Principy technologie MPLS a její aplikace VRS 2001 2001, Cisco Systems, Inc. 1
Jaromír Pilař, CCIE #2910 E-mail: jpilar@cisco.com IP telefon: 02/2143 5029 VRS 2001 2001, Cisco Systems, Inc. 2
Agenda Architektura MPLS Frame-mode MPLS - Přiřazení značek a jejich distribuce Cell-mode MPLS - Přiřazení značek a jejich distribuce Aplikace MPLS - přehled IP+ATM integrace MPLS Traffic Engineering MPLS VPN 3
MPLS - architektura 2000, Cisco Systems, Inc. 4
MPLS - Multi-Protocol Label Switching The primary goal of the MPLS working group is to standardise a base technology that integrates the label swapping forwarding paradigm with network layer routing. This base technology (label swapping) is expected to improve the price/performance of network layer routing, improve the scalability of the network layer, and provide greater flexibility in the delivery of (new) routing services (by allowing new routing services to be added without a change to the forwarding paradigm) draft-ietf-mpls-framework 5
Co MPLS není MPLS není pouze metoda integrace IP a ATM, ALE Integrace IP a ATM je pouze jedna z významných aplikací MPLS 6
Co MPLS není MPLS není metoda jak učinit routery (mnohem) rychlejší, ALE Přepínací algoritmus MPLS je jednodušší než přepínací algoritmus IP, A umožňuje bohatší funkčnost 7
MPLS a referenční model OSI MPLS není technologií síťové vrstvy nemá vlastní směrování a adresaci - využívá IP adresaci + IP směrování (s rozšířeními) MPLS není technologií linkové vrstvy protože MPLS pracuje přes různé technologie linkové vrstvy (např., SONET, Ethernet, ATM, atd ) MPLS není vrstvou ve smyslu OSI RM nemá jednotný formát pro převzetí dat z vyšší vrstvy shim pro SONET, VCI/VPI pro ATM, lambda pro OXC, atd. MPLS nezapadá přesně do referenčního modelu OSI 8
MPLS - základy Přepínání (forwarding) paketů je založeno na značkách (labels) (ne na informaci IP hlavičky) přepínání je založeno na koncepci label swapping podobné jako některé L2 přepínací mechanismy (dlci, vpi/vci) MPLS umožňuje mít několik značek (label stack) jakmile jsou pakety označeny už se znovu neklasifikují pro klasifikaci paketů mohou být použita různá pravidla destination-based unicast, TE, QoS, VPN 9
MPLS - základy Značky jsou přiřazeny na vstupu do MPLS domény vstupní klasifikace a přidělění značky - label imposition umístění značky v paketu/buňce záleží na režimu, ve kterém MPLS pracuje Label imposition používá CEF FIB => CEF je nutná implementační (nikoli principiální) podmínka pro MPLS 10
MPLS - základní kompomenty MPLS architektura je rozdělena do dvou oddělených komponent Přepínací komponenta (Forwarding Component) Řídící komponenta (Control Component) Poskytuje oddělení přepínacích a řídících funkcí, které mají odlišnou podstatu 11
MPLS - přepínací komponenta Přepínací komponenta často se také označuje jako data plane zodpovědná za přepínání paketů/buněk v závislosti na značkách (labelech) využívá label forwarding database Jednoduché přepínání značek Hrubá síla 12
MPLS - řídící komponenta Řídící komponenta často se také označuje jako control plane zodpovědná za tvorbu a udržování tabulek se značkami, kterými se řídí přepínací komponenta (label bindings) využívá FIB (CEF) přiřazení značek je distribuováno pomocí label distribution protokolu Tvorba informace, podle níž se rozhoduje Rozum 13
MPLS základy - řídící komponenta Každý MPLS uzel musí provozovat IGP směrovací protokol (nebo statické směrování) výměna informace o IP prefixech s ostatními MPLS uzly lze použít libovolný směrovací protokol doporučuje se link state (OSPF, ISIS) kvůli TE každý MPLS uzel realizuje řídící komponentu IP směrovače (nerealizuje přepínací komponentu) včetně ATM přepínačů v režimu cell-mode MPLS 14
MPLS základy - řídící komponenta Každý MPLS uzel musí používat label distribution protocol pro výměnu informací o přiřazení značek pro naplnění přepínací tabulky MPLS může mít více sousedů next-hop z IP přepínací tabulky se používá pro výběr značky do přepínací tabulkympls 15
MPLS - základní komponenty Control plane uzlu IP směrovací protokol IP směrovací tabulka MPLS Signalling Protocol Výměna směrovací informace s ostatními směrovači Výměna přiřazení značek mezi sousedními směrovači Vstupující označené (labelled) pakety Label Forwarding Table Data plane uzlu Vystupující označené (labelled) pakety 16
Label Switch Router Jakýkoli směrovač nebo přepínač, který se podílí na přiřazování a distribuci značek a umí přepínat pakety/buňky v závislosti na značkách Může mít rozličnou funkcionalitu podle toho, kde se v MPLS doméně nachází rozdíly mezi různými typy LSR jsou čistě architektonické, jedno zařízení může vystupovat v několika rolích 17
Edge-LSR LSR, který provádá vkládání a výběr značek na hranici MPLS domény (label imposition nebo label disposition) každý LSR, který má sousedy neprovozující MPLS je hraniční-lsr vyjímku tvoří ATM hraniční-lsr, který může mít MPLS sousedy, kteří nejsou ATM-LSR 18
MPLS hraniční-lsr Vstupní IP pakety Control plane uzlu IP směrovací protokol IP směrovací tabulka MPLS Signalling Protocol Výměna směrovací informace s ostatními směrovači Výměna přiřazení značek mezi sousedními směrovači Odstranění značky a následný layer 3 lookup Vstupující označené (labelled) pakety IP Forwarding Table Label Forwarding Table Data plane uzlu Vystupující IP pakety Vystupující označené (labelled) pakety 19
MPLS - princip funkce (shrnutí) 1a. Existující směrovací protokol (např. OSPF, IS-IS) vytvoří směrovací tabulky 1b. Label Distribution Protocol (LDP) vytvoří a distribuuje vazby <značka, IP prefix> 4. Výstupní hraniční LSR vyjme značku a doručí paket - label disposition 2. Vstupní hraniční LSR přijme paket, klasifikuje ho a označí značkou - label imposition 3. LSR přepíná pakety na základě značek - label swapping 20
MPLS přepínání - příklad In Tag Address Prefix Out I face Out Tag In Tag In I/F Address Prefix Out I face Out Tag In Tag In I/F Address Prefix Out I face Out Tag - 128.89 1 4 4 2 128.89 0 9 9 1 128.89 0 - - 171.69 1 5 8 3 128.89 0 10 10 1 128.89 0 -...... 5 2 171.69 1 7...... 1 0 128.89 1 2 0 9 128.89.25.4 Data 128.89.25.4 Data 128.89.25.4 Data 4 128.89.25.4 Data 1 LSR přepíná na základě značek 171.69 21
Formát značky Formát značky a jeho délka závisí na typu enkapsulace Každý paket může mít více značek koncept zásobníku značek s bit indikuje dno zásobníku MPLS LSR vždy přepíná paket podle značky, která je na vrcholu zásobníku 22
Formát značky 0 1 2 3 4 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 Label Exp S TTL 4 oktety Hodnota značky - 20 bitů Experimentální bity (QoS) - 3 bity S (bottom of stack) - 1 bit TTL (Time to live) - 8 bitů 23
Umístění značky Packet-over-SONET/SDH PPP Header Label Layer 3 Header Data Ethernet Ethernet Hdr Label Layer 3 Header Data Frame Relay PVC Frame Rly Hdr Label Layer 3 Header Data ATM PVC ATM Header Label Layer 3 Header Data (další buňky) ATM Header Data ATM label switching GFC VPI VCI PTI CLP HEC Label Layer 3 Header Data Label (další buňky) GFC VPI VCI PTI CLP HEC Data Label 24
Frame-mode MPLS Přiřazení značek a jejich distribuce 2000, Cisco Systems, Inc. 25
Frame-mode MPLS Označené pakety se vyměňují jako rámce na layer-2 Frame-relay, Ethernet, ATM PVC Shim záhlaví mezi layer-2 a layer-3 záhlavím MPLS je identifikován v layer-2 záhlaví pomocí Ethertype, PPP protocol field, frame-relay NLPID 26
Frame-mode - přiřazení značek Frame-mode LSR používá pro přiřazení značky independent control jakmile se FEC objeví v IP směrovací tabulce (resp. FIB) je mu okamžitě přiřazena značka a mapování je uloženo do LIB LSR může přepínat pakety na next-hop, který ještě nemá značku pro FEC 27
Frame-mode - distribuce značek Přiřazené značky jsou distribuovány sousedním uzlům pouze značka od souseda, který je zároveň next-hop se umístí do LFIB (Label Forwarding Information Base) všechny značky jsou v LIB (Label Information Base) Unsolicited downstream distribuce značek unsolicited - značky jsou distribuovány automaticky downstream - LSR přiřazuje značky, které upstream soused používá pro přepínání paketů na downstream FEC 28
Frame-mode - distribuce značek In Label FEC Out Label - 197.26.15.0/24 28 In Label FEC Out Label 28 197.26.15.0/24 41 In Label FEC Out Label 41 197.26.15.0/24 - London Brussels Paris 197.26.15.0/24 Use label 28 for destination 197.26.15.0/24 Use label 41 for destination 197.26.15.0/24 29
Distribuce značek - protokoly MPLS architektura nepředpokládá, že bude existovat pouze jeden protokol TDP/LDP IP destination unicast RSVP traffic engineering BGP MPLS VPN 30
Udržování značek - frame mode Frame-mode LSR používá liberal retention mode LSR udržuje pro danou FEC značky od všech sousedů větší nároky na paměť a počet značek (label space) rychlejší konvergence 31
Cell-mode MPLS Přiřazení značekajejich distribuce 2000, Cisco Systems, Inc. 32
Cell-mode MPLS ATM přepínače nemohou provádět MPLS label ani IP lookup Pakety jsou přenášeny rozložené do buňek na layer-2 VPI/VCI pár je použit jako značka ATM přepínače nemohou přímo přepínat IP pakety jsou vyžadovány virtuální okruhy pro výměnu režijní infomace mezi sousedními ATM LSR se používá speciální VC 33
MPLS - řídící VC ATM LSR MPLS Control Plane ATM LSR MPLS Control Plane ATM Edge LSR ATM Edge LSR MPLS Control Plane Switching Matrix Switching Matrix MPLS Control Plane ATM Data Plane ATM Data Plane ATM Control VC (0/32) - aal5snap 34
Cell-mode - distribuce značek In I/F In Tag Address Prefix Out I/F Out Tag 1 240/5 128.89 0 240/3 2 240/8 128.89 0 240/3 Paket Buňky Paket 5 5 8 8 5 8... 5... 1......... 8 2 33 33 3 3 3 0 3 3 3? 128.89 Unsolicited Downstream metoda pro cell-mode nefunguje! 35
Cell-mode - distribuce značek Cell-mode používá přidělování a distribuci značek Downstream on Demand a Ordered Control unikátní značka pro každého upstream souseda ordered control existuje jasná posloupnost 36
Cell-mode - distribuce značek In I/F In Tag Address Prefix Out I/F Out Tag 1 240/5 128.89 0 240/3 Paket Buňky Paket 5 5 8 8 5 8 2... 5 240/8... 1 128.89... 0... 240/7... 8 2 33 73 3 73 3 0 3 3 73 To už je lepší 128.89 Unikátní značka (VPI/VCI) pro každého upstream souseda 37
Cell-mode - distribuce značek Step #1: Label request for 146.27.15.1/32 sent to next-hop neighbour Label request for 146.27.15.1/32 Label request for 146.27.15.1/32 Label request for 146.27.15.1/32 146.27.15.1/32 London Paris Label mapping 146.27.15.1/32 1/244 Label mapping 146.27.15.1/32 1/239 Label mapping 146.27.15.1/32 1/241 Step #3: Label mapping is propagated back to the source and labels are assigned by intermediate ATM LSRs Step #2: Paris allocates label and responds with label mapping 38
Udržování značek - cell mode Cell-mode používá Conservative label retention mode udržují se pouze značky aktuálně používané k přepínání dosaženo tím, že explicitní dotaz jde jen na next-hop Dvě cesty do 146.27.52.1/32 Label request to next-hop neighbour only 146.27.52.1/32 39
Aplikace MPLS VRS 2001 2001, Cisco Systems, Inc. 40
Základní MPLS aplikace IP+ATM intergrace Efektivní enkapsulace MPLS VPN 41
IP+ATM integrace Multifunkční ATM páteř s vazbou na IP ATM, FR, pevné okruhy, MPLS, IP VPN ATM Dostupné platformy: BPX, MGX, Catalyst 8500 MSR, LS1010, směrovače, IOS & MPLS 42 FR IP
MPLS Traffic Engineering Vytváření traffic trunks Provoz směrován stejnou cestou se stejnou CoS Cesta je sestavena pomocí RSVP Routing with Resource Reservation (R 3 ) Rozšířené vlastnosti IGP (IETF drafty) propagují informace o zdrojích sítě Dynamické přesměrování v případě výpadku Pružné řízení politiky, rozdělování zátěže 43
Virtuální privátní sítě VRS 2001 2000, Cisco 2001, Systems, Cisco Systems, Inc. Inc. 44
Virtuální privátní sítě Infrastruktura poskytující privátních síťové služby založené na veřejné infrastruktuře Nejedná se o nový koncept Layer-1, layer-2, layer-3 Nutnost řešit překrývající se adresní prostory 45
Virtuální privátní sítě - členění Virtual Networks Virtual Private Networks Virtual Dialup Networks Virtual LANs Overlay VPN Peer-to-Peer VPN Layer-2 VPN Layer-3 VPN Access lists (Shared router) Split routing (Dedicated router) MPLS/VPN X.25 F/R ATM GRE IPSec 46
VPN - MPLS/VPN model Spojuje výhody překryvného a peer-to-peer modelu překryvný (bezpečnost a izolace jednotlivých zákazníků (VPN)) peer-to-peer (jednoduché směrování, přidávání atd.) PE směrovače drží informace pouze pro připojené VPN snižuje nároky na PE zvyšuje škálovatelnost MPLS je použito pro přepínání v páteři plný routing v páteři není potřeba 47
MPLS/VPN - model propojení 48
MPLS VPN - model a komponenty VPN_A 10.2.0.0 VPN_B 10.2.0.0 VPN_A 11.6.0.0 VPN_B 10.1.0.0 CE CE CE CE PE PE P P ibgp relace P routery (LSR) jsou v páteři MPLS sítě P P PE PE CE CE CE VPN_A 11.5.0.0 VPN_A 10.1.0.0 VPN_B 10.3.0.0 PE routery (Hraniční LSR) používají MPLS směrem do páteře a IP směrem k CE routerům P a PE routery sdílí společný (globální) IGP PE routery mezi sebou používají MP-iBGP 49
MPLS/VPN - model propojení VPN je množina lokalit sdílejících stejnou směrovací informaci Lokalita může patřit do více než jedné VPN Analogie Closed User Group (CUG) 50
VPN Routing & Forwarding (VRF) PE router obsluhují několik oddělených směrovacích tabulek Globální směrovací tabulka obsahuje všechny PE a P routes (možná BGP) naplňovaná IGP, který běží v páteři neobsahuje VPN směrovací informaci VRF (VPN routing & forwarding) směrovací tabulky příslušných VPN každé rozhraní může být přiřazeno pouze do jednoho VRF Velká změna proti původním implementacím 51
VPN Routing & Forwarding (VRF) VPN Routing Table VPN-A CE Paris PE VPN-A CE London VPN-B CE VRF for VPN-A VRF for VPN-B IGP a/nebo BGP Munich Global Routing Table Na VRF je možno pohlížet jako na virtuální router 52
MPLS/VPN - model propojení Privátní adresace a překrývající se adresní rozsahy nejsou problém v případě lokalit patřících do více lokalit je třeba dodržet určitá pravidla VPN A London Paris Munich 10.2.1.0/24 10.3.3.0/24 10.2.12.0/24 Adresní prostor pro VPN A a B musí být disjunktní 10.4.12.0/24 Milan Brussels Vienna VPN B 10.2.1.0/24 10.22.12.0/24 VPN C 53
Interakce mezi PE a CE Podporované směrovací protokoly mezi PE a CE RIP V2, OSPF, BGP-4 (externí), statické směrování, connected Oddělený směrovací kontext pro každé VRF oddělený kontext v jednom procesu (BGP-4, RIP V2) oddělené procesy (OSPF) CE CE Site-1 Site-2 EBGP,OSPF, RIPv2,Static PE 54
VRF - distribuce směrovací informace PE routery distribuují lokální VPN informace skrz MPLS/VPN páteř využití MP-iBGP a redistribuce z VRF přijímající PE importuje směrovací informaci do VRF P Router CE Router PE PE CE Router Site MP-iBGP Site 55
VRF - přenos směrovací informace pomocí MP-iBGP Přijímající PE router musí znát: odkud daný route pochází; do kterého (kterých) VRF má být route umístěn jak rozlišit mezi duplicitními adresami Unikátnost IPv4 prefixů je dosažena pomocí parametru Route Distinguisher RD (64 bit) identifikátor nový typ adresy VPN-V4 prefix - RD + IPv4 Prefix 56
Rozšířené komunity Místo vzniku a identifikace místa určení je dosažena pomocí BGP Extended Community Attribute BGP SOO (Site of Origin) používá se pro identifikaci lokality odkud daný route pochází Route Target určuje, kam má být daný route exportován 57
Co dělá vysílající PE? MP-iBGP BGP, OSPF, RIPv2 update for 149.27.2.0/24,NH=CE-1 CE-1 PE VPN-v4 update: RD:1:27:149.27.2.0/24, Next-hop=PE-1 SOO=Paris, RT=VPN-A, Label=(28) PE CE-2 Paris London PE router přeloží IPv4 route do VPN-V4 routu Přiřadí RD, SOO a RT podle konfigurace Přepíše Next-Hop atribut (na PE loopback) Přiřadí VPN label Pošle MP-iBGP update všem PE sousedům 58
VPN značka VPN značka identifikuje: Výstupní interface nebo VRF (tam, kde se musí udělat lookup, aggregate/connected) BGP značka je druhá značka ve stacku, není používána pro přenos paketu v MPLS páteři, ale pouze na PE 59
Co dělá přijímající PE? PE MP-iBGP VPN-v4 update: RD:1:27:149.27.2.0/24, Next-hop=PE-1 SOO=Paris, RT=VPN-A, Label=(28) PE ip vrf VPN-B route-target import VPN-A CE-1 VPN-v4 update is translated into IPv4 address and put into VRF VPN-A as RT=VPN-A and optionally advertised to CE-2 CE-2 Paris London Překládá VPN-V4 adresy do IPv4 adres Importuje routy do příslušných VRF v závislosti na RT 60
MPLS/VPN - doručení paketu Pro přenos paketu se používá stack dvou značek Značka na vrcholu určuje BGP Next-Hop (interior label) Druhá značká určuje výstupní rozhraní nebo VRF (exterior VPN label) 61
MPLS/VPN - doručení paketu In Label FEC Out Label - 197.26.15.1/32 - In Label FEC Out Label 41 197.26.15.1/32 POP In Label FEC Out Label - 197.26.15.1/32 41 PE-1 P router Use label implicit-null for destination 197.26.15.1/32 Use label 41 for destination 197.26.15.0/24 Paris 149.27.2.0/24 VPN-v4 update: RD:1:27:149.27.2.0/24, NH=197.26.15.1 SOO=Paris, RT=VPN-A, Label=(28) London 62
MPLS/VPN - příklady 63
Základní model VPN VPN A SITE-1 MPLS/VPN Backbone PE3 SITE-3 VPN A PE1 P1 VPN A SITE-2 PE2 SITE-1 VPN B SITE-2 SITE-4 VPN B VPN A 64
MPLS/VPN - centrální servery 195.12.2.0/24 VPN A VPN A VRF (Export RT=client-rt) (Import RT=server-rt) VPN A VRF 195.12.2.0/24 146.12.9.0/24 MP-iBGP Update RD:195.12.2.0/24, RT=client-rt 146.12.9.0/24 MP-iBGP Update RD:146.12.9.0/24, RT=server-rt Central Server Site VPN B 146.12.7.0/24 VPN B VRF 146.12.7.0/24 146.12.9.0/24 VPN B VRF (Export RT=client-rt) (Import RT=server-rt) MP-iBGP Update RD:146.12.7.0/24, RT=client-rt Server VRF (Export RT=server-rt) (Import RT=server-rt) (Import RT=client-rt) 65
MPLS/VPN - Internet konektivita Static Default Route VPN A 195.12.2.0/24 ip route vrf VPN_A 0.0.0.0 0.0.0.0 Internet-PE global ip route 195.12.2.0 255.255.255.0 serial 1/0 VPN A VRF 0.0.0.0 NH=Internet-PE Internet Routing Table MPLS/VPN Backbone Global Internet Access VPN B 146.12.9.0/24 VPN B VRF 0.0.0.0 NH=Internet PE ip route vrf VPN_B 0.0.0.0 0.0.0.0 Internet-PE global ip route 146.12.9.0 255.255.255.0 serial 1/1 66
2000, Cisco Systems, Inc. 67