Kundenausrüstung

CE1 und CE2 in Abbildung 1-3 sind Kundengeräte (Customer-Premises Equipment, CPE), die auch als Kundengeräte (CE) bezeichnet werden. Traditionell befinden sie sich physisch in den Anlagen des Kunden. In der SDN-Ära ist es auch möglich, einige ihrer Funktionen zu virtualisieren und sie im SP-Netzwerk zu betreiben: Diese Lösung wird als virtuelle CPE oder vCPE bezeichnet.

Denken wir zunächst an herkömmliche CEs, die sich im Netzwerk eines Kunden befinden. Für den Betrieb und die Verwaltung des CE ist entweder der ISP oder der Kunde oder beide zuständig. Wir können CEs wie folgt klassifizieren:

Wohnen

Das können DSL-Modems, FTTH ONTs und so weiter sein. Sie führen keine Routing-Protokolle aus und werden von der IP-Schicht des ISP als direkt verbunden angesehen.

Mobil

Das sind Smartphones, Tablets und so weiter. Sie führen auch keine Routing-Protokolle aus und werden von der IP-Schicht des ISP als direkt verbunden angesehen.

Organisatorisches

Dabei handelt es sich um dedizierte physische oder virtuelle Router, die eine Reihe zusätzlicher Netzwerkfunktionen implementieren können (oder auch nicht). Sie verfügen in der Regel über statisches oder dynamisches Routing zum ISP. eBGP ist das am häufigsten verwendete - und am besten skalierbare - dynamische Protokoll. Wenn das Unternehmen an mehrere ISPs angebunden ist, ist eBGP die einzig sinnvolle Option.

Schauen wir uns nun die verschiedenen Funktionen an, die von den Core (Backbone) Routern des ISP (AS 65000) ausgeführt werden: PE1, PE2, P1, P2, PE3 und PE4.

Die Kante des Kernanbieters

Provider Edge (PE) ist eine Kantenfunktion, die von ISP-eigenen Kernnetzgeräten ausgeführt wird, die sowohl externe Verbindungen zu CEs als auch interne Verbindungen zu anderen Kernroutern haben. PE1 und PE2 in Abbildung 1-3 übernehmen die PE-Funktion, wenn sie den Verkehr zwischen CEs und anderen Core-Routern weiterleiten.

Der Core-Provider

Provider (P) ist eine Kernfunktion, die von ISP-eigenen Core-Routern ausgeführt wird, die interne Backbone-Verbindungen zu mehr als einem anderen Core-Router haben. P1 und P2 sind reine P-Router, da sie keine Verbindungen zu externen Providern oder zu Kunden haben. PE1, PE2, PE3 und PE4 können die P-Rolle übernehmen, wenn sie Verkehr zwischen zwei Core-Schnittstellen weiterleiten. Wenn PE1 zum Beispiel ein Paket auf ge-2/0/3 empfängt und es über ge-2/0/4 weiterleitet, agiert er als P-Router.

Die Grenz-ASBR

ASBR ist eine Kantenfunktion, die von ISP-eigenen Core-Routern ausgeführt wird, die externe eBGP-Peerings zu anderen SPs aufbauen. Obwohl PE1 und PE2 eBGP-Sitzungen zu CE1 und CE2 aufbauen können, werden sie nicht als ASBRs betrachtet, weil die Gegenstelle ein Kunde und kein SP ist.

PE3, PE4, BR1 und BR2 hingegen sind ASBRs und erfüllen diese Funktion, wenn sie Datenverkehr zwischen externen und internen Schnittstellen weiterleiten. Wenn PE3 zum Beispiel ein Paket auf ge-2/0/1 empfängt und es an ge-2/0/3 weiterleitet, verhält er sich wie ein ASBR.

Der Inhaltsanbieter (AS 65002) in Abbildung 1-3 verfügt über ein stark vereinfachtes Netzwerk. Das ist in Ordnung, da der Schwerpunkt hier auf dem ISP (AS 65000) liegt.

Hosts

Der Zweck der Hosts (H) H1 und H3 in diesem Beispiel ist es, Ping und Traceroute auszuführen, daher ist ihr Betriebssystem nicht sehr wichtig. In diesem Beispiel sind diese Hosts VMs, auf denen zufällig IOS XR läuft; daher das Router-Symbol für einen Host.

H1 gehört zum Intranet des Kunden, und H3 ist mit dem Kern des Content Providers verbunden. Weder H1 noch H3 verwenden Routing-Protokolle.

Routen-Reflektoren

Route Reflectors (RR) RR1 und RR2 leiten keinen Nutzerverkehr weiter. Sie haben eine reine Kontrollfunktion: Sie reflektieren BGP-Routen.

BGP-Konfiguration - PEs und ASBRs mit Junos

Beispiel 1-1 zeigt die BGP-Konfiguration auf PE1.

1     routing-options {
2         autonomous-system 65000;
3     }
4     protocols {
5         bgp {
6             group iBGP-RR {
7                 type internal;
8                 local-address 172.16.0.11;
9                 family inet {
10                    unicast {
11                        add-path {
12                            receive;
13                            send {
14                                path-count 6;
15                            }
16                        }
17                    }
18                }
19                export PL-iBGP-RR-OUT;
20                neighbor 172.16.0.201;
21                neighbor 172.16.0.202;
22            }
23            group eBGP-65001 {
24                family inet {
25                    unicast;
26                }
27                peer-as 65001;
28                neighbor 10.1.0.0 {
29                    export PL-eBGP-65001-CE1-OUT;
30                }
31                neighbor 10.1.0.6 {
32                    export PL-eBGP-65001-CE2-OUT;
33                }
34            }
35        }
36    }
37    policy-options {
38        policy-statement PL-iBGP-RR-OUT {
39            term NHS {
40                from family inet;
41                then {
42                    next-hop self;
43                }
44            }
45        }
46        policy-statement PL-eBGP-65001-CE1-OUT {
47            term BGP {
48                then {
49                    metric 100;
50                }
51            }
52        }
53        policy-statement PL-eBGP-65001-CE2-OUT {
54            term BGP {
55                then {
56                    metric 200;
57                }
58            }
59        }
60    }

PE1 und PE3 haben eine ähnliche Konfiguration. Die unterschiedlichen Geschäftsbeziehungen zu den Peering-Anbietern ändern nichts an der Tatsache, dass das Protokoll dasselbe ist: eBGP.

Die Zeilen 6 bis 22 enthalten die Loopback-to-Loopback-Konfiguration für die iBGP-Sitzungen von PE1-RR1 und PE1-RR2. Die Add-Path-Funktionalität (Zeilen 11 bis 16) wird später erklärt.

Wenn ein Router ein Präfix in iBGP neu ankündigt, ändert er das ursprüngliche BGP-Nächster-Hop-Attribut standardmäßig nicht. Wenn PE1 also die Route 10.1.12.0/24 an die RRs weiterleitet, lautet der BGP-Nächste-Hop der Route 10.1.0.0. Dieser Nächste-Hop ist von innerhalb des ISP nicht erreichbar, z. B. von PE3 und PE4, was die BGP-Route nutzlos macht. Die sauberste Lösung besteht darin, PE1 zu veranlassen, das BGP-Nächster-Hop-Attribut auf seinen eigenen Loopback umzuschreiben (Zeile 19 und Zeilen 38 bis 45), bevor die Route über iBGP bekannt gegeben wird.

Die Zeilen 23 bis 34 enthalten die eBGP-Konfiguration für die Single-Hop-Verbindungen PE1-CE1 und PE1-CE2. Die eBGP-Routenrichtlinien (Zeilen 29, 32 und 46 bis 59) werden gleich erklärt.

BGP-Konfiguration - RRs mit Junos

Diese BGP-Konfiguration an RR1 ist der von PE1 sehr ähnlich, hat aber einen entscheidenden Unterschied, wie in Beispiel 1-2 gezeigt wird, bei dem die Nachbarn der Kürze halber weggelassen werden.

1     protocols {
2         bgp {
3             group iBGP-CLIENTS {
4                 cluster 172.16.0.201;
5     }}}

Was RR1 zu einem Route Reflector macht, ist Zeile 4. Ohne sie würde die Standard-iBGP-Regel - iBGP-Routen dürfen nicht über iBGP revertiert werden - gelten.

Das Peering mit dem anderen RR (RR2) ist als neighbor auf einer anderen group konfiguriert, die nicht die Anweisung cluster enthält.

BGP-Konfiguration - PEs und ASBRs unter IOS XR

PE2 und PE4 haben eine ähnliche Konfiguration. Beispiel 1-3 zeigt die Konfiguration von PE2.

1     router bgp 65000
2      address-family ipv4 unicast
3       additional-paths receive
4       additional-paths send
5      !
6      neighbor-group RR
7       remote-as 65000
8       update-source Loopback0
9       address-family ipv4 unicast
10       route-policy PL-iBGP-RR-OUT out
11     !
12     neighbor 10.1.0.2
13      remote-as 65001
14      address-family ipv4 unicast
15       route-policy PL-eBGP-65001-IN in
16       route-policy PL-eBGP-CE2-OUT out
17     !
18     neighbor 10.1.0.4
19      remote-as 65001
20      address-family ipv4 unicast
21       route-policy PL-eBGP-65001-IN in
22       route-policy PL-eBGP-CE1-OUT out
23     !
24     neighbor 172.16.0.201
25      use neighbor-group RR
26     !
27     neighbor 172.16.0.202
28      use neighbor-group RR
29     !
30    !
31    route-policy PL-iBGP-RR-OUT
32      set next-hop self
33    end-policy
34    !
35    route-policy PL-eBGP-CE1-OUT
36      set med 200
37      pass
38    end-policy
39    !
40    route-policy PL-eBGP-CE2-OUT
41      set med 100
42      pass
43    end-policy
44    !
45    route-policy PL-eBGP-65001-IN
46      pass
47    end-policy

Die Syntax ist anders, aber die Prinzipien sind denen von Junos sehr ähnlich. Die Add-Path-Funktionalität (Zeilen 3 bis 4) wird später erklärt.

Ein bemerkenswerter Unterschied zwischen der BGP-Implementierung von Junos und IOS XR ist, dass IOS XR standardmäßig den Empfang und die Bekanntgabe von Routen über eBGP blockiert. Es gibt zwei alternative Möglichkeiten, dieses Standardverhalten zu ändern:

• Konfiguriere explizit Eingangs- und Ausgangsrichtlinien (Zeilen 15 bis 16, 21 bis 22 und 35 bis 47), damit IOS XR eBGP-Routen signalisieren kann.

• router bgp 65000 bgp unsafe-ebgp-policy konfigurieren. Dies ist eine Abkürzung, die du für eine schnelle Konfiguration verwenden kannst, was besonders im Labor nützlich ist. Dieser Befehl erstellt automatisch die Richtlinien "pass all" und fügt sie hinzu

BGP-Konfigurations-RRs unter IOS XR

Die in Beispiel 1-4 gezeigte BGP-Konfiguration an RR2 ist der von PE2 sehr ähnlich, weist aber einige Unterschiede auf.

1     router bgp 65000
2      address-family ipv4 unicast
3       additional-paths receive
4       additional-paths send
5      !
6      neighbor-group iBGP-CLIENTS
7       cluster-id 172.16.0.202
8       address-family ipv4 unicast
9        route-reflector-client
10    !

Was RR2 zu einem Route Reflector macht, sind die Zeilen 7 und 9. Ohne sie würde die Standard-iBGP-Regel - iBGP-Routen dürfen nicht über iBGP revertiert werden - gelten.

Das Peering mit dem anderen RR (RR1) wird nicht über diese neighbor-group konfiguriert.

Nicht-redundante BGP-Routen

In diesem Beispiel werben CEs und BRs ihre eigenen Loopacks bei einem einzigen eBGP-Peer:

• CE1 bewirbt 192.168.10.1/32 nur bei PE1.

• CE2 bewirbt 192.168.10.2/32 nur bei PE2.

• BR3 bewirbt 192.168.20.3/32 nur bei PE3.

• BR4 bewirbt 192.168.20.4/32 nur bei PE4.

Wenn eine eBGP-Sitzung fehlschlägt, ist der Loopback des betroffenen CE oder BR nicht mehr über AS 65000 erreichbar. Dieses Szenario tritt häufig in Single-Homed-Access-Topologien auf. In diesem Beispiel wird es simuliert, indem die lokale Loopback-Ankündigung von CE1 und CE2 selektiv blockiert wird (eBGP-Exportrichtlinien) und indem nur eine eBGP-Sitzung an jedem BR konfiguriert wird.

Abbildung 1-5 zeigt den Prozess der Loopback-Routen-Signalisierung von CE1.

Abbildung 1-5. Internet eBGP und iBGP Routensignalisierung - CE1 Loopback

Der Loopback von CE1 ist mit PE1 verbunden, sodass ein Paket, das ein Gerät in AS 65002 an den Loopback von CE1 sendet, irgendwann über PE1 gehen sollte.

Die RRs ändern den Wert der Attribute BGP next hop und AS path nicht, wenn sie die Route zu PE2, PE3 und PE4 reflektieren.

Auf der anderen Seite gibt PE2 die Route nicht an CE2 weiter, da dies zu einer AS-Schleife führen würde. Dieses Verhalten, das du mit dem Konfigurationsbefehl as-override ändern kannst, wird in Kapitel 3 näher erläutert.

Abbildung 1-6 zeigt den Prozess der Loopback-Routen-Signalisierung von BR4.

Abbildung 1-6. Internet eBGP und iBGP Routensignalisierung-BR4 Loopback

Der Loopback von BR4 ist mit PE4 verbunden, so dass ein Paket, das ein Gerät in AS 65001 an den Loopback von BR4 sendet, irgendwann über PE4 gehen sollte.

Auf der linken Seite von Abbildung 1-6 gibt es eine zusätzliche Redundanzstufe. CE1 zieht es vor, BR4 über PE1 zu erreichen (Multi Exit Discriminator [MED] 100 ist besser als MED 200), aber wenn die eBGP-Sitzung zwischen CE1 und PE1 fehlschlägt, kann es immer noch auf PE2 umschalten.

In Abwesenheit von Ausfällen der Zugangsverbindung:

• Inter-Loopback-Ping und Traceroute zwischen CE1 und BR3 gehen über PE1 und PE3. In diesem Buch wird dies die Junos-Ebene genannt.

• Inter-Loopback-Ping und Traceroute zwischen CE2 und BR4 gehen über PE2 und PE4. In diesem Buch wird dies die IOS XR-Ebene genannt.

Active-Backup BGP-Routen

Wie du in Abbildung 1-7 sehen kannst, werben BR3 und BR4 beide für die Route 10.2.34.0/24, aber sie tun dies mit einem anderen MED. Daher ziehen es PE1 und PE2 vor, BR4 über PE4 zu erreichen. Wenn PE4 aus irgendeinem Grund die Route 10.2.34.0/24 nicht mehr bewirbt (oder wenn die Route ungültig ist), können PE1 und PE2 auf PE3 fehlschlagen.

Abbildung 1-7. Internet eBGP und iBGP Routensignalisierung - Subnetz von H3

H1 hat eine Standardroute, die auf die virtuelle IPv4-Adresse 10.1.12.100 zeigt. CE1 und CE2 führen das Virtual Router Redundancy Protocol (VRRP) im Host-LAN aus, und wenn es keine Ausfälle gibt, ist CE1 der VRRP-Master, der die Adresse 10.1.12.100 hält. Andererseits ist die VRRP-Routenverfolgung so konfiguriert, dass CE2 zum VRRP-Master wird, wenn CE1 keine Route hat, um H3 zu erreichen, CE2 aber schon. Der Mechanismus ist zwischen BR3 und BR4 sehr ähnlich, nur dass in diesem Fall BR4 der nominelle VRRP-Master ist.

Schließlich ist das MED-Schema in den eBGP-Exportrichtlinien von PE1 und PE2 so konfiguriert, dass CE1 H3 lieber über PE1 als über PE2 erreicht. Wenn alle Verbindungen und Sitzungen aufgebaut sind, ist der Pfad, dem die Pakete H1→H3 (10.1.12.10→10.2.34.30) folgen, CE1-PE1-PE4-BR4. Das VRRP-Mastership auf dem ersten Hop und MED auf den verbleibenden Hops sind die Mechanismen, um den besten Pfad zu wählen.

Aktiv-Aktiv BGP-Routen

PE1 und PE2 haben beide eine eBGP-Route nach 10.1.12.0/24 mit MED 100, also werben beide die Route mit MED 100 bei den RRs, wie du in Abbildung 1-8 sehen kannst.

Abbildung 1-8. Internet eBGP und iBGP Routensignalisierung-H1's Subnetz

Der Pfad, dem die Pakete H3→H1 folgen, ist BR4-PE4-PE2-CE2. PE4 bevorzugt PE2, weil der MED-Wert für beide BGP Next Hops (PE1 und PE2) 100 beträgt und die IGP-Metrik des kürzesten internen Pfads PE4→PE2 niedriger ist als die IGP-Metrik von PE4→PE1. Ebenso bevorzugt PE3 PE1, aber BR4 ist der VRRP-Master, also befindet sich PE3 nicht im nominalen H3→H1-Pfad.

Das Endergebnis ist eine asymmetrische, aber optimale Weiterleitung der Ströme H1→H3 und H3→H1. Es ist optimal, weil die RRs alle Routen berücksichtigen, nicht nur die, die sie für die besten halten, wie in Beispiel 1-5 gezeigt.

1     juniper@RR1> show route advertising-protocol bgp 172.16.0.44
2                  10.1.12.10
3
4     inet.0: 33 destinations, 38 routes (33 active, ...)
5       Prefix           Nexthop          MED     Lclpref    AS path
6     * 10.1.12.0/24     172.16.0.11      100     100        65001 I
7                        172.16.0.22      100     100        65001 I
8
9     juniper@RR1> show route advertising-protocol bgp 172.16.0.44
10                 10.1.12.0/24 detail
11
12    inet.0: 33 destinations, 38 routes (33 active, ...)
13    * 10.1.12.0/24 (3 entries, 2 announced)
14     BGP group CLIENTS type Internal
15         Nexthop: 172.16.0.11
16         MED: 100
17         Localpref: 100
18         AS path: [65000] 65001 I
19         Cluster ID: 172.16.0.201
20         Originator ID: 172.16.0.11
21         Addpath Path ID: 1
22     BGP group CLIENTS type Internal
23         Nexthop: 172.16.0.22
24         MED: 100
25         Localpref: 100
26         AS path: [65000] 65001 I
27         Cluster ID: 172.16.0.201
28         Originator ID: 172.16.0.22
29         Addpath Path ID: 2

Dies ist dank der Add-Path-Erweiterungen (Zeilen 21 und 29) möglich. Ohne diese Erweiterungen würde RR1 die Route mit der besten IGP-Metrik aus seiner eigenen Perspektive wählen - vom RR zum nächsten BGP-Hop -, was nicht unbedingt mit der Perspektive von PE4 übereinstimmt.

Zusammenfassend lässt sich sagen, dass die Richtlinien so konfiguriert sind, dass die MED- oder BGP-Metrik symmetrisch festgelegt ist. Im Folgenden sind die Ergebnisse aufgeführt:

• CE1 zieht es vor, H3 über PE1 zu erreichen, anstatt über PE2.

• CE2 zieht es vor, H3 über PE2 zu erreichen, anstatt über PE1.

• PE1 zieht es vor, H1 über CE1 zu erreichen, anstatt über CE2.

• PE2 zieht es vor, H1 über CE2 zu erreichen, anstatt über CE1.

• PE1 und PE2 erreichen H3 lieber über PE4 als über PE3.

• PE3 und PE4 erreichen H1 bevorzugt über PE1 bzw. PE2.

Router-Rollen in einem LSP

Wenn du dir Abbildung 1-9 ansiehst, beginnt das LSP PE1→PE4 bei PE1, durchquert P1 und P2 und endet... bei P2 oder bei PE4? Schauen wir mal. Indem PE1 das Paket in den LSP einfügt, schickt er es im Grunde an PE4. Wenn P2 ein Paket mit dem Label 1000002 empfängt, ist die Weiterleitungsanweisung klar: Löse das Label und schicke das Paket über die Schnittstelle Gi 0/0/0/5. Die LSP endet also bei PE4.

Im Folgenden werden die verschiedenen Router-Rollen aus der Sicht des PE1→PE4 LSP beschrieben. Für jede dieser Rollen gibt es viele Begriffe und Akronyme:

• PE1Ingress PE, Ingress Label Edge Router (LER), LSP Head-End, LSP Upstream Endpoint. Der Begriff Ingress leitet sich von der Tatsache ab, dass Nutzerpakete wie H1→H3 am PE1 in das LSP eintreten, der als Eingangs- oder Ingress-Punkt fungiert.

• P1 (oder P2)Transit P, P-Router, Label Switching Router (LSR), oder einfach P.

• PE4 EgressPE, Egress Label Edge Router (LER), LSP Tail-End, LSP Downstream Endpoint. Der Begriff Egress kommt daher, dass Benutzerpakete wie H1→H3 das LSP an diesem PE verlassen.

MPLS-Schnittstellen-Konfiguration

Der erste Schritt besteht darin, MPLS auf den Schnittstellen zu aktivieren, auf denen du MPLS-Pakete weiterleiten möchtest. Beispiel 1-7 zeigt die Junos-Konfiguration für eine Schnittstelle an PE1.

1     interfaces {
2         ge-2/0/4 {
3              unit 0 {
4                 family mpls;
5     }}}
6     protocols {
7         mpls {
8             interface ge-2/0/4.0;
9     }}

Die Zeilen 1 bis 4 aktivieren die MPLS-Kapselung an der Schnittstelle, und die Zeilen 6 bis 8 aktivieren die Schnittstelle für MPLS-Protokolle. Streng genommen wird der letzte Konfigurationsblock nicht immer benötigt, aber es ist eine gute Praxis, ihn systematisch hinzuzufügen.

In IOS XR gibt es keine generische MPLS-Konfiguration. Du musst die Schnittstelle für jede der MPLS-Varianten aktivieren, die du verwenden möchtest. In diesem Kapitel wird die einfachste aller MPLS-Varianten vorgestellt: statisches MPLS. Beispiel 1-8 zeigt die Konfiguration einer Schnittstelle an PE4.

mpls static
 interface GigabitEthernet0/0/0/0
!

Label-switched Pfad PE1→PE4-Konfiguration

Erinnere dich daran, dass die Pakete H1→H3 durch PE1 und PE4 gehen. Du brauchst ein LSP, das diese Pakete von PE1 zu PE4 bringt. Das LSP soll dem Pfad PE1-P1-P2-PE4 folgen, den wir in Abbildung 1-9 gesehen haben.

Beispiel 1-9 zeigt die vollständige Konfiguration entlang des Pfades.

#PE1 (Junos)

protocols {
    mpls {
        static-label-switched-path PE1--->PE4 {
            ingress {
                next-hop 10.0.0.3;
                to 172.16.0.44;
                push 1000001;
}}}}

#P1 (Junos)

protocols {
    mpls {
        icmp-tunneling;
        static-label-switched-path PE1--->PE4 {
            transit 1000001 {
                next-hop 10.0.0.7;
                swap 1000002;
}}}}

#P2 (IOS XR)

mpls static
 address-family ipv4 unicast
  local-label 1000002 allocate
   forward
    path 1 nexthop GigabitEthernet0/0/0/5 10.0.0.11 out-label pop
!

PE4 empfängt einfache IPv4-Pakete von P2 und benötigt daher keine LSP-spezifische Konfiguration.

Die Labels 1000001 und 1000002 sind für P1 bzw. P2 lokal signifikant. Ihre numerischen Werte könnten identisch sein und würden trotzdem unterschiedlichen Anweisungen entsprechen, weil sie nicht vom gleichen LSR interpretiert werden.

LSP PE1→PE4-Weiterleitungsebene

Nun ist es an der Zeit, die Weiterleitungsanweisungen zu untersuchen, die das H1→H3 IPv4-Paket durch das PE1→PE4 LSP leiten. Beginnen wir bei PE1, das in Beispiel 1-10 dargestellt ist.

1     juniper@PE1> show route receive-protocol bgp 172.16.0.201
2                  10.2.34.30 active-path
3
4     inet.0: 36 destinations, 45 routes (36 active, ...)
5       Prefix         Nexthop        MED     Lclpref    AS path
6     * 10.2.34.0/24   172.16.0.44    100     100        65002 I
7
8     juniper@PE1> show route 172.16.0.44
9
10    inet.0: 36 destinations, 45 routes (36 active, ...)
11    + = Active Route, - = Last Active, * = Both
12
13    172.16.0.44/32     *[IS-IS/18] 1d 11:22:00, metric 30
14                        > to 10.0.0.3 via ge-2/0/4.0
15
16    inet.3: 1 destinations, 1 routes (1 active, ...)
17    + = Active Route, - = Last Active, * = Both
18
19    172.16.0.44/32     *[MPLS/6/1] 05:00:00, metric 0
20                        > to 10.0.0.3 via ge-2/0/4.0, Push 1000001
21
22    juniper@PE1> show route 10.2.34.30 active-path
23
24    inet.0: 36 destinations, 45 routes (36 active...)
25    + = Active Route, - = Last Active, * = Both
26
27    10.2.34.0/24   *[BGP/170] 06:37:28, MED 100, localpref 100,
28                              from 172.16.0.201, AS path: 65002 I
29                    > to 10.0.0.3 via ge-2/0/4.0, Push 1000001
30
31    juniper@PE1> show route forwarding-table destination 10.2.34.30
32    Routing table: default.inet
33    Internet:
34    Destination   Next hop              Type  Index   NhRef Netif
35    10.2.34.0/24                        indr  1048575     3
36                  10.0.0.3 Push 1000001           513     2 ge-2/0/4.0
37
38    juniper@PE1> show mpls static-lsp statistics name PE1--->PE4
39    Ingress LSPs:
40    LSPname      To            State   Packets      Bytes
41    PE1--->PE4   172.16.0.44   Up        27694    2768320

Die beste BGP-Route zum Ziel 10.2.34.30 (H3) hat ein BGP Next-Hop-Attribut (Zeile 6) gleich 172.16.0.44. Es gibt zwei Routen in Richtung 172.16.0.44 (PE4s Loopback):

• Eine IS-IS-Route in der globalen IPv4-Routing-Tabelle inet.0 (Zeilen 10 bis 14).

• Eine MPLS-Route in der Hilfstabelle inet.3 (Zeilen 16 bis 20). Das in Beispiel 1-9 konfigurierte statische LSP installiert diese MPLS-Route automatisch.

Das Ziel der Hilfstabelle inet.3 ist es, BGP Next Hops (Zeile 6) in Forwarding Next Hops (Zeile 20) aufzulösen. Tatsächlich wird die BGP-Route 10.2.34.0/24 in inet.0 mit einem beschrifteten Forwarding Next Hop (Zeile 29) installiert, der von inet.3 (Zeile 20) kopiert wurde. Schließlich wird die BGP-Route in der Forwarding-Tabelle (Zeilen 31 bis 36) installiert und an die Forwarding-Engines weitergeleitet.

Die Tatsache, dass Junos eine Hilfstabelle (inet.3) hat, um BGP Next Hops aufzulösen, ist ziemlich relevant. Beachte, dass Junos inet.0 und nicht inet.3 zur Programmierung der Forwarding-Tabelle verwendet. Aus diesem Grund versieht PE1 standardmäßig die Pakete, die er an interne (Nicht-BGP-)Ziele wie den Loopback von PE4 sendet, nicht mit Labels, wie in Beispiel 1-11 gezeigt.

juniper@PE1> traceroute 172.16.0.44
traceroute to 172.16.0.44
 1  P1 (10.0.0.3)  42.820 ms  11.081 ms  4.016 ms
 2  P2 (10.0.0.25)  6.440 ms P2 (10.0.0.7)  3.426 ms *
 3  PE4 (10.0.0.11)  9.139 ms *  78.770 ms

Wir kommen zurück zum LSP PE1→PE4 und gehen weiter zu P1, dem ersten LSR auf dem Pfad.

juniper@P1> show route table mpls.0 label 1000001

mpls.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

1000001    *[MPLS/6] 07:23:19, metric 1
            > to 10.0.0.7 via ge-2/0/3.0, Swap 1000002

In der Tabelle mpls.0 werden die Anweisungen für das Label gespeichert. Wenn P1 zum Beispiel ein Paket mit dem Label 1000001 erhält, lautet die Anweisung: Tausche das Label gegen 1000002 aus und sende das Paket aus ge-2/0/3 an P2. Dieser Befehlssatz wird als Label Forwarding Information Base (LFIB) bezeichnet. Die Tabelle mpls.0 ist kein Hilfsmittel: Sie füllt die Weiterleitungstabelle auf.

Schauen wir uns zum Schluss noch das LFIB von P2 in Beispiel 1-13 an.

RP/0/0/CPU0:P2#show mpls forwarding labels 1000002
Local  Outgoing    Outgoing     Next Hop        Bytes
Label  Label       Interface                    Switched
------ ----------- ------------ --------------- ------------
1000002 Pop         Gi0/0/0/5    10.0.0.11       8212650

Es macht keinen Sinn, PE4 zu betrachten, der sich in Bezug auf die H1→H3-Pakete wie ein reiner IP-Router verhält.

LSP PE4→PE2-Konfiguration

Der Vollständigkeit halber wird in Beispiel 1-14 die vollständige Konfiguration des PE4→PE2 LSP dargestellt.

#PE4 (IOS XR)
mpls static
 address-family ipv4 unicast
  local-label 1000200 allocate per-prefix 172.16.0.22/32
   forward
    path 1 nexthop GigabitEthernet0/0/0/0 10.0.0.10 out-label 1000110
!

#P2 (IOS XR)
mpls static
 address-family ipv4 unicast
  local-label 1000110 allocate
   forward
    path 1 nexthop GigabitEthernet0/0/0/0 10.0.0.4 out-label pop
!

Die Schlüsselsyntax bei PE4 ist per-prefix: Sie besagt, dass du ein Paket auf einem LSP, dessen Ende PE2 (172.16.0.22) ist, mit dem Label 1000110 versehen und an P2 senden sollst.

Der erste Label-Wert (1000200) aus Beispiel 1-14 ist nicht wirklich Teil des PE4→PE2 LSP. Das bedeutet, dass PE4, wenn es ein MPLS-Paket mit dem äußersten Label 1000200 empfängt, das Paket in das PE4→PE2 LSP einfügt, indem es das Label mit 1000110 vertauscht. Diese Logik ist für das aktuelle Beispiel, in dem H3→H1-Pakete ohne Label bei PE4 ankommen, nicht sehr relevant.

Beispiel 1-15 zeigt den Routing- und Weiterleitungsstatus am Ingress PE (PE4).

RP/0/0/CPU0:PE4#show bgp 10.1.12.0/24 brief
[...]
   Network        Next Hop       Metric LocPrf Weight Path
* i10.1.12.0/24   172.16.0.11       100    100      0 65001 i
*>i               172.16.0.22       100    100      0 65001 i

RP/0/0/CPU0:PE4#show cef 10.1.12.10
[...]
 local adjacency 10.0.0.10
   via 172.16.0.22, 2 dependencies, recursive [flags 0x6000]
    path-idx 0 NHID 0x0 [0xa137dd74 0x0]
    next hop 172.16.0.22 via 172.16.0.22/32

RP/0/0/CPU0:PE4#show cef 172.16.0.22
[...]
 local adjacency 10.0.0.10
   via 10.0.0.10, GigabitEthernet0/0/0/0, 4 dependencies, [...]
    next hop 10.0.0.10
    local adjacency
     local label 1000200      labels imposed {1000110}

RP/0/0/CPU0:PE4#show mpls forwarding labels 1000200
Local  Outgoing Prefix         Outgoing   Next Hop  Bytes
Label  Label    or ID          Interface            Switched
------ -------- -------------- ---------- --------- --------
1000200 1000110 172.16.0.22/32 Gi0/0/0/0  10.0.0.10 10410052

Die Logik in IOS XR ist sehr ähnlich, nur dass es in diesem Fall keine Hilfstabellen gibt. Daher ist das Standardverhalten von PE4, dass er den Paketen, die er an interne (Nicht-BGP-) Ziele sendet, die mehr als einen Hop entfernt sind, Labels hinzufügt, wie der Loopback von PE2 in Beispiel 1-16 zeigt.

RP/0/0/CPU0:PE4#traceroute 172.16.0.22

 1  p2 (10.0.0.10) [MPLS: Label 1000110 Exp 0] 9 msec ...
 2  pe2 (10.0.0.4) 0 msec ...

End-to-End-Nutzerverkehr

Nachdem die LSPs PE1→PE4 und PE4→PE2 aufgebaut sind, ist die End-to-End-Konnektivität in Ordnung.

RP/0/0/CPU0:H1#traceroute vrf H1 10.2.34.30

 1  ce1 (10.1.12.1) 0 msec ...
 2  pe1 (10.1.0.1) 0 msec ...
 3  p1 (10.0.0.3) [MPLS: Label 1000001 Exp 0] 9 msec ...
 4  p2 (10.0.0.7) [MPLS: Label 1000002 Exp 0] 9 msec ...
 5  pe4 (10.0.0.11) 9 msec ...
 6  br4 (10.2.0.4) 9 msec ...
 7  h3 (10.2.34.30) 9 msec ...

Wie erwartet, zeigt Traceroute den Vorwärtspfad mit den Labels von PE1→PE4.

Du fragst dich vielleicht, wie P1 eine ICMP-Nachricht (Internet Control Message Protocol) Time Exceeded an H1 senden kann, wenn es nicht einmal eine Route hat, um H1 zu erreichen. Was passiert, ist Folgendes:

1. P1 empfängt ein UDP-Paket mit MPLS-Label 1000001 und MPLS-TTL =1.

2. P1 verringert die TTL, stellt fest, dass sie abgelaufen ist, und kapselt das ursprüngliche UDP-Paket mit dem MPLS-Label 1000001 in ein ICMP Time Exceeded-Paket ein, das wiederum mit dem MPLS-Label 1000002 gekapselt wird. Dieses Paket hat TTL=255.

3. P1 sendet das MPLS-gekapselte ICMP Time Exceeded-Paket an P2, der das Label aufhebt und das Paket an PE4 sendet.

4. PE4 schaut sich das Ziel des ICMP Time Exceeded-Pakets an, das H1 ist. Gemäß einem regulären IPv4-Lookup sendet PE4 dieses Paket durch das PE4→PE2 LSP und erreicht so H1.

Trennung von Kontroll- und Weiterleitungsebene - Overlays im Rechenzentrum

Ein paradigmatischer Anwendungsfall, für den die SDN-Prinzipien gut geeignet sind, ist die Overlay-Architektur in Rechenzentren, die Folgendes voraussetzt:

• Es gibt eine Underlay-Fabric, die eine belastbare Verbindung zwischen der Weiterleitungsebene des Overlay (in der Regel ein vRouter oder ein vSwitch auf einem Server) und der Steuerungsebene (zentraler Controller) herstellt.

• Die Latenzzeit hält sich innerhalb bestimmter Arbeitsgrenzen.

Trennung der Kontroll- und Weiterleitungsebenen - WAN IP/MPLS

Untersuchen wir nun die Anwendbarkeit der SDN-Architekturprinzipien auf das WAN-IP/MPLS-Netzwerk eines ISP. Obwohl wir bestimmte Funktionen der Steuerungsebene zentralisieren können, ist eine vollständige Zentralisierung nicht machbar. Wenn die gesamte Steuerungsebene Hunderte oder Tausende von Kilometern (und N Netzwerksprünge) von der Weiterleitungsebene entfernt ist, ist es nicht möglich, die Interaktion zwischen beiden Ebenen zuverlässig und reaktionsschnell zu gewährleisten. Aus diesem Grund kann das SDN-Konzept nur taktisch auf die WAN-Umgebung angewendet werden.

Eine zentralisierte netzwerkweite Kontrollintelligenz kann zu genaueren Berechnungen führen, was z. B. bei der Verkehrsplanung sehr nützlich ist. In diesem Fall wird die verteilte Kontrollebene durch eine zusätzliche zentrale Intelligenz erweitert. Dies wird in Kapitel 15 ausführlich erklärt.

Diese Beispiele zeigen, dass SDN für jedes Szenario unterschiedlich gut geeignet sein kann (es gibt keine Einheitslösung). Netzwerkanbieter haben diesen Grundsatz über die Jahre hinweg auf viele Technologien und Architekturen angewandt: Zentralisiere, was du kannst, verteile, was du musst. Wenn etwas zentralisiert werden kann und es keine physischen oder funktionalen Einschränkungen gibt, sollte es zentralisiert werden; andernfalls sollte es verteilt bleiben.

Rechenzentrum

Die Anforderungen an Rechenzentren sind in vielen Bereichen um Größenordnungen gestiegen, und das sehr schnell. Rechenzentren haben einen rasanten Wandel von einfachen dichten LANs zu Hyperscale-Infrastrukturen mit sehr strengen Anforderungen nicht nur an die Leistung, sondern auch an die Latenz, den Umfang, die Mandantenfähigkeit und die Sicherheit erlebt. Damit verbunden ist auch die Notwendigkeit einer besseren Verwaltbarkeit.

Einige der vorgeschlagenen Switching-Infrastrukturen für Rechenzentren basieren auf OpenFlow mit einem zentralen Controller, der die Datenströme entlang des Pfads programmiert. Die Branche hat sich aber auch mit anderen Architekturen und Technologien befasst, die nachweislich dieselben Anforderungen in großem Maßstab erfüllen können. Du musst nicht lange suchen, um sie zu finden: das Internet selbst. Die Protokolle und Architekturen, mit denen das Internet und die IP-Netzwerke der ISPs aufgebaut wurden, sind der beste Spiegel für den Aufbau der nächsten Generation von Rechenzentren, die Folgendes leisten:

• Entkopplung von Transport und Diensten (das Architekturprinzip von MPLS)

• Aufbau einer stabilen, dienstunabhängigen Transportinfrastruktur (Fabrics)

• Bereitstellung von Diensten nur an den Kanten und Verwendung von skalierbaren Protokollen für die Kontrollebene (BGP)

Diese ISP-Architektur wurde in mehrfacher Hinsicht an Rechenzentren angepasst. Erstens ist die Weiterleitungsebene des Underlay für die spezifischen Anforderungen von Rechenzentren optimiert, zu denen eine sehr niedrige Latenzzeit zwischen den Endsystemen (Servern) und eine sehr hohe Transportkapazität fast ohne Einschränkungen gehören.

Die Kanten des ISP werden durch die Overlay-fähigen Edge-Forwarder des Rechenzentrums ersetzt, die in der Regel durch den vRouter/vSwitch auf den Server-Hypervisoren oder den Top-of-Rack (ToR)-Switch instanziiert werden.

Dies bietet eine gute Gelegenheit, einen zentralen Controller zu verwenden, der die Kanten-Forwarder so programmieren kann, als wären sie die Paketweiterleitungs-Engines oder die Linecards eines physischen Mehrkomponenten-Netzwerkgeräts. Du kannst dieses Modell in Kapitel 11 im Detail sehen.

WAN

Das ISP-WAN - das interne ISP-Backbone - ist ein weiterer spezieller Anwendungsfall, für den es neue Herausforderungen gibt, die es zu bewältigen gilt. Die Bandbreitenressourcen sind knapper denn je, und die CAPEX-Kontrollen machen es unmöglich, so viel Kapazität wie in der Vergangenheit bereitzustellen. Der Datenverkehr nimmt jedoch weiter zu, und eine wachsende Vielfalt von Diensten fließt über die WAN-Infrastruktur, so dass Mechanismen benötigt werden, die diese Ressourcen effizienter und dynamischer verwalten können. MPLS Traffic Engineering gibt es schon seit vielen Jahren, aber die verteilte Natur der Traffic-Engineering-Entscheidungen führte zu Ineffizienzen.

Mit der breiteren Verfügbarkeit und den Implementierungen von Protokollen wie PCEP ist es nun möglich, zentrale intelligente Controller einzusetzen, die die verteilte Steuerungsebene des Netzwerks ergänzen, indem sie eine netzwerkweite Vision und einen Entscheidungsprozess hinzufügen. Das ISP-WAN kann nun die Vorteile von Implementierungen nutzen, die eine intelligente Verwaltung von Ressourcen und die Automatisierung von Aufgaben bieten, die früher nur begrenzt und teilweise manuell erledigt werden konnten oder einfach nicht erledigt wurden, weil die Kapazitäten ausreichten. Die Ressourcenknappheit und die geschäftlichen Anforderungen erfordern nun eine andere Vorgehensweise. Dies ist ein weiteres Beispiel und ein Anwendungsfall für neue Implementierungen, die auf altbewährte Konzepte zurückgreifen, wie z. B. die PCE Client-Server-Architektur. Dieses Modell wird in Kapitel 15 ausführlich beschrieben.

Packet-optische Konvergenz

Die paketbasierte und die leitungsbasierte Vermittlung sind zwei grundverschiedene Paradigmen, und beide haben ihre Daseinsberechtigung. Traditionell sind sie getrennte Schichten, wobei das leitungsvermittelnde Netz meist die Serverschicht für das paketvermittelnde Netz (den Client) darstellt. Diese Rolle wird manchmal umgekehrt, z. B. bei emulierten TDM-Leitungen über MPLS in Mobile Backhaul-Szenarien, die in Kapitel 6 kurz erläutert werden.

Optische Netze sind die am weitesten verbreitete leitungsvermittelte Technologie. Sie bieten optische Schaltungen, die paketbasierte Netze für die Punkt-zu-Punkt-Kommunikation zwischen den verschiedenen paketvermittelnden Knotenpunkten (Router, Switches usw.) nutzen.

In der SDN-Ära wird der Großteil des Datenverkehrs über IP abgewickelt - sogar der mobile Sprachverkehr mit Technologien wie VoLTE. Es ist bereits eine Tatsache, dass der Hauptzweck (wenn nicht sogar der einzige) des optischen Netzes darin besteht, das IP-Netz zu transportieren. Aus diesem Grund wird die enge Koordination und Optimierung des optischen und des IP-Netzes geschäftskritisch. Jede Ineffizienz bei dieser Integration wird sofort zu einer großen Quelle für zusätzliche CAPEX und OPEX.

Daher ist dies ein weiterer Bereich, in dem ISPs vor einer großen Herausforderung stehen, die spezifische Lösungen erfordert. Der Bedarf an Ressourcenkoordination, Automatisierung und Optimierung wird durch folgende Maßnahmen gedeckt:

• Ressourcen auf eine normalisierte Weise freilegen (Abstraktion)

• Die Fähigkeit, die richtigen Entscheidungen über die Ressourcenzuweisung zu automatisieren (Pfade einrichten, Pfade optimieren, nach Ersatzressourcen suchen usw.) und dabei sowohl die optische Ebene als auch die Paketebene zu berücksichtigen

Auch hier ist die Rolle eines zentralen Controllers von entscheidender Bedeutung. Das in Kapitel 15 beschriebene Modell zielt auch auf diesen Anwendungsfall ab.

IP-Peering

IP-Peering bietet eine weitere Möglichkeit, die bestehenden Mechanismen zu verbessern und zu optimieren. Bislang wurde das Verhalten der IP-Peering-Punkte ausschließlich durch die Regeln des BGP-Protokolls bestimmt. BGP implementiert einen Entscheidungsalgorithmus, der nach dem besten schleifenfreien Pfad sucht - schleifenfrei in dem Sinne, dass der AS-Pfad nicht zweimal denselben AS enthält. Obwohl viele Hilfsmittel wie BGP-Attribute verwendet werden können, um den Entscheidungsprozess zu beeinflussen, bleibt es doch ein eingebauter Algorithmus, der auf bestimmten vordefinierten Regeln basiert. Solche Regeln berücksichtigen möglicherweise keine geschäftsbezogenen Aspekte, die ein Anbieter berücksichtigen muss, um die besten Routing-Entscheidungen zu treffen.

Einige dieser geschäftlichen Aspekte sind der Preis der Peering-Verbindung (es könnte sich um eine Transitverbindung handeln), die tatsächliche Latenzzeit zum Ziel (kürzere AS-Pfade bedeuten nicht unbedingt eine geringere Latenzzeit), die Auslastung der Verbindung und vielleicht noch andere. Da die Geschäftsbedingungen in unserer Branche immer strenger werden, müssen bei Netzwerkentscheidungen mehr Variablen berücksichtigt werden.

ISPs verwenden oft Ad-hoc-Tunneling-Overlays (basierend auf IP oder MPLS), um die standardmäßigen Weiterleitungsentscheidungen zu umgehen, aber dieser Ansatz ist nicht skalierbar: ISPs verdienen eine bessere Lösung.

Eine Controller-basierte Lösung, die diese Möglichkeit nutzt, muss einen detaillierten Überblick über den gesamten BGP-Routing-Status im SP haben. Das BGP Monitoring Protocol (BMP), das sowohl in Junos als auch in IOS XR implementiert ist, ermöglicht die Abfrage von einem bestimmten Router:

Die Adj-RIB-in

Dies sind die Präfixe, die der abgefragte Router von einem Peer erhalten hat, bevor er die Import-Routing-Richtlinien angewendet hat.

Das Adj-RIB-out

Dies sind die Präfixe, die der abgefragte Router nach der Anwendung von Export-Routing-Richtlinien an einen Peer bekannt gegeben hat.

Außerdem werden verbesserte Telemetrie-Mechanismen implementiert, um wichtige Verkehrsstatistiken zu erhalten. Alles in allem ist eine solche Lösung mittelfristig durchaus realisierbar.

Dies ist ein weiteres Beispiel für eine echte Kundenherausforderung, die in der SDN-Ära durch eine teilweise Zentralisierung des Entscheidungsprozesses durch inkrementelle Intelligenz gelöst werden kann. Und es ist ein weiterer Fall von Automatisierung und Abstraktion.

Die Zweigstelle

Die in der Zweigstelle angebotenen Dienste waren bisher im Wesentlichen statisch. SPs suchen nach Möglichkeiten, dynamischere Dienste anzubieten, die der Kunde sogar selbst erbringen kann. Diese Dienste können die Betriebskosten senken, indem sie einige Aufgaben an den Kunden delegieren, und gleichzeitig dazu beitragen, den Umsatz durch eine schnellere Annahme der Dienste (Point-and-Click-Provisioning) und neue Geschäftsmodelle (Try-and-Buy) zu steigern.

Dies ist ein altes Bestreben von SPs und war das Ziel traditioneller Technologien wie Policy Server, PCRF, Radius/CoA und dergleichen. Der sogenannte Turbo Button, mit dem der Kunde die Bandbreite seines Breitbandanschlusses vorübergehend erhöhen kann, oder die Self-Provisioning-Portale, die dies ermöglichen, gibt es in der Branche schon seit vielen Jahren. Der Markt und das Geschäft sind jetzt jedoch im Aufwind und immer mehr Anbieter sind daran interessiert, diese Optionen aktiv anzubieten.

Heute, im SDN-Zeitalter, bedroht der wirtschaftliche Druck die Nachhaltigkeit, so dass die Steigerung des Umsatzes durch das Angebot flexiblerer Dienste zu einem Muss wird. Dies ist eine Chance für neu entstehende Lösungen, die auf zentralisierten Controllern basieren und eine flexible und automatisierte Konfiguration der Dienste ermöglichen.

Obwohl diese Szenarien bestehende Technologien nutzen und keine radikale architektonische Veränderung bedeuten, stellen alle diese Anwendungsfälle eine geschickte Kombination aus einem oder mehreren der folgenden Merkmale dar:

• Automatisierung und Abstraktion

• Ergänzung der Intelligenz der bestehenden Infrastruktur

• Dynamisierung der Netzwerkentscheidungen

• Entkopplung von Overlay und Underlay, um zu skalieren

Diese Eigenschaften wollen die Autoren in den vielen Kapiteln des Buches auf MPLS anwenden und es so zu einem grundlegenden Werkzeug im SDN-Zeitalter machen.