Вячеслав Васин – CCIE, инструктор Cisco, имеющий практический опыт реализации крупных MPLS-сетей – об особенностях технологии MPLS и о том, как эта технология используется в провайдерских сетях и операторах связи.
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
MPLS для чайников: основы технологии провайдеров и операторов связи
1. MPLS для чайников: основы
технологии провайдеров и
операторов связи
ведущий:
Вячеслав Васин
10 сентября 2013
2. История развития MPLS
•
•
•
•
•
•
•
•
•
•
•
•
1996 Ipsilon Networks – «Коммутация IP пакетов» поверх ATM
1997 сформирована MPLS группа в IETF
1997 Cisco Systems предложила Tag Switching
1999 MPLS VPN (L3 VPN)
2000 MPLS Traffic Engineering
2002 AToM (L2 VPN)
2004 Large Scale L3VPN
2004 GMPLS
2006 Large Scale TE
2007 Large Scale L2VPN
2009 Label Switching Multicast
2011 MPLS Transport Profile
2
3. Что такое MPLS ?
•
•
•
Multi Protocol – Возможность переносить IPv4, IPv6, Ethernet, FR, PPP,
HDLC, ATM…
Label Switching – коммутация на основе метки, добавляемой между
заголовком протокола второго и третьего уровня модели OSI
Меток в пакете может быть несколько.
3
4. Как это работает ?
Control Plane – LDP, RSVP,
OSPF, IS-IS, BGP, LIB, RIB
Data Plane – FIB, LFIB
4
5. Шаг 1 – распространение маршрутов
Address
Prefix
Out
I’face
Address
Prefix
Out
I’face
Address
Prefix
Out
I’face
1.2.3.4/32
1
1.2.3.4/32
0
1.2.3.4/32
0
1.7.1.0/24
1
1.7.1.0/24
1
...
...
...
...
...
...
R3
R1
0
1
R2
You can reach 1.2.3.4/32 and
1.7.1.0/24 through me
1
You can reach 1.7.1.0/24
through me
1.2.3.4/32
0
You can reach 1.2.3.4/32
through me
R4
1.7.1.0/24
5
6. Шаг 2 – распространение меток
In
Lbl
Address
Prefix
Out Out
I’face Lbl
-
1.2.3.4/32
1
-
1.7.1.0/24
1
...
In
Lbl
Address
Prefix
...
Out Out
I’face Lbl
16
16
1.2.3.4/32
0
19
17
17
1.7.1.0/24
1
17
...
In
Lbl
Address
Prefix
...
19
1.2.3.4/32
0
...
...
R3
R1
Out Out
I’face Lbl
-
0 1.2.3.4/32
0
1
R2
Use label 16 for 1.2.3.4/32 and
Use label 17 for 1.7.1.0/24
1
Use label 17 for 1.7.1.0/24
Use label 19 for 1.2.3.4/32
R4
1.7.1.0/24
6
7. Шаг 3 – коммутация пакетов!
In
Lbl
Address
Prefix
Out Out
I’face Lbl
-
1.2.3.4/32
1
-
1.7.1.0/24
1
...
In
Lbl
Address
Prefix
...
Out Out
I’face Lbl
16
16
1.2.3.4/32
0
19
17
17
1.7.1.0/24
1
17
...
In
Lbl
Address
Prefix
...
Out Out
I’face Lbl
19
1.2.3.4/32
0
...
...
0 1.2.3.4/32
R3
R1
-
0
1
R2
Data 1.2.3.4
Data 1.2.3.4 19
Data 1.2.3.4
Data 1.2.3.4 16
1
R4
1.7.1.0/24
7
8. В чем выгода?
•
•
Передача BGP маршрутов (full view) между пограничными (PE)
маршрутизаторами минуя маршрутизаторы ядра (P)
Передача трафика через ядро ISP без необходимости загружать ядро
450 000 ipv4 маршрутами.
Address
Prefix
NH
O
1.2.3.4/32
-‐
B
5.0.0.0/8
1.2.3.4
Out
Out
I face
Lbl
1
16
-‐
In
Lbl
Address
Out
Out
Prefix
I face
Lbl
•
•
Address
Out
Out
Prefix
I face
Lbl
-‐
16
O
1.2.3.4
0
19
19
Data 5.5.5.5 16
O
1.2.3.4
0
-‐
R3
R2
R1
Data 5.5.5.5
In
Lbl
Data 5.5.5.5 19
Data 5.5.5.5
Ускорение обработки пакетов
Основа для MPLS VPN
8
9. MPLS Traffic Engineering
•
•
Нужно передать 40Мb с RtrA к RtrF и 40Mb c RtrA к RtrG
При передаче трафика по протоколу маршрутизации на участке
между RtrB и RtrE потери составят 35Mb
RtrB
RtrA
c
affi
tr
Mb
80
OC3
RtrF
DS3
OC3
RtrE OC3
RtrG
DS3
RtrC
DS3
OC3
RtrD
#
10. MPLS Traffic Engineering Tunnel
•
•
Организовав TE туннель от RtrA к RtrF и от RtrA к RtrG решаем
проблему.
Балансируем нагрузку на сеть организуя MPLS TE туннели,
прокладывая их динамически или вручную по нужным нам путям.
RtrB
RtrA
OC3
RtrF
DS3
40Mb
OC3
RtrC
DS3
RtrE OC3
RtrG
DS3
OC3
RtrD
#
11. MPLS TE – Fast ReRoute (FRR)
•
•
•
Основной туннель проходит по пути A-B-D-E
Резервный для линка B-D туннель B-C-D
При сбое линка между B и D трафик переходит на резервный путь за
время менее 50мс.
#
12. Что такое VPN?
•
VPN – совокупность сайтов соединенных между собой безопасным
способом. Топология связи сайтов – произвольная
VPN B
VPN A
VPN C
VPN C
VPN B
•
VPN A
VPN A
Наложенная модель – Leased Line,
FR, ATM, IPsec, GRE, L2TP…
VPN B
VPN C
VPN B
VPN C
VPN A
VPN B
VPN C
VPN A
VPN C
VPN B
VPN A
VPN A
•
Клиент-серверная модель –
MPLS VPN
VPN B
VPN C
VPN C
VPN B
VPN A
#
13. MPLS Layer-3 VPN
•
•
•
•
•
Передача трафика через MPLS ядро.
Разделение VPN маршрутов за счет виртуализации (VRF) на PE.
Клиенты могут иметь идентичное адресное пространство.
Передача маршрутов через один протокол маршрутизации MP-BGP.
Оптимальное прохождение трафика между сайтами.
VPN A
10.2.0.0
VPN B
10.2.0.0
VPN A
11.6.0.0
VPN B
10.1.0.0
MP-iBGP sessions
CE
P
CE
P
CE
CE
CE
PE
PE
PE
PE
VPN A
11.5.0.0
VPN A
10.1.0.0
CE
VPN B
10.3.0.0
CE
P
P
#
14. Работа Control Plane MPLS L3 VPN
VPN-B VRF
Импортируем маршруты с 0
route-target 1:10
MP BGP VPN-v4 update:
RD:1:27:152.12.4.0/24
NH=PE1, RT=1:1,
Label=(29)0
PE1
P1
LDP Update:
Next hop=PE1
Label=(imp-null)0
PE2
P2
LDP Update:
Next hop=P1
Label=(41)0
LDP Update:
Next hop=P2
Label=(32)0
Формирование MPLS LSP
BGP, OSPF, RIP...
152.12.4.0/24,
NH=PE20
BGP, OSPF, RIP...
152.12.4.0/24,
NH=CE10
CE1
VPN B
152.12.4.0/240
CE2
VPN B0
#
15. Работа Forwarding Plane MPLS L3 VPN
MPLS LFIB поиск для NH=PE10
LFIB поиск
для метки 29
= vrf VPN B 0
LSP Label
VPN Label
Penultimate Hop Popping
(Снятие LSP метки)
29 152.12.4.6
PE1
41 29 152.12.4.6
P1
32 29 152.12.4.6
P2
PE2
Пакет передается со стеком
меток
VRF поиск
для 152.12.4.6
NH=CE10
152.12.4.6
VRF поиск для
152.12.4.6
NH=PE1
Label=(29)0
152.12.4.6
CE1
VPN B
152.12.4.0/240
CE2
VPN B0
#
16. Использование MPLS Layer-3 VPN
•
Операторы связи предоставляют сервис VPN бизнес-клиентам:
– Масштабируемое решение.
– Использование единой сети для множества клиентов и множества
услуг. (CAPEX)
– Для предоставления VPN сервиса настройки производят только
на границе сети для подключаемого сайта. (OPEX)
– Возможна реализация различных топологий связи сайтов клиента.
• Simple VPN
• Overlapped VPN
• Central Service VPN
• Managed VPN
#
17. Использование MPLS Layer-3 VPN
•
В корпоративной сети используют VPN для объединения
пользователей в безопасные закрытые группы, взаимодействие
между которыми контролируется администратором.
– Масштабируемое решение.
– Конфигурирование необходимо только на границе сети.
– Обеспечивается безопасность работы групп.
– Легко реализуются различные виды связей между клиентами
группы и между группами.
– Обеспечивается доступ групп только к необходимым для них
ресурсам компании.
#
18. Использование MPLS Layer-3 VPN
•
В Центре Обработки Данных используют VPN для сегментации на
границе и на уровне агрегации
– L3 сегментация на уровне доступа.
– Позволяет масштабировать ЦОД лучше чем с использованием
vlan. (>4000)
#
19. MPLS Layer-2 VPN
•
Point To Point (P2P) Virtual Private Wire Service (VPWS) – организация
псевдо выделенных (PW) линий между двумя точками присутствия
(Any Transport over MPLS).
– Frame Relay
• Port mode
• DLCI mode
– ATM (aal5/aal1)
• Port mode
• VP mode
• VC mode
– PPP
– HDLC
– Ethernet
• Port mode
• Vlan mode
#
20. AToM – L2 VPN сервис
•
•
Псевдо выделенная линия соединяет пользовательские интерфейсы.
Приходящие от клиентов L2 фреймы упаковываются на входящем PE
двумя метками и контрольным заголовком для передачи по MPLS сети и
деинкапсулируются на исходящем PE.
Customer
Site
Customer
Site
PSN Tunnel
Pseudo Wires
PE
PE
Customer
Site
Customer
Site
Emulated Service
#
21. Работа Control Plane MPLS Layer-2 VPN
•
•
•
CE1 и CE2 присоединяются к PE.
Настраивается LDP сессия непосредственно между PE1 и PE2.
PE1 и PE2 выбирают метки VC для данного соединения и
обмениваются ими по LDP.
#
22. Работа Forwarding Plane MPLS L2 VPN
•
•
•
•
CE2 присылает L2 пакет на PE2.
PE2 обрамляет пакет служебным заголовком, внутренней меткой
(VC) полученной от PE1 по LDP и внешней меткой (Tunnel)
полученной от P2 по LDP для доставки фрейма к PE1.
P2 и P1 передают пакет на основе внешней метки.
PE1 на основе метки VC оправляет фрейм в пользовательский
интерфейс к CE1.
#
23. Virtual Private LAN Service
•
•
Ethernet multipoint сервис через MPLS ядро.
Эмулируется виртуальный традиционный Ethernet коммутатор,
связывающий точки присутствия клиента.
#
24. Использование MPLS L2 VPN
•
•
•
•
•
•
•
Использование единой инфраструктуры (MPLS ядра) для
предоставления клиентам различных видов сервиса: L2/L3 VPN,
MPLS TE, MPLS TE FRR... (CAPEX).
Сервис предоставляется конфигурированием малого количества
пограничных устройств.
L2 VPN может использоваться для связи ЦОД-ов по L2.
Возможность L2 сегментации трафика между ЦОД.
Использование одного WAN соединения для связи нескольких ЦОД.
Передача практически любого L2 трафика через MPLS сеть.
Два типа L2 VPN – AToM для соединений типа точка-точка и VPLS для
соединений нескольких точек присутствия.
#
25. Что еще?
•
•
•
•
MPLS и QoS
– Использование Experimental bit
– Использование MPLS TE
MPLS и IPv6
– Cisco 6PE
– Cisco 6VPE
MPLS и Multicast
– Label Switched Multicast
– MPLS и Multicast
Generalized MPLS
#