4. Klasyfikacja VPNów
Oparte o CE Oparte o sieć operatora – PE
• Sieć operatora nie uczestniczy w tworzeniu
VPN – jedynie transportuje ruch
• Konfiguracja oparta o CE
• Sieć i urządzenia klienta nie wiedzą nic o:
• topologii
• polityce routingu
• Cała konfiguracja i złożoność na PE
CE PE PE
CE
CE
CE PE PE
CE
CE
VPN = Wirtualna Sieć Prywatna
Adresy „prywatne” – odrębne, mogą w innych VPNach się powtarzać
Prywatna topologia
Prywatna polityka routingu
5. Klasyfikacja VPN opartych o PE
Przez wirtualne routery MPLS VPN
• Słaba skalowalnosć
• Zazwycza VR to osobny proces
programowy
• RFC: draft-ietf-l3vpn-vpn-vr-03.txt
• Dobra skalowalność
• Możliwość uruchomienia automatycznego
odkrywania sąsiadów
• VRF/VE są 'kontekstami'
• RFCs: 4364, 4761, 4762, 6624, 4447,
6037…
PE PE
VRF/
VE/
VC
Wspólna dla
VPNów sesja
Tunel na dane
Tunel
transportowy
PE PE
VR Tunel dla danych
i sesji kontrolnej BGP (wg. RFC)
7. Architektura transportu w MPLS VPN
• Węzły P (Provider) tworzą sieć dla
węzłów PE. Nie przechowują żadnej
informacji o VPNach
• Węzły PE (Provider Edge)
przechowują informację o VPNach
• Węzły CE (Customer Edge)
umieszczone są na brzegu sieci
klienta. Mogą ale nie muszą należeć
do sieci operatora. Łączą się z jednym
lub wieloma PE operatora
• Tunel realizowany przez operatora
• Niezależny od technologii VPN
• MPLS LSP, GRE, IPsec…
• Dla MPLS, może być realizowany
przez LDP, RSVP, BGP-LU czy nawet
routing statyczny
• Adres zdalnego końca tunelu jest
ważny (o tym później)
CE
PE
PE
CE
CE
P
P
8. Architektura usługi w MPLS VPN
• Instancja VPN na PE
• VRF/VE/VCT/xconnect
• Wspólna sesja sygnalizacyjna
pomiędzy PE
• BGP
• Można wykorzystać RR żeby
zapewnić skalowanie i
provisioning
• Zapewnia auto-discovery
• LDP
• Zapewnia dystrybucję etykiet
dla prefiksów/id (FEC)
VPNowych
• Adres końca sesji (BGP NH)
jest używany do mapowania
etykiet transportowych.
• Etykieta VPNowa pozwala na wyjściu
wybrać VPN i interfejs fizyczny na PE
w stronę CE
CE1
PE
PE
CE
Sesja sygnalizacyjna dla sesji
14. Słowniczek
• P - Provider router (not-customer facing)
• PE - Provider router (not-customer facing)
• CE - Customer-Edge router (customers router, connect to provider)
• MPLS - Multi Protocol Label Switching (forwarding method, based on labels)
• LSR - Label Switching Router (router that can forward based on labels)
• Label - 32 bit header (with a 20 bit label #) added at layer 2.5
• LDP - Label Distribution Protocol (like an IGP for label advertisements)
18. Protokoły sieciowe w MPLS
• IGP: OSPF, EIGRP lub IS-IS na łączach w szkielecie i w stronę szkieletu
• RSVP i/lub LDP na łączach w szkielecie i w stronę szkieletu
• MP-e/iBGP na urządzeniach PE
Połączenia z etykietami MPLS
P
P
P
P
PE
PE PE
PE
OSPF, IS-IS,
EIGRP
LDP, RSVP
MP-iBGP
CE
CE
CE
CE
19. Działanie
• Protokół routingu IP IGP buduje tablice routingu
• LSRs przydziela lokalną etykietę
• LSR wymienia się etykietami z innymi LSR przy użciu LDP
• LSR budują tablice przełaczania
21. Działanie
• CE w lokalizacji A zostaje peerem PE
• CE rozgłasza swoje trasy do PE, a PE umieszcza je w lokalnym VRFie
• Provider eksportuje trasy z VRF do MP-BGP. Trasy noszą nazwe ‘trasy
VPNv4’ routes
• BGP jest użuwane do wymiany tras VPNv4 z innymi routerami MP-
BGP w sieci SP z połączeniami iBGP.
• PE w lokalizacji 2 zostaje peerem CE w lokalizacji 2 i importuje trasy z
MPBGP do lokalnego VRF tego samego klienta i rozgłasza tą trasę do z
PE do CE.
22. RD i RT
• Route Distinguisher – pozwala na rozróżnienie unikalnych adresów w
VPNv4 w MP-BGP
• Trasa, razem z RD jest trasą VPNv4
• Route Target identyfikuje przyporządkowanie
• VRF do BGP (export) – wstawia trase do BGP
• BGP do VRF (import) – tylko te trasy są importowane do VRF
• Importowane są tylko te RT, które są powiązane z VRF
30. VPLS
• Virtual Private LAN Service (RFC 4664)
• Usługa wirtualnego LANu oparta o tunele PWE3
• Pseudo-Wire Emulation, Edge-to-edge
• Bazuje na tej samej technologii co VPWS
• Zakłada istnienie pełnej siatki połączeń LSP pomiędzy PE
• Split-horizon dla VPLS
• Konieczność obsługi Broadcast i Multicast
• Replikacja na wejściu
• P2MP/MP2MP (jak tunele transportowe dla mVPNów L3)
• MAC learning
• Stany przełączania (FIB) tworzone na podstawie przepływu danych
• Dla nieznanych adresów docelowych - flooding
• Pętle / sztormy
31. VPLS - RFC 4762, RFC 4761
RFC 4762 RFC 4761
Opcja 1:
• statyczna konfiguracja obu końców
każdego PWE3 (full mesh)
Opcja 2:
• sygnalizowane przez LDP Możliwość
auto-discovery – via BGP
Sygnalizacja i auto-discovery w oparciu o BGP.
33. E-VPN
• Nauka MACów w control-plane – rozgłaszanych przez MP-BGP
• Dosyć prosta kontrola polityki
• Przekazywanie ruchu w szkielecie oparte o L3 LFIB
• Nie wymaga topologii pełnej siatki (jak VPLS)
• Równoważenie per-flow w szkielecie oraz w ringach L2
• Dobre przekazywanie ruchu multicastowego dzięki drzewom mp2mp
• Z jawną sygnalizacją wycofania adresów (explicit withdraw)
• Wygodna agregacja usług – wiele VLANów na jedną instancję E-VPN
• Dobre czasy konwergencji przy zastosowaniu dodatkowo BGP PIC
34. Wybór typu VPNu
• The winner!
• L3VPN
• Proud, second place
• E-VPN
• Or…
• VPLS