Лекция 7. Организация VPN через MPLS

1. Адаптивные сервис-ориентированные сети

Адаптивные сервисориентированные сети
Лекция 7. Организация VPN через MPLS

2. Общие понятия

VPN (virtual private network) –
виртуальная частная сеть

3. Общие понятия

MPLS VPN
PE – provider edge
CE – customer edge

4. Общие понятия

MPLS VPN
Клиент
VPNs
Узлы
№1
A
1,6
№2
B
3,4,5
№3
C
2,8
№4
D
7,9

5. Общие понятия

Схемы взаимодействия узлов:
закрытая абонентская группа (CUG –
closed user group)
- взаимодействия узлов только друг с другом
центр-периферия (HAS – hub-and-spoke)
- объединение нескольких узлов, один или
несколько из которых объявляется центральным, а
остальные периферийными
- центральные узлы могут обмениваться IP
трафиком друг с другом
- периферийные узлы не могут обмениваться
трафиком друг с другом

6. Общие понятия

Функционирование PE

7. Общие понятия

На устройстве PE на каждый VPN
создается один виртуальный объект VRF
(VPN Routing and Forwarding)
VRF формируется:
отдельной таблицей IP-маршрутизации
множеством интерфейсов устройства PE,
по которым подключены устройства CE

8. Общие понятия

Разбиение интерфейсов по VRF
Интерфейс
Сосед
VPN
VRF
int0
CE3
B
B
int1
CE2
A
A
int2
CE1
A
A

9. Общие понятия

Таблица маршрутизации на устройстве PE1
N
Протокол
VRF
Подсеть
Nexthop
1
OSPF
A
10.1.1.0/24
CE1
2
OSPF
A
10.3.1.0/24
CE2
3
RIP
B
10.1.1.0/24
CE3

10. Общие понятия

11. Коммутация пакетов

12. Коммутация пакетов

Таблица маршрутизации на PE1
N
Протокол
VRF
Подсеть
Next-hop
Метка
1
OSPF
A
10.1.1.0/24
CE1
--
2
iBGP
A
10.2.1.0/24
PE2
1000/345
3
RIP
B
10.1.1.0/24
CE3
4
iBGP
B
10.2.1.0/24
PE2
1020/345
5
OSPF/LDP
--
PE2
P1
345

13. Коммутация пакетов

Таблица коммутации на PE2
Входной
интерфейс
Входная
метка
Выходной
интерфейс
Выходная
метка
int0
1000
int1/VRF A
нет
int0
1020
int2/VRF B
нет

14. Коммутация пакетов

15. Обмен маршрутной информацией

Для распространения маршрутной
информации о сетях VPN и внутренних
метках используется протокол BGP
Маршрутная информация состоит из двух
компонент:
NRLI (network layer reachability information)
– описывает только префикс маршрута
Path attributes – атрибуты маршрута

16. Обмен маршрутной информацией

Атрибуты маршрута:
Address Family Identifier (AFI) (2 байта) = 1
(маршрут класса IPv4)
Subsequent Address Family Identifier (AFI) (1 байт)
= 4 (описание маршрута включает "внутренние"
метки VPN)
Next-hop
SNPA - Subnetwork Points of Attachment - для
MPLS/VPN не используется
Структура MP_NLRI - Multi Protocol Network Layer
Reachability Information: метка;префикс подсети
VPN маршрута

17. Обмен маршрутной информацией

Так как подсети различных VPN могут
пересекаться, то для обеспечения их
уникальности префиксы подсетей VPN состоят
из двух частей:
Route Distinguisher (RD) - дискриминатор
маршрутной информации. RD обеспечивает
уникальность префикса VPN (8 байт)
IPv4 network address - традиционный префикс
IPv4 (4 байта)
Форма представления префикса подсети как
пары RD и IPv4 называется VPN-IPv4 address
family.

18. Обмен маршрутной информацией

Route Distinguisher (RD) состоит из 3 полей:
тип (2 байта) - определяет структуру и размер
следующих полей;
глобальная (административная) компонента;
локальная компонента (индекс)

19. Обмен маршрутной информацией

Расширенные атрибуты:
Site of Origin - атрибут, идентифицирующий
точку подключения клиента (site)
Route Target - набор идентификаторов,
описывающих правила импорта/экспорта

20. Обмен маршрутной информацией

Форма представления расширенных атрибутов
следующая:
тип атрибута (1 байт)
идентификатор атрибута (1 байт):
Site of Origin = 3, Route Target = 2
глобальная компонента
локальная компонента

21. Организация VPN

К каждому объекту VRF на каждом PE
привязывается два множества атрибутов RT:
import
export

22. Организация VPN

Правила
распространения
маршрутной
информации следующие:
Все
маршруты,
полученные
от
CE,
принадлежащие VRF X, передаются другим
PE с добавлением множества атрибутов RT
"export" VRF-а X
Маршрут, полученный от другого PE, будет
установлен в VRF-таблицу Y, только если
множество атрибутов RT полученное с
маршрутом и множество "import" VRF-а Y
имеют хотя бы один общий атрибут

23. Организация VPN

Конфигурация VRF на PE1
VRF
Import
Export
RD
A
1:1, 2:1
2:1
6:1
B
1:1, 3:2
3:2
7:2
C
2:2, 3:1, 4:5
6:2, 6:4
7:1

24. Организация VPN

Маршрутная информация, получаемая по BGP
устройством PE1 от PE2
Префикс
Атрибуты
RT
Next-hop
VPNlabel
8:1:10.2.1.0/24
4:2, 2:1
172.16.1.1
100
8:2:10.2.1.0/24
3:1
172.16.1.1
200
172.16.1.1
300
8:3:172.16.1.0/24 1:1, 7:1

25. Организация VPN

Таблицы маршрутизации на PE1
VRFтаблица
Проток
ол
Префикс
Выходной
интерфейс
Next-hop
Метки для
коммутации
A
iBGP
10.2.1.0/24
Int3
172.16.1.
1
100/1001
A
iBGP
172.16.1.0/24 Int3
172.16.1.
1
300/1001
A
OSPF
10.1.1.0/24
CE1
Нет
B
iBGP
172.16.1.0/24 Int3
172.16.1.
1
300/1001
B
OSPF
10.3.1.0/24
Int1
CE2
Нет
C
iBGP
10.2.1.0/24
Int3
172.16.1.
1
200/1001
C
RIP
10.1.1.0/24
Int0
CE3
Нет
Int2

26. Организация VPN

Маршрутная информация, отправляемая по BGP
устройством PE1 устройству PE2
Источни VRF Префикс
к
маршру
та
Префикс+R
D
Назначен Назначе Next-hop
ный RT
нная
VPN
метка
CE1
A
10.1.1.0/2 6:1:10.1.1.
4
0/24
2:1
200
172.16.1.2
CE2
B
10.3.1.0/2 7:2:10.3.1.
4
0/24
3:2
400
172.16.1.2
CE3
C
10.1.1.0/2 7:1:10.1.1.
4
0/24
6:2, 6:4
100
172.16.1.2

27. MPLS VPN

Преимущества MPLS VPN
Масштабируемость
возможность пересечения адресных
пространств, узлов подключенных в
различные VPN
изолирование трафика VPN друг от
друга на втором уровне модели OSI

28. MPLS VPN

Типы MPLS VPN
Point-to-Point MPLS
Layer 2 VPN (VPLS)
Layer 3 VPN (VPRN)

29. MPLS VPN

Point-to-Point MPLS VPN использует
виртуальные выделенные линии (VLL –
virtual leased lines) для того, чтобы
обеспечить связь по типу (точка-точка)
через Ethernet
VLL использует псевдопроводную
технологию, которая обеспечивает
эмуляцию традиционных сервисов по
сетям с коммутацией пакетов.

30. MPLS VPN

Point-to-Point MPLS VPN.