Left, Right, Center Left, Center, Right Center, Left, Right

Академия

Мы -- официальная сетевая академия Cisco (ID: 20027250)

Хочешь сказать спасибо?

Нравится наш проект?

Хотите нас поддержать (сказать "спасибо")?

Можете воспользоваться для этого следующими кошельками webmoney

R432847347204

Z150172555537

Подписка на новости

Вопрос недели

В какое время Вам будет удобно заниматься?



 

Вход в систему







Забыли пароль?
Регистрация

Про MPLS и VPN – вместе веселее. Или упрощаем предоставление услуг L2/L3 VPN в сети

Статьи

Что же значат эти четыре волшебные буквы «MPLS»? MPLS – аббревиатура к MultiProtocol Label Switching, технологии коммутации, появившейся в начале 2000-ых и получившей широкое распространение при построении крупных сетей (сети операторов связи или крупных корпоративных сетей). Википедия дает довольно красивое и абстрактное понятия того, что это такое, мы не будем его приводить здесь. Однако для указанных потребителей (операторы связи, крупные корпорации) MPLS интересен в первую очередь теми сервисами, которые можно организовать на его основе: L2 VPN, L3 VPN, Traffic Engineering, QoS. И все это на одной платформе! Поэтому MPLS можно рассматривать не просто как технологи коммутации, а как целую концепцию построения сети, как некий Framework. В данной статье мы рассмотрим на архитектурном уровне L2/L3 VPN средствами MPLS, их настройку и области применения.

Начнем с L3 VPN.

Здесь и дальше под термином «клиент» мы будем подразумевать любого потребителя услуги VPN, будь то клиент оператора связи, выделенная рабочая группа или просто компьютерная программа. Так вот, с точки зрения клиента сеть MPLS представляет собой один маршрутизатор с несколькими интерфейсам (количество интерфейсов соответствует числу точек подключения клиента).

Фактически, топология кажется полносвязной, а значит наиболее надежной: авария на одном сайте никак не скажется на взаимной доступности других сайтов, соответственно для них сервис будет предоставляться и потребляться. В этом положительное отличие от топологии звезды, где выход из строя центрального сайта разрушит работу всей оставшейся сети. Надежность же полносвязной топологии для клиента определяется исключительно отказоустойчивостью сети оператора и от клиента никак не зависит. Единственная точка, где может быть зона ответственности клиента – это стык PE-CE. Такие вещи определяются соглашениями с оператором: возможны варианты установки клиенту CE оборудования, которое находиться под управлением оператора. Однако административные вопросы мы оставим за рамками данной статьи и сфокусируем внимание на технических деталях. В лабораторном курсе CCIP / MPLS мы уделяем много времени настройки L3 MPLS VPN в целом и PE-CE в частности. Узнать все возможные варианты можно выполнив наши лабораторные, здесь же мы вкратце отметим, что стык PE-CE можно организовать как на основе статической, так и динамической маршрутизации. Во втором случае необходимо настроить какой-нибудь протокол динамической маршрутизации между оборудованием клиента (CE) и пограничным маршрутизатором оператора (PE).

Со стороны CE никаких отличий нет вообще, все стандартно:


router ospf 1
network 192.168.0.1 0.0.0.0 area 0

А вот со стороны оператора отличия есть, притом значительные. Вот несколько вопросов, которые возникают сразу же:

- Как разделить маршруты сетей клиента и оператора?

- В случае нескольких клиентов с одинаковой внутренней адресацией, как обеспечить доступ клиента именно в его сеть, а не в сеть другого клиента с такой же адресацией?

- Как предотвратить возможность доступа клиента в сеть оператора?

- Как реализовать ту самую полносвязную топологию для каждого клиента?

- Как реализовать доступа клиентов с одинаковой адресацией к дополнительным сервисам (доступ в интернет или к общим ресурсам провайдера)?

Ответ на все эти и другие вопросы звучит так: MPLS VPN. Основу MPLS VPN составляют VRF и MP-BGP. VRF (Virtual Routing and Forwarding) фактически можно рассматривать как виртуальный маршрутизатор, у которого есть свои интерфейсы, таблица маршрутизации, протоколы маршрутизации и т.д. Подробнее об этом можно почитать в нашем цикле статей «Про виртуальные сети», в частности в этой. Создается VRF следующим образом:


ip vrf Customer
rd 65000:1
route-target export 65000:1
route-target import 65000:1

Определяются два ключевых параметра: route distinguisher (RD) и route target (RT). RD – уникальный для каждого VRF идентификатор (он может быть только один), который превращает маршрут IPv4 в уникальный для всей сети провайдера маршрут VPNv4. Фактически именно он и позволяет использовать пересекающуюся адресацию у клиентов (да и сети оператора тоже). RT – параметр который добавляется в специальное поле при рассылки маршрутов внутри сети оператора по MP-BGP, который и определяет в таблицу маршрутизации какого или каких VRF этот маршрут попадет. RT может быть несколько, зачем это – об этом можно узнать из нашей лабораторной работы. Существует ограничение, которое заключается в том, что как минимум один RT должен совпадать с RD.

Теперь про MP-BGP (MultiProtocol BGP) – это расширение для BGP, которое добавляет возможность работы с VPNv4 маршрутами, необходимое для создание MPLS VPN. Как и в случае с настройкой iBGP в сете оператора, его необходимо настраивать только на PE устройствах, соответственно на P устройствах в ядре сети настраивать BGP нет никакой необходимости.

Для приведенной топологии настройка BGP будет следующая


router bgp 65000
no synchronization
neighbor 10.0.100.4 remote-as 65000
neighbor 10.0.100.4 update-source Loopback0
no auto-summary
!
address-family vpnv4
neighbor 10.0.100.4 activate
neighbor 10.0.100.4 send-community both
exit-address-family

Следует отметить, что настройку IGP для сети мы не приводим. IGP используется для объявления линков между маршрутизаторами и коммутаторами и адресов лупбэков (loopback). Следующим моментом для создания MPLS VPN является, как это очевидно, стык PE-CE.

На CE в качестве примера мы использовали OSPF, поэтому должны его использовать и здесь:


interface FastEthernet0/0
ip vrf forwarding Customer
ip address 192.168.0.0 255.255.255.254
router ospf 2 vrf Customer
router-id 192.168.0.0
network 192.168.0.0 0.0.0.0 area 0

Здесь важно отметить 2 момента: прежде чем настраивать IP-адрес на интерфейсе в сторону клиента, необходимо привязать данный интерфейс к VRF в противном случае IP-адрес будет удален с соответствующим предупреждением, и его надо будет настраивать заново. И второй момент: при создании процесса маршрутизации OPSF необходимо указать: к какому интерфейсу он принадлежит. Детальнее о различных вариантах организации стыка PE-CE можно ознакомиться выполнив наши лабораторные работы, где Вы можете приобрести отличный опыт настройки всех возможных вариантов организации данного стыка. Также можно прочитать об этом в нашем цикле статей «Про виртуальные сети», хотя в настройки OSPF есть одно отличие: в случае настройки MPLS VPN вводить команду «capability vrf-lite» не надо.

Ну и последним шагом для создания MPLS VPN является связь BGP с OSPF. Осуществляется это следующим образом:


router bgp 65000
!
address-family ipv4 vrf Customer
redistribute ospf 2 match internal external 1 external 2
no auto-summary
no synchronization
exit-address-family
!
router ospf 2 vrf Customer
redistribute bgp 65000 subnets

Вот и все, L3 VPN средствами MPLS настроен. Остается сделать подобную конфигурацию на других PE устройствах, куда подключены другие сайты данного клиента и можно предоставлять услугу и зарабатывать деньги. PROFIT! ;-)

Теперь немного о том, где эта услуга может применяться: подключение удаленных сайтов, связь между крупными филиалами и так далее. Фактически повсеместно, где нет необходимости в организации L2 соединения (об этом, как нетрудно догадаться) пойдет речь дальше.

Плюсы реализации:

- Лучше показатели масштабируемости и отказоустойчивости для VPN;

- Простота настройки на стороне клиента;

- Оператор легко может совместить эту слугу с доступом к разделяемым ресурсам и/или Интернету, повышая тем самым ARPU;

Минусы:

- Дополнительная нагрузка на PE устройства;

- В большинстве случаем все сайты клиента должны быть подключены к сети одного оператора, хотя с технической точки зрения возможны варианты организации MPLS VPN при подключении к разным операторам.

Идем дальше: L2 VPN.

Как следует из названия, клиенту предоставляется туннель, в терминологии MPLS – псевдопровод (pseudowire – PW). Выглядит все это безобразие следующим образом:

Настройка его значительно отличается и даже во многом проще, нежели настройка L3 VPN: нет необходимости настраивать ни BGP, ни VRF. Прежними остаются только требования к IGP. Собственно, в базовом варианте вся настройка PW для Ethernet (EoMPLS) выглядит следующим образом:


hostname PE
!
interface FastEthernet0/0
switchport
switchport mode access
switchport access vlan 100
!
interface vlan 100
xconnect PE2_loopback vc_id encapsulation mpls

Это в том случае, если у нас есть модуль коммутатора в маршрутизаторе, либо если маршрутизатор в принципе не предполагает routed-портов (к примеру cisco mwr 2941). Еще проще настраивается routed-port:


hostname PE
!
interface FastEthernet0/0
xconnect PE2_loopback vc_id encapsulation mpls

Нетрудно догадаться, что с двух сторон тоннеля параметр vc-id должен быть один и тот же. Вот и все. :-) Вообще, сама AToM (Any Transport over MPLS) позволяет передавать через сеть MPLS любой L2 трафик, будь то Ethernet, PPP, ATM, Frame Relay или даже TDM. Отличия в настройках будут небольшие, связанные со спецификой работы протокола канального уровня. Безусловно, настройку можно расширить, добавив запасные тоннели, однако в данной статье мы рассматриваем лишь базовые конфиги. И, так как L3 мы разбираем подробно в лабораторных, для L2 мы приведем базовый работоспособный конфиг.

Схема:

Настройка всех маршрутизаторов:


CE1#sh run
!
hostname CE1
!
interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
duplex auto
speed auto
!
ip http server
ip classless
!
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
end

PE1#sh run
!
hostname PE1
!
mpls label protocol ldp
no tag-switching ip propagate-ttl forwarded
tag-switching tdp router-id Loopback0 force
!
interface Loopback0
ip address 10.0.100.1 255.255.255.255
!
interface FastEthernet0/0
xconnect 10.0.100.2 10 encapsulation mpls
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.0.0 255.255.255.254
tag-switching ip
duplex auto
speed auto
!
router ospf 1
router-id 10.0.100.1
log-adjacency-changes
passive-interface Loopback0
network 10.0.0.0 0.0.0.0 area 0
network 10.0.100.1 0.0.0.0 area 0
!
!
line con 0
line aux 0
line vty 0 4
login
!
end

PE2#sh run
!
hostname PE2
!
mpls label protocol ldp
no tag-switching ip propagate-ttl forwarded
tag-switching tdp router-id Loopback0 force
!
interface Loopback0
ip address 10.0.100.2 255.255.255.255
!
interface FastEthernet0/0
xconnect 10.0.100.1 10 encapsulation mpls
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.0.1 255.255.255.254
tag-switching ip
duplex auto
speed auto
!
router ospf 1
router-id 10.0.100.2
log-adjacency-changes
passive-interface Loopback0
network 10.0.0.1 0.0.0.0 area 0
network 10.0.100.2 0.0.0.0 area 0
!
!
line con 0
line aux 0
line vty 0 4
login
!
end

CE2#sh run
!
hostname CE2
!
interface FastEthernet0/0
ip address 192.168.0.2 255.255.255.0
duplex auto
speed auto
!
ip http server
ip classless
!
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
end

Плюсы:

- Возможность прозрачной передачи любого L2 трафика клиента, то есть возможность объединения сетей, работающих на основе любых технологий;

- Возможность предоставления услуг, когда необходима именно L2 связность устройств;

Минусы:

- Гораздо меньшая масштабируемость по сравнению с L3 VPN;

- все тоннели по своей сути точка-точка, соответственно необходимо настраивать огромное количество тоннелей для достижения полносвязной топологии.

Есть еще одна технология, которая более масштабируемая, однако она подходит только для Ethernet. Называется она – VPLS (Virtual Private LAN Service), и рассмотрим мы ее в будущих статьях.

Подводя итог, хотим сказать, что показанные примеры показывают удобство MPLS как платформы построения сети, позволяющей очень гибко и в сжатые сроки предоставлять услуги как L2, так и L3 VPN. Кроме того использование одной базовой технологии значительно сокращает OPEX, так как вероятность ошибок конфигурации снижается, а простота администрирования увеличивается.

Комментарии (4)
инкапсуляция xconnect
131.08.12 07:27
admincheg
Отличная статья, единственное при сборке подобной схемы с L2, в xconnect инкапсуляция только l2tpv3. Пробовал разные железки, тоже самое. Предпологаю дело в иосе...Есть варианты?
RE: инкапсуляция xconnect
201.09.12 11:50
Антон /cisco-lab.by/
Да, надо смотреть в CFN (Cisco Feature Navigator), поддерживается ли в конкретном иосе для конкретного маршика такая функция.
l3vpn для клиента с одинаковыми адресами сетей
314.07.14 13:19
mario1986
добрый день.
хотелось бы знать, имеется ли какое-либо решение для l3vpn, помимо vpls, где бы я мог использовать одинаковые сети у конечных пользователей? я имею ввиду мне необходимо иметь одну vpn сеть с одной адресацией, но мое оборудование не поддерживает vpls. возможен ли вариант с l3vpn для достижения такого результата?
очень удобная штука vpls, но к сожалению мои ASR901 его не умеют, вот я и задался вопросом.
заранее благодарю
Re: l3vpn для клиента с одинаковыми адресами сетей
428.07.14 12:21
Антон /cisco-lab.by/
Добрый день,

при l3vpn Вы тоже можете использовать пересекающуюся адресацию в разных VRF, что отлично работает на ASR 901. Главное не накручивать туда много дополнительных MPLS фич, так как ASR 901 поддерживает максимум 3 метки а label-stack
Пожалуйста, зарегистрируйтесь или войдите в систему для добавления комментариев к этой статье.
Share to Facebook Share to Twitter Share to Linkedin Share to Myspace Share to Google 
.