《【H3C精品PPT】构建安全优化的广域网CSOW之BGP MPLS VPN技术扩展(1).ppt》由会员分享,可在线阅读,更多相关《【H3C精品PPT】构建安全优化的广域网CSOW之BGP MPLS VPN技术扩展(1).ppt(23页珍藏版)》请在三一办公上搜索。
1、BGP MPLS VPN技术扩展,日期:,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,构建安全优化的广域网 1.0,BGP MPLS VPN技术解决了传统VPN的问题,然而BGP MPLS VPN的基本组网模式会导致公网结构扁平化。在公网上,接入层PE与核心层PE承受着相同的路由压力,不符合常见的层次化网络模型,限制了网络的规模。,引入,了解BGP MPLS VPN基本组网的缺陷掌握MCE及HOPE技术原理熟悉MCE及HOPE技术的优缺点及各自适合的应用场景,课程目标,学习完本课程,您应该能够:,BGP MPLS VPN基本组网的缺陷 MCE HOPE BGP MPLS VPN
2、技术扩展,目录,常见网络的层次结构模型,BGP MPLS VPN技术除了被用于运营商外,目前更广泛的应用与企业网用户,用户企业网用户不同业务类型直接的访问和控制,如电力、政府等。企业网组网的广域网结构通常为层次结构,分为核心 层、汇聚层、接入层,通过路由的规划和设计,各个层次的设备性能要求由高到低分布。,接入层,汇聚层,核心层,高速数据交换,路由汇聚及流量收敛,工作组接入和访问控制,BGP MPLS VPN基本组网缺陷,用户的局域网从各个层次接入广域网,每个局域网中拥有不同的业务,应用BGP MPLS VPN时广域网从接入层到核心层都是PE设备;作为PE设备将存在以下两个共同的要求:,必须学习
3、全网所有PE设备loopback接口地址的明细路由,并建立到达所有PE的LSP隧道私网路由从任何一台PE发布后,不能在任何其他PE设备上进行汇聚,核心层PE与接入层PE私网路由相当,当用户网络规模较大时,接入层的低端设备性能不能满足BGP MPLS VPN网络性能要求。,BGP MPLS VPN基本组网的缺陷 MCE HOPE BGP MPLS VPN技术扩展,目录,MCE组网,普通MPLS组网,MCE组网,公网,私网,公网,私网,PE,PE,PE,PE,PE,PE,PE,CE,CE,VPN1,VPN2,CE,CE,VPN1,VPN2,PE,PE,PE,MCE,MCE,MCE,MCE,MCE技
4、术实现,CE,CE,VPN1,VPN2,PE,MCE,MCE即Muti-VRF CE(多实例CE)。MCE设备只需要支持多VRF技术,无需支持MPLS技术和MP-BGP技术,通过多VRF技术,MCE可以接入多个VPN用户,并根据用户的RT设计保证本地VPN的互访控制。PE和MCE之间为MCE接入的每一个VPN建立一个独立的逻辑通道,每个逻辑接口与各自的VPN绑定,PE上看类似每个逻辑接口下连接了一台CE设备。MCE设备通过多VRF技术将各个VPN独立开来。,MCE技术配置,CE,CE,VPN1,VPN2,PE,MCE,PE设备配置,MCE设备配置,interface Ethernet0/1.1
5、 ip binding vpn-instance vpn1 ip address 192.168.1.1 255.255.255.252#interface Ethernet0/1.2 ip binding vpn-instance vpn2 ip address 172.32.1.1 255.255.255.252,PE1:,ospf 11 vpn-instance vpn1 area 0.0.0.0 network 192.168.1.0 0.0.0.3#ospf 12 vpn-instance vpn2 area 0.0.0.0 network 172.32.1.0 0.0.0.3,in
6、terface Ethernet0/0.1 ip binding vpn-instance vpn1 ip address 192.168.1.2 255.255.255.252#interface Ethernet0/0.2 ip binding vpn-instance vpn2 ip address 172.32.1.2 255.255.255.252,PE1:,ospf 11 vpn-instance vpn1 area 0.0.0.0 network 192.168.1.0 0.0.0.3 network 192.168.254.0 0.0.0.255#ospf 12 vpn-ins
7、tance vpn2 area 0.0.0.0 network 172.32.1.0 0.0.0.3 network 172.32.254.0 0.0.0.255,E0/0.1,E0/1.1,E0/1.2,E0/0.2,192.168.254.1/30,172.32.254.1/30,192.168.1.1/30,172.32.1.1/30,接口配置,路由配置,接口配置,路由配置,MCE技术优劣分析,MCE的技术优势:作为MCE的设备功能要求低,仅需支持多VRF,无需支持MP-BGP及MPLS等PE设备需要支持的技术;原网络上的设备无需新增任何技术,天然支持;作为MCE的设备性能要求低,公司网
8、路由数量均得到控制,MCE无需学习公网路由,PE设备可将各个VPN的私网路由进行聚合再发送给MCE设备。MCE的技术劣势:MCE设备与PE设备之间需要实现逻辑多通道,非GE或FR等的可逻辑多通道的接口可能无法支持;当MCE设备接入的VPN的数量较多时,PE和MCE设备之间的逻辑通道数量增加,需分配较多的私网互联地址,切配置维护均烦杂;MCE设备原属于公网边缘,可能公网的网关设备需要对其进行管理,需要在PE和CE之间开设公网管理通道。,BGP MPLS VPN基本组网的缺陷 MCE HOPE BGP MPLS VPN技术扩展,目录,HOPE组网,普通MPLS组网,HOPE组网,公网,私网,PE,
9、PE,PE,PE,PE,PE,PE,CE,CE,VPN1,VPN2,公网,私网,PE,SPE,SPE,UPE,UPE,UPE,UPE,CE,CE,VPN1,VPN2,HOPE技术实现,HOPE(Hiberarchy of PE)即分层PE。HOPE技术对原BGP MPLS VPN技术中的PE角色进行了改进,分成了SPE(Underlayer PE)和UPE(Superstratum PE)。为减轻网络边缘的UPE设备的负担,SPE将只向UPE发送缺省的私网路由,缺省路由的下一跳为SPE。私网报文在UPE上根据缺省路由到达SPE设备,在SPE上重新查询私网路由表转发。,SPE,UPE,CE,CE
10、,VPN1,VPN2,HOPE SPE对UPE的路由发布,VPN1,VPN2,CE1,CE2,UPE,PE,SPE,S1/1,S0/1,eth0/1,eth0/2,eth1/1,PE,PE,PE,10.0.0.1/24 1.1.1.2,destination,next-hop,VPN1 路由表,私网OUT标签,1024,RD,100:1,10.1.0.1/24 1.1.1.3,10.2.0.1/24 1.1.1.4,1031,1029,100:1,100:1,聚合,Loopback0=1.1.1.1/32,发布,SPE将私网路由进行聚合再发布给UPE。,HOPE UPE的报文转发,VPN1,V
11、PN2,CE1,CE2,UPE,PE,SPE,S1/1,S0/1,eth0/1,eth0/2,eth1/1,PE,PE,PE,Loopback0=1.1.1.1/32,CE1,针对PE1的loopback地址路由1.1.1.1/32形成的标签转发表项,D:10.1.0.1,Date,S:192.168.0.1,(1),3,1024,从UPE发送出来的私网报文,查询路由下一跳,隧道的终点就是SPE设备。,HOPE SPE的报文转发,VPN1,VPN2,CE1,CE2,UPE,PE,SPE,S1/1,S0/1,eth0/1,eth0/2,eth1/1,PE,PE,PE,VPN1 路由表,Loopb
12、ack0=1.1.1.1/32,CE1,NULL,IN,next-hop,OUT,36,S0/1,3,NULL,Loopback0,10.0.0.1/24 1.1.1.2,destination,next-hop,VPN1 路由表,私网OUT标签,1024,RD,100:1,10.1.0.1/24 1.1.1.3,10.2.0.1/24 1.1.1.4,1031,1029,100:1,100:1,D:10.1.0.1,Date,S:192.168.0.1,(2),D:10.1.0.1,Date,S:192.168.0.1,(2),3,针对P远端E的loopback地址路由1.1.1.3/32形
13、成的标签转发表项,1031,在SPE上重新查询私网路由表进行转发,私网报文在SPE重新查询私网路由表,进入另一公网隧道。,HOPE技术配置,SPE,UPE,CE,CE,VPN1,VPN2,SPE配置:,UPE配置:,SPE bgp 100SPE-bgp ipv4-family vpnv4SPE-bgp-af-vpnv4 peer 1.1.1.2 upe SPE-bgp-af-vpnv4 peer 1.1.1.2 default-originate vpn-instance vpnaSPE-bgp-af-vpnv4 quit,UPE bgp 100UPE-bgp peer 1.1.1.1 as-
14、number 100UPE-bgp peer 1.1.1.1 connect-interface loopback 1UPE-bgp ipv4-family vpnv4UPE-bgp-af-vpnv4 peer 1.1.1.1 enableUPE-bgp-af-vpnv4 quitUPE-bgp quit,Loopback0=1.1.1.2/32,Loopback0=1.1.1.1/32,HOPE技术优劣势,HOPE的优势:作为UPE设备每个VPN仅需学习一条缺省路由,且因为私网路由的下一跳是SPE,所以公网上SPE也只需学习SPE的loopback地址,性能压力大幅度降低;网络结构不变,公网
15、和私网分界不变,设备管理无需特殊部署;SPE和UPE之间无需建立多个逻辑通道,配置维护简单。HOPE的劣势:SPE设备需要支持HOPE技术,向UPE设备发布下一跳为自己的私网缺省路由,这不是MP-BGP技术本身可实现的部分,目前业界只有少数厂家可以支持该技术;UPE设备只能收到缺省路由,其VPN的互访控制由SPE上对应的VPN来决定。,BGP MPLS VPN基本组网的缺陷 MCE HOPE BGP MPLS VPN技术扩展,目录,BGP MPLS VPN技术扩展,BGP MPLS VPN技术除了扩展了MCE和HOPE两个技术外,还有很多相关的技术,基本结构如下:,BGP MPLS VPN,L2 BGP MPLS VPN,L3 BGP MPLS VPN,VLL,VPLS,单播 BGP MPLS VPN,组播 BGP MPLS VPN,MCE/HOPE,BGP MPLS VPN跨域,BGP MPLS VPN组网扁平化产生的原因以及导致的后果。MCE与HOPE技术的应用及配置。BGP MPLS VPN除了扩展MCE与HOPE技术,还包括很多其他的技术。,本章总结,