《MPLS VPN解决方案技术讨论.ppt》由会员分享,可在线阅读,更多相关《MPLS VPN解决方案技术讨论.ppt(27页珍藏版)》请在三一办公上搜索。
1、MPLS VPN解决方案技术讨论,华为公司北京研究所,交流提纲,主要解决方案:MPLS VPN的网络组织结构-HOVPNVPN客户同时访问INTERNET跨AS 的VPN互连,跨越公网的互连对于特殊接入用户的接入-多角色主机技术,分层VPN(HOVPN),MPLS VPN中分层VPNHoVPN解决方案从跟随者到领导者的转变,HOVPN解决的问题:谁可以做PE?,接入层:容量小,无法承担汇聚层:识别用户需要大量(子)接口,用户数目大,而接口数量有限。核心层:用户数目更大,接口数目更少,带宽粒度更粗PE越往下移,由于路由更具体,要维护的路由数目更多!,核心层,汇聚层,接入层,MPLS VPN标准的
2、拓扑结构,P:Provider routerPE:Provider Edge routerCE:Customer Edge router,MPLS CORE,MPLS EDGE,PE,P,P,P,PE,PE,CE,CE,CE,CE,CE,CE,VPNA Site110.1.0.0/16,VPNA Site210.2.0.0/16,VPNB Site210.4.0.0/16,VPNB Site110.1.0.0/16,VPNB Site310.5.0.0/16,VPNA Site310.3.0.0/16,MPLS VPN框架结构,华为HOVPN结构,一个VPN网络下面连接了多个VPN网络VPN网
3、络之间具有层次结构,直接连接VPN用户的PE设备称为UPE(Underlayer PE),位于网络内部的PE设备称为SPE(Superstratum PE)UPE和SPE之间可以直接相连,这样相当于上层VPN下直接连了多个PE设备作为接入设备,也可以通过一个IP/MPLS网络相连这种结构称为HoVPN(Hiberarchy of VPN),分层VPN网络的功能划分,下层VPN网络:仅维护其所在的VPN网络的路由,但不维护上层VPN中的许多具体其它远程Site的路由,重要是充当VPN的接入网络,对设备的接口密度和接入能力要求比较高上层VPN网络:维护整个MPLS VPN网络的路由,另外承当了骨干
4、交换网络的功能,对设备的转发性能要求较高这样整个MPLS VPN网络的拓扑结构就和现在的IP网络的拓扑结构很相似,特别利于网络的大规模拓展,SPE-UPE连接,通过任何形式的接口/子接口连接通过隧道接口连接MP-BGP可以跨越多跳采用LSP时,UPE/SPE运行LDP/RSVP-TE一对SPE/UPE间只需要一个连接,专线,LSPGRE隧道,SPE,UPE,UPE,HOVPN的优势,解决了MPLS VPN的扩展性问题完全符合典型分层网络模型MPLS到边缘无限扩展、无限延伸跨AS完美解决,HOVPN政府/金融/行业,MPLS骨干网,UPE,VPN1Site1,VPN2Site1,MPE,VPN1
5、Site1,VPN2Site1,VPN1Site1,VPN2Site1,VPN1Site1,VPN2Site1,SPE,省,地市,县,SPE,SPE,R3680R2630,NE08/NE05R3680,NE80/NE40/NE20/NE20sNE16/08/05,骨干网/城域网HOVPN应用,路由容量不足,接口数目不足,路由容量不足,接口数目不足,汇聚(PE),核心,接入,汇聚(UPE),核心(SPE),接入,NE16/08NE40,C75XXC7600,NE16/08NE40,C75XXC7600,NE16/08NE40,C75XXC7600,NE80,汇聚(MPE),核心(SPE),汇聚(
6、SPE),核心,接入(UPE),NE16/08NE40,C75XXC7600,接入(UPE),NE80,NE05R3680,NE05R3680,交流提纲,主要解决方案:MPLS VPN的网络组织结构-HOVPNVPN客户同时访问INTERNET跨AS 的VPN互连,跨越公网的互连对于特殊接入用户的接入-多角色主机技术,L3 VPN Internet访问,Internet,1.集中式方案CE运营商对访问internet的流量统一控制,2.分布式方案CE各VPN用户分别控制本VPN站点访问internet的流量,3.NAT多实例PEVRF可以配置一个独立的NAT实例,交流提纲,主要解决方案:MPL
7、S VPN的网络组织结构-HOVPNVPN客户同时访问INTERNET跨AS 的VPN互连,跨越公网的互连对于特殊接入用户的接入-多角色主机技术,多角色主机解决方案,客户端选择方式L2TP接入PEPPPOE接入PE802.1X与VPN的映射VLANWeb PE选择方式基于ACL识别VPN,客户端选择方案,PE根据用户名和密码动态导入不同的VPN,分配不同的IP地址。,PE,多角色主机,VLAN,Radius/CAMS,MPLS VPN,L2TP,ACCESS MPLS VPN的典型应用L2TP适配器可以代替真实网卡利用L2TP认证机制实现VPN动态选择,主机通过L2TP隧道接入,LNS,多用途
8、服务器,为多用途服务器配置VRF。配置Firewall保护服务器。,PE,共享服务器,MPLS VPN,多个VPN共享,位置固定、角色固定。为多用途服务器配置一个专用VRF,与多个VPN交换路由。多用途服务器IP地址全局唯一。对服务器增加安全保护。,VRF,Firewall,交流提纲,主要解决方案:MPLS VPN的网络组织结构-HOVPNVPN客户同时访问INTERNET跨AS 的VPN互连,跨越公网的互连对于特殊接入用户的接入-多角色主机技术,企业MPLS VPN跨越公网,方案一:L3 VPN Over IPSEC/GRE方案二:L3 VPN Carriers Carrier解决方案方案三
9、:L3 VPN Over L2 VPN,企业MPLS VPN跨越公网(一),IP,IPSec/GRE,MPLS承载在IPSEC隧道上。,MPLS VPN OVER IPSEC/GRE,Internet,OA,OA,财务,市场,财务,市场,PE,PE,企业总部,企业分支,MPLS LSP,企业MPLS VPN跨越公网(二),VPN LSP,L3 VPN Over L2 VPN,运营商,OA,OA,财务,市场,财务,市场,PEL3,PEL3,企业总部,企业分支,PEL2,PEL2,Tunnel LSP,MPLS LSP,企业MPLS VPN跨越公网(三),外层LSP,L3 VPN Carriers
10、 Carrier解决方案,OA,OA,财务,市场,财务,市场,内层LSP,企业总部,企业分支,中间层LSP,运营商,一级PE,一级PE,二级PE,二级PE,Carriers Carrier方案L3 VPN,一级运营商,VPNA,二级运营商A,VPNA,VPNB,二级运营商A,VPNB,MP-IBGP/Remot-Peer LDP,LDP,LDP,IBGP,LDP,一级PE,一级PE,一级CE,一级CE,二级PE,二级PE,二级运营商可以提供L2&L3 VPN,MPLS/BGP VPN的跨域问题,在MPLS技术体系中,MPLS域与路由的AS是重叠的。但实际组网中,经常有MPLS域跨越多个AS的情况:运营商网络一个省为一个AS,要求跨省提供MPLS VPN业务;运营商之间相互合作(特别是国际业务上,与国外运营商之间的合作)为了实现这些业务,MPLS VPN就必须解决跨域的问题。跨域问题有两个方面:技术问题:如何把VPN-IPv4路由和VPN标记扩散到另一个AS;管理问题:一般不允许跨域建立LSP(对于运营商合作的情况特别重要),跨域解决方案1VRF to VRF,跨域解决方案2EBGP携带VPN-IPv4路由,跨域解决方案 MULTI-HOP BGP,VPNA,VPNB,
