MPLS-L2-VPN原理

HUAWEITECHNOLOGIESCO.,LTD.原理ISSUE3.0InternalHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage1学习完本课程，您应该能够：了解MPLSL2VPN产生的背景理解MPLSL2VPN的原理掌握MPLSL2VPN的实现方式HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage2第一章MPLSL2VPN简介第二章MPLSL2VPN实现方式第三章MPLSL2VPN与BGP/MPLSVPN比较HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage3MPLSL2VPN的引入-传统VPN面临的困境租赁专线（leasedline）方式主要缺点是：建设时间长，价格昂贵，难于管理。虚电路方式（主要有FR和ATM）虚电路方式与租赁专线相比，建设时间短、价格低依赖于专用的介质（如ATM或FR）：在不同类型的网络（如ATM、FR）上提供业务，需要建设并维护独立的网络其速率较慢配置较复杂HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage4MPLSL2VPNMPLSL2VPN提供基于MPLS网络的二层VPN服务，使运营商可以在统一的MPLS网络上提供基于不同介质的二层VPN，如ATM、FR、Ethernet、PPP。同时，MPLS网络仍可以提供MPLSL3VPN、流量工程和QoS等服务。简单来说，MPLSL2VPN就是在MPLS网络上透明传输用户二层数据。从用户的角度来看，MPLS网络是一个二层交换网络，可以在不同节点间建立二层连接。虚电路TunnelCustomerSiteCustomerSiteCustomerSiteCustomerSitePEPEMPLSNetworkHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage5MPLS方式的L2VPN的特点扩展了运营商的网络功能和服务能力具有更高的可扩展性管理责任分工明确用户数据私有、安全配置简单（N方的解决，主要体现在隧道复用）多协议支持HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage6MPLSL2VPN的基本架构MPLSL2VPN的基本架构可以分为AC、VC和Tunnel三个部分PECECETunnelPEMPLSNetworkACACVCAC（AttachmentCircuit）：接入电路。AC是一条连接CE和PE的独立的链路或电路。AC接口可以是物理接口或逻辑接口。AC属性包括封装类型、最大传输单元MTU、以及特定链路类型的接口参数。VC（VirtualCircuit）：虚电路。这里指在两个PE节点之间的一种逻辑连接。Tunnel（NetworkTunnel）：隧道，用于透明传送用户数据。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage7MPLSL2VPN基本原理MPLSL2VPN也是通过标签栈实现用户报文在MPLS网络中的透明传送。外层标签（称为Tunnel标签）用于将报文从一个PE传递到另一个PE。内层标签（在MPLSL2VPN中称为VC标签）用于区分不同VPN中的不同连接，接收方PE根据VC标签决定将报文转发给哪个CE。PCE1CE2PE1PE2L2PDUL2PDUL2PDUT'VL2PDUTVL2PDU（ProtocolDataUnit）是链路层报文；T是Tunnel标签；V是VC标签；T’表示转发过程中外层标签被替换。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage8MPLSL2VPN的报文结构控制字主要有三个功能：1、报文转发是需要的序列号2、当最小的mtu大于实际的传输报文时需要进行填充3、二层帧头中需要携带的控制位HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage9MPLSL2VPN的分类与扩展VPWS（VirtualPrivateWireService）：VPWS是指在分组交换网络PSN（PacketSwitchedNetwork）中尽可能真实地模仿ATM、帧中继、以太网、低速TDM电路和SONET/SDH等业务的基本行为和特征的一种二层业务承载技术。本质上，VPWS技术是一种点到点的虚拟专线技术，能够支持几乎所有的链路层协议。VPLS（VirtualPrivateLANService）：VPLS是通过分组交换网络PSN（PacketSwitchedNetwork）连接多个以太网LAN网段，使它们像一个LAN那样工作。VPLS也称为透明局域网服务TLS（TransparentLANService）或虚拟专用交换网服务。不同于普通L2VPN的点到点业务，利用VPLS技术，服务提供商可以通过MPLS骨干网向用户提供基于以太的多点业务。PWE3（Pseudo-WireEmulationEdgetoEdge）：是一种端到端的二层业务承载技术。PWE3对VPWS进行了扩展，主要表现在对Martini方式的扩展。MPLSL2VPN包括VPWS和VPLS两种方式HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage10第一章MPLSL2VPN概述第二章MPLSL2VPN实现原理第一节VPWS介绍第二节VPLS介绍第三节PWE3介绍第三章MPLSL2VPN与BGP/MPLSVPN比较HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage11VPWS实现方式CCC、SVC方式不使用信令协议，通过静态配置VC标签的方式来实现MPLSL2VPN。Martini方式使用LDP信令，通过LDP信令协议传递二层信息和VC标签的方式来实现MPLSL2VPN。Kompella方式使用BGP信令，通过BGP信令协议传递二层信息和VC标签的方式来实现MPLSL2VPN。VPWS的实现方式分为4种：CCC、SVC、Martini、KompellaHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage12CCC方式概述CCC是CircuitCrossConnect（电路交叉连接）的缩写，是一种静态配置VC连接的方式。CCC方式分为本地CCC连接和远程CCC连接VPN2Site1Site2Site2VPN1Site1VPN1ISPnetworkCCC本地连接CCC远程连接PPPPPE1PE2PE3CECECEHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage13CCC方式的报文转发举例CCC远程连接PE1PPE2CE1CE2L2PDU100L2PDU101HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage14StaticVC方式概述SVC的模式是在PE上直接根据VCID来分配内层标签。SVC的外层标签（公网隧道）由MPLSLDP建立。内层标签在配置VC的时候进行手工指定，PE之间不需要信令来传递标签信息。VPN2Site2VPN2Site1VPN1Site2VPN1Site1运营商网络VLAN10VLAN101001300VLAN10VLAN10LSP1CECECECEPPPE-1PE-0L2数据1003300L2数据1002300L2数据HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage15Martini方式概述Martini方式使用两层标签，内层标签是采用扩展的LDP作为信令进行交互。在Martini草案中对标准的LDP进行了扩展，增加了FEC类型（VCFEC）用于VC标签的交换。此外，如果交换VC标签的两个PE不是直接相连的，必须建立RemoteLDP会话，在这个会话上传递VCFEC和VC标签。VPN1Site2VPN1Site1运营商网络VLAN10VLAN10VLAN10VLAN10LSP1CECEPPPE-1PE-0RemoteLDPHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage16Martini的协议处理Martini的协议包括两部份Tunnel建立−LDP用来建立在PE之间建立Tunnel,其他的tunnels协议也可以使用如GRE.VC建立−通过LDP在两个PE间建立远程邻居−通过VCID来建立绑定关系，LDP为VC分配标签PE1CE2PE2CE1PVC-ID:1DLCI:100DLCI:200VC-ID:1(1,100;PE1)(1,200;PE2)HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage17Martini协议处理及数据转发VPN2Site2VPN2Site1VPN1Site2VPN1Site1运营商网络VLAN10VLAN101001300VLAN10VLAN10LSP1CECECECEPPPE-1PE-0L2数据1003300L2数据1002300L2数据分配300分配4002001400L2数据2003400L2数据2002400L2数据HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage18Martini优点在这种Martini方式中，由于在运营商网络中，只有PE设备需要保存少量的VClabel&LSP的映射等少量信息，P设备不包含任何二层VPN信息，所以扩展性好。当需要新增加一条VC时，只在相关的两端PE设备上各配置一个单方向VC连接即可，不影响网络的运行。它配置、实现相对简单，没有VPN的概念，只是提供二层链路的连接性，易于理解。Martini方式适合稀疏的二层连接，例如星型连接。VPN1Site2VPN1Site1运营商网络CECEPPPE-1PE-0VPN1Site3CEPE-2HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage19Kompella方式概述Kompella方式的L2VPN与三层BGP/MPLSVPN很相似，是使用BGP作为交换信令。与MPLSL3VPN类似，各个PE之间使用BGP作为传递二层信息和VC标签的信令协议，在MPLS网络上以端到端（CE到CE）方式实现L2VPN。类似于BGP/MPLSVPNKompella方式也使用VPNTarget来进行VPN路由收发的控制，给组网带来了很大的灵活性。区别是kompella传送的是二层信息，而MPLSBGPVPN传送的是三层路由信息，为此kompella进行了相应的BGPNLRI扩展处理的信息不同了，那么发送接受二层信息的流程也发生了相应的变化。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage20Kompella方式的结构Kompella方式的MPLSL2VPN既支持远程连接，也支持本地连接。VPN1的Site1和Site2，通过Kompella远程连接（红色虚线）互连。VPN2的Site1和Site2，通过Kompella本地连接（蓝色虚线）互连。ISPnetworkPPPPPE1PE2Site1Site2Site1Site2VPN1VPN1VPN2CECECECEKompella远程连接Kompella本地连接HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage21Kompella方式的报文交互过程Kompella方式的