34
Bettina Kauth [email protected] 1

vpn dienst 97.ppt [Kompatibilitätsmodus] - dfn.de · MPLS –MultiprotocolLabelSwitchingMultiprotocol Label Switching IP MPLS ... pseudowire-classl2vpnclass l2vpn encapsulation mpls

  • Upload
    haxuyen

  • View
    224

  • Download
    2

Embed Size (px)

Citation preview

Bettina [email protected]

1

Möglichkeiten, zur direkten Kopplung von Standorten oder Instituten über das X-WiN

Schalten von phys. Verbindungen/Wellenlängen

TunnelingTunneling

MPLS basierte Virtual Private Networks (VPN)

2

MPLS - Grundzüge

MPLS Multiprotocol Label SwitchingMPLS – Multiprotocol Label Switching

IP

MPLS

Ethernet, SDH, ATM, PPP, etc.

Physikal Layer

3

MPLS - Grundzüge

Forwarding-Entscheidung wird anhand von Labels getroffen

Labels repräsentieren FEC (Forwarding EquivilenceClass)

Gruppe von IP-Paketen, die auf die gleiche Art geforwarded werdeng

Labelinformation wird zwischen benachbarten Routern ausgetauschtausgetauscht

Labels nur lokal gültig

4

MPLS - Grundzüge

Carrier Backbone

LDP

CE1 CE2PE1 PE2P PCE1 CE2PE1 PE2P

P

P

Data Data

5

MPLS - Grundzüge

MPLS ermöglicht Traffic-Engineering in IP-Netzen

Aufbau von (parallelen) Overlay-Strukturen möglichAufbau von (parallelen) Overlay Strukturen möglich

Pseudowire

Virtual Private Networks (VPNs)

6

MPLS-basierte VPNs

ÜÜbergang zum VPN am Zugangsrouter (XR)

Anwender-Schnittstelle (KR) kann als L2-Schnittstelle ( )oder L3-Schnittstelle definiert werden.

Zugangsinterface wird exklusiv für VPN genutztZugangsinterface wird exklusiv für VPN genutzt

Physikalisches Interface oder Subinterface möglich

Dienstgüte im VPN entspricht der Dienstgüte des X-WiNs

Kein MPLS beim Anwender notwendig

7

L2-VPN

X‐WiNMPLS enabled

CE PEPseudo wire

PEProvider Edge (PE)g

Vl

CECustomer Edge (CE)

Vlan

8

L2-VPN

XR (XWiN Router)Layer 2 Tunnel

XR (XWiN-Router)

interface GigabitEthernet9/39.756description Interface zum Anwender

Konfigurations-beispiel encapsulation dot1Q 756

xconnect 188.1.201.6 pw-class l2vpn!

beispiel

!pseudowire-class l2vpn

encapsulation mplsendend

9

L2-VPN

Etablierte Technik im X-WiN

VPN-Traffic ggü. anderem X-WiN-Traffic separiert gg p

L2-Schnittstelle (im X-WIN: Ethernet)

Aufbau von VLANs möglich

IP -> Routingintelligenz liegt beim Anwender (EinsatzIP > Routingintelligenz liegt beim Anwender (Einsatz privater Adressen möglich, Security)

Skaliert nichtSkaliert nicht

10

L2-VPN

6WiN-MPLS-VPN

HamburgNR NR

Ethernet

EssenCR

CRL2‐Tunnel

G‐WiNCR

NR

NR

CR

Berlin

NR C

Frankfurt

E l

CR

11Erlangen

NR

L3-VPN

CE CECE

PEPE

XR

PE

X‐WiN

CE PEL3‐VPN

XR

12

L3-VPN

Anwender erhält IP-Schnittstelle zum VPN

VRF (Virtual Routing and Forwarding) enthält IP-Routen, ( g g) ,CEF-Table und assoziierte Interfaces eines VPNs.

13

L3-VPN

XR (XWiN-Router)Layer 3 VPN interface GigabitEthernet9/39description Interface zum Anwender

ip address 188.1.248.9 255.255.255.252Konfigurations-beispiel ip vrf forwarding test

!ip vrf testrd 680:100

beispiel

rd 680:100route-target export 680:10route-target import 680:10

14

L3-VPN

t 1# h b 4 i t f t txr-stu1#sh bgp vpnv4 unicast vrf test

Network Next Hop Metric LocPrf Weight Path

Route Distinguisher: 680:100 (default for vrf test)

*>i10.1.0.0/25 188.1.201.66 0 100 0 65501 ?

*> 10.2.0.0 /25 188.1.248.10 0 0 65072 i

*> 10.108.128.0/19 188.1.248.10 0 0 65072 i

*>i10.12.224.0/19 188.1.201.66 0 100 0 65501 ?

*>i10.14.96.0/19 188.1.201.26 0 100 0 65005 ii10.14.96.0/19 188.1.201.26 0 100 0 65005 i

15

L3-VPN

t 1# h b 4 i t f t t 10 1 0 0/25xr-stu1#sh bgp vpnv4 unicast vrf test 10.1.0.0/25

BGP routing table entry for 680:100:10.1.0.0/25, version 56

Paths: (1 available, best #1, table fhg)

Advertised to update-groups:

2

12

188.1.201.66 (metric 260) from 188.1.201.66 (188.1.200.66)

Origin incomplete, metric 0, localpref 100, valid, internal, bestOrigin incomplete, metric 0, localpref 100, valid, internal, best

Extended Community: RT:680:10

mpls labels in/out nolabel/729

16mpls labels in/out nolabel/729

L3-VPN

XR (XWiN-Router)Layer 3 VPN router bgp 680! Neighbor: XR (PE)address-family vpnv4Konfigurations-

beispiel neighbor 188.1.201.26 activateneighbor 188.1.201.26 send-community extended!! Neighbor: Anwender (CE)

beispiel

! Neighbor: Anwender (CE)address-family ipv4 vrf testno synchronizationneighbor 188.1.248.10 remote-as 65072neighbor 188.1.248.10 activateneighbor 188.1.248.10 as-overrideneighbor 188.1.248.10 route-map vpn-in in

i hb 188 1 248 10neighbor 188.1.248.10 route-map vpn-out out

17

L3-VPN

Anwender erhält IP-Schnittstelle zum VPN

VRF (Virtual Routing and Forwarding) enthält IP-Routen, ( g g) ,CEF-Table und assoziierte Interfaces eines VPNs.

Routingübergang XR – KR: statisch oder BGPRoutingübergang XR – KR: statisch oder BGP

XRs tauschen VRF-Routinginfo über M-BGP aus

VPN-Traffic ggü. anderem X-WiN-Traffic separiert (-> Einsatz privater Adressen möglich, Security)

Skaliert gut, einfach zu erweitern

18

L3-VPN

Unterstützte Features

IPv4/IPv6 unicast und IPv4 multicast

QOS: transparentes Durchreichen der QOS-Parameter

Netflow-Accounting ab V.9

19

Pilotprojekt

L3-VPN für die FGH Standorte Birlinghoven, München und Stuttgart

Konfiguration beim Anwender lehnt sich an die Standard-BGP Konfiguration im X-WiN an

Schalten von Backup-Links möglich

20

L3-VPN-Dienst

Noch nicht abgeschlossen

Integration in die 24-HotlineIntegration in die 24-Hotline

Erweiterte Linküberwachung durch Überwachung der BGP-Sessions

Auswerten der NetflowdatenAuswerten der Netflowdaten

21

Zusammenfassung

Universelles Werkzeug zur Topologiegestaltung

Voraussetzung beim Anwender: Anschluss ans X WiNVoraussetzung beim Anwender: Anschluss ans X-WiN

Gestaltung des VPNs nach Anwenderbedarfg

22

23

Carrier-Supporting-CarrierBackbone Carrier

BB‐LDP LDPLDP

CSC‐CE1 CSC‐CE2CSC‐PE1 CSC‐PE2P P

BB LDP LDPLDP

CSC CE2CSC PE2

PSite_ASite_A

SiSite_BSite_B

Backbone Carrier Customer CarrierCustomer Carrier

LDP

CSC‐CE1 CSC‐CE2CSC‐PE1 CSC‐PE2P P

LDP LDPIPv4+ label IPv4+ label

POther 

BR2

Other

BR1

24A

customer Acustomer

Other customer

CSC

Austausch von Labels zwischen PE und CE

Schnittstelle PE/CE unterstützt L2/L3-VPN

B kb C i i ti t Li k t i B kbBackboneCarrier importiert nur Linkrouten in Backbone-VRF (Entweder mit LDP + IGP oder BGP)

CEs tauschen Routinginformation über IP-Netze aus -> Aufbau einer Routinginfrastruktur

Zweites Szenario: Customer Carrier-Netz ist MPLS enabled und

QOS-Support/IPv6 nur für das zweite Szenario möglich

Ü25

CE muss labeling und MBGP unterstützen (Überprüfen: CE Hardware/Software + Interoperabilität mit Cisco)

26

GRE-Tunneling

G‐WiNUniversität Y

GRE‐Tunnel

G‐WiN‐PoPMunichZR‐Pot

Universität X XR‐Hub

IPv4 Access‐Link

27

L2-VPN

XR (XWiN-Router)Layer 2 Tunnelinterface GigabitEthernet9/39.756

encapsulation dot1Q 756no snmp trap link-status

Exampleno snmp trap link statusxconnect 188.1.201.6 pw-class l2vpn

!pseudowire class l2vpnpseudowire-class l2vpn

encapsulation mplsend

Pseudo wire at CR-Erl: unidirectional MPLS-tunnel connects local VLAN with the corresponding PE-Router (CR-Ber)local VLAN with the corresponding PE-Router (CR-Ber)

Packets from CE (NR-Erl) will be tagged with a MPLS

28header

L2-VPN

NR-Erlangen (Dual-Stack-Router)Layer 2 Tunnelinterface FastEthernet0/0.756description l2tp local nr -> nr-ber1encapsulation dot1Q 756

Exampleencapsulation dot1Q 756

ipv6 address 2001:638:0:6::2/64ipv6 router isis

i i i 6 t i 1isis ipv6 metric 1

NR Berlin (Dual Stack Router)NR-Berlin (Dual-Stack-Router)

interface FastEthernet0/0.756description l2tp local nr -> nr-erl1encapsulation dot1Q 756

ipv6 address 2001:638:0:6::1/64ipv6 router isis

29

ipv6 router isisisis ipv6 metric 1

CSC LDP: LDP only on PE‐CE_ yBackbone Carrier Customer CarrierCustomer Carrier

BB‐LDP LDPLDP

CSC‐CE1 CSC‐CE2CSC‐PE1 CSC‐PE2P P

BB LDP LDPLDP

CSC CE2CSC PE2

PSite_ASite_A

SiSite_BSite_B

Label *Label swap + Label Pop IGP Pop VPNLabel Imposition

*Label swap + Imposition

LabelSwap + Forward

Pop IGP

Label

Pop VPN

Label

CC IGP Label to C‐CE2Label swapped and becomes 

VPN labelin BC for address C‐CE2

This label used toforward through BC

BC IGP labels popped CC VPN labels popped

*MP‐BGP generates VPN label (red)

BC IGP label pushed on stack for C‐PE2

MP BGP generates VPN label (red)iBGP between CSC‐CE and CSC CE does not generate any labels!IGP label (at CSC‐PE) is mapped to VPN label on CSC‐PE

CSC BGP: BGP on PE‐CECSC_BGP: BGP on PE‐CEBackbone Carrier Customer CarrierCustomer Carrier

LDP

CSC‐CE1 CSC‐CE2CSC‐PE1 CSC‐PE2P P

LDP LDPIPv4+ label IPv4+ label

POther 

BR2

Other

BR1

Acustomer 

AcustomerOther 

customer

Label  Label swap +  Label Pop  IGPLabel i i

IGPb l S

IGPLabel Pop

VPNLabel Pop

Swappingp

Imposition Swap + Forward Label

CC VPN Label to Cust A

Imposition Label Swap Label  Pop Label  Pop

CC IGP Label to C‐BR2Label swapped and becomes VPN label

in BC for address C‐BR2

This label used toforward through BC

BC IGP labels popped

CC IGP labels popped

CC VPN Label to Cust A 

CC IGP Label to CSC‐BR2

BC IGP label pushed on stack for PE2

CC IGP labels popped exposing original VPN label 

Feature SupportFeature SupportFeature MPLS/VPN CSC_LDP CSC_BGP

IPv4 multicast Yes, it is done in global routing table

No (LDP only for IPv4 unicast)

Yes

IPv6 unicast 6VPE No(LDP only for IPv4 unicast)

6VPE

m6PE/m6VPE No  No No

Services for Customer Carrier 

L3VPN L3VPN / L2VPN L3VPN / L2VPN

(L3/L2VPN)

Netflow Accounting im VRF

Yes, version 9 Info needed Info needed

Backbone Carrier MPLS/VPN, CSC_LDP, and CSC_BGP can be operated in parallel on the backbone carrier`s networkthe backbone carrier s network

Feature SupportFeature Support

S/ CSC CSC GFeature MPLS/VPN CSC_LDP CSC_BGP

QoS Uniform mode / h t i d

no Uniform mode/ h t i dshort‐pipe mode

mapping to exp‐bitshort‐pipe mode

Hardware (cisco) 7600 as PE 7600 as CSC‐PE 7600 as CSC‐PE

Software SR train SR train SR train

Hardware /Software vendor interoperability

CE‐PE: IGP /BGP CE‐PE: IGP + LDP CE‐PE: BGP with send‐label option

PE‐CE link: physical / logical i/f

Main i/f, sub‐i/f ; SVI, loopback

Main i/f, sub‐i/f ; SVI, loopback

Main i/f, sub‐i/f ; SVI, loopback

X-WiN

IPv4 unicast/multicast

IPv6 unicast/multicast

MPLS enabled

34