3-4BGPMPLSVPN技术扩展.ppt

1、BGP MPLS VPN技术扩展,日期：,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,构建安全优化的广域网 1.0,BGP MPLS VPN技术解决了传统VPN的问题，然而BGP MPLS VPN的基本组网模式会导致公网结构扁平化。 在公网上，接入层PE与核心层PE承受着相同的路由压力，不符合常见的层次化网络模型，限制了网络的规模。,引入,了解BGP MPLS VPN基本组网的缺陷 掌握MCE及HOPE技术原理 熟悉MCE及HOPE技术的优缺点及各自适合的应用场景,课程目标,学习完本课程，您应该能够：,BGP MPLS VPN基本组网的缺陷 MCE HOPE,目录,常见网络的层

2、次结构模型,BGP MPLS VPN技术除了被用于运营商外，目前更广泛的应用与企业网用户，用户企业网用户不同业务类型直接的访问和控制，如电力、政府等。 企业网组网的广域网结构通常为层次结构，分为核心 层、汇聚层、接入层，通过路由的规划和设计，各个层次的设备性能要求由高到低分布。,接入层,汇聚层,核心层,高速数据交换,路由汇聚及流量收敛,工作组接入和访问控制,BGP MPLS VPN基本组网缺陷,用户的局域网从各个层次接入广域网，每个局域网中拥有不同的业务，应用BGP MPLS VPN时广域网从接入层到核心层都是PE设备； 作为PE设备将存在以下两个共同的要求：,必须学习全网所有PE设备loop

3、back接口地址的明细路由，并建立到达所有PE的LSP隧道 私网路由从任何一台PE发布后，不能在任何其他PE设备上进行汇聚，核心层PE与接入层PE私网路由相当,当用户网络规模较大时，接入层的低端设备性能不能满足BGP MPLS VPN网络性能要求。,BGP MPLS VPN基本组网的缺陷 MCE HOPE,目录,MCE组网,普通MPLS组网,MCE组网,公 网,私 网,公 网,私 网,PE,PE,PE,PE,PE,PE,PE,CE,CE,VPN1,VPN2,CE,CE,VPN1,VPN2,PE,PE,PE,MCE,MCE,MCE,MCE,MCE技术实现,CE,CE,VPN1,VPN2,PE,M

4、CE,MCE即Muti-VRF CE（多实例CE）。 MCE设备只需要支持多VRF技术，无需支持MPLS技术和MP-BGP技术，通过多VRF技术，MCE可以接入多个VPN用户，并根据用户的RT设计保证本地VPN的互访控制。 PE和MCE之间为MCE接入的每一个VPN建立一个独立的逻辑通道，每个逻辑接口与各自的VPN绑定，PE上看类似每个逻辑接口下连接了一台CE设备。 MCE设备通过多VRF技术将各个VPN独立开来。,MCE技术配置,CE,CE,VPN1,VPN2,PE,MCE,PE设备配置,MCE设备配置,interface Ethernet0/1.1 ip binding vpn-insta

5、nce vpn1 ip address 192.168.1.1 255.255.255.252 # interface Ethernet0/1.2 ip binding vpn-instance vpn2 ip address 172.32.1.1 255.255.255.252,PE1：,ospf 11 vpn-instance vpn1 area 0.0.0.0 network 192.168.1.0 0.0.0.3 # ospf 12 vpn-instance vpn2 area 0.0.0.0 network 172.32.1.0 0.0.0.3,interface Ethernet0

6、/0.1 ip binding vpn-instance vpn1 ip address 192.168.1.2 255.255.255.252 # interface Ethernet0/0.2 ip binding vpn-instance vpn2 ip address 172.32.1.2 255.255.255.252,PE1：,ospf 11 vpn-instance vpn1 area 0.0.0.0 network 192.168.1.0 0.0.0.3 network 192.168.254.0 0.0.0.255 # ospf 12 vpn-instance vpn2 ar

7、ea 0.0.0.0 network 172.32.1.0 0.0.0.3 network 172.32.254.0 0.0.0.255,E0/0.1,E0/1.1,E0/1.2,E0/0.2,192.168.254.1/30,172.32.254.1/30,192.168.1.1/30,172.32.1.1/30,接口 配置,路由 配置,接口 配置,路由 配置,MCE技术优劣分析,MCE的技术优势： 作为MCE的设备功能要求低，仅需支持多VRF，无需支持MP-BGP及MPLS等PE设备需要支持的技术； 原网络上的设备无需新增任何技术，天然支持； 作为MCE的设备性能要求低，公司网路由数量均得

8、到控制，MCE无需学习公网路由，PE设备可将各个VPN的私网路由进行聚合再发送给MCE设备。 MCE的技术劣势： MCE设备与PE设备之间需要实现逻辑多通道，非GE或FR等的可逻辑多通道的接口可能无法支持； 当MCE设备接入的VPN的数量较多时，PE和MCE设备之间的逻辑通道数量增加，需分配较多的私网互联地址，切配置维护均烦杂； MCE设备原属于公网边缘，可能公网的网关设备需要对其进行管理，需要在PE和CE之间开设公网管理通道。,BGP MPLS VPN基本组网的缺陷 MCE HOPE,目录,HOPE组网,普通MPLS组网,HOPE组网,公 网,私 网,PE,PE,PE,PE,PE,PE,PE

9、,CE,CE,VPN1,VPN2,公 网,私 网,PE,SPE,SPE,UPE,UPE,UPE,UPE,CE,CE,VPN1,VPN2,HOPE技术实现,HOPE（ Hiberarchy of PE ）即分层PE。 HOPE技术对原BGP MPLS VPN技术中的PE角色进行了改进，分成了SPE（ Underlayer PE ）和UPE（ Superstratum PE ）。 为减轻网络边缘的UPE设备的负担，SPE将只向UPE发送缺省的私网路由，缺省路由的下一跳为SPE。 私网报文在UPE上根据缺省路由到达SPE设备，在SPE上重新查询私网路由表转发。,SPE,UPE,CE,CE,VPN1,

10、VPN2,HOPE SPE对UPE的路由发布,VPN1,VPN2,CE1,CE2,UPE,PE,SPE,S1/1,S0/1,eth0/1,eth0/2,eth1/1,PE,PE,PE,10.0.0.1/24 1.1.1.2,destination,next-hop,VPN1 路由表,私网OUT标签,1024,RD,100:1,10.1.0.1/24 1.1.1.3,10.2.0.1/24 1.1.1.4,1031,1029,100:1,100:1,聚合,Loopback0=1.1.1.1/32,发布,SPE将私网路由进行聚合再发布给UPE。,HOPE UPE的报文转发,VPN1,VPN2,CE

11、1,CE2,UPE,PE,SPE,S1/1,S0/1,eth0/1,eth0/2,eth1/1,PE,PE,PE,Loopback0=1.1.1.1/32,CE1,针对PE1的loopback地址路由1.1.1.1/32 形成的标签转发表项,D:10.1.0.1,Date,S:192.168.0.1,（1）,3,1024,从UPE发送出来的私网报文，查询路由下一跳，隧道的终点就是SPE设备。,HOPE SPE的报文转发,VPN1,VPN2,CE1,CE2,UPE,PE,SPE,S1/1,S0/1,eth0/1,eth0/2,eth1/1,PE,PE,PE,VPN1 路由表,Loopback0=

12、1.1.1.1/32,CE1,NULL,IN,next-hop,OUT,36,S0/1,3,NULL,Loopback0,10.0.0.1/24 1.1.1.2,destination,next-hop,VPN1 路由表,私网OUT标签,1024,RD,100:1,10.1.0.1/24 1.1.1.3,10.2.0.1/24 1.1.1.4,1031,1029,100:1,100:1,D:10.1.0.1,Date,S:192.168.0.1,（2）,D:10.1.0.1,Date,S:192.168.0.1,（2）,3,针对P远端E的loopback 地址路由1.1.1.3/32 形成的标

13、签转发表项,1031,在SPE上重新查询 私网路由表进行转发,私网报文在SPE重新查询私网路由表，进入另一公网隧道。,HOPE技术配置,SPE,UPE,CE,CE,VPN1,VPN2,SPE配置：,UPE配置：, SPE bgp 100 SPE-bgp ipv4-family vpnv4 SPE-bgp-af-vpnv4 peer 1.1.1.2 upe SPE-bgp-af-vpnv4 peer 1.1.1.2 default-originate vpn-instance vpna SPE-bgp-af-vpnv4 quit,UPE bgp 100 UPE-bgp peer 1.1.1.1

14、as-number 100 UPE-bgp peer 1.1.1.1 connect-interface loopback 1 UPE-bgp ipv4-family vpnv4 UPE-bgp-af-vpnv4 peer 1.1.1.1 enable UPE-bgp-af-vpnv4 quit UPE-bgp quit,Loopback0=1.1.1.2/32,Loopback0=1.1.1.1/32,HOPE技术优劣势,HOPE的优势： 作为UPE设备每个VPN仅需学习一条缺省路由，且因为私网路由的下一跳是SPE，所以公网上SPE也只需学习SPE的loopback地址，性能压力大幅度降低； 网络结构不变，公网和私网分界不变，设备管理无需特殊部署； SPE和UPE之间无需建立多个逻辑通道，配置维