VPLS, redundance přípojných linek na bázi MLAG Jiří Krejčíř, KRE414 Abstrakt: Architektura VPLS, použití technologie MLAG pro CISCO Klíčová slova: VPLS, MLAG 1 VPLS (Virtual Private LAN Service)...1 1.1 VPLS terminologie...2 1.2 PSEUDOWIRES...3 1.3 MAC address learning...4 1.4 Implementace na platformě CISCO...4 2 MLAG (Multi-chases Link AGgregation)...6 3 Závěr...8 4 Zdroje...8 1 VPLS (Virtual Private LAN Service) Trh pro datové a síťové služby se neustále vyvíjí, poptávka pro navyšování šířky pásma propustnosti roste exponenciálně, a tak koncoví uživatelé stále hledají sofistikované služby a funkce. Kde ethernet se zde vyvíjí již několik desítek let, tj. od roku 1980 od rychlosti 10Mbps přes sdílenou linku koaxiálního kabelu. Dnes již je možno dosáhnout rychlosti až 10Gbps pomocí optických vláknových sítí. Tyto sítě je dnes možno díky technologie MPLS & VPLS možno nabízet na regionální, národní a dokonce mezinárodní (WAN) úrovně připojení. Ethernet připojení je v současné době nejčastěji nabízen v těchto 3 formách: Ethernet Access to IP network: jedná se o připojení pro podnikové sítě na L3 síťové vrstvy, jako je IP backbone nebo L3 MPLS VPN. Tyto služby jsou často nabízeny jako Ethernet over SONET/SDH encapsulace. Point-to-Point Ethernet Private Line: služba jakou je Ethernet Virtual Private Line (EVPL) a Virtual Private Wire Service (VPWS) je užitá pro připojení dvou zákaznických lokací pomocí point-to-point Ethernetu. Transparent LAN Service (TLS): Virtuální ethernetový switch (switche) v sítí poskytovatele připojení, který poskytuje možnost připojení any-to-any mezi skupinou vzdálených podnikových poboček. Technologie TLS je převážně nasazovaná do prostředí (sítí), kde je potřeba oddělit jednotlivé služby pomocí 802.1q VLAN tagů. Virtual Private LAN Service (VPLS): je v současné době považován za jednu nejškálovatelou technologii zaměřenou na problematiku WAN sítí, službu multipoint Ethernet pro připojení několik od sebe vzdálených poboček. VPLS ve zkratce nabízí nové technické řešení pro nasazení TLS skrze Multiprotocol Label Switching (MPLS) core network. VPLS je blíže zdokumentováno v IETF RFC 4762 a prošlo schválením v lednu roku 2007 a jedná se v současnosti o jednu z nejnovější a nejpokročilejší IETF standardizovanou podporu s využitím Ethernetu. VPLS umí poskytnout sofistikovanou architekturu, přičemž vícemístný switchovaný Ethernet je poskytován pomocí zkonvergovaného MPLS networku. S využitím této nové hierarchické nabídky služeb umožňuje prosinec 2013 1/8
poskytovatelům navrhnout ethernetové služby s využitím flexibilního MPLS jádra a rozšířit o řadu nových funkcí a schopností, které nejsou obyčejně k dispozici v TLS nabídkách. VPLS spojuje jednotlivé vzdálené pobočky v jednu ethernetovou doménu pomocí MPLS networku. Tato ethernetová doména je vytvořena vybudováním point-to-point virtuálních okruhů neboli PW, přes MPLS Label Switched Path tunely (LSP). PWS může být nasazeno buď jako point-to-point spojení, jako příklad je možno uvést Virtual Private Wire Service (VPWS), nebo full mesh jako VPLS. V implementaci MPLS, fyzické či logické okruhy od koncových zákazníků terminují v PE (Provider Edge). Pro každého zákazníka sítě si router vytváří Virtual Service Instance (VSI) ke sledování, kde je jednolivá pobočka umístěna v rámci podsítě zákazníka. Kde můžeme vidět analogii směrování pomocí VRF v L3 MPLS VPN. PE router definuje dvě MPLS značky (labels )pro identifikaci provozu (toku dat) pro daného zákazníka, který následně odešle přes MPLS core network. Vnitřní značka (inner label) identifikuje jednotlivé PW spojené s instancí servisu daného zákazníka. PE router přidá druhou značku (label) do zásobníku pro identifikaci LSP, přes kterou následný PW prochází. MPLS přepíná packet v síti na základě vnější značky (outer label). Vzdálený PE router odstraní vnější značku a pomocí vnitřní značky následně přiřadí příchozí PW ke patřičnému připojenému okruhu pro přenos dat ke koncovému uživateli. Díky využití 2 značkového návěští je MPLS schopno poskytnout bezpečné oddělení jednolivých VLANů pro každého zákazníka a zároveň zajistit to, že MPLS core nemá vůbec žádné informace o jednotlivých sítích zákazníka. Podobně jsou na tom P routery, které nemají žádnou inforaci i sítích zákazníka a jsou tak omezeny na oblast PE routerů. PE routery obdrží zákazníkův datový provoz a vybudují směrovací tabulku pro každého zákazníka, kde označí packety na základě cílové destinace. Pomocí tohoto dual-stackingu umožňuje poskytovateli stavět sofistikované multiprotokolové služby, kde ke každému koncovému zákazníkovi stačí doručit mnohem jednodušší rozhraní Ethernet VLAN. 1.1 VPLS terminologie prosinec 2013 2/8
CE customer equipment PE provide edge upe user-facing Provider Edge (Provider Edge Customer-Located Equipment) npe network Provider Edge (Provider Edge Point of Presence) UNI User Network Interface CE-VLAN VLAN (tag) mezi CE a UNI PE-VLAN VLAN(tag) mezi Service Provider Network VEC Virtual Ethernet Circuit (logický okruh mezi 2 UNI), kde UNI je založena na Ethernet technologii, někdy též nazývaná EVC VSI Virtual Switch Instance 1.2 PSEUDOWIRES Ve snaze napodobit (simulovat) ethernetový switch s využitím MPLS core jde o sadu virtuálních okruhů, které jsou postaveny mezi routery PE. Zde následně tvoří dané trasy pro příchochozí ethernetové rámce. Tyto virtuální okruhy se nazývají pseudowires (PW). Konstrukce takového PW začíná konfigurací dvou jednosměrných LSP mezi PE routery na okraji sítě. Ve chvíli, kdy je tento LSP tunel sestaven je PS přiřazena dvojice LSP z čehož vyplývá, že násladný například TE (a jiné funkce MPLS)bude ovlivňovat daný PW. prosinec 2013 3/8
1.3 MAC address learning Ethernet přenáší datový provoz zákazníkům na základě MAC adres, v případě, že chceme emulovat ethernetový switch přes MPLS network, je potřeba aby PE router udržoval svou informační tabulku podle které bude směrovat daný provoz. FIB (Forwarding Information Base) pro MAC adresy, která zahrnuje zahrnuje mapování MAC adres pro příslušný PW. Jednotlivé FIB se udržují pro jednotlivou instanci VPLS. 1.4 Implementace na platformě CISCO Konfigurace PE1 l2 vfi PE1-VPLS-A manual vpn id 100 neighbor 2.2.2.2 encapsulation mpls neighbor 3.3.3.3 encapsulation mpls interface Loopback 0 ip address 1.1.1.1 255.255.255.255 interface FastEthernet0/0 switchport switchport mode dot1qtunnel switchport access vlan 100 interface vlan 100 no ip address xconnect vfi PE1-VPLS-A vlan 100 state active prosinec 2013 4/8
Konfigurace PE2 l2 vfi PE2-VPLS-A manual vpn id 100 neighbor 1.1.1.1 encapsulation mpls neighbor 3.3.3.3 encapsulation mpls interface Loopback 0 ip address 2.2.2.2 255.255.255.255 interface FastEthernet0/0 switchport switchport mode dot1qtunnel switchport access vlan 100 interface vlan 100 no ip address xconnect vfi PE2-VPLS-A vlan 100 state active Konfigurace PE3 l2 vfi PE3-VPLS-A manual vpn id 100 neighbor 1.1.1.1 encapsulation mpls neighbor 2.2.2.2 encapsulation mpls interface Loopback 0 ip address 3.3.3.3 255.255.255.255 interface FastEthernet0/1 switchport switchport mode dot1qtunnel switchport access vlan 100 prosinec 2013 5/8
interface vlan 100 no ip address xconnect vfi PE3-VPLS-A. vlan 100 state active 2 MLAG (Multi-chases Link AGgregation) Všichni síťoví výrobci dnes podporují multi-chassis link aggregation, jež se zakládá na IEEE 802.3AX-2008 (LAG standart). Pomocí LAG je možno spojit dvě a více fyzických linek do jedné logické linky mezi switchswitch nebo server-switch. V případě MLAG u výrobce CISCO se jedná o protokol Vpc (Virtual PortChannel). V současnoti tento výrobce má podporu této technologie implementovanou v Cisco NEXUS 5000 a Cisco NEXUS 2000, kde vpc poskytuje takzvanyý MultiPathing, který umožní redundanci zvětšením propustnosti, paralelní linky mezi koncovými body a případný load-balancing. Ukázka konfigurace pro první switch: N5k-1(config)# int mgmt 0 N5k-1(config-if)# ip address 172.25.182.51/24 N5k-1(config-if)# vrf context management N5k-1(config-vrf)# ip route 0.0.0.0/0 172.25.182.1 N5k-1(config)# feature vpc N5k-1(config)# feature lacp prosinec 2013 6/8
N5k-1(config)#vlan 101 N5k-1(config)# vpc domain 1 N5k-1(config-vpc-domain)# role priority 1000 N5k-1(config-vpc-domain)# peer-keepalive destination 172.25.182.52 N5k-1(config-vpc-domain)# int ethernet 1/17-18 N5k-1(config-if-range)# channel-group 1 mode active N5k-1(config-if-range)# int po1 N5k-1(config-if)# vpc peer-link N5k-1(config-if)# switchport mode trunk N5k-1(config-if)# switchport trunk allowed vlan 1,101 N5k-1(config)# fex 100 N5k-1(config-fex)# pinning max-links 1 N5k-1(config-fex)# int e1/7-8 N5k-1(config-if-range)# channel-group 100 N5k-1(config-if-range)# int po100 N5k-1(config-if)# switchport mode fex-fabric N5k-1(config-if)# fex associate 100 N5k-1(config-if)# int ethernet 100/1/1 N5k-1(config-if)# channel-group 10 N5k-1(config-if)# int po10 N5k-1(config-if)# vpc 10 N5k-1(config-if)# switchport access vlan 101 Ukázka konfigurace druhého switche: N5k-2(config)# int mgmt 0 N5k-2(config-if)# ip address 172.25.182.52/24 N5k-2(config-if)# vrf context management N5k-2(config-vrf)# ip route 0.0.0.0/0 172.25.182.1 N5k-2(config)# feature vpc N5k-2(config)# feature lacp N5k-2(config)#vlan 101 N5k-2(config)# vpc domain 1 prosinec 2013 7/8
N5k-2(config-vpc-domain)# peer-keepalive destination 172.25.182.51 N5k-2(config-vpc-domain)# int ethernet 1/17-18 N5k-2(config-if-range)# channel-group 1 mode active N5k-2(config-if-range)# int po1 N5k-2(config-if)# vpc peer-link N5k-2(config-if)# switchport mode trunk N5k-2(config-if)# switchport trunk allowed vlan 1,101 N5k-2(config)# fex 100 N5k-2(config-fex)# pinning max-links 1 N5k-2(config-fex)# int e1/9-10 N5k-2(config-if-range)# channel-group 100 N5k-2(config-if-range)# int po100 N5k-2(config-if)# switchport mode fex-fabric N5k-2(config-if)# fex associate 100 N5k-2(config-if)# int ethernet 100/1/1 N5k-2(config-if)# channel-group 10 N5k-2(config-if)# int po10 N5k-2(config-if)# vpc 10 N5k-2(config-if)# switchport access vlan 101 3 Závěr V tomto projektu jsem mel možnost se seznánamit s technologií VPLS, která pro své fungování využívá MPLS jako jádro. Celkově tato práce měla přínost v poznání konfiguračních příkazů a obecný přehled této v současné době hodně využívané technologii VPLS pro zákazníky s pobočkami po celém světě a dále případnou redundaci pomocí MLAG. Největší časová náročnost spočívala v hledání materiálů a následného přeložení, jelikož dokumentace je převážně v anglickém jazyce. 4 Zdroje http://www.cisco.com/en/us/prod/collateral/switches/ps9441/ps9670/configuration_guide_c07-543563.html http://tools.ietf.org/html/rfc4762 http://www.cisco.com/en/us/prod/collateral/switches/ps9441/ps9670/configuration_guide_c07-543563.html http://www.cisco.com/en/us/docs/switches/lan/catalyst6500/ios/12.2sy/configuration/guide/vpls.pdf prosinec 2013 8/8