Informazioni sullo pseudonimo MPLS L2VPN

Introduzione

In questo documento viene descritto il protocollo MPLS (Multiprotocol Label Switching) basato sugli pseudowire VPN (Virtual Private Network) di layer 2 (L2VPN).

Premesse

La segnalazione dello pseudofilo e l'analisi dei pacchetti in Cisco IOS®, Cisco IOS® XE per illustrare il comportamento sono descritte.

Panoramica di L2VPN

Il trasporto Layer 2 (L2) su MPLS e IP esiste già per circuiti di collegamento simili, come Ethernet-Ethernet, PPP-to-PPP, High-Level Data Link Control (HDLC), e così via

Le VPN da sito a sito utilizzano i servizi L2 su MPLS per creare una topologia di connessioni point-to-point che connettono i siti terminali in una VPN. Queste VPN da sito a sito forniscono un'alternativa alle reti private fornite tramite linee dedicate in leasing o tramite circuiti virtuali L2 che utilizzano ATM o Frame Relay. Il servizio fornito con queste L2VPN è noto come VPWS (Virtual Private Wire Service).

• Le VPN da sito a sito sono basate sulla tecnologia Pseudowire (PW).
• I PW forniscono un formato intermedio comune per il trasporto di più tipi di servizi di rete su una rete PSN (Packet Switched Network) - una rete che inoltra pacchetti - IPv4, IPv6, MPLS, Ethernet.
• La tecnologia PW offre trasporto Like-to-Like e anche Interworking (IW).
• I frame ricevuti sul router PE sull'adattatore CA vengono incapsulati e inviati tramite il PSW al router PE remoto. 
• Il router PE in uscita riceve il pacchetto dal PSW e rimuove il relativo incapsulamento.
• L'uscita PE estrae e inoltra il frame all'alimentazione CA. 

Perché L2VPN è necessario

• Consente agli SP di disporre di un'unica infrastruttura per i servizi IP e legacy.
• Migrazione dei servizi ATM e Frame Relay legacy al core MPLS/IP senza interruzione ai servizi esistenti.
• Il provisioning dei nuovi servizi L2VPN è incrementale (non da zero) nel core MPLS/IP esistente.
• Risparmio sui costi in conto capitale e operativi grazie alla convergenza della rete IP/MPLS.
• SP fornisce nuovi servizi point-2-point o point-2-multipoint. È possibile disporre di un proprio routing, criteri QoS, meccanismi di sicurezza e così via.

Modelli VPN MPLS L2

Opzioni tecnologiche

1. Servizi VPWS

· Point-to-point · Denominato Pseudowires (PW)

2. Servizi VPLS

Multipoint

3. EVPN

· La famiglia xEVPN introduce soluzioni di nuova generazione per i servizi Ethernet

a. Control-plane BGP per la distribuzione e l'apprendimento dei segmenti Ethernet e MAC sul core MPLS

b. Stessi principi ed esperienza operativa delle VPN IP

· Nessun utilizzo di pseudofili

a. Utilizza tunnel MP2P per unicast

b. Distribuzione di frame a più destinazioni tramite replica in entrata (tramite tunnel MP2P) o LSM

· Soluzioni multi-vendor con standardizzazione IETF

4. PBB-EVPN

· Combina gli strumenti di scalabilità di PBB (alias MAC-in-MAC) con l'apprendimento MAC basato su BGP da EVPN

EVPN e Provider Backbone Bridging EVPN (PBB-EVPN) sono soluzioni L2VPN di nuova generazione basate sul control plane BGP per la distribuzione/apprendimento MAC sul core, progettate per soddisfare questi requisiti: 

• Ridondanza per flusso e bilanciamento del carico
• Provisioning e funzionamento semplificati
• Inoltro ottimale
• Convergenza rapida
• Scalabilità degli indirizzi MAC

VPWS - Pseudo modello di riferimento per fili

1. PW è una connessione tra due dispositivi PE che connette due CA, che trasportano frame L2.
2. Any Transport Over MPLS (AToM) è l'implementazione di VPWS per le reti IP/MPLS da parte di Cisco.
3. Il circuito di collegamento (CA) è il circuito fisico o virtuale che collega un CE a un PE, che può essere ATM, Frame Relay, HDLC, PPP e così via.
4. L'apparecchiatura You Edge (CE) percepisce un PW come un collegamento o un circuito non condiviso.

Layer 2 VPN Enabler: lo pseudofilo

Le VPN da sito a sito sono basate sulla tecnologia Pseudowire (PW).

• I PW forniscono un formato intermedio comune per il trasporto di più tipi di servizi di rete su una rete PSN (Packet Switched Network) - una rete che inoltra pacchetti - IPv4, IPv6, MPLS, Ethernet.
• La tecnologia PW offre trasporto Like-to-Like e anche Interworking (IW).
• I frame ricevuti sul router PE sull'adattatore CA vengono incapsulati e inviati tramite il PSW al router PE remoto. 
• Il router PE in uscita riceve il pacchetto dallo Pseudowire e ne rimuove l'incapsulamento. 
• L'uscita PE estrae e inoltra il frame all'alimentazione CA.

Architettura AToM

• Nella rete AToM, tutti i router nell'SP eseguono MPLS e il router PE dispongono di un CA verso il router CE. 
• Nel caso di AToM, il tunnel PSN è nient'altro che un LSP di percorso a commutazione di etichetta tra i due router PE.
• Di conseguenza, l'etichetta associata a tale provider di servizi di traduzione viene chiamata etichetta tunnel nel contesto di AToM.
• In primo luogo, il LDP segnala hop dopo hop tra il PE. 
• In secondo luogo, l'LSP può essere un tunnel MPLS TE segnalato dall'RSVP con le estensioni necessarie per TE.
• Con questa etichetta del tunnel, è possibile identificare a quale tunnel PSN appartiene il frame trasportato.
• Questa etichetta del tunnel consente inoltre di ottenere i frame dal sistema PE locale o in entrata al sistema PE remoto o in uscita attraverso la backbone MPLS.
• Per eseguire il multiplexing di più Pseudowire su un tunnel PSN, il router PE utilizza un'altra etichetta per identificare lo Pseudowire.
• Questa etichetta viene chiamata etichetta VC o PW in quanto identifica la VC o PW in cui viene eseguito il multiplexing del frame.

Trasporto L2 su MPLS

VPWS Traffic Encapsulation

1. Viene usato un incapsulamento a tre livelli.
2. Pacchetti scambiati tra PE utilizzando l'etichetta Tunnel.
3. L'etichetta VC identifica PW.
4. Etichetta VC segnalata tra PE.
5. Optional Control Word (CW) supporta i bit di controllo di layer 2 e consente la sequenza.

Segnalazione Pseudowire

• Una sessione TLDP tra il router PE invia un segnale allo pseudofilo.
• Una sessione T-LDP tra i router PE è quella di annunciare l'etichetta VC associata al PSW.
• Questa etichetta viene annunciata in un messaggio di mappatura delle etichette che utilizza la modalità di annuncio delle etichette non sollecitate a valle.
• Etichetta VC annunciata dal PE in uscita per il PE in entrata per l'AC durante la sessione TLDP.  # Etichetta VC di TLDP
• Etichetta del tunnel annunciata per il router PE in uscita sul router PE in entrata da LDP. # Etichetta del tunnel da LDP

Notare che in uscita PE pubblicizza l'etichetta 3, che indica che viene utilizzato PHP.

Il messaggio di mapping delle etichette annunciato nella sessione TLDP contiene alcuni TLV:

TLV FEC ID Pseudowire: identifica lo Pseudowire a cui è associata l'etichetta

Label TLV <- LDP utilizza per pubblicizzare l'etichetta MPLS.

Il TLV FEC dell'ID PW contiene:

1. C-bit: se impostato su 1 significa che la parola di controllo è presente.

2. Tipo PW: rappresenta il tipo di pseudofilo.

3. ID gruppo: identifica il gruppo dello pseudonimo. Stesso ID di gruppo a tutti gli ACL sulla stessa interfaccia. Il PE può utilizzare l'ID gruppo per ritirare tutte le etichette VC associate all'ID gruppo in un messaggio di ritiro dell'etichetta LDP. Questo valore è riferito al ritiro dell'etichetta con caratteri jolly.

4. ID PW: ID PW è ID VC

5. Parametri di interfaccia: identifica l'MTU dell'interfaccia verso il router CE, ID VLAN richiesto.

Se il parametro MTU non corrisponde, il PW non emette alcun segnale. Poiché l'LSP è unidirezionale, un PW può essere formato solo se esiste un altro LSP nella direzione opposta tra la stessa coppia di router PE.

Il valore FEC TLV dell'ID PW viene utilizzato per identificare e associare i due LSP dell'opp tra una coppia di router PE,

Parola di controllo

La parola di controllo ha le seguenti cinque funzioni: 

1. Pad pacchetti piccoli
2. Bit di controllo Carry dell'intestazione layer 2 del protocollo trasportato
3. Mantenere la sequenza dei fotogrammi trasportati 
4. Facilitare il corretto bilanciamento del carico del pacchetto AToM nella rete backbone MPLS
5. Facilitare la frammentazione e il riassemblaggio

1. Pad Small packets: se il pacchetto AToM non raggiunge questa lunghezza minima, il frame viene riempito in modo da raggiungere la lunghezza minima sul collegamento Ethernet.

Poiché l'intestazione MPLS non ha una lunghezza che indica la lunghezza dei frame, la parola di controllo contiene un campo di lunghezza che indica la lunghezza del frame. 

Se il pacchetto AToM ricevuto nel router PE di uscita ha una parola di controllo di lunghezza diversa da 0, il router sa che è stata aggiunta la spaziatura interna e può rimuoverla correttamente prima di inoltrare i frame. 

2. Mantenuta la sequenza dei frame trasportati: Con questo numero di sequenza il ricevitore può rilevare i pacchetti:

Il primo pacchetto inviato al PW ha un numero di sequenza di 1 e aumenta di 1 per ciascun pacchetto successivo fino a raggiungere 65535

Se il pacchetto AToM non è più disponibile in sequenza, non sarà possibile riordinarlo.

Il sequenziamento è disattivato per impostazione predefinita.

3. Bilanciamento del carico:

I router eseguono l'ispezione del payload MPLS. In base a tale router decide come bloccare il traffico.

Il router analizza il primo nibble, se il primo nibble è = 4, il relativo pacchetto IPV4. La parola di controllo generica inizia con un nibble con valore 0 e la parola di controllo utilizzata per i dati OAM inizia con valore 1.

4. Facilitare la frammentazione e il riassemblaggio:

Può essere utilizzato per indicare la frammentazione del payload

00 = non frammentato

01 = 1° frammento

10 = ultimo frammento

11 = frammento intermedio

Elaborazione piano di inoltro

Quando il PE in entrata ha ricevuto il frame dal CE, inoltra il frame attraverso la backbone MPLS all'LSR in uscita con due etichette:

1. Etichetta tunnel (etichetta superiore) - Indica a tutti i record LSR e Esci da PE dove è necessario inoltrare il frame.

2. Etichetta VC (etichetta inferiore) - Ha identificato l'AC in uscita sulla PE in uscita.

In una rete AToM, ogni coppia di router PE deve eseguire una sessione LDP di destinazione tra di essi.

Il grafico dei segnali della sessione TLDP mostra lo pseudofilo e soprattutto pubblicizza l'etichetta VC. 

Funzionamento

Passaggio 1. Il router PE in ingresso inserisce innanzitutto l'etichetta VC nel frame. E poi spinge l'etichetta del tunnel.

Passaggio 2. L'etichetta del tunnel è l'etichetta associata al prefisso IGP che identifica il file PE remoto. Il prefisso è un bit specificato nella configurazione AToM.

Passaggio 3. Il pacchetto MPLS viene quindi inoltrato in base all'etichetta del tunnel, hop dopo hop fino a quando il pacchetto non raggiunge l'uscita PE2.

Passaggio 4. Quando il pacchetto raggiunge l'uscita PE, l'etichetta del tunnel è già stata rimossa. Ciò è dovuto al comportamento PHPbehavior tra l'ultimo router IP e il server PE in uscita.

Passaggio 5. Il PE in uscita cerca quindi l'etichetta VC nella striscia base delle informazioni di inoltro dell'etichetta VC e inoltra il fotogramma nell'alimentatore CA corretto.

Segnalazione dello stato di PW

Dopo che i router PE hanno impostato lo pseudowire, il sistema PE può segnalare lo stato dello pseudowire al sistema PE remoto. Esistono due metodi:

1. Ritiro dell'etichetta (più vecchio di 2)

• Un router PE può ritirare il mapping di etichette inviando il messaggio di ritiro dell'etichetta o inviando i messaggi di rilascio del mapping di etichette.

• Se l'alimentazione CA non è attiva, il router PE segnala questo problema inviando un messaggio Label Withdraw al computer remoto.
• Se un'interfaccia fisica non funziona, l'etichetta ritira il messaggio che contiene l'ID gruppo per segnalare che l'alimentazione CA dell'interfaccia non è attiva.

2. TLV stato PW

• Il TLV di stato PW utilizza il TLV di mapping delle etichette LDP quando viene segnalato lo pseudonimo. Ciò indica che il router PE desidera utilizzare il secondo metodo.
• Se l'altro router PE non supporta il metodo TLV di stato PW, entrambi i router PE torneranno al metodo di ritiro dell'etichetta.
• Dopo la selezione dello pseudowire, il TLV di stato PW viene trasmesso in un messaggio di notifica LDP. Il TLV di stato PW contiene il campo del codice di stato a 32 bit.

Configurazione AToM di base

Passaggio 1. Selezionate il tipo di incapsulamento.

Passaggio 2. Abilitare la specifica del comando connect sull'interfaccia di CE.

mpls xconnect peer-router-id vcid encapsulation

 Peer-router-id: ID router LDP per il router PE remoto.

 VCID: identificatore assegnato al PW.

Passaggio 3. Non appena viene configurata la connessione xconnect in entrambi i router PE, viene stabilita la sessione LDP di destinazione tra il router PE.

Analisi Pacchetti Pseudowire

Eseguire un ping tra Pseudowire e PE in ingresso.

Pacchetti MPLS Echo Request and Reply inviati su Pseudowire point-to-point.

Topologia

     

Ping da PE1 a PE2:

R1#ping mpls pseudowire 10.6.6.6 100

Sending 5, 100-byte MPLS Echos to 10.6.6.6,

     timeout is 2 seconds, send interval is 0 msec:

Type escape sequence to abort.

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 48/61/80 ms

Osservazioni formulate:

1. Richiesta ECHO: 

Carries 2 Labels - VPN e trasporto

Inviato come pacchetto etichettato con ETICHETTA PW. È possibile commutare l'etichetta (con Etichetta di trasporto).

ETICHETTE : 2
SRC IP : IP DI LOOPBACK (UTILIZZATO NELLE VICINANZE LDP DI DESTINAZIONE)
IP DST: 127.0.0.1
TIPO L4 : UDP
PORTA SRC : 3503
PORTA DST : 3505
BYTE TOS : DISATTIVATO
MPLS EXP : DISATTIVATO
BIT DF : ATTIVATO

Il campo IPv4 OPTIONS (OPZIONI IPv4) è in USE: CAMPO ROUTER ALERT OPTIONS (OPZIONI AVVISO ROUTER) (Punta alla CPU)

IL PAYLOAD UDP PUÒ ESSERE UNA RICHIESTA ECHO DI LABEL SWITCHING MPLS

Panoramica:

Etichette Layer 2:

L3/L4:

Il payload MPLS effettivo:

2. Risposta Di Echo:

Può trasportare 1 etichetta - Trasporto.

Inviato come PACCHETTO UNICAST. Questa può essere commutata con etichetta (con etichetta di trasporto) a causa di LDP in un core.

ETICHETTE:1
SRC IP: INDIRIZZO IP DELL'INTERFACCIA EXIT (10.1.6.2 nel nostro caso)
DST IP: IP DI ORIGINE RILEVATO NELLA RICHIESTA ECHO - LOOPBACK DEL ROUTER DI ORIGINE
TIPO L4: UDP
PORTA SRC:3503
PORTA DST: 3505
BYTE TOS: OFF
MPLS EXP: DISATTIVATO
BIT DF: ON

IL PAYLOAD UDP PUÒ ESSERE UNA RISPOSTA ECHO DI LABEL SWITCHING MPLS  

MPLS EXP è ON e IMPOSTATO su 6

Il bit DF è ON

Dettagli VC da consultare:

R1#sh mpls l2transport vc detail

Local interface: Fa2/0 up, line protocol up, Ethernet up

  Destination address: 10.6.6.6, VC ID: 100, VC status: up  

    Output interface: Fa0/1, imposed label stack {24 28}

    Preferred path: not configured 

    Default path: active

    Next hop: 10.1.1.2

  Create time: 2d17h, last status change time: 2d17h

    Last label FSM state change time: 2d17h

  Signaling protocol: LDP, peer 10.6.6.6:0 up

    Targeted Hello: 10.1.1.1(LDP Id) -> 10.6.6.6, LDP is UP

    Status TLV support (local/remote)   : enabled/supported

      LDP route watch                   : enabled

      Label/status state machine        : established, LruRru

      Last local dataplane   status rcvd: No fault

      Last BFD dataplane     status rcvd: Not sent

      Last BFD peer monitor  status rcvd: No fault

      Last local AC  circuit status rcvd: No fault

      Last local AC  circuit status sent: No fault

      Last local PW i/f circ status rcvd: No fault

      Last local LDP TLV     status sent: No fault

      Last remote LDP TLV    status rcvd: No fault

      Last remote LDP ADJ    status rcvd: No fault

    MPLS VC labels: local 28, remote 28 

    Group ID: local 0, remote 0

    MTU: local 1500, remote 1500

    Remote interface description:

  Sequencing: receive enabled, send enabled

  Sequencing resync disabled

  Control Word: On (configured: autosense)

  Dataplane:

    SSM segment/switch IDs: 4097/4096 (used), PWID: 1

  VC statistics:

    transit packet totals: receive 1027360, send 1027358

    transit byte totals:   receive 121032028, send 147740215

    transit packet drops:  receive 0, seq error 0, send 0

Interoperabilità L2VPN

L'interworking L2VPN si basa su questa funzionalità consentendo la connessione di circuiti di collegamento diversi. Una funzione di interworking facilita la traduzione tra diversi incapsulamenti di layer 2. Nelle versioni precedenti, i router della serie Cisco supportavano solo l'interworking con bridging, noto anche come interworking Ethernet.

Fino a questo punto, l'ACL su entrambi i lati è stato dello stesso tipo di incapsulamento, noto anche come funzionalità "like-to-like".

L2VPN Interworking è funzionalità AToM che consente un diverso tipo di incapsulamento su entrambi i lati della rete AToM

• È necessario interconnettere due circuiti di collegamento eterogenei (CA).
• Le due funzioni principali di L2VPN Interworking (IW) supportate nel software Cisco IOS sono:

1. IP/Routed:L'intestazione MAC viene rimossa (e sostituita con etichette MPLS) su un'estremità del cloud MPLS e viene costruita una nuova intestazione MAC sull'altra PE. L'intestazione IP rimane invariata.

2. Ethernet/Bridged: l'intestazione MAC non viene rimossa affatto. Le etichette MPLS vengono applicate sull'intestazione MAC e l'intestazione MAC viene consegnata così come è all'altra estremità del cloud MPLS.

Possibilità di interworking

a. Da FR a Ethernet

b. Da FR a PPP

c. Da FR ad ATM

d. Da Ethernet a VLAN

e. Da Ethernet a PPP

Informazioni correlate

• RFC Editor 4664
• RFC Editor 4667
• Documentazione e supporto tecnico – Cisco Systems