《DA000017 MPLS VPN(L3)ISSUE1.0.ppt》由会员分享,可在线阅读,更多相关《DA000017 MPLS VPN(L3)ISSUE1.0.ppt(41页珍藏版)》请在三一办公上搜索。
1、DA000016 MPLS VPN(L3),1.0,课程内容,第一章 VPN 概述第二章 MPLS L3 VPN 转发过程第三章 跨AS的MPLS L3 VPN 实现第四章 MPLS L3 VPN Internet 连接,VPN的分类,VPN:Virtual Private Network,VPN的定义(1),IP-VPN:利用IP设施(包括公用的Internet或专用的IP骨干网等)实现专用广域网设备专线业务(远程拨号、DDN等)的业务仿真。Network-Based IP-VPN:基于网络的IP-VPN是指将关于VPN的维护等外包给运营商实施(也允许用户在一定程度上进行业务管理和控制),并
2、且将其功能特性集中在网络侧设备实现。隧道(Tunnel):是利用一种协议来传输另外一种协议的一种技术,主要利用隧道协议来实现这种功能;隧道技术涉及了三种协议,隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。,VPN的定义(2),VLL(Virtual Leased Line):虚拟租用线业务,它通过运营商的边缘节点向用户提供两个CPE设备间的点到点连接业务。VPDN(Virtual Private Dial Network):虚拟专用拨号网,远端用户通过PSTN/ISDN拨入公共IP网,并将数据包隧穿公网以传送至目的网络VPLS(Virtual Private LAN Segme
3、nts):VPLS是利用公共IP资源建立局域网的一种虚拟方法,其组网是建立在MAC层转发,对网络层协议是完全透明的。是一种二层VPNVPRN(Virtual Private Routed Network):VPRN被定义为通过公用IP网络进行多站点广域路由网络业务的一种仿真,VPN 的数据包在网络层转发,使用GRE构建VPN,10.0.1.1/24,10.0.0.0/24,10.0.0.0/24,129.0.0.2/30,129.0.0.1/30,129.0.1.1/30,129.0.1.2/30,公网IP网络,129.0.2.2/30,129.0.2.1/30,129.0.3.1/30,12
4、9.0.3.2/30,GRE隧道,GRE隧道,10.0.1.1/24,10.0.1.2/24,10.0.1.2/24,Rt1,Rt2,HQ1,HQ2,建设这样的网络只需要在每一个网络的接入路由器上作配置运营商网络无需知晓VPN内部路由不同VPN可以采用相同地址空间转发效率低,MPLS VPN 网络结构,CE(Custom Edge):直接与服务提供商相连的用户设备。PE(Provider Edge Router):指骨干网上的边缘路由器,与CE相连,主要负责VPN业务的接入。P(Provider Router):指骨干网上的核心路由器,主要完成路由和快速转发功能。,网络拓扑结构1,一个site
5、只属于一个VPN:Intranet,网络拓扑结构2,MPLS VPN 的特点,在这种网络构造中,由服务提供商向用户提供VPN服务,用户感觉不到公共网络的存在,就好像拥有独立的网络资源一样。P 路由器,也不需要知道有VPN的存在,仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议,并使能该协议。所有的VPN的构建、连接和管理工作都是在PE上进行的。网络配置简单可以直接利用现有路由协议而无需任何改动MPLS VPN网络具有良好的可扩展性可实现具有QOS和TE的VPN,课程内容,第一章 VPN 概述第二章 MPLS L3 VPN 转发过程第三章 跨AS的MPLS L3 VPN 实现第四章 M
6、PLS L3 VPN Internet 连接,PE和CE设备之间的关系,PE,C,PE,CE,CE,Site,-,2,Site,-,2,Site,-,1,Site,-,1,EBGP,RIP,Static,PE 和 CE routers 通过EBGP、RIP和静态路由交换信息,CE 运行标准路由协议PE 维护独立的路由表:公网和私网公网路由表,包含全部PE和P路由器的路由,由VPN的骨干网IGP产生 VRF(VPN routing&forwarding),包含到一个或多个直接相连的CE的路由和转发表;VRF可以与任何类型接口绑定在一起;如果直接相连的site属于同一VPN,那这几个接口可以使用同
7、一个VRF,VPNA,VPNB,VRF for VPNA,VRF for VPNB,Global route,VRF,VRF-VPN路由转发实例(VPN Routing&Forwarding Instance)每一个VRF可以看作虚拟的路由器,好像是一台专用的PE设备。该虚拟路由器包括如下元素:一张独立的路由表,当然也包括了独立的地址空间。一组归属于这个VRF的接口的集合。一组只用于本VRF的路由协议。对于每个PE,可以维护一个或多个VRF,同时维护一个公网的路由表(也叫全局路由表),多个VRF实例相互分离独立。其实实现VRF并不困难,关键在于如何在PE上使用特定的策略规则来协调各VRF和全局
8、路由表之间的关系。,VRF 路由的发布,PE,PE,CE Router,CE Router,P Router,Site,Site,MP,-,iBGP,PE路由器通过MPLS/VPN骨干网发布本地的VPN路由信息。发送端 PE通过使用 MP-iBGP 将VRF路由从本地发布出去(带有export-target属性)接收端 PE 将路由引入到所属的VRF中(有相匹配的import-target属性),MBGP,MBGP(Multiprotocol Extensions for BGP-4)BGP-4仅仅支持IPv4,MBGP是为了让BGP可以用于传输更多协议(IPv6,IPX,.)的路由信息而进行
9、的扩展。为了保持兼容性,MBGP仅仅添加了两个BGP属性:MP_REACH_NLRI、MP_UNREACH_NLRI,这两个属性可以用在BGP Update消息中用于通告或废止网络可达性信息。,MBGP:MP_REACH_NLRI,MBGP:MP_UNREACH_NLRI,标签映射消息携带在MP_REACH_NLRI属性中Address Famaily Identifier和Subsequent Address Family Identifier 一起用于指示该属性通告的可达性信息所属的地址族,AFI为1、SAFI为128指示随后通告的是VPN-IPV4可达性信息及与其绑定的MPLS标记Len
10、gth of Nexthop Network Address和Network Address of Nexthop是路由信息的下一跳,下一跳确定规则服从通常的BGP关于下一跳的规则,VPNv4和IPv4 地址族,为了解决不同的VPN可以使用相同的地址空间的问题,引入了新的地址族VPNv4。而原来的标准的地址族就称为IPv4。VPNv4 地址族主要用于PE路由器之间传递VPN路由由于RD在不同的VPN间具有唯一性。如果两个VPN使用相同的IP地址,PE路由器为它们添加不同的RD,转换成唯一的VPN-v4地址,不会造成地址空间的冲突。PE从CE接收的标准的路由是IPv4路由,如果需要引入VRF路由
11、表并发布给其他的路由器,此时需要附加一个RD。建议相同VPN的RD配置成相同的。,Route Distinguisher(8个字节),IPv4 地址,VPNV4地址结构:,MPLS/VPN RD,RD的格式:16位自治系统号ASN:32位用户自定义数,例如:100:12位IP地址:16位用户自定义数,例如:172.1.1.1:1一般为一个site分配唯一一个RD,它是VRF的标识符公网和私网的区别:公网路由表有IGP路由产生,可能包含BGP-4(IPv4)路由,但不会有VPN路由VRF路由表包含特定 VPN 路由,可能有MP-iBGP 路由引入到VRF中的路由,也可能有vrf路由实例从CE 获
12、得的路由,RD的结构:,携带标签映射消息,这里可以携带多个Label,每个Label的前20位是标签,后4位则的前3位是EXP域,最后一位用于指示是否是栈底必须注意这个标签必须是由MP_REACH_NLRI 属性中Next-Hop所指LSR所分配。可以有两种办法废除路由信息(同时也解除了标签绑定)对同一个目标再次发布不同的路由(和一个新的Label)用Withdraw消息将MP_UNREACH_NLRI将这个目的包含于其中,Network Layer Reachability Information:,Route Target,RT 使用了BGP的扩展community属性,并且起了一个新名字
13、:RT(Route Target)扩展的community有如下两种格式:其中type字段为0 x0002或者0 x0102时表示RT。,RT的本质,RT的本质是每个VRF表达自己的路由取舍及喜好的方式。可以分为两部分:Export Target与import Targe在一个VRF中,在发布路由时使用RT的export规则。直接发送给其他的PE设备在接收端的PE上,接收所有的路由,并根据每个VRF配置的RT的import规则进行检查,如果与路由中的RT属性match,则将该路由加入到相应的VRF中。,RT的作用,P Router,P Router,MPLS/VPN Backbone,MPLS
14、/VPN Backbone,VPN A,VPN A,VPN B,SITE,SITE,-,-,2,2,VPN B,MP,-,iBGP,SITE,SITE,-,-,1,1,SITE,SITE,-,-,3,3,SITE,SITE,-,-,4,4,RT的灵活应用,由于每个RT Export Target与import Target都可以配置多个属性,可以实现非常灵活的VPN访问控制,BGP发布路由时需要携带的信息,一个扩展之后的NLRI(Network Layer Reachability Information),增加了地址族的描述,以及私网lable和RD,跟随之后的是RT的列表:,对于使用了扩展
15、属性MP_REACH_NLRI的BGP,我们称之为MP-BGP。,VRF路由注入到MP-iBGP,PE-1,CE,-,1,MP-iBGP,PE-2,BGP,RIPv2 update,for,149.27.2.0/24,NH=CE,-,1,CE,-,2,北京,上海,PE路由器需要对一台路由进行如下操作:加上RD(RD为手工配置),变为一条VPN-IPV4路由。更改下一跳属性为自己(通常是自己的loopback地址)加上私网标签(随机自动生成,无需配置)加上RT属性(RT需手工配置)发给所有的PE邻居,VPN-v4 update:RD:1:27:149.27.2.0/24,Next-hop=PE-
16、1SOO=北京,RT=VPN-A,Label=(28),MP-iBGP路由注入到VRF,每个VRF都有import route-target和 export route-target 的配置发送PE发出MP-iBGP updates时,报文携带 export 属性。接受PE 收到VPN-IPv4的MP-iBGP updates 时,判断收到的export是否与本地的VRF的import相等,相等就加入到相应的VRF路由表中,否则丢弃,PE,CE,-,1,MP,-,iBGP,PE,CE,-,2,北京,上海,VPN-v4 update:RD:1:27:149.27.2.0/24,Next-hop=
17、PE-1SOO=北京,RT=VPN-A,Label=(28),VPN-v4 路由变为IPV4路由,并且根据本地VRF的import RT属性加入到相应的VRF中,私网标签保留,留做转发时使用。再由本VRF的路由协议引入并转发给相应的CE,MPLS/VPN 标签分配,P router,P router,In Label FEC Out Label,-,197.26.15.1/32,-,In Label FEC Out Label,41,197.26.15.1/30,POP,In Label FEC Out Label,-,197.26.15.1/30,41,Use label,implicit,
18、-,null,for,destination 197.26.15.1/30,Use label,41,for destination,197.26.15.0/24,VPN,-,v4 update:,RD:1:27,:149.27.2.0/24,NH=,197.26.15.1,RT=VPN-A,-,Label=(,28,),PE,-,1,上海,PE 和 P 路由器通过骨干网IGP具有到bgp下一跳的可达性;通过运行IGP和LDP,分配标签,建立LSP,获得到BGP下一跳的LSP通道标签栈用于报文转发,外层标签用来指示如何到达BGP下一跳,内层标签表示报文的出接口或者属于哪个VRF(属于哪个VPN
19、)MPLS 节点转发是基于外层标签,而不管内层标签是多少,MPLS/VPN 报文转发-1,In Label FEC Out Label,-,197.26.15.1/30,41,149.27.2.27,PE,-,1,149.27.2.27,28,41,VPN,-,A VRF,149.27.2.0/24,NH=,197.26.15.1,Label=(,28,),上海,入口PE收到CE的普通IP报文后,PE根据入接口所属的VRF加入到相应的VPN转发表,查找下一跳和标签,MPLS/VPN 报文转发-2,In Label FEC Out Label,41,197.26.15.1/30,POP,北京,1
20、49.27.2.27,PE,-,1,上海,149.27.2.0/24,149.27.2.27,28,41,VPN,-,A VRF,149.27.2.0/24,NH=,197.26.15.1,Label=(,28,),149.27.2.27,28,In Label FEC Out Label,28(V),149.27.2.0/24,-,VPN,-,A VRF,149.27.2.0/24,NH=,北京,149.27.2.27,倒数第二跳路由器弹出外层标签,根据下一跳发送至出口PE出口PE路由器根据内层标签判断报文是去向哪个CE弹出内层标签,用普通IP报文向目的CE进行转发,197.25.15.1/
21、30,课程内容,第一章 VPN 概述第二章 MPLS L3 VPN 转发过程第三章 跨AS的MPLS L3 VPN 实现第四章 MPLS L3 VPN Internet 连接,跨AS的MPLS/VPN(1),Site1,Site2,Site4,Site3,VPN-A,VPN-B,VPN-A,VPN-B,PE,PE,PE,PE,P,P,MPLS LDP,跨AS的MPLS/VPN(2),Site1,Site2,Site4,Site3,VPN-A,VPN-B,VPN-A,VPN-B,PE,PE,PE,PE,PE/CE,PE/CE,VRF to VRF,172.1.1.0/24,18,172.1.1.
22、1,10,172.1.1.1,172.1.1.1,CE,20,30,172.1.1.1,172.1.1.1,AS100,AS200,跨AS的MPLS/VPN(3),Site1,Site2,VPN-A,VPN-A,PE,PE,200,172.1.1.1,10,172.1.1.1,CE,200,20,172.1.1.1,172.1.1.1,MP-EBGP,PE,PE,CE,P,P,MPLS LDP,MPLS LDP,MP-IBGP,200,100,300,MP-IBGP,300,40,172.1.1.1,300,172.1.1.1,50,172.1.1.0/24,AS100,AS200,课程内容,
23、第一章 VPN 概述第二章 MPLS L3 VPN 转发过程第三章 跨AS的MPLS L3 VPN 实现第四章 MPLS L3 VPN Internet 连接,MPLS/VPN Internet 连接,在MPLS VPN中某些站点有访问Internet的需求访问Internet必需具备以下条件:有访问Internet的路由Internet站点任何地方都可达保证VPN网络的安全接入方式:配置静态路由配置不通的接口,MPLS VPN Internet 接入(配置静态缺省路由PE),PE,PE,Internet,PE-IG,Site-2,Network 171.68.0.0/16,Serial0,1
24、92.168.1.1,192.168.1.2,ip route-static 171.68.0.0 255.255.0.0 Serial0ip route-static vpn-instance VPN-A 0.0.0.0 0.0.0.0 192.168.1.1 public,BGP-4,MP-BGP,PE,PE,Internet,PE-IG,Site-2,Network 171.68.0.0/16,Serial0,192.168.1.1,192.168.1.2,Site-2 VRF0.0.0.0/0 192.168.1.1(public)Site-1 routesSite-2 routes,
25、Global Table and LFIB192.168.1.1/32 Label=3192.168.1.2/32 Label=5.,IP packetD=,IP packetD=,MPLS/VPN Internet 连接(配置静态缺省路由CE),MPLS VPN Internet 接入(配置子接口),PE,PE,Internet,PE-IG,Site-2,Network 171.68.0.0/16,Serial0.1,192.168.1.1,192.168.1.2,Serial0.2,Serial0.1,Serial0.2,CE routing tableSite-2 routes-Serial0.1Internet routes-Serial0.2,IP packetD=,PE Global TableInternet routes-192.168.1.1192.168.1.1,Label=3,IP packetD=,小结,了解VPN的分类掌握MPLS L3 VPN 转发过程掌握MPLS L3 VPN的配置了解跨AS的MPLS L3 VPN 的实现掌握MPLS L3 VPN 的Internet的接入,
