MPLS二层VPN原理.ppt

《MPLS二层VPN原理.ppt》由会员分享，可在线阅读，更多相关《MPLS二层VPN原理.ppt（48页珍藏版）》请在咨信网上搜索。

1、HUAWEI TECHNOLOGIES CO.,LTDHUAWEI Confidential Security Level:MPLSMPLS二层二层VPNVPN原理原理HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 学习完本课程，您应该能够：了解MPLS L2 VPN产生的背景理解MPLS L2 VPN的原理掌握MPLS L2 VPN的实现方式HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第一章第一章第一章第一章MPLS L2 VPNMPLS L2 VPN简介简介简介简介第二章第二章MPLS L2

2、 VPN 实现方式实现方式第三章第三章MPLS L2VPN与与BGP/MPLS VPN比较比较 HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential MPLS L2VPN的引入-传统VPN面临的困境租赁专线（leased line）方式主要缺点是：建设时间长，价格昂贵，难于管理。虚电路方式（主要有FR和ATM）虚电路方式与租赁专线相比，建设时间短、价格低依赖于专用的介质（如ATM或FR）：在不同类型的网络（如ATM、FR）上提供业务，需要建设并维护独立的网络其速率较慢配置较复杂HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Con

3、fidential MPLS L2VPNMPLS L2VPN提供基于MPLS网络的二层VPN服务，使运营商可以在统一的MPLS网络上提供基于不同介质的二层VPN，如ATM、FR、Ethernet、PPP。同时，MPLS网络仍可以提供MPLS L3 VPN、流量工程和QoS等服务。简单来说，MPLS L2VPN就是在MPLS网络上透明传输用户二层数据。从用户的角度来看，MPLS网络是一个二层交换网络，可以在不同节点间建立二层连接。虚电路虚电路TunnelCustomer SiteCustomer SiteCustomer SiteCustomer SitePEPEMPLS NetworkHUAW

4、EI TECHNOLOGIES CO.,LTD.HUAWEI Confidential MPLS方式的L2VPN的特点扩展了运营商的网络功能和服务能力具有更高的可扩展性管理责任分工明确用户数据私有、安全配置简单（N方的解决，主要体现在隧道复用）多协议支持HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential MPLS L2VPN的基本架构MPLS L2VPN的基本架构可以分为AC、VC和Tunnel三个部分AC（Attachment Circuit）：接入电路。AC是一条连接CE和PE的独立的链路或电路。AC接口可以是物理接口或逻辑接口。AC属性包括封装

5、类型、最大传输单元MTU、以及特定链路类型的接口参数。VC（Virtual Circuit）：虚电路。这里指在两个PE节点之间的一种逻辑连接。Tunnel（Network Tunnel）：隧道，用于透明传送用户数据。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential MPLS L2VPN基本原理MPLS L2VPN也是通过标签栈实现用户报文在MPLS网络中的透明传送。外层标签（称为Tunnel标签）用于将报文从一个PE传递到另一个PE。内层标签（在MPLS L2VPN中称为VC标签）用于区分不同VPN中的不同连接，接收方PE根据VC标签决定将报文转发

6、给哪个CE。L2 PDU（Protocol Data Unit）是链路层报文；T是Tunnel标签；V是VC标签；T表示转发过程中外层标签被替换。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential MPLS L2 VPN的报文结构控制字主要有三个功能：1、报文转发是需要的序列号2、当最小的mtu大于实际的传输报文时需要进行填充3、二层帧头中需要携带的控制位HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential MPLS L2VPN的分类与扩展 VPWS（Virtual Private Wire Service）

7、：VPWS是指在分组交换网络PSN（Packet Switched Network）中尽可能真实地模仿ATM、帧中继、以太网、低速TDM电路和SONET/SDH等业务的基本行为和特征的一种二层业务承载技术。本质上，VPWS技术是一种点到点的虚拟专线技术，能够支持几乎所有的链路层协议。VPLS（Virtual Private LAN Service）：VPLS是通过分组交换网络PSN（Packet Switched Network）连接多个以太网LAN网段，使它们像一个LAN那样工作。VPLS也称为透明局域网服务TLS（Transparent LAN Service）或虚拟专用交换网服务。不同于

8、普通L2VPN的点到点业务，利用VPLS技术，服务提供商可以通过MPLS骨干网向用户提供基于以太的多点业务。PWE3（Pseudo-Wire Emulation Edge to Edge）：是一种端到端的二层业务承载技术。PWE3对VPWS进行了扩展，主要表现在对Martini方式的扩展。MPLS L2VPN包括VPWS和VPLS两种方式 HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第一章第一章MPLS L2 VPN 概述概述第二章第二章第二章第二章MPLS L2 VPN MPLS L2 VPN 实现原理实现原理实现原理实现原理 第一节第一节

9、第一节第一节 VPWS VPWS介绍介绍介绍介绍 第二节第二节 VPLS介绍介绍 第三节第三节 PWE3介绍介绍第三章第三章MPLS L2VPN与与BGP/MPLS VPN比较比较 HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VPWS实现方式CCC、SVC方式不使用信令协议，通过静态配置VC标签的方式来实现MPLS L2VPN。Martini方式使用LDP信令，通过LDP信令协议传递二层信息和VC标签的方式来实现MPLS L2VPN。Kompella方式使用BGP信令，通过BGP信令协议传递二层信息和VC标签的方式来实现MPLS L2VPN。

10、VPWS的实现方式分为的实现方式分为4种种：CCC、SVC、Martini、KompellaHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential CCC方式概述 CCC是Circuit Cross Connect（电路交叉连接）的缩写，是一种静态配置VC连接的方式。CCC方式分为本地CCC连接和远程CCC连接VPN2Site1Site2Site2VPN1Site1VPN1ISP networkCCC 本地连接CCC 远程连接PPPPPE1PE2PE3CECECEHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidentia

11、l CCC方式的报文转发举例CCC远程连接PE1PPE2CE1CE2L2 PDU100L2 PDU101L2 PDUL2 PDUHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Static VC方式概述SVC的模式是在PE上直接根据VC ID来分配内层标签。SVC的外层标签（公网隧道）由MPLS LDP建立。内层标签在配置VC的时候进行手工指定，PE之间不需要信令来传递标签信息。VPN2VPN2Site2VPN2VPN2Site1VPN1VPN1Site2VPN1VPN1Site1运营商网络VLAN 10VLAN 101001300VLAN 10

12、VLAN 10LSP1CECECECEPPPE-1PE-0L2数据1003300L2数据1002300L2数据HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Martini方式概述Martini方式使用两层标签，内层标签是采用扩展的LDP作为信令进行交互。在Martini草案中对标准的LDP进行了扩展，增加了FEC类型（VC FEC）用于VC标签的交换。此外，如果交换VC标签的两个PE不是直接相连的，必须建立Remote LDP会话，在这个会话上传递VC FEC和VC标签。VPN1VPN1Site2VPN1VPN1Site1运营商网络VLAN 1

13、0VLAN 10VLAN 10VLAN 10LSP1CECEPPPE-1PE-0Remote LDPRemote LDPHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Martini 的协议处理Martini的协议包括两部份Tunnel建立LDP 用来建立在PE之间建立Tunnel,其他的tunnels协议也可以使用如GRE.VC 建立通过LDP在两个PE 间建立远程邻居通过VCID来建立绑定关系，LDP为VC分配标签PE1CE2PE2CE1PVC-ID:1DLCI:100DLCI:200VC-ID:1(1,100;PE1)(1,200;PE2)

14、HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Martini协议处理及数据转发VPN2VPN2Site2VPN2VPN2Site1VPN1VPN1Site2VPN1VPN1Site1运营商网络VLAN 10VLAN 101001300VLAN 10VLAN 10LSP1CECECECEPPPE-1PE-0L2数据1003300L2数据1002300L2数据分配300分配4002001400L2数据2003400L2数据2002400L2数据HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Marti

15、ni优点在这种Martini方式中，由于在运营商网络中，只有PE设备需要保存少量的VC label&LSP的映射等少量信息，P设备不包含任何二层VPN信息，所以扩展性好。当需要新增加一条VC时，只在相关的两端PE设备上各配置一个单方向VC连接即可，不影响网络的运行。它配置、实现相对简单，没有VPN的概念，只是提供二层链路的连接性，易于理解。Martini方式适合稀疏的二层连接，例如星型连接。VPN1VPN1Site2VPN1VPN1Site1运营商网络CECEPPPE-1PE-0VPN1VPN1Site3CEPE-2HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Conf

16、idential Kompella方式概述Kompella方式的L2VPN与三层BGP/MPLS VPN很相似，是使用BGP作为交换信令。与MPLS L3 VPN类似，各个PE之间使用BGP作为传递二层信息和VC标签的信令协议，在MPLS网络上以端到端（CE到CE）方式实现L2VPN。类似于BGP/MPLS VPN Kompella方式也使用VPN Target来进行VPN路由收发的控制，给组网带来了很大的灵活性。区别是kompella传送的是二层信息，而MPLS BGP VPN传送的是三层路由信息，为此kompella进行了相应的BGP NLRI扩展处理的信息不同了，那么发送接受二层信息的流

17、程也发生了相应的变化。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Kompella方式的结构Kompella方式的MPLS L2VPN既支持远程连接，也支持本地连接。VPN1的Site1和Site2，通过Kompella远程连接（红色虚线）互连。VPN2的Site1和Site2，通过Kompella本地连接（蓝色虚线）互连。ISP networkPPPPPE1PE2Site1Site2Site1Site2VPN1VPN1VPN2CECECECEKompella远程连接Kompella本地连接HUAWEI TECHNOLOGIES CO.,LT

18、D.HUAWEI Confidential Kompella方式的报文交互过程Kompella方式的报文交互过程与Martini方式的报文交互过程类似，都使用标准的两层标签。Martini方式的内层标签是采用扩展的LDP作为信令进行交互，而Kompella方式的内层标签则是采用MP-BGP作为信令进行交互，两者VC表项的形式略有不同。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Kompella方式-VC标签的计算1.Kompella的实现相对复杂，主要是VC标签的计算部分。2.Kompella方式的内层标签则是采用MP-BGP作为信令进行交互

19、，BGP交互的内容是标签块，也就是Label Block。标签块是一个连续的标签范围。需要定义几个值：a.标签块的起始标签LB（Label Base）b.块的大小LR（Label Range）c.偏移量LO（Label-block Offset）.d.CE ID:标识CE.PE1PE2CEID:1CEID:2100010011002CE1 Label Block1LB=1000LR=3LO=0200020012002CE2 Label Block1LB=2000LR=3LO=0HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Kompella方式-

20、VC标签的计算ISP networkPPPPPE1PE2CE1CE4CE2CE3100010011002100310041005100610071008PE Label BlockCE1 Label Block1LB=1000LR=3LO=0CE2 Label Block1LB=1003LR=3LO=0CE1Label Block2LB=1006LR=3LO=3偏移量LO的应用：HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Kompella方式-VC标签计算计算方法：PE-A为CE-n分配内层标签为（LBn+m-LOn），即VC的出标签；PE-

21、A为CE-m分配内层标签为（LBm+n-LOm），即VC的入标签。其中m、n为CE ID。入标签出标签标签传送方法：实际上就是对BGP NLRI进行扩展。引入了新的sub-TLV。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Kompella方式的VC标签计算-举例 假设PE之间都是通过BGP来交换标签块的信息。全部公网LSP隧道都处于正常UP的状态，只需要进行VC标签的计算。图中CE1的CE ID为1，CE2的CE ID为2，以此类推。（local:LBm+n-LOm）（remote:LBn+m-LOn）HUAWEI TECHNOLOGIES

22、 CO.,LTD.HUAWEI Confidential kompella优点自动拓扑发现以MP-BGP为信令传播相应信息组网灵活，部署方案成熟route-target部分解决配置的n方问题余额配置同时支持本地、远程虚拟链路支持不同接入方式IP Interworking跨域的解决方式与MPLS L3 VPN类似HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第一章第一章MPLS L2 VPN 概述概述第二章第二章第二章第二章MPLS L2 VPN MPLS L2 VPN 实现原理实现原理实现原理实现原理 第一节第一节 VPWS介绍介绍 第二节第二

23、节第二节第二节 VPLS VPLS介绍介绍介绍介绍 第三节第三节 PWE3介绍介绍第三章第三章MPLS L2VPN与与BGP/MPLS VPN比较比较 HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VPLS概述VPLS也称为透明局域网服务TLS（Transparent LAN Service）。服务提供商可以通过MPLS骨干网向用户提供基于以太网的多点业务。VPLS的主要目的就是通过分组交换网络PSN连接多个以太网LAN网段，使它们像一个LAN那样工作。VPLS-AVPLS-BCECEPEPEPEEmulated LANVPLS-ACEVPLS

24、-AVPLS-BCECEsite1site2site3site4site5HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 以太网概述回顾一下以太网的优点及基本特性优点：技术简单，应用普遍。有高带宽/成本比等优势。主要特性：未知MAC的广播 MAC地址学习及转发支持STP（冗余及保护）支持VLAN应用LSWMAC地址PORTMAC AETH 5MAC BETH 6MAC CETH 7CAM表MAC AMAC BMAC CHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 为何选VPLSVPRN和VPWS也

25、能提供局域网服务，但传统以太网技术的局限性依然存在：无法限制未知MAC的广播泛滥。VLAN地址空间有限。VPLS:VPLS骨干网不需要运行STP，而是使用全连接和水平分割来消除骨干网的环路。对于单播或多播不可知帧，可采取丢弃、本地处理和广播的处理方式。VPLS支持Q-in-Q方式，不受VLAN地址空间的限制。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VPLS的实现VSI（Virtual Switch Instance）：虚拟交换实例。通过VSI，可以将VPLS的实际接入链路映射到各条虚链接上。虚链路PW（Pseudo-Wires）：在两个V

26、SI之间的一条双向的虚拟连接，VSI由一对单向的MPLS VC构成。转发器（Forwarders）：PE的一种。PE收到AC上送的数据帧，由转发器选定转发报文使用的PW，转发器事实上就是VPLS的转发表。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VPLS的实现-控制平面控制平面控制平面PW间隧道的建立有两种方式：间隧道的建立有两种方式：LDP（Martini方式）MP-BGP（Kompella方式）VPLS的实现主要分为：的实现主要分为：1、控制平面（隧道的建立）、控制平面（隧道的建立）2、数据平面（数据的转发）、数据平面（数据的转发）HU

27、AWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VPLS的实现-数据平面MAC地址学习及泛洪 HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VPLS的实现-数据平面MAC地址回收及老化 MAC:0001-1111-abcdIP:1.1.1.1/24VLAN:10MAC:0001-2222-abcdIP:1.1.1.2/24VLAN:10MAC:0001-3333-abcdIP:1.1.1.3/24VSIMACPortVPN10001-1111-abcdvlan10,port1VPN10001-2222

28、-abcdpw1PW1PW2PW3VSIMACPortVPN10001-1111-abcdpw2VSIMACPortVPN10001-1111-abcdpw1VPN10001-2222-abcdvlan10,port1PC1PC2PC3PE1PE2PE3ARP BroadcastARP ReplyHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VPLS的实现-环路的防止 VPLS中，使用“全连接”和“水平分割转发”来避免环路。PW1PW2PW3PC1PC2PC3PE1PE2PE3ARP BroadcastARP ReplyHUAWEI TECHN

29、OLOGIES CO.,LTD.HUAWEI Confidential VPLS的实现-AC上的报文封装VLAN接入：CE发送到PE或PE发送到CE的以太网帧头带有一个VLAN TAG。该TAG是一个ISP为了区分用户而要求用户打上的“服务定界符”，称为P-TAG（Provider-TAG）。Ethernet接入：CE发送到PE或PE发送到CE的以太网帧头中不带P-TAG。如果此时帧头中有VLAN TAG，则它只是用户报文的内部VLAN TAG称为U-TAG（User-TAG）。U-TAG是该报文在发送到CE前已携带，而不是CE打上的，用于CE区分该报文的VLAN，对于PE设备没有意义。ACA

30、CPWPE-BPE-ACE-mCE-nMPLSnetworkHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VPLS的实现-PW上的报文封装Raw模式：P-TAG不在PW上传输。Tagged模式：上送到PW的帧必须带P-TAG传输。ACACPWPE-BPE-ACE-mCE-nHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VPLS的实现-报文封装举例VLAN接入Tagged模式（带U-TAG）HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第一章第一章

31、MPLS L2 VPN 概述概述第二章第二章第二章第二章MPLS L2 VPN MPLS L2 VPN 实现原理实现原理实现原理实现原理 第一节第一节 VPWS介绍介绍 第二节第二节 VPLS介绍介绍 第三节第三节第三节第三节 PWE3 PWE3介绍介绍介绍介绍第三章第三章MPLS L2VPN与与BGP/MPLS VPN比较比较 HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential PWE3概述PWE3属于点到点方式的二层VPN技术，Martini方式的L2VPN是PWE3的一个子集。PWE3采用了Martini L2VPN的部分内容，包括信令LDP和

32、封装模式。同时，PWE3对Martini方式的L2VPN进行了扩展。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential PWE3-控制层面的扩展 LDP信令增加了Notification消息。只通告状态，不拆除信令，除非配置删除或者信令协议中断。这样能够减少控制报文的交互，降低信令开销，兼容原来的LDP和Martini方式。TDM接口扩展支持更多的电信低速TDM接口。多跳扩展增加PW多跳功能，扩展了组网方式。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential PWE3-数据平面的扩展 实时信息的扩展。引入R

33、TP（Real-time Transport Protocol），进行时钟提取和同步。保证电信信号的带宽、抖动和时延。对报文进行乱序重传。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential PWE3实现-数据转发HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第一章第一章MPLS L2 VPN 概述概述第二章第二章MPLS L2 VPN 实现原理实现原理 第一节第一节 VPWS介绍介绍 第二节第二节 VPLS介绍介绍 第三节第三节 PWE3介绍介绍第三章第三章第三章第三章MPLS L2VPNMPLS L

34、2VPN与与与与BGP/MPLS VPNBGP/MPLS VPN比较比较比较比较 HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential MPLS L2 VPN 比较比较项目比较项目KompellaMartiniCCCSVC信令协议BGPLDP否否隧道情况GRE、LSP，共用GRE、LSP，共用专门的静态LSP，独占GRE、LSP，共用应用场景密集模式稀疏模式NANA扩展性支持过量配置，较好差很差差本地连接是否是否HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 相互对比：L3VPN VS L2VPN项目项目

35、BGP/MPLS VPNKompella L2 VPNMartinni L2 VPNPE设备开销内存开销大，接口资源消耗小，信令协议开销小内存开销小，接口资源消耗大，信令协议开销小内存开销小，接口资源消耗大，信令协议开销大VPN拓扑扩散方式BGP自动发现BGP自动发现手工配置VPN路由扩散方式通过PE设备扩散，收敛慢在CE之间直接扩散，收敛快在CE之间直接扩散，收敛快CE的接入方式任何2层连接、2层隧道和3层隧道，同一个VPN中不同站点接入方式可以不相同ATM、FR、PPP、HDLC、Ethernet（VLAN)不同封装之间不能互通PURE IPATM、FR、PPP、HDLC、Ethernet（VLAN)不同封装之间不能互通谢谢