MPLS和VPN體系結(jié)構(gòu)

內(nèi)容概要

　　《MPLS和VPN體系結(jié)構(gòu)》(第2版·修訂版)在《MPLS和VPN體系結(jié)構(gòu)》(第1卷)的基礎(chǔ)上討論MPLS
VPN技術(shù)的最新發(fā)展及高級(jí)應(yīng)用。全書分為4個(gè)部分，共9章。第1部分是引言，簡(jiǎn)要回顧了MPLS
VPN體系結(jié)構(gòu)；第2部分講述PE-CE高級(jí)互連技術(shù)，包括MPLS
VPN遠(yuǎn)程訪問、PE-CE路由協(xié)議的增強(qiáng)和高級(jí)特性、虛擬路由器組網(wǎng)技術(shù)；第3部分討論了MPLS VPN技術(shù)的高級(jí)應(yīng)用，包括MPLS
VPN骨干網(wǎng)安全防護(hù)、大規(guī)模路由選擇技術(shù)和多家服務(wù)提供商之間的連網(wǎng)技術(shù)、多播VPN技術(shù)、跨MPLS骨干網(wǎng)傳輸IPv6流量技術(shù)；第4部分探討了MPLS和MPLS
VPN網(wǎng)絡(luò)中的故障排除技術(shù)?！　　禡PLS和VPN體系結(jié)構(gòu)》(第2版·修訂版)面向中、高級(jí)網(wǎng)絡(luò)技術(shù)人員。對(duì)于需要參與高級(jí)、大規(guī)模MPLS或MPLS
VPN網(wǎng)絡(luò)的設(shè)計(jì)、維護(hù)與應(yīng)用的人來說，本書是必讀書籍。

作者簡(jiǎn)介

Ivan Pepelnjak，CCIE
#1354，擁有10年以上設(shè)計(jì)、安裝、維護(hù)大型服務(wù)商提供網(wǎng)絡(luò)、大型企業(yè)的LAN和WAN網(wǎng)絡(luò)的經(jīng)驗(yàn)。他目前是NIL數(shù)據(jù)通信公司（www.NIL.si）的首席技術(shù)顧問和董事會(huì)成員。他還是許多大獲成功的高級(jí)IP技術(shù)教程的編寫者或主要開發(fā)者，這些IP技術(shù)教程涵蓋MPLS/VPN、BGP、OSFP以及IP
QoS技術(shù)等。 Jim Guichard，CCIE#2069，Cisco公司Internet技術(shù)部門（Internet
Technologies
Division）的第2任技術(shù)負(fù)責(zé)人。在IBM和Cisco效力的6年里，Jim參加過多項(xiàng)WAN/LAN項(xiàng)目的設(shè)計(jì)、實(shí)施和規(guī)劃工作。憑借著廣博的專業(yè)知識(shí)、豐富的項(xiàng)目經(jīng)驗(yàn)，以及對(duì)復(fù)雜的Internet網(wǎng)絡(luò)體系結(jié)構(gòu)的理解，Jim為Cisco的許多大型服務(wù)提供商客戶提供過有價(jià)值的幫助。
Jeff Apcar，Cisco公司亞太地區(qū)高級(jí)服務(wù)團(tuán)隊(duì)的高級(jí)設(shè)計(jì)咨詢工程師。
他是Cisco公司MPLS技術(shù)專家組成員之一，曾為亞太地區(qū)的多家服務(wù)提供商設(shè)計(jì)過基于數(shù)據(jù)包和信元的MPLS網(wǎng)絡(luò)。Jeff還設(shè)計(jì)并維護(hù)過500+節(jié)點(diǎn)的大型IP路由網(wǎng)絡(luò)，他對(duì)各種網(wǎng)絡(luò)通信技術(shù)都有深入的研究。

書籍目錄

第1部分　引言
第1章　MPLS VPN體系結(jié)構(gòu)概述　
1.1　MPLS VPN術(shù)語(yǔ)　
1.2　面向連接型VPN　
1.3　無連接型VPN　
1.4　基于MPLS的VPN　
1.4.1　MPLS術(shù)語(yǔ)　
1.4.2　MPLS VPN術(shù)語(yǔ)　
1.5　MPLS VPN的新發(fā)展　
1.5.1　與MPLS VPN緊密集成的各種接入技術(shù)　
1.5.2　新路由協(xié)議選項(xiàng)　
1.5.3　在MPLS上傳輸?shù)牡?層新協(xié)議　
1.6　小結(jié)　
第2部分　PE-CE高級(jí)互連技術(shù)
第2章　MPLS VPN遠(yuǎn)程訪問　
2.1　MPLS VPN遠(yuǎn)程訪問增強(qiáng)特性　
2.2　接入?yún)f(xié)議和規(guī)程概述　
2.2.1　PPP　
2.2.2　L2TP　
2.2.3　VPDN　
2.2.4　RADIUS　
2.2.5　DHCP　
2.3　撥入MPLS VPN網(wǎng)絡(luò)　
2.3.1　用L2TP VPDN撥入MPLS VPN網(wǎng)絡(luò)　
2.3.2　ISDN直接撥號(hào)訪問　
2.4　通過LSDO提供撥出訪問　
2.4.1　配置SuperCom San Jose VHG/PE路由器　
2.4.2　配置SuperCom San Jose LAC/NAS　
2.4.3　SuperCom RADIUS屬性　
2.4.4　驗(yàn)證VRF感知的LSDO操作　
2.4.5　從AAA服務(wù)器下載VRF靜態(tài)路由　
2.5　提供非LSDO撥出訪問(通過ISDN直接撥號(hào))　
2.6　為接入MPLS VPN網(wǎng)絡(luò)的主用鏈路，提供撥號(hào)備份鏈路　
2.7　通過DSL接入MPLS VPN網(wǎng)絡(luò)　
2.7.1　用RFC 1483 routed(路由式)封裝的DSL接入　
2.7.2　用RFC 1483 Bridged(橋接式)封裝的DSL接入　
2.7.3　用PPPoA(ATM上的PPP)封裝的DSL接入　
2.7.4　通過PPPoE(以太網(wǎng)上的PPP)封裝的DSL接入　
2.7.5　使用PPPoX和VPDN(L2TP)的DSL訪問　
2.8　通過Cable(有線電視網(wǎng))接入MPLS VPN網(wǎng)絡(luò)　
2.8.1　配置SuperCom前置PE路由器　
2.8.2　驗(yàn)證Cable接入的運(yùn)行效果　
2.9　MPLS VPN遠(yuǎn)程訪問高級(jí)特性　
2.9.1　ODAP特性　
2.9.2　per-VRF AAA　
2.9.3　支持VPN的DHCP中繼特性(DHCP Relay: VPN Support)　
2.10　小結(jié)　
第3章　PE-CE路由協(xié)議的增強(qiáng)和高級(jí)特性　
3.1　PE-CE路由協(xié)議：OSPF　
3.1.1　PE-CE間運(yùn)行OSPF的需求　
3.1.2　PE和CE路由器間OSPF的基本運(yùn)作方式　
3.1.3　更改OSPF router-id　
3.1.4　在VRF內(nèi)監(jiān)控OSPF的運(yùn)行情況　
3.1.5　用來傳遞OSPF路由的BGP擴(kuò)展團(tuán)體屬性　
3.1.6　掌控由PE路由器生成的LSA的類型　
3.1.7　OSPF站點(diǎn)間的環(huán)路預(yù)防　
3.1.8　VPN客戶站點(diǎn)間后門鏈路　
3.2　PE-CE路由協(xié)議：集成的IS-IS　
3.2.1　PE-CE間運(yùn)行IS-IS的需求　
3.2.2　隔離IS-IS VPN路由信息　
3.2.3　通過多協(xié)議BGP傳播IS-IS路由　
3.2.4　在PE-CE路由器間運(yùn)行l(wèi)evel 1-2模式　
3.2.5　在PE-CE路由器間運(yùn)行l(wèi)evel 2模式　
3.2.6　在PE-CE路由器間運(yùn)行l(wèi)evel 1模式　
3.2.7　預(yù)防IS-IS站點(diǎn)間的路由環(huán)路　
3.3　PE-CE路由協(xié)議：EIGRP　
3.3.1　在PE-CE間運(yùn)行EIGRP的需求　
3.3.2　隔離EIGRP VPN路由信息　
3.3.3　用多協(xié)議BGP傳播EIGRP路由　
3.3.4　EIGRP路由BGP擴(kuò)展團(tuán)體屬性　
3.3.5　EIGRP-VRF路由類型　
3.4　小結(jié)　
第4章　虛擬路由器組網(wǎng)技術(shù)　
4.1　CE路由器上虛擬路由器的配置　
4.1.1　在虛擬路由器場(chǎng)景中運(yùn)行OSPF　
4.1.2　在虛擬路由器場(chǎng)景中運(yùn)行BGP　
4.1.3　復(fù)雜的虛擬路由器設(shè)置　
4.2　將虛擬路由器連接至MPLS VPN骨干網(wǎng)　
4.2.1　重溫GRE　
4.2.2　MPLS VPN網(wǎng)絡(luò)中的GRE隧道　
4.2.3　通過GRE隧道將multi-VRF CE路由器接入MPLS VPN骨干網(wǎng)　
4.2.4　在EuroBank European站點(diǎn)內(nèi)部署GRE隧道，實(shí)現(xiàn)multi-VRF功能　
4.3　根據(jù)源IP地址選擇VRF　
4.3.1　VRF選擇特性在EuroBank網(wǎng)絡(luò)中的應(yīng)用　
4.3.2　規(guī)劃VPN流量的回程路徑　
4.4　虛擬路由器網(wǎng)絡(luò)環(huán)境中NAT的應(yīng)用　
4.4.1　重溫NAT　
4.4.2　PE路由器的NAT配置　
4.4.3　用PE-NAT實(shí)現(xiàn)公共服務(wù)的訪問　
4.4.4　在共享防火墻的網(wǎng)絡(luò)環(huán)境中啟用PE-NAT功能　
4.5　小結(jié)　
第3部分　高級(jí)部署場(chǎng)景
第5章　MPLS VPN骨干網(wǎng)安全防護(hù)　
5.1　MPLS與生俱來的安全能力　
5.1.1　地址空間隔離　
5.1.2　屏蔽核心網(wǎng)絡(luò)　
5.1.3　防標(biāo)簽欺騙　
5.2　鄰居認(rèn)證　
5.2.1　PE和CE間認(rèn)證　
5.2.2　PE間認(rèn)證　
5.2.3　P網(wǎng)絡(luò)認(rèn)證　
5.3　CE間認(rèn)證　
5.4　嚴(yán)控注入VRF的路由　
5.4.1　使用RIPv2作為PE/CE路由協(xié)議　
5.4.2　用多協(xié)議BGP交換VPNv4路由　
5.4.3　用eBGP作為PE/CE路由協(xié)議　
5.4.4　用OSPF作為PE/CE路由協(xié)議　
5.5　PE與CE互連電路　
5.6　外聯(lián)網(wǎng)訪問　
5.7　Internet訪問　
5.7.1　遵循默認(rèn)路由的共享式Internet訪問模式　
5.7.2　防火墻托管(Co-Location)　
5.7.3　遵循全局路由表的hub-and-spoke(中心和分支)型Internet訪問模式　
5.7.4　部署具備防火墻功能的CE路由器　
5.8　MPLS上的IPSec　
5.9　小結(jié)　
第6章　大型網(wǎng)絡(luò)路由選擇技術(shù)和多家服務(wù)提供商之間的連網(wǎng)方式　
6.1　大型網(wǎng)絡(luò)路由選擇：運(yùn)營(yíng)商的運(yùn)營(yíng)商解決方案概述　
6.2　運(yùn)營(yíng)商(Carrier)骨干網(wǎng)連通性　
6.2.1　在VPN站點(diǎn)間交換內(nèi)部路由　
6.2.2　CSC PE和CE路由器間路由信息的交換方式　
6.2.3　VPN站點(diǎn)間外部路由的交換方式　
6.3　在PE/CE鏈路上運(yùn)行標(biāo)簽分發(fā)協(xié)議　
6.3.1　LDP發(fā)現(xiàn)：傳輸?shù)刂返挠梅ā?br />6.3.2　CSC PE和CE路由器之間的標(biāo)簽分發(fā)　
6.3.3　CSC CE路由器上靜態(tài)默認(rèn)路由的配置　
6.4　在PE/CE路由器之間運(yùn)行BGP-4　
6.5　分層VPN：運(yùn)營(yíng)商的運(yùn)營(yíng)商MPLS VPN　
6.6　接入多家服務(wù)提供商的VPN間的連通性　
6.6.1　提供商間的連通性要求　
6.6.2　背靠背VRF解決方案　
6.6.3　跨ASBR-ASBR鏈路通告路由　
6.6.4　外部多協(xié)議BGP　
6.6.5　外部MP-BGP VPNv4路由交換　
6.6.6　用來交換VPNv4前綴的多跳多協(xié)議eBGP　
6.6.7　路由反射器間的多跳多協(xié)議eBGP　
6.6.8　在路由反射器上更改BGP路由的下一跳　
6.6.9　用來交換BGP路由下一跳的IPv4+標(biāo)簽?zāi)芰Α?br />6.7　小結(jié)　
第7章　多播VPN　
7.1　IP多播概述　
7.1.1　源樹　
7.1.2　共享樹　
7.1.3　多播轉(zhuǎn)發(fā)　
7.1.4　RPF　
7.1.5　PIM　
7.2　在服務(wù)提供商網(wǎng)絡(luò)環(huán)境中開展企業(yè)網(wǎng)多播業(yè)務(wù)　
7.2.1　mVPN體系結(jié)構(gòu)　
7.2.2　多播域概述　
7.2.3　多播VRF　
7.2.4　PIM鄰接關(guān)系　
7.3　MDT　
7.3.1　默認(rèn)MDT　
7.3.2　數(shù)據(jù)MDT　
7.3.3　MTI　
7.3.4　RPF檢查　
7.3.5　多協(xié)議BGP MDT更新消息及SSM　
7.3.6　mVPN的多播狀態(tài)標(biāo)志　
7.3.7　mVPN多播流量的轉(zhuǎn)發(fā)　
7.4　SuperCom網(wǎng)絡(luò)mVPN業(yè)務(wù)實(shí)例研究　
7.4.1　PIM SM之于SuperCom網(wǎng)絡(luò)　
7.4.2　在VRF內(nèi)啟用多播功能　
7.4.3　多播隧道接口　
7.4.4　多播分發(fā)樹　
7.4.5　mVRF PIM鄰接關(guān)系　
7.4.6　mVRF多播路由表項(xiàng)　
7.4.7　數(shù)據(jù)MDT操作　
7.4.8　SSM之于SuperCom核心網(wǎng)絡(luò)　
7.5　小結(jié)　
第8章　跨MPLS骨干網(wǎng)傳輸IPv6流量　
8.1　IPv6的商業(yè)驅(qū)動(dòng)　
8.2　在現(xiàn)有網(wǎng)絡(luò)中IPv6的部署　
8.3　IPv6簡(jiǎn)介　
8.3.1　IPv6編址　
8.3.2　IPv6鄰居發(fā)現(xiàn)　
8.3.3　IPv6路由選擇　
8.3.4　Cisco IOS的IPv6配置　
8.4　探究6PE的運(yùn)作方式和配置方法　
8.4.1　在PE和CE路由器間交換IPv6路由　
8.4.2　建立MP-BGP會(huì)話/執(zhí)行路由重分發(fā)　
8.4.3　被標(biāo)記的IPv6 MP-BGP前綴　
8.4.4　穿越MPLS骨干網(wǎng)，轉(zhuǎn)發(fā)IPv6流量　
8.5　復(fù)雜的6PE部署場(chǎng)景　
8.5.1　BGP路由反射器　
8.5.2　在啟用了BGP聯(lián)盟的網(wǎng)絡(luò)中部署6PE　
8.5.3　自治系統(tǒng)間(inter-AS)的6PE部署　
8.6　小結(jié)　
第4部分　故障排除
第9章　排除MPLS網(wǎng)絡(luò)故障　
9.1　排除MPLS網(wǎng)絡(luò)故障　
9.1.1　客戶網(wǎng)絡(luò)的控制平面操作　
9.1.2　服務(wù)提供商網(wǎng)絡(luò)的控制平面操作　
9.1.3　數(shù)據(jù)平面的操作　
9.2　排除MPLS骨干網(wǎng)故障　
9.3　其他快速診斷方法　
9.4　排除MPLS控制平面的故障　
9.4.1　驗(yàn)證本機(jī)TDP/LDP運(yùn)行參數(shù)　
9.4.2　驗(yàn)證TDP/LDP Hello協(xié)議的運(yùn)行情況　
9.4.3　檢查TDP/LDP會(huì)話　
9.4.4　檢查標(biāo)簽交換　
9.5　排除MPLS數(shù)據(jù)平面的故障　
9.5.1　在接口級(jí)別(interface-level)監(jiān)控CEF的運(yùn)行情況　
9.5.2　超大數(shù)據(jù)包問題　
9.6　排除MPLS VPN故障　
9.6.1　快速診斷MPLS VPN故障　
9.6.2　CE路由器間的ping操作　
9.6.3　檢查L(zhǎng)SR的CEF交換功能　
9.7　深入排除MPLS VPN故障　
9.7.1　出站方向上CE-PE間的路由交換　
9.7.2　路由導(dǎo)出　
9.7.3　傳播MPLS VPN路由　
9.7.4　路由導(dǎo)入(Route Import)　
9.7.5　MPLS VPN路由的重分發(fā)，以及入站方向上PE-CE間的路由交換　
9.8　小結(jié)　

章節(jié)摘錄

版權(quán)頁(yè)：   插圖：   步驟5 若認(rèn)證比對(duì)失敗，CE路由器會(huì)生成一條告警消息，以提示需要人工干預(yù)。 另一種可選手段是，讓CE路由器完全退出VPN，直到問題解決。 具備卓越的靈活性，支持重疊型（外聯(lián)網(wǎng)）VPN，是基于令牌的CE間認(rèn)證的優(yōu)點(diǎn)之一。其缺點(diǎn)是客戶不但要自行操刀，執(zhí)行額外的配置，還得維護(hù)以下兩種協(xié)議之一：VPN令牌傳播協(xié)議或運(yùn)行于PE／CE互連電路之間的BGP協(xié)議。 雖然能夠很容易地?cái)U(kuò)展BGP協(xié)議，令其支持令牌的傳播，但對(duì)運(yùn)行在PE／CE互連電路上的其他路由協(xié)議（如RIP、OSPF、ISIS、EIGRP或靜態(tài)路由）進(jìn)行改進(jìn)（使其支持令牌的傳播）恐怕就不是那么簡(jiǎn)單的事兒了。相形之下，運(yùn)行單獨(dú)的VPN令牌分發(fā)（傳播）協(xié)議，可以不受PE—cE路由協(xié)議的約束。不過，如此一來，對(duì)客戶站點(diǎn)來說，除了需要“操心”CE路由器之間的認(rèn)證之外，還得維護(hù)已投入運(yùn)行的PE／CE路由協(xié)議（假定不用BGP傳播VPN令牌）。 draft—behringer—mpls—vpn.auth是另一份當(dāng)前還在商議中的草案。該草案提出的解決辦法既不用開發(fā)新的協(xié)議，也無需對(duì)cE路由器進(jìn)行軟件升級(jí)，更不必在客戶網(wǎng)絡(luò)中執(zhí)行額外的配置。其主旨圍繞這樣一個(gè)前提：在PE／CE電路上，已經(jīng)運(yùn)行了MD5鄰居認(rèn)證（如前所述）。使用該解決辦法時(shí)，發(fā)送于PE路由器間的BGP UPDATE消息會(huì)包含一種新的BGP屬性，名為“UPDATEauthenticator（更新認(rèn)證者）”。 此UPDATE authenticator屬性會(huì)攜帶兩類信息：其一，生成此消息的路由器IP地址（generator value）；其二，由generator value生成的HMAC MD5加密簽名。使用generatorvalue，運(yùn)行VPN專用的MD5密鑰，便能生成generator value簽名，而相關(guān)VPN的路由則由上面提到的那種包含UPDATE authenticator屬性的BGP UPDATE消息承載。 收到包含UPDATE authenticator屬性的BGP UPDATE消息之后，接收UPDATE消息的PE路由器會(huì)利用VPN MD5密鑰的本地拷貝，根據(jù)包含在此屬性中的9eneratorvalue，生成一個(gè)HMAC MD5簽名。若計(jì)算出的HMAC MD5簽名結(jié)果與隨UPDATEauthenticator屬性傳輸而來的MD5簽名值不同，PE路由器會(huì)丟棄UPDATE消息，并生成一條告警日志。 該草案所提解決辦法也有其局限性，如下所列。

編輯推薦

Cisco權(quán)威出品MPLS領(lǐng)域的經(jīng)典巨著，暢銷10年深入分析MPLS架構(gòu)通過擴(kuò)展案例學(xué)習(xí)實(shí)踐應(yīng)用

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    MPLS和VPN體系結(jié)構(gòu) PDF格式下載

---