1. 程式人生 > >計算機網路體系結構整理-第七單元虛擬專用網

計算機網路體系結構整理-第七單元虛擬專用網

第七章 虛擬專用網

一、VPN的基本模型

邏輯專網:VPN是使用IP設施對專用廣域網(WAN)設施的模擬。

VPN的型別:根據網路功能分類:L3VPN、L2VPN、AccessVPN,根據管理責任分類使用者端管理的VPN和服務端管理的VPN,根據裝置位置分類,有VPN裝置在使用者端、VPN裝置在服務提供者端

PPVPN的分類:二層和三層

二、隧道封裝

IP-in-IP封裝:將要傳送的IP報文封裝在另一個IP報文,外層報頭的源宿地址分別是隧道的起點和終點,TTL要足夠大,以穿越隧道。封裝前要檢查由路由迴路所引起的遞迴封裝

最小封裝:通過去掉封裝報文中內層IP報頭和外層IP報頭中的冗餘部分來減少隧道的額外開銷,由於分段欄位被壓縮掉了,因此被封裝的IP報文不能分段。

Generic Routing Encapsulation(GRE)適用於用IP報文封裝任意一種其它報文

三、L2VPN

邏輯協議分層模型

PSN融合提供PSN隧道終點的轉換功能,以支援不同的傳輸網路

PW解複用器提供多個PW共享PSN隧道所需的資訊,例如基於MPLS標記

Encapsulation提供CE-bound PE埠可能需要的資訊,以實現虛線路

PW參考圖:PW終點提供以太幀的交換和過濾功能,PE中的B點是一個邏輯的以太埠,將從A點收到的以太幀轉發給對端PE的A點。NSP (Native Service Processing) 提供以太幀處理功能

MPLS上的第2層傳輸:控制連線、隧道、解複用(基於MPLS標號)、第2層封裝(模擬面向連線、無連線)

VPWS流量封裝:利用隧道標籤在PE之間交換資料包,VC標籤標識PW,在PES之間發訊號,可選控制字(CW)攜帶L2控制位並啟用排序

基於MPLS的乙太網:支援兩種傳輸模式(乙太網VLAN模式、乙太網埠)

虛擬區域網標籤:服務定界:VLAN Tag由服務提供者設定,用來區分不同使用者的流量,NSP在將以太幀交給PW終點之前將raw mode剝去。非服務定界:使用者自己的VLAN定義

如果兩種VLAN Tag同時使用,則服務定界VLAN Tag總在外層。

虛擬專用區域網服務:

VPLS將SP網路模擬成乙太網交換機:同一個VPN的CE之間實現LAN互動、不同VPN

的CE之間不能互動、PE之間通過虛線路連線

VPLS參考模型:虛擬轉發例項VFI、AC連線CE裝置的邏輯或物理以太埠、VC (Virtual Circuit):一個VFI可同時支援多個VC傳輸

VPLS操作:轉發(基於宿MAC地址)、廣播。MAC Learning / Aging / Withdrawal(基於源MAC地址和VLAN標識的動態學習機制)、核心層環路避免的PWS分裂視域和全網格

VPWS / VPLS的服務建立:建立Provisioning模型、使用發現過程進行端點發現、Signaling

BGP Auto-Discovery:自動檢測VPLS域中PE的變化情況(只需手工配置本地資訊、使用 BGP Update messages來通告PE/VFI、通常要使用路由反射器RR)

RFC 4761:使用BGP進行VPLS PE自動發現和信令控制、對給定VPLS網路中的每個PE都配置一個唯一的VPLS Edge device ID (VE ID)、PE X使用BGP VPLS NLRI向所有其它PE傳送相同的標記塊資訊、其它PE通過自己的VE ID加收到的標記塊底LB匯出 PE X的標記

VPLS BGP NLRI:PE對於每個附接的u-PE都必須手工分配一個不同的VE ID、為PE指定的VE ID需要用RT進行限定,以確定使用範圍。Route Distinguisher用於區分不同VPLS VPN的NLRI

Label Block:標記塊為LB到(LB + VBS - 1) 的連續標號集

PW Setup and Teardown:對於一個PE而言, VPLS中的其它PE構成它的remote VE set

Signaling PE Capabilities:使用Layer2 Info Extended Community來控制虛線路的建立 跟在NLRI後面

Forwarding:MAC Address Learning:SP網路可被視為一個網橋、Aging:轉發表FIB的時效控制、Flooding:PE不轉發Flooding幀

P-VLAN與C-VLAN之間的控制資訊互動:Peer mode(P-VLAN的OAM與C-VLAN的OAM對等交換資訊)Tunnel mode(C-VLAN的控制資訊透明穿越)Discard mode(P-VLAN丟棄C-VLAN的控制幀,例如使用者的PAUSE幀。)

控制資訊的傳輸:Data emulation OAM:與資料幀的轉發和處理方式一樣Non-broadcast data emulation OAM:當轉發表中沒有相應的MAC地址時丟棄該幀Data snooped OAM與資料幀的轉發和處理一樣,但每經過一個交換機,都要向本地的LLC交付一個拷貝

Multi-homing:CE可同時接入多個PE和Path Selection:兩個VPLS NLRI相同:Route Distinguisher、VE ID和VBO均相同

Multi-AS VPLS (第1種方案):在ASBRS上的VPLS到VPLS連線

Multi-AS VPLS (第2種方案):隧道T1和T3使用I-BGP,T2使用EBGP。

Multi-AS VPLS (第3種方案):三層MPLS隧道

四、L3VPN

Peer模型:IP網路的受限互聯結構、CE將自己的路由通告給所附接的PE、CE將自己的路由通告給所附接的PE、PE僅在同一個VPN的PE之間使用BGP相互通告所瞭解的路由,對每個路由都指派一個MPLS標記 (因為可能是私有地址),也由BGP通告;報文由宿地址對應的MPLS標記標識,然後封裝在SP網路的IP隧道中進行傳輸;

VPN路由轉發表:在PE的各個埠定義VPN、在PE中配置所有的CE (用CE-id標識),特定的RT屬性,PE中連線這些CE的物理埠、PE對收到的標記資訊要根據其所屬的RT來判定它屬於哪個VPN

基本結構:使用VRF來表示VPN customer,PE使用IGP向全域性路由表提供正常路由,PE使用 VRF-aware路由協議向VRF路由表提供VPN customer路由

控制平面處理流程:PE1收到一個IPv4路由更新,PE1將其翻譯成為VPNv4地址並以此構造 MP-iBGP UPDATE message,PE1使用MP-iBGP將這個路由更新發送到其它PE,PE2接收後檢查是否本地有VRF的 import RT被設定成 RT=1:2,PE2用正常方式將這個IPv4 prefix通告給CE2。

轉發平面處理流程:PE2 使用兩個MPLS標號,外層標號對應PE1的地址,通過LDP分配,內層標號對應VPN地址,通過BGP分配

Inter-AS L3VPN:VPN的各個節點分佈在不同的MPLS網路中

VPN的路由資訊如何在不同的AS之間釋出:VRF直連、使用直接相鄰的MP-BGP釋出VPN路由、基於RR的多跳MP-BGP路由釋出