進階網路系統 指導老師: 王井煦 教授 第三組 組員 : 郭淑貞 935609 林瑞棋 935611 林慶昌 935615 第三組 組員 : 郭淑貞 935609 林瑞棋 935611 林慶昌 935615 林宏霖 935628 姚明芳 935637 許添財 935659 指導老師: 王井煦 教授
Chapter 4 Hybrid L2 and L3 IP/MPLS Networks 了解VPN的各項元件 透過IP網路傳送L3VPNs 透過IP/MPLS 網路提供L2乙太網路服務
Understanding VPN Components TYPE: CPE Based VPNs 客戶端 Network-Based VPNs 網路型 Elements: Customer edge(CE) Provider edge(PE) Provider(P)
Customer edge(CE) 客戶端的設備位置存在於企業端的邊緣,這種設備通常是一顆路由器或者是一台L3VPN的主機,或者是在L2VPN的網路中,CE也可以是一台L2的交換機.CE連接到網路供應商,是透過各種不同的資料鏈結層的協定來傳送,像PPP,ATM,Fame Relay,Ethernet,GRE 等等。
Provider edge(PE) 網路供應商邊緣設備,是網路供應商所擁有的設備,它提供從不同的CE端第一層的匯集,PE 設備邏輯性的區隔開不同的聚集VPN線路,PE端設備不加入所有的VPN,只會跟本身相連的企業端VPN相互連接
Provider (P) 網路供應商設備通常是指核心的IP/MPLS路由器,用於對PE端設備的做第二的匯集,此設備通常不具任何VPN的功能,而且通常無法得知VPN的存在
從L2TPv3網路建立混合型乙太網路與IP/MPLS L2VPN、Ethernet over MPLS 與虛擬私人網路服務(VPLS) 各種VPN及其L2和L3服務的區別 GRE & MPLS網路的L3 VPN 從L2TPv3網路建立混合型乙太網路與IP/MPLS L2VPN、Ethernet over MPLS 與虛擬私人網路服務(VPLS)
MPLS ( Multi-Protocol Label Switching ) 屬於第三代網路架構,是新一代的IP高速骨幹網路交換標準,由 IETF ( Internet Engineering Task Force,網際網路工程專案小組 ) 所提出,由 Cisco、3Com 等網路設備大廠所主導。MPLS 的運作原理是提供每個 IP 封包一個標籤,由此決定封包的路徑以及優先順序,與 MPLS 相容的路由器,會將封包轉送到其路徑前,僅讀取封包標籤,無須讀取每個封包的IP位址以及標頭,因此網路速度便會加快許多,同時藉由 QoS ( Quality of Service ) 的機制對所傳送的封包加以分級,進而大幅提升網路服務品質並且提供更多樣化的服務。
What is a Label ? 一個短的、固定長度的、而且只具本地意義(Local significance)的識別符(Identifier),此點與ATM所用的VPI/VCI之意義相同; 可以在整個網路中是唯一的、或者只在某個MPLS節點中是唯一的或者共在某個單一介上是唯一的; 可以被放在Layer-2的標頭或Layer-3的標頭中或介於Layer-2標頭與Layer-3標頭之間。 Section 3.1 of RFC 3031: ""Multiprotocol Label Switching Architecture" " http://www.ietf.org/rfc/rfc3031.txt
Label Encapsulation and Packet Forwarding
MPLS Label Fields The label field (20-bits) carries the actual value of the MPLS label. The CoS field (3-bits) can affect the queuing and discard algorithms applied to the packet as it is transmitted through the network. The Stack (S) field (1-bit) supports a hierarchical label stack. The TTL (time-to-live) field (8-bits) provides conventional IP TTL functionality.
Delivering L3VPNs over IP 網路供應商利用L3VPN 可以將其客戶專用的IP網路在其網路骨幹上進行其他服務,當網路供應商提供的是L3的服務時,他會提供一段IP Address給客戶端,這通常是為了提供Internet 的接取服務或者是提供群播(multicast)的服務等.L3VPN的提供可以藉由GRE tunnels or MPLS L3 VPN來傳遞
GRE-Based VPNs CE Based VPNs 企業的各站點可選擇全部連結或部分連結 VPN 集結點到點 Tunnel 費用高,管理不易 GRE Generic routing encapsulation 通用路由封裝
MPLS L3VPNs Network-based VPNs 比較有彈性的企業VPN服務 Intranet(企業) & Extranet(企業供應商) 的延伸 都會乙太網路服務 L3VPN:IPv4 傳輸 L2VPN:IPv4,IPX,SNA(IBM)傳輸
●每個PE都知道與其相連的VPN,PE1只知道VPN-A,PE3只知道VPN-B ●P路由器沒有任何VPN的訊息 ●CE路由器與相連的PE是相對的,A1與PE1對等,B1與PE3對等,以此類推
1. MPLS L3VPN PE 在不同的VPN之間分別維護轉送表 2. VPN-IPv4 位址的概念 3. 利用MPLS L3VPN機制如何在骨幹網路傳輸封包
維護站點虛擬路由器轉送表 對於相連接的每個點,PE路由器都分別維護虛擬路由器轉送表(Virtual router forwarding),轉送表內含有參予多個VPN的所有點的路由 PE 從直接相連點,或跨越骨幹與其在同一VPN內的PE中學習到其他的轉送表訊息,再與CE直接相連中是透過路由協定像,OSPF, ISIS,RIP,and BGP or 透過靜態路由配製而學到的.跨越骨幹送出的VPN訊息是透過多重協定BGP(multiprotocol BGP,MP-BGP)來學到 CE端的路由學習則是透過PE端的路由選擇協定或靜態路由而達成
MPLSL3VPN 使用下列三種屬性 來分辨與隔離不同的VPN路由,確認特定的路由來源 Traget VPNs VPN of origin Site of origin
Traget VPNs(目標VPN) 利用目標VPN屬性可以組織成一組站台,將特定目標VPN屬性與一條路由相聯接,已使該路由可以置於針對站台的轉送表中,用於轉送從相對應站的流量。
VPN of origin(來源VPN) 此屬性用於標示唯一的一組站台,以及相對應的路由標示為源自那一組站台的其中之一,典型的應用可能是標示有路由指向站台的企業,或者標示該站台Intranet
Site of origin(來源站台) 唯一可以辦識站台從PE路由器中學到的路徑(此屬性可以拓展BGP的社群屬性,來進行編碼),對所有加入站台學習到的路由都必須指定到同一各來源站台
Using VPN-IPv4 Address in MPLS L3VPNs 在MPLS L3VPNs裡使用VPN-IPv4位址 使用VPN-IPv4 位址的主要目的是允許路由器建立不同的路由在相同的IPv4的位址,可以使用在與L3VPNs相關的不同情況。 當有多數的VPNs 擁有重複的IPv4的位址時,會產生類似的情況,在這種情況下,每個路由器對其下的站台的轉送表必須對每個位址進行不同的處裡。如果同一組IP被兩路的VPN所使用,那麼路由器必須將該重複的IP位址加到不同的VRF(虛擬路由轉送)表中.VPN-IPv4的另一個應用是建立不同的路由,以便到達相同的IPv4的位址,例如在一家企業裡有使用Intranet & Extranet的情況,同一台的伺服器,可將其IP位址在兩台不同的路由器中進行宣告,一台用於Intranet ,一台用於Extranet,這樣可以強制Extranet 到達伺服器前須先經過防火牆。
Forwarding Traffic Across the Backbone 透過骨幹網路傳送訊務 只有PE路由器才有VPN IP Prefixes的相關資訊,P路由器並不紀錄任何有關VPN IP Prefixes紀錄,在傳統的IP轉送中,此模型是沒有作用的,但是在MPLS網路中他是根據標籤,而不是IP Address。 跨越骨幹從一個站台傳送至另一個站台時,它的訊務是根據MPLS 的 Label Switched path LSP 來達成 跨越MPLS的骨幹網路是包含著堆疊標籤來達成訊務的傳遞,在堆疊標籤的上層名為封包交換網路(PSN)隧道標籤,它是用於入口PE到出口PE沿途封包所必須經過的路徑.下面的標籤用於指定其所屬的VPN,如果網路供應商是一般的IP 轉送網路(非MPLS)的狀況,可以利用GRE隧道替代PSN隧道,該封包將在GRE隧道內承載VPN的標籤。
Applicability of MPLS L3VPNs for Metro Ethernet MPLS L3VPNs 在都會乙太網路的彈性 MPLS L3VPN 的架構在傳送都會乙太網路會有很多難題,從管理員的角度來看,MPLS L3VPN架構規定網路供應商要參與制定客戶IP定址方案,先前提過,CE路由器與網路供應商的路由器須對等,如果沒有採用靜態路由,在兩端就可能必須配置RIP 或OSPF之類的路由協定,而且要遵循其規則,以便可以讓類似OSPF之類的協定可以在不同的VPN路由中分開,並且散播正確的路由在BGP與OSPF中 從設備廠商角度來看,雖然MPLS L3VPN模型在理論上有很好的彈性,但此模型會給邊緣路由器(PE)帶來很大的負載。
Example: 1 PE 1000 VPN 1 VPN 1000 IP Prefixes 1 PE 1000 VRF =1,000,000 IP Prefixes Router -> 256,000 ~500,000 IP entries 較簡單的VPN方案,如 L2VPN,避免了L3VPN的複雜性並且可建立較簡易的服務,如透通LAN服務(Transparent LAN Service,TLS)
L2 Ethernet Services over an IP/MPLS Network IP/MPLS 網路提供 L2 乙太網路服務 IP 與MPLS在大型的網路供應商中一直被廣泛的應用,並且這些協定已經逐年的調整優化,可以提供高度的穩定性和彈性,下圖為IP/MPLS與L2乙太網路一些優缺點的比較:
IP/MPLS網路與客戶端距離越近,可以服務的彈性也就越高,但是其複雜度也隨之提高
Layer 3與Layer 3 MPLS VPN比較表 L3 MPLS VPN L2 MPLS VPN 定義 RFC2547bis定義的BGP/MPLS VPN,提供一個Layer 3 IP-only的VPN解決方案,透過BGP路由政策控制,支援多種VPN Topologies. 由Draft-Martini規範點對點,VPLS規範多點互相連的Layer 2 VPN,提供Layer2 交換的解決方案,可提供客戶使用獨立的路由交換器與虛擬電路 優點 標準較為成熟 廠商支援度與相容度佳 用戶幾乎不用設定 用戶可使用較簡單的設備 為ISP提供較多的商機 多重協定的統一服務平台 減少ISP管理路由的複雜度 VPN路由可由客戶自行完成 客戶的安全顧慮較低 支援多種協定 支援VPN之間的Multicast服務 限制及安全性 ISP需要花費人力在維護客戶的MPLS VPN路由表 用戶必須對ISP賦予信任,或要求ISP提供IPSec加密服務 用戶需要路由器設備 缺乏QoS機制 ISP不會涉及用戶的網路架構,具有傳統專線相同的安全性 用戶群 一班中小型企業,沒有能力管理自己的VPN網路 網路安全性要求較高,有足夠能力自己維護VPN路由的用戶,包括金融、政府、教育單位 發展趨勢 市場繼續讓IETF RFC 2547 標準繼續發展,更形完善,例如:已有廠商對RFC2547支援Multicast 及NAT功能 Draft-Laserre與Draft-Kompella 的競爭尚未定論,技術上可能趨向Draft-Kompella,因為除了具備Martini功能外,還具備Over Provisioning 功能,可解決建置大型L2 MPLS VPN網路的問題,但因Draft-Laserre有CISCO的強力支持,同時Foundry也已成功展示各廠商之間良好的互通性,也可能在市場上佔有優勢
Figure 4-6. Hybrid L2 and IP/MPLS Metro
利用IP/MPLS 邊緣/核心網路可以將L2網域限制存取在入口或是入口/邊緣的一邊,而且可以提供較具彈性的L2的傳輸服務 透過IP/MPLS所提供的乙太網路服務的有點對點(Point-to-point,P2P)或者多點對多點(Multipoint-to-multipoint,MP2MP),它非常相似於由都會乙太網路論壇(Metro Ethernet Forum ,MEF)所定義的乙太線路服務(Ethernet Line Service,ELS),與乙太區網服務(Ethernet LAN Service,E-LAN)
P2P Ethernet Service 點對點 乙太網路服務 相似於ELS,傳輸的方式如下 -在IP網路上使用L2TPv3 -在乙太網路上使用MPLS,也稱為馬丁尼草案(draft-martini) 原始草案之作者 MP2MP Ethernet Service 多點對多點 乙太網路服務 相似於乙太網路Lan服務(E-LAN),傳輸的方式是透過VPLS所提供
The Pseudo wire Concept 偽線路的概念 由IETF 所定義的偽線路(pseudowire ,PW),利用乙太網PW可以將乙太網路/802.3協定的數據單元(PDU)在類似IP/MPLS的私人服務網路(PSN)上進行傳輸.這就可以讓網路供應商或企業網路在先有的IP/MPLS的網路上提供乙太網路的服務. 可以透過手動設定或者訊令協定(Signaling protocol)來配置偽線路,此種線路可以在MPLS,IPv4或IPv6的私人服務網路PSN中. 乙太網PW跟一條介接在乙太網路兩個對口端點相似,PW是與PE內的邏輯介面相聯接,此介面可以提供乙太網路的MAC服務,用於將介面上收到的每一個封包傳送給PW另一端PE的邏輯介面
封包在PE中進入PW之前,需經過下列封包處裡程序: 剝離(Stripping) 標記堆疊或替換(Tag stacking or swapping) 橋接(Bridging) L2封裝(L2 encapsulation) 政策(Policing) 重整(Shaping)
從L2TPv3 中建立PW L2TP提供動態隧道機制,是為了多條L2線路跨越以封包導向的資料網路,L2TP原本是為了點對點協定(PPP)隧道傳輸而制定,線在成為包含乙太網路在內的許多L2協定進行隧道傳輸的機制,IETF RFC 2661所規定的L2TP 就是第二層隧道傳輸協定,稱為L2TPv2,而L2TPv3是該協定的延伸,其用義在於承載L2協定而不是PPP時有更大的彈性. L2TPv2與L2TPv3最大的差異在於,L2TPv3與所有的PPP相關的屬性與引用已完全脫離,原本16位元的Session ID與Tunnel ID已經變成32位元的Session ID與Control Connection ID,可以提供更好的彈性使用
乙太網路埠或乙太網路VLAN的供應和其相關PE中PW的關聯可以觸發L2TP對話的建立,下列是建立PW所需的要素: PW TYPE :其類型可以為乙太網路埠或是乙太網路的Vlan 前者的PW視為可以兩個物理性連接的乙太網 路介面,後者PW為一個乙太網路VLAN與另一 個乙太網路VLAN的 相連接。 PW ID : 每一條PW都與一個PW ID相關聯,PW ID 用途在 於指示出實際的PW。
Ethernet over MPLS--Draft-Martini MPLS上的乙太網路—馬丁尼草案 IETF有制定了關於在MPLS網路上承載L2訊務的方法,包括在MPLS承載Ethernet(Ethernet over MPLS,EoMPLS),Frame Relay,and ATM.以上這些也引用了馬丁尼草案(Draft-Martini)裡的封裝,它是參考原作者所定義的在MPLS上對L2做封裝定義.關於此類的封裝,PW是通過在兩個端點的PE之間所建立一對單向MPLS虛擬連接(virtual connection,VC) LSP建立起來的,一條VC-LSP用於傳輸出口訊務,另一條則負責傳輸入口訊務.VC-LSP都是利用MPLS的標籤來分辨,MPLS標籤是靜態指定,或者利用標籤分送協定(Label Distribution Protocol,LDP)分配的 下面將解釋經過MPLS網路封裝乙太網路的機制,並顯示兩種利用LDP來建立PWs經過直接相連與非直接相連的狀況:
Ethernet Encapsulation 乙太網路封裝 乙太網路的封裝與從L2TPv3 中建立PW章節裡描述的非常相似,PW的設置可以根據下列之一: 原始模式(Raw mode) – 在這模式中,它表示PW在兩端乙太網路介面的虛擬連接,當他從一端傳送至另一段端時,不管他是否帶標籤,都會再出口端原封不動的傳送出去 標籤模式(Tagged mode) -在這模式中,它表示PW在兩端Vlan介面的連接,每個vlan都由不同的PW代表,而且以不同的方式在網路中轉送,進入PW入口時的標記可能再出口時被重新寫過 draft-ietf-pwe3-ethernet-encap-09.txt
Maximum Transmit Unit 最大傳輸單元 在PW兩端的最大傳輸單元必須要一致,以便在PSN上進行傳輸,且網路必須設定為傳輸最大封裝訊框.如果是在MPLS的網路進行隧道協定,需要額外再MPLS 空隙層增加訊框的長度
Frame Reordering 訊框紀錄 IEEE 802.3要求必須按照順序傳送同一個對話的訊框,所以因為是在PW內進行封裝,所以PW必須能夠支援紀錄
Directly Connect PEs 直接相連的PEs 利用兩台直接相連PE 之間建立LDP Session,LDP Session建立後所有的PW將利用LDP進行訊令的傳遞 此類封裝不但用於對乙太網路,而且還可用於ATM、FR和模擬電路之類的其他流量進行隧道的傳輸
VC訊息是由標籤對應訊息往下傳遞中所承載的,其中載有新型態的轉送等量級別元素,其定義如下: VC類型:是一個代表此VC是否屬於以下類型,如Frame Relay ,data-link connection identifier(DLCI),PPP ,Ethernet tagged or untagged frame,ATM cell , Circuit emulation 等等. PW ID 或VC ID:連接ID,可在PW中分辨其特定所屬的PW(VC),在P2P的隧道,VC ID 用於指定特定的服務 群組ID:代表一組PW,群組ID的用意在於做埠的索引或者是虛擬隧道的索引 介面參數:提供介面特別的參數,例如介面的最大傳輸單元
Non-Directly Connect PEs 非直接相連的PEs 如果PE間不是直接相連的,那PE之間的訊務就必須跨越核心P路由器穿越MPLS骨幹,這些路由器不必知道PE所提供的服務類型,它只需傳輸PE之間的訊務,為了對P路由器隱藏相關訊息,LSP隧道的建立是利用目標LDP在兩各不同的PEs中來建立,而不同的PW可以共享這些隧道,LSP隧道的建立與乙太網路MPLS毫無關係.可以透過GRE, L2TP 或MPLS之類來建立這些隧道。
Next Speaker : Ricky Lin