MPLS VPWS培訓(xùn)膠片 測試一部 董繼強(qiáng) /26979 2 2 VPWS培訓(xùn)提 綱 簡要介紹 基本原理 相互對比 配置排錯 3 3 簡要介紹 :VPN分類 按照業(yè)務(wù)用途 Access VPN， Intranet VPN， Extranet VPN 按照運(yùn)營模式分類 CPE-Based VPN， Network-Based VPN 按照組網(wǎng)模型分類 VPDN， VPRN， VLL， VPLS 按照網(wǎng)絡(luò)層次 一層 VPN，二層 VPN，三層 VPN 4 4 VPN Network -Base VPN CPE-Base VPN IP VPN VLL （ VPWS） VPRN VPDN VPLS RFC2764 A Framework of IP Based VPN 簡要介紹 :VPN分類 5 5 簡要介紹 :L2VPN MPLS L2VPN就是在 MPLS網(wǎng)絡(luò)上透明傳遞用戶的二層數(shù)據(jù)。從用戶的角度來看，這個 MPLS網(wǎng)絡(luò)就是一個二層的交換網(wǎng)絡(luò)，通過這個網(wǎng)絡(luò)，可以在不同站點(diǎn)之間建立二層的連接。 PE PE Tunnel Pseudo Wires Customer Site Customer Site Customer Site Customer Site 6 6 簡要介紹 :傳統(tǒng)的 L2VPN 租賃專線（ leased line）方式 主要缺點(diǎn)是：建設(shè)時間長，價格昂貴，難于管理。 虛電路方式 虛電路方式與租賃專線相比，建設(shè)時間短、價格低 在不同類型的網(wǎng)絡(luò)（如 ATM、 FR）上提供業(yè)務(wù)，需要建設(shè)并維護(hù)獨(dú)立的網(wǎng)絡(luò) 其速率較慢 配置較復(fù)雜 7 7 簡要介紹 :傳統(tǒng)的 L2VPN Access IP / IPsec FR / ATM Broadband Ethernet Access IP / IPsec FR / ATM Broadband Ethernet Only Partial Integration Different Core Solutions Different Access Technologies ATM MPLS or IP SONET 8 8 簡要介紹 :MPLS方式的 L2VPN Access IP / IPsec FR / ATM Broadband Ethernet Access IP / IPsec FR / ATM Broadband Ethernet Complete Integration Unified Core Solutions Different Access Technologies MPLS or IP 9 9 簡要介紹 : MPLS方式的 L2VPN 擴(kuò)展了運(yùn)營商的網(wǎng)絡(luò)功能和服務(wù)能力 具有更高的可擴(kuò)展性 管理責(zé)任分工明確 路由私有、安全 易配置 （ N方解決？主要體現(xiàn)在隧道復(fù)用） 多協(xié)議支持 網(wǎng)絡(luò)平滑升級 10 10 簡要介紹 :L2VPN-VRP實(shí)現(xiàn) Martini：遵循草案 draft-martini-l2circuit-trans-mpls，使用 LDP作為傳遞 VC信息的信令。 Kompella：遵循草案 draft-kompella-ppvpn-l2vpn-xx，與 RFC2547定義的 BGP/MPLS VPN相似。 CCC：在兩條 PE-CE連接之間配置透明的連接，獨(dú)占隧道，一層標(biāo)簽。 STATIC VC： Martini的一種靜態(tài)實(shí)現(xiàn) 11 11 簡要介紹 :總結(jié) VPN的分類 L2VPN的發(fā)展歷程 L2VPN的優(yōu)點(diǎn) L2VPN（ VPWS部分）的 VRP實(shí)現(xiàn) 12 12 VPWS培訓(xùn)提 綱 簡要介紹 基本原理 相互對比 配置排錯 13 13 基本原理 總體結(jié)構(gòu) CCC Martini Static VC Kompella 14 14 基本原理：協(xié)議結(jié)構(gòu) Tunnel Header (Tunnel Label) to get PDU from ingress to egress PE； MPLS label GRE tunnel Demultiplexer field (VC Label) to identify individual circuits within a tunnel； could be an MPLS label. Emulated VC encapsulation (Control Word) information on enclosed Layer-2 PDU； implemented as a 32-bit control word Tunneling Component L2 PDU (Emulated) Transport Component Control Connection 連接控制（ LDP、 BGP、 STATIC-LSP） Used for VC-Label Negotiation, Withdrawal, Error Notification Emulated Circuits have 3 layers of encapsulation 15 15 基本原理：報文結(jié)構(gòu) 有些情況下，在網(wǎng)絡(luò)上傳輸 l2vpn報文的時候沒有必要傳送整個的二層幀，而是在入口端把二層頭給剝離，然后在出口端重新添加。但是如果二層頭中有些信息需要攜帶，這種方式就不可取了，因此提出了控制字的方法來解決這個問題，控制字里攜帶的信息都是 INGRESS端和 EGRESS端協(xié)商好的。 控制字主要有三個功能： 1、報文轉(zhuǎn)發(fā)是需要的序列號 2、當(dāng)最小的 mtu大于實(shí)際的傳輸報文時需要進(jìn)行填充 3、二層幀頭中需要攜帶的控制位 16 16 基本原理：報文舉例 -FR Frame Relay幀在轉(zhuǎn)發(fā)的時候不攜帶 Frame Relay header和 FCS，控制字是必須使用的 BECN、 FECN、 DE和 C/R位使用控制字來攜帶。 17 17 基本原理： CCC介紹 CCC是 Circuit Cross Connect（電路交叉連接）的縮寫，是通過靜態(tài)配置來實(shí)現(xiàn) L2VPN的一種方式。 18 18 基本原理： CCC結(jié)構(gòu) Tunnel Header (Tunnel Label) to get PDU from ingress to egress PE； MPLS label Demultiplexer field (VC Label) 無 Emulated VC encapsulation (Control Word) information on enclosed Layer-2 PDU； implemented as a 32-bit control word Tunneling Component L2 PDU (Emulated) Transport Component Control Connection 連接控制 Static LSP（專門為 L2VPN定制的 LSP，不生成 FTN項(xiàng)） Emulated Circuits have 3 layers of encapsulation 19 19 基本原理： CCC連接類型 CCC方式分為本地 CCC連接和遠(yuǎn)程 CCC連接。 對于本地 CCC連接， 這兩個 CE連接到同一個 PE設(shè)備上， PE設(shè)備相當(dāng)于一個二層交換機(jī)。 對于遠(yuǎn)程 CCC連接，兩個 CE連接到不同的PE上，使用 PE之間獨(dú)享的靜態(tài) LSP作為隧道，不需要任何信令協(xié)議傳遞二層 VPN信息。 20 20 基本原理： CCC關(guān)鍵點(diǎn) 與其他的 MPLS L2VPN不同的是 CCC采用 一層標(biāo)記 來傳送用戶數(shù)據(jù)，因此它對 LSP的使用是 獨(dú)占性（不能用于其他L2VPN連接，也不能用于 BGP/MPLS VPN或承載普通的 IP報文） 的，用戶必須單獨(dú)為每一個 CCC連接 手工配置兩條L2VPN LSP（兩個方向各一條），這兩條L2VPN LSP將只能用于傳遞這個 CCC連接的數(shù)據(jù)。 P節(jié)點(diǎn)也要進(jìn)行 STATIC LSP的配置 21 21 基本原理： CCC組網(wǎng) MPLS網(wǎng)絡(luò) A公 司 分支機(jī)構(gòu) 2 PE PE PE A公司 分支機(jī)構(gòu) 1 A公司 分支機(jī)構(gòu) 3 A公司 總部 Tunnel標(biāo) 簽 2層頭部 數(shù)據(jù) 本地 連接 遠(yuǎn)程 連接 22 22 基本原理： Martini介紹 遵循草案 draft-martini-l2circuit-trans-mpls，使用LDP作為傳遞 VC信息的信令。 PE之間建立 LDP的 remote session， PE為 CE之間的每條連接分配一個 VC標(biāo)簽。二層 VPN信息將攜帶著 VC標(biāo)簽，通過 LDP建立的 LSP轉(zhuǎn)發(fā)到 remote session的對端 PE。 這種方式不能提供象 CCC方式的本地交換功能，但是不象 CCC遠(yuǎn)程連接那樣，一條 LSP只能被一條遠(yuǎn)程 CCC連接獨(dú)享，服務(wù)運(yùn)行商網(wǎng)絡(luò)中的一條隧道可以被多條 VC共享使用。 23 23 基本原理： Martini結(jié)構(gòu) Tunnel Header (Tunnel Label) to get PDU from ingress to egress PE； MPLS label GRE tunnel Demultiplexer field (VC Label) to identify individual circuits within a tunnel； could be an MPLS label Emulated VC encapsulation (Control Word) information on enclosed Layer-2 PDU； implemented as a 32-bit control word Tunneling Component L2 PDU (Emulated) Transport Component Control Connection Directed LDP Used for VC-Label Negotiation, Withdrawal, Error Notification Emulated Circuits have 3 layers of encapsulation 24 24 基本原理： LDP擴(kuò)展 VC labels通過 LDP REMOTE SESSION交換 LABEL還是放在以前的 Label TLV中，在 MAPPING中發(fā)送 定義了新的 LDP FEC用來攜帶 VC信息 FEC element type 128 Virtual Circuit FEC Element:Carried within LDP Label Mapping Message VC信息的交換是通過 DU方式進(jìn)行的， cisco不支持 DOD Described in draft-martini-l2circuit-trans-mpls DOD 25 25 基本原理： Martini協(xié)議處理 26 26 基本原理： Martini協(xié)議處理 27 27 基本原理： Martini協(xié)議報文 28 28 基本原理： Martini協(xié)議報文 C: Control Word (1 bit) 1表示需要控制字； 0為不需要 VC-type (15 bits) VC類型， e.g FR, ATM, VLAN, Ethernet, PPP, HDLC VC info length (8 bits) VCID field和 interface parameters的長度 Group ID (32 bits) 一些 VC組成一個組，主要用來批量撤消相應(yīng)的 VC信息。 VC ID (32 bits) 一個 VC是由 VC ID和 VC TYPE來唯一確定 Interface Parameters (不定 ) 一些接口參數(shù)，目前用的有 MTU 29 29 基本原理： Martini優(yōu)點(diǎn) 在這種 Martini方式中，由于在運(yùn)營商網(wǎng)絡(luò)中，只有 PE設(shè)備需要保存少量的 VC label&LSP的映射等少量信息， P設(shè)備不包含任何二層 VPN信息，所以擴(kuò)展性好。 當(dāng)需要新增加一條 VC時， 只在相關(guān)的兩端 PE設(shè)備上各配置一個單方向 VC連接即可，不影響網(wǎng)絡(luò)的運(yùn)行。 它配置、實(shí)現(xiàn)相對簡單，沒有 VPN的概念， 只是提供二層鏈路的連接性，易于理解。 Martini方式適合稀疏的二層連接，例如星型連接。 30 30 基本原理： Martini組網(wǎng) MPLS網(wǎng)絡(luò) B公司 總部 PE PE MPLS隧道(LSP) A公司 分支機(jī)構(gòu) 1 A公司 分支機(jī)構(gòu) 2 A公司 總部 B公司 分支機(jī)構(gòu) 1 B公司 分支機(jī)構(gòu) 2 外層標(biāo)簽 VC標(biāo)簽 二層頭部 數(shù)據(jù) PE LDP發(fā)布 VC標(biāo)簽 31 31 基本原理： Static VC SVC方式的其實(shí)與 LDP方式 L2PVN非常類似，不同之點(diǎn)在于他不用使用 LDP作為傳遞二層 VC和鏈路信息的信令，手工配置 VC Label信息即可； 不用 LDP就意味著不需要使用 remote peer，不需要使用 LDP相應(yīng)擴(kuò)展 TLV。便于 ISP的網(wǎng)絡(luò)運(yùn)營，如果隧道不使用 LDP建立的 LSP，那么 LDP就完全不必使用了； 其他的和 Martini基本一致，就不過多闡述。 ANY QUESTION？ 32 32 休息一分鐘 33 33 基本原理： kompella結(jié)構(gòu) Tunnel Header (Tunnel Label) to get PDU from ingress to egress PE； MPLS label GRE tunnel Demultiplexer field (VC Label) to identify individual circuits within a tunnel； could be an MPLS label Emulated VC encapsulation (Control Word) information on enclosed Layer-2 PDU； implemented as a 32-bit control word Tunneling Component L2 PDU (Emulated) Transport Component Control Connection MBGP Used for VC-Label Negotiation, Withdrawal, Error Notification Emulated Circuits have 3 layers of encapsulation 34 34 基本原理： kompella簡介 與 MPLS BGP VPN實(shí)現(xiàn)機(jī)理類似，特別是 CE、 PE、 ROUTE-TARGET、 RD、SITE的定義以及用途 區(qū)別是 kompella傳送的是二層信息，而MPLS BGP VPN傳送的是三層路由信息，為此 kompella進(jìn)行了相應(yīng)的 BGP NLRI擴(kuò)展 處理的信息不同了，那么發(fā)送接受二層信息的流程也發(fā)生了相應(yīng)的變化。 35 35 基本原理： kompella術(shù)語 Label Block Label Base Label Range Label-block Offset CE ID CONNECTION L2VPN INSTANCE 36 36 基本原理： kompella術(shù)語解釋 LABEL BLOCK1、 LABEL BLOCK2、 LABEL BLOCK3組成一個 LABEL BLOCK； LB： LABEL BASE LR： LABEL RANGE LBO： LABEL BLOCK OFFSET LABEL BLOCK 1 102400/10/0 LB/LR/LBO LABEL BLOCK 2 102410/10/10 LB/LR/LBO LABEL BLOCK 3 102420/10/20 LB/LR/LBO 37 37 基本原理： kompella術(shù)語解釋 L3VPN傳遞 FEC和單個 LABEL的方式； BGP方式 L2VPN采取標(biāo)記塊的方式，一次為多個連接分配標(biāo)記。用戶可以指定一個本地 CE的范圍（ CE range），表明這個 CE能與多少個 CE建立連接。系統(tǒng)會一次為這個 CE分配一個標(biāo)記塊，標(biāo)記塊的大小等于 CE range。這種方式允許用戶為 VPN分配一些額外的標(biāo)記，留待以后使用。這樣會造成標(biāo)記資源的浪費(fèi)，但是同時帶來一個很大的好處：減少 VPN部署和擴(kuò)容時的配置工作量。 38 38 基本原理： kompella信息傳遞 假設(shè) PE A、 PE B為同屬于 VPN X的 CEm和 CEk建立一條 VC。 為了敘述方便，我們稱 PEA為 CE m分配的 LABEL BLOCK為 Lm；稱Lm的 Block Offset為 LOm；稱 Lm的 Label-Base為 LBm；稱 Lm的 Label-Range為 LRm 為了敘述方便，我們稱 PEB為 CE k分配的 LABEL BLOCK為 Lk；稱 Lk的 Block Offset為 LOk；稱 Lk的 Label-Base為 LBk；稱 Lk的 Label-Range為 LRk 那么 PEB收到 PEA發(fā)送過來的信息會做如下工作： LSP PEA PEB CEm CEk 39 39 基本原理： kompella信息傳遞 首先檢查從 PEA收到 CE的封裝類型，如果不一致，棄之且停止處理； 檢查是否 k=m，如果是，報錯“ CE ID k has been allocated to two CEs in VPN X (check CE at PE A)”，然后停止處理； 檢查和 CE m相關(guān)的所有的 label-blocks是否滿足 LOm = k LOm + LRm，如果任何一個都不滿足，報錯 “ Cannot communicate with CE m (PE A) of VPN X:outside range”然后停止處理； 檢查和 CE k相關(guān)的所有的 label-blocks是否滿足 LOk = m LOk + LRk，如果任何一個都不滿足，報錯 “ Cannot communicate with CE m (PE A) of VPN X:outside range”然后停止處理； 檢查 PEA和 PEB之間的通道是否正常建立，如果沒有就停止處理，這里假設(shè)為 LSP隧道，標(biāo)簽為 Z； PEB為 CE-m分配內(nèi)層標(biāo)簽為 (LBm + k - LOm) ， PEA為 CE-k分配內(nèi)層標(biāo)簽為 (LBk + m - LOk)； PEB到 PEA的外層隧道的標(biāo)簽為 Z； 內(nèi)外層標(biāo)簽兼?zhèn)?，可以干活了?Any Question? 40 40 基本原理： BGP NLRI擴(kuò)展 引入了新的 sub-TLV Circuit Status Vector LBEL RANGE TUNNEL STATUS Length (2 octets) Route Distinguisher (8 octets) CE ID (2 octets) Label-block Offset (2 octets) Label Base (3 octets) Variable TLVs (0 to N octets). 還有什么字段沒有定義？ 41 41 基本原理： BGP Layer2-Info Extended Community Extended community type (2 octets) Encaps Type (1 octet) Cntrl Flags (1 octet) Layer-2 MTU (2 octet) Reserved (2 octets) Extended Community Type TBD Encapsulation Type 標(biāo)識二層封裝類型 , e.g., ATM, Frame Relay etc. Control Flags MBZ： MUST Be Zero C： 1表示需要控制字； 0為不需要 S： 1表示需要序列號； 0為不需要 Q&F：保留 Layer-2 MTU MBZ Q F C S 42 42 基本原理： Encaps Type 0 Reserved 7 PPP 1 Frame Relay 8 CEM 8 2 ATM AAL5 VCC transport 9 ATM VCC cell transport 3 ATM transparent cell transport 10 ATM VPC cell transport 4 Ethernet VLAN 11 MPLS 5 Ethernet 12 VPLS 6 Cisco-HDLC 64 IP-interworking 43 43 基本原理： PURE IP Tunnel Encap VPN Label L2 Frame IP-only Layer 2 Interworking 在 INGRESS端，二層幀頭全部剝離取出 IP報文進(jìn)行轉(zhuǎn)發(fā)；此時轉(zhuǎn)發(fā)是用到的二層信息依然基于接收幀的二層信息。 在 EGRESS端，報文被重新封裝成二層幀然后發(fā)送給 CE，此時二層轉(zhuǎn)發(fā)信息是依靠 VC LABEL來獲得的。 INGRESS端和相應(yīng) CE端的鏈路類型獨(dú)立于 EGRESS端和相應(yīng) CE端的鏈路類型，因此這種情況下 L2VPN獨(dú)立于鏈路類型 目前這一塊只有理論，并沒有實(shí)現(xiàn) Tunnel Encap VPN Label IP Packet 44 44 基本原理： kompella優(yōu)點(diǎn) 自動拓?fù)浒l(fā)現(xiàn) 以 MP-BGP為信令傳播相應(yīng)信息 組網(wǎng)靈活，部署方案成熟 route-target 部分解決配置的 n方問題 余額配置 同時支持本地、遠(yuǎn)程虛擬鏈路 支持不同接入方式 IP Interworking 跨域的解決方式與 MPLS L3 VPN類似 45 45 VPWS培訓(xùn)提 綱 簡要介紹 基本原理 相互對比 配置排錯 46 46 相互對比： L2VPN VS L2VPN 比較項(xiàng)目 Kompella Martini CCC SVC 信令協(xié)議 BGP LDP 否 否 隧道情況 GRE、 LSP，共用 GRE、 LSP，共用 專門的靜態(tài)LSP，獨(dú)占 GRE、 LSP，共用 應(yīng)用場景 密集模式 稀疏模式 NA NA 擴(kuò)展性 支持過量配置，較好 差 很差 差 本地連接 是 否 是 否 47 47 相互對比： L3VPN VS L2VP