Сети Для Самых Бывалых. Часть Двенадцатая. Мплс L2Vpn

Сколько времени прошло, но шестеренки снова повернулись и linkmeup достиг уровня Tier 2. А несколько предприятий, обладающих достаточной платежеспособностью, проявили интерес к организации коммуникаций между своими филиалами через сети linkmeup. L3VPN, обзор которого мы рассмотрели в прошлом выпуске, охватывает огромное количество сценариев, необходимых большинству клиентов.

Огромный, но не весь.

Он позволяет осуществлять связь только на сетевом уровне и только по одному протоколу — IP. А как насчет данных телеметрии, например, или трафика от базовых станций, работающих через интерфейс E1? Существуют также сервисы, использующие Ethernet, но также требующие связи на уровне канала передачи данных.

Опять же, дата-центры любят общаться друг с другом на уровне L2. Так что для наших клиентов выньте и вставьте L2. Традиционно раньше все было просто: L2TP, PPTP и все по большому счету.

Ну, еще можно было скрыть Ethernet в GRE. Для всего остального построили отдельные сети, установили выделенные линии по стоимости бака (ежемесячно).

Однако в наш век конвергентных сетей, распределенных центров обработки данных и международных компаний это не вариант, и на рынок вышел ряд масштабируемых технологий передачи данных.

На этот раз речь пойдет о MPLS L2VPN.



Итак, сегодняшняя программа:

• О технологиях L2VPN
• ВПВС
  • Плоскость данных
  • Плоскость управления
  • Упражняться
  • Виды ВПВС
• ВПЛС
  • Плоскость данных
  • Плоскость управления
  • Режим VPLS Martini (целевой LDP)
    • Упражняться
  • Режим VPLS Kompella (BGP)
    • Обнаружение соседей или автоматическое обнаружение
    • Префиксная передача
    • Распределение меток и механизм блокировки меток
    • Упражняться
• Иерархический VPLS (H-VPLS)
  • Практика H-VPLS
• Проблемы с VPLS
• Полезные ссылки

L2VPN-технологии

• ВЛАН/ЦинК — их сюда можно включить, поскольку основные требования VPN соблюдены — между несколькими точками организована виртуальная сеть L2, данные в которой изолированы от других.

  По сути, VLAN для каждого пользователя организует Hub-n-Spoke VPN.

• L2TPv2/PPTP - устаревшие и скучные вещи.

• L2TPv3 вместе с ГР? есть проблемы с масштабированием.

• ВКСЛАН, ЕВПН — варианты для дата-центров.

  Очень интересно, но DCI в планах на этот выпуск нет. Но о них был отдельный подкаст (слушать запись 25 ноября)

• МПЛС L2VPN представляет собой набор различных технологий, транспортом для которых является MPLS LSP. Именно это сейчас наиболее широко используется в сетях провайдеров.

Например, кадр E1 приходит на PE, тут же инкапсулируется в MPLS, и никто по пути даже не заподозрит, что там внутри — важно лишь вовремя сменить метку.

А кадр Ethernet приходит на другой порт и может путешествовать по сети через тот же LSP, только с другой меткой VPN. Кроме того, MPLS TE позволяет строить каналы с учетом требований к трафику по параметрам сети.

В сочетании с LDP и BGP становится проще настроить VPN и автоматически найти соседей.

Возможность инкапсулировать трафик любого канального уровня в MPLS называется Атом — Любой транспорт по MPLS. Вот список поддерживаемых протоколов AToM:

• Уровень адаптации ATM типа 5 (AAL5) через MPLS
• Ретрансляция ячеек ATM через MPLS
• Ethernet через MPLS
• Frame Relay через MPLS
• PPP через MPLS
• Высокоуровневое управление каналом передачи данных (HDLC) через MPLS

Два мира L2VPN

• Точка-точка .

  Применимо к любому типу протокола канального уровня и, в принципе, полностью исчерпывает все сценарии применения L2VPN. Поддерживает все мыслимые и немыслимые протоколы.

  И некоторые из них тоже разные может реализовать .

  В его основе лежит концепция PW – PseudoWire – псевдопровод. Вы хотите соединить два узла друг с другом.

  Тогда сеть провайдера будет для вас как один виртуальный кабель — то, что входило в него на одном конце, обязательно выйдет на другом без изменений.

  Общее название услуги: ВПВС — Виртуальная частная телеграфная служба.

  
  
  
  
  

• Точка-многоточка .

  Этот режим предназначен только для Ethernet, поскольку он единственный, в котором действительно есть такая необходимость.

  При этом у клиента может быть три, пять, десять или сто точек подключения/веток, и все они должны передавать данные друг другу, как в одну конкретную ветвь, так и во все сразу.

  Это больно напоминает обычный коммутатор Ethernet , но говорить об этом было бы страшной банальностью.

  Название технологии: ВПЛС — Служба виртуальной частной локальной сети.

  
  
  
  
  

Терминология

Но о некоторых сразу.

П? — Provider Edge — пограничные маршрутизаторы MPLS-сети провайдера, к которым подключаются клиентские устройства (CE).

CE — Customer Edge — клиентское оборудование, которое напрямую подключается к маршрутизаторам провайдера (PE).

А.

С.

— Attached Circuit — интерфейс на PE для подключения клиента.

В.

К.

— Virtual Circuit — виртуальное однонаправленное соединение через общую сеть, имитирующее исходную среду для клиента.

Соединяет интерфейсы переменного тока разных PE. Вместе они образуют единый канал: AC→VC→AC. ПВ — PseudoWire — виртуальный двунаправленный канал передачи данных между двумя PE — состоит из пары однонаправленных VC. В этом разница между PW и VC.

П.

В.

С.

Точка-точка ВПВС — Виртуальная частная телеграфная служба.

В основе любого решения MPLS L2VPN лежит идея PW — PseudoWire — виртуального кабеля, протянутого от одного конца сети к другому.

Но для VPWS сам этот PW уже является услугой.

Это туннель L2, через который вы можете без беспокойства передавать все, что захотите.

Ну, например, у клиента базовая станция 2G в Котельниках, а контроллер в Митино.

А эта БС может подключаться только по Е1. В древности пришлось бы удлинить эту Е1 с помощью кабеля, радиореле и всяких преобразователей.

Сегодня одну общую сеть MPLS можно использовать как для этого E1, так и для L3VPN, Интернета, телефонии, телевидения и т. д. (Кто-то скажет, что вместо MPLS для PW можно использовать L2TPv3, но кому он нужен с его масштабируемостью и отсутствием Traffic Engineering?) VPWS относительно прост как с точки зрения передачи трафика, так и работы сервисных протоколов.

VPWS Data Plane или передача пользовательского трафика

0. Между R1 и R6 уже построен транспортный LSP по протоколу LDP или RSVP TE. То есть R1 знает транспортную метку и выходной интерфейс R6. 1. R1 получает от клиента CE1 некий кадр L2 на AC-интерфейсе (это может быть Ethernet, TDM, ATM и т. д. — не важно).

2. Этот интерфейс привязан к конкретному идентификатору клиента — VC ID — в некотором смысле аналог VRF в L3VPN. R1 присваивает кадру служебную метку, которая останется неизменной до конца пути.

Метка VPN является внутренней по отношению к стеку.

3. R1 знает пункт назначения — IP-адрес удаленного PE-маршрутизатора — R6, узнает транспортную метку и вставляет ее в стек меток MPLS. Это будет внешняя транспортная метка.

4. Пакет MPLS перемещается по сети оператора через P-маршрутизаторы.

Транспортная метка меняется на новую на каждом узле, служебная метка остается неизменной.

5. На предпоследнем роутере убрана транспортная метка - PHP .

В R6 пакет поставляется с одним тегом службы VPN. 6. PE2, получив пакет, анализирует служебную метку и определяет, на какой интерфейс следует передать распакованный кадр.

Если вы читаете предыдущий выпуск о L3VPN , то ничего нового в передаче пользовательского трафика - пары MPLS-тегов и передачи по транспортному LSP вы не увидите.

Ingress PE проверяет, какие метки ставить и на какой интерфейс отправлять, P меняет транспортную метку, а Egress PE использует метку VPN, чтобы решить, на какой интерфейс AC отправить полученный кадр.

Плоскость управления VPWS или работа сервисных протоколов

проблема с MPLS ), и RSVP-TE (все еще ждет своего часа).

Для примера возьмем LDP — по всей сети запускается этот протокол, который будет распределять по сети метки для каждого Loopback-адреса каждого MPLS-маршрутизатора.

В нашем случае R1 после запуска LDP будет, грубо говоря, знать 5 меток: как добраться до каждого из оставшихся маршрутизаторов.

Нас интересуют LSP R1→R6 и наоборот. Обратите внимание, что для того, чтобы VC перешел в состояние UP, должны присутствовать как прямой, так и обратный LSP. Существует несколько различных способов реализации службы VPWS. Об этом мы поговорим ниже, а в качестве примера рассмотрим тот, который сегодня используется чаще всего.

Для распространения сервисные теги Те же ответы ЛДП, только генетически модифицированные - Целевая ЛДП .

Теперь он может устанавливать соединения с удаленными маршрутизаторами и обмениваться с ними тегами.

В нашем примере клиенты подключены к R1 и R6. R1 передаст свою метку этому клиенту R6 через LDP и наоборот. На обоих концах мы вручную настраиваем удаленный сеанс LDP. К VPN он никак не привязан.

То есть один и тот же сеанс может использоваться для обмена тегами между любым количеством VPN. Обычный LDP — это локальный протокол, который ищет соседей среди напрямую подключенных маршрутизаторов, то есть TTL его пакетов равен 1. Однако tLDP требует IP-подключения.

Как только на обеих сторонах появятся интерфейсы AC с одинаковым VC-ID, LDP поможет им передавать метки друг другу.

Каковы различия между tLDP и LDP?

Как построить лабораторию для MPLS L2VPN?

В качестве испытательного стенда использовалась комбинация UnetLab + CSR1000V. Получить можно как совершенно бесплатно, так и легально.

УнетЛаб ОВА .

Cisco CSR1000V IOS-XE .

Инструкция по установке UNL и добавлению образов CSR1000V: Тыц .

Соответственно, ниже все команды для настройки MPLS L2VPN приведены в нотации Cisco IOS-XE. Обратите внимание: каждому узлу CSR1000V требуется 2,5 ГБ ОЗУ.

В противном случае образ либо не запустится, либо будут различные проблемы, например, не открываются порты или наблюдаются потери.

Практика ВПВС

Нажав, вы можете открыть его в новой вкладке, чтобы можно было просматривать его с помощью Alt+Tab, а не перелистывать страницу вверх и вниз.

Наша задача — подключить Ethernet от Linkmeup_R1 (порт Gi3) к Linkmeup_R4 (порт Gi3).

В движении 0 IP-адресация, маршрутизация IGP и базовый MPLS уже настроены (см.

Как ).

Файл начальной конфигурации.

1. Настраиваем xconnect на обоих концах на AC-интерфейсах (PE-CE), обращаем внимание, что VC-ID должен быть одинаковым.

      
   
    Linkmeup_R1(config)#interface Gi 3
    Linkmeup_R1(config-if)#xconnect 4.4.4.4 127 encapsulation mpls
   
      

   
   
   Linkmeup_R4(config)#interface Gi 3 Linkmeup_R4(config-if)#xconnect 1.1.1.1 127 encapsulation mpls
   
   команда xconect 4.4.4.4 127 мпл инкапсуляции заставляет LDP подхватывать удаленный сеанс с узлом 4.4.4.4 и создает MPLS PW с VC ID 127. Важно, чтобы идентификаторы VC совпадали на двух противоположных AC-интерфейсах — это показатель того, что их необходимо склеить.

2. Выгода.

   
   
   
   
   

На этом настройка VPWS завершена.

Файл конфигурации VPWS .

Можно выделить основные этапы: 0) IGP встретился, LDP определил соседей, поднял сессию и раздал транспортные метки.

Как видите, Linkmeup_R4 выделил транспортную метку 19 для FEC 4.4.4.4.



1) Но tLDP начал свою работу.

--А.

Сначала мы настроили его на Linkmeup_R1 и tLDP начал периодически отправлять свой Hello на адрес 4.4.4.4.



Как видите, это одноадресный IP-пакет, который отправляется с адреса интерфейса Loopback 1.1.1.1 на адрес того же удаленного PE Loopback — 4.4.4.4. Упаковывается в UDP и передается с одной меткой MPLS - транспорт - 19. Обратите внимание на приоритет - поле EXP - 6 - один из самых высоких, так как это пакет служебного протокола.

Подробнее об этом мы поговорим в выпуске QoS. Состояние PW все еще находится в состоянии DOWN, потому что на обратной стороне ничего нет.



--Б.

После настройки xconnect на стороне Linkmeup_R4 сразу Hello и установления соединения по TCP.



В этот момент устанавливается соседство LDP:



--В.

Теги обменялись:



В самом низу видно, что FEC в случае с VPWS — это тот VC ID, который мы указали в команде xconnect — это идентификатор нашего VPN — 127 .

И чуть ниже выделенной ему метки Linkmeup_R4 — 0x16 или 22 в десятичной системе.

То есть этим сообщением Linkmeup_R4 сообщил Linkmeup_R1, мол, если вы хотите передать кадр в VPN с VCID 127, то используйте сервисный тег 22.

Здесь вы можете увидеть кучу других сообщений Label Mapping — это LDP, делящийся всем, что он получил — информацией обо всех FEC. Нас это мало интересует, а Lilkmeup_R1 и подавно.

2) Дальше соседи будут только поддерживать связь:



3) Теперь все готово для передачи пользовательских данных.

На этом этапе мы запускаем ping. Все предсказуемо просто: две отметки, которые мы уже видели выше.

Wireshark почему-то не разобрал внутренности MPLS, но я покажу, как читать вложение:



Два блока, выделенные красным, представляют собой MAC-адреса.

DMAC и SMAC соответственно.

Желтый блок 0800 — поле Ethertype заголовка Ethernet — означает внутренний IP. Далее черный блок 01 — поле «Протокол» заголовка IP — это номер протокола ICMP. И два зеленых блока — SIP и DIP соответственно.

Теперь вы можете это сделать в Wireshark!

Если VPWS — это просто провод, то он тоже должен безопасно передавать кадр с тегом VLAN? Да и нам для этого ничего перенастраивать не придется.

Вот пример кадра с тегом VLAN:



Здесь вы видите Ethertype 8100 — 802.1q и тег VLAN 0x3F или 63 в десятичном формате.

Если мы перенесем конфигурацию xconnect на субинтерфейс с указанием VLAN, то он завершит эту VLAN и отправит в PW кадр без заголовка 802.1q.

Виды ВПВС

Это часть технологии PWE3, которая является развитием VLL Martini Mode. И все это вместе — VPWS. Здесь главное не запутаться в определениях.

Позвольте мне быть вашим гидом.

Так, ВПВС — общее название решений для двухточечного L2VPN. ПВ — виртуальный канал L2, лежащий в основе любой технологии L2VPN и служащий туннелем для передачи данных.

ВЛЛ (Virtual Leased Line) — это уже технология, позволяющая инкапсулировать кадры различных протоколов канального уровня в MPLS и передавать их через сеть провайдера.

Выделяют следующие типы ВЛЛ: ВЛЛ ССС - Перекрестное соединение цепей.

В этом случае метка VPN отсутствует, а транспортные назначаются вручную (статический LSP) на каждом узле, включая правила подкачки.

То есть в стеке всегда будет только одна метка, и каждый такой LSP может нести трафик только одного VC. Я никогда в жизни его не встречал.

Его главное преимущество заключается в том, что он может обеспечить связь между двумя узлами, подключенными к одному PE. ВЛЛ ТСС — Трансляционное кросс-соединение.

То же, что и CCC, но позволяет использовать разные протоколы канального уровня с разных концов.

Это работает только с IPv4. При получении PE удаляет заголовок канального уровня, а при передаче на интерфейс AC вставляет новый.

Интересный? Начать отсюда .

ВЛЛ СВК - Статическая виртуальная схема.

Транспортный LSP строится с помощью традиционных механизмов (LDP или RSVP-TE), а метка службы VPN назначается вручную.

tLDP в этом случае не нужен.

Невозможно обеспечить локальное подключение (если два узла подключены к одному PE).

Мартини ВЛЛ – примерно об этом мы говорили выше.

Транспортный LSP построен обычным образом, метки VPN распределяются по tLDP. Красота! Не поддерживает локальное подключение.

Компелла ВЛЛ - Транспортировать LSP обычным способом, для раздачи меток VPN - BGP (как и положено, с RD/RT).

Ух ты! Поддерживает локальную связь.

Ну ладно.

Строго говоря, сфера применения этой технологии шире, чем просто MPLS. Однако в современном мире в 100% случаев они работают вместе.

Поэтому PWE3 можно рассматривать как аналог Martini VLL с расширенным функционалом — сигнализация также обрабатывается LDP+tLDP. Кратко его отличия от Martini VLL можно представить следующим образом:

• Сообщает о состоянии PW с помощью сообщения уведомления LDP.
• Поддерживает Multi-Segment PW, когда сквозной канал состоит из нескольких более мелких частей.

  В этом случае один и тот же PW может стать сегментом для нескольких каналов.

• Поддерживает интерфейсы TDM.
• Предоставляет механизм согласования фрагментации.

• Другой.

Я везде говорю об Ethernet, чтобы показать наиболее очевидный пример.

Все, что касается других канальных протоколов, пожалуйста, для самостоятельного изучения.

Точка-многоточка Мне очень нравится термин «точка-многоточка».

Есть в этом что-то детское и игривое.

И именно об этом мы сейчас и поговорим.

VPLS — служба виртуальной частной локальной сети.

По своей сути это переключатель.

Провайдер подключает к своей сети несколько точек клиента на разных концах и обеспечивает подключение L2. И теперь задача транспортной сети провайдера — позаботиться о правильной коммутации кадров, то есть об изучении MAC-адресов.

Терминология

Виртуальный коммутатор внутри одного узла.

Для каждого клиента (или услуги) он различен.

То есть трафик от разных VSI не может мигрировать из одного в другой.

Аналоговый VRF/VPN-экземпляр в L3VPN. В терминах Cisco это ВФИ - Экземпляр виртуальной пересылки.

Я возьму на себя смелость использовать термины «домен VPLS», «VSI» и «VFI», иногда используя их как синонимы.

В.

Е.

— VPLS Edge — PE-узел, член домена VPLS.

Плоскость данных VPLS

1. Пользовательский кадр прибыл в порт переменного тока PE-маршрутизатора.

2. PE-маршрутизатор просматривает заголовок Ethernet и проверяет MAC-адрес отправителя.

   А) Если он уже есть в таблице MAC этого VSI, PE немедленно переходит к шагу 3. Б) Если этого адреса еще не существует, он записывает в таблицу соответствие MAC-порта и также переходит к шагу 3.

3. PE-маршрутизатор просматривает заголовок Ethernet и проверяет MAC-адрес назначения.

   А) если он присутствует в таблице MAC-адресов этого VSI:

   1. PE ищет выходной интерфейс для кадра с заданным MAC-адресом.

      Это может быть физический интерфейс или PW.

   2. Если порт назначения является физическим интерфейсом, он просто отправляет данные на этот порт. Если это PW, то он добавляет соответствующий тег - сервисный.

      Эта отметка останется неизменной до конца путешествия.

   3. PW — это всегда канал между двумя IP-узлами, поэтому, зная IP-адрес удаленного PE, локальный PE извлекает транспортный из таблицы меток и кладет его поверх стека — он будет меняться на каждом P-маршрутизаторе.

   Б) Если MAC-адрес неизвестен, то, как приличный свитч, наш PE должен транслировать кадр всем PE этого VSI. И он это делает, подлец.
   1. Локальный PE составляет список всех удаленных PE этого VSI, и, создав копии этого кадра, вставляет в них служебные теги — каждому свои.

   2. Далее к каждому экземпляру кадра также прикрепляется транспортная метка (также уникальная для каждого PE).

   3. Вся эта куча кадров отправляется по сети провайдера.

   4. Кроме того, копии широковещательного кадра отправляются на интерфейсы AC, если таковые имеются, без заголовков MPLS.
4. Удаленный PE после получения кадра и удаления меток (то есть когда он уже определил VSI) также действует как обычный коммутатор: А) Если MAC-адрес источник еще не известно, вносит его в таблицу.

   Пароль входного PE будет указан как входной интерфейс.

   Б) Если MAC-адрес встречи известный ему, отправляет кадр на порт, для которого он был изучен.

   Отправляется чистый кадр Ethernet без каких-либо заголовков MPLS. В) Если этот MAC не найден в таблице? Трансляция на все порты переменного тока этого VSI. Пожалуйста, обрати внимание PE не будет пересылать этот кадр PW этого VSI. потому что все остальные PE уже получили копию этого кадра от входного PE. Это то же правило Split Horizon, и именно так достигается отсутствие петель переключения и широковещательных штормов.

   (Эх, если бы все было так просто.

   )

Есть просто гифка , который показывает, что происходит. И есть та же гифка, только с голосом.

Когда дело доходит до изучения MAC-адресов в VPLS, есть один нюанс, резко отличающий его от L3VPN. PE должен не только знать физический порт, с которого пришел кадр — важно определить соседа или, точнее, PW как виртуальный интерфейс.

Дело в том, что клиентский фрейм нужно отправить не просто на какой-то физический порт, а на правильный PW, иными словами, на правильного соседа.

Для этого каждому соседу выдается персональная метка, с которой он будет отправлять кадр этому PE в данном домене VPLS. А позже, используя тег VPN, просматривая LFIB, PE узнает, от какого соседа пришел кадр.

Напомню, что L3VPN не важно, откуда пришел IP-пакет, поэтому всем соседям сообщается одна и та же метка для префикса в VRF.

А как же пресловутый Control Plane? Придется ли нам снова ломать себе мозги или идти на небольшие жертвы? Извините, но тут начинается треш и содомия.

Не сразу – позже, но это произойдет. Вы действуете на свой страх и риск.

Плоскость управления VPLS

Первый путь изначально был предложен Cisco (проект Мартини), отцом второго является Juniper (проект Compella).

В 11 выпусках СДСМ выступал за упрощение жизни инженера и автоматизацию всего.

И вот, настал момент, когда нужно забыть все, чему вас учили.

Это первый случай (если не поднимать холивар вокруг VTP), когда более популярным оказывается решение с ручной настройкой соседей.

Стало интересно? Прежде чем мы откроем сцены, хочу сделать примечание: что бы мы ни делали с VPN-тегами, транспортные LSP строятся как обычные LDP или RSVP-TE. Поэтому в дальнейшем мы коснемся транспорта лишь вскользь.

Аналогично, независимо от используемого режима, VPLS при ближайшем рассмотрении распадается на PW типа «точка-точка».

То есть у нас не какое-то централизованное коммутационное облако, а просто набор виртуальных линий между всеми соседями.

Решение о передаче кадра принимает Ingress PE или, проще говоря, выбирает нужный PW.

Слово «проект», прочно закрепившееся за этими двумя подходами, уже давно является незаконным и используется по исторической инерции.

Проект предложения может продлиться только шесть месяцев.

На данный момент Draft-Martini возродился как RFC 4447 — Интернет-стандарт о PWE3, а Draft-Compella устарел и умер.

Если говорить конкретно о VPLS, то здесь есть два стандарта: «Служба виртуальной частной локальной сети (VPLS) с использованием BGP для автоматического обнаружения и сигнализации».

RFC 4761 .

«Служба виртуальной частной локальной сети (VPLS) с использованием сигнализации протокола распределения меток (LDP)» RFC 4762 .

• Яндекс Признал Эксперимент С Яндекс Лаунчером Успешным И Назначил Руководителя Сервиса

  19 Oct, 24

• «Фермы В Их Нынешнем Виде Не Спасут, А Уничтожат Планету»: Фермер О Перспективах Органического Питания

  19 Oct, 24

• Google Разрабатывает Искусственный Интеллект

  19 Oct, 24

• 3Cx Объединяет Сообщества Elastix И Pbx В Одно Мгновение

  19 Oct, 24

• Apache Ignite В Облаке Aws — Базовый Пример

  19 Oct, 24

• Социальный Эксперимент «Голый Бизнес»

  19 Oct, 24

• Удлинитель Мыши: Устранение Неполадок

  19 Oct, 24

• Сюжет «6 Часов До Запуска Бака»

  19 Oct, 24

• Один День В Качестве Программиста Для Внедрения. Очень Легко Написать Драйвер Для Датчика Влажности Hts221 От Stm?

  19 Oct, 24

• Fotofilmusigner — Шоу Для Любителей Apple

  19 Oct, 24