Click here to load reader

vpn dienst 97.ppt [Kompatibilitätsmodus] - dfn.de · PDF fileMPLS –MultiprotocolLabelSwitchingMultiprotocol Label Switching IP MPLS ... pseudowire-classl2vpnclass l2vpn encapsulation

  • View
    215

  • Download
    2

Embed Size (px)

Text of vpn dienst 97.ppt [Kompatibilitätsmodus] - dfn.de · PDF fileMPLS...

  • Bettina [email protected]

    1

  • Mglichkeiten, zur direkten Kopplung von Standorten oder Instituten ber das X-WiN

    Schalten von phys. Verbindungen/Wellenlngen

    TunnelingTunneling

    MPLS basierte Virtual Private Networks (VPN)

    2

  • MPLS - Grundzge

    MPLS Multiprotocol Label SwitchingMPLS Multiprotocol Label Switching

    IP

    MPLS

    Ethernet,SDH,ATM,PPP,etc.

    Physikal Layer

    3

  • MPLS - Grundzge

    Forwarding-Entscheidung wird anhand von Labels getroffen

    Labels reprsentieren FEC (Forwarding EquivilenceClass)

    Gruppe von IP-Paketen, die auf die gleiche Art geforwarded werdeng

    Labelinformation wird zwischen benachbarten Routern ausgetauschtausgetauscht

    Labels nur lokal gltig

    4

  • MPLS - Grundzge

    CarrierBackbone

    LDP

    CE1 CE2PE1 PE2P PCE1 CE2PE1 PE2P

    P

    P

    Data Data

    5

  • MPLS - Grundzge

    MPLS ermglicht Traffic-Engineering in IP-Netzen

    Aufbau von (parallelen) Overlay-Strukturen mglichAufbau von (parallelen) Overlay Strukturen mglich

    Pseudowire

    Virtual Private Networks (VPNs)

    6

  • MPLS-basierte VPNs

    bergang zum VPN am Zugangsrouter (XR)

    Anwender-Schnittstelle (KR) kann als L2-Schnittstelle ( )oder L3-Schnittstelle definiert werden.

    Zugangsinterface wird exklusiv fr VPN genutztZugangsinterface wird exklusiv fr VPN genutzt

    Physikalisches Interface oder Subinterface mglich

    Dienstgte im VPN entspricht der Dienstgte des X-WiNs

    Kein MPLS beim Anwender notwendig

    7

  • L2-VPN

    XWiNMPLSenabled

    CE PEPseudowire

    PEProviderEdge(PE)g

    Vl

    CECustomerEdge(CE)

    Vlan

    8

  • L2-VPN

    XR (XWiN Router)Layer 2 Tunnel

    XR (XWiN-Router)

    interface GigabitEthernet9/39.756description Interface zum Anwender

    Konfigurations-beispiel encapsulation dot1Q 756

    xconnect 188.1.201.6 pw-class l2vpn!

    beispiel

    !pseudowire-class l2vpn

    encapsulation mplsendend

    9

  • L2-VPN

    Etablierte Technik im X-WiN

    VPN-Traffic gg. anderem X-WiN-Traffic separiert gg p

    L2-Schnittstelle (im X-WIN: Ethernet)

    Aufbau von VLANs mglich

    IP -> Routingintelligenz liegt beim Anwender (EinsatzIP > Routingintelligenz liegt beim Anwender (Einsatz privater Adressen mglich, Security)

    Skaliert nichtSkaliert nicht

    10

  • L2-VPN

    6WiN-MPLS-VPN

    HamburgNRNR

    Ethernet

    EssenCR

    CRL2Tunnel

    GWiNCR

    NR

    NR

    CR

    Berlin

    NR C

    Frankfurt

    E l

    CR

    11Erlangen

    NR

  • L3-VPN

    CE CECE

    PEPE

    XR

    PE

    XWiN

    CE PEL3VPN

    XR

    12

  • L3-VPN

    Anwender erhlt IP-Schnittstelle zum VPN

    VRF (Virtual Routing and Forwarding) enthlt IP-Routen, ( g g) ,CEF-Table und assoziierte Interfaces eines VPNs.

    13

  • L3-VPN

    XR (XWiN-Router)Layer 3 VPN interface GigabitEthernet9/39description Interface zum Anwender

    ip address 188.1.248.9 255.255.255.252Konfigurations-beispiel ip vrf forwarding test

    !ip vrf testrd 680:100

    beispiel

    rd 680:100route-target export 680:10route-target import 680:10

    14

  • L3-VPN

    t 1# h b 4 i t f t txr-stu1#sh bgp vpnv4 unicast vrf test

    Network Next Hop Metric LocPrf Weight Path

    Route Distinguisher: 680:100 (default for vrf test)

    *>i10.1.0.0/25 188.1.201.66 0 100 0 65501 ?

    *> 10.2.0.0 /25 188.1.248.10 0 0 65072 i

    *> 10.108.128.0/19 188.1.248.10 0 0 65072 i

    *>i10.12.224.0/19 188.1.201.66 0 100 0 65501 ?

    *>i10.14.96.0/19 188.1.201.26 0 100 0 65005 ii10.14.96.0/19 188.1.201.26 0 100 0 65005 i

    15

  • L3-VPN

    t 1# h b 4 i t f t t 10 1 0 0/25xr-stu1#sh bgp vpnv4 unicast vrf test 10.1.0.0/25

    BGP routing table entry for 680:100:10.1.0.0/25, version 56

    Paths: (1 available, best #1, table fhg)

    Advertised to update-groups:

    2

    12

    188.1.201.66 (metric 260) from 188.1.201.66 (188.1.200.66)

    Origin incomplete, metric 0, localpref 100, valid, internal, bestOrigin incomplete, metric 0, localpref 100, valid, internal, best

    Extended Community: RT:680:10

    mpls labels in/out nolabel/729

    16mpls labels in/out nolabel/729

  • L3-VPN

    XR (XWiN-Router)Layer 3 VPN router bgp 680! Neighbor: XR (PE)address-family vpnv4Konfigurations-

    beispiel neighbor 188.1.201.26 activateneighbor 188.1.201.26 send-community extended!! Neighbor: Anwender (CE)

    beispiel

    ! Neighbor: Anwender (CE)address-family ipv4 vrf testno synchronizationneighbor 188.1.248.10 remote-as 65072neighbor 188.1.248.10 activateneighbor 188.1.248.10 as-overrideneighbor 188.1.248.10 route-map vpn-in in

    i hb 188 1 248 10neighbor 188.1.248.10 route-map vpn-out out

    17

  • L3-VPN

    Anwender erhlt IP-Schnittstelle zum VPN

    VRF (Virtual Routing and Forwarding) enthlt IP-Routen, ( g g) ,CEF-Table und assoziierte Interfaces eines VPNs.

    Routingbergang XR KR: statisch oder BGPRoutingbergang XR KR: statisch oder BGP

    XRs tauschen VRF-Routinginfo ber M-BGP aus

    VPN-Traffic gg. anderem X-WiN-Traffic separiert (-> Einsatz privater Adressen mglich, Security)

    Skaliert gut, einfach zu erweitern

    18

  • L3-VPN

    Untersttzte Features

    IPv4/IPv6 unicast und IPv4 multicast

    QOS: transparentes Durchreichen der QOS-Parameter

    Netflow-Accounting ab V.9

    19

  • Pilotprojekt

    L3-VPN fr die FGH Standorte Birlinghoven, Mnchen und Stuttgart

    Konfiguration beim Anwender lehnt sich an die Standard-BGP Konfiguration im X-WiN an

    Schalten von Backup-Links mglich

    20

  • L3-VPN-Dienst

    Noch nicht abgeschlossen

    Integration in die 24-HotlineIntegration in die 24-Hotline

    Erweiterte Linkberwachung durch berwachung der BGP-Sessions

    Auswerten der NetflowdatenAuswerten der Netflowdaten

    21

  • Zusammenfassung

    Universelles Werkzeug zur Topologiegestaltung

    Voraussetzung beim Anwender: Anschluss ans X WiNVoraussetzung beim Anwender: Anschluss ans X-WiN

    Gestaltung des VPNs nach Anwenderbedarfg

    22

  • 23

  • Carrier-Supporting-CarrierBackboneCarrier

    BBLDP LDPLDP

    CSCCE1 CSCCE2CSCPE1 CSCPE2P P

    BB LDP LDPLDP

    CSC CE2CSC PE2

    PSite_ASite_A

    SiSite_BSite_B

    BackboneCarrier CustomerCarrierCustomerCarrier

    LDP

    CSCCE1 CSCCE2CSCPE1 CSCPE2P P

    LDP LDPIPv4+label IPv4+label

    POther

    BR2

    Other

    BR1

    24A

    customerAcustomer

    Othercustomer

  • CSC

    Austausch von Labels zwischen PE und CE

    Schnittstelle PE/CE untersttzt L2/L3-VPN

    B kb C i i ti t Li k t i B kbBackboneCarrier importiert nur Linkrouten in Backbone-VRF (Entweder mit LDP + IGP oder BGP)

    CEs tauschen Routinginformation ber IP-Netze aus -> Aufbau einer Routinginfrastruktur

    Zweites Szenario: Customer Carrier-Netz ist MPLS enabled und

    QOS-Support/IPv6 nur fr das zweite Szenario mglich

    25

    CE muss labeling und MBGP untersttzen (berprfen: CE Hardware/Software + Interoperabilitt mit Cisco)

  • 26

  • GRE-Tunneling

    GWiNUniversittY

    GRETunnel

    GWiNPoPMunichZRPot

    UniversittX XRHub

    IPv4AccessLink

    27

  • L2-VPN

    XR (XWiN-Router)Layer 2 Tunnelinterface GigabitEthernet9/39.756

    encapsulation dot1Q 756no snmp trap link-status

    Exampleno snmp trap link statusxconnect 188.1.201.6 pw-class l2vpn

    !pseudowire class l2vpnpseudowire-class l2vpn

    encapsulation mplsend

    Pseudo wire at CR-Erl: unidirectional MPLS-tunnel connects local VLAN with the corresponding PE-Router (CR-Ber)local VLAN with the corresponding PE-Router (CR-Ber)

    Packets from CE (NR-Erl) will be tagged with a MPLS

    28header

  • L2-VPN

    NR-Erlangen (Dual-Stack-Router)Layer 2 Tunnelinterface FastEthernet0/0.756description l2tp local nr -> nr-ber1encapsulation dot1Q 756

    Exampleencapsulation dot1Q 756

    ipv6 address 2001:638:0:6::2/64ipv6 router isis

    i i i 6 t i 1isis ipv6 metric 1

    NR Berlin (Dual Stack Router)NR-Berlin (Dual-Stack-Router)

    interface FastEthernet0/0.756description l2tp local nr -> nr-erl1encapsulation dot1Q 756

    ipv6 address 2001:638:0:6::1/64ipv6 router isis

    29

    ipv6 router isisisis ipv6 metric 1

  • CSC LDP:LDPonlyonPECE_ yBackboneCarrier CustomerCarrierCustomerCarrier

    BBLDP LDPLDP

    CSCCE1 CSCCE2CSCPE1 CSCPE2P P

    BB LDP LDPLDP

    CSC CE2CSC PE2

    PSite_ASite_A

    SiSite_BSite_B

    Label *Label swap + Label Pop IGP Pop VPNLabelImposition

    *Labelswap+Imposition

    LabelSwap+Forward

    PopIGP

    Label

    PopVPN

    Label

    CCIGPLabeltoCCE2Labelswappedandbecomes

    VPNlabelinBCforaddressCCE2

    ThislabelusedtoforwardthroughBC

    BCIGPlabelspopped CCVPNlabelspopped

    *MPBGP generates VPN label (red)

    BCIGPlabelpushedonstackforCPE2

    MP BGPgeneratesVPNlabel(red)iBGPbetweenCSCCEandCSCCEdoesnotgenerateanylabels!IGPlabel(atCSCPE)ismappedtoVPNlabelonCSCPE

  • CSC BGP: BGP on PECECSC_BGP:BGPonPECEBackboneCarrier CustomerCarrierCustomerCarrier

    LDP

    CSCCE1 CSCCE2CSCPE1 CSCPE2P P

    LDP LDPIPv4+label IPv4+label

    POther

    BR2

    Other

    BR1

    Acustomer

    AcustomerOther

    customer

    Label Labelswap+ Label PopIGPLabeli i

    IGPb l