MPLSL2VPN原理培训胶片.pptx

HUAWEI TECHNOLOGIES CO.,LTDHUAWEI Confidential Security Level:MPLS L2 VPN 原理ISSUE 1.0HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential l学习完本课程，您应该能够：掌握MPLS L2 VPN的原理HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第一章第一章第一章第一章MPLS L2 VPN MPLS L2 VPN 概述概述概述概述第二章第二章MPLS L2 VPN 原理原理HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 传统的L2VPNl租赁专线（leased line）方式主要缺点是：建设时间长，价格昂贵，难于管理。l虚电路方式虚电路方式与租赁专线相比，建设时间短、价格低在不同类型的网络（如ATM、FR）上提供业务，需要建设并维护独立的网络其速率较慢配置较复杂HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 虚电路虚电路MPLS L2VPNlMPLS L2VPN就是在MPLS网络上透明传递用户的二层数据。从用户的角度来看，这个MPLS网络就是一个二层的交换网络，通过这个网络，可以在不同站点之间建立二层的连接。TunnelCustomer SiteCustomer SiteCustomer SiteCustomer SitePEPEHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential MPLS方式的L2VPNl扩展了运营商的网络功能和服务能力l具有更高的可扩展性l管理责任分工明确l路由私有、安全l易配置（N方解决？主要体现在隧道复用）l多协议支持l网络平滑升级HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential L2VPN-VRP实现lMartini：遵循草案draft-martini-l2circuit-trans-mpls，使用LDP作为传递VC信息的信令。lKompella：遵循草案draft-kompella-ppvpn-l2vpn-xx，与RFC2547定义的BGP/MPLS VPN相似。lCCC：在两条PE-CE连接之间配置透明的连接，独占隧道，一层标签。lSVC：Martini的一种静态实现HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第一章第一章MPLS L2 VPN 概述概述第二章第二章第二章第二章MPLS L2 VPN MPLS L2 VPN 原理原理原理原理HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第二章第二章MPLS L2 VPN 原理原理 第一节第一节第一节第一节 报文结构报文结构报文结构报文结构 第二节第二节 CCC 第三节第三节 Martini 第四节第四节 SVC 第五节第五节 Kompella 第六节第六节 L2VPN 的比较的比较HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 协议结构Tunnel 标签从入口PE 到出口PE获取PDU MPLS label 或GRE tunnelVC 标签用于在相同的tunnel上标识不同的虚电路MPLS label.模拟 VC 的封装(Control Word)32-bit 的控制字Tunneling ComponentL2 PDU(Emulated)Transport Component连接控制连接控制连接控制（连接控制（LDP、BGP、STATIC-LSP）用于用于 VC-Label 协商协商,撤销撤销,差错通告差错通告Emulated Circuits 有三层封装有三层封装HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 报文结构l有些情况下，在网络上传输l2vpn报文的时候没有必要传送整个的二层帧，而是在入口端把二层头给剥离，然后在出口端重新添加。但是如果二层头中有些信息需要携带，这种方式就不可取了，因此提出了控制字的方法来解决这个问题，控制字里携带的信息都是INGRESS端和EGRESS端协商好的。l控制字主要有三个功能：1、报文转发是需要的序列号2、当最小的mtu大于实际的传输报文时需要进行填充3、二层帧头中需要携带的控制位HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 报文举例-FRlFrame Relay帧在转发的时候不携带Frame Relay header和FCS，控制字是必须使用的lBECN、FECN、DE和C/R位使用控制字来携带。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第二章第二章MPLS L2 VPN 原理原理 第一节第一节 报文结构报文结构 第二节第二节第二节第二节 CCC CCC 第三节第三节 Martini 第四节第四节 SVC 第五节第五节 Kompella 第六节第六节 L2VPN 的比较的比较HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential CCC介绍l CCC是Circuit Cross Connect（电路交叉连接）的缩写，是通过静态配置来实现L2VPN的一种方式。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential CCC连接类型lCCC方式分为本地CCC连接和远程CCC连接。对于本地CCC连接，这两个CE连接到同一个PE设备上，PE设备相当于一个二层交换机。对于远程CCC连接，两个CE连接到不同的PE上，使用PE之间独享的静态LSP作为隧道，不需要任何信令协议传递二层VPN信息。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential CCC的实现lCCC的实现CCC采用一层标记来传送用户数据，因此它对LSP的使用是独占性（不能用于其他L2VPN连接，也不能用于BGP/MPLS VPN或承载普通的IP报文）的，用户必须单独为每一个CCC连接手工配置两条L2VPN LSP（两个方向各一条），这两条L2VPN LSP将只能用于传递这个CCC连接的数据。P节点也要进行STATIC LSP的配置HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential CCC组网MPLS网络网络A公司分支机构2PELSPLSPPEPEA公司分支机构1A公司分支机构3A公司总部Tunnel标签2层头部数据 本地本地连接连接远程远程连接连接HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第二章第二章MPLS L2 VPN 原理原理 第一节第一节 报文结构报文结构 第二节第二节 CCC 第三节第三节第三节第三节 Martini Martini 第四节第四节 SVC 第五节第五节 Kompella 第六节第六节 L2VPN 的比较的比较HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Martini介绍l遵循草案draft-martini-l2circuit-trans-mpls，使用LDP作为传递VC信息的信令。lPE之间建立LDP的remote session，PE为CE之间的每条连接分配一个VC标签。二层VPN信息将携带着VC标签，通过LDP建立的LSP转发到remote session的对端PE。l这种方式不能提供象CCC方式的本地交换功能，但是不象CCC远程连接那样，一条LSP只能被一条远程CCC连接独享，服务运行商网络中的一条隧道可以被多条VC共享使用。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Martini结构Tunnel 标签从入口PE 到出口PE获取PDU MPLS label 或GRE tunnelVC 标签用于在相同的tunnel上标识不同的虚电路MPLS label.模拟 VC 的封装(Control Word)32-bit 的控制字Tunneling ComponentL2 PDU(Emulated)Transport Component连接控制连接控制连接控制（连接控制（LDP）用于用于 VC-Label 协商协商,撤销撤销,差错通告差错通告Emulated Circuits 有三层封装有三层封装LDPHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential LDP扩展lVC labels通过LDP REMOTE SESSION交换LABEL还是放在Label TLV中，在MAPPING中发送l定义了新的LDP FEC用来携带VC信息FEC element type 128 Virtual Circuit FECElement:Carried within LDP Label Mapping MessagelVC信息的交换是通过DU方式进行的，Described in draft-martini-l2circuit-trans-mplsHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Martini 的协议处理lMartini的协议包括两部份Tunnel建立LDP 用来建立在PE之间建立Tunnel,其他的tunnels协议也可以使用如GRE.VC 建立通过LDP在两个PE 间建立远程邻居通过VCID来建立绑定关系，LDP为VC分配标签PE1CE2PE2CE1PVC-ID:1DLCI:100DLCI:200VC-ID:1(1,1000;PE1)(1,2000;PE2)HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Martini协议报文HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Martini协议报文lC:Control Word(1 bit)1表示需要控制字；0为不需要lVC-type(15 bits)VC类型，e.g FR,ATM,VLAN,Ethernet,PPP,HDLClVC info length(8 bits)VCID field和interface parameters的长度lGroup ID(32 bits)一些VC组成一个组，主要用来批量撤消相应的VC信息。lVC ID(32 bits)一个VC是由VC ID和VC TYPE来唯一确定lInterface Parameters(不定)一些接口参数，目前用的有MTUHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Martini优点l在这种Martini方式中，由于在运营商网络中，只有PE设备需要保存少量的VC label&LSP的映射等少量信息，P设备不包含任何二层VPN信息，所以扩展性好。l当需要新增加一条VC时，只在相关的两端PE设备上各配置一个单方向VC连接即可，不影响网络的运行。l它配置、实现相对简单，没有VPN的概念，只是提供二层链路的连接性，易于理解。lMartini方式适合稀疏的二层连接，例如星型连接。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Martini组网MPLS网络网络B公司总部PEMPLS隧道(LSP)MPLS隧道(LSP)PEMPLS隧道(LSP)A公司分支机构1A公司分支机构2A公司总部B公司分支机构1B公司分支机构2外层标签VC标签二层头部数据PELDP发布VC标签HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第二章第二章MPLS L2 VPN 原理原理 第一节第一节 报文结构报文结构 第二节第二节 CCC 第三节第三节 Martini 第四节第四节第四节第四节 SVC SVC 第五节第五节 Kompella 第六节第六节 L2VPN 的比较的比较HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Static VClSVC方式的其实与LDP方式L2PVN非常类似，不同之点在于他不用使用LDP作为传递二层VC和链路信息的信令，手工配置VC Label信息即可；l不用LDP就意味着不需要使用remote peer，不需要使用LDP相应扩展TLV。便于ISP的网络运营，如果隧道不使用LDP建立的LSP，那么LDP就完全不必使用了；l其他的和Martini基本一致。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第二章第二章MPLS L2 VPN 原理原理 第一节第一节 报文结构报文结构 第二节第二节 CCC 第三节第三节 Martini 第四节第四节 SVC 第五节第五节第五节第五节 Kompella Kompella 第六节第六节 L2VPN 的比较的比较HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential kompella结构Tunnel 标签从入口PE 到出口PE获取PDU MPLS label 或GRE tunnelVC 标签用于在相同的tunnel上标识不同的虚电路MPLS label.模拟 VC 的封装(Control Word)32-bit 的控制字Tunneling ComponentL2 PDU(Emulated)Transport Component连接控制连接控制连接控制（连接控制（MP-BGP）用于用于 VC-Label 协商协商,撤销撤销,差错通告差错通告Emulated Circuits 有三层封装有三层封装MP-BGPHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 基本原理：kompella简介l与MPLS BGP VPN实现机理类似，特别是CE、PE、ROUTE-TARGET、RD、SITE的定义以及用途l区别是kompella传送的是二层信息，而MPLS BGP VPN传送的是三层路由信息，为此kompella进行了相应的BGP NLRI扩展l处理的信息不同了，那么发送接受二层信息的流程也发生了相应的变化。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential kompella术语lLabel BlocklLabel Base lLabel RangelLabel-block Offset lCE IDlCONNECTIONlL2VPN INSTANCEHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential kompella术语lLABEL BLOCK1、LABEL BLOCK2、LABEL BLOCK3组成一个LABEL BLOCK；lLB：LABEL BASElLR：LABEL RANGElLBO：LABEL BLOCK OFFSETLABEL BLOCK 1102400/10/0LB/LR/LBOLABEL BLOCK 2102410/10/10LB/LR/LBOLABEL BLOCK 3102420/10/20LB/LR/LBOHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential kompella术语lL3VPN传递FEC和单个LABEL的方式；lBGP方式L2VPN采取标记块的方式，一次为多个连接分配标记。用户可以指定一个本地CE的范围（CE range），表明这个CE能与多少个CE建立连接。系统会一次为这个CE分配一个标记块，标记块的大小等于CE range。这种方式允许用户为VPN分配一些额外的标记，留待以后使用。这样会造成标记资源的浪费，但是同时带来一个很大的好处：减少VPN部署和扩容时的配置工作量。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Kompella信息传递l假设PE A、PE B为同属于VPN X的CEm和CEk建立一条VC。l我们称PEA为CEm分配的LABEL BLOCK为Lm；称Lm的Block Offset为LOm；称Lm的Label-Base为LBm；称Lm的Label-Range为LRml我们称PEB为CE k分配的LABEL BLOCK为Lk；称Lk的Block Offset为LOk；称Lk的Label-Base为LBk；称Lk的Label-Range为LRkl那么PEB收到PEA发送过来的信息会做如下工作：PEAPEBCEmCEkLSPHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Kompella信息传递l首先检查从PEA收到CE的封装类型，如果不一致，弃之且停止处理；l检查是否 k=m，如果是，报错“CE ID k has been allocated to two CEs in VPN X(check CE at PE A)”，然后停止处理；l检查和CE m相关的所有的label-blocks是否满足LOm=k LOm+LRm，如果任何一个都不满足，报错“Cannot communicate with CE m(PE A)of VPN X:outside range”然后停止处理；l检查和CE k相关的所有的label-blocks是否满足LOk=m LOk+LRk，如果任何一个都不满足，报错“Cannot communicate with CE m(PE A)of VPN X:outside range”然后停止处理；l检查PEA和PEB之间的通道是否正常建立，如果没有就停止处理，这里假设为LSP隧道，标签为Z；lPEB为CE-m分配内层标签为(LBm+k-LOm)，PEA为CE-k分配内层标签为(LBk+m-LOk)；lPEB到PEA的外层隧道的标签为Z；l内外层标签兼备，可以干活了，Any Question?HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential BGP NLRI扩展l引入了新的sub-TLVCircuit Status Vector LBEL RANGETUNNEL STATUSLength(2 octets)Route Distinguisher(8 octets)CE ID(2 octets)Label-block Offset(2 octets)Label Base(3 octets)Variable TLVs(0 to N octets).HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential BGP Layer2-Info Extended CommunitylExtended Community TypeTBDlEncapsulation Type标识二层封装类型,e.g.,ATM,Frame Relay etc.lControl FlagsMBZ：MUST Be ZeroC：1表示需要控制字；0为不需要S：1表示需要序列号；0为不需要Q&F：保留lLayer-2 MTUExtended community type(2 octets)Encaps Type(1 octet)Cntrl Flags(1 octet)Layer-2 MTU(2 octet)Reserved(2 octets)MBZ QFCSHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 封装类型0Reserved7PPP1Frame Relay8CEM 82ATM AAL5 VCC transport9ATM VCC cell transport3ATM transparent cell transport10ATM VPC cell transport4Ethernet VLAN11MPLS5Ethernet12VPLS6Cisco-HDLC64IP-interworkingHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential PURE IPlIP-only Layer 2 Interworking 在INGRESS端，二层帧头全部剥离取出IP报文进行转发；此时转发是用到的二层信息依然基于接收帧的二层信息。在EGRESS端，报文被重新封装成二层帧然后发送给CE，此时二层转发信息是依靠VC LABEL来获得的。INGRESS端和相应CE端的链路类型独立于EGRESS端和相应CE端的链路类型，因此这种情况下L2VPN独立于链路类型目前这一块只有理论，并没有实现Tunnel EncapVPN LabelL2 FrameTunnel EncapVPN LabelIP PacketHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential kompella优点l自动拓扑发现以MP-BGP为信令传播相应信息l组网灵活，部署方案成熟route-targetl部分解决配置的n方问题余额配置l同时支持本地、远程虚拟链路l支持不同接入方式IP Interworkingl跨域的解决方式与MPLS L3 VPN类似HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第二章第二章MPLS L2 VPN 原理原理 第一节第一节 报文结构报文结构 第二节第二节 CCC 第三节第三节 Martini 第四节第四节 SVC 第五节第五节 Kompella 第六节第六节第六节第六节 L2VPN L2VPN 的比较的比较的比较的比较HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential MPLS L2 VPN 比较比较项目比较项目KompellaMartiniCCCSVC信令协议BGPLDP否否隧道情况GRE、LSP，共用GRE、LSP，共用专门的静态LSP，独占GRE、LSP，共用应用场景密集模式稀疏模式NANA扩展性支持过量配置，较好差很差差本地连接是否是否HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 相互对比：L3VPN VS L2VPN项目项目BGP/MPLS VPNKompella L2 VPNMartinni L2 VPNPE设备开销内存开销大，接口资源消耗小，信令协议开销小内存开销小，接口资源消耗大，信令协议开销小内存开销小，接口资源消耗大，信令协议开销大VPN拓扑扩散方式BGP自动发现BGP自动发现手工配置VPN路由扩散方式通过PE设备扩散，收敛慢在CE之间直接扩散，收敛快在CE之间直接扩散，收敛快CE的接入方式任何2层连接、2层隧道和3层隧道，同一个VPN中不同站点接入方式可以不相同ATM、FR、PPP、HDLC、Ethernet（VLAN)不同封装之间不能互通PURE IPATM、FR、PPP、HDLC、Ethernet（VLAN)不同封装之间不能互通HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 相互对比：L3VPN VS L2VPN项目项目BGP/MPLS VPNKompella L2 VPNMartinni L2 VPNVPN嵌套能力支持不支持不支持多播支持能力协议开销大，转发开销小协议开销小，转发开销大协议开销小，转发开销大协议独立性只能承载IP承载任何3层协议承载任何3层协议隧道的多样性支持LSP/GRE/IPSec支持LSP/GRE支持LSP对传统VPN的继承性对传统2层VPN的扬弃改进继承传统2层VPN改进继承传统2层VPN标准的成熟度成熟较成熟不成熟易用性简单较复杂复杂可管理性外包路由、分权管理外包拓扑、集中管理外包拓扑、集中管理谢谢