BGPMPLSVPN原理-20090603.ppt
《BGPMPLSVPN原理-20090603.ppt》由会员分享,可在线阅读,更多相关《BGPMPLSVPN原理-20090603.ppt(61页珍藏版)》请在三一文库上搜索。
1、Page 1,BGP MPLS VPN原理,ISSUE 2.0,,Security Level:,Page 2,内容介绍,第一章 MPLS 原理 第二章 BGP MPLS VPN 第三章 BGP MPLS VPN 应用,Page 3,MPLS产生背景,传统的IP,每一跳分析IP头,效率低 QoS难于部署,而且效率低 所有路由器都要知道整个网络的所有路由,Page 4,MPLS产生背景,ATM的交换过程,面向连接,有N2 问题 靠链路层选路,基于VPI/VCI或标签 业务质量有保证,可保证实时业务,Page 5,MPLS产生背景,MPLS技术,MPLSMulti-Protocol Label S
2、witching Multi-Protocol:支持多种三层协议,如IP、IPv6、IPX、SNA等 Label Switching:给报文打上标签,以标签交换取代IP转发,Page 6,MPLS基本概念,LSR:Label Switch Router LER:Label Edge Router LSP:Label Switch Path,Page 7,MPLS包头结构,通常,MPLS包头有32Bit,其中有: 20Bit用作标签(Label) 3个Bit的EXP, 协议中没有明确,通常用作COS 1个Bit的S,用于标识是否是栈底,表明MPLS的标签可以嵌套。 8个Bit的TTL,理论上,标
3、记栈可以无限嵌套,从而提供无限的业务支持能力。这是MPLS技术最大的魅力所在。,Page 8,MPLS术语,标签(Label) 是一个比较短的,定长的,通常只具有局部意义的标识,这些标签通常位于数据链路层的数据链路层封装头和三层数据包之间,标签通过绑定过程同FEC相映射。 FEC: Forwarding Equivalence Class,FEC(转发等价类),是在转发过程中以等价的方式处理的一组数据分组, 通常MPLS中一条路由条目对应一个FEC。通常在一台设备上,对一个FEC分配相同的标签。 LSP: 标签交换通道。一个FEC的数据流,在不同的节点被赋予确定的标签,数据转发按照这些标签进行
4、。数据流所走的路径就是LSP。 LSR: LSR是MPLS的网络的核心交换机,它提供标签交换和标签分发功能。 LER: 在MPLS的网络边缘,进入到MPLS网络的流量由LER分为不同的FEC,并为这些FEC请求相应的标签。它提供流量分类和标签的映射、标签的移除功能。,Page 9,47.1,47.2,47.3,1,2,3,1,2,1,2,3,IP 47.1.1.1,IP 47.1.1.1,IP 47.1.1.1,IP的hop-by-hop逐跳转发,IP的逐跳转发,在经过的每一跳处,必须进行路由表的最长匹配查找(可能多次),速度缓慢。,Page 10,Label Switched Path (L
5、SP),MPLS的标签转发,通过事先分配好的标签,为报文建立了一条标签转发通道(LSP),在通道经过的每一台设备处,只需要进行快速的标签交换即可(一次查找)。,Page 11,Label Switched Path (LSP),FEC的精妙之处: 不同目的地址(属于相同的网段)的IP报文,在ingress处被划分为相同的FEC,具有相同的标签,这样在LSR处,只需根据标签做快速的交换即可。而对于传统的IP路由,在每一跳处实际上都是一次重新划分FEC的过程。 FEC的致命缺陷: 对于一条FEC来说,沿途所有的设备都必须具有相同的路由(前缀和掩码必须完全相同)才可以建成一条LSP。换句话说,使用M
6、PLS转发的所有沿途设备上,对于要使用标签转发的路由,都不能做路由聚合的操作。,Page 12,MPLS LDP,有了标签,转发是很简单的事,但是如何生成标签,却是MPLS中最难修练的部分。在MPLS秘笈中,这部分被称为LDP(Label Distribution Protocol),是一个动态的生成标签的协议。 其实LDP与IP帮派中的动态路由协议(例如RIP)十分相像,都具备如下的几大要素: 报文(或者叫消息) 邻居的自动发现和维护机制 一套算法,用来根据搜集到的信息计算最终结果。 只不过前者计算的结果是标签,后者是路由罢了。,Page 13,LDP消息,在LDP协议中,存在4种LDP消息
7、: 发现(Discovery)消息 用于通告和维护网络中LSR的存在。 会话(Session)消息 用于建立,维护和结束LDP对等实体之间的会话连接。 通告(Advertisement)消息 用于创建、改变和删除特定FEC-标签绑定。 通知(Notification)消息 用于提供消息通告和差错通知。,Page 14,邻居发现:通过互发hello报文(UDP/prot:646/IP:224.0.0.2),建立TCP连接:由地址大的一方主动发起。(TCP/port:646),会话初始化:由Master发出初始化消息,并携带协商参数。,由slave检查参数能否接受,如果能则发送初始化消息,并携带协
8、商参数。并随后发送keepalive消息。,master检查参数能否接受,如果能则发送keepalive消息。,相互收到keepalive消息,会话建立。,期间收到任何差错消息,均关闭会话,断开TCP连接,M,M,M,M,M,LDP会话的建立和维护,Page 15,LDP邻居状态机,Page 16,标签的分配和管理,标记分发方式 DOD(Downstream On Demand)下游按需标记分发 DU(Downstream Unsolicited)下游自主标记分发 标记控制方式: 有序方式(Odered)标记控制 独立方式(Independent)标记控制 标签保留方式 保守方式 自由方式 上
9、游与下游:在一条LSP上,沿数据包传送的方向,相邻的LSR分别叫上游LSR(upstream LSR )和下游LSR(downstream LSR)。下游是路由的始发者。,Page 17,LDP标签分配方式(DU),下游主动向上游发出标记映射消息。 标签分配方式中同样存在水平分割,即:对我已经选中的出口标 签,就不再为下一跳分配出标签。 标签是设备随机自动生成的,16以下为系统保留。 还有一种DOD方式(由上游向下游请求),运用较少。,47.1,47.3,1,3,1,1,3,3,Page 18,LDP标签保留方式,自由方式(Liberal retention mode) 保留来自邻居的所有发送
10、来的标签 优点:当IP路由收敛、下一跳改变时减少了lsp收敛时间 缺点:需要更多的内存和标签空间。 保守方式(Conservative retention mode) 只保留来自下一跳邻居的标签,丢弃所有非下一跳邻居发来的标签。 优点:节省内存和标签空间。 缺点:当IP路由收敛、下一跳改变时lsp收敛慢 比较流行的是自由方式。,Page 19,LDP标签控制方式,有序方式(Odered)标记控制: 除非LSR是路由的始发节点,否则LSR必须等收到下一跳的标记映射才能向上游发出标记映射。 独立方式(Independent)标记控制: LSR可以向上游发出标记映射,而不必等待来自LSR下一跳的标记
11、映射消息。 比较流行的是有序方式。,Page 20,LDP标签分配,如果采用(DU+自由有序)的标签分配及控制方式: 发现自己有直连接口路由时会发送标签; 收到下游到某条路由的标签并且该路由生效(也就是说,在本地已经存在该条路由,并且路由的下一跳和标签的下一跳相同)时会发送标签。 标签表中会存在大量的非选中的标签。,下面的说法正确吗: 如果某个网络中只有部分设备运行MPLS(MPLS域嵌在IP域中),则只会对运行MPLS的设备(MPLS域)的直连路由生成标签,对于其他设备(IP域)始发的路由则不会生成标签。,如果没有标签,那对于通过MPLS域的目的地址在IP域的报文如何转发呢?,Page 21
12、,标签转发表,心法口诀:入标签是我分给别人的,出标签是别人分给我的。 我分配的标签是给别人用的,我不会添加到报文中。,对于一台设备的标签转发表(全局标签空间)来说: 所有的入标签( ) 对于相同的路由(下一跳也相同),出标签( ) 对于不同的路由(但下一跳相同),出标签( ) 对于不同的路由(下一跳也不同),出标签( ) 对于同一条路由,入标签和出标签( ) A 一定不同 B 一定相同 C 可能相同,Page 22,倒数第二跳弹出(P H P),Egress LSR本应变MPLS转发为IP路由查找,但是他收到的仍旧是含有标签的MPLS报文,能做的只是去掉标签,然后送交IP层。其实对于Egres
13、s LSR,处理MPLS报文是没有意义的。最好能够保证他直接收到的就是IP报文。这就需要在ELSR的上游(倒数第二跳)就把标签给弹出来,以减少最后一跳的负担。 但关键问题是:上游设备如何知道自己是倒数第二跳呢?其实很简单,在倒数第一跳为其分配标签时做一下特殊说明即可(分配一个特殊的标签3)。,Page 23,MPLS的衰落,MPLS 最初是为了提高路由器的转发速度而提出的。与传统IP 路由方式相比,它在数据转发时,只在网络边缘分析IP 报文头,而不用在每一跳都分析IP 报文头,节约了处理时间。 随着ASIC 技术的发展,路由查找速度已经不是阻碍网络发展的瓶颈。这使得MPLS在提高转发速度方面不
14、再具备明显的优势。但是MPLS 支持多层标签和转发平面面向连接的特性,使其在VPN(Virtual Private Network)、流量工程、QoS(Quality ofService)等方面得到广泛应用。,Page 24,内容介绍,第一章 MPLS 原理 第二章 BGP MPLS VPN 第三章 BGP MPLS VPN应用,Page 25,VPN,江湖中除了IP、ATM等几个传统大派别之外,武林中还有一部分人醉心于修练一种“隐身术”,他们的领地通常四处分散,中间必须经过其他帮派(主要是IP)的地盘,为了免交养路费,在江湖中行走时如果经过IP的领地,便打扮成IP帮的弟子模样,到了本帮的领地
15、,再去掉伪装,恢复本来面目。这些人自称为VPN,掌门为“虚通道长”,手下的两个堂主分别是:“Overlay VPN”和“Peer-to-Peer VPN”,Page 26,VPN中的角色,VPN_A,VPN_A,VPN_B,10.3.0.0,10.1.0.0,11.5.0.0,P,P,P,P,PE,PE,CE,CE,CE,VPN_A,VPN_B,VPN_B,10.1.0.0,10.2.0.0,11.6.0.0,CE,PE,PE,CE,CE,VPN_A,10.2.0.0,CE,P-Network,C-Network,CE(Custom Edge):直接与服务提供商相连的用户设备。 PE(Prov
16、ider Edge Router):指骨干网上的边缘路由器,与CE相连,主要负责VPN业务的接入。 P (Provider Router):指骨干网上的核心路由器,主要完成路由和快速转发功能。由于网络规模不同,网络中可能不存在P路由器。PE路由器也可能同时是P路由器。,Page 27,Overlay VPN隧道建立在CE上,VPN_A,VPN_B,10.3.0.0,10.3.0.0,P,PE,PE,CE,CE,VPN_A,VPN_B,10.1.0.0,10.1.0.0,CE,PE,CE,P-Network,GRE tunnel,GRE tunnel,特点: 在CE与CE之间建立隧道,并直接传递
17、路由信息,路由协议数据总是在客户设备之间交换,服务商对客户网络结构一无所知。典型代表是GRE、IPSec 优点: 不同的客户地址空间可以重叠,保密性、安全性非常好。 缺点: 需要客户自己创建并维护VPN。通常客户不愿意,也没有这个能力。,PE与CE之间互联的地址是公网还是私网?,P,Page 28,Overlay VPN隧道建立在PE上,特点: 在PE上为每一个VPN用户建立相应的GRE隧道,路由信息在PE与PE之间传递,公网中的P设备不知道私网的路由信息。 优点: 客户把VPN的创建及维护完全交给服务商,保密性、安全性比较好。 缺点: 不同的VPN用户不能共享相同的地址空间,即使可以共享,则
18、PE与CE之间的地址、tunnel之间的地址一定不能相同,并且必须使用大量的ACL和策略路由。在实际中不具备可行性。,VPN_A,VPN_B,11.3.0.0,10.3.0.0,P,PE,PE,CE,CE,VPN_A,VPN_B,11.1.0.0,10.1.0.0,CE,PE,CE,P-Network,GRE tunnel,GRE tunnel,P,PE与CE之间互联的地址是公网还是私网?,Page 29,Overlay VPN的本质,Overlay VPN的本质是一种“静态”VPN,这好比是静态路由,所以 他具有类似静态路由的全部缺陷: 所有的配置与部署都需要手工完成,而且具有N2问题:如果
19、某个客户的VPN中新增了一个结点,则需要完成如下工作 在这个新增结点上建立与所有已存在的N个结点的隧道及相关的路由。 对于已存在的N个结点,需要在每个结点上都建立一个与新增结点之间的隧道及相关的路由。 由于是“静态”VPN,则无法反应网络的实时变化。 而且,如果隧道建立在CE上,则必须由用户维护,如果建立在PE上, 则又无法解决地址冲突问题。,Page 30,Peer-to-Peer VPN,如同静态路由一样,所有具有“静态”性质的东西都不太适合大规模的应用和部署。所以,首先要解决的问题就是将VPN的部署及路由发布变为动态性。PeertoPeer VPN的产生就是源于这种思想。 这里的 Pee
20、rtoPeer是指CEtoPE,也就是要在CE与PE之间交换私网路由信息,然后由PE将这些私网路由在PNetwork中传播这样这些私网路由会自动的传播到其他的PE上。 这种VPN由于私网路由会泄露到公网上,所以必须严格的通过路由来控制,即:要确保同一个VPN的CE路由器上只能有本VPN的路由。所以,通常CE与PE之间运行的路由协议,与P-Network上运行的路由协议是不同的,即使相同,也要有很好的路由过滤和选择的机制。,Page 31,Peer-to-Peer VPN共享PE方式,所有VPN用户的CE都连到同一台PE上,PE与不同的CE之间运行不同的路由协议(或者是相同路由协议的不同进程,比
21、如OSPF)。由路由始发PE将这些路由发布到公网上,在接收端的PE上将这些路由过滤后再发给相应的CE设备。 缺点:为了防止连接在同一台PE上的不同CE之间互通,必须在PE上配置大量的ACL。,VPN_A,VPN_B,10.3.0.0,11.3.0.0,P,P,PE,CE,CE,VPN_A,VPN_B,10.1.0.0,11.1.0.0,CE,PE,CE,P-Network,私网路由在整个公网上传播,rip,ospf,ospf,isis,Page 32,Peer-to-Peer VPN专用PE方式,VPN_A,VPN_B,10.3.0.0,11.3.0.0,P,P,PE,CE,CE,VPN_A,
22、VPN_B,10.1.0.0,11.1.0.0,CE,PE,CE,P-Network,私网路由在整个公网上传播,rip,rip,ospf,ospf,为每一个VPN单独准备一台PE路由器,PE和CE之间可以运行任意的路由协议,与其他VPN无关。PE之间运行BGP,并使用路由属性进行过滤。 优点:无需配置任何的ACL了。 缺点:每一个VPN用户都有新增一台专用的PE,代价过于昂贵了。,PE,PE,Page 33,Peer-to-Peer VPN的本质,Peer-to-Peer VPN虽然很好的解决了“静态的问题”,但是仍旧有很多局限性: 由于没有使用隧道技术,导致私网路由泄露到公网上,安全性很差。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- BGPMPLSVPN 原理 20090603
链接地址:https://www.31doc.com/p-2148743.html