MPLS和VPN體系結(jié)構(gòu)

內(nèi)容概要

　　《MPLS和VPN體系結(jié)構(gòu)》(第2版·修訂版)在《MPLS和VPN體系結(jié)構(gòu)》(第1卷)的基礎(chǔ)上討論MPLS
VPN技術(shù)的最新發(fā)展及高級應用。全書分為4個部分，共9章。第1部分是引言，簡要回顧了MPLS
VPN體系結(jié)構(gòu)；第2部分講述PE-CE高級互連技術(shù)，包括MPLS
VPN遠程訪問、PE-CE路由協(xié)議的增強和高級特性、虛擬路由器組網(wǎng)技術(shù)；第3部分討論了MPLS VPN技術(shù)的高級應用，包括MPLS
VPN骨干網(wǎng)安全防護、大規(guī)模路由選擇技術(shù)和多家服務(wù)提供商之間的連網(wǎng)技術(shù)、多播VPN技術(shù)、跨MPLS骨干網(wǎng)傳輸IPv6流量技術(shù)；第4部分探討了MPLS和MPLS
VPN網(wǎng)絡(luò)中的故障排除技術(shù)?！　　禡PLS和VPN體系結(jié)構(gòu)》(第2版·修訂版)面向中、高級網(wǎng)絡(luò)技術(shù)人員。對于需要參與高級、大規(guī)模MPLS或MPLS
VPN網(wǎng)絡(luò)的設(shè)計、維護與應用的人來說，本書是必讀書籍。

作者簡介

Ivan Pepelnjak，CCIE
#1354，擁有10年以上設(shè)計、安裝、維護大型服務(wù)商提供網(wǎng)絡(luò)、大型企業(yè)的LAN和WAN網(wǎng)絡(luò)的經(jīng)驗。他目前是NIL數(shù)據(jù)通信公司（www.NIL.si）的首席技術(shù)顧問和董事會成員。他還是許多大獲成功的高級IP技術(shù)教程的編寫者或主要開發(fā)者，這些IP技術(shù)教程涵蓋MPLS/VPN、BGP、OSFP以及IP
QoS技術(shù)等。 Jim Guichard，CCIE#2069，Cisco公司Internet技術(shù)部門（Internet
Technologies
Division）的第2任技術(shù)負責人。在IBM和Cisco效力的6年里，Jim參加過多項WAN/LAN項目的設(shè)計、實施和規(guī)劃工作。憑借著廣博的專業(yè)知識、豐富的項目經(jīng)驗，以及對復雜的Internet網(wǎng)絡(luò)體系結(jié)構(gòu)的理解，Jim為Cisco的許多大型服務(wù)提供商客戶提供過有價值的幫助。
Jeff Apcar，Cisco公司亞太地區(qū)高級服務(wù)團隊的高級設(shè)計咨詢工程師。
他是Cisco公司MPLS技術(shù)專家組成員之一，曾為亞太地區(qū)的多家服務(wù)提供商設(shè)計過基于數(shù)據(jù)包和信元的MPLS網(wǎng)絡(luò)。Jeff還設(shè)計并維護過500+節(jié)點的大型IP路由網(wǎng)絡(luò)，他對各種網(wǎng)絡(luò)通信技術(shù)都有深入的研究。

書籍目錄

第1部分　引言
第1章　MPLS VPN體系結(jié)構(gòu)概述　
1.1　MPLS VPN術(shù)語　
1.2　面向連接型VPN　
1.3　無連接型VPN　
1.4　基于MPLS的VPN　
1.4.1　MPLS術(shù)語　
1.4.2　MPLS VPN術(shù)語　
1.5　MPLS VPN的新發(fā)展　
1.5.1　與MPLS VPN緊密集成的各種接入技術(shù)　
1.5.2　新路由協(xié)議選項　
1.5.3　在MPLS上傳輸?shù)牡?層新協(xié)議　
1.6　小結(jié)　
第2部分　PE-CE高級互連技術(shù)
第2章　MPLS VPN遠程訪問　
2.1　MPLS VPN遠程訪問增強特性　
2.2　接入?yún)f(xié)議和規(guī)程概述　
2.2.1　PPP　
2.2.2　L2TP　
2.2.3　VPDN　
2.2.4　RADIUS　
2.2.5　DHCP　
2.3　撥入MPLS VPN網(wǎng)絡(luò)　
2.3.1　用L2TP VPDN撥入MPLS VPN網(wǎng)絡(luò)　
2.3.2　ISDN直接撥號訪問　
2.4　通過LSDO提供撥出訪問　
2.4.1　配置SuperCom San Jose VHG/PE路由器　
2.4.2　配置SuperCom San Jose LAC/NAS　
2.4.3　SuperCom RADIUS屬性　
2.4.4　驗證VRF感知的LSDO操作　
2.4.5　從AAA服務(wù)器下載VRF靜態(tài)路由　
2.5　提供非LSDO撥出訪問(通過ISDN直接撥號)　
2.6　為接入MPLS VPN網(wǎng)絡(luò)的主用鏈路，提供撥號備份鏈路　
2.7　通過DSL接入MPLS VPN網(wǎng)絡(luò)　
2.7.1　用RFC 1483 routed(路由式)封裝的DSL接入　
2.7.2　用RFC 1483 Bridged(橋接式)封裝的DSL接入　
2.7.3　用PPPoA(ATM上的PPP)封裝的DSL接入　
2.7.4　通過PPPoE(以太網(wǎng)上的PPP)封裝的DSL接入　
2.7.5　使用PPPoX和VPDN(L2TP)的DSL訪問　
2.8　通過Cable(有線電視網(wǎng))接入MPLS VPN網(wǎng)絡(luò)　
2.8.1　配置SuperCom前置PE路由器　
2.8.2　驗證Cable接入的運行效果　
2.9　MPLS VPN遠程訪問高級特性　
2.9.1　ODAP特性　
2.9.2　per-VRF AAA　
2.9.3　支持VPN的DHCP中繼特性(DHCP Relay: VPN Support)　
2.10　小結(jié)　
第3章　PE-CE路由協(xié)議的增強和高級特性　
3.1　PE-CE路由協(xié)議：OSPF　
3.1.1　PE-CE間運行OSPF的需求　
3.1.2　PE和CE路由器間OSPF的基本運作方式　
3.1.3　更改OSPF router-id　
3.1.4　在VRF內(nèi)監(jiān)控OSPF的運行情況　
3.1.5　用來傳遞OSPF路由的BGP擴展團體屬性　
3.1.6　掌控由PE路由器生成的LSA的類型　
3.1.7　OSPF站點間的環(huán)路預防　
3.1.8　VPN客戶站點間后門鏈路　
3.2　PE-CE路由協(xié)議：集成的IS-IS　
3.2.1　PE-CE間運行IS-IS的需求　
3.2.2　隔離IS-IS VPN路由信息　
3.2.3　通過多協(xié)議BGP傳播IS-IS路由　
3.2.4　在PE-CE路由器間運行l(wèi)evel 1-2模式　
3.2.5　在PE-CE路由器間運行l(wèi)evel 2模式　
3.2.6　在PE-CE路由器間運行l(wèi)evel 1模式　
3.2.7　預防IS-IS站點間的路由環(huán)路　
3.3　PE-CE路由協(xié)議：EIGRP　
3.3.1　在PE-CE間運行EIGRP的需求　
3.3.2　隔離EIGRP VPN路由信息　
3.3.3　用多協(xié)議BGP傳播EIGRP路由　
3.3.4　EIGRP路由BGP擴展團體屬性　
3.3.5　EIGRP-VRF路由類型　
3.4　小結(jié)　
第4章　虛擬路由器組網(wǎng)技術(shù)　
4.1　CE路由器上虛擬路由器的配置　
4.1.1　在虛擬路由器場景中運行OSPF　
4.1.2　在虛擬路由器場景中運行BGP　
4.1.3　復雜的虛擬路由器設(shè)置　
4.2　將虛擬路由器連接至MPLS VPN骨干網(wǎng)　
4.2.1　重溫GRE　
4.2.2　MPLS VPN網(wǎng)絡(luò)中的GRE隧道　
4.2.3　通過GRE隧道將multi-VRF CE路由器接入MPLS VPN骨干網(wǎng)　
4.2.4　在EuroBank European站點內(nèi)部署GRE隧道，實現(xiàn)multi-VRF功能　
4.3　根據(jù)源IP地址選擇VRF　
4.3.1　VRF選擇特性在EuroBank網(wǎng)絡(luò)中的應用　
4.3.2　規(guī)劃VPN流量的回程路徑　
4.4　虛擬路由器網(wǎng)絡(luò)環(huán)境中NAT的應用　
4.4.1　重溫NAT　
4.4.2　PE路由器的NAT配置　
4.4.3　用PE-NAT實現(xiàn)公共服務(wù)的訪問　
4.4.4　在共享防火墻的網(wǎng)絡(luò)環(huán)境中啟用PE-NAT功能　
4.5　小結(jié)　
第3部分　高級部署場景
第5章　MPLS VPN骨干網(wǎng)安全防護　
5.1　MPLS與生俱來的安全能力　
5.1.1　地址空間隔離　
5.1.2　屏蔽核心網(wǎng)絡(luò)　
5.1.3　防標簽欺騙　
5.2　鄰居認證　
5.2.1　PE和CE間認證　
5.2.2　PE間認證　
5.2.3　P網(wǎng)絡(luò)認證　
5.3　CE間認證　
5.4　嚴控注入VRF的路由　
5.4.1　使用RIPv2作為PE/CE路由協(xié)議　
5.4.2　用多協(xié)議BGP交換VPNv4路由　
5.4.3　用eBGP作為PE/CE路由協(xié)議　
5.4.4　用OSPF作為PE/CE路由協(xié)議　
5.5　PE與CE互連電路　
5.6　外聯(lián)網(wǎng)訪問　
5.7　Internet訪問　
5.7.1　遵循默認路由的共享式Internet訪問模式　
5.7.2　防火墻托管(Co-Location)　
5.7.3　遵循全局路由表的hub-and-spoke(中心和分支)型Internet訪問模式　
5.7.4　部署具備防火墻功能的CE路由器　
5.8　MPLS上的IPSec　
5.9　小結(jié)　
第6章　大型網(wǎng)絡(luò)路由選擇技術(shù)和多家服務(wù)提供商之間的連網(wǎng)方式　
6.1　大型網(wǎng)絡(luò)路由選擇：運營商的運營商解決方案概述　
6.2　運營商(Carrier)骨干網(wǎng)連通性　
6.2.1　在VPN站點間交換內(nèi)部路由　
6.2.2　CSC PE和CE路由器間路由信息的交換方式　
6.2.3　VPN站點間外部路由的交換方式　
6.3　在PE/CE鏈路上運行標簽分發(fā)協(xié)議　
6.3.1　LDP發(fā)現(xiàn)：傳輸?shù)刂返挠梅ā?br />6.3.2　CSC PE和CE路由器之間的標簽分發(fā)　
6.3.3　CSC CE路由器上靜態(tài)默認路由的配置　
6.4　在PE/CE路由器之間運行BGP-4　
6.5　分層VPN：運營商的運營商MPLS VPN　
6.6　接入多家服務(wù)提供商的VPN間的連通性　
6.6.1　提供商間的連通性要求　
6.6.2　背靠背VRF解決方案　
6.6.3　跨ASBR-ASBR鏈路通告路由　
6.6.4　外部多協(xié)議BGP　
6.6.5　外部MP-BGP VPNv4路由交換　
6.6.6　用來交換VPNv4前綴的多跳多協(xié)議eBGP　
6.6.7　路由反射器間的多跳多協(xié)議eBGP　
6.6.8　在路由反射器上更改BGP路由的下一跳　
6.6.9　用來交換BGP路由下一跳的IPv4+標簽能力　
6.7　小結(jié)　
第7章　多播VPN　
7.1　IP多播概述　
7.1.1　源樹　
7.1.2　共享樹　
7.1.3　多播轉(zhuǎn)發(fā)　
7.1.4　RPF　
7.1.5　PIM　
7.2　在服務(wù)提供商網(wǎng)絡(luò)環(huán)境中開展企業(yè)網(wǎng)多播業(yè)務(wù)　
7.2.1　mVPN體系結(jié)構(gòu)　
7.2.2　多播域概述　
7.2.3　多播VRF　
7.2.4　PIM鄰接關(guān)系　
7.3　MDT　
7.3.1　默認MDT　
7.3.2　數(shù)據(jù)MDT　
7.3.3　MTI　
7.3.4　RPF檢查　
7.3.5　多協(xié)議BGP MDT更新消息及SSM　
7.3.6　mVPN的多播狀態(tài)標志　
7.3.7　mVPN多播流量的轉(zhuǎn)發(fā)　
7.4　SuperCom網(wǎng)絡(luò)mVPN業(yè)務(wù)實例研究　
7.4.1　PIM SM之于SuperCom網(wǎng)絡(luò)　
7.4.2　在VRF內(nèi)啟用多播功能　
7.4.3　多播隧道接口　
7.4.4　多播分發(fā)樹　
7.4.5　mVRF PIM鄰接關(guān)系　
7.4.6　mVRF多播路由表項　
7.4.7　數(shù)據(jù)MDT操作　
7.4.8　SSM之于SuperCom核心網(wǎng)絡(luò)　
7.5　小結(jié)　
第8章　跨MPLS骨干網(wǎng)傳輸IPv6流量　
8.1　IPv6的商業(yè)驅(qū)動　
8.2　在現(xiàn)有網(wǎng)絡(luò)中IPv6的部署　
8.3　IPv6簡介　
8.3.1　IPv6編址　
8.3.2　IPv6鄰居發(fā)現(xiàn)　
8.3.3　IPv6路由選擇　
8.3.4　Cisco IOS的IPv6配置　
8.4　探究6PE的運作方式和配置方法　
8.4.1　在PE和CE路由器間交換IPv6路由　
8.4.2　建立MP-BGP會話/執(zhí)行路由重分發(fā)　
8.4.3　被標記的IPv6 MP-BGP前綴　
8.4.4　穿越MPLS骨干網(wǎng)，轉(zhuǎn)發(fā)IPv6流量　
8.5　復雜的6PE部署場景　
8.5.1　BGP路由反射器　
8.5.2　在啟用了BGP聯(lián)盟的網(wǎng)絡(luò)中部署6PE　
8.5.3　自治系統(tǒng)間(inter-AS)的6PE部署　
8.6　小結(jié)　
第4部分　故障排除
第9章　排除MPLS網(wǎng)絡(luò)故障　
9.1　排除MPLS網(wǎng)絡(luò)故障　
9.1.1　客戶網(wǎng)絡(luò)的控制平面操作　
9.1.2　服務(wù)提供商網(wǎng)絡(luò)的控制平面操作　
9.1.3　數(shù)據(jù)平面的操作　
9.2　排除MPLS骨干網(wǎng)故障　
9.3　其他快速診斷方法　
9.4　排除MPLS控制平面的故障　
9.4.1　驗證本機TDP/LDP運行參數(shù)　
9.4.2　驗證TDP/LDP Hello協(xié)議的運行情況　
9.4.3　檢查TDP/LDP會話　
9.4.4　檢查標簽交換　
9.5　排除MPLS數(shù)據(jù)平面的故障　
9.5.1　在接口級別(interface-level)監(jiān)控CEF的運行情況　
9.5.2　超大數(shù)據(jù)包問題　
9.6　排除MPLS VPN故障　
9.6.1　快速診斷MPLS VPN故障　
9.6.2　CE路由器間的ping操作　
9.6.3　檢查LSR的CEF交換功能　
9.7　深入排除MPLS VPN故障　
9.7.1　出站方向上CE-PE間的路由交換　
9.7.2　路由導出　
9.7.3　傳播MPLS VPN路由　
9.7.4　路由導入(Route Import)　
9.7.5　MPLS VPN路由的重分發(fā)，以及入站方向上PE-CE間的路由交換　
9.8　小結(jié)　

章節(jié)摘錄

版權(quán)頁：   插圖：   步驟5 若認證比對失敗，CE路由器會生成一條告警消息，以提示需要人工干預。 另一種可選手段是，讓CE路由器完全退出VPN，直到問題解決。 具備卓越的靈活性，支持重疊型（外聯(lián)網(wǎng)）VPN，是基于令牌的CE間認證的優(yōu)點之一。其缺點是客戶不但要自行操刀，執(zhí)行額外的配置，還得維護以下兩種協(xié)議之一：VPN令牌傳播協(xié)議或運行于PE／CE互連電路之間的BGP協(xié)議。 雖然能夠很容易地擴展BGP協(xié)議，令其支持令牌的傳播，但對運行在PE／CE互連電路上的其他路由協(xié)議（如RIP、OSPF、ISIS、EIGRP或靜態(tài)路由）進行改進（使其支持令牌的傳播）恐怕就不是那么簡單的事兒了。相形之下，運行單獨的VPN令牌分發(fā)（傳播）協(xié)議，可以不受PE—cE路由協(xié)議的約束。不過，如此一來，對客戶站點來說，除了需要“操心”CE路由器之間的認證之外，還得維護已投入運行的PE／CE路由協(xié)議（假定不用BGP傳播VPN令牌）。 draft—behringer—mpls—vpn.auth是另一份當前還在商議中的草案。該草案提出的解決辦法既不用開發(fā)新的協(xié)議，也無需對cE路由器進行軟件升級，更不必在客戶網(wǎng)絡(luò)中執(zhí)行額外的配置。其主旨圍繞這樣一個前提：在PE／CE電路上，已經(jīng)運行了MD5鄰居認證（如前所述）。使用該解決辦法時，發(fā)送于PE路由器間的BGP UPDATE消息會包含一種新的BGP屬性，名為“UPDATEauthenticator（更新認證者）”。 此UPDATE authenticator屬性會攜帶兩類信息：其一，生成此消息的路由器IP地址（generator value）；其二，由generator value生成的HMAC MD5加密簽名。使用generatorvalue，運行VPN專用的MD5密鑰，便能生成generator value簽名，而相關(guān)VPN的路由則由上面提到的那種包含UPDATE authenticator屬性的BGP UPDATE消息承載。 收到包含UPDATE authenticator屬性的BGP UPDATE消息之后，接收UPDATE消息的PE路由器會利用VPN MD5密鑰的本地拷貝，根據(jù)包含在此屬性中的9eneratorvalue，生成一個HMAC MD5簽名。若計算出的HMAC MD5簽名結(jié)果與隨UPDATEauthenticator屬性傳輸而來的MD5簽名值不同，PE路由器會丟棄UPDATE消息，并生成一條告警日志。 該草案所提解決辦法也有其局限性，如下所列。

編輯推薦

Cisco權(quán)威出品MPLS領(lǐng)域的經(jīng)典巨著，暢銷10年深入分析MPLS架構(gòu)通過擴展案例學習實踐應用

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    MPLS和VPN體系結(jié)構(gòu) PDF格式下載

---