Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4624 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский технический университет связи и информатики
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лекция 1-13_310608.doc
Скачиваний:
66
Добавлен:
15.09.2019
Размер:
39.63 Mб
Скачать
►Содержание►

Принципы построения l3 vpn mpls

Сети VPN на базе сети IP/MPLS разделяют на два широких класса - сети, которые работают на 3-м уровне, называемые Layer 3 VPN (L3 VPN или VPN L3) и сети, работающие на 2-м уровне Layer 2 VPN – (L2 VPN или VPN L2). Сеть L3 VPN взаимодействует с сетями клиентов на основе IP-адресов, а L2 VPN – на основе адресной информации второго уровня, например, МАС-адресов или идентификаторов виртуальных каналов АТМ/FR. В данном разделе рассматриваются вопросы организации L3 VPN на сети IP/MPLS (далее просто сеть MPLS).

Как было указано выше, L3 VPN MPLS от L2 VPN MPLS отличаются тем, какой уровень заголовков обрабатывается в сети MPLS при создании VPN. При этом следует отметить, что взаимодействие узлов РЕ сети MPLS с клиентскими узлами СЕ обычно производится с использованием протокола канального уровня, например Ethernet, заголовок которого должен отбрасываться на сетевом уровне в маршрутизаторах РЕ. Однако, под этим первым, транспортным заголовком канального уровня может лежать IP-заголовок или заголовок канального уровня (Ethernet/АТМ/FR), что означает что в транспортный кадр канального уровня была загружена IP-дейтаграмма или кадр второго уровня соответственно. Таким образом, если следующим за отброшенным заголовком 2-го уровня следует IP-заголовок, который должен обрабатываться в граничном узле РЕ, то данная VPN относится к L3 VPN, если этот заголовок определяет кадр второго уровня, то необходимо строить L2 VPN. Заметим, что имеет значение только первый, следующий за транспортным, заголовок, так как внутри кадра, имеющего, например первый заголовок Ethernet, далее может находиться IP-заголовок пользовательской IP-дейтаграммы, которая в сети MPLS провайдера не обрабатывается, а будет обрабатываться в сети клиента.

Первоначально были разработаны принципы построения и протоколы для сетей VPN 3-го уровня, которые были стандартизованы в RFC. До настоящего времени наиболее широко развертывались сети VPN 3-го уровня по RFC 2547bis или более современной модификации стандарта RFC 4364 и уже существует большое количество VPN, организованных в сетях IP/MPLS многих зарубежных и отечественных операторов. Эти сети строятся с помощью расширения известного протокола BGP сетей IP, которое носит название MP-BGP. Протокол MP-BGP совместно с протоколами IGP формирует для каждой VPN специальные таблицы VRF, определяющие маршрутизацию VPN.

Виртуальная частная сеть 3-го уровня структурируется в виде одноранговой модели уровня СЕ-РЕ (соответствующие маршрутизаторы СЕ и РЕ «видят друг друга»). При этом СЕ-маршрутизатор является одноранговым устройством для РЕ-маршрутизатора к которому он подключен, но не является одноранговым устройством для других СЕ-маршрутизаторов, установленных на других объектах той же VPN. Маршрутизаторы на разных объектах не обмениваются данными непосредственно друг с другом, а только через РЕ-маршрутизатор.

Каждый РЕ-маршрутизатор поддерживает отдельную таблицу VRF для каждого объекта, подключенного к РЕ-маршрутизатору. Каждый СE-маршрутизатор должен внести свои маршруты в таблицы VRF, определенные в сети MPLS для данной VPN. Для передачи этих маршрутов может использоваться статическая маршрутизация, а также маршрутизация BGP, OSPF или RIP (протоколы IGP). В качестве примера на рис.1.2-1 показана сеть VPNA, где используются подсети этой сети с адресом 2.0.0.0/16, а также сеть VPNВ с адресом 1.0.0.0/16., которые передают информацию о своем подключении к сети через свой РЕ. В свою очередь, РЕ-маршрутизаторы связываются друг с другом по протоколу МР BGP для обмена информацией о подключенных VPN. РЕ-маршрутизаторы сохраняют адреса P-маршрутизаторов в отдельной глобальной таблице маршрутизации, в соответствии с которой составляется маршрут по опорной сети для VPN. Таким образом в таблицах VRF каждого РЕ-маршрутизатора появится информация обо всех клиентских сетях, входящих в состав каждой VPN, подключенной к данному маршрутизатору.

Если при передаче IP-адрес пакета указывает на то, что его нужно передать в объект А, его ищут в таблице VRF объекта А только в том случае, если пакет прибыл из объекта, которому доступна эта VRF таблица (т.е. с того объекта, который входит в этот VPN). Если объект связан с несколькими VPN, его таблица VRF может включать данные о маршрутах всех этих сетей (VPN). Маршруты всех VPN, с которыми связан объект, могут располагаться в одной таблице. Кроме того, если разные объекты VPN пользуются одинаковым набором маршрутов, они также будут объединяться в одну таблицу VRF.

Таблицы VRF на устройствах РЕ используются только для пакетов, поступающих из объектов, напрямую подключенных к данному РЕ. Они не используются для маршрутизации пакетов, поступающих с других маршрутизаторов, т.е. невозможно попасть в таблицу VRF извне.

Одним из наиболее важных вопросов построения VPN является обеспечение конфиденциальности передаваемой информации. Эта проблема решается созданием непересекающихся адресных пространств и маршрутов для различных VPN.

Так как адреса в клиентских подсетях различных VPN могут пересекаться, то для обеспечения их уникальности вводятся специальные префиксы подсетей VPN, которые состоят из двух частей:

  • RD – Route Distinguisher (8 байт) – различитель маршрута, в который вводится номер VPN самим провайдером, обеспечивая тем самым глобальную уникальность идентификатора каждой VPN;

  • IPv4 network address – традиционный префикс IPv4 (4 байта).

Форма представление префикса подсети как пары RD и IPv4 называется адресом VPN-IPv4. Структура VPN-IPv4 обеспечивает глобальную уникальность адресации каждой клиентской сети. Таким образом, даже если в двух клиентских сетях используются одни и те же адреса IPv4, соответствующие им адреса VPN-IPv4 будут отличаться друг от друга.

Особенностью построения L3 VPN является то, что доступность по протоколу МР BGP обеспечивается только между системами, которые принадлежат к одной и той же VPN. Данные о маршрутах VPN-IPv4 для конкретной клиентской сети передаются (с помощью протокола MP BGP) только РЕ-маршрутизаторам, которые могут взаимодействовать с этой клиентской сетью, т.е. внутри одной VPN. В результате объем информации о маршрутах, который хранится на РЕ-маршрутизаторе, пропорционален не общему количеству VPN, а количеству VPN, подключенных к данному РЕ.

Кратко подведем итоги. В L3 VPN маршрутизаторы CE и PE являются одноранговыми (связанными друг с другом непосредственно) узлами IP-маршрутизации. Маршрутизатор CE предоставляет маршрутизатору PE по одному из протоколов IGP информацию о маршрутизации для частной сети потребителя, расположенной за ним. Маршрутизатор PE сохраняет эту частную информацию о маршрутизации в таблице VRF. Маршрутизатор PE обслуживает отдельную таблицу VRF для каждой VPN, обеспечивая, таким образом, соответствующую изоляцию и безопасность. В дополнение к таблицам VRF маршрутизатор PE также сохраняет в глобальной таблице обычную информацию о маршрутизации, которая необходима для передачи трафика по сети MPLS провайдера (метки LSP). Сети VPN 3-го уровня по RFC 2547bis используют расширения МР BGP, чтобы распределять маршрутную информацию по магистральной сети провайдера. Стандартные механизмы MPLS с заменой меток в промежуточных узлах P (как обсуждалось ранее) используются при передачи трафика VPN по магистральной сети.

В сетях L3 VPN используется двухуровневый стек меток MPLS (см. рис.11.1). Внутренняя метка переносит специфическую информацию о VPN от PE к PE. Внешняя метка переносит информацию передачи MPLS от одного хопа к другому хопу, входящему в маршрут. Маршрутизатор P в процессе распространения пакета по сети MPLS считывает и заменяет только внешнюю метку, не производя никаких действий с внутренней меткой VPN – внутренняя метка туннелируется по сети без анализа и изменений.

Рис.11.1 Сеть VPN MPLS 3-го уровня

Метод L3 VPN имеет несколько преимуществ. Пространство IP-адреса потребителя управляется оператором, что значительно упрощает роль потребителя (поскольку новые узлы VPN потребителя просто подсоединяются и обслуживаются провайдером). Еще одно преимущество L3 VPN состоит в том, что они поддерживают автоматическое конфигурирование VPN путем использования на новом уровне возможностей динамической маршрутизации BGP.

Метод 3-го уровня также имеет недостатки. Сети VPN 3-го уровня поддерживают только IP или «IP-инкапсулированный» пользовательский трафик. Наращиваемость также может вызвать значительные проблемы с маршрутизаторами PE, требующими для поддержки маршрутизации BGP таблицы, размер которых значительно больше обычных таблиц продвижения в технологии MPLS.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности