MPLS Inter-AS L3 VPN Option A: часть 1

Всем привет! Ну что, ребят, готовы к новым совершениям, к познаванию нового? Ну что ж, запись уже стоит отлично.

Ну что, по сути мы такие самые базы MPLS уже сами разобрали, посмотрели, как меточки передаются, как меточки бегают на датаплейне, какие нюансы возникают при мультихоминге, при различных протоколах. Да, посмотрели, как с SPF можно, скажем так, варьировать пути трафика, поднимая или не поднимая, скажем, шамлинки, меняя SPF домен ID. Посмотрели, как с BGP, какие проблемы могут быть, если вы используете одну автономку, что порождает требования провайдера использовать ISV-Write, какие, собственно, проблемки у нас возникают на уровне датаплейна и как с ними провайдер может бороться. Посмотрели, что у нас происходит с EGRP. Ну, с EGRP, по сути, там то же самое, что с BGP, более-менее плюс-минус, там тоже, как вы знаете, ну, как я рассказывал, с Site of Origin и различные там ERP атрибуты.

Сегодня мы с вами поговорим о... ну, начнем разговаривать. Так, у нас сегодня, что, какой день? Вторник. Сегодня мы с вами начнем разговаривать об построении сквозного MPLS VPN между различными автономными системами. В частности, нас будут иницировать, на самом деле, три опции. Это опция A, B и C. Опция A, с которой мы сегодня начнем, она самая простейшая. По факту, это даже не интер-АЭС. Ну, сейчас я вам покажу. Самая интересная опция, на мой взгляд, это, конечно, опция C. Опция D мы с вами, наверное, с точки зрения конфигурации рассматривать не будем, поскольку это просто микс, как бы, опции A и опции B, не более того. Итак, давайте тогда с вами... давайте мы с вами начнем. Так, я сейчас зашарю мой скрин. Окей. Так.

Идем с вами на cisco.com, на mainpage. Так, сейчас секундочку поставлю. Ну, где-то чат так не включить. Включить. Сейчас, секунду. Потерялся. Сейчас. Чат. Я просто люблю чат на втором мониторе, чтобы я видел сразу ваши вопросы. Итак, если искать, да, настройку интер-АЭСа с точки зрения... С точки зрения документации, да, находится в разделе All Product Supports, Networking Software. Далее выбираете нужный вам релист, например, там, 15.4s. После этого Configuration Guides.

Здесь ищем... Multi Protocol Label Switching Configuration Guide Library. Эта ссылочка у нас поведет на некий набор, скажем так, документов, который так или иначе касается MPLS. В частности, видите, здесь есть, по сути, все, что вам нужно. Не смущайтесь, да, то, что там last updated, то, 2012 года. Здесь, в принципе, описывается в основном самую basics. Идем в Layer 3 VPN Configuration Guide. Ну и здесь, я думаю, что вы найдете более-менее все, что вас интересует. Что же касается интер-АЭС опции ARM, давайте мы с вами ее рассмотрим на примере сразу.

Итак, дано, что у нас есть некий Customer CE, он будет красненький. Customer, у него есть сайт А, и у него есть сайт Б. Ну и сайт А и сайт Б. Каждый из этих CE, да, мы будем рассматривать простейший случай, когда каждый CE подключен только к дому PE, поскольку Multihome мы с вами уже рассмотрели. подключен к PE1 и CEB подключен к PE2. Далее они подключены к каким-то своим P-мортизаторам, например, к мортизаторам P1 и P2. Здесь мортизаторы P3 и P4.

Далее P-мортизаторы подключены к мортизаторам ASBR. То есть это пограничные, да, то есть это, по сути, бордеры провайдеров. То есть это те места, где провайдеры начинают пириться между собой. ASBR А, ASBR Б. Окей. То есть вот такая топология, такой сценарий. И наша задачка сделать так, чтобы Customer A мог ходить на свой сайт Б. на свой сайт Б. При этом, при этом, вот эта вот левая часть, левая часть, это у нас будет синий сервис провайдер. А правый будет зеленый сервис провайдер. Будет зеленый сервис провайдер. Соответственно, внутри каждого из сервис провайдера крутятся свои IGP протоколы. Например,

пусть для простоты там и там, и там крутится OSPF. Здесь у нас крутится OSPF. И в левой части также крутится OSPF. Соответственно, синенький OSPF ответственный за то, чтобы была связность между вебеками, то есть синего сервис провайдера. Зеленый крутится только для того, чтобы были доступны вебеки зеленого сервис провайдера. Окей? Соответственно, внутри синего сервис провайдера у нас запускается какой-то БГП протокол. Пусть это будет БГП автономная система номер 1. И справа БГП автономная система номер 2. БГП автономная система номер 2. То есть, суть в том, что

БГП работает только между, ну, только в рамках своей автономной системы, да, не между сервис провайдера. Окей. Так вот, ребят, что такое опция А? Что такое опция А? Тут все очень просто, тут все очень просто, на самом деле, и до нельзя, как бы просто примитивно. Смотрите, маршрутизатор ПЕ, ПЕ1, помещает вот этот интерфейс в VRF. То есть, это будет VRF А. Далее, далее. Он берет интерфейс, который смотрит в сторону АСБРа провайдера, в сторону АСБРа второго провайдера, где находится офис заказчика, и помещает этот интерфейс также в красную, в ту же самую VRF. VRF А. То есть, по сути, по сути, вот этот пограничный маршрутизатор

АСБР А предстает для, предстает в этом случае просто в роли дополнительного ПЕ-устройства, некий ПЕА. Далее, между ПЕ1 и ПЕА поднимается. Ребята, какая сессия между ними поднимается? В каком адресном семействе? Да, правильно. В адресном семействе VPN V4. Кастомер Б делает все то же самое. Он помещает офис заказчика в некую VRF. Это может быть, да, то есть, может быть, например, VRF А. В. Здесь VRF А. И, соответственно, поднимает VPN сессию между ПЕ и АСБРом. И АСБРом.

К чему приводит, к чему приводит такая конфигурация? Смотрите, с точки зрения синего сервис провайдера у него что получается? Вот у него есть ПЕ1, у него есть АСБРА. АСБРА. И как будто и к этим двум маршетизаторам подключены формально кастомеры, вот прям кастомер. То есть, получается, здесь как бы СЕ1 и здесь получается СЕБ. Я вот так, знаете, в такие кавычки возьму, поскольку мы считаем, мы считаем интерфейс, который смотрит в сторону второго сервис провайдера, как бы тоже заказчиком. То есть, мы просто говорим, ты являешься частью этого VPN. И, соответственно, между ними VPN V4 сессия. То есть, это обычный L3 VPN. То есть, это обычный L3 VPN. Тесты, но со стороны зеленого

маршетизатора все то же самое. у нас появляется ASBRB, далее, PE2. И он считает заказчика абсолютно точно так же. То есть, у него есть реальный офис и есть интерфейс в сторону провайдера. с этим вот так. То есть, провайдер, то есть, это опция А, она еще иногда называется VRF back-to-back. То есть, суть в том, что провайдеры, на самом деле, как вы видите, они реально друг с другом не пирятся. они просто берут этот внутренний интерфейс, помещают в VRF и организовывают обычный L3 VPN между такими двумя псевдо-PM маршетизаторами. Что, собственно говоря, происходит, давайте подумаем, что происходит с точки зрения что происходит

с точки зрения control plane, что происходит с точки зрения data plane. То есть, как как у нас бегает трафик? Как у нас бегает трафик? Давайте так, вот это у нас будет первый шаг, вот это второй шаг, вот это третий, четвертый, пятый, шестой, седьмой, восьмой, девятый. Окей. Окей, ребят, на первом шаге, на первом шаге у нас какой пакет бежит? С меточкой или без, или это просто IP в 4 пакет? Между CE и PE. да, правильно. То есть, у нас появля,

то есть, у нас есть некие данные, да, то есть, некие данные, которые мы реально передаем. Они там упакованы, да, например, скажем, в TCP, они упакованы в IP, и он упакован, скажем, там, в Ethernet. Окей. На втором шаге, ребят, на втором шаге что у нас добавляется? Сколько меточек у нас будет на шаге 2? Искент, правильно, две метки. Ребят, какие метки? То есть, у нас появляется Ethernet, да, ну, то есть, ну, да, есть. Далее, метка транспортная и метка VPN-овская. Вот эта транспортная метка, вот эта транспортная метка, она нам нужна для чего? чтобы докуда добраться?

Да, да, то есть, до выходного PE, да, то есть, в нашем случае, это мужетизатор SBR. И она, ребят, она каким протоколом порождена? Правильно, протоколом LDP. вторая метка, вторая метка, она меняется на путь исследования пакета или нет? Все верно. то есть, это VPN-овская метка. Ребят, каким протоколом она порождена была? Откуда она взялась вообще? Ну, вероевшим она не может быть порождена. Какой протокол у нас ответственнее за обмен маршрутной информации между PE-морштизаторами?

И BGP. То есть, у нас два маршрутизатора связаны по BGP. Соответственно, BGP обмениваются вот этими вероевными префиксами. И просто BGP, как я напоминаю, для каждого префикса генерирует свою VPN-овскую метку. То есть, это нужно для чего? Для чего нам на самом деле вот эта VPN-овская метка нужна? То есть, когда пакет на четвертом шаге уже, то есть, когда пакет на четвертом шаге дойдет до ASBR, до ASBR, пакет будет иметь вид Ethernet, далее будет VPN-овская метка, и далее будет там IP. То есть, маршрутизатор ASBR на четвертом шаге видит, что к нему пришел пакет с меткой V. он видит, что он сгенерировал эту метку посредством BGP протокола. Соответственно, эта метка проассоциирована

с таким, с VRAF-ой A и с выходным интерфейсом. Соответственно, ребят, как вы думаете, вот на пятом шаге, на пятом шаге какой пакет передается? С меткой или без? И если с меткой, то с какой? Да, без метки, конечно. То есть, здесь пакет приобретает ту же форму, что на шаге один абсолютно. Ну, то есть, у нас есть Ethernet, IP. Далее, на шестом шаге что у нас получается? Ребят, шестой шаг – это повтор какого шага?

То же самое, что… Ну, только не первого, а второго. Второго. Ну, там… То есть, по сути, по сути, ASBR получает… То есть, мы возвращаемся в начало, как бы, нашей топологии, будет то же самое. То есть, опять же, мы здесь генерируем две меточки, то есть, у нас получается Ethernet. Далее, транспортная метка, VPN-овская метка, и дальше уже IP. Соответственно, транспортная метка нужна нам для чего? Чтобы дойти до марштизатора PE2, и VPN-овская метка, это метка протокола БГП, которая была порождена самим марштизатором PE2, и нужна ему только для того, чтобы отправить пакет на уровне дата плейна непосредственно в сторону нужного CE-устройства.

Здесь вопросы есть, или осталось, что-то непонятное? Так, Искену осталось непонятен четвертый, пятый шаг. Сейчас Искен вернемся. Виктор, можно немного подробнее про опции? Что это вообще такое? Какие-то поля в БГП? Виктор, нет, на самом деле, это это не дополнительные поля, это просто методы организации как бы сквозного VPN-а. То есть, настраивая оборудование по-разному, то есть, настраивая на марштизаторах скажем, BGP-сессии по-разному, то есть, настраивая где-то VPN-V4, где-то IP-V4,

мы можем в итоге получить, то есть, суть в том, что мы можем получить сквозной VPN просто несколькими способами. это просто некие методы, методы, первый, второй, третий, они просто, к ним прижилась терминология как опции A, B, C. Окей. Искену непонятен пятый шаг без метки. Пятый шаг без метки. Искен, смотри, у нас на ASBR, на ASBR, интерфейс помещен в VRF. То есть, для ASBR, для ASBR, у него есть интерфейс, который, то есть, по сути, он выполняет в этом случае роль PE-маршрутизатора. на другой стороне к нему подключен CE. То есть, он ничего не знает

о том, что это реально сервис-провайдер. То есть, он считает, что сюда подключен непосредственно сайт заказчика. И он просто обеспечивает, он просто помещает префиксы, которые принимает от этого CE, там, по любому протоколу, помещает его в BGP-таблицу. То есть, на самом деле, пятый шаг абсолютно эквивалентен первому. Пятому и, соответственно, девятому. Соответственно, девятому. На что бы мне хотелось бы обратить здесь ваше внимание? Здесь используется, скажем так, три независимых LSP, то есть, три независимых пути меток. Первый путь меток, он используется

на мастеризаторе PE1, чтобы достичь ASBR1, то есть, LSP1. Далее. Второй путь у нас он используется вот здесь. По факту, по факту, здесь нет меток. То есть, здесь просто Native IPv4. И третий LSP используется вот здесь. LSP3. То есть, если вы запустите трассу с CE на CE, вы увидите, что у вас VPN-овская метка первая сохраняется непрерывно только на первом сайте. Потом вообще все метки теряются. и дальше появляется какая-то новая VPN-овская метка уже на втором сайте. справа.

Давайте с вами рассмотрим данную задачку. в нашей топологии. В нашей топологии я буду использовать мустизаторы R11 и R12 как конечных заказчиков. Как конечных заказчиков. Вот они. Здесь будет пиринг, ну, например, по BGP. По BGP. соответственно, первый провайдер у меня будет вот это. Вот, у меня будут мустизаторы вот эти вот. Второй BGP у меня будет вот здесь. То есть, вот такая,

вот с такой топологией мы будем жить. И наша задача будет сделать так, чтобы R11 смог запинговать мустизатор R12.