您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 咨询培训 > MPLSL3VPN原理培训胶片
HUAWEITECHNOLOGIESCO.,LTD.原理ISSUE1.0HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage1本课程主要介绍MPLSL3VPN协议原理以及数据报文的转发过程,另外还介绍了跨ASMPLSL3VPN解决方案。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage2学习指南本课程全套资料包括培训胶片、配套原理教材、多媒体课件、试题、演练案例和教师教学指导书,合理有效利用上述资料您将会取得良好的学习效果。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage3参考资料VRP3.30/5.10《操作手册》、《命令手册》《故障信息收集排错指导书》。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage4学习完此课程,您将会:了解VPN的分类掌握MPLSL3VPN转发过程了解跨AS的MPLSL3VPN的实现HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage5第1章VPN概述第2章MPLSL3VPN转发过程第3章跨AS的MPLSL3VPN实现HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage6VPN的分类CPE-BasedVPNNetwork-BasedVPNVLLVPRNVPDNVPLSMPLS/BGPVPNIP-VPNVPNVR-VPNVPN:VirtualPrivateNetworkHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage7VPN的定义(1)IP-VPN:利用IP设施(包括公用的Internet或专用的IP骨干网等)实现专用广域网设备专线业务(远程拨号、DDN等)的业务仿真。Network-BasedIP-VPN:基于网络的IP-VPN是指将关于VPN的维护等外包给运营商实施(也允许用户在一定程度上进行业务管理和控制),并且将其功能特性集中在网络侧设备实现。隧道(Tunnel):是利用一种协议来传输另外一种协议的一种技术,主要利用隧道协议来实现这种功能;隧道技术涉及了三种协议,隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage8VPN的定义(2)VLL(VirtualLeasedLine):虚拟租用线业务,它通过运营商的边缘节点向用户提供两个CPE设备间的点到点连接业务。VPDN(VirtualPrivateDialNetwork):虚拟专用拨号网,远端用户通过PSTN/ISDN拨入公共IP网,并将数据包隧穿公网以传送至目的网络VPLS(VirtualPrivateLANSegments):VPLS是利用公共IP资源建立局域网的一种虚拟方法,其组网是建立在MAC层转发,对网络层协议是完全透明的。是一种二层VPNVPRN(VirtualPrivateRoutedNetwork):VPRN被定义为通过公用IP网络进行多站点广域路由网络业务的一种仿真,VPN的数据包在网络层转发HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage9使用GRE构建VPN建设这样的网络只需要在每一个网络的接入路由器上作配置运营商网络无需知晓VPN内部路由不同VPN可以采用相同地址空间转发效率低10.0.1.1/2410.0.0.0/2410.0.0.0/24129.0.0.2/30129.0.0.1/30129.0.1.1/30129.0.1.2/30公网IP网络129.0.2.2/30129.0.2.1/30129.0.3.1/30129.0.3.2/30GRE隧道GRE隧道10.0.1.1/2410.0.1.2/2410.0.1.2/24Rt1Rt2HQ1HQ2HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage10VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0CECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_A10.2.0.0CEiBGPsessionsPPPPPEPEMPLSVPN网络结构CE(CustomEdge):直接与服务提供商相连的用户设备。PE(ProviderEdgeRouter):指骨干网上的边缘路由器,与CE相连,主要负责VPN业务的接入。P(ProviderRouter):指骨干网上的核心路由器,主要完成路由和快速转发功能。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage11网络拓扑结构-1一个site只属于一个VPN:Intranetsite1site3site2site10site20site30HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage12网络拓扑结构-2site1site4site5stie2stie3IntranetExtranet一个site可以属于多个VPNHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage13MPLSVPN的特点在这种网络构造中,由服务提供商向用户提供VPN服务,用户感觉不到公共网络的存在,就好像拥有独立的网络资源一样。P路由器,也不需要知道有VPN的存在,仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议,并使能该协议。所有的VPN的构建、连接和管理工作都是在PE上进行的。网络配置简单可以直接利用现有路由协议而无需任何改动MPLSVPN网络具有良好的可扩展性可实现具有QOS和TE的VPNHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage14第1章VPN概述第2章MPLSL3VPN转发过程第3章跨AS的MPLSL3VPN实现HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage15PE和CE设备之间的关系PE和CErouters通过EBGP、RIP和静态路由交换信息,CE运行标准路由协议PE维护独立的路由表:公网和私网公网路由表,包含全部PE和P路由器的路由,由VPN的骨干网IGP产生VRF(VPNrouting&forwarding),包含到一个或多个直接相连的CE的路由和转发表;VRF可以与任何类型接口绑定在一起;如果直接相连的site属于同一VPN,那这几个接口可以使用同一个VRFPECPECECESite-2Site-2Site-1Site-1EBGP,RIP,StaticVPNAVPNBVRFforVPNAVRFforVPNBGlobalrouteHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage16VRFVRF---VPN路由转发实例(VPNRouting&ForwardingInstance)每一个VRF可以看作虚拟的路由器,好像是一台专用的PE设备。该虚拟路由器包括如下元素:一张独立的路由表,当然也包括了独立的地址空间。一组归属于这个VRF的接口的集合。一组只用于本VRF的路由协议。对于每个PE,可以维护一个或多个VRF,同时维护一个公网的路由表(也叫全局路由表),多个VRF实例相互分离独立。其实实现VRF并不困难,关键在于如何在PE上使用特定的策略规则来协调各VRF和全局路由表之间的关系。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage17VRF路由的发布PE路由器通过MPLS/VPN骨干网发布本地的VPN路由信息。发送端PE通过使用MP-iBGP将VRF路由从本地发布出去(带有export-target属性)接收端PE将路由引入到所属的VRF中(有相匹配的import-target属性)PEPECERouterCERouterPRouterSiteSiteMP-iBGPHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage18RouteTargetRT使用了BGP的扩展community属性,并且起了一个新名字:RT(RouteTarget)扩展的community有如下两种格式:其中type字段为0x0002或者0x0102时表示RT。TYPE(2字节)AdministratorFieldAssignedNumberField0x00022字节AS号4字节分配编号0x01024字节IP地址2字节分配编号HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage19RT的本质RT的本质是每个VRF表达自己的路由取舍及喜好的方式。可以分为两部分:ExportTarget与importTarget在一个VRF中,在发布路由时使用RT的export规则。直接发送给其他的PE设备在接收端的PE上,接收所有的路由,并根据每个VRF配置的RT的import规则进行检查,如果与路由中的RT属性match,则将该路由加入到相应的VRF中。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage20RT的灵活应用由于每个RTExportTarget与importTarget都可以配置多个属性,可以实现非常灵活的VPN访问控制baim:aex:bim:bex:aim:aex:aaim:aex:acbim:a,cex:a,bim:bex:ca传统模式传统模式hub-spoke模式extranet模式HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage21RT的作用PRouterPRouterMPLS/VPNBackboneMPLS/VPNBackboneVPNAVPNAVPNBSITESITE--22VPNBMP-iBGPSITESITE--11SITESITE--33SITESITE--44Site-1routesRT=VPNASite-2routesRT=VPNBSite-3routesRT=VPNASite-4routesRT=VPNBSite1-routesSite3-routesVPNASite2-routesSite4-routesVPNBSite1-routesSite3-routesVPNASite2-routesSite4-routesVPNBHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage22VPNv4和IPv4地址族为了解决不同的VPN可以使用相同的地址空间的问题,引入了新的地址族——VPNv4。而原来的标准的地址族就称为IPv4。VPNv4地址族主要用于PE路由器之间传递VPN路由由于RD在不同的VPN间具有唯一性。如果两个VPN使用相同的IP地址,PE路由器为它们添加不同的RD,转换成唯一的VPN-v4地址,不会造成地址空间的冲突。PE从CE接收的标准的路由是IPv4路由,如果需要引入VRF路由表并发布给其他的路由器,此时需要附加一个RD。建议相同VPN的RD配置成相同的。RouteDistinguisher(8个字节)IP
本文标题:MPLSL3VPN原理培训胶片
链接地址:https://www.777doc.com/doc-959379 .html