Dp500031 mpls l3 vpn
This presentation is the property of its rightful owner.
Sponsored Links
1 / 59

DP500031 MPLS L3 VPN 高级运用 PowerPoint PPT Presentation


  • 112 Views
  • Uploaded on
  • Presentation posted in: General

DP500031 MPLS L3 VPN 高级运用. ISSUE 1.0. 前 言. MPLS 技术在网络中大规模的运用,使的服务提供商为客户提供更好的扩展 / 增值服务。但是要想在众多厂商激烈的竞争中脱颖而出,通过实现 MPLS 众多功能能够很容易获得成功。. 参考资料. VRP5 操作手册 VPN 分册 跨域技术白皮书 HoPE 技术白皮书 RFC 2547 , RFC 3107. 目 标. 学习完此课程,您将会: 了解 MPLS VPN 跨域, HoPE ,访问 Internet ,多主机接入等技术 掌握这些技术的细节 掌握各项技术在实际中的运用.

Download Presentation

DP500031 MPLS L3 VPN 高级运用

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Dp500031 mpls l3 vpn

DP500031 MPLS L3 VPN高级运用

ISSUE 1.0


Dp500031 mpls l3 vpn

前 言

MPLS技术在网络中大规模的运用,使的服务提供商为客户提供更好的扩展/增值服务。但是要想在众多厂商激烈的竞争中脱颖而出,通过实现MPLS众多功能能够很容易获得成功。


Dp500031 mpls l3 vpn

参考资料

  • VRP5操作手册VPN分册

  • 跨域技术白皮书

  • HoPE技术白皮书

  • RFC 2547,RFC 3107


Dp500031 mpls l3 vpn

目 标

学习完此课程,您将会:

  • 了解MPLS VPN跨域,HoPE,访问Internet,多主机接入等技术

  • 掌握这些技术的细节

  • 掌握各项技术在实际中的运用


Dp500031 mpls l3 vpn

内容介绍

第1章 跨域解决方案

第2章 HoPE解决方案

第3章 Internet 连接解决方案

第4章 多角色主机技术


Dp500031 mpls l3 vpn

内容介绍

  • 第1章 跨域解决方案

    • 1.1 跨域技术解决方案

    • 1.2 Carrier‘s Carrier解决方案


Mpls vpn

跨域MPLS VPN业务

跨域VPN的产生

  • 在MPLS技术体系中,MPLS域与路由的AS是重叠的。但实际组网中,经常有MPLS域跨越多个AS的情况:

    • 运营商网络一个省为一个AS,要求跨省提供MPLS VPN业务;

    • 运营商之间相互合作(特别是国际业务上,与国外运营商之间的合作)

  • 为了实现这些业务,MPLS VPN就必须解决跨域的问题。跨域问题有两个方面:

    • 技术问题:如何把VPN-IPv4路由和VPN标记扩散到另一个AS;

    • 管理问题:一般不允许跨域建立LSP(对于运营商合作的情况特别重要)


Mpls vpn1

跨域MPLS VPN业务

  • 现在解决MPLS VPN跨域问题的技术方案有三种:

    • VRF-TO-VRF(背靠背方式);

    • MP-eBGP for VPNV4(单跳的MP-EBGP方式)

    • Multi-Hop MP-eBGP(多跳的MP-EBGP方式)

3种解决方案


Mpls vpn2

不同的区域或者不同的运营商有着不同的自治域。

相同的VPN出现在不同的AS里。

跨域MPLS VPN业务

解决方案的描述

ASBR-1

ASBR-2

Back-to-back VRFs

MP-eBGP for VPNv4

Multi-hop MP-eBGP

AS #200

AS #100

PE-1

PE-2

CE-2

CE-1

VPN-A-1

VPN-A-2


1 vrf to vrf

跨域解决方案1: VRF-to-VRF

VRF-to-VRF概述

VPN1-CE1

VPN1-CE2

ASBR-1

ASBR-2

MP-iBGP

MP-iBGP

PE

PE

AS#100

AS#200

PE

PE

VPN2-CE1

VPN2-CE2

MP-iBGP

MP-iBGP

为每个VPN创建一个VRF和一个逻辑接口

VPN-LSP1

VPN-LSP2

IP Forwarding

LSP-2

LSP-1

ASBR-2

ASBR-1

PE

PE

  • ASBR 把对端的ASBR 作是自己的CE, 将会为每一个VPN创建VRF. 在两个ASBR之间是IP转发的过程,在AS内部使用MPLS转发。

  • 优点: 简单,不要扩展协议和做特殊的配置,属于天然支持。在需要跨域的VPN数量比较少的情况,可以考虑使用。

  • 缺点: ASBR需要为每个VPN创建一个VRF, 如果跨多个域,配置的工作量很大,扩展性太差。


1 vrf to vrf1

跨域解决方案1: VRF-to-VRF

路由信息的扩散

BGP, OSPF, RIPv2 161.10.1.0/24,NH=CE-1

BGP, OSPF, RIPv2 161.10.1.0/24,NH=PE-3

VPN-v4 update:RD:1:27:161.10.1.0/24, NH=PE-1RT=100:1, Label=(L1)

VPN-v4 update:RD:1:27:161.10.1.0/24, NH=ASBR-2RT=100:1, Label=(L2)

VPN1-CE1

VPN1-CE2

MP-iBGP

ASBR-1

ASBR-2

MP-iBGP

PE-1

PE-3

AS#100

AS#200

PE-4

PE-2

VPN2-CE1

VPN2-CE2

MP-iBGP

MP-iBGP

D:161.10.1.0/24

NH:ASBR-1

VPN-LSP1

VPN-LSP2

IP Forwarding

LSP-2

LSP-1

ASBR-2

ASBR-1

PE

PE


1 vrf to vrf2

跨域解决方案1: VRF-to-VRF

标签转换过程

161.10.1.1

VPN1-CE1

VPN1-CE2

161.10.1.1

ASBR-2

ASBR-1

PE

MP-iBGP

MP-iBGP

PE

Ly

L1

161.10.1.1

Lx

L2

161.10.1.1

AS#100

AS#200

PE

161.10.1.1

VPN2-CE1

VPN2-CE2

PE

MP-iBGP

MP-iBGP

为每个VPN创建一个VRF和一个逻辑接口

VPN-LSP1

VPN-LSP2

IP Forwarding

LSP-2

LSP-1

ASBR-2

ASBR-1

PE

PE


2 mp ebgp for vpnv4

跨域解决方案 2: MP-eBGP for VPNV4

MP-eBGP for VPNV4概述

VPN1-CE1

VPN1-CE2

ASBR-1

ASBR-2

PE

MP-iBGP

MP-iBGP

PE

MP-EBGP

AS#100

AS#200

PE

(VPN-V4)

PE

VPN2-CE1

VPN2-CE2

MP-iBGP

MP-iBGP

VPN-LSP2

VPN-LSP1

VPN-LSP3

LSP-2

LSP-1

ASBR-2

ASBR-1

PE

PE

  • 在ASBRs之间使用EBGP发布 VPN-IPv4 路由。

  • 优点:

    • 不需要在ASBR上为每个VPN创建VRF。

    • 不需要跨域扩展协议 , 容易管理和配置

  • 缺点: 这种方案需要在ASBR上保存所有的VPN路由,因此这本身就对路由器提出了更高的要求,使的ASBR更容易成为故障点。


2 mp ebgp for vpnv41

跨域解决方案 2: MP-eBGP for VPNV4

路由信息的扩散

BGP, OSPF, RIPv2 161.10.1.0/24,NH=PE-3

BGP, OSPF, RIPv2 161.10.1.0/24,NH=CE-1

VPN-v4 update:RD:1:27:161.10.1.0/24, NH=PE-1RT=100:1, Label=(L1)

VPN-v4 update:RD:1:27:161.10.1.0/24, NH=PE-ASBR-2RT=100:1, Label=(L3)

VPN1-CE1

VPN1-CE2

MP-iBGP

MP-iBGP

PE-3

ASBR-1

ASBR-2

PE-1

MP-EBGP

AS#100

AS#200

(VPN-V4)

PE-2

PE-4

VPN-v4 update:RD:1:27:161.10.1.0/24, NH=PE-ASBR-1RT=100:1, Label=(L2)

VPN2-CE1

VPN2-CE2

MP-iBGP

MP-iBGP

VPN-LSP2

VPN-LSP1

VPN-LSP3

LSP-2

LSP-1

ASBR-2

ASBR-1

PE

PE


2 mp ebgp for vpnv42

跨域解决方案 2: MP-eBGP for VPNV4

标签转换过程

VPN1-CE1

VPN1-CE2

161.10.1.1

161.10.1.1

Lx

L3

161.10.1.1

L1

161.10.1.1

PE-3

PE-1

L3

161.10.1.1

Ly

L1

161.10.1.1

MP-iBGP

ASBR-1

ASBR-2

MP-iBGP

MP-EBGP

AS#100

AS#200

PE-4

(VPN-V4)

PE-2

VPN2-CE1

MP-iBGP

MP-iBGP

VPN2-CE2

L2

161.10.1.1


3 multi hop ebgp

跨域解决方案3: Multi-Hop eBGP

Multi-Hop eBGP概述

Multi-Hop MP-EBGP(VPN V4)

VPN1-CE1

VPN1-CE2

ASBR-1

ASBR-2

MP-iBGP

MP-iBGP

PE

PE

EBGP

AS#100

AS#200

PE

PE

VPN2-CE1

VPN2-CE2

MP-iBGP

MP-iBGP

Multi-Hop MP-EBGP

VPN-LSP

MP-IBGP

BGP 4+

MP-IBGP

LSP-1

LSP-2

ASBR-2

ASBR-1

PE

PE

  • 在PE之间建立MP-EBGP邻居,通过这个连接分发VPN-IPV4路由。

  • 优点:

    • 这种方案应该说是最理想的,因为他符合MPLS VPN的体系结构的要求,只有PE知道VPN路由信息,P只负责报文转发。

    • 在跨越多个域时优势更加明显,而且这个方案支持负载分担等功能。

  • 缺点: 要对BGP做扩展,而且隧道的生成也是有别于普通的MPLS VPN结构,因此维护和理解起来难度比较大


3 multi hop ebgp1

跨域解决方案3: Multi-Hop eBGP

路由信息的扩散

VPN-v4 update:RD:1:27:162.11.1.0/24, NH=PE-1RT=100:1, Label=(L3)

VPN1-CE1

VPN1-CE2

Network=PE-1 NH=ASBR-2Label=(L10)

BGP, OSPF, RIPv2 162.11.1.0/24,

NH=PE-2

BGP, OSPF, RIPv2 162.11.1.0/24,

NH=CE-1

MP-iBGP

MP-iBGP

ASBR-1

ASBR-2

PE-1

PE-2

EBGP

AS#100

AS#200

PE-4

PE-3

Network=PE-1 NH=ASBR-1Label=(L9)

VPN2-CE1

VPN2-CE2

MP-iBGP

MP-iBGP


3 multi hop ebgp2

跨域解决方案3: Multi-Hop eBGP

标签转换过程

VPN1-CE1

VPN1-CE2

161.10.1.1

161.10.1.1

Lx

L10

L3

161.10.1.1

L3

161.10.1.1

PE-3

PE-1

L10

L3

161.10.1.1

Ly

161.10.1.1

L3

MP-iBGP

MP-iBGP

ASBR-1

ASBR-2

MP-EBGP

AS#100

AS#200

PE-4

PE-2

L9

L3

161.10.1.1

VPN2-CE1

VPN2-CE2

MP-iBGP

MP-iBGP


Dp500031 mpls l3 vpn

内容介绍

  • 第1章 跨域解决方案

    • 1.1 跨域技术的解决方案

    • 1.2 Carrier‘s Carrier解决方案


Carrier s carrier

Carrier’s Carrier解决方案

Carrier’s Carrier拓扑结构

MP-IBGP/Romete-Peer LDP

IBGP

LDP/BGP

LDP/BGP

LDP

LDP

LDP

2层 PE

1层 PE

1层 PE

2层 PE

1层 CE

1层 CE

2级运营商

1级运营商

2级运营商

VPNB

VPNA

VPNB

VPNA

二级运营商可以提供L2&L3 VPN


Carrier s carrier1

Carrier’s Carrier解决方案

  • 1级运营商采用MPLS/BGP VPN技术

    • 2级运营商不采用VPN技术

    • 2级运营商采用VPN技术

  • 1级运营商采用2层MPLS VPN技术

3种解决方案


Carrier s carrier2

2级运营商不提供MPLS/BGP VPN。

1级运营商没有2级运营商的IGP路由信息。

假设流量从CE-1到CE-2,LSP是从CE-1开始,到PE-2结束。

Carrier’s Carrier解决方案

解决方案一

MP-IBGP

BGP/LDP

MP-IBGP / LDP

BGP/LDP

PE-1

PE-2

CE-1

CE-2

Level-2 SP

Level-2 SP

Level-1 SP


Carrier s carrier3

2级运营商提供MPLS/BGP VPN。

Carrier’s Carrier解决方案

解决方案二

MP-IBGP / Remote Peer LDP

LDP

BGP/LDP

MP-IBGP / LDP

BGP/LDP

LDP

CE-1

PE-1

PE-2

CE-2

Level-2 SP

Level-2 SP

Level-1 SP

PE-3

PE-4

VPN 1

Site 1

VPN 2

Site 1

VPN 1

Site 2

VPN 2

Site 2


Carrier s carrier4

Carrier’s Carrier解决方案

解决方案三

MP-IBGP / Remote Peer LDP

LDP

MP-IBGP / LDP

LDP

CE-1

PE-1

PE-2

CE-2

Level-2 SP

Level-2 SP

Level-1 SP

PE-3

PE-4

VPN 1

Site 1

VPN 2

Site 1

VPN 1

Site 2

VPN 2

Site 2

  • 2级运营商提供MPLS L2 VPN。


Carrier s carrier5

Carrier’s Carrier解决方案

Carrier’s Carrier总结


Dp500031 mpls l3 vpn

内容介绍

第1章 跨域解决方案

第2章 HoPE解决方案

第3章 Internet 连接解决方案

第4章 多角色主机技术


Dp500031 mpls l3 vpn

内容介绍

  • 第2章 HoPE解决方案

    • 2.1 HoPE技术的背景

    • 2.2 HoPE技术的框架结构

    • 2.3 HoPE技术的应用


Dp500031 mpls l3 vpn

PE越往下移,由于路由更具体,要维护的路由数目更多!

HoPE技术的背景

PE设备的处境

核心层

汇聚层

接入层

  • PE设备在不同层次间的尴尬处境:

    • 接入层:容量小,无法承担。

    • 汇聚层:识别用户需要大量(子)接口,用户数目大,而接口数量有限。

    • 核心层:用户数目更大,接口数目更少,带宽粒度更粗


Dp500031 mpls l3 vpn

要求接口数目和存储容量同时增长,最终超出设备能力

网络规模扩大,本地和远程站点增加用户,也要求本地PE更多的存储容量

解决方法

PE扩容、替换

增加PE,分别负担一部分VPN用户

HoPE技术的背景

问题的出现

这是一种昂贵的解决方案


Dp500031 mpls l3 vpn

HoPE技术的背景

原因所在

  • 接入用户需要大量接口,处理用户报文需要大容量的内存和转发能力

  • PE难以同时具备大容量内存和大量接口

  • 典型的网络是分层的,边缘接口多,核心容量大

  • MPLS VPN是平面模型,PE无论处于网络中哪个位置,对内存容量的要求基本相同,甚至在PE向边缘扩展时,对内存容量要求更大,而同时网络设备的容量是下降的

关键点:MPLS VPN的模型同典型网络的模型不符合


Dp500031 mpls l3 vpn

HoPE技术的背景

Multi-VRF解决方案

  • 扩展CE的功能,具备VRF能力,称为Multi-VRF CE,简称VCE

  • VCE接入多个VPN用户,模拟多个CE设备

  • VCE同PE通过多个(子)接口连接

  • VCE只需要维护本地Site的路由

  • PE不需要做任何修改

VPN1 Site1

VPN2 Site1

VCE1

MPLS网络

PE

VPN1 Site2

VPN2 Site2

VCE2


Dp500031 mpls l3 vpn

HoPE技术的背景

Multi-VRF方案的缺陷

  • 在PE和VCE之间上要需要大量的接口、子接口,它们消耗有限的接口资源;

  • 在PE、CE上需要配置多个VRF,配置工作量大,而且重复;

  • PE和VCE之间交换路由时,如果使用动态路由协议,需要PE和VCE都运行多个实例,如果使用静态路由,则配置工作量大;

  • PE和VCE如果不是直接连接,而采用隧道接口时,每个VRF需要一个隧道,消耗资源大;

  • VCE之间要相互连接,传递VPN报文,从而减轻PE负担时,每个VRF需要一个接口/子接口

  • 最终实现的还是一种单层式的VPN接入,不能解决一个独立的MPLS VPN网络接入问题


Dp500031 mpls l3 vpn

内容介绍

  • 第2章 HoPE解决方案

    • 2.1 HoPE技术的背景

    • 2.2 HoPE技术的框架结构

    • 2.3 HoPE技术的应用


Dp500031 mpls l3 vpn

PE同另外一些PE相连,各有分工,完成传统上一个PE的功能

PE之间具有层次结构,直接连接VPN用户的称为UPE(Underlayer PE),位于网络内部的称为SPE(Superstratum PE)

UPE和SPE之间可以直接相连,也可以通过一个IP/MPLS网络相连

这种结构称为HoPE(Hierarchy of PE)

HoPE的框架结构

新的解决方案——PE的分层体系结构

VPN1 Site1

VPN1 Site3

VPN2 Site1

PE

UPE1

MP-BGP

MPLS网络

MPLS

SPE

网络

VPN1 Site2

VPN2 Site2

VPN2 Site3

UPE2

PE

分层式PE


Dp500031 mpls l3 vpn

HoPE的框架结构

UPE和SPE的分工

  • UPE仅维护其直接连接的VPN Site的路由,但不维护VPN中其它远程Site的路由;SPE维护其通过UPE所连接的Site所在的VPN中的所有路由,包括本地和远程Site中的路由

  • UPE为其直接连接的Site的路由分配内层标签,并发布给SPE;SPE只发布VRF默认路由给UPE,并携带标签

  • UPE和SPE之间采用标签转发,因而只需要一个(子)接口相互连接。若相隔一个IP/MPLS网络,采用GRE/LSP等隧道连接

UPE是一个传统的PE,而SPE要在传统PE的基础上增加功能


Dp500031 mpls l3 vpn

HoPE的框架结构

数据的转发过程

SPE1发布VPN默认路由给UPE,并携带一个内层标签

PE2为这个路由分配内层标签

CE2发布Site2中的一个路由

UPE发布默认路由给CE1

Dest/Mask

Dest/Mask, Li

0/0

0/0, L0

Site1

Site2

CE1

UPE

SPE1

P

PE2

CE2

Dest/Mask

Dest/Mask, L0

Dest/Mask, Li, Lo

Dest/Mask, Li

Dest/Mask

Site1访问Site2中的目的地址根据默认路由转发到UPE

根据VPN默认路由PUSH内层标签转发到SPE1

POP默认路由对应的内层标签,查看对应的VRF路由表PUSH内外层标签

倒数第二跳POP外层标签

POP内层标签


Dp500031 mpls l3 vpn

HoPE的框架结构

数据的转发过程

SPE1将UPE分配的标签替换为另外一个内层标签

UPE为路由分配内层标签发布给SPE1

PE2发布不带标签的路由给CE2

CE1发布Site1中的一个路由

Dest/Mask, Li1

Dest/Mask

Dest/Mask

Dest/Mask, Li2

Site1

Site2

CE1

UPE

SPE1

P

PE2

CE2

Dest/Mask

Dest/Mask, Li1

Dest/Mask, Li2

Dest/Mask, Li2, Lo

Dest/Mask

倒数第二跳POP外层标签

查找VRF路由表PUSH内外层标签

查找路由表转发到PE2

POP内层标签转发到CE1

SWAP内层标签


Dp500031 mpls l3 vpn

采用MP-BGP协议分布VPN-IPv4路由

SPE和UPE属于同一个运营商,采用MP-iBGP,SPE作为RR

SPE和UPE属于不同运营商,采用MP-eBGP,UPE一般使用私有AS号码

SPE根据UPE上VRF import route-target list的合集构造全局import route-target list

UPE通过ORF机制传递import route-target list,SPE自动生成

SPE上手工生成

HoPE的框架结构

SPE-UPE协议

VPN路由(标签)

ORF(扩展团体列表)

VRF1

Import route-target 100:1

Global

Import route-target

100:1, 200:1

VRF2

Import route-target 200:1

VRF默认路由(标签)

UPE

SPE


Dp500031 mpls l3 vpn

通过任何形式的接口/子接口连接

通过隧道接口连接

MP-BGP可以跨越多跳

采用LSP时,UPE/SPE运行LDP/RSVP-TE

HoPE的框架结构

SPE

SPE-UPE连接

专线

LSP

GRE隧道

UPE

UPE

一对SPE/UPE间只需要一个连接


Dp500031 mpls l3 vpn

HoPE的框架结构

SPE

  • 一个分层PE作为UPE(SPE)同另外一个SPE(UPE)组成新的分层PE

  • 中间的PE称为MPE

  • SPE在连接一个分层PE的同时,可以连接单个的UPE

分层PE的嵌套

VRF默认路由

VRF默认路由

MPE

UPE

VRF默认路由

VRF默认路由

UPE

UPE

VPN2

VPN1

Site3

Site3

VPN1

VPN1

VPN2

VPN2

Site1

Site2

Site2

Site1

无穷嵌套


Dp500031 mpls l3 vpn

UPE同多个SPE连接

多个SPE都向UPE发布VRF默认路由,UPE选择其中一个作为优选路由,或者选择多个路由进行负载分担

UPE向多个SPE发布其VPN路由,可以全部发布给所有SPE,也可以给每个SPE发布一部分VPN路由,从而形成负载分担

HoPE的框架结构

多归路的UPE

SPE1

SPE2

VPN1

路由

VPN2

路由

VRF默认路由

VRF默认路由

UPE

VPN1

Site

VPN2

Site


Dp500031 mpls l3 vpn

SPE在连接UPE的同时,仍然能连接CE

同一个VPN的site通过SPE互通

HoPE的框架结构

SPE同时连接UPE和CE

SPE

CE

UPE

VPN1

Site1

VPN1

Site2

VPN2

Site2


Dp500031 mpls l3 vpn

UPE间建立后门连接,VPN站点通过这个连接直接通信,不需要通过SPE

UPE间通过MP-BGP对等,交换路由

UPE间可以跨越一个网络

HoPE的框架结构

UPE之间的后门连接

SPE

后门连接

UPE2

UPE1

MP-BGP

VPN1

Site1

VPN2

Site1

VPN1

Site2

VPN2

Site2


Dp500031 mpls l3 vpn

HoPE的框架结构

最完善的解决方案

  • SPE和UPE之间只需要一个接口/子接口,节约有限的接口资源;

  • SPE不需要重复配置UPE上已经配置的VRF,配置工作量小;

  • SPE和UPE通过动态路由协议MP-BGP交换路由、发布标签,每一个UPE只要运行这样的一个对等体,协议开销小,配置工作量小;

  • SPE和UPE可以通过隧道接口连接,从而可以跨越一个网络。特别的,这可以是一个MPLS网络,在分层部署MPLS VPN时,有良好的可扩展性;

  • UPE之间的后门连接,可以减轻SPE的负担,并且UPE之间只需要一个接口/子接口;

BGP/MPLS VPN可以逐层部署。当UPE的性能不够的时候,可以添加一个SPE,将UPE的位置下移。当SPE的接入能力不足的时候,可以为其添加UPE


Dp500031 mpls l3 vpn

内容介绍

  • 第2章 HoPE解决方案

    • 2.1 HoPE技术的背景

    • 2.2 HoPE技术的框架结构

    • 2.3 HoPE技术的应用


Dp500031 mpls l3 vpn

HoPE的应用

SPE

SPE

金融/政务网的应用

MPLS骨干网

NE80/NE40/NE20/NE20s

NE16/08/05

SPE

NE08/NE05

R3680

MPE

地市

R3680

R2630

UPE

VPN1

Site1

VPN2

Site1

VPN1

Site1

VPN2

Site1

VPN1

Site1

VPN2

Site1

VPN1

Site1

VPN2

Site1


Dp500031 mpls l3 vpn

HoPE的应用

在城域网中的应用

核心

核心

接口数

目不足

C75XX

C6509

NE16/08

S8016

C75XX

C6509

NE16/08

S8016

汇聚(SPE)

汇聚(PE)

NE05

R3680

接入

接入(UPE)

路由容

量不足

路由容

量不足

NE80

NE80

核心(SPE)

核心(SPE)

接口数

目不足

C75XX

C6509

NE16/08

S8016

NE16/08

S8016

C75XX

C6509

汇聚(UPE)

汇聚(MPE)

NE05

R3680

接入

接入(UPE)


Dp500031 mpls l3 vpn

HoPE的应用

在城域网-骨干网跨域应用

ASBR

SPE

NE80

骨干网

域内全

部路由

域内全

部路由

VRF默

认路由

VRF默

认路由

ASBR/RR

UPE

NE80/40/20

NE16/08

城域网A

城域网B


Dp500031 mpls l3 vpn

内容介绍

第1章 跨域解决方案

第2章 HoPE解决方案

第3章 Internet 连接解决方案

第4章 多角色主机技术


Internet

Internet连接解决方案

Internet连接的3种方法

  • 在任何一种网络中,用户希望访问Internet,这是不可避免的一个问题。

  • 在MPLS VPN网络中,有3种解决方法:

    • 通过外部ISP的Internet连接

    • 静态默认路由的Internet连接

    • 配置子接口的Internet连接


Internet1

Internet连接解决方案

通过外部ISP的Internet连接

CE1

外部用户ISP

VPN1

Eudemon

PE1

VPN1

VPN1

MPLS VPN

骨干网

CE3

CE2

PE2

PE3

  • 优点:VPN1的所有站点都将通过CE1为出口,方便管理。所以这种方法也称为集中式接入,在实际运用中被广泛使用。

  • 缺点:多条默认路由可能被加入到VPN的VRF实例,这可能导致多个默认的网关的数据包转发不是最优化。


Internet2

Internet连接解决方案

静态默认路由的Internet连接

CE1

VPN1

.1

61.1.1.0

.2

外部用户ISP

PE1

VPN1

VPN1

MPLS VPN

骨干网

CE3

CE2

PE3

PE2

  • 优点:通过PE接入Internet,VPN的每个站点都可以通过自己的PE接入Internet,方便用户各自管理,我们称之为分散式接入。

  • 缺点:CE上的网段将被公布到公网上,安全系数比较低,CE上需要做NAT。


Internet3

特点:CE与PE的连接将使用子接口的方式(如上图所示),一个子接口负责VPN通信,一个负责访问公网。

Internet连接解决方案

配置子接口的Internet连接

CE1

VPN1

PE1

外部用户ISP

VPN1

VPN1

MPLS VPN

骨干网

CE3

CE2

PE2

PE3


Dp500031 mpls l3 vpn

内容介绍

第1章 跨域解决方案

第2章 HoPE解决方案

第3章 Internet 连接解决方案

第4章 多角色主机技术


Dp500031 mpls l3 vpn

多角色主机解决方案

选择方式

  • 客户端选择方式

    • L2TP接入PE

    • PPPOE接入PE

    • 802.1X与VPN的映射

    • VLAN+Web

  • PE选择方式

    • 基于ACL识别VPN


Dp500031 mpls l3 vpn

多角色主机解决方案

客户端选择方式

主机通过L2TP隧道接入

Radius/CAMS

PE

L2TP

MPLS VPN

VLAN

LNS

多角色主机

PE根据用户名和密码动态导入不同的VPN,分配不同的IP地址。

  • ACCESS MPLS VPN的典型应用

  • L2TP适配器可以代替真实网卡

  • 利用L2TP认证机制实现VPN动态选择


Dp500031 mpls l3 vpn

多角色主机解决方案

多用途服务器

Firewall

PE

MPLS VPN

共享服务器

VRF

为多用途服务器配置VRF。配置Firewall保护服务器。

  • 多个VPN共享,位置固定、角色固定。

  • 为多用途服务器配置一个专用VRF,与多个VPN交换路由。

  • 多用途服务器IP地址全局唯一。

  • 对服务器增加安全保护。


Dp500031 mpls l3 vpn

  • 跨域,HoPE,访问Internet,多角色主机等技术是非常实用的技术,是MPLS技术的扩展,很好的解决了现有网络中存在的许多问题。

  • 我们要掌握这些技术的细节,以便在将来的使用或者Troubleshooting中得心应手。

小结


  • Login