《{IE工业工程}CCIEMPLSVPN》由会员分享,可在线阅读,更多相关《{IE工业工程}CCIEMPLSVPN(140页珍藏版)》请在金锄头文库上搜索。
1、 2007 2010, Cisco Systems, Inc. All rights reserved.,Cisco Public,ROUTE v6 Chapter 1,*,MPLS-VPN,VPN案例1,VPN案例1,1.如公司员工出差到外地,他想访问企业内网的服务器资源,怎么才能让外地员工访问到内网资源呢? 答案:一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到VPN服务器,然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。,VPN案例1,图13-4 模拟的VPN环
2、境,电路交换、分组交换、ATM交换,电路交换是最落后的交换方式,先要建立电路连接(可以使虚拟电路),然后进行数据交换,数据交换结束之后释放电路。这种方式交换方式比较可靠,但是网络利用效率很低。现在一般不采用这种这种交换方式了。 分组交换是现在最常见的交换方式,它是把一个数据报分成若干个片段,然后分别同时发送,每个数据片段所经过的线路路由可能是不一样的,每个数据片段走什么路由要根据网络的具体情况和所使用的路由协议来决定。到达目的节点之后,再把所有数据片段重新组装好。这种交换方式的线路使用效率很高。 ATM交换是一种专用网络交换,原理跟分组交换大同小异,只是使用专用的ATM交换机。,各大门派派,M
3、PLS VPN MBGP MPLS/MBGP/VPN,MPLS物种起源,IP的危机 90年代初,随着Internet的快速普及,由于当 时硬件技术的限制,采用最长匹配算法、逐跳转发 方式的路由器日益成为限制网络转发性能的_大瓶 颈,快速路由器技术成为当时研究的一个热点 ATM的野心 。而 与此同时,ATM技术因为采用定长标签,并且只需 维护比路由表小得多的标签表,可以提供比IP路由 方式高得多的转发性能。 到底ATM和IP,谁将成为下一代网络技术的 基础:IP技术简单,但性能受到限制;ATM技术性 能高,但其复杂的控制信令和高昂的部署成本让人 望而却步。,MPLS物种起源,1.1996年春,美
4、国加州一个名为IPSilon提出IP Swiching 2.1996年秋天,Cisco公司宣布了自己的标签 交换解决方案,称为Tag Switching (标记交换) 技术 3.IBM-ARIS (Aggregate Route-Based IP Switching)的标签交换 4.3com 5.Cascade 最终MPLS (Multiprotocol Label Switching)这个术语被确定下来,作为独立于 各个厂家私有标准的_系列标准的名称。,MPLS的现在与未来,MPLS用短而定长的标签来封装网络层分 组。 MPLS最初是为提高路由器的转发速 度而提出的协议, MPLS技术起源于
5、IPv4, 但其核心技术可扩展到多种网络协议(IPv6、 IPX等)。,MPLS及LDP协议基础,MPLS及LDP协议基础,MPLS的产生及现状 MPLS相关概念 Label LSR(Label Switching Router) LER(Label Edge Router) FEC(Forwarding Equivalence Class) PUSH (加标签) POP (弹出标签) SWAP (交换标签) LSP (Label Switched Path),Label,即标签,是一个比较短的,定长的,通常只具有局部意义的标识,这些标签通常位于数据链路层的数据链路层封装头和三层数据包之间,标
6、签通过绑定过程同FEC相映射。 一个Label头的结构如下:,Label,Label :标签值,长度为20bit,标签值是标签转发表的关键索引 Exp :用于QoS,长度为3bit,作用与Ethernet802.1p值相似 S:栈底标志,长度为1bit,如果有多个Label时,在栈底的Label的S位置“1”,其它 为“0”,只有一个Label时S位置“1” TTL :存活时间,8bit,与IP报文中的TTL值相似,这个值从IP报文头的TTL域拷贝过来,每 进行一次Label交换时,外层Label的TTL值就减“1”,Label,需要注意的是一个MPLS报文可以有多个Label,靠近二层头的为
7、栈顶Label,靠近IP报文的为栈底 Label, LSR执行Label交换时总是基于栈顶Label。有多个Label时,每个Label都包括以上完整的 32bit,并不是其它的Label只包括20bit的Label值,如下图所示:,Label,理论上,标记栈可以无限嵌套,从而提供无限的业务支持能力。这是MPLS技术最大的魅力所在。,LSR(Label Switching Router),Label Switching Router,LSR是MPLS的网络的核心交换机,它提供标签交换和标签分发功能。,LER(Label Edge Router),Label Switching Edge Rou
8、ter,在MPLS的网络边缘,进入到MPLS网络的流量由LER分为不同的FEC,并为这些FEC请求相应的标签。它提供流量分类和标签的映射、标签的移除功能。,FEC(Forwarding Equivalence Class),Forwarding Equivalence Class,FEC(转发等价类),是在转发过程中以等价的方式处理的一组数据分组, LSR认为具有相同转发处理方式的报文,使用同一个标签来标记这些报文。如:匹配相同目的IP前缀的多个IP报文可属于一个FEC ,由于这些报文在做 IP转发时是相同的转发处理方式及路径,所以标记这些报文的时候用同一个标签。,PUSH (加标签),在第一
9、跳Ingress LER上在报文的二层头和三层头之间插入Label,或者中间LSR在MPLS报文的 标签栈顶増加新的Label,POP (弹出标签),在最后一跳Egress LER上将报文中的Label全 部去掉,还原成IP报文,或者中间LSR去掉栈顶标 签减少标签栈层次。,SWAP (交换标签),在转发的过程中根据标签转发表中的LSP替换 报文中栈顶Label的过程。,LSP (Label Switched Path),标记转发路径,也就是转发MPLS报文的路径,MPLS转发方式,MPLS转发方式,MPLS技术综合了第二层交换和第三层路由 的功能,将第二层的快速交换和第三层的路由有 机地结合
10、起来。 MPLS网络边缘的LER主要完成以 下工作:三层路由、分析IP包头用于决定对应的FEC和标签交换路径(LSP),进而标记报文。 而 在MPLS网络核心的LSR采用基于标签的第二层交 换,工作相对较简单。 从这里就可以看出MPLS的 好处,虽然处在MPLS网络边缘的LER工作较复 杂,但处在核心的LSR只需要像FR或ATM交换机那 样执行二层交换就可以了,根本不需要最长匹配和 多次查找。,MPLS转发方式,典型的MPLS转发过程如下: Step 1:所有LSR启用传统路由协议(OSPF、 IS-IS,BGP等),在LSR中建立IP路由表 Step 2:由LDP结合IP路由表来建立LSP
11、Step 3: Ingress LER接收IP包,分析IP报头并对应到FEC,然后给IP加上标记,根据标签转发 表中的LSP将已标记的报文送到相应的出接口。 Step 4: LSR收到带有标记的报文,将只分析 标记头,不关注标记头之上的部分,根据Label头 查找LSP,替换Label,送到相应的出接口 (中途转发过程与Step 4类似) Step n-1:倒数第二跳LSR收到带有标记的报 文,查找标记转发表,发现对应的出口标签为隐式 空标签或显示空标签,弹出标签,发送IP报文到最 后一跳LSR Step n:在最后一跳Egress LER上执行三层路 由功能,根据报文的目的IP地址转发,IP
12、的hop-by-hop逐跳转发,IP的逐跳转发,在经过的每一跳处,必须进行路 由表的最长匹配查找(可能多次),速度缓慢。,IP的逐跳转发,在经过的每一跳处,必须进行路由表的最长匹配查找(可能多次),速度缓慢。(现在来说这句话就不对了),Label Switched Path (LSP),MPLS的标签转发,通过事先分配好的标签,为报文建立了一条标签转发通道(LSP),在通道经过的每一台设备处,只需要进行快速的标签交换即可(一次查找),LDP(Label Distribution Protocol),有了标签,转发是很简单的事,但是如何生成标签,这部分被称为LDP(Label Distribut
13、ion Protocol),是一个动态的生成标签的协议。 其实LDP与IP中的动态路由协议(例如RIP)十分相像,都具备如下的几大要素: 报文(或者叫消息) 邻居的自动发现和维护机制 一套算法,用来根据搜集到的信息计算最终结果。 只不过前者计算的结果是标签,后者是路由罢了。,LDP(Label Distribution Protocol),LDP是 Label Distribution Protocol(即“标记分发协议”)的缩写,是MPLS技术的核心协议之一。LDP协议包括一组用于在LSR之间建立LSP的消息和处理过程。LDP协议通过将网络层的路由信息直接映射到建立在数据链路层的 交换式通道
14、(LSP)上。 LDP协议建立在UDP和TCP之上,使用的端口号为646。LDP协议可以建立两种邻居关系,本地邻居和远程邻居。,LDP消息,在LDP协议中,存在4种LDP消息: 发现(Discovery)消息 用于通告和维护网络中LSR的存在。 会话(Session)消息 用于建立,维护和结束LDP对等实体之间的会话连接。 通告(Advertisement)消息 用于创建、改变和删除特定FEC-标签绑定。 通知(Notification)消息 用于提供消息通告和差错通知。,LDP会话的建立和维护,LDP邻居状态机,LDP邻居状态机,1、NONEXISTENT状态:该状态类似BGP的 Idle状
15、态,为LDP会话的最初状态。在此状态双方 发送Hello消息,选举主动方,在收到TCP连接建立 成功事件的触发后变为INITIALIZED状态。 2、INITIALIZED状态:在该状态下分主动方 与被动方两种情况,主动方将发送Initialization报 文,转向OPENSENT状态,等待回应的 Initialization消息;被动方在此状态等待主动方发给 自己Initialization消息,如果收到的Initialization报文 的参数可接收,则发送Initialization和KeepAlive转 向OPENREC状态。主动方和被动方在此状态下收 到任何非Initializat
16、ion消息或等待超时,都会转向 NON EXISTENT状态。,LDP邻居状态机,3、OPENSENT状态:此状态为主动方发 送Initialization报文后的状态,在此状态等待被动方回答Initialization消息和KeepAlive消息, 如果收到的Initialization消息中的参数可以接受 则转向OPENREC状态;如果参数不能接受或 Initialization消息超时则断开TCP连接转向NON EXISTENT 状态。 4、OPENREC状态:在此状态不管主动方还 是被动方都是发出KeepAlive后的状态,在等待对 方回应KeepAlive,只要收到KeepAlive消息就转 向OPERATIONAL状态;如果收到其它消息或者 KeepAlive超时,则转向NON EXISTENT状态。,LDP邻居状态机,5、OPERATIONAL状态:它是LDPSession成 功建立的标志。在此状态下可以发送和接收所有 其它的LDP消息。在此状态如果KeepAlive超时或者 收到致命错误的Notification消息(Shutdown消息)
