vpn dienst 97.ppt [kompatibilitätsmodus] - dfn.de · mpls...
Post on 24-May-2018
224 Views
Preview:
TRANSCRIPT
Möglichkeiten, zur direkten Kopplung von Standorten oder Instituten über das X-WiN
Schalten von phys. Verbindungen/Wellenlängen
TunnelingTunneling
MPLS basierte Virtual Private Networks (VPN)
2
MPLS - Grundzüge
MPLS Multiprotocol Label SwitchingMPLS – Multiprotocol Label Switching
IP
MPLS
Ethernet, SDH, ATM, PPP, etc.
Physikal Layer
3
MPLS - Grundzüge
Forwarding-Entscheidung wird anhand von Labels getroffen
Labels repräsentieren FEC (Forwarding EquivilenceClass)
Gruppe von IP-Paketen, die auf die gleiche Art geforwarded werdeng
Labelinformation wird zwischen benachbarten Routern ausgetauschtausgetauscht
Labels nur lokal gültig
4
MPLS - Grundzüge
MPLS ermöglicht Traffic-Engineering in IP-Netzen
Aufbau von (parallelen) Overlay-Strukturen möglichAufbau von (parallelen) Overlay Strukturen möglich
Pseudowire
Virtual Private Networks (VPNs)
6
MPLS-basierte VPNs
ÜÜbergang zum VPN am Zugangsrouter (XR)
Anwender-Schnittstelle (KR) kann als L2-Schnittstelle ( )oder L3-Schnittstelle definiert werden.
Zugangsinterface wird exklusiv für VPN genutztZugangsinterface wird exklusiv für VPN genutzt
Physikalisches Interface oder Subinterface möglich
Dienstgüte im VPN entspricht der Dienstgüte des X-WiNs
Kein MPLS beim Anwender notwendig
7
L2-VPN
XR (XWiN Router)Layer 2 Tunnel
XR (XWiN-Router)
interface GigabitEthernet9/39.756description Interface zum Anwender
Konfigurations-beispiel encapsulation dot1Q 756
xconnect 188.1.201.6 pw-class l2vpn!
beispiel
!pseudowire-class l2vpn
encapsulation mplsendend
9
L2-VPN
Etablierte Technik im X-WiN
VPN-Traffic ggü. anderem X-WiN-Traffic separiert gg p
L2-Schnittstelle (im X-WIN: Ethernet)
Aufbau von VLANs möglich
IP -> Routingintelligenz liegt beim Anwender (EinsatzIP > Routingintelligenz liegt beim Anwender (Einsatz privater Adressen möglich, Security)
Skaliert nichtSkaliert nicht
10
L2-VPN
6WiN-MPLS-VPN
HamburgNR NR
Ethernet
EssenCR
CRL2‐Tunnel
G‐WiNCR
NR
NR
CR
Berlin
NR C
Frankfurt
E l
CR
11Erlangen
NR
L3-VPN
Anwender erhält IP-Schnittstelle zum VPN
VRF (Virtual Routing and Forwarding) enthält IP-Routen, ( g g) ,CEF-Table und assoziierte Interfaces eines VPNs.
13
L3-VPN
XR (XWiN-Router)Layer 3 VPN interface GigabitEthernet9/39description Interface zum Anwender
ip address 188.1.248.9 255.255.255.252Konfigurations-beispiel ip vrf forwarding test
!ip vrf testrd 680:100
beispiel
rd 680:100route-target export 680:10route-target import 680:10
14
L3-VPN
t 1# h b 4 i t f t txr-stu1#sh bgp vpnv4 unicast vrf test
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 680:100 (default for vrf test)
*>i10.1.0.0/25 188.1.201.66 0 100 0 65501 ?
*> 10.2.0.0 /25 188.1.248.10 0 0 65072 i
*> 10.108.128.0/19 188.1.248.10 0 0 65072 i
*>i10.12.224.0/19 188.1.201.66 0 100 0 65501 ?
*>i10.14.96.0/19 188.1.201.26 0 100 0 65005 ii10.14.96.0/19 188.1.201.26 0 100 0 65005 i
15
L3-VPN
t 1# h b 4 i t f t t 10 1 0 0/25xr-stu1#sh bgp vpnv4 unicast vrf test 10.1.0.0/25
BGP routing table entry for 680:100:10.1.0.0/25, version 56
Paths: (1 available, best #1, table fhg)
Advertised to update-groups:
2
12
188.1.201.66 (metric 260) from 188.1.201.66 (188.1.200.66)
Origin incomplete, metric 0, localpref 100, valid, internal, bestOrigin incomplete, metric 0, localpref 100, valid, internal, best
Extended Community: RT:680:10
mpls labels in/out nolabel/729
16mpls labels in/out nolabel/729
L3-VPN
XR (XWiN-Router)Layer 3 VPN router bgp 680! Neighbor: XR (PE)address-family vpnv4Konfigurations-
beispiel neighbor 188.1.201.26 activateneighbor 188.1.201.26 send-community extended!! Neighbor: Anwender (CE)
beispiel
! Neighbor: Anwender (CE)address-family ipv4 vrf testno synchronizationneighbor 188.1.248.10 remote-as 65072neighbor 188.1.248.10 activateneighbor 188.1.248.10 as-overrideneighbor 188.1.248.10 route-map vpn-in in
i hb 188 1 248 10neighbor 188.1.248.10 route-map vpn-out out
17
L3-VPN
Anwender erhält IP-Schnittstelle zum VPN
VRF (Virtual Routing and Forwarding) enthält IP-Routen, ( g g) ,CEF-Table und assoziierte Interfaces eines VPNs.
Routingübergang XR – KR: statisch oder BGPRoutingübergang XR – KR: statisch oder BGP
XRs tauschen VRF-Routinginfo über M-BGP aus
VPN-Traffic ggü. anderem X-WiN-Traffic separiert (-> Einsatz privater Adressen möglich, Security)
Skaliert gut, einfach zu erweitern
18
L3-VPN
Unterstützte Features
IPv4/IPv6 unicast und IPv4 multicast
QOS: transparentes Durchreichen der QOS-Parameter
Netflow-Accounting ab V.9
19
Pilotprojekt
L3-VPN für die FGH Standorte Birlinghoven, München und Stuttgart
Konfiguration beim Anwender lehnt sich an die Standard-BGP Konfiguration im X-WiN an
Schalten von Backup-Links möglich
20
L3-VPN-Dienst
Noch nicht abgeschlossen
Integration in die 24-HotlineIntegration in die 24-Hotline
Erweiterte Linküberwachung durch Überwachung der BGP-Sessions
Auswerten der NetflowdatenAuswerten der Netflowdaten
21
Zusammenfassung
Universelles Werkzeug zur Topologiegestaltung
Voraussetzung beim Anwender: Anschluss ans X WiNVoraussetzung beim Anwender: Anschluss ans X-WiN
Gestaltung des VPNs nach Anwenderbedarfg
22
Carrier-Supporting-CarrierBackbone Carrier
BB‐LDP LDPLDP
CSC‐CE1 CSC‐CE2CSC‐PE1 CSC‐PE2P P
BB LDP LDPLDP
CSC CE2CSC PE2
PSite_ASite_A
SiSite_BSite_B
Backbone Carrier Customer CarrierCustomer Carrier
LDP
CSC‐CE1 CSC‐CE2CSC‐PE1 CSC‐PE2P P
LDP LDPIPv4+ label IPv4+ label
POther
BR2
Other
BR1
24A
customer Acustomer
Other customer
CSC
Austausch von Labels zwischen PE und CE
Schnittstelle PE/CE unterstützt L2/L3-VPN
B kb C i i ti t Li k t i B kbBackboneCarrier importiert nur Linkrouten in Backbone-VRF (Entweder mit LDP + IGP oder BGP)
CEs tauschen Routinginformation über IP-Netze aus -> Aufbau einer Routinginfrastruktur
Zweites Szenario: Customer Carrier-Netz ist MPLS enabled und
QOS-Support/IPv6 nur für das zweite Szenario möglich
Ü25
CE muss labeling und MBGP unterstützen (Überprüfen: CE Hardware/Software + Interoperabilität mit Cisco)
GRE-Tunneling
G‐WiNUniversität Y
GRE‐Tunnel
G‐WiN‐PoPMunichZR‐Pot
Universität X XR‐Hub
IPv4 Access‐Link
27
L2-VPN
XR (XWiN-Router)Layer 2 Tunnelinterface GigabitEthernet9/39.756
encapsulation dot1Q 756no snmp trap link-status
Exampleno snmp trap link statusxconnect 188.1.201.6 pw-class l2vpn
!pseudowire class l2vpnpseudowire-class l2vpn
encapsulation mplsend
Pseudo wire at CR-Erl: unidirectional MPLS-tunnel connects local VLAN with the corresponding PE-Router (CR-Ber)local VLAN with the corresponding PE-Router (CR-Ber)
Packets from CE (NR-Erl) will be tagged with a MPLS
28header
L2-VPN
NR-Erlangen (Dual-Stack-Router)Layer 2 Tunnelinterface FastEthernet0/0.756description l2tp local nr -> nr-ber1encapsulation dot1Q 756
Exampleencapsulation dot1Q 756
ipv6 address 2001:638:0:6::2/64ipv6 router isis
i i i 6 t i 1isis ipv6 metric 1
NR Berlin (Dual Stack Router)NR-Berlin (Dual-Stack-Router)
interface FastEthernet0/0.756description l2tp local nr -> nr-erl1encapsulation dot1Q 756
ipv6 address 2001:638:0:6::1/64ipv6 router isis
29
ipv6 router isisisis ipv6 metric 1
CSC LDP: LDP only on PE‐CE_ yBackbone Carrier Customer CarrierCustomer Carrier
BB‐LDP LDPLDP
CSC‐CE1 CSC‐CE2CSC‐PE1 CSC‐PE2P P
BB LDP LDPLDP
CSC CE2CSC PE2
PSite_ASite_A
SiSite_BSite_B
Label *Label swap + Label Pop IGP Pop VPNLabel Imposition
*Label swap + Imposition
LabelSwap + Forward
Pop IGP
Label
Pop VPN
Label
CC IGP Label to C‐CE2Label swapped and becomes
VPN labelin BC for address C‐CE2
This label used toforward through BC
BC IGP labels popped CC VPN labels popped
*MP‐BGP generates VPN label (red)
BC IGP label pushed on stack for C‐PE2
MP BGP generates VPN label (red)iBGP between CSC‐CE and CSC CE does not generate any labels!IGP label (at CSC‐PE) is mapped to VPN label on CSC‐PE
CSC BGP: BGP on PE‐CECSC_BGP: BGP on PE‐CEBackbone Carrier Customer CarrierCustomer Carrier
LDP
CSC‐CE1 CSC‐CE2CSC‐PE1 CSC‐PE2P P
LDP LDPIPv4+ label IPv4+ label
POther
BR2
Other
BR1
Acustomer
AcustomerOther
customer
Label Label swap + Label Pop IGPLabel i i
IGPb l S
IGPLabel Pop
VPNLabel Pop
Swappingp
Imposition Swap + Forward Label
CC VPN Label to Cust A
Imposition Label Swap Label Pop Label Pop
CC IGP Label to C‐BR2Label swapped and becomes VPN label
in BC for address C‐BR2
This label used toforward through BC
BC IGP labels popped
CC IGP labels popped
CC VPN Label to Cust A
CC IGP Label to CSC‐BR2
BC IGP label pushed on stack for PE2
CC IGP labels popped exposing original VPN label
Feature SupportFeature SupportFeature MPLS/VPN CSC_LDP CSC_BGP
IPv4 multicast Yes, it is done in global routing table
No (LDP only for IPv4 unicast)
Yes
IPv6 unicast 6VPE No(LDP only for IPv4 unicast)
6VPE
m6PE/m6VPE No No No
Services for Customer Carrier
L3VPN L3VPN / L2VPN L3VPN / L2VPN
(L3/L2VPN)
Netflow Accounting im VRF
Yes, version 9 Info needed Info needed
Backbone Carrier MPLS/VPN, CSC_LDP, and CSC_BGP can be operated in parallel on the backbone carrier`s networkthe backbone carrier s network
Feature SupportFeature Support
S/ CSC CSC GFeature MPLS/VPN CSC_LDP CSC_BGP
QoS Uniform mode / h t i d
no Uniform mode/ h t i dshort‐pipe mode
mapping to exp‐bitshort‐pipe mode
Hardware (cisco) 7600 as PE 7600 as CSC‐PE 7600 as CSC‐PE
Software SR train SR train SR train
Hardware /Software vendor interoperability
CE‐PE: IGP /BGP CE‐PE: IGP + LDP CE‐PE: BGP with send‐label option
PE‐CE link: physical / logical i/f
Main i/f, sub‐i/f ; SVI, loopback
Main i/f, sub‐i/f ; SVI, loopback
Main i/f, sub‐i/f ; SVI, loopback
top related