PE的分层体系结构,29,HoPE的框架结构,UPE仅维护其直接连接的VPN Site的路由，但不维护VPN中其它远程Site的路由；SPE维护其通过UPE所连接的Site所在的VPN中的所有路由，包括本地和远程Site中的路由UPE为其直接连接的Site的路由分配内层标签，并发布给SPE；SPE只发布VRF默认路由给UPE，并携带标签UPE和SPE之间采用标签转发，因而只需要一个(子)接口相互连接。若相隔一个IP/MPLS网络，采用GRE/LSP等隧道连接,UPE和SPE的分工,UPE是一个传统的PE，而SPE要在传统PE的基础上增加功能,30,HoPE的框架结构,数据的转发过程,Site1,Site2,CE1,UPE,SPE1,P,PE2,CE2,Dest/Mask,Dest/Mask,Li,0/0,L0,0/0,Dest/Mask,Dest/Mask,L0,Dest/Mask,Li,Lo,Dest/Mask,Li,Dest/Mask,SPE1发布VPN默认路由给UPE，并携带一个内层标签,Site1访问Site2中的目的地址根据默认路由转发到UPE,PE2为这个路由分配内层标签,CE2发布Site2中的一个路由,根据VPN默认路由PUSH内层标签转发到SPE1,POP默认路由对应的内层标签，查看对应的VRF路由表PUSH内外层标签,倒数第二跳POP外层标签,POP内层标签,UPE发布默认路由给CE1,31,HoPE的框架结构,数据的转发过程,Site1,Site2,CE1,UPE,SPE1,P,PE2,CE2,Dest/Mask,Dest/Mask,Li2,Dest/Mask,Li1,Dest/Mask,Dest/Mask,Dest/Mask,Li1,Dest/Mask,Li2,Dest/Mask,Li2,Lo,Dest/Mask,CE1发布Site1中的一个路由,UPE为路由分配内层标签发布给SPE1,SPE1将UPE分配的标签替换为另外一个内层标签,PE2发布不带标签的路由给CE2,POP内层标签转发到CE1,倒数第二跳POP外层标签,SWAP内层标签,查找VRF路由表PUSH内外层标签,查找路由表转发到PE2,32,HoPE的框架结构,采用MP-BGP协议分布VPN-IPv4路由SPE和UPE属于同一个运营商，采用MP-iBGP，SPE作为RRSPE和UPE属于不同运营商，采用MP-eBGP，UPE一般使用私有AS号码SPE根据UPE上VRF import route-target list的合集构造全局import route-target listUPE通过ORF机制传递import route-target list，SPE自动生成SPE上手工生成,VRF1Import route-target 100:1,VRF2Import route-target 200:1,GlobalImport route-target 100:1,200:1,UPE,SPE,VPN路由(标签)ORF(扩展团体列表),VRF默认路由(标签),SPE-UPE协议,33,HoPE的框架结构,通过任何形式的接口/子接口连接通过隧道接口连接MP-BGP可以跨越多跳采用LSP时，UPE/SPE运行LDP/RSVP-TE,专线,LSPGRE隧道,SPE,UPE,UPE,一对SPE/UPE间只需要一个连接,SPE-UPE连接,34,HoPE的框架结构,一个分层PE作为UPE(SPE)同另外一个SPE(UPE)组成新的分层PE中间的PE称为MPESPE在连接一个分层PE的同时，可以连接单个的UPE,分层PE的嵌套,无穷嵌套,SPE,VPN1,Site1,VPN1,Site2,VPN2,Site1,VPN2,Site2,UPE,MPE,VPN1,Site3,VPN2,Site3,UPE,UPE,VRF默认路由,VRF默认路由,VRF默认路由,VRF默认路由,35,HoPE的框架结构,UPE同多个SPE连接多个SPE都向UPE发布VRF默认路由，UPE选择其中一个作为优选路由，或者选择多个路由进行负载分担UPE向多个SPE发布其VPN路由，可以全部发布给所有SPE，也可以给每个SPE发布一部分VPN路由，从而形成负载分担,SPE2,UPE,SPE1,VRF默认路由,VPN1Site,VPN2Site,VPN1路由,VPN2路由,多归路的UPE,VRF默认路由,36,HoPE的框架结构,SPE在连接UPE的同时，仍然能连接CE同一个VPN的site通过SPE互通,UPE,SPE,VPN1Site2,VPN2Site2,CE,VPN1Site1,SPE同时连接UPE和CE,37,HoPE的框架结构,UPE间建立后门连接，VPN站点通过这个连接直接通信，不需要通过SPEUPE间通过MP-BGP对等，交换路由UPE间可以跨越一个网络,UPE2,SPE,VPN1Site2,VPN2Site2,UPE1,VPN1Site1,VPN2Site1,后门连接,MP-BGP,UPE之间的后门连接,38,HoPE的框架结构,SPE和UPE之间只需要一个接口/子接口，节约有限的接口资源；SPE不需要重复配置UPE上已经配置的VRF，配置工作量小；SPE和UPE通过动态路由协议MP-BGP交换路由、发布标签，每一个UPE只要运行这样的一个对等体，协议开销小，配置工作量小；SPE和UPE可以通过隧道接口连接，从而可以跨越一个网络。特别的，这可以是一个MPLS网络，在分层部署MPLS VPN时，有良好的可扩展性；UPE之间的后门连接，可以减轻SPE的负担，并且UPE之间只需要一个接口/子接口；,最完善的解决方案,BGP/MPLS VPN可以逐层部署。当UPE的性能不够的时候，可以添加一个SPE，将UPE的位置下移。当SPE的接入能力不足的时候，可以为其添加UPE,39,第2章 HoPE解决方案2.1 HoPE技术的背景2.2 HoPE技术的框架结构2.3 HoPE技术的应用,内容介绍,40,HoPE的应用,MPLS骨干网,UPE,VPN1Site1,VPN2Site1,MPE,VPN1Site1,VPN2Site1,VPN1Site1,VPN2Site1,VPN1Site1,VPN2Site1,SPE,省,地市,县,SPE,SPE,R3680R2630,NE08/NE05R3680,NE80/NE40/NE20/NE20sNE16/08/05,金融/政务网的应用,41,HoPE的应用,路由容量不足,接口数目不足,路由容量不足,接口数目不足,汇聚(PE),核心,接入,汇聚(UPE),核心(SPE),接入,NE16/08S8016,C75XXC6509,NE16/08S8016,C75XXC6509,NE16/08S8016,C75XXC6509,NE80,汇聚(MPE),核心(SPE),汇聚(SPE),核心,接入(UPE),NE16/08S8016,C75XXC6509,接入(UPE),NE80,NE05R3680,NE05R3680,在城域网中的应用,42,HoPE的应用,城域网A,城域网B,骨干网,ASBR/RRUPE,NE80/40/20NE16/08,ASBRSPE,域内全部路由,VRF默认路由,VRF默认路由,域内全部路由,NE80,在城域网-骨干网跨域应用,43,第1章 跨域解决方案第2章 HoPE解决方案第3章 Internet 连接解决方案,内容介绍,44,VPN用户Internet接入,中心CE配置默认路由访问internet,并将默认路由分发到其它的站点中心CE部署防火墙 对所有站点进行安全保护对SP而言，Internet流量属于VPN中的一部分,MPLS VPN,骨干网,CE2,VPNA,VPNA,CE3,CE1,VPNA,PE1,PE3,PE2,Eudemon,Option1:中心CE接入,45,VPN用户Internet接入,每个CE独立配置默认路由到intenetInternet流量不穿越SP Core每个site独立部署自己的防火墙,MPLS VPN,骨干网,CE2,VPNA,VPNA,CE3,CE1,VPNA,PE1,PE3,PE2,Eudemon,Eudemon,Eudemon,Option2:独立CE接入,46,VPN用户Internet接入,Internet相当于一个独立的Extranet VPN(Central Service)通过默认路由或者EBGP路由抵达Internet部署防火墙实施安全保护,MPLS VPN,骨干网,CE2,VPNB,CE3,VPNA,PE1,PE3,PE2,Option3:PE接入（专用VRF）,Eudemon,VRF internet,47,VPN用户Internet接入,Option4:PE接入 Internet路由通过全局路由表提供PE-CE之间采用逻辑子接口,MPLS VPN,骨干网,VPNA,PE1,PE3,PE2,Eudemon,CE,VPNA,CE,Internet 流量,VPN 流量,48,Internet 接入(Option4),CE上拥有通往Internet的默认路由以及VPN路由Internet路由通过全局路由表提供internet路由通过传统Hop by Hop方式传递 P接收internet路由（不推荐）internet路由通过LSP隧道传递,P不接收internet路由(安全性高 推荐)来自internet的恶意的大量的流量会使得PE-CE链路饱和，从而使得正常的VPN数据包无法传输P2P链路不支持子接口,49,VPN用户Internet接入,Option5:PE接入 Internet路由通过全局路由表提供PE-CE之间采用独立链路,MPLS VPN,骨干网,VPNA,PE1,PE3,PE2,Eudemon,CE,VPNA,CE,Internet 流量,VPN 流量,50,VPN用户Internet接入,MPLS VPN,骨干网,VPNA,PE1,PE3,PE2,Eudemon,CE,VPNA,CE,Option6:PE接入 路由泄漏方式,Global Routing,VRF Routing,51,Internet 接入(Option6),路由泄漏方式从VPN到internet（将Internet路由泄漏到私网）ip route-static vpn-instance VPNA 0.0.0.0 0.0.0.0 y.y.y.y public 从internet到VPN（Return Traffic）PBR（配置复杂 容易引起配置错误）将VPN路由泄漏到Internet（配置复杂 安全性低）采用NAT方式（推荐使用）,52,第1章 跨域解决方案第2章 HoPE解决方案第3章 Internet 连接解决方案,内容介绍,53,跨域，HoPE，访问Internet，等技术是非常实用的技术，是MPLS技术的扩展，很好的解决了现有网络中存在的许多问题。我们要掌握这些技术的细节，以便在将来的使用或者Troubleshooting中得心应手。,小结,