计算机网络体系结构整理-第七单元虚拟专用网
第七章 虚拟专用网
一、VPN的基本模型
逻辑专网:VPN是使用IP设施对专用广域网(WAN)设施的仿真。
VPN的类型:根据网络功能分类:L3VPN、L2VPN、AccessVPN,根据管理责任分类用户端管理的VPN和服务端管理的VPN,根据设备位置分类,有VPN设备在用户端、VPN设备在服务提供者端
PPVPN的分类:二层和三层
二、隧道封装
IP-in-IP封装:将要传送的IP报文封装在另一个IP报文,外层报头的源宿地址分别是隧道的起点和终点,TTL要足够大,以穿越隧道。封装前要检查由路由回路所引起的递归封装
最小封装:通过去掉封装报文中内层IP报头和外层IP报头中的冗余部分来减少隧道的额外开销,由于分段字段被压缩掉了,因此被封装的IP报文不能分段。
Generic Routing Encapsulation(GRE)适用于用IP报文封装任意一种其它报文
三、L2VPN
逻辑协议分层模型
PSN融合提供PSN隧道终点的转换功能,以支持不同的传输网络
PW解复用器提供多个PW共享PSN隧道所需的信息,例如基于MPLS标记
Encapsulation提供CE-bound PE端口可能需要的信息,以实现虚线路
PW参考图:PW终点提供以太帧的交换和过滤功能,PE中的B点是一个逻辑的以太端口,将从A点收到的以太帧转发给对端PE的A点。NSP (Native Service Processing) 提供以太帧处理功能
MPLS上的第2层传输:控制连接、隧道、解复用(基于MPLS标号)、第2层封装(模拟面向连接、无连接)
VPWS流量封装:利用隧道标签在PE之间交换数据包,VC标签标识PW,在PES之间发信号,可选控制字(CW)携带L2控制位并启用排序
基于MPLS的以太网:支持两种传输模式(以太网VLAN模式、以太网端口)
虚拟局域网标签:服务定界:VLAN Tag由服务提供者设置,用来区分不同用户的流量,NSP在将以太帧交给PW终点之前将raw mode剥去。非服务定界:用户自己的VLAN定义
如果两种VLAN Tag同时使用,则服务定界VLAN Tag总在外层。
虚拟专用局域网服务:
VPLS将SP网络模拟成以太网交换机:同一个VPN的CE之间实现LAN交互、不同VPN
的CE之间不能交互、PE之间通过虚线路连接
VPLS参考模型:虚拟转发实例VFI、AC连接CE设备的逻辑或物理以太端口、VC (Virtual Circuit):一个VFI可同时支持多个VC传输
VPLS操作:转发(基于宿MAC地址)、广播。MAC Learning / Aging / Withdrawal(基于源MAC地址和VLAN标识的动态学习机制)、核心层环路避免的PWS分裂视域和全网格
VPWS / VPLS的服务建立:建立Provisioning模型、使用发现过程进行端点发现、Signaling
BGP Auto-Discovery:自动检测VPLS域中PE的变化情况(只需手工配置本地信息、使用 BGP Update messages来通告PE/VFI、通常要使用路由反射器RR)
RFC 4761:使用BGP进行VPLS PE自动发现和信令控制、对给定VPLS网络中的每个PE都配置一个唯一的VPLS Edge device ID (VE ID)、PE X使用BGP VPLS NLRI向所有其它PE发送相同的标记块信息、其它PE通过自己的VE ID加收到的标记块底LB导出 PE X的标记
VPLS BGP NLRI:PE对于每个附接的u-PE都必须手工分配一个不同的VE ID、为PE指定的VE ID需要用RT进行限定,以确定使用范围。Route Distinguisher用于区分不同VPLS VPN的NLRI
Label Block:标记块为LB到(LB + VBS - 1) 的连续标号集
PW Setup and Teardown:对于一个PE而言, VPLS中的其它PE构成它的remote VE set
Signaling PE Capabilities:使用Layer2 Info Extended Community来控制虚线路的建立 跟在NLRI后面
Forwarding:MAC Address Learning:SP网络可被视为一个网桥、Aging:转发表FIB的时效控制、Flooding:PE不转发Flooding帧
P-VLAN与C-VLAN之间的控制信息交互:Peer mode(P-VLAN的OAM与C-VLAN的OAM对等交换信息)Tunnel mode(C-VLAN的控制信息透明穿越)Discard mode(P-VLAN丢弃C-VLAN的控制帧,例如用户的PAUSE帧。)
控制信息的传输:Data emulation OAM:与数据帧的转发和处理方式一样Non-broadcast data emulation OAM:当转发表中没有相应的MAC地址时丢弃该帧Data snooped OAM与数据帧的转发和处理一样,但每经过一个交换机,都要向本地的LLC交付一个拷贝
Multi-homing:CE可同时接入多个PE和Path Selection:两个VPLS NLRI相同:Route Distinguisher、VE ID和VBO均相同
Multi-AS VPLS (第1种方案):在ASBRS上的VPLS到VPLS连接
Multi-AS VPLS (第2种方案):隧道T1和T3使用I-BGP,T2使用EBGP。
Multi-AS VPLS (第3种方案):三层MPLS隧道
四、L3VPN
Peer模型:IP网络的受限互联结构、CE将自己的路由通告给所附接的PE、CE将自己的路由通告给所附接的PE、PE仅在同一个VPN的PE之间使用BGP相互通告所了解的路由,对每个路由都指派一个MPLS标记 (因为可能是私有地址),也由BGP通告;报文由宿地址对应的MPLS标记标识,然后封装在SP网络的IP隧道中进行传输;
VPN路由转发表:在PE的各个端口定义VPN、在PE中配置所有的CE (用CE-id标识),特定的RT属性,PE中连接这些CE的物理端口、PE对收到的标记信息要根据其所属的RT来判定它属于哪个VPN
基本结构:使用VRF来表示VPN customer,PE使用IGP向全局路由表提供正常路由,PE使用 VRF-aware路由协议向VRF路由表提供VPN customer路由
控制平面处理流程:PE1收到一个IPv4路由更新,PE1将其翻译成为VPNv4地址并以此构造 MP-iBGP UPDATE message,PE1使用MP-iBGP将这个路由更新发送到其它PE,PE2接收后检查是否本地有VRF的 import RT被设置成 RT=1:2,PE2用正常方式将这个IPv4 prefix通告给CE2。
转发平面处理流程:PE2 使用两个MPLS标号,外层标号对应PE1的地址,通过LDP分配,内层标号对应VPN地址,通过BGP分配
Inter-AS L3VPN:VPN的各个节点分布在不同的MPLS网络中
VPN的路由信息如何在不同的AS之间发布:VRF直连、使用直接相邻的MP-BGP发布VPN路由、基于RR的多跳MP-BGP路由发布