LS L2 VPN原理(华为数通课件)
MLS和VN技术华为数通PPT课件
标签操作:Hale Waihona Puke wap ILM->NHLFE
4
目录
1. MPLS介绍 2. MPLS标签格式 3. LDP工作原理和配置 4. MPLS L3 VPN原理
5
MPLS特点
MPLS——Multi-Protocol Label Switching
Multi-Protocol 支持多种三层协议,如IP、IPv6、IPX、SNA等
Label Switching 给报文打上标签,以标签交换取代IP转发
标签操作:swap
ILM->NHLFE
标签操作:swap
ILM->NHLFE
标签操作:pop
ILM->NHLFE 分析IP头 映射到下一跳
A
A: 入口LER
FEC
10.0.1.0/24
B LSR
下一跳 B
C LSR
NHLFE 发送接口
D 出口LER
标签操作 其他
E1
加上标签L1 …
传统路由协议和标签分发协 (LDP)一起,在各个LSR中为有业务 需求的FEC建立路由表和标签映射表(FEC-Label映射),即成功建 立LSP。
LSR
LER
LSP
LSR
MPLS
LER
LSR:Label Switch Router LER:Label Edge Router LSP:Label Switch Path
11
MPLS 基本工作过程
Core LSR
LER
LER
IP
IP L1
IP L2
IP L3
IP
传统IP转发
标签转发
传统IP转发
3-3--VPLS原理(华为数通课件)
属性 信令 对PE的能力要求 是否支持自动发现 实现的复杂程度 可扩展性 标签利用率 配置工作量 跨域时的限制
Kompella 方式
高 是 高 好 低 小 小
Martini 方式
一般 否 低 差 高 大 大
27
第2章 VPLS实现原理
2.1 VPLS基本工作原理 2.2 Martini方式的VPLS 2.3 Kompella方式的VPLS 2.4 关键技术
如果PE收到远端PE发来的广播流量,它只向直接连接 VPLS用户转发流量,不向其他PE转发。
对于目的MAC地址为非广播地址的报文,如果PE还没 有学习到该MAC地址,则PE将广播该报文
32
关键技术
AC上的报文封装
Ethernet接入:(又称为QinQ接入)运营商PE忽略 用户报文中的 802.1Q tag,根据QinQ VLAN为用 户报文选择所属VPN,此方式不用干预用户的VLAN规 划,一个PE设备上允许不同CE的VLAN重叠。
概述 采用LDP作信令 通过扩展标准LDP的TLV来携带VPLS的信息
增加了128类型和129类型的FEC TLV
建立PW时的标签分配和保留模式
分配模式采用DU(downstream unsolicited) 标签保留模式采用liberal label retention
用来交换VC信令的LDP连接需要配置成Remote 方式
VPLS的环路避免
使用“全连接”和“水平分割转发”来避免环路。
“水平分割转发”就是从公网侧PW收到的数据包不再 转发到其他PW上,只能转发到私网侧。
VPLS基本概念
PW(Pseudo-Wire):伪电路。PW是VPLS中两个PE间的虚拟 连接,在两个PE之间传输帧。
3-3--VPLS原理(华为数通课件)
IP MPLS Network R
Trunk
PE
VLAN 10-50
1.1.1.1 Remote Session 2.2.2.2
R
PE
Trunk
VLAN 10-50
S CE
CE S
Vlan:1020
50
Vlan:1020
50
19
Martini方式的VPLS
标签分配
为了建立一条VC,PE需要为其分配两层标签。
Unqualified
PE仅根据用户以太报文的MAC地址进行学习,即基于每
个VSI进行学习。这种模式下,所有用户VLAN共享一个
广播域和一个MAC地址空间,用户VLAN的MAC地址必
须唯一,不能发生地址重叠 。
31
关键技术
广播流量转发
如果PE收到本地用户发出的广播流量,它将向同一 VPLS的所有其它端口以及同一VPLS的所有其他PE转 发广播流量。
VPLS基本概念
PW(Pseudo-Wire):伪电路。PW是VPLS中两个PE间的虚拟 连接,在两个PE之间传输帧。
VSI(Virtual Switch Instance):虚拟交换实例。每个VSI提 供单独的VPLS服务。VSI实现以太桥接功能,并能够终结PW。
VC(Virtual Circuit):虚电路。在两个节点之间的一种单向逻 辑连接。一个PW由一对反向VC组成。
概述 采用LDP作信令 通过扩展标准LDP的TLV来携带VPLS的信息
增加了128类型和129类型的FEC TLV
建立PW时的标签分配和保留模式
分配模式采用DU(downstream unsolicited) 标签保留模式采用liberal label retention
MPLSL2VPN原理培训胶片(PPT 45张)
LABEL BLOCK;
LB:LABEL BASE LR:LABEL RANGE LBO:LABEL BLOCK OFFSET
kompella术语
L3VPN传递FEC和单个LABEL的方式; BGP方式L2VPN采取标记块的方式,一次为多个连接分配标记。用
户可以指定一个本地CE的范围(CE range),表明这个CE能与多 少个CE建立连接。系统会一次为这个CE分配一个标记块,标记块 的大小等于CE range。这种方式允许用户为VPN分配一些额外的标 记,留待以后使用。这样会造成标记资源的浪费,但是同时带来一 个很大的好处:减少VPN部署和扩容时的配置工作量。
TARGET、RD、SITE的定义以及用途
区别是kompella传送的是二层信息,而MPLS BGP VPN传送的是
三层路由信息,为此kompella进行了相应的BGP NLRI扩展
处理的信息不同了,那么发送接受二层信息的流程也发生了相应的
变化。
kompella术语
Label Block Label Base Label Range Label-block Offset CE ID
L2 PDU
(Emulated)
3些情况下,在网络上传输l2vpn报文的时候没有必要传送整个的 二层帧,而是在入口端把二层头给剥离,然后在出口端重新添加。 但是如果二层头中有些信息需要携带,这种方式就不可取了,因此 提出了控制字的方法来解决这个问题,控制字里携带的信息都是 INGRESS端和EGRESS端协商好的。 控制字主要有三个功能:
P节点也要进行STATIC LSP的配置
CCC组网
Tunnel标签 2层头部 数据
PE
A公 分支机
【精品】3-2MPLSL2VPN原理(华为数通课件)
6
第一章 MPLS L2 VPN 概述 第二章 MPLS L2 VPN 原理
Байду номын сангаас
7
第二章 MPLS L2
第一节 报文结构 VPN 原理
第二节 CCC
第三节 Martini 第四节 SVC 第五节 Kompella
8
协议结构 连接控制(LDP、BGP、STATIC-LSP)
连接控制
用于 VC-Label 协商, 撤销, 差错通告
Martini介绍
遵循草案draft-martini-l2circuit-trans-mpls,使用LDP 作为传递VC信息的信令。 PE之间建立LDP的remote session,PE为CE之间的每条 连接分配一个VC标签。二层VPN信息将携带着VC标签,通 过LDP建立的LSP转发到remote session的对端PE。 这种方式不能提供象CCC方式的本地交换功能,但是不象 CCC远程连接那样,一条LSP只能被一条远程CCC连接独享, 服务运行商网络中的一条隧道可以被多条VC共享使用。
15
CCC组网
Tunnel标签 2层头部 数据
PE
A公司 分支机构2
PE
MPLS网络
A公司 总部 远程 连接
PE
A公司 分支机构1 本地 连接
A公司 分支机构3
16
第二章 MPLS L2
第一节 报文结构 VPN 原理
第二节 CCC
第三节 Martini 第四节 SVC 第五节 Kompella
17
3
MPLS L2VPN
Customer Site Customer Site
Tunnel
虚电路
PE
Customer Site
MPLSL2VPN原理
L2 PDU (Emulated)
10
– VC 标签
• 用于在相同的tunnel上标识不同的虚电路 • MPLS label.
报文结构
• 有些情况下,在网络上传输l2vpn报文的时候没有必要传送整 个的二层帧,而是在入口端把二层头给剥离,然后在出口端 重新添加。但是如果二层头中有些信息需要携带,这种方式 就不可取了,因此提出了控制字的方法来解决这个问题,控 制字里携带的信息都是INGRESS端和EGRESS端协商好的。
– P节点也要进行STATIC LSP的配置
16
CCC组网
Tunnel标签 2层头部 数据
PE
A公司 分支机构2
PE
A公司 总部
MPLS网络
A公司 分支机构1
本地 连接
17
远程 连接
PE
A公司 分支机构3
课程内容
第二章 MPLS L2 VPN 原理
第一节 报文结构 第二节 CCC 第三节 Martini 第四节 SWC 第五节 Kompella 第六节 L2VPN 的比较
• 多协议支持
6
• 网络平滑升级
L2VPN-VRP实现
• Martini:遵循草案draft-martinil2circuit-trans-mpls,使用LDP作为传 递VC信息的信令。
• Kompella:遵循草案draft-kompellappvpn-l2vpn-xx,与RFC2547定义的 BGP/MPLS VPN相似。
• 虚电路方式
– 虚电路方式与租赁专线相比,建设时 间短、价格低
– 在不同类型的网络(如ATM、FR)上 提供业务,需要建设并维护独立的网 络
– 其速率较慢
4
最新L2TPVPN和SSLVPN知识点ppt课件
L2TP VPN的原生使用环境
具体流程如下:
L2TP原生应用场景的数据封装流程如下图所示:
运营商使用1个LAC同时为多个企 业服务
新网络时代的L2TP VPN
具体处理流程如图所示:
很多时候出差员工是在宾馆上网,而宾馆客房网络通 常都是通过NAT接入到互联网的,比如前图所示有2 个出差员工的PC地址都是192.168.1.2,那么可以正 常连接到LNS吗?
进 入 夏 天 ,少 不了一 个热字 当头, 电扇空 调陆续 登场, 每逢此 时,总 会想起 那 一 把 蒲 扇 。蒲扇 ,是记 忆中的 农村, 夏季经 常用的 一件物 品。 记 忆 中 的故 乡 , 每 逢 进 入夏天 ,集市 上最常 见的便 是蒲扇 、凉席 ,不论 男女老 少,个 个手持 一 把 , 忽 闪 忽闪个 不停, 嘴里叨 叨着“ 怎么这 么热” ,于是 三五成 群,聚 在大树 下 , 或 站 着 ,或随 即坐在 石头上 ,手持 那把扇 子,边 唠嗑边 乘凉。 孩子们 却在周 围 跑 跑 跳 跳 ,热得 满头大 汗,不 时听到 “强子 ,别跑 了,快 来我给 你扇扇 ”。孩 子 们 才 不 听 这一套 ,跑个 没完, 直到累 气喘吁 吁,这 才一跑 一踮地 围过了 ,这时 母 亲总是 ,好似 生气的 样子, 边扇边 训,“ 你看热 的,跑 什么? ”此时 这把蒲 扇, 是 那 么 凉 快 ,那么 的温馨 幸福, 有母亲 的味道 ! 蒲 扇 是 中 国传 统工艺 品,在 我 国 已 有 三 千年多 年的历 史。取 材于棕 榈树, 制作简 单,方 便携带 ,且蒲 扇的表 面 光 滑 , 因 而,古 人常会 在上面 作画。 古有棕 扇、葵 扇、蒲 扇、蕉 扇诸名 ,实即 今 日 的 蒲 扇 ,江浙 称之为 芭蕉扇 。六七 十年代 ,人们 最常用 的就是 这种, 似圆非 圆 , 轻 巧 又 便宜的 蒲扇。 蒲 扇 流 传 至今, 我的记 忆中, 它跨越 了半个 世纪, 也 走 过 了 我 们的半 个人生 的轨迹 ,携带 着特有 的念想 ,一年 年,一 天天, 流向长
VPN原理培训-PPT课件
IPSec VPN原理简介
2
目录
• IPSec概述 • IKE协议 • AH协议 • ESP协议
3
VPN分类
IPSec
GRE
L2F PPTP L2TP
Layer 5(应用层) Layer 4(传输层) Layer 3(网络层) Layer 2(链路层) Layer 1(物理层)
4
一个利用IPSec通信的例子
– 对方IP地址 – IPSec协议:AH/ESP?
12
SP(Security Policy)
• 对IP数据包提供何种保护,并以何种方式实施 • 当要将IP包发送出去时,或者接收到IP包后,首
先要查找SPD来决定如何进行处理。存在三种可 能的处理方式:丢弃、不用IPSec和使用IPSec。
– 丢弃:流量不能离开主机或者发送到应用程序,也不 能进行转发。
HASH
H
• HMAC算法:带密钥的HASH算法
• MAC:Message Authentication Code • HMAC-MD5,HMAC-SHA1
HMAC
H
HMAC H’ ?
H
7
IPSec体系结构
IPSec体系结构
ESP协议
AH协议
加密算法
验证算法
解释域(DOI) 密钥管理(IKE)
8
IPSec SA
18
目录
• IPSec概述 • IKE协议 • AH协议 • ESP协议
19
IKE协议
• RFC 2409 • 三种协议混和:ISAKMP/Oakley/SKEME • 协议:UDP
– 500 – 4500(支持NAT穿越)
• 调试:
3-2MPLSL2VPN原理(华为数通课件)
15
CCC组网
Tunnel标签 2层头部 数据
PE
A公司 分支机构2
PE
MPLS网络
A公司 总部 远程 连接
PE
A公司 分支机构1 本地 连接
A公司 分支机构3
16
第二章 MPLS L2
第一节 报文结构 VPN 原理
第二节 CCC
第三节 Martini 第四节 SVC 第五节 Kompella
17
32-bit 的控制字
(Emulated)
29
基本原理:kompella简介
与MPLS BGP VPN实现机理类似,特别是CE、PE、 ROUTE-TARGET、RD、SITE的定义以及用途 区别是kompella传送的是二层信息,而MPLS BGP VPN传 送的是三层路由信息,为此kompella进行了相应的BGP NLRI扩展 处理的信息不同了,那么发送接受二层信息的流程也发生了 相应的变化。
11
第二章 MPLS L2
第一节 报文结构 VPN 原理
第二节 CCC
第三节 Martini 第四节 SVC 第五节 Kompella
12
CCC介绍
CCC是Circuit Cross Connect(电路交叉连接)的缩写, 是通过静态配置来实现L2VPN的一种方式。
13
CCC连接类型
CCC方式分为本地CCC连接和远程CCC连接。
4
MPLS方式的L2VPN
扩展了运营商的网络功能和服务能力 具有更高的可扩展性 管理责任分工明确 路由私有、安全 易配置(N方解决?主要体现在隧道复用) 多协议支持 网络平滑升级
5
L2VPN-VRP实现
01-06_MPLS_L2VPN
目录6 MPLS L2VPN..............................................................................................................................6-16.1 MPLS L2VPN简介......................................................................................................................................6-26.1.1 MPLS L2VPN的引入.........................................................................................................................6-26.1.2 MPLS L2VPN的基本概念.................................................................................................................6-36.1.3 MPLS L2VPN的优势.........................................................................................................................6-46.1.4 MPLS L2VPN的基本架构.................................................................................................................6-56.2 MPLS L2VPN的分类..................................................................................................................................6-86.3 VPWS简介...................................................................................................................................................6-86.4 VPWS的实现方式.......................................................................................................................................6-96.4.1 VPWS实现方式概述..........................................................................................................................6-96.4.2 CCC方式MPLS L2VPN....................................................................................................................6-96.4.3 SVC方式MPLS L2VPN..................................................................................................................6-126.4.4 Martini方式MPLS L2VPN..............................................................................................................6-126.4.5 Kompella方式MPLS L2VPN..........................................................................................................6-166.4.6 MPLS L2VPN VPWS几种实现方式比较.......................................................................................6-296.5 MPLS L2VPN与BGP/MPLS VPN比较..................................................................................................6-296.6 VPWS的跨域问题.....................................................................................................................................6-306.7 MPLS L2VPN异种介质互通....................................................................................................................6-316.7.1 MPLS L2VPN异种介质互通概述...................................................................................................6-316.7.2 不同链路层协议的处理...................................................................................................................6-316.8 参考资料清单............................................................................................................................................6-33插图目录图6-1 CE使用ATM接入组网示意图.............................................................................................................6-3图6-2 MPLS L2VPN基本结构.........................................................................................................................6-5图6-3 MPLS L2VPN标签栈处理.....................................................................................................................6-6图6-4 MPLS L2VPN的帧格式.........................................................................................................................6-6图6-5 MPLS L2VPN的报文结构.....................................................................................................................6-7图6-6 CCC连接方式......................................................................................................................................6-10图6-7 CCC的本地连接的报文交互过程.......................................................................................................6-11图6-8 CCC的远程连接的报文交互过程.......................................................................................................6-11图6-9 Martini支持的拓扑模型.......................................................................................................................6-13图6-10 Martini的报文交互过程.....................................................................................................................6-14图6-11 LDP的标签映射消息.........................................................................................................................6-15图6-12 128类VC FEC结构...........................................................................................................................6-16图6-13 Kompella方式支持的拓扑模型.........................................................................................................6-18图6-14 Kompella的连接方式.........................................................................................................................6-19图6-15 Kompella方式VC标签块的计算.....................................................................................................6-20图6-16 标签块的计算....................................................................................................................................6-21图6-17 Kompella的VC标签计算.................................................................................................................6-22图6-18 增加新CE后Kompella的VC标签计算........................................................................................6-25图6-19 MP-BGP的扩展信息..........................................................................................................................6-28图6-20 二层信息扩展团体属性.....................................................................................................................6-28表格目录表6-1 需要控制字携带二层帧头控制信息的封装类型.................................................................................6-7表6-2 128类VC FEC报文字段描述.............................................................................................................6-16表6-3 PE1对CE1和CE3的标签判断..........................................................................................................6-22表6-4 PE1对VC的标签计算........................................................................................................................6-23表6-5 PE2对CE1和CE3的标签判断..........................................................................................................6-23表6-6 PE2对VC的标签计算........................................................................................................................6-24表6-7 PE1对CE1和CE13的标签判断........................................................................................................6-25表6-8 PE1对CE1和CE13的标签判断........................................................................................................6-26表6-9 PE3对CE1和CE13的标签判断........................................................................................................6-26表6-10 PE1对VC的标签计算......................................................................................................................6-27表6-11 PE3对VC的标签计算.......................................................................................................................6-27表6-12 二层信息扩展团体字段描述.............................................................................................................6-28表6-13 MPLS L2VPN VPWS实现方式比较.................................................................................................6-29表6-14 MPLS L2VPN与BGP/MPLS VPN比较...........................................................................................6-29特性描述 VPN 6 MPLS L2VPN6 MPLS L2VPN 关于本章本章描述内容如下表所示。
MPLS VPN技术原理与配置 华为数通HCIP
各层VPN:数据链路层:PPTP L2F L2TP网络层:Ipsec Gre应用层:SSL DPNVPN技术:虚拟专用网(帧中继、X.25等)定义:是一种逻辑的隔离技术,就好像在两个站点之间跨越公共网络建立了专用的隧道,站点通过隧道实现通信产生原因:能提高带宽利用率,价格相对于专线比较便宜,因此成为构成早期VPN网络的主要技术VPN网络的特点:使用共享的公共网络环境实现各私网的连接不同的私有网络之间相互不可见企业用户接入运营商的网络结构企业用户的网络设备:RTA,RTB,RTF与RTG被称为CE(Customer Edge)设备运营商的网络设备:RTC与RTE,设备直接与客户设备相连,被称为PE(Provider Edge)设备RTD,是运营商网络中的骨干设备,被称为P(Provider)设备CE(Customer Edge):用户网络边缘设备,有接口直接与服务提供商SP(Service Provider)网络相连。
CE可以是SVN 或交换机,也可以是一台主机。
通常情况下,CE“感知”不到VPN的存在,也不需要支持MPLSPE(Provider Edge):服务提供商边缘设备,是服务提供商网络的边缘设备,与CE直接相连。
在MPLS网络中,对VPN的所有处理都发生在PE上P(Provider):服务提供商网络中的骨干设备,不与CE直接相连。
P设备只需要具备基本MPLS转发能力,不维护VPN信息用户设备所在的区域,称为一个站点(Site),站点是指相互之间具备IP连通性的一组IP系统,并且这组IP系统的IP连通性不需通过运营商网络实现VPN模型:1。
Overlay VPNOverlay VPN的特点:客户路由协议总是在客户设备之间交换,而运营商对客户网络结构一无所知典型的协议:二层——帧中继三层——GRE与IPSec应用层——SSL VPNOverlay VPN可以在CE设备上建立隧道,也可以在PE设备上建立隧道:在CE与CE之间建立隧道,并直接传递路由信息,路由协议数据总是在客户设备之间交换,运营商对客户网络结构一无所知:优点:不同的客户地址空间可以重叠,保密性、安全性非常好缺点:本质是一种“静态”VPN,无法反应网络的实时变化。