构建安全优化广域网CSOW之BGPMPLSVPN技术扩展.pptx

资源描述

,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,杭州华三通信技术有限公司,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,BGP MPLS VPN,技术解决了传统,VPN,的问题，然而,BGP MPLS VPN,的基本组网模式会导致公网结构扁平化。,在公网上，接入层,PE,与核心层,PE,承受着相同的路由压力，不符合常见的层次化网络模型，限制了网络的规模。,引入,了解,BGP MPLS VPN,基本组网的缺陷,掌握,MCE,及,HOPE,技术原理,熟悉,MCE,及,HOPE,技术的优缺点及各自适合的应用场景,课程目标,学习完本课程，您应该能够：,BGP MPLS VPN,基本组网的缺陷,MCE,HOPE,BGP MPLS VPN,技术扩展,目录,常见网络的层次结构模型,BGP MPLS VPN,技术除了被用于运营商外，目前更广泛的应用与企业网用户，用户企业网用户不同业务类型直接的访问和控制，如电力、政府等。,企业网组网的广域网结构通常为层次结构，分为核心层、汇聚层、接入层，通过路由的规划和设计，各个层次的设备性能要求由高到低分布。,接入层,汇聚层,核心层,高速数据交换,路由汇聚及流量收敛,工作组接入和访问控制,BGP MPLS VPN,基本组网缺陷,用户的局域网从各个层次接入广域网，每个局域网中拥有不同的业务，应用,BGP MPLS VPN,时广域网从接入层到核心层都是,PE,设备；,作为,PE,设备将存在以下两个共同的要求：,必须学习全网所有,PE,设备,loopback,接口地址的明细路由，并建立到达所有,PE,的,LSP,隧道,私网路由从任何一台,PE,发布后，不能在任何其他,PE,设备上进行汇聚，核心层,PE,与接入层,PE,私网路由相当,当用户网络规模较大时，接入层的低端设备性能不能满足,BGP MPLS VPN,网络性能要求。,BGP MPLS VPN,基本组网的缺陷,MCE,HOPE,BGP MPLS VPN,技术扩展,目录,MCE,组网,普通,MPLS,组网,MCE,组网,公,网,私,网,公,网,私,网,PE,PE,PE,PE,PE,PE,PE,CE,CE,VPN1,VPN2,CE,CE,VPN1,VPN2,PE,PE,PE,MCE,MCE,MCE,MCE,MCE,技术实现,CE,CE,VPN1,VPN2,PE,MCE,MCE,即,Muti-VRF CE,（多实例,CE,）。,MCE,设备只需要支持多,VRF,技术，无需支持,MPLS,技术和,MP-BGP,技术，通过多,VRF,技术，,MCE,可以接入多个,VPN,用户，并根据用户的,RT,设计保证本地,VPN,的互访控制。,PE,和,MCE,之间为,MCE,接入的每一个,VPN,建立一个独立的逻辑通道，每个逻辑接口与各自的,VPN,绑定，,PE,上看类似每个逻辑接口下连接了一台,CE,设备。,MCE,设备通过多,VRF,技术将各个,VPN,独立开来。,MCE,技术配置,CE,CE,VPN1,VPN2,PE,MCE,PE,设备配置,MCE,设备配置,interface Ethernet0/1.1,ip binding vpn-instance vpn1,ip address 192.168.1.1 255.255.255.252,#,interface Ethernet0/1.2,ip binding vpn-instance vpn2,ip address 172.32.1.1 255.255.255.252,PE1,：,ospf 11 vpn-instance vpn1,area 0.0.0.0,network 192.168.1.0 0.0.0.3,#,ospf 12 vpn-instance vpn2,area 0.0.0.0,network 172.32.1.0 0.0.0.3,interface Ethernet0/0.1,ip binding vpn-instance vpn1,ip address 192.168.1.2 255.255.255.252,#,interface Ethernet0/0.2,ip binding vpn-instance vpn2,ip address 172.32.1.2 255.255.255.252,PE1,：,ospf 11 vpn-instance vpn1,area 0.0.0.0,network 192.168.1.0 0.0.0.3,network 192.168.254.0 0.0.0.255,#,ospf 12 vpn-instance vpn2,area 0.0.0.0,network 172.32.1.0 0.0.0.3,network 172.32.254.0 0.0.0.255,E0/0.1,E0/1.1,E0/1.2,E0/0.2,192.168.254.1/30,172.32.254.1/30,192.168.1.1/30,172.32.1.1/30,接口,配置,路由,配置,接口,配置,路由,配置,MCE,技术优劣分析,MCE,的技术优势：,作为,MCE,的设备功能要求低，仅需支持多,VRF,，无需支持,MP-BGP,及,MPLS,等,PE,设备需要支持的技术；,原网络上的设备无需新增任何技术，天然支持；,作为,MCE,的设备性能要求低，公司网路由数量均得到控制，,MCE,无需学习公网路由，,PE,设备可将各个,VPN,的私网路由进行聚合再发送给,MCE,设备。,MCE,的技术劣势：,MCE,设备与,PE,设备之间需要实现逻辑多通道，非,GE,或,FR,等的可逻辑多通道的接口可能无法支持；,当,MCE,设备接入的,VPN,的数量较多时，,PE,和,MCE,设备之间的逻辑通道数量增加，需分配较多的私网互联地址，切配置维护均烦杂；,MCE,设备原属于公网边缘，可能公网的网关设备需要对其进行管理，需要在,PE,和,CE,之间开设公网管理通道。,BGP MPLS VPN,基本组网的缺陷,MCE,HOPE,BGP MPLS VPN,技术扩展,目录,HOPE,组网,普通,MPLS,组网,HOPE,组网,公,网,私,网,PE,PE,PE,PE,PE,PE,PE,CE,CE,VPN1,VPN2,公,网,私,网,PE,SPE,SPE,UPE,UPE,UPE,UPE,CE,CE,VPN1,VPN2,HOPE,技术实现,HOPE,（,Hiberarchy of PE,）即分层,PE,。,HOPE,技术对原,BGP MPLS VPN,技术中的,PE,角色进行了改进，分成了,SPE,（,Underlayer PE,）和,UPE,（,Superstratum PE,）。,为减轻网络边缘的,UPE,设备的负担，,SPE,将只向,UPE,发送缺省的私网路由，缺省路由的下一跳为,SPE,。,私网报文在,UPE,上根据缺省路由到达,SPE,设备，在,SPE,上重新查询私网路由表转发。,SPE,UPE,CE,CE,VPN1,VPN2,HOPE,SPE,对,UPE,的路由发布,VPN1,VPN2,CE1,CE2,UPE,PE,SPE,S1/1,S0/1,eth0/1,eth0/2,eth1/1,PE,PE,PE,10.0.0.1/24 1.1.1.2,destination,next-hop,VPN1,路由表,私网,OUT,标签,1024,RD,100:1,10.1.0.1/24 1.1.1.3,10.2.0.1/24 1.1.1.4,1031,1029,100:1,100:1,聚合,Loopback0=1.1.1.1/32,路由信息,:,路由,:,0.0.0.0/0,Next-hop:,1.1.1.1,RD100:1 RT:Export 100:1,私网标签,:1024,发布,SPE,将私网路由进行聚合再发布给,UPE,。,HOPE UPE,的报文转发,VPN1,VPN2,CE1,CE2,UPE,PE,SPE,S1/1,S0/1,eth0/1,eth0/2,eth1/1,PE,PE,PE,Loopback0=1.1.1.1/32,CE1,0.0.0.0/32 1.1.1.1,destination,next-hop,VPN1,路由表,私网,OUT,标签,1024,RD,100:1,NULL,IN,next-hop,OUT,3,S0/1,针对,PE1,的,loopback,地址路由,1.1.1.1/32,形成的标签转发表项,D:10.1.0.1,Date,S:192.168.0.1,（,1,）,3,1024,从,UPE,发送出来的私网报文，查询路由下一跳，隧道的终点就是,SPE,设备。,HOPE,SPE,的报文转发,VPN1,VPN2,CE1,CE2,UPE,PE,SPE,S1/1,S0/1,eth0/1,eth0/2,eth1/1,PE,PE,PE,VPN1,路由表,Loopback0=1.1.1.1/32,CE1,NULL,IN,next-hop,OUT,36,S0/1,3,NULL,Loopback0,10.0.0.1/24 1.1.1.2,destination,next-hop,VPN1,路由表,私网,OUT,标签,1024,RD,100:1,10.1.0.1/24 1.1.1.3,10.2.0.1/24 1.1.1.4,1031,1029,100:1,100:1,D:10.1.0.1,Date,S:192.168.0.1,（,2,）,D:10.1.0.1,Date,S:192.168.0.1,（,2,）,3,针对,P,远端,E,的,loopback,地址路由,1.1.1.3/32,形成的标签转发表项,1031,在,SPE,上重新查询,私网路由表进行转发,私网报文在,SPE,重新查询私网路由表，进入另一公网隧道。,HOPE,技术配置,SPE,UPE,CE,CE,VPN1,VPN2,SPE,配置：,UPE,配置：,SPE bgp 100,SPE-bgp ipv4-family vpnv4,SPE-bgp-af-vpnv4 peer 1.1.1.2 upe,SPE-bgp-af-vpnv4 peer 1.1.1.2 default-originate,vpn-instance vpna,SPE-bgp-af-vpnv4 quit,U,PE bgp 100,UPE-bgp peer 1.1.1.1 as-number 100,UPE-bgp peer 1.1.1.1 connect-interface loopback 1,U,PE-bgp ipv4-family vpnv4,U,PE-bgp-af-vpnv4 peer 1.1.1.1 enable,UPE-bgp-af-vpnv4 quit,U,PE-bgp quit,Loopback0=1.1.1.2/32,Loopback0=1.1.1.1/32,HOPE,技术优劣势,HOPE,的优势：,作为,UPE,设备每个,VPN,仅需学习一条缺省路由，且因为私网路由的下一跳是,SPE,，所以公网上,SPE,也只需学习,SPE,的,loopback,地址，性能压力大幅度降低；,网络结构不变，公网和私网分界不变，设备管理无需特殊部署；,SPE,和,UPE,之间无需建立多个逻辑通道，配置维护简单。,HOPE,的劣势：,SPE,设备需要支持,HOPE,技术，向,UPE,设备发布下一跳为自己的私网缺省路由，这不是,MP-BGP,技术本身可实现的部分，目前业界只有少数厂家可以支持该技术；,UPE,设备只能收到缺省路由，其,VPN,的互访控制由,SPE,上对应的,VPN,来决定。,BGP MPLS VPN,基本组网的缺陷,MCE,HOPE,BGP MPLS VPN,技术扩展,目录,BGP MPLS VPN,技术扩展,BGP MPLS VPN,技术除了扩展了,MCE,和,HOPE,两个技术外，还有很多相关的技术，基本结构如下：,BGP MPLS VPN,L2 BGP MPLS VPN,L3 BGP MPLS VPN,VLL,VPLS,单播,BGP MPLS VPN,组播,BGP MPLS VPN,MCE/HOPE,BGP,MPLS VPN,跨域,BGP MPLS VPN,组网扁平化产生的原因以及导致的后果。,MCE,与,HOPE,技术的应用及配置。,BGP MPLS VPN,除了扩展,MCE,与,HOPE,技术，还包括很多其他的技术。,本章总结,

展开阅读全文