跨域的MPLSVPNHOPE多角色主机讲解.ppt

交流提纲 分层VPN(HOVPN) HOVPN解决的问题:谁可以做PE? 接入层：容量小，无法承担 汇聚层：识别用户需要大量(子)接口，用户数目大，而接口数量有限。 核心层：用户数目更大，接口数目更少，带宽粒度更粗 PE越往下移，由于路由更具体，要维护的路由数目更多！ MPLS VPN标准的拓扑结构 华为HOVPN结构 一个VPN网络下面连接了多个VPN网络 VPN网络之间具有层次结构，直接连接VPN用户的PE设备称为UPE(Underlayer PE)，位于网络内部的PE设备称为SPE(Superstratum PE) UPE和SPE之间可以直接相连，这样相当于上层VPN下直接连了多个PE设备作为接入设备, 也可以通过一个IP/MPLS网络相连 这种结构称为HoVPN(Hiberarchy of VPN) 分层VPN网络的功能划分 下层VPN网络：仅维护其所在的VPN网络的路由，但不维护上层VPN中的许多具体其它远程Site的路由,重要是充当VPN的接入网络,对设备的接口密度和接入能力要求比较高 上层VPN网络：维护整个MPLS VPN网络的路由,另外承当了骨干交换网络的功能,对设备的转发性能要求较高 这样整个MPLS VPN网络的拓扑结构就和现在的IP网络的拓扑结构很相似,特别利于网络的大规模拓展 SPE-UPE连接 通过任何形式的接口/子接口连接 通过隧道接口连接 MP-BGP可以跨越多跳 采用LSP时，UPE/SPE运行LDP/RSVP-TE 一对SPE/UPE间只需要一个连接 HOVPN的优势 解决了MPLS VPN的扩展性问题 完全符合典型分层网络模型 MPLS到边缘 无限扩展、无限延伸 跨AS完美解决 HOVPN－政府/金融/行业 骨干网/城域网HOVPN应用 L3 VPN Internet访问 多角色主机解决方案 客户端选择方式 L2TP接入PE PPPOE接入PE 802.1X与VPN的映射 VLAN＋Web PE选择方式 基于ACL识别VPN 客户端选择方案 多用途服务器 交流提纲 企业MPLS VPN跨越公网 方案一： L3 VPN Over IPSEC/GRE 方案二： L3 VPN Carrier’s Carrier解决方案 方案三： L3 VPN Over L2 VPN 企业MPLS VPN跨越公网(一) 企业MPLS VPN跨越公网(二) 企业MPLS VPN跨越公网(三) Carrier’s Carrier方案－L3 VPN 跨域解决方案1——VRF to VRF 跨域解决方案2——EBGP携带VPN-IPv4路由 SPE和UPE之间可以通过任何形式的接口/子接口连接，也可以通过隧道接口连接，这时候SPE和UPE之间可以相隔一个IP网络或MPLS网络，由于SPE和UPE通过MP-BGP对等，因而路由可以直接传递，无需做特殊处理，MP-EBGP的情况下配置Multi-hop EBGP即可。在转发时，UPE或SPE发出的标签报文要经过一个隧道传递。如果是GRE隧道，要求GRE支持对MPLS报文的封装，如果是LSP，则需要中间的网络是一个MPLS网络，UPE和SPE上运行LDP/RSVP-TE等协议。 由于VPN用户可以各种用户，可能是企业用户，也可能是运营商用户，其中运营商用户也可能需要为其自己的用户提供VPN服务，可以通过两种方式实现: 一种是Carrier’s Carrier解决方案。 另外一种是虚拟运营商解决方案 Carrier’s Carrier解决方案: (主要适用于一个VPN用户(这里称为二级VPN)为它自身的用户提供VPN业务) (1)最简单解决方案是一级VPN采用L2VPN,这样相当于二级VPN租用了一级VPN的网络带宽。 (2) 但是很多现有网络上开通了L3VPN业务，这些VPN用户作为二级运营商时只能采用L3VPN Carrier’s Carrier解决方案。 实现方式： LDP在一级PE之间分配标签，形成外层LSP LDP在二级PE和一级PE间分配标签，IBGP为在一级PE间分配标签，形成二级PE-二级PE的LSP，作为中间层LSP LDP/MP-BGP分配VPN标签，形成CE-CE的内层LSP 分层PE架构地定义。 接入用户需要大量接口 处理用户报文需要大容量的内存和转发能力 PE难以同时具备大容量内存和大量接口 典型的网络是分层的，边缘接口多，核心容量大 MPLS VPN是平面模型，PE无论处于网络中哪个位置，对内存容量的要求基本相同，甚至在PE向边缘扩展时，对内存容量要求更大。 MPLS VPN的模型同典型网络的模型不符合 UPE和SPE的分工。 UPE和SPE实际上是相对的概念。 在多个层次的结构中，上层相对于下层就是SPE，下层相对于