151
Оглавление Введение......................................................3 1. Общий анализ принципов построения современных глобальных сетей связи, применяемых для организации VPN сетей. Анализ и сравнение технологии MPLS VPN..................................6 1.1 Обзор технологий глобальных сетей, применяемых для построения VPN сетей..........................................6 1.2 VPN-сети с установлением соединения.......................7 1.2.1 Сети на основе технологии TDM.........................8 1.2.2 VPN-сети на основе технологии передачи фреймов.......10 1.2.3 VPN-сети на основе технологии передачи ячеек.........11 1.2.4 VPN-сети 3-го уровня с установлением соединения......13 1.3 VPN-сети без установления соединения.....................16 1.3.1 Обычные VPN-сети протокола IP........................16 1.3.2 VPN-сети на основе коммутации MPLS...................18 1.4 Сравнение VPN-технологий.................................20 1.5 Преимущества VPN-сетей MPLS..............................20 1.6 Постановка технического задания.........................26 1.7 Выводы по главе..........................................27 2. Исследование технологии MPLS VPN. Алгоритм настройки сетей MPLS VPN...................................................... 28 2.1 Принцип работы VPN-сетей MPLS............................28 2.1.1 Маршрутизация и пересылка пакетов в сетях VPN........30 2.1.2 Распространение маршрутной информации в VPN-сети.....32 2.1.3 Пересылка пакетов в сети MPLS........................34 2.2 Проектирование сети......................................36 2.2.1 Выбор протоколов используемых на участке СЕ-РЕ.......36 2.2.1.1 Внутренние и внешние протоколы маршрутизации.....38 2.2.1.2 Дистанционно-векторные и протоколы маршрутизации с учетом состояния.............................................39 2.2.1.3 Протоколы маршрутизации..........................41 2.2.1.4 Обоснование выбора...............................43 2.2.2 Выбор оборудования...................................43 2.2.3 Этапы конфигурирования маршрутизаторов...............52 2.2.3.1 Конфигурирование интерфейсов сети и протокола IGP 52 2.2.3.2 УказаниеVPN-сети пользователя....................53 2.2.3.3 Конфигурирование сеансов маршрутизации РЕ-РЕ.....54 2.2.3.4 Конфигурирование сеансов маршрутизации РЕ-СЕ.....55 2.2.3.5 Конфигурирование Р-маршрутизаторов...............56 2.2.3.6 Конфигурирование СЕ-маршрутизаторов..............57 2.2.3.7 Конфигурирование функций QoS для VPN-сетей MPLS. .58

Диплом MPLS VPN

  • Upload
    -

  • View
    720

  • Download
    3

Embed Size (px)

Citation preview

Page 1: Диплом MPLS VPN

ОглавлениеВведение.....................................................................................................................................3

1. Общий анализ принципов построения современных глобальных сетей связи, применяемых для организации VPN сетей. Анализ и сравнение технологии MPLS VPN....6

1.1 Обзор технологий глобальных сетей, применяемых для построения VPN сетей.........61.2 VPN-сети с установлением соединения............................................................................7 1.2.1 Сети на основе технологии TDM..................................................................................8 1.2.2 VPN-сети на основе технологии передачи фреймов.................................................10 1.2.3 VPN-сети на основе технологии передачи ячеек......................................................11 1.2.4 VPN-сети 3-го уровня с установлением соединения................................................131.3 VPN-сети без установления соединения.........................................................................16 1.3.1 Обычные VPN-сети протокола IP...............................................................................16 1.3.2 VPN-сети на основе коммутации MPLS.....................................................................181.4 Сравнение VPN-технологий.............................................................................................201.5 Преимущества VPN-сетей MPLS.....................................................................................201.6 Постановка технического задания..................................................................................261.7 Выводы по главе................................................................................................................27

2. Исследование технологии MPLS VPN. Алгоритм настройки сетей MPLS VPN..............282.1 Принцип работы VPN-сетей MPLS.................................................................................28 2.1.1 Маршрутизация и пересылка пакетов в сетях VPN..................................................30 2.1.2 Распространение маршрутной информации в VPN-сети.........................................32 2.1.3 Пересылка пакетов в сети MPLS.................................................................................342.2 Проектирование сети.........................................................................................................36 2.2.1 Выбор протоколов используемых на участке СЕ-РЕ................................................36 2.2.1.1 Внутренние и внешние протоколы маршрутизации............................................38 2.2.1.2 Дистанционно-векторные и протоколы маршрутизации с учетом состояния. .39 2.2.1.3 Протоколы маршрутизации....................................................................................41 2.2.1.4 Обоснование выбора...............................................................................................43 2.2.2 Выбор оборудования....................................................................................................43 2.2.3 Этапы конфигурирования маршрутизаторов.............................................................52 2.2.3.1 Конфигурирование интерфейсов сети и протокола IGP......................................52 2.2.3.2 УказаниеVPN-сети пользователя...........................................................................53 2.2.3.3 Конфигурирование сеансов маршрутизации РЕ-РЕ............................................54 2.2.3.4 Конфигурирование сеансов маршрутизации РЕ-СЕ............................................55 2.2.3.5 Конфигурирование Р-маршрутизаторов...............................................................56 2.2.3.6 Конфигурирование СЕ-маршрутизаторов............................................................57 2.2.3.7 Конфигурирование функций QoS для VPN-сетей MPLS....................................58 2.2.3.8 Проверка работоспособности VPN-cети и конфигурации QoS..........................63

2.3 Выводы по главе………………………………………………………………………....653. Конфигурирование спроектированной сети.........................................................................65

3.1 Конфигурирование маршрутизаторов провайдера........................................................663.2 Конфигурирование пограничных маршрутизаторов провайдера и пользователя......68 3.2.1 Конфигурирование сети в Перми................................................................................68 3.2.2 Конфигурирование сети в Екатеринбурге.................................................................71

3.3 Выводы по главе…………………………………………………………………………744. Исследование характеристик работы построенной модели VPN-сети.............................75

4.1 Исследование участка сети клиента А............................................................................754.2 Исследование участка сети клиента В.............................................................................814.3 Исследование участка сети клиента С.............................................................................864.4 Обобщение полученных данных......................................................................................91

Page 2: Диплом MPLS VPN

4.5 Исследование защищенности клиентских данных от других клиентов......................954.6 Выводы по главе...............................................................................................................97

Заключение...................................................................................................................................98Список использованных источников.........................................................................................99

Приложение А........................................................................................................................100Конфигурация маршрутизатора Р2:.................................................................................100Конфигурация маршрутизатора Р3..................................................................................101Конфигурация маршрутизатора Р4..................................................................................102Конфигурация маршрутизатора Р5..................................................................................103

Приложение Б........................................................................................................................105Конфигурирование сети в Челябинске............................................................................105Конфигурирование сети в Оренбурге..............................................................................108Конфигурирование сети в Ижевске.................................................................................111

2

Page 3: Диплом MPLS VPN

Введение

При разработке современных магистральных сетей крупнейших операторов

необходимо решать ряд задач, сложность и характер которых зависит от требований к

функциональному назначению сети. Основная масса постоянно обновляющихся

требований, предъявляемых, в настоящее время, к технологиям глобальных

(магистральных) сетей операторов связи, исходит от растущего спроса клиентов на

дополнительные услуги. При разработке современных магистральных сетей, отвечающих

таким требованиям, выбираются такие технологии и стандарты, которые позволяют в

конечном итоге получить сеть, отвечающую требованиям и характеристикам

«мультисервисной» сети. Мультисервисная сеть - это сеть, которая образует единую

информационно-телекоммуникационную структуру, которая поддерживает все виды

трафика (данные, голос, видео) и предоставляет все виды услуг (традиционные и новые,

базовые и дополнительные) в любой точке, в любое время, в любом наборе и объеме, с

дифференцированным гарантированным качеством и по стоимости, удовлетворяющей

различные категории пользователей [1].

Требования предъявляемые к мультисервисной сети можно условно разделить на

две части — базовые требования (которые учитываются при разработке сети практически

всегда) и дополнительные требования (требования, которые учитываются при наличии

достаточного спроса на них со стороны провайдеров или пользователей). В соответствии с

требованиями определяют также и услуги, которые должен предоставлять оператор.

К базовым услугам мультисервисной сети относятся традиционные услуги

передачи и доступа:

передача трафика данных сети Интернет;

передача традиционного телефонного трафика;

передача видеотрафика;

передача трафика мобильных сетей.

К дополнительным услугам относятся следующие:

передача голосового трафика IP-телефонии;

доступ в сеть Интернет с заданием следующих параметров: гарантируемой

минимальной и возможной максимальной полосы пропускания, допустимой

максимальной задержки, допустимых пределов вариации задержки;

организации виртуальных частных сетей, корпоративных пользователей;

различные услуги контент-провайдеров;

услуги по обеспечению гарантированного уровня обслуживания.

3

Page 4: Диплом MPLS VPN

Одной из самых важных предоставляемых услуг является услуга организации

виртуальных частных сетей корпоративных пользователей. Характерным свойством

большинства корпоративных сетей на сегодняшний день является их территориально

распределенная структура, вследствие чего, возникает задача объединения

территориально распределенных филиалов предприятия и компьютеров удаленных

сотрудников в одну сеть. Кроме того, существуют проблемы защиты информации,

аутентификации и авторизации пользователей, предоставления доступа к ресурсам,

обеспечение независимости адресных пространств.

Изначально, эти задачи решались путем организации собственной частной сети,

что подразумевало прокладку выделенных каналов связи, установку маршрутизаторов и

устройств доступа. Преимущества частных сетей неоспоримы, это и независимость

адресного пространства, и независимый выбор сетевой технологии, и высокий уровень

безопасности. Но также неоспорим и тот факт, что с экономической точки зрения такую

сеть может себе позволить далеко не каждое предприятие.

Под термином VPN понимают круг технологий, обеспечивающих безопасную и

качественную связь в пределах контролируемой группы пользователей по открытой

глобальной сети [5]. Цель создания VPN сводится к максимальной степени обособления

потоков данных одного предприятия от потоков данных всех других пользователей сети.

Такое разделение должно быть обеспечено в отношении параметров пропускной

способности потоков, а также, в отношении конфиденциальности передаваемых

данных [8].

В свете все более возрастающего интереса к технологии, уже сегодня

провайдеры предоставляют планы предоставления услуг с добавленной ценностью

поверх своих транспортных сетей VPN, расширяется рынок VPN-продуктов.

Относительно технологий магистральной сети, то для решения возникающих

задач разрабатывалось множество архитектур, но в настоящее время все более

распространяется архитектура MPLS, которая обеспечивает построение магистральных

сетей, имеющих практически неограниченные возможности масштабирования,

повышенную скорость обработки трафика и беспрецедентную гибкость с точки зрения

организации дополнительных сервисов. Кроме того, технология MPLS позволяет

интегрировать сети IP и ATM, за счет чего поставщики услуг смогут не только сохранить

средства, инвестированные в оборудование асинхронной передачи, но и извлечь

дополнительную выгоду из совместного использования этих протоколов.

4

Page 5: Диплом MPLS VPN

В архитектуре MPLS собраны наиболее удачные элементы всех предыдущих

разработок, и она уже значительное время назад превратилась в стандарт, благодаря

усилиям рабочей группы IETF, отвечающей за развитие MPLS, и компаний,

заинтересованных в скорейшем продвижении данной технологии на рынок.

Провайдеры, предлагающие своим клиентам IP-услуги по магистралям MPLS

могут поддерживать качество обслуживания (QoS), что позволяет администраторам

контролировать такие параметры передачи трафика, как задержка, колебания задержки и

потери пакетов в сети. Одним из основных преимуществ QoS является возможность

поддерживать разные виды трафика, такие как данные, голос и видео, что позволяет

подписывать с заказчиками соглашения о гарантированном качестве услуг.

Учитывая вышесказанное, можно говорить о том, что у технологии VPN MPLS,

несомненно, есть будущее и рассмотрение организации и механизма работы такой

сети довольно актуальный вопрос.

Целью моей квалификационной работы является исследование принципов

построения VPN сетей на базе технологии MPLS.

Для достижения поставленной цели необходимо решение следующих задач:

Анализ принципов построения современных глобальных сетей,

поддерживающих технологию VPN;

Исследование и оценка применимости технологии VPN MPLS;

Построение и оценка виртуальной модели сети VPN MPLS;

Объектом исследования является изучение способов организации VPN сетей, на

базе технологий современных глобальных сетей.

Предметом исследования является спроектированная виртуальная сеть,

поддерживающая технологию VPN MPLS.

5

Page 6: Диплом MPLS VPN

1. Общий анализ принципов построения современных глобальных сетей связи, применяемых для организации VPN сетей. Анализ и сравнение технологии MPLS VPN

1.1 Обзор технологий глобальных сетей, применяемых для построения VPN сетей.

Провайдеры предлагают услуги виртуальных частных сетей (Virtual Private Net-

work — VPN) промышленным пользователям с момента начала эксплуатации сетей на

базе TDM и сетей Х.25 с коммутацией пакетов. Позднее сети Frame Relay и сети на основе

технологии ATM с несколькими классами обслуживания в значительной степени

заменили Х.25 и выделенные линии. Провайдеры служб устанавливают либо

фиксированную стоимость служб VPN, либо оплату, зависящую от интенсивности

пользования службой.

Термин "виртуальная частная сеть" (VPN) используется операторами связи и про-

вайдерами служб для обозначения совокупности виртуальных каналов закрытых групп

пользователей с момента разработки и начала применения служб Х.25, Frame Relay и

ATM [15]. Позднее этот термин стал использоваться при управлении промышленными

сетями (Enterprise Network Management) для обозначения закрытых групп пользователей в

IP-сетях[8].

Пользователи давно осознали преимущества заключения субдоговора на телеком-

муникационные услуги с внешними провайдерами (outsourcing) и объединения служб

данных, голоса и видео. Поэтому для них желательно использование службы управ-

ляемого протокола IP (Managed IP) с соглашениями об уровне обслуживания (Service-

Level Agreement — SLA) на всем маршруте передачи данных (end-to-end) и с гаранти-

рованным качеством обслуживания (QoS) [6].

VPN-сети на базе протокола IP быстро становятся основой доставки

объединенных голоса и видео и обычных цифровых данных. Многие провайдеры служб

предлагают приложения с дополнительными услугами (value-added) в дополнение к своим

транспортным VPN-сетям.

Основой обеспечения консолидированных служб являются две уникальные и

дополняющие друг друга структуры сетей VPN, которые основаны на технологиях набора

открытых стандартов обеспечения безопасности (IP Security - IPSec) и многопротокольной

коммутации по меткам (Multiprotocol Label Switching — MPLS). В настоящей главе

рассматриваются доступные в настоящее время топологии и структуры сред VPN.

Использование VPN-функций в протоколе IP позволяет установить в сетях на ос-

нове программного обеспечения Cisco IOS магистральные службы расширяемых VPN-

сетей 3-го уровня с использованием протокола IP версии 4 (IPv4). VPN-сети протокола IP

6

Page 7: Диплом MPLS VPN

являются базой, используемой компаниями для размещения и администрирования

дополнительных служб, включая приложения, размещение и хранение данных,

электронную торговлю и телефонные службы для коммерческих потребителей.

В сетях уровня предприятия внутренние сети на базе протокола IP радикально из-

менили стиль коммерческих компаний. В настоящее время компании перемещают

коммерческие приложения в локальные сети с последующим распространением их на

распределенную сеть (WAN).

Компании также объединяют потребности пользователей, поставщиков и

партнеров путем использования внешних сетей (под такой сетью понимается внутренняя

сеть, которая обслуживает предприятия). Используя такие сети, компании могут

уменьшить производственные расходы за счет автоматизации учета поставок, обмена

электронными данными (Electronic Data Interchange — EDI) и других форм электронной

торговли. Для того чтобы воспользоваться этими коммерческими возможностями,

провайдерам служб требуется технология VPN-сетей протокола IP, которая предоставляет

предприятиям службы частных сетей по совместно используемым инфраструктурам.

1.2 VPN-сети с установлением соединения

VPN-сети с установлением соединения могут быть созданы на базе инфраструкту-

ры 2-го или 3-го уровня. Примерами таких VPN-сетей 2-го уровня могут служить каналы с

установлением соединения типа "точка-точка", такие как виртуальные соединения Frame

Relay или ATM.

Примером VPN-сетей с установлением соединения 3-го уровня могут служить

структуры VPN, созданные с использованием полносвязной или частично-связной

топологии туннелей на базе протокола IPSec (с шифрованием для обеспечения кон-

фиденциальности) или с использованием технологии общей инкапсуляцией маршру-

тизации (Generic Routing Encapsulation — GRE).

VPN-сети доступа к службе используют механизм установления соединения с

коммутацией каналов, обеспечивающие временное безопасное соединение удаленного

доступа между индивидуальным пользователем и внутренней или внешней

корпоративной сетью (intranet и extranet) через совместно используемую сеть провайдера

службы с той же стратегией передачи данных, как и в частной сети. Такие сети

используют удаленный доступ к точке присутствия (Point of Presence — РоР) провайдера

ISP с последующей передачей данных по открытой сети Internet с конечным доступом к

внутренней корпоративной сети.

7

Page 8: Диплом MPLS VPN

Главной проблемой в VPN-сетях с установлением соединения является сложность

расширения сети. В частности, эффективность VPN-сетей с установлением соединения

без полносвязной топологии далека от оптимальной. Кроме того, в случае VPN-сетей 3-го

уровня при передаче по сети Internet невозможно твердо гарантировать качество

обслуживания (Quality of Service — QoS) при передаче данных по такой структуре. С

точки зрения менеджеров телекоммуникаций (telecom management) сложность создания

виртуальных каналов ATM или Frame Relay сравнима со сложностью создания

выделенных линий[13].

Использование VPN-сетей на базе виртуальных каналов требует от провайдера

службы создания отдельных виртуальных каналов и управления ими или создания логиче-

ских маршрутов и управления ими для каждой пары узлов, входящих в группу пользова-

телей и осуществляющих обмен данными. Такое требование эквивалентно построению

полносвязной топологии виртуальных каналов, включающей всех пользователей.

VPN-сети 2-го уровня с установлением соединения являются основой VPN-

модели передачи информации одного уровня в среде другого. В этой модели провайдер

службы предоставляет виртуальные каналы, а обмен маршрутной информацией происхо-

дит непосредственно между маршрутизаторами пользователя (т.е. СРЕ).

1.2.1 Сети на основе технологии TDM

Большинство провайдеров служб предлагают пользователям службы сетей с

выделенными линиями. Они включают в себя цифровое мультиплексирование, при

использовании которого из битового потока практически одновременно выделяются

данные двух или более каналов, и их биты передаются поочередно. В Северной Америке

провайдеры служб и операторы связи предлагают пользователям линии DS1 и DS3, а в Ев-

ропе и в Тихоокеанском регионе, как правило, используются линии Е1 и ЕЗ.

Как показано на рисунке 1.1, пользователи А и Б совместно используют

физическую инфраструктуру оператора связи, но логически отделены друг от друга

механизмом преобразования адресов портов и электронными перекрестными

соединениями, которые обеспечиваются оператором связи. Перекрестные соединения

обычно обеспечиваются системами DACS (Digital Automatic and CrossConnect System —

система цифрового доступа и коммутации). Однако для достижения указанной цели также

широко используются физические соединения.

На рисунке 1.2 показаны физические соединения между пользователями А и Б, а

также сеть провайдера службы в целом.

8

Page 9: Диплом MPLS VPN

Сеть TDM представляет собой простейший пример виртуальной частной сети,

предоставляющей пользователям фиксированную полосу пропускания высокого качества.

Большинство операторов связи предоставляют пользователям полосу пропускания,

кратную 64 Кбит/с (полоса пропускания одного канала DS0). Более подробная

информация о TDM будет приведена далее в работе.

Рисунок 1.1 – Логическая схема использования выделенных линий в VPN-сетях

Рисунок 1.2 – Сеть VPN с выделенными линиями

9

Page 10: Диплом MPLS VPN

1.2.2 VPN-сети на основе технологии передачи фреймов

VPN-сети на основе фреймов, такие как Frame Relay и Х.25, используют

логические маршруты, определяемые коммутируемыми и постоянными виртуальными

каналами. Как показано на рисунке 1.3, при этом несколько закрытых групп

пользователей, совместно используют коммутируемую инфраструктуру провайдера

службы. Пользователям предоставляется доступ только к тем виртуальным каналам,

которые предназначены исключительно для частного использования. Такие каналы PVC

или SVC могут предоставляться с фиксированной согласованной скоростью передачи

(CIR) или на скорости порта (равной ширине полосы пропускания абонентского канала —

local loop).

Рисунок 1.3 – Структура VPN-сети Frame Relay

На рисунке 1.4 показана физическая картина сети Frame Relay. Оба пользователя

А и Б подсоединены к точкам присутствия (Points of Presence — POPs) провайдера або-

нентских каналов TDM. Протокол Frame Relay функционирует между локальным CPE-

устройством FRAD (например, маршрутизатор) и коммутатором Frame Relay.

Функция межсетевого обмена протокола Frame Relay преобразует фреймы Frame

Relay в ячейки ATM для передачи по магистрали ATM.

10

Page 11: Диплом MPLS VPN

Более подробное описание технологии Frame Relay будет приведена далее в

работе.

В технологии Х.25 на 2-м уровне используются фреймы Х.25, а на 3-м уровне —

пакеты Х.25, в отличие от технологии Frame Relay, в которой используются только

фреймы 2-го уровня. Провайдеры службы Х.25 обычно предоставляют по желанию

заказчика коммутируемые виртуальные каналы SVC или постоянные каналы PVC,

которые описываются идентификаторами логического канала (Logical Channel Identifier—

LCI).

Рисунок 1.4 – Структура сети VPN в среде Frame Relay

Идентификатор LCI включает в себя 4-битовый номер логической группы

(Logical Group Number— LGN) и 8-битовый номер логического канала (Logical Channel

Number — LCN). Х.25 в качестве протокола создания фреймов на 2-м уровне использует

сбалансированную процедуру доступа к каналу (Link Access Procedure Balanced — LAPB).

1.2.3 VPN-сети на основе технологии передачи ячеек

VPN-сети на основе передачи ячеек, такие как ATM и SMDS, используют логиче-

ские маршруты, определяемые коммутируемыми (SVC) и постоянными (PVC) вирту-

альными каналами. При этом, как показано на рисунке 1.5, несколько закрытых групп

11

Page 12: Диплом MPLS VPN

пользователей или потребителей совместно используют коммутируемую инфраструктуру

провайдера службы. Пользователям предоставляются виртуальные каналы, заре-

зервированные исключительно для частного использования. Такие каналы PVC или SVC

могут предоставляться со следующими классами обслуживания: CBR, VBR-RT, VBR-

NRT, ABR и UBR. В сетях ATM также могут предоставляться перепрограммируемые

каналы PVC (soft PVC), представляющие собой гибрид каналов SVC и PVC.

Рисунок 1.5 – Логическая структура VPN-сети ATM

На рисунке 1.6 показана физическая структура сети ATM. Пользователи А и Б

подсоединены к точкам присутствия (Points of Presence — POPs) сети ATM с помощью

абонентских каналов TDM или SONET/SDH на полной пропускной способности. АТМ-

маршрутизаторы оборудования пользователя (СРЕ) используют виртуальные каналы ATM

в качестве транспортного механизма 2-го уровня для передачи данных протокола IP или

любого другого протокола 3-го уровня.

12

Page 13: Диплом MPLS VPN

Рисунок 1.6 – Физическая структура VPN-сети ATM

1.2.4 VPN-сети 3-го уровня с установлением соединения

VPN-сети 3-го уровня, в которых используется процедура установления соедине-

ния, являются основой туннельной модели VPN. При использовании технологий GRE или

IP Security (IPSec) создается туннельная модель соединений "точка-точка" через

внутреннюю сеть IP или через открытую сеть Internet, в то время как виртуальные частные

сети удаленного доступа (Virtual Private Dialup Network — VPDN) представляют собой

гибридную комбинацию удаленного доступа и безопасного туннельного соединения через

среду Internet к точке концентрации трафика предприятия, такой как корпоративный

шлюз.

Туннельные VPN-сети протокола общей инкапсуляции маршрутизации (Generic

Route Encapsulation — GRE) могут быть использованы для создания IP-соединений типа

"точка-точка". Комбинация таких GRE-туннелей может быть использована для

построения VPN-сети. Однако присущая GRE-туннелям недостаточная внутренняя

безопасность, вытекающая из отсутствия механизмов шифрования, делает GRE-туннели

недостаточно защищенными от несанкционированного доступа.

Как показано на рисунке 1.7, использование GRE-туннелей целесообразно для по-

строения VPN-сетей в частной магистральной IP-сети провайдера службы. Они также

полезны для передачи по туннельным соединениям потоков данных 3-го уровня, от-

личных от IP, в частной IP-сети.

13

Page 14: Диплом MPLS VPN

Рисунок 1.7 – Туннельные VPN-сети протоколов GRE and IPSec

VPN-сети протокола IPSec с туннельными соединениями представляет собой

технологию с высокой степенью безопасности, использующую шифрование и механизм

создания туннельных соединений, которые защищают содержимое пакетов при

прохождении по IP-сети [5]. Протокол IPSec, как правило, используется при передаче

данных через открытые, недостаточно безопасные, IP-сети, такие как Internet. Комбинация

туннелей IPSec типа "точка-точка" позволяет создавать VPN-сети в открытых IP-сетях.

Большая часть структуры IPSec реализуется на СРЕ-оборудовании пользователя, а

провайдеры служб, как правило, предоставляют VPN-службы управляемого протокола

IPSec (Managed IPSec). Топология сети, использующей технологию IPSec, приведена на

рисунке 1.7. Для пользователей , которым требуется безопасный удаленный доступ, IPSec

в настоящее время является единственной практической возможностью получения такого

доступа через VPN-сеть.

VPDN-сети, использующие протоколы L2F И L2TP, также предоставляют

определенную степень безопасности при удаленном доступе, хотя и не столь высокую,

как технология IPSec. высокая эффективность защиты протокола IPSec обеспечивается

глубоким шифрованием содержимого с помощью различных разновидностей стандарта

шифрования данных (Data Encryption Standard — DES), таких как 168-битовый стандарт

3DES и аутентификация по заголовкам.

14

Page 15: Диплом MPLS VPN

П пользователи получают удаленный доступ к своим корпоративным сетям через

службы открытой коммутируемой телефонной сети (Public Switched Telephone Network —

PSTN) или через службы ISDN. Как показано на рисунке 1.8, службы виртуальной

частной сети удаленного доступа (Virtual Private Dialup Network — VPDN) реализуются

главным образом по частной IP-магистрали провайдера. Для реализации служб VPDN по

IP-сети используются такие протоколы, как протокол пересылки 2-го уровня (Layer 2

Forwarding — L2F) и протокол туннельного соединения 2-го уровня (Layer 2 Tunneling

Protocol — L2TP).

Удаленные пользователи инициируют соединение удаленного доступа с сетевым

сервером доступа (Network Access Server — NAS), используя протокол РРР. Сервер NAS

выполняет аутентификацию вызова и направляет ячейки с помощью протоколов L2F или

L2TP к корпоративному шлюзу пользователя. Шлюз принимает вызов, направленный

серверу NAS, выполняет дополнительную аутентификацию и авторизацию, после чего

завершает сеанс РРР пользователя. Функции аутентификации, авторизации и учета

(Authentication, Authorization and Accounting — AAA) также могут быть выполнены

сервером AAA, таким как TACACS+. Все параметры сеанса РРР согласовываются между

пользователем удаленного доступа и корпоративным шлюзом. На VPN-сети удаленного

доступа, такие как VPDN, имеют определенные ограничения: они не поддаются

расширению и не обеспечивают связь "всех-со-всеми".

Рисунок 1.8 – Виртуальная частная сеть удаленного доступа (VPDN)

15

Page 16: Диплом MPLS VPN

Протокол туннельного соединения типа "точка-точка" (Point-to-Point Tunneling

Protocol — PPTP), наряду с протоколом шифрования "точка-точка" корпорации Microsoft

(Microsoft Point-to-Point Encryption — MPPE), позволяет VPN-сетям на основе

оборудования корпорации Cisco использовать PPTP в качестве протокола туннельного

соединения [12]. РРТР представляет собой сетевой протокол безопасной передачи данных

от удаленного клиента к серверу частного предприятия путем создания VPN—сети в IP-

сети. Протокол РРТР использует туннели по желанию пользователя (также называемые

туннелями, инициированными пользователем, client-initiated tunneling), что позволяет

клиентам сконфигурировать и установить зашифрованные туннели к туннельным

серверам без промежуточного участия сервера NAS в согласовании параметров и

установке туннеля.

Протокол РРТР использует МРРЕ в качестве метода шифрования при передаче

данных по каналу удаленного доступа или по туннелю VPN-сети. МРРЕ функционирует

как вспомогательная функция протокола сжатия типа "точка-точка" корпорации Microsoft

(Microsoft Point-to-Point Compression — MPPC). МРРЕ использует шифровальные ключи

длиной 40 или 128 бит. Все ключи создаются на основе передаваемого открытым текстом

пароля пользователя. Алгоритм МРРЕ представляет собой механизм шифрования потока,

поэтому зашифрованные и расшифрованные фреймы имеют ту же длину, что и

первоначальные фреймы. Cisco-реализация МРРЕ полностью совместима и

взаимозаменяема с реализацией корпорации Microsoft и использует все доступные опции

последней, включая режим шифрования без предыстории.

1.3 VPN-сети без установления соединения

VPN-сети без установления соединения при установке связи между конечными

точками не требуют наличия заранее заданного логического или виртуального канала

между ними.

Сети 3-го уровня без установления соединения составляют базу одноранговой мо-

дели. В такой модели обмен маршрутной информацией происходит между маршру-

тизаторами СРЕ и маршрутизаторами провайдера.

1.3.1 Обычные VPN-сети протокола IP

Многие провайдеры предоставляют пользователям управляемые службы IP

(managed IP services), что дает пользователям возможность подсоединить свои IP-

маршрутизаторы СРЕ к частным IP-магистралям провайдера. Большинство провайдеров

службы IP организуют свои IP-сети в инфраструктуре 2-го уровня, такой как сеть ATM

или Frame Relay. Типичный пример VPN-сети IP приведен на рисунке 1.9.

16

Page 17: Диплом MPLS VPN

Рисунок 1.9 – Типовая VPN-сеть протокола IP на основе маршрутизаторов

Обычно провайдеры для различных пользователей конфигурируют на своих маги-

стральных маршрутизаторах несколько протоколов маршрутизации или несколько

процессов маршрутизации. Как правило, устройство маршрутизации Cisco (Cisco Routing

engine) поддерживает на отдельных маршрутизаторах несколько протоколов

маршрутизации для подсоединения сетей, использующих различные протоколы. В

протоколы маршрутизации еще при создании закладывался принцип независимого

функционирования от других аналогичных протоколов. Каждый протокол собирает и

анализирует необходимую ему информацию и реагирует на изменения топологии ин-

дивидуальным образом. Например, протокол RIP использует в качестве метрики ко-

личество транзитных переходов, а протокол EIGRP — вектор метрической информации,

состоящий из пяти элементов.

Еще более важно то, что маршрутизаторы Cisco, как правило, могут

одновременно обрабатывать до 30 процессов динамической IP-маршрутизации. При

комбинировании различных процессов маршрутизации на одном маршрутизаторе могут

использоваться следующие протоколы (приведены также имеющиеся ограничения):

до 30 процессов IGRP-маршрутизации;

до 30 процессов OSPF-маршрутизации;

один процесс IS-IS;

один процесс маршрутизации RIP;

17

Page 18: Диплом MPLS VPN

один процесс маршрутизации BGP;

до 30 процессов маршрутизации EGP.

Пользователи получают доступ к VPN-сетям IP посредством комбинации списков

доступа, протоколов маршрутизации и процессов. Самыми сложными проблемами,

стоящими перед провайдерами управляемых IP-служб, являются расширяемость и

сложность реализации. Большое количество доступных протоколов и процессов

маршрутизации, поддерживаемых платформами маршрутизаторов, иногда вынуждает

провайдеров размещать в точке присутствия отдельные маршрутизаторы для каждой

пользовательской VPN-сети.

1.3.2 VPN-сети на основе коммутации MPLS

VPN-сети MPLS не устанавливают соединений. Механизмы MPLS разделяют по-

токи данных на категории и обеспечивает конфиденциальность без использования

туннельных протоколов 2-го уровня и шифрования. Такой подход значительно упрощает

процесс инициализации сети.

Использование технологии MPLS позволяет решить проблемы расширяемости,

возникающие при создании сетей Frame Relay и ATM за счет того, что провайдеры могут

инициировать несколько сетей VPN для части пользователей, не инициируя все

виртуальные каналы всех закрытых групп пользователей, число которых иногда

составляет несколько десятков или даже сотен. Пример VPN-сети технологии MPLS

приведен на рисунке 1.10. Пользователи А и Б совместно используют инфраструктуру

провайдера, сохраняя способность формировать свои собственные замкнутые

пользовательские группы с наивысшим возможным для них уровнем безопасности. Они

также могут использовать собственные протоколы маршрутизации.

18

Page 19: Диплом MPLS VPN

Рисунок 1.10 – Виртуальная частная сеть MPLS

Модель MPLS требует, чтобы CPE-маршрутизаторы осуществляли

непосредственный обмен маршрутной информацией только с граничными

маршрутизаторами провайдера, вместо обмена такой информацией со всеми CPE-

маршрутизаторами, принадлежащими к данной структуре VPN. Принадлежность

устройств VPN-сети к замкнутой пользовательской группе фиксируется с помощью

метки. Метки содержат информацию о следующем транзитном переходе, атрибуты

службы и идентификатор VPN-сети, который обеспечивает конфиденциальность обмена

информацией внутри структуры VPN.

На входе в сеть провайдера пакеты, поступающие от маршрутизатора СРЕ, об-

рабатываются, и им присваиваются метки в соответствии с физическим интерфейсом, на

котором они были получены. Назначение меток основано на информации, содержащейся

в таблицах маршрутизации и пересылки (VPN Routing and Forwarding — VRF).

Необходимые таблицы составляются заранее, и входящие пакеты исследуются только на

входном LSR-устройстве. Базовые устройства или LSR-устройства провайдера (Provider

— Р) лишь отправляют эти пакеты, основываясь на значениях меток.

Применение технологии MPLS дает возможность маршрутизируемым

магистралям провайдера поддерживать VPN-сети и обеспечивает прозрачность

механизмов 3-го уровня даже через инфраструктуры 2-го уровня [5]. Такой подход

позволяет создавать закрытые пользовательские группы и связанные с ними службы. 19

Page 20: Диплом MPLS VPN

1.4 Сравнение VPN-технологий

В процессе внедрения VPN-сетей для удовлетворения индивидуальных

требований различных пользователей провайдеры должны рассмотреть вопрос о

совместном использовании как технологии MPLS, так и IPSec. Обе технологии имеют

определенные достоинства и дополняют друг друга, расширяя возможности средств для

создания безопасного сквозного соединения VPN в инфраструктуре провайдера и через

каналы открытой сети Internet.

В таблице 1.1 приведено сравнение различных технологий VPN и даются реко-

мендации по выбору подходящего решения на основе используемых приложений,

требований безопасности, расширяемости, финансовых возможностей и иных факторов.

Таблица 1.1 Сравнение различных решений для VPN-сетей

Комментарий

Виртуальные

каналы 2-ого

уровня

Туннели на

3-м уровне

VPN-сети

MPLS

Уровень

сложности при

установке и

управлении

Для быстрого создания

новых служб, повышения

уровня безопасности,

качества обслуживания и

поддержки соглашений об

уровне обслуживания

необходимо иметь усо-

вершенствованные системы

мониторинга и анализа

проходящих потоков

данных

Низкий Средний Высокий

Уровень

безопасности

Должны предлагаться

различные уровни

безопасности, включая

использование туннелей,

шифрование, разделение

потоков (traffic separation),

аутентификация и

управление доступом

Высокий Высокий Высокий

20

Page 21: Диплом MPLS VPN

Продолжение таблицы 1.1

Комментарий

Виртуальные

каналы 2-ого

уровня

Туннели на 3-

м уровне

VPN-сети

MPLS

Расширяемость

структуры

Должна позволять

расширение служб VPN

малых и средних

предприятий до сетей

крупных промышленных

пользователей

Средняя Средняя Высокая

Качество

обслуживания

Должна быть возможность

назначать приоритеты

критически важным или

чувствительным к задержке

приложениям и

возможность управления в

случае возникновения

заторов путем изменения

ширины полосы

пропускания

Высокое

Для

реализации

QoS

необходимо

использовать

другие техно-

логии

Высокое

Стоимость

установки

Прямые и косвенные

расходы на установку VPNВысокие Средние Низкие

1.5 Преимущества VPN-сетей MPLS

В настоящем разделе опишем следующие преимущества VPN-сетей MPLS:

расширяемость;

безопасность;

простота создания сетей VPN;

гибкость адресации;

соответствие стандартам;

гибкость структуры;

сквозные службы задания приоритетов;

консолидация (объединение разных типов данных);

перераспределение потоков;

21

Page 22: Диплом MPLS VPN

централизованное обслуживание;

поддержка интегрированных классов обслуживания;

модернизация и модификация сети;

централизованное управление и инициализация путем использования

Cisco-протокола управления службой (Cisco Service Management — CSM).

Расширяемость

Коммутация MPLS была разработана, в частности, для эффективного решения

проблем, связанных с расширением сетей. Ее использование позволяет создавать в одной

и той же сети десятки тысяч VPN-структур. Структуры VPN на базе технологии MPLS

используют паритетную модель и структуру 3-го уровня без установления соединения для

создания VPN-сетей с большой степенью расширяемости. Паритетная модель требует,

чтобы узел пользователя имел одноранговую связь только с одним граничным

маршрутизатором провайдера (Provider Edge router — РЕ-router), а не со всеми

маршрутизаторами СРЕ или граничными маршрутизаторами пользователя (Customer Edge

router — CE-router), которые принадлежат к VPN-сети. Структура без установления

соединений позволяет создавать VPN-сети на 3-м уровне, устраняя необходимость в

туннелях или виртуальных каналах (VC).

Безопасность

VPN-сети технологии MPLS обеспечивают такой же уровень безопасности, как и

VPN-структуры с установлением (Frame Relay или ATM). Пакеты одной VPN-сети не

могут случайным образом попасть в другую сеть VPN, поскольку безопасность

обеспечивается на границе инфраструктуры провайдера, где пакеты, полученные от

пользователя, отправляются в нужную VPN-сеть [7]. В магистрали данные отдельных

VPN-сетей перемешаются отдельно. «Снифинг» (попытка получить доступ к РЕ-

маршрутизатору) практически невозможен, поскольку IP-пакеты пользователей должны

быть получены на конкретном интерфейсе или подинтерфейсе, где они однозначно

идентифицируются по VPN-меткам.

Простота создания сети VPN

При создании VPN-сетей не требуется специальных таблиц преобразований для

соединений "точка-точка" или дополнительных топологий. Для создания закрытых групп

пользователей к внутренним и внешним сетям (т.е. intranet и extranet) могут быть

добавлены новые узлы. При таком управлении VPN-сетями узел может находиться в

нескольких VPN-сетях, что предоставляет максимальную гибкость при построении

инфраструктуры. Функции MPLS выполняются в сети провайдера, а в конфигурировании

оборудования пользователя либо вообще нет необходимости, либо требуется лишь

22

Page 23: Диплом MPLS VPN

незначительное. Среда MPLS прозрачна для маршрутизаторов CPE, а CPE-устройствам

пользователя установка службы MPLS не требуется.

Гибкая адресация

Для того чтобы сделать службу VPN более доступной, пользователи провайдера

могут создать собственную схему адресации, независимую от схем адресации других

пользователей этого провайдера. Многие пользователи используют собственные адресные

пространства, в соответствии со спецификацией RFC 1918 и не имеют желания

затрачивать время и средства на преобразование открытых IP-адресов для создания

соединений внутренней сети. VPN-сети MPLS дают возможность использовать текущее

адресное пространство без трансляции сетевых адресов (Network Address Translation —

NAT) и адреса — как частные внутренние, так и открытые внешние. Использование

службы трансляции NAT становится необходимым только в том случае, когда двум VPN-

сетям с пересекающимися адресными пространствами требуется установить связь. Эта

служба дает возможность использовать собственные незарегистрированные частные

адреса и свободно осуществлять связь через открытую IP-сеть.

Соответствие стандартам

Коммутация MPLS может быть использована всеми разработчиками для

обеспечения взаимодействия между сетями, содержащими оборудование различных

производителей.

Гибкость сетевой структуры

Программное обеспечение Cisco IOS в сочетании е маршрутизаторами и коммута-

торами Cisco позволяет провайдерам легко устанавливать межсетевые соединения с

другими провайдерами для обеспечения глобального распространения технологии IP на

нужные сети.

Сквозные службы задания приоритетов

Механизмы качества обслуживания обеспечивают пользователям необходимое

качество коммуникаций на всем протяжении маршрута, а провайдерам позволяют га-

рантировать выполнение условий соглашений об уровне обслуживания (SLA). Технология

MPLS обеспечивает расширяемость QoS и его распространение на многочисленные

технологии сквозных соединений.

Объединение различных типов данных

Объединение в одном потоке (консолидация) обычных цифровых данных, голоса

и видео позволяет провайдерам уменьшить капитальные расходы и затраты на поддер-

жание работы сети.

23

Page 24: Диплом MPLS VPN

Перераспределение потоков

Маршрутизация с перераспределением потоков и резервированием ресурсов

(Traffic Engineering Routing with Resource Reservation — RRR), наряду с использованием

расширений протокола RSVP позволяет провайдерам в максимальной степени ис-

пользовать сетевые ресурсы и добиться оптимальной работы сети. Маршрутизация RRR

позволяет оператору применять явно заданные маршруты и принудительно направлять по

ним потоки данных, что заменяет традиционные методы IP-маршрутизации и

предоставляет пользователю механизмы защиты и быстрого восстановления работы сети в

случае отказа устройств. При этом достигается оптимизация работы недостаточно

загруженных каналов и более эффективная маршрутизация.

Централизованное обслуживание

Построение VPN-сетей на 3-м уровне позволяет целевым образом предоставлять

требуемые службы группам пользователей данной VPN. VPN-сеть должна не только

предоставить провайдерам механизм частного подключения пользователей к intranet-

службам, но и обеспечить способ гибкого предоставления дополнительных служб от-

дельным пользователям. При этом вопросы расширяемости приобретают исключи-

тельную важность, поскольку пользователи хотят использовать службы частным образом

в своих внутренних и внешних сетях (intranet и extranet). Поскольку среды MPLS

рассматриваются как частные внутренние сети, новые IP-службы могут быть исполь-

зованы для следующих целей:

для многоадресатной рассылки;

для обеспечения качества обслуживания;

для поддержки телефонной связи между сетями VPN;

для централизованных служб внутри сред VPN;

для соединения "всех-со-всеми".

Интегрированная поддержка классов обслуживания

Уровень качества обслуживания представляет собой важное требование многих

потребителей VPN-сетей технологии IP. Функции QoS позволяют выполнить два фун-

даментальных требования к сети VPN:

предсказуемое поведение сети и реализация заданной стратегии;

поддержка различных уровней обслуживания в VPN-сетях MPLS.

Перед тем как потоки данных будут объединены в соответствии со стратегией,

задаваемой клиентами, и направлены в пункты назначения по магистрали провайдера, на

границе сети производится их классификация и назначение им меток. В магистрали или

24

Page 25: Диплом MPLS VPN

на границе сети потоки данных могут дифференцироваться по различным классам на

основе вероятности отбрасывания пакетов или величины задержки в каналах.

Модернизация и модификация сети

Размещение службы VPN требует ясного плана модификации сети. VPN-сети

MPLS уникальны, поскольку их можно построить на базе нескольких сетевых структур,

включая IP, ATM, Frame Relay и гибридные сети. Модернизация сети для конечного

пользователя упрощается, поскольку на граничном маршрутизаторе пользователя не

требуется поддержки служб MPLS, а во внутренней сети пользователя не требуется

никаких модификаций.

25

Page 26: Диплом MPLS VPN

1.6 Постановка технического задания

Согласно теоретической разработке, представленной в главе 1, и выбранной темы

выпускной квалификационной работы необходимо будет построить модель сети VPN на

базе технологии MPLS, используя среду Dynampis с графическим интерфейсом GNS3, и

также необходимо будет оценить ее работоспособность.

Вся сеть должна быть разбита на две основные части, а именно сеть провайдера и

сети клиентов. При этом сети клиентов не должны видеть сеть провайдера и иметь к ней

доступ.

Необходимо сконфигурировать сеть таким образом, чтобы сети разных клиентов

не имели доступ к сети другого клиента и не видели ее. Но в тоже время могли

использовать адреса частных сетей.

Сеть провайдера должна поддерживать разные протоколы маршрутизации, такие

как RIP версии 2, OSPF и другие, чтобы обеспечить подключение совершенно разных

клиентов к сети провайдера.

Также надо обеспечить работу качества обслуживания. В данной выпускной

квалификационной работе реализуем это следующим образом. Сконфигурируем сеть

таким образом, чтобы она поддерживала три тарифных плана, а именно Platinum, Gold и

Silver. Каждый тарифный план поддерживает скорость доступа 384 Кбит/сек - для клиента

А, 512 Кбит/сек – для клиента B и 768 Кбит/сек для клиента С. соответственно.

Спроектированная сеть должна быть хорошо масштабируемой и обеспечивать

быстрое подключение нового клиента в сеть.

В ходе проектирования сети необходимо определиться с используемым

оборудованием. Оборудование должно отвечать следующим требованиям: надежность,

быстродействие, качество.

26

Page 27: Диплом MPLS VPN

1.7 Выводы по главе

Термин "виртуальная частная сеть" (Virtual Private Network — VPN) используется

для обозначения группы пользователей внутри некоторой сети. Сети VPN на базе

протокола IP быстро становится основой объединения голосовых и видеослужб и служб

обычных цифровых данных. Технологии IPSec и MPLS представляют собой

доминирующую тенденцию обеспечения консолидированных служб.

VPN-сети с установлением соединения могут быть созданы на базе инфрастуктур

2-го и 3-го уровней. Примером таких сетей на 2-м уровне могут служить VPN-сети Frame

Relay и ATM. Примерами VPN-сетей с установлением соединения 3-го уровня могут

служить среды которые используют туннельный протокол 2-го уровня IPSec (L2TP),

протокол пересылки 2-го уровня (Layer 2 Forwarding — L2F) и общую инкапсуляцию при

маршрутизации (Generic Routing Encapsulation — GRE). Другим примером VPN-сетей с

установлением соединения являются виртуальные сети удаленного доступа VPDN (Access

VPDN).

VPN-сети без установления соединения не требуют предварительной установки

логического или виртуального канала для создания канала связи между двумя

оконечными точками. Такие сети 3-го уровня образуют основу одноранговой модели. При

использовании данной модели обмен информацией происходит между маршрутизаторами

СРЕ и маршрутизаторами провайдера службы. Примерами VPN-сетей без установления

соединений могут служить обычные VPN-сети протокола IP и VPN-сети MPLS.

При создании VPN-сетей в качестве наилучших утвердились две технологии:

MPLS и IPSec. Выбор провайдером одной из них должен основываться на требованиях

пользователей и обслуживаемых сегментах, на дополнительных службах, которые могут

быть предложены пользователям, и на приоритетах собственной сети.

27

Page 28: Диплом MPLS VPN

2. Исследование технологии MPLS VPN. Алгоритм настройки сетей MPLS VPN.

Виртуальная частная сеть (VPN) представляет собой набор узлов, совместно ис-

пользующих информацию маршрутизации 3-го уровня. Хотя VPN-сети технологии MPLS

не используют процедуру установления соединения, при их создании удается объединить

преимущества коммутации 2-го уровня с принципами маршрутизации с установлением

соединения 3-го уровня. VPN-сети MPLS позволяют также обеспечить безопасность связи

за счет того, что обмен информацией о маршрутизации происходит только между узлами,

принадлежащими к данной VPN-сети.

Указанная выше особенность позволяет провайдеру создавать локальные и

распределенные сети и предоставлять возможность выхода в среду Internet различным

VPN-сетям по общей инфраструктуре, которая также может быть использована для

предоставления служб IP, ATM и Frame Relay.

Функции VPN совместно с многопротокольной коммутацией по меткам

(Multiprotocol Label Switching — MPLS) позволяют реализовать в сети провайдера

расширяемые магистральные VPN-службы 3-го уровня на базе протокола IPv4. Такие

службы могут быть развернуты в маршрутизируемой магистрали 3-го уровня, которая

использует среду ATM [4]. В настоящей главе описан процесс развертывания технологии

MPLS в маршрутизируемой магистрали. Любой из предложенных ниже подходов

позволяет провайдеру предоставлять интегрированные VPN-службы в той же самой

инфраструктуре, которая используется для предоставления услуг сети Internet или служб

2-го уровня, таких как VPN-службы с установлением соединения Frame Relay или ATM. В

настоящее время протокол IP является единственными протоколом 3-го уровня, который

поддерживается Cisco-реализациями средств MPLS совместно с VPN.

2.1 Принцип работы VPN-сетей MPLS

На рисунке 2.1 приведен пример VPN-сети, создаваемой провайдером.

Возможность предоставлять пользователям расширяемые VPN-сети полностью отвечает

интересам провайдера. Промышленные сети, которые построены на имеющихся или

арендуемых частных инфраструктурах 2-го уровня, также могут использовать такие

технологии.

28

Page 29: Диплом MPLS VPN

Рисунок 2.1 – Виртуальная частная сеть MPLS

Ниже приведены различные компоненты технологии MPLS, используемые для

создания VPN-сетей.

Базовые маршрутизаторы MPLS (Р). Базовые маршрутизаторы, также

называемые маршрутизаторами провайдера (Р router), не содержат маршрутов VPN-сетей.

Вместе с другими LSR-устройствами провайдера они обычно образуют полносвязную или

частично-связную топологию и осуществляют интерфейс с граничными мар-

шрутизаторами провайдера (provider edge — РЕ router). Р-маршрутизаторы никогда не

подсоединяются непосредственно к маршрутизаторам пользователя.

Граничные маршрутизаторы сети MPLS (MPLS edge routers — РЕ).

Маршрутизаторы точек присутствия, также известные как граничные маршрутизаторы

провайдера (Provider Edge router — РЕ router), содержат VPN-маршруты для

поддерживаемых ими сетей VPN. Они являются устройствами того же ранга, что и

граничные маршрутизаторы пользователя (Customer Edge router — СЕ router) и

поддерживают интерфейс с базовыми маршрутизаторами провайдера. РЕ-

маршрутизаторы являются устройствами того же ранга, что и Р-маршрутизаторы, и

соединены с ними или непосредственно с другими РЕ- маршрутизаторами.

Граничные маршрутизаторы пользователя (Customer Edge router — СЕ

router). Граничным маршрутизаторам пользователя не требуются функции MPLS, а для

29

Page 30: Диплом MPLS VPN

поддержки соединений они могут использовать обычные методы маршрутизации.

Ранговая модель требует, чтобы узел пользователя поддерживал паритетную связь только

с одним РЕ-маршрутизатором, в отличие от всех остальных СРЕ- или СЕ-

маршрутизаторов, являющихся членами VPN-сети, которая построена на основе других

технологий. СЕ-маршрутизаторы никогда непосредственно не подсоединяются к Р-

маршрутизаторам.

Маршрутизаторы пользователя (Customer router — С-router).

Принадлежащим пользователю внутренним маршрутизаторам, также называемым С-

маршрутизаторами, не требуется поддерживать функции MPLS, а для поддержки

соединений между собой и с СЕ-маршрутизаторами они могут использовать обычные

методы маршрутизации.

VPN-сети включают в себя устройства пользователя, подсоединенные к СЕ-

маршрутизаторам. СЕ-маршрутизаторы любой из VPN-сетей могут быть подсоединены к

любому из РЕ-маршрутизаторов провайдера. РЕ-маршрутизаторы соединены между собой

через базовую сеть Р-маршрутизаторов.

2.1.1 Маршрутизация и пересылка пакетов в сетях VPN

Каждая VPN-сеть логически связана с одним или более комплексов

маршрутизации и пересыпки (VPN Routing and Forwarding instance — VRF). Комплекс

VRF определяет членство в VPN-сети узла пользователя, подсоединенного к РЕ-

маршрутизатору. Экземпляр VRF состоит из таблицы IP-маршрутизации, полученной из

нее таблицы экспресс-коммутации корпорации Cisco (Cisco Express Forwarding — CEF),

набора интерфейсов, использующих такую таблицу, и набора правил и параметров

протокола маршрутизации, управляющих информацией таблицы маршрутизации.

Между узлами пользователя и VPN-сетями не обязательно существует

однозначное соответствие. Как показано на рисунке 2.2, узел может одновременно

принадлежать к нескольким VPN-сетям. Однако комплекс VRF может задавать только

одну сеть VPN. VRF-комплекс узла пользователя содержит все маршруты, доступные

этому узлу из VPN-сетей, членом которых он является.

Для каждого комплекса VRF информация о пересылке пакетов хранится в

таблице IP-маршрутизации и в таблице CEF. Для каждого экземпляра VRF

поддерживается отдельный набор таблиц маршрутизации и таблиц CEF. Такие таблицы

предотвращают выход маршрутной информации за границы VPN-сети и направление

пакетов извне VPN-сети на маршрутизатор, находящийся внутри структуры VPN.

30

Page 31: Диплом MPLS VPN

Рисунок 2.2 – Узел, принадлежащий нескольким VPN-сетям

Каждый пользователь VPN-сети должен сохранять уникальность своего

адресного IP-пространства. Однако если принято решение об объединении двух

пользовательских сетей для образования единой сети путем контролируемого импорта

маршрутов, то одни должны сохранять уникальность своей IP-адресации, избегая

наложения IP-адресов.

Для взаимного обмена пакетами протокола IP версии 4 РЕ-маршрутизаторы

используют глобальную IP-таблицу. VRF-таблицы IP-маршрутизации и пересылки

используются для обмена информацией внутри VPN-сети. Поскольку РЕ-маршрутизатор

может содержать несколько комплексов VRF, каждая комбинация VRF-таблицы IP-

маршрутизации и CEF-таблицы пересылки данных может рассматриваться как

виртуальный маршрутизатор внутри физического РЕ-маршрутизатора.

Каждая комбинация VRF-таблиц IP-маршрутизации и пересылки содержит мар-

шруты, принадлежащие к одной или более пользовательских VPN-сетей.

Ограничение протокола маршрутизации, используемого внутри VPN-сети, одной

VRF-таблицей позволяет осуществлять наложение нескольких VPN-сетей (например,

поддержка внешних по отношению к сети пользователя структур VPN). Интерфейсы РЕ-

маршрутизаторов логически связаны с индивидуальными комплексами VRF. Информация

о маршрутизации, полученная через эти интерфейсы, логически связана с

сконфигурированными экземплярами VRF и называется контекстом маршрутизации

(routing context). Некоторые протоколы маршрутизации, такие как RIP, поддерживают

одновременно несколько контекстов одного протокола, в то время как другие протоколы,

такие как OSPF, требуют отдельной копии процесса протокола маршрутизации для

каждого комплекса VRF.

31

Page 32: Диплом MPLS VPN

Управление распространением информации о маршрутизации в VPN-сети осуще-

ствляется путем использования сообществ целевых маршрутов VPN, реализуемых

расширенным форматом сообществ протокола граничного шлюза (Border Gateway

Protocol communities — BGP communities). Ниже описывается распространение ин-

формации о маршрутизации в сетях VPN.

Когда VPN-маршрут, полученный от СЕ-маршрутизатора, становится известным

внутреннему многопротокольному IBGP (Multiprotocol IBGP — MP-IBGP), список

атрибутов расширенного сообщества целевых маршрутов VPN логически связывается с

ним в момент его экспорта из локального комплекса VRF для представления другим VRF-

комплексам. Обычно список значений целевых маршрутов сообщества устанавливается из

экспортированного списка целевых маршрутов, логически связанных с комплексом VRF,

от которого этот маршрут получен.

Список импорта расширенных сообществ целевых маршрутов логически связан с

каждым комплексом VRF. Список импорта определяет атрибуты расширенного сооб-

щества целевых маршрутов, которые необходимы для того, чтобы маршрут мог быть

импортирован в экземпляр VRF. Например, если список импорта для конкретного

комплекса VRF включает в себя сообщества целевых маршрутов А, Б и В, то любой

маршрут VPN, по которому передаются целевые маршруты расширенных сообществ А, Б

и В, импортируется в данный комплекс VRF.

2.1.2 Распространение маршрутной информации в VPN-сети

Граничный маршрутизатор провайдера службы (service Provider Edge — РЕ

router) может узнать IP-префикс от граничного маршрутизатора пользователя (Customer

Edge — СЕ router) на основе статической конфигурации, посредством сеанса протокола

BGP с С Е-маршрутизатором или через сеансы протоколов RIP версии 2 или OSPF с СЕ-

маршрутизатором. IP-префикс является членом семейства адресов протокола IP четвертой

версии. После того как РЕ-маршрутизатор узнает IP-префикс, он преобразует его в VPN-

префикс протокола IP версии 4, комбинируя его с 64-битовым признаком маршрута (Route

Distinguisher — RD). Полученный 96-битовый префикс является членом семейства VPN-

адресов протокола IP версии 4. Он служит для уникальной (однозначной) идентификации

адреса пользователя даже в том случае, когда узел пользователя использует

незарегистрированный частный IP-адрес.

Признак маршрута, используемый для генерации VPN-префикса протокола IP

версии 4, задается командой конфигурирования, связанной с VRF-комплексом на РЕ-

маршрутизаторе.

32

Page 33: Диплом MPLS VPN

BGP является протоколом с очень высокой степенью расширяемости, который

может поддерживать большое количество VPN-сетей. Данный протокол также

поддерживает взаимный обмен маршрутной информацией между маршрутизаторами,

которые непосредственно не связаны друг с другом. Это возможно в тех случаях, когда

имеется соответствующий протокол IGP, такой как OSPF или IS-IS, который обеспечивает

соединения 3-го уровня между BGP-устройствами одного ранга. Протокол BGP также

обладает достаточной гибкостью для передачи необязательных параметров (атрибутов),

что делает его предпочтительным при использования совместно со структурой MPLS

плюс VPN.

Протокол BGP распространяет информацию о достижимости VPN-префиксов

протокола IP версии 4 для каждой VPN-сети. Коммуникация протокола BGP происходит

на двух уровнях: внутри автономной системы (внутренний протокол, или процесс BGP

или IBGP) и между автономными системами (внешний протокол, или процесс BGP или

EBGP). Сеансы РЕ-РЕ или PE-RR (рефлектор маршрута, Route Reflector — RR)

представляют собой сеансы IBGP, а сеансы РЕ-СЕ являются сеансами EBGP. Для каждой

пользовательской VPN-сети требуется отдельный сеанс протокола EBGP между РЕ- и СЕ-

маршрутизаторами.

Протокол BGP распространяет среди РЕ-маршрутизаторов информацию о дос-

тижимости для VPN-префиксов среды IP версии 4 посредством расширений много-

протокольного BGP, которые включают поддержку семейств адресов, отличных от

адресов протокола IP версии 4[8]. Это осуществляется таким образом, чтобы маршруты

VPN-сети были известны только ее членам, что позволяет им устанавливать связь друг с

другом. Семейство адресов создается для того, чтобы многопротокольный протокол

граничного шлюза (Multiprotocol Border Gateway Protocol – MP-BGP) мог передавать

информацию протоколов, отличных от IP четвертой версии. Проект расширенных

сообществ протокола BGP определяет два новых сообщества, называемых адресатом

маршрута (route target) и источником маршрута (route origin). Адресат маршрута задает

стратегию импорта и экспорта для комплекса VRF. В реализации Cisco источник

маршрута называется узлом источника (Site of Origin — SOO) и используется для

предотвращения петель между узлами. Протокол MP-BGP распространяет информацию о

расширенном сообществе наряду с другими BGP-атрибутами между РЕ-

маршрутизаторами.

РЕ-маршрутизаторы поддерживают и сохраняют маршруты для VPN-сетей,

непосредственно соединенных друг с другом. Данная функция повышает степень

расширяемости за счет импортирования только тех VPN-маршрутов протокола IP версии

33

Page 34: Диплом MPLS VPN

4, которые логически связаны с VRF-комплексами, сконфигурированными на РЕ-

маршрутизаторе. Однако протокол BGP хранит в своей таблице все BGP-маршруты,

независимо от того, используются ли они VRF-комплексами. Такой подход приводит к

избыточным затратам ресурсов, поскольку используется часть памяти DRAM и создается

дополнительная служебная нагрузка, которая занимает часть полосы пропускания при

передаче этих сообщений другим РЕ-маршрутизаторам. Функции обновления и

автоматической фильтрации маршрутов (Route Refresh and Automatic Route Filtering)

позволяют уменьшить объем информации BGP-маршрутизации, которую требуется

поддерживать РЕ-маршрутизаторам. Однако ни один из указанных механизмов не

предотвращает поступления ненужной информации на РЕ-маршрутизатор.

В случае изменения правил РЕ-маршрутизатора, таких как добавление, удаление

или модификация VRF, функция обновления маршрута обеспечивает отправку соседним

устройствам запроса о повторной передаче обновленных маршрутов.

Функция автоматической фильтрации маршрутов (Automatic Route Filtering)

фильтрует маршруты VPN, которые содержат записи, использующие расширенные

сообщества адресатов маршрутов, не совпадающие ни с одним из VRF-комппексов РЕ-

маршрутизаторов.

Выходные фильтры маршрутов (Outbound Route Filter— ORF) представляют

собой локально сконфигурированные наборы правил для исходящей информации, предот-

вращающие выход из источника нежелательных маршрутов.

2.1.3 Пересылка пакетов в сети MPLS

При использовании коммутации MPLS пакеты направляются к пунктам

назначения на основе маршрутной информации, содержащейся в таблице IP-

маршрутизации и в CEF-таблице комплекса VRF. РЕ-маршрутизатор связывает метку с

префиксом каждого пользователя, полученным от СЕ-маршрутизатора, и включает метку

в информацию о достижимости сети для данного префикса, которую он сообщает другим

РЕ-маршрутизаторам. Отправляя пакет, полученный от СЕ-маршрутизатора по сети

провайдера, РЕ-маршрутизатор присваивает этому пакету метку, полученную от РЕ-

маршрутизатора пункта назначения. Когда РЕ-маршрутизатор получает помеченный

пакет, он удаляет метку и использует ее для направления пакета на требуемый СЕ-

маршрутизатор.

Р-маршрутизаторы провайдера не принимают участия в процессе работы

протокола MP-BGP и не передают VPN-маршруты. Они не нужны для принятия решений

о маршрутизации, основанных на адресах VPN-сетей. Р-маршрутизаторы отправляют

34

Page 35: Диплом MPLS VPN

пакеты на основе значений меток, назначенных IP-пакетам. Эти маршрутизаторы участву-

ют в обмене метками коммутации MPLS, однако не являются оконечными устройствами

VPN-сетей MPLS.

РЕ-маршрутизаторы обычно идентифицируются уникальными

идентификаторами, такими как IP-адреса петлевого интерфейса с 32-битовыми масками

(маршруты узлов — host routes). Такие адреса используются вместе с BGP-атрибутом

следующего транзитного перехода для VPN-маршрутов, объявленных РЕ-

маршрутизаторами. Маршрутам хостов метки назначаются Р-маршрутизаторами; эти

метки затем передаются всем соседним устройствам. MPLS-протокол LDP обеспечивает

получение всеми РЕ-маршрутизаторами метки, связанной с данным РЕ-маршрутизатором.

Сеть MPLS готова к обмену VPN-пакетами в тот момент, когда входной РЕ-

маршрутизатор получает метку для выходного РЕ-маршрутизатора.

Пересылка на основании метки по магистрали провайдера базируется либо на

технологии динамической коммутации по метке, либо на маршрутах перераспределения

потоков. При пересечении магистрали пакет данных пользователя содержит два уровня

меток. Первая метка направляет пакет к требуемому РЕ-маршрутизатору следующего

транзитного перехода, а вторая — указывает комплекс VRF, логически связанный с вы-

ходным интерфейсом СЕ-маршрутизатора пункта назначения. Такой двухуровневый ме-

ханизм обычно называется иерархическим тегом, или коммутацией по меткам.

Получив через какой-либо интерфейс от СЕ-маршрутизатора IP-пакет, РЕ-

маршрутизатор логически связывает его с комплексом VRF, в результате чего создается

нижняя метка (bottom label), логически связанная с выходным РЕ-маршрути зато ром

(который идентифицирует VRF-комплекс адресата маршрута и выходной интерфейс вы-

ходного РЕ-маршрутизатора). Из глобальной таблицы пересылки РЕ-маршрутизатор по-

лучает также другую метку, называемую верхней (top label), которая указывает РЕ-

маршрутизатор следующего транзитного перехода; после этого РЕ-маршрутизатор по-

мещает обе метки в стек меток MPLS. Этот стек меток присоединяется к VPN-пакету и

направляется к следующему транзитному переходу. Р-маршрутизаторы в сети MPLS

анализируют верхнюю метку и направляют пакет по сети к требуемому узлу.

На выходном РЕ-маршрутизаторе верхняя метка удаляется и исследуется нижняя

метка, указывающая VRF-комплекс адресата маршрута и выходной интерфейс. После

этого нижняя метка также удаляется, и IP-пакет посылается на требуемый СЕ-

маршрутизатор.

35

Page 36: Диплом MPLS VPN

2.2 Проектирование сети

2.2.1 Выбор протоколов используемых на участке СЕ-РЕ

Протоколы маршрутизации выбираются, исходя из характеристик,

перечисленных ниже.

Оптимальность описывает способности протокола и алгоритма по выбору

наиболее оптимального маршрута на основании метрик и их весовых значений,

используемых при расчетах. Например, некий протокол может использовать счетчик

узлов и задержки для определения метрик; задержки имеют более высокий вес при учете

окончательного значения, но зато их сложнее рассчитать.

Простота и низкие накладные расходы. Идеальная эффективность работы

алгоритма маршрутизации может быть достигнута, когда загрузка процессора и памяти

маршрутизатора минимальны. Эта характеристика важна для масштабируемости сети,

которая в предельном случае может быть расширена до размеров сети Internet.

Устойчивость и надежность. Алгоритм маршрутизации должен корректно

функционировать даже при наличии нестандартных и непредвиденных обстоятельств,

таких, как сбой оборудования, высокая загрузка и ошибки эксплуатации.

Быстрая конвергенция. Конвергенцией называется процесс установления

договоренности между всеми маршрутизаторами об имеющихся маршрутах. Когда в сети

происходят события, оказывающие влияние на доступность маршрутизатора, для

установления повторного соединения требуются перерасчеты. Алгоритмы

маршрутизации, не обладающие быстрой конвергенцией, могут вызвать сбой или

значительную задержку при доставке информации.

Гибкость. Алгоритм и протокол маршрутизации должны быстро

адаптироваться к разнообразным изменениям в сети. Изменениями в сети считаются

изменения в состоянии устройств, в частности, маршрутизаторов, изменение пропускной

способности каналов, изменение размера очередей или сетевой задержки.

Масштабируемость. Некоторые протоколы разработаны таким образом, что

могут быть масштабируемы лучше других. Важно помнить, что если планируется

расширение сети (или такая возможность в принципе предусматривается), следует отдать

предпочтение протоколу EIGRP, нежели RIP.

Первоочередная задача алгоритма маршрутизации при обновлении таблицы

маршрутизации состоит в определении наилучшей информации, которая должна быть

внесена в таблицу. Алгоритмы маршрутизации используют различные метрики для

определения наилучшего маршрута, но каждый алгоритм интерпретирует выбор лучшего

варианта пути по-своему. Алгоритм маршрутизации рассчитывает число, называемое

36

Page 37: Диплом MPLS VPN

метрикой, для каждого сетевого маршрута. Сложные алгоритмы маршрутизации могут

основывать выбор маршрута на основе нескольких параметров, объединяя их в одну

общую метрику, как показано на рисунке 2.3. Чем меньше метрика, тем лучше выбранный

маршрут.

Рисунок 2.3 – Метрики маршрутизации

Метрики могут быть вычислены на основе одной или нескольких характеристик.

Наиболее часто в алгоритмах маршрутизации используются параметры метрики, которые

перечислены ниже.

Ширина полосы пропускания представляет собой средство оценки объема

информации, который может быть передан по каналу связи (канал Fast Ethernet со

скоростью 100 Мбит/с более предпочтителен, чем выделенная линия со скоростью 512

Кбит/с).

Задержка – промежуток времени, необходимый для перемещения пакета по

каждому из каналов связи от отправителя получателю. Задержка зависит от пропускной

способности промежуточных каналов, размера очередей в портах маршрутизаторов,

загрузки сети и физического расстояния.

Загрузка – объем операций, выполняемых сетевым устройством, таким, как

маршрутизатор, или средняя загруженность канала связи.

37

Page 38: Диплом MPLS VPN

Надежность обычно обозначает относительное значение количества ошибок

для каждого из каналов связи.

Счетчик транзитных узлов – количество маршрутизаторов, через которые

должен пройти пакет, прежде чем достигнет пункта назначения. Когда пакет проходит

через маршрутизатор, значение счетчика узлов увеличивается на единицу. Путь, для

которого значение счетчика узлов равно четырем, означает, что данные, отправленные по

этому маршруту, пройдут через четыре маршрутизатора, прежде чем будут получены

адресатом. Если существует несколько путей, маршрутизатор выбирает тот, для которого

значение счетчика узлов наименьшее.

Стоимость – значение, обычно вычисляемое на основе пропускной

способности, денежной стоимости или других единиц измерения, назначаемых

администратором.

2.2.1.1 Внутренние и внешние протоколы маршрутизации

Маршрутизаторы используют протоколы маршрутизации для обмена маршрутной

информацией. Иными словами, протоколы маршрутизации определяют, как

маршрутизируются протоколы передачи данных (т.е. маршрутизируемые). Как показано

на рисунке 2.4, двумя семействами протоколов маршрутизации являются протоколы

внутренних шлюзов (Interior Gateway Protocol – IGP) и протоколы внешних шлюзов

(Exterior Gateway Protocols – EGP). Классификация всех протоколов по этим двум

семействам основана на принципе их работы по отношению к автономным системам.

Рисунок 2.4 – Протоколы EGP и IGP

Автономной системой (Autonomous System – AS) называется сеть или группа

сетей, находящихся под единым административным контролем, как, например, домен

38

Page 39: Диплом MPLS VPN

Cisco.com. Автономная система состоит из маршрутизаторов, которые для внешнего мира

(т.е. для других сетей) выглядят как единая сеть.

Протоколы класса IGP маршрутизируют данные внутри автономных систем. К

классу IGP относятся следующие протоколы маршрутизации:

протоколы RIP и RIP V2;

IGRP;

EIGRP;

OSPF;

протокол обмена данными между промежуточными системами (Intermediate

system-to-Intermediate System – IS-IS).

Протоколы класса EGP маршрутизируют данные между автономными системами.

Протокол BGP является наиболее широко известным представителем класса EGP.

2.2.1.2 Дистанционно-векторные и протоколы маршрутизации с учетом состояния

Протоколы маршрутизации могут подразделяться по самым разным критериям,

например, по сфере применения, т.е. по принадлежности к EGP- или IGP-типу. Другой

классификацией, описывающей протоколы маршрутизации, может быть деление по

используемым алгоритмам: протокол использует дистанционно-векторный (distanse-

vector) алгоритм или работает с учетом состояния канала (link-state)[16]. Если

принадлежность маршрутизаторов к EGP- или IGP-типу описывает их физическое

взаимодействие, то использование алгоритмов маршрутизации по вектору расстояния или

состоянию канала описывает характер взаимодействия маршрутизаторов между собой при

рассылке маршрутных обновлений.

Алгоритм дистанционно-векторной маршрутизации определяет направление

(вектор) и расстояние (счетчик узлов) для каждого из каналов связи, образующих сеть.

При использовании этого алгоритма маршрутизатор периодически (например, каждые 30

секунд) пересылает всю или часть своей таблицы маршрутизации своим соседям.

Периодические обновления рассылаются маршрутизатором, использующим

дистанционно-векторный алгоритм, даже если не произошли никакие изменения в сети.

Получив таблицу маршрутизации от своего соседа, маршрутизатор может проверить уже

известные маршруты и внести необходимые изменения на основе полученного

обновления. Такой процесс иногда называют ‘‘маршрутизацией по слухам’’, поскольку

представление маршрутизатора о структуре сети базируется на данных его соседей.

Дистанционно-векторные протоколы маршрутизации основаны на алгоритме Беллмана-

Форда (Bellman-Ford) и используют его для поиска наилучшего маршрута.

39

Page 40: Диплом MPLS VPN

Дистанционно-векторный алгоритм служит основой для следующих протоколов:

для протокола маршрутной информации (Routing Information Protocol – RIP) –

одного из наиболее широко распространенных протоколов IGP-типа, использующего в

качестве метрики счетчик узлов;

для протокола маршрутизации внутреннего шлюза (Interior Gateway Routing

Protocol – IGRP); корпорация Cisco разработала этот протокол для маршрутизации в

больших гетерогенных сетях;

для усовершенствованного протокола маршрутизации внутреннего шлюза

(Enhanced Interior Gateway Routing Protocol – EIGRP), представляющего собой

улучшенную версию IGRP от корпорации Cisco; этот протокол имеет исключительно

быструю конвергенцию, работает значительно более эффективно, чем его

предшественник, и сочетает в себе все преимущества дистанционно-векторных

алгоритмов и протоколов с учетом состояния каналов.

Протоколы маршрутизации, использующие алгоритм с учетом состояния каналов,

были разработаны для преодоления ограничений, связанных с использованием

дистанционно-векторных протоколов. Алгоритм с учетом состояния канала дает

возможность протоколам быстро реагировать на изменения сети, рассылать обновления

только в случае появления изменений и рассылать периодические обновления

(называемые обновлениями состояния канала) через большие промежутки времени,

примерно один раз каждые 30 минут. Когда состояние канала изменяется, устройство,

обнаружившее такое изменение, формирует извещение о состоянии канала (Link-State

Andvertisement – LSA), относящееся к этому каналу (маршруту), и рассылает его всем

соседствующим маршрутизаторам. Каждый маршрутизатор получает копию извещения о

состоянии канала и на этом основании обновляет свою базу состояния каналов

(топологическую базу), после чего пересылает копию извещения всем своим соседям.

Такая массовая рассылка извещения нужна, чтобы гарантировать, что все

маршрутизаторы обновят свои базы данных и создадут обновленную таблицу

маршрутизации, которая отражает новую топологию. База данных состояния канала

используется для обнаружения наилучшего сетевого пути. Маршрутизация с учетом

состояния канала основана на алгоритме первоочередного определения кратчайшего

маршрута (Shortest Path First – SPF) Дейкстра (Dijkstra) для построения SPF-дерева, на

основе которого принимается решение о том, какой маршрут является наилучшим.

Наилучший (кратчайший) маршрут выбирается из дерева первоочередного определения

кратчайшего маршрута и помещается в таблицу маршрутизации. Примерами протоколов,

использующих алгоритм с учетом состояния каналов, являются OSPF и IS_IS.

40

Page 41: Диплом MPLS VPN

2.2.1.3 Протоколы маршрутизации

В этом разделе описаны метрики, загрузка сети и другие важные характеристики

наиболее широко используемых протоколов маршрутизации.

Протокол RIP

Протокол маршрутной информации (Routing Information Protocol – RIP)

использует счетчик количества транзитных узлов для определения направления и

расстояния для любого из каналов сети. Если существуют несколько маршрутов к

получателю, протокол RIP выберет тот из них, который имеет наименьшее значение

счетчика транзитных узлов. Поскольку счетчик является единственной метрикой,

используемой протоколом RIP, выбранный маршрут далеко не всегда оказывается

кратчайшим. Протокол RIP версии 1 позволяет использовать только классовую (classfull)

маршрутизацию. Это означает, что все сетевые устройства должны иметь одинаковую

маску сети, поскольку RIP версии 1 не включает в маршрутные обновления информацию

о ней.

Протокол RIP версии 2 использует так называемую префиксную маршрутизацию

(prefix routing) и пересылает маску сети вместе с анонсами таблиц маршрутизации:

именно за счет этой функции обеспечивается поддержка бесклассовой маршрутизации.

Благодаря протоколам бесклассовой маршрутизации можно использовать подсети с

разной длины масками внутри одной и той же сети. Использование масок подсети разной

длины внутри одной сети называется технологией масок переменной длины (Variable-

Length Subnet Mask –VLSM).

Протокол IGRP

Протокол маршрутизации внутреннего шлюза (Interior Gateway Routing Protocol –

IGRP), разработанный корпорацией Cisco, использует дистанционно-векторный алгоритм

и предназначен для решения проблем, возникающих при маршрутизации в больших сетях,

где невозможно использовать такие протоколы, как RIP. Протокол IGRP способен

выбирать самый быстрый путь на основе задержки, пропускной способности, загрузки и

надежности канала. Стандартно протокол IGRP использует в качестве 24-битовых метрик

только пропускную способность и задержку. Этот протокол имеет значительно большее

максимальное значение счетчика узлов, чем протокол RIP, что дает возможность

использовать его в более крупных сетях. Протокол IGRP позволяет использовать только

классовую маршрутизацию.

Протокол EIGRP

Так же, как и IGRP, протокол EIGRP (Enhanced Interior Gateway Routing Protocol –

расширенный протокол маршрутизации внутреннего шлюза) был разработан корпорацией

41

Page 42: Диплом MPLS VPN

Cisco и является ее фирменным продуктом. Этот протокол – усовершенствованная версия

протокола IGRP, использует 32-битовые метрики. В частности, протокол EIGRP очень

эффективен благодаря более быстрой конвергенции и низкому потреблению пропускной

способности. Он является усовершенствованным вариантом протокола, работающего на

основе дистанционно-векторного алгоритма. Протокол EIGRP также использует

некоторые функции алгоритмов с учетом состояния канала. Вот почему использование

термина гибридный тоже вполне законно при описании протокола IGRP.

Протокол OPFS

Открытый протокол поиска кратчайшего пути (Open Shortest Path First – OSPF)

использует алгоритм маршрутизации по состоянию каналов. Проблемная группа

проектирования Internet (IETF) разработала OSPF в 1988 году [6]. Самая последняя версия

этого протокола, OSPF версии 2, описана в спецификации RFC 2328. OSPF является

протоколом IGP-типа, что означает, что он распространяет маршрутную информацию

между маршрутизаторами, находящимися в единой автономной системе. Протокол OSPF

был разработан для использования в больших сетях, в которых невозможно

использование протокола RIP.

Протокол IS-IS

Протокол обмена маршрутной информацией между промежуточными системами

(Intermediate System-to-Intermediate System – IS-IS) использует алгоритм маршрутизации

по состоянию канала для стека протоколов модели OSI. Он распространяет маршрутную

информацию для протокола сетевого обслуживания (Connectionless Network Protocol –

CLNP), для соответствующих ISO-служб сетевого обслуживания без установления

соединения (Connectionless Network Service – CLNS). Интегрированный протокол IS-IS

является вариантом реализации протокола IS-IS для маршрутизации нескольких сетевых

протоколов. Интегрированный протокол IS-IS объединяет CLNP-маршруты с

информацией об IP-сетях и масках подсетей. Благодаря соединению ISO CLNS и IP-

маршрутизации в одном протоколе интегрированный протокол IS-IS предоставляет

альтернативу протоколу OSPF при использовании в IP-сетях. Он может быть использован

для IP-маршрутизации, ISO-маршрутизации и для комбинации этих двух вариантов.

Протокол BGP

Протокол граничного шлюза (Border Gateway Protocol – BGP) является примером

протокола EGP-типа. Протокол BGP обеспечивает обмен маршрутной информацией

между автономными системами и гарантирует выбор маршрутов без зацикливания. Он

является базовым протоколом извещений маршрутизации, использующимся

большинством крупных компаний и поставщиками услуг доступа к Internet (ISP).

42

Page 43: Диплом MPLS VPN

Протокол BGP-4 стал первой версией протокола BGP, в котором встроена бесклассовая

междоменная маршрутизация (Classless InterDomain Routing – CIDR), и первым,

использующим механизм агрегации маршрутов. В отличие от распространенных

протоколов IGP-типа, таких, как RIP, OSPF и EIGRP, BGP не использует в качестве

метрики счетчик узлов, пропускную способность или задержку в сети. Вместо этого

протокол BGP принимает решение о выборе маршрута, руководствуясь указанными

сетевыми правилами, используя различные маршрутные BGP-атрибуты.

2.2.1.4 Обоснование выбора

Проанализировав эту информацию и зная, что пограничные РЕ-маршрутизаторы

провайдера создают отдельную таблицу маршрутизации для каждого клиента. Причем эта

таблица маршрутизации прикрепляется к тому же интерфейсу, на котором работает

клиент и использует клиентский протокол маршрутизации. Можно сделать вывод, что для

провайдера не имеет значения на каком протоколе построена сеть клиента.

2.2.2 Выбор оборудования

Cisco 7200, одни из самых распространенных в отрасли универсальных

граничных маршрутизаторов для крупных предприятий и операторов связи.

Маршрутизаторы серии Cisco 7200 отличаются превосходным соотношением

цена/производительность, предлагая самый широкий спектр поддерживаемых

интерфейсов и непревзойденный набор функций. Компактные по размерам и построенные

на высокопроизводительных модульных процессорах, эти устройства отличаются самой

высокой в отрасли эксплуатационной надежностью и удобством в управлении. Благодаря

модульной архитектуре эти маршрутизаторы позволяют создавать масштабируемые

решения, отвечающие самым различным требованиям к плотности, производительности и

ассортименту услуг, одновременно обеспечивая защиту инвестиций с учетом будущего

развития сети [1].

В числе преимуществ маршрутизаторов серии Cisco 7200:

поддержка самого широкого спектра функций IP/MPLS в программном

обеспечении Cisco IOS (управление качеством обслуживания, агрегирование

широкополосных подключений, безопасность, мультисервисный доступ,

мультипротокольная коммутация на основе меток и другие);

широкий ассортимент гибких, модульных интерфейсов (от DS0 до OC12);

поддержка интерфейсов Fast Ethernet, Gigabit Ethernet, Packet Over Sonet и

других;

полностью модульная конструкция в формате 3RU;

43

Page 44: Диплом MPLS VPN

полная поддержка терминации L2TP и PPP;

поддержка до 16000 широкополосных абонентских сессий;

акселератор услуг на базе технологии Cisco PXF;

поддержка различных протоколов;

низкие первоначальные капиталовложения;

масштабируемость и гибкость; идеально подходят для модернизации сетей.

Рисунок 2.5 – Маршрутизатор Cisco серии 7200 в разобранном виде

Маршрутизаторы серии Cisco 7200 предназначены для использования в качестве

центрального высокопроизводительного маршрутизатора крупных сетей. Имея широкий

выбор доступных интерфейсных модулей (порт-адаптеров) он может быть подключен

практически к любой сети, а возможности операционной системы Cisco IOS, позволяют

эффективно маршрутизировать любой трафик при практическом отсутствии каких-либо

ограничений на конфигурацию сети.

Это позволяет, в частности, использовать маршрутизаторы серии 7200 для

объединения сетей департаментов предприятия (локальных и территориально

распределенных), независимо от применяемых в них технологий и их текущей

конфигурации

44

Page 45: Диплом MPLS VPN

Модуль обработки (NPE - Network Processing Engine) использует процессор MIPS

RISC и выпускается в четырех вариантах - 100, 200 и 300 МГц, а также модель NPE-100,

которая использует также процессор 150 Мгц, но не имеет 1 Мб SRAM, что ограничивает

его производительность. Каждый модуль имеет 32 Мб оперативной памяти, расширяемой

до 128 Мб (NPE 300 - до 256) и 8 Мб флэш-памяти, расширяемой до 40 Мб.

Набор шасси и модулей NPE серии 7200 предоставляет возможность выбора

оптимальной конфигурации и производительности при минимальных затратах и

возможности дальнейшего наращивания мощности устройства путем замены шасси либо

модуля NPE. Шасси серии 7200 имеют пропускную способность шины 600 Мбит/сек. В

настоящее время анонсирована серия шасси 7200VXR, которая имеет шину с пропускной

способностью 1 Гбит/сек. Модули NPE имеют следующую производительность: NPE-100

- 100 kpps, NPE - 150 kpps, NPE-200 - 200 kpps, NPE-300 - 300 kpps.

Таблица 2.1 - Спецификации

Функция Описание

Управление

Поддержка всех функций ПО Cisco IOS.

Технология NetFlow accounting дает возможность собрать

подробную статистику использования сетевых ресурсов для

ведения учета, системы тарификации и планирования

будущего роста сети.

Большой спектр функциональности управления полосой

пропускания и сетевыми перегрузками.

Агрегирование подписчиков сетей широкополосного

доступа.

Функциональность Service Selection Gateway (SSG)

позволяет реализовать разграничение доступа к услугам с

возможностью динамического выбора необходимых услуг

на основе желаний подписчика.

Поддержка технологии многопротокольной коммутации на

основе признаков (MPLS).

Возможность интеграции со шлюзами ОКС-7 для

построения крупномасштабных сетей доступа.

Гибкость мультисервисных приложений благодаря

встроенной шине MIX.

45

Page 46: Диплом MPLS VPN

Производительность

Многофункциональные платформы Cisco 7200

представляют собой эффективную с точки зрения

стоимости систему, сочетающую в себе возможности

поддержки следующих технологий:

высокая производительность благодаря применению

технологии параллельной скоростной пересылки PXF

(Parallel eXpress Forwarding);

гибкая модульная структура, поддержка интерфейсов

Multichannel STM-1, Fast Ethernet, Gigabit Ethernet, Packet

Over SONET/SDH и др.;

IP и ATM QoS/CoS;

поддержка MPLS VPN и L2TP;

многообразие IP сервисов и терминирование PPP;

поддержка мультисервисных функций.

Внутренняя шина поддерживает MIX (Multiservice

Interchange) – коммутацию DS0 каналов к любому

интерфейсному модулю. Поддержка MIX позволяет

интегрировать на одном интерфейсе голос и данные.

Cisco 7200 может выступать в роли гибкого шлюза между

различными средами передачи голоса: ATM, Frame Relay и

IP.

Cisco 7200 поддерживает следующие стандарты передачи

голоса:

VoATM с использованием уровня адаптации ATM Adapter

Layer 2 (AAL2);

FRF. 11 and FRF. 12;

H. 323 v2;

Поддерживает общие для серий Cisco 7200, Cisco 7100,

Cisco 7400 и Cisco 7500 модули расширения.

Поддержка аппаратного ускорения шифрации данных по

технологии IPSec (модули SA-ISA, SA-VAM).

Отказоустойчивость Для обеспечения отказоустойчивости системы в

устройствах серии Cisco 7200 предусмотрена возможность

подключения двух источников питания, а также

46

Page 47: Диплом MPLS VPN

возможность замены интерфейсных модулей без остановки

работы устройства.

Поддержка маршрутизаторами Cisco 7200 протокола Cisco

IOS Hot Standby Router Protocol (HSRP) обеспечивает

возможность быстрого перехода на резервное оборудование

в случае отказа части сетевых устройств или соединений.

Резервный внутренний источник питания обеспечивает

равномерную нагрузку по питанию и удваивает время

наработки на отказ.

Безопасность

Маршрутизаторы Cisco серии 7200VXR работают под

управлением ПО Cisco IOS и позволяют реализовывать на

практике сервисы QoS, усилить безопасность и

использовать сжатие и шифрование трафика.

Адаптер ISA (Integrated Services Adapter) реализует

высокопроизводительное туннелирование трафика, а также

сервисы шифрования для сетей WAN и VPN.

межсетевой экран, контекстная проверка трафика (CBAC) и

предотвращение сетевых атак (IDS);

трансляция сетевых адресов (NAT);

фильтры трафика (ACL);

фиксированная скорость доступа (Committed Access Rate,

CAR);

PPP поверх ATM или Ethernet;

Route Bridged Encapsulation;

поддержку туннелирования L2TP, PPT и ATMP;

поддержку MPLS VPN и Full L2TP;

различные дополнительные сервисы, в том числе с

аппаратными услугами PXF.

Таблица 2.2 – Технические характеристики

Характеристики Описание

Общее

Тип устройства Тип устройства

47

Page 48: Диплом MPLS VPN

Форм-фактор Rack-mountable - модульный

Максимальное количество

установленных модулей

7

Ширина 42.7 cm

Глубина 43.2 cm

Глубина 13.3 cm

Память

RAM 1 GB DDR SDRAM

Флэш-память 256 MB

Параметры сети

Технология подключения Wired

Канальный протокол Ethernet, Fast Ethernet, Gigabit Ethernet

Сетевой / Транспортный

протокол

TCP/IP, UDP/IP, PPPoA

Протокол маршрутизации OSPF, IGRP, RIP, IS-IS, BGP, EIGRP, HSRP

Протокол удалённого

администрирования

SNMP, Telnet, HTTP

Характеристики

Flow control, modular design, full duplex capability,

Layer 2 switching, auto-sensing per device, поддержка

DHCP, поддержка VPN, BOOTP support, поддержка

ARP, поддержка MPLS, поддержка VLAN,

manageable, поддержка IPv6

Интерфейсы связи

Интерфейсы

3 x network - Ethernet 10Base-T/100Base-TX/1000Base-

T - RJ-45 ¦ 1 x management - console - RJ-45 ¦ 4 x serial -

auxiliary - RJ-45 ¦ 1 x management - Ethernet

10Base-T/100Base-TX - RJ-45 ¦ 2 x USB - 4 PIN USB

Тип A

Таблица 2.3

Характеристики Описание

Разное

48

Page 49: Диплом MPLS VPN

Способ аутентификации Secure Shell (SSH), RADIUS, PAP, CHAP, TACACS

Поддерживаемые стандарты

NEBS level 3, FCC Class A certified, CSA, EN 60950,

IEC 61000-3-2, IEC 61000-4-11, IEC 61000-4-2, IEC

61000-4-3, IEC 61000-4-4, IEC 61000-4-5, IEC 61000-4-

6, IEC950, UL 1950, VCCI-II, CSA 22.2 No. 950,

EN55022 Class B, AS/NZ 3548 Class A

Питание

Устройство питания Блок питания - redundant

Установленное кол-во /

Максимально поддерживаемое

кол-во

2 (установлено) / 2 (максимально)

Требуемое напряжение AC 120/230 V ( 50/60 Hz )

Предустановленное устройство

питания

280 Watt

Программное обеспечение / Системные требования

Предустановленная

операционная система

Cisco IOS

Программное обеспечение

Included

Cisco IOS IP Base

Параметры окружающей среды

Минимальная рабочая

температура

5 °C

Максимальная рабочая

температура

40 °C

Рабочий диапазон влажности 5 - 85%

Одним из ключевых устройств нашего маршрутизатора является процессорный

управляющий модуль NPE-G2 для маршрутизаторов Cisco серии 7200 обеспечивает более

высокую производительность маршрутизации и обработки потоков данных, обладая

наиболее полным набором функций Cisco IOS.

49

Page 50: Диплом MPLS VPN

Рисунок 2.6 – Процессорный управляющий модуль NPE-G2

Основные особенности управляющего процессорного модуля NPE-G2:

удвоенная производительность по сравнению с управляющими модулями

предыдущих серий (до 2 миллионов пакетов в секунду при использовании скоростной

пересылки Cisco);

3 RJ-45 10/100/1000Ethernet порта (с поддержкой динамического

рефлектометра), оптические порты;

специальный управляющий порт;

2 USB порта для подключения резервных носителей и ключей безопасности;

1 Гб ОЗУ;

Устранение необходимость использования контроллеров входа/выхода.

Таблица 2.3 – Технические характеристики

Характеристика Описание

Оперативная память

ОЗУ: 1 Гб

Compact Flash: 256 Мб

2 Мб NVRAM

Кэш второго уровня: 1-Мб

USB Flash: 64-256 Мб

Процессор 1.67 ГГц Motorola Freescale 7448

Размеры 3,556 x 38, 481 x 28, 245 см

В качестве CE-маршрутизаторов были выбраны маршрутизаторы Cisco серии

2600. Так как модульные маршрутизаторы доступа серии CISCO 2600 - это

высокоэффективные мультисервисные устройства, обеспечивающие гибкость в выборе

50

Page 51: Диплом MPLS VPN

LAN и WAN конфигураций, безопасность соединения и высокую производительность.

Совокупность этих характеристик делает серию CISCO 2600 идеальной для создания

постоянных интернет-каналов связи между центральным офисом предприятия и его

филиалами.

Серия Cisco 2600 представляет собой экономичную серию модульных

маршрутизаторов для малых и средних офисов, включающую в себя возможность

передачи голоса и факса. Предлагаемый набор модулей позволяет так же использовать

Cisco 2600 в качестве серверов доступа и сетевых экранов. Модульная архитектура этих

устройств обеспечивает гибкое решение комплекса таких задач, как:

Подключение небольшого офиса в общую корпоративную сеть компании через

коммутируемый или выделенный канал, ISDN BRI, сети общего пользования X.25, Frame

Relay и Интернет;

Обеспечение точки доступа в общую корпоративную сеть офиса для

мобильных пользователей и сотрудников, работающих из дома;

Построение виртуальной корпоративной сети (Virtual Private Network, VPN)

через сеть Интернет;

Передачу голоса и факсов между офисами поверх сетей коммутации пакетов, а

так же использование услуг операторов VoIP;

Маршрутизация данных внутри корпоративной локальной сети между

несколькими виртуальными локальными сетями (VLAN);

Подключение банкоматов и POS-терминалов к центральному процессинговому

центру.

Для маршрутизаторов Cisco 2600 существует более 30 сетевых интерфейсных

модулей и карт, позволяющих использовать маршрутизаторы этой серии практически в

любых существующих сетях. Имеются модули для Ethernet, синхронных и асинхронных

последовательных портов, каналов E1 и T1, ATM, аналоговых модемов, ISDN BRI,

передачи голоса (FXO, FXS, E&M, ISDN BRI-S/T), модуль сжатия данных.

Для передачи критичного к полосе пропускания и задержкам трафика (к примеру,

мультимедиа) маршрутизаторы Cisco 2600 поддерживают гарантированное качество

обслуживания (Quality of Service – QoS).

51

Page 52: Диплом MPLS VPN

2.2.3 Этапы конфигурирования маршрутизаторов

Рис. 2.5 Структура сети MPLS VPN

Для того чтобы сконфигурировать и протестировать VPN-сеть MPLS необходимо

выполнить следующие действия.

Этап 1. Сконфигурировать интерфейсы сети и протокол IGP.

Этап 2. Указать VPN-сети.

Этап 3. Сконфигурировать сеансы маршрутизации РЕ-РЕ.

Этап 4. Сконфигурировать сеансы маршрутизации РЕ-СЕ.

Этап 5. Сконфигурировать Р-маршрутизаторы.

Этап 6. Сконфигурировать СЕ-маршрутизаторы.

Этап 7. Сконфигурировать QoS.

2.2.3.1 Конфигурирование интерфейсов сети и протокола IGP

Для того чтобы сконфигурировать интерфейсы сети и IGP, необходимо

выполнить следующие действия.

Этап 1. Включить службу CEF на РЕ-маршрутизаторе в режиме глобального кон-

фигурирования. CEF-коммутация является существенной частью функционирования

MPLS-коммутации.

52

Page 53: Диплом MPLS VPN

Результат:

Router(conf ig) #ip сеf

Этап 2. Сконфигурировать IP-адрес петлевого интерфейса для использования его

в качестве идентификатора в процессе IGP-маршрутизации:

Router(config) #interface loopback n

Router(config-interface) #ip address IP-address mask

Этап 3. Сконфигурировать протокол IGP. В данном примере была использована

маршрутизация OSPF, переводящая командную строку в режим конфигурирования

маршрутизатора. Результат:

Router(config)#router ospf ospf-process*id

Этап 4. Задать интерфейс, на котором будет использоваться маршрутизация

OSPF, и указать идентификатор (ID) области для данного интерфейса:

Router(config-router)#network address wildcard-mask area area-id

Этап 5. Сконфигурировать интерфейсы, подсоединенные к РЕ-маршрутизаторам с

данным IP-адресом. В рассматриваемом примере сконфигурирован последовательный

интерфейс DS3. Результат:

Router(config)#interface Serial slot/adapter/port

Router(config-interface)#ip address IP-address mask

Этап 6. Включить на заданном интерфейсе теговую коммутацию (Tag Switching):

Router(config-interfасе)#tag-switching IP

2.2.3.2 Указание VPN-сети пользователя

Как уже говорилось выше, технология MPLS поддерживает большое количество

VPN-сетей для разных пользователей и обладает исключительно высокой степенью

расширяемости. Каждый пользователь VPN-сети логически связан с комплексом

маршрутизации и пересылки (VRF). Для того чтобы определить VPN-комплекс мар-

шрутизации на РЕ-маршрутизаторе, необходимо выполнить следующие действия.

Этап 1. Задать различные VPN-комплексы маршрутизации и пересылки путем на-

значения VRF-имен и войти в режим конфигурирования VRF:

Router(config)#ip vrf vrf-name,

В этой команде vrf-name — имя, назначенное комплексу VRF. Оно используется

для идентификации пользователя службы VPN и должно быть уникальным. Имя vrf-name

чувствительно к регистру. Все СЕ-маршрутизаторы пользователя, подсоединенные к РЕ-

маршрутизатору, должны иметь определенные подобным образом имена.

53

Page 54: Диплом MPLS VPN

Этап 2. Создать таблицы маршрутизации и пересылки для пользовательских сетей

VPN с использованием признака маршрутов (Route Distinguisher — RD). Признак RD

добавляется в подрежиме VRF. Стандартное значение для параметра RD отсутствует.

Признак RD должен быть сконфигурирован так, чтобы стало возможным

функционирование VRF-комплекса. Признак RD добавляет 64-битовое значение к 32-

битовому префиксу IP версии 4, в результате чего создается 96-битовый VPN-префикс

протокола IP. Служба RD создает таблицы маршрутизации и пересылки и задает для VPN-

сети значение параметра RD. Признаки маршрутов RD вставляются перед началом

префиксов протокола IP четвертой версии, превращая их в глобально уникальные VPN-

префиксы протокола. Такая структура позволяет пользователям VPN-сетей использовать

ту же самую частную схему адресации IP:

Router(config-vrf)#rd route-distinguisher

Этап 3. Импортировать из расширенного VPN-сообщества или экспортировать

ему информацию о маршрутизации. После этого требуется создать для комплекса VRF

расширенное сообщество адресатов маршрута с использованием команды route-target в

подрежиме VRF. Этот адресат маршрута задает расширенное сообщество VPN-адресатов

маршрута. Подобно признаку маршрута расширенное сообщество состоит из номера

автономной системы и произвольного номера либо из IP-адреса и произвольного номера.

Результат:

Router(config-vrf)#route-target {import | export | both } route-target -ext-communitу

Этап 4. Выполнить логическое связывание VRF-комплекса с интерфейсом или по-

дынтерфейсом. Данный этап исключительно важен, поскольку служба MPLS логически

связывает физический интерфейс с комплексом VRF. Результат:

Router(config-if)#ip vrf forwarding vrf-name

Логическое связывание интерфейса с комплексом VRF приводит к удалению IP-

адреса данного интерфейса. После того как интерфейсу будет назначен комплекс VRF, IP-

адрес должен быть сконфигурирован повторно.

2.2.3.3 Конфигурирование сеансов маршрутизации РЕ-РЕ

Для того чтобы сконфигурировать сеансы маршрутизации РЕ-РЕ

многопротокольного IBGP в сети провайдера, на РЕ-маршрутизаторах необходимо

выполнить следующие действия.

Этап 1. Сконфигурировать процесс маршрутизации IBGP с передачей номера

автономной системы другим РЕ-маршрутизаторам IBGP:

54

Page 55: Диплом MPLS VPN

Router(config)#router bgp autonomous-system

Этап 2.Отключить одноадресатные анонсы префиксов протокола IP версии 4:

Router{config-router)#no bgp default ipv4-unicast

Этап 3. Задать IP-адрес соседнего РЕ-маршрутизатора или паритетную группу

устройств протокола IBGP, идентифицируя ее тем самым для локальной автономной

системы:

Router(config-router)#neighbor {ip-address | peer-group-name} remote-as number

Этап 4. Включить анонсы адресов протокола IP версии 4 соседним устройствам

IBGP:

Router (conf ig-router) #neighbor ip-address activate

2.2.3.4 Конфигурирование сеансов маршрутизации РЕ-СЕ

РЕ-маршрутизатор необходимо сконфигурировать таким образом, чтобы вся ин-

формация о маршрутизации, полученная от интерфейса пользователя, могла быть

логически связана с конкретным комплексом VRF. Необходимого результата можно

достичь путем использования стандартных процессов протоколов маршрутизации, из-

вестных как контексты маршрутизации.

Протокол RIP версии 2 может быть использован в качестве протокола маршрути-

зации между устройствами РЕ и СЕ. Маршрутная информация, полученная РЕ-

маршрутизатором по протоколу RIPv2 (версии 2) от СЕ-маршрутизатора, помещается в

комплекс VRF, логически связанный с физическим интерфейсом, подсоединенным к СЕ-

маршрутизатору. После этого информация VRF передается по сеансам IBGP РЕ-

маршрутизаторам того же уровня.

При обычной маршрутизации по протоколу RIP первой и второй версий команды,

начинающиеся с ключевого слова network, которые задают использующие его интер-

фейсы, вводятся в подрежиме конфигурирования протокола маршрутизации router rip.

Такие действия приводят к тому, что RIP-марш руты передаются в глобальные таблицы

Маршрутизации РЕ-маршрутизаторов. Однако требуется, чтобы RIP-маршруты

поддерживались только внутри замкнутой VRF-группы VPN-сети пользователя. Для этого

сетевые команды вводятся в подрежиме address-family. Аналогичным образом в

подрежиме address-family должно быть сконфигурировано перераспределение IBGP-

маршрутов, чтобы VPN-маршруты, полученные от сеанса IBGP, были объявлены СЕ-

маршрутизатору при помощи RIP-процесса.

Для того чтобы сконфигурировать сеансы RIP-маршрутизации от РЕ к СЕ, на РЕ-

маршрутизаторе необходимо выполнить следующие действия.

55

Page 56: Диплом MPLS VPN

Этап 1. Включить протокол RIP версии 2:

Router(config)#router rip

Router(config-router) #version 2

Этап 2. Задать параметры протокола RIP для сеансов маршрутизации от

устройства РЕ к устройству СЕ в подрежиме address-family внутри главного процесса

конфигурирования RIP:

Router(config-router)#address-family ipv4 [unicast] vrf vrf-name

Этап 3. Связать сеть с процессом маршрутизации RIP в подрежиме address-family:

Router(config-router-af) #network prefix

Этап 4. Перераспределить IBGP-маршруты в семействе RIP-адресов для того,

чтобы объявить их СЕ-маршрутизаторам:

Router(config-router-af)#redistribute bgp asn metric metric

2.2.3.5 Конфигурирование Р-маршрутизаторов

Базовые маршрутизаторы провайдера (Provider core routers — P-routers)

представляют собой LSR-устройства, которые участвуют в работе протокола

маршрутизации IGP, такого, например, как OSPF или IS-IS. Однако они не принимают

участия в мультипротокольном процессе IBGP, как это делают РЕ-маршрутизаторы,

поэтому они имеют более простую конфигурацию. Р-маршрутизаторы не являются

терминальными устройствами каналов пользователя от СЕ-маршрутизаторов. Ниже

приводится пошаговое описание процесса конфигурирования Р-маршрутизатора, на

котором функционирует протокол OSPF.

Этап 1. Включить коммутацию CEF на РЕ-маршрутизаторе в режиме глобального

конфигурирования. CEF-коммутация является существенным элементом

функционирования технологии MPLS. Результат:

Router(config)#ip cef

Этап 2. Сконфигурировать IP-адрес петлевого интерфейса для использования его

в качестве идентификатора в процессе IGP-маршрутизации:

Router(config)#interface loopback n

Router(config-interface)#ip address IP-address mask

Этап 3. Задать конфигурацию используемого протокола IGP. В данном примере

используется маршрутизация OSPF; ввод команды происходит в режиме кон-

фигурирования маршрутизатора. Результат:

Router(config)#router ospf ospf-process-id

56

Page 57: Диплом MPLS VPN

Этап 4. Задать интерфейс, на котором будет функционировать OSPF, и

идентификатор области для этого интерфейса:

Router(config-router)#network address wildcard-mask area area-id

Этап 5. Сконфигурировать интерфейсы, подсоединенные к РЕ-маршрутизаторам с

данным IP-адресом. В примере сконфигурирован интерфейс DS3. Результат:

Router(config)#interface Serial slot/adapter/port

Router(config-interface)#ip address IP-address mask

Этап 6. Включить теговую коммутацию (Tag Switching) для интерфейса:

Router(config-interface)#tag-switching IP

2.2.3.6 Конфигурирование СЕ-маршрутизаторов

СЕ-маршрутизаторы могут быть сконфигурированы с использованием одной из

четырех опций:

статическая маршрутизация;

маршрутизация по протоколу RIP версии 2;

маршрутизация по протоколу BGP4;

маршрутизация по протоколу OSPF.

РЕ-маршрутизатор должен быть сконфигурирован с использованием того же

самого протокола маршрутизации, который был выбран для СЕ-маршрутизатора. СЕ-

маршрутизаторы могут принадлежать пользователю или провайдеру. Как правило, если

провайдер предлагает VPN-службы управляемого протокола IP (Managed IP), то СЕ-

маршрутизатор принадлежит провайдеру и поддерживается им. Пользователям предос-

тавляется подробная информация об IP-структуре и соответствующая документация для

нумерации IP-устройств пользователя и внутренней маршрутизации. Большинство про-

вайдеров предпочитают самостоятельно управлять СЕ-маршрутизаторами, особенно если

структура их VPN-сетей MPLS достаточно сложна. Устранение ошибок и неисправностей

в такой ситуации становится затруднительным, если инженеры провайдера не имеют

полного доступа к СЕ-маршрутизатору.

Для того чтобы сконфигурировать использование протокола RIP версии 2 для се-

ансов маршрутизации СЕ-РЕ, на СЕ-маршрутизаторе необходимо выполнить следующие

действия.

Этап 1. Сконфигурировать использование протокола RIP версии 2:

Router(config)#router rip

Router(config-router)#version 2

57

Page 58: Диплом MPLS VPN

Этап 2. В режиме конфигурирования маршрутизатора связать сеть с процессом

RIP-маршрутизации:

Router(config-router)#network prefix

2.2.3.7 Конфигурирование функций QoS для VPN-сетей MPLS

Для конфигурирования QoS на входных РЕ-маршрутизаторах используются

модульный интерфейс CLI функции качества обслуживания. Он позволяет пользователям

задавать класс потока данных независимо от стратегии QoS. Использование модульного

интерфейса CLI QoS включает в себя три этапа, которые представлены ниже.

Конфигурирование классов потоков данных для классификации IP-пакетов в

соответствии с критериями и преобразованием классов.

Конфигурирование правил службы с преобразованием классов.

Конфигурирование входного интерфейса для применения к нему правил

службы.

Конфигурирование классов потоков данных

Команда class-mар используется для создания класса потока данных (traffic class).

При создании класса потока, содержащего критерий соответствия, команда class -map

используется для задания имени класса, а команда match используется в режиме

конфигурирования преобразования классов. Команда сlass-mар имеет следующий

синтаксис:

class-map [match-any | natch-all] class-name no clasa-map [match-any | match-all] class-name

Команда class-map match-all используется в тех случаях, когда для причисления

пакета к определенному классу потоков необходимо удовлетворение всех критериев со-

ответствия. Команда class-map match-any используется в тех случаях, когда для при-

числения пакета к определенному классу потоков необходимо удовлетворение одного

критерия из списка критериев соответствия. Если ни одна из команд match-all и match-any

не задана, то класс потока определяется в соответствии с командой class-map match-all.

Для того чтобы задать критерий соответствия, который предотвращает классификацию

пакета как члена класса, используется команда match not.

Приведенные ниже этапы конфигурирования относят потоки данных к различным

классам с использованием команд преобразования классов (class map).

Этап 1. Задать преобразование классов, которому должны соответствовать

пакеты:

Router (config) #class -map class-map-name

58

Page 59: Диплом MPLS VPN

Этап 2. Задать характеристики пакетов, которые будут проверяться на

соответствие классам:

Router(config-стар)#match criteria

Критерии соответствия включают в себя следующие команды.

match access-group access-group — конфигурирует критерий соответствия

преобразования классов для указанного списка ACL.

match any — конфигурирует критерий соответствия для преобразования

классов, заключающийся в том, что этому критерию должны соответствовать все пакеты.

match class-map class-map-name — конфигурирует критерий соответствия для

преобразования классов, основанный на определенном правиле классификации.

match cos cos-value [ cos-value cos-value cos-value] — конфигурирует критерий

соответствия для преобразования классов, основанный на CoS-маркировке 2-го уровня.

match destination-address mac address — конфигурирует критерий соответствия

для преобразования классов, основанный на МАС-адресе получателя.

match input-interface interface-name — конфигурирует критерий соответствия

для преобразования классов, основанный на признаке входного интерфейса.

match ip dscp dscp-value [deep-value dscp-value dscp-value dscp-value dscp-value

dscp-value dscp-value] — конфигурирует критерий соответствия для преобразования

классов, основанный на значении кодовой точки DSCP (IP Differentiated Service Code Point

— DSCP). В одной директиве соответствия match может быть задано до 8 значений IP-

DSCP. Значения DSCP должны находиться в интервале от 0 до 63.

match ip precedence precedence-value (precedence-value precedence-value

precedence-value] — конфигурирует критерий соответствия для преобразования классов,

основанный на значениях IP-приоритета. В одной директиве соответствия match может

быть задано до 4 значений IP-приоритета. Значения приоритета должны находиться в

интервале от 0 до 7.

match ip rtp starting-port-number port-range — конфигурирует критерий

соответствия для преобразования классов, основанный на порте протокола реального

времени (Real-Time Protocol-RTP). Начальный номер порта RTP находится в интервале от

2000 до 6SS3S. Рабочий номер порта RTP должен находиться в интервале от 0 до 16383.

match mpis experimental number — конфигурирует критерий соответствия для

преобразования классов, основанный на значении поля Ехр. Это значение поля Ехр может

лежать в пределах от 0 до7.

match not — конфигурирует критерий для преобразования классов, основанный

на отсутствия соответствия.

59

Page 60: Диплом MPLS VPN

match protocol protocol — конфигурирует критерий соответствия для

преобразования классов, основанный на конкретном протоколе.

match qos-group gos-group-value — конфигурирует критерий соответствия для

преобразования классов, основанный на значении QoS-группы. Это значение QoS-группы

находится в интервале от 0 до 99 и практического значения не имеет. Значение QoS-

группы является для маршрутизатора локальным и используется в качестве маркера.

Обработка соответствующих пакетов задается пользователем при помощи правил QoS в

режиме конфигурирования класса преобразования.

match source-address mac address — конфигурирует критерий соответствия для

преобразования классов, основанный на МАС-адресе отправителя.

Этап 3. Выйти из режима конфигурирования преобразования классов:

Router(config-cmap)#end

В качестве иллюстрации ниже приводится код (пример 2.1) для такого

конфигурирования класса преобразования, когда все пакеты, имеющие IP-приоритет 5,

сопоставляются классу преобразования с именем critical.

Пример 2.1. Конфигурация правила класса

Router(config)#class-map critical

Router(config-cmap) #match ip precedence 5

Router(config-cmap)#end

Конфигурирование правил службы

Правила службы конфигурируются с использованием команды policy-map с ука-

занием имени правила. Связывание класса потока с правилом службы осуществляется

командой class.

Правила QoS для стратегии службы определяются в подрежиме преобразования

правил. В настоящем разделе подробно описываются правила QoS, которые могут

применяться к службе в подрежиме преобразования правил.

Команда policy-map имеет следующий синтаксис:

policy-map policy-name no policy-map policy-name

Команда class имеет следующий синтаксис:

class class-name no class class-name

Если сконфигурирован стандартный класс, то все потоки данных, не удовлетво-

ряющие критерию соответствия, считаются принадлежащими к нему.

Этап 1. Создать преобразование правил, которое может быть применено к одному

или более интерфейсам для задания стратегии службы. Результат:

60

Page 61: Диплом MPLS VPN

Router (config) #policy-map po2icy-map-name

Этап 2. Задать имя преобразования класса, ранее заданного командой class-mар:

Router (conf ig-pmap) #class сlass-map-name

Этап 3. Задать стандартный класс, который будет создан как часть правил

службы:

Router(config-pmap)#class class-default

Этап 4. Задать минимальную гарантированную полосу пропускания для класса

потоков данных. Минимальная гарантированная полоса пропускания может быть задана в

Кбит/с или в процентах от обшей ширины полосы пропускания:

Router(config-pmap-c)#bandwidth {bandwidth-kbps / percent percent}

Этап 5. Установить для команды стандартные параметры:

Router(config-pmap-c)#default command

Этап 6. Задать количество очередей, зарезервированных для класса:

Router(config-pmap-c)#fair-queue number-of-queues

Этап 7. Используя алгоритм сопоставления показателей потока, задать

максимальное использование классом полосы пропускания:

Router (conf ig-pmap-c) #police bps burst-normal burst-max conf orm-action action

exceed-action action violate-action action

Команда police позволяет осуществлять над входящими пакетами следующие

действия:

drop — уничтожить пакет;

set-prec-transmit new-prec — установить IP-приоритет при отбрасывании и

передать пакет;

jset-qos-transmit new-qos — установить группу QoS и передать пакет;

set-dscp-transmit — установить значение DSCP и передать пакет;

set-atm-cip — переустановить бит CLP ATM пакета с 0 на 1;

transmit — передать пакет.

Этап 8. Задать гарантированную разрешенную полосу пропускания (в Кбит/с или

в процентах) для приоритетных потоков данных. Необязательный параметр bytes

указывает величину разрешенного всплеска трафика в системе, который бы не превышал

сконфигурированную скорость передачи в Кбит/с:

Router (config-pmap-c) #priority {kbps | percent percent} [bytes]

Этап 9. Задать для класса максимальное количество пакетов, устанавливаемых в

очередь (в случае отсутствия команды random-detect):

61

Page 62: Диплом MPLS VPN

Router(config-pmap-c)#queue-limit packets

Этап 10. Включить механизм отбрасывания для класса потоков, имеющего

гарантированную ширину полосы пропускания:

Router(config-pmap-c)#random-detect

Этап 11. Установить в 1 бит приоритета в случае потери ячеек ATM:

Router (conf ig-pmap-c) #set atm-clp

Этап 12. Задать значение CoS или значения, которые будут логически связаны с

данным пакетом. Конфигурируемое значение должно находиться в диапазоне 0—7:

Router(config-pmap-c)#sat cos cos-value

Этап 13. Задать значение DSCP IP-пакетов данного класса потоков. Значением

DSCP IP может быть любое число от 0 до 63:

Router(config-pmap-c)#set ip deep ip-dscp-value

Этап 14. Задать IP-приоритет при отбрасывании пакетов данного класса потоков.

Значение приоритета должно находиться в диапазоне 0-7:

Router(config-pmap-c)#set ip precedence ip-precedence-value

Этап 15. Задать значение, которое будет использовано для битов MPLS в случае,

если пакеты соответствуют заданному преобразованию:

Router(config-pmap-с)#set mpls experimental value

Этап 16. Выйти из режима конфигурирования правил:

Router(config-pmap-с)#end

В качестве иллюстрации ниже приводится код (пример 2.2), команды которого ус-

танавливают значение 4 для экспериментального поля MPLS каждого пакета, соответ-

ствующего преобразованию класса critical.

Пример 2.2 Конфигурирование экспериментального поля MPLS

Router (config) #poliey-map set_experimental__4

Router(config-pmap)#class critical

Router(config-pmap-c)#set mpls experimental 4

Router(config-pmap-c)#end

Конфигурирование правил и привязка их к интерфейсу

Команда конфигурирования интерфейса service-policy используется для при-

соединения правил службы к интерфейсу и задания направления, в котором они должны

быть применены. Команда service-policy имеет следующий синтаксис:

service-policy {input | output} policy-map-name no service-policy {input | output}

policy-map

62

Page 63: Диплом MPLS VPN

Для того чтобы сконфигурировать правила и применить их к интерфейсу, следует

выполнить следующие действия.

Этап 1. Назначить входной интерфейс:

Router(config)#interface interface-name

Этап 2.Подсоединить заданное преобразование стратегии к входному интерфейсу:

Router (config-int) #service-policy input policy-map-name

Этап 3. Выйти из режима конфигурирования интерфейса:

Router(config-int)#end

В качестве иллюстрации приводится код (пример 2.3), подключающий службу

set__experimental__4 к входному интерфейсу Ethernet.

Пример 2.3. Включение правила на интерфейсе

Router(config)#interfасе ethernet 1/0/0

Router(config-int)ttservice-policy input aet_experimental_4

Router(config-int)#end

2.2.3.8 Проверка работоспособности VPN-cети и конфигурации QoS

Для проверки работоспособности VPN-сети необходимо выполнить следующие

действия.

Этап 1. Вывести на экран определенные ранее VRF-комплексы и интерфейсы:

Router#show ip vrf

Этап 2. Вывести на экран информацию об определенных VRF и связанных с ними

интерфейсах:

Router#show ip vrf [{brief | detail | interfaces }] vrf-name

Этап 3. Вывести на экран таблицу IP-маршрутизации для комплекса VRF:

Router#show ip route vrf vrf-name

Этап 4. Вывести информацию протокола маршрутизации для VRF:

Router#show ip protocols vrf vrf-name

Этап 5. Вывести на экран таблицу пересылки CEF, связанную с комплексом VRF:

Router#show ip cef vrf vrf-name

Этап 6. Вывести на экран таблицу VRF, связанную с интерфейсом:

Router#show ip interface interface-number vrf vrf-name

Этап 7. Отобразить информацию о VPN-сетях протокола BGP:

Router#show ip bgp vpnv4 all [ tags ]

63

Page 64: Диплом MPLS VPN

Этап 8. Отобразить по меткам записи таблицы коммутации, которые

соответствуют VRF-маршрутам, объявленным маршрутизатором:

Router#show tag-switching forwarding vrf vrf-name (prefixmask/length] [detail]

Для того чтобы выполнить проверку конфигурации, заданной с помощью модуль-

ного интерфейса CLI QoS, следует выполнить следующие действия.

Этап 1. Вывести на экран всю информацию о классе потока:

Router#show class-mар

Этап 2. Вывести на экран информацию о классе потока, указанном пользователем:

Router#tshow class-map class-name

Этап 3. Вывести на экран все правила службы:

Router#show policy-map

Этап 4. Вывести на экран всю информацию об указанном пользователем правиле:

Router#show policy-map policy-map-name

Этап 5. Вывести на экран конфигурацию и статистику для всех входных и

выходных правил, связанных с интерфейсом:

Routeг#show policy-map interface

Этап 6. Вывести на экран конфигурацию и статистику для всех входных и

выходных правил, связанных с интерфейсом:

Router#show policy-map interface interface-spec

Этап 7. Вывести на экран конфигурацию и статистику для входного правила, свя-

занного с интерфейсом:

Router#tshow policy-map interface interface-spec input

Этап 8. Вывести на экран конфигурацию и статистику для выходного правила,

связанного с интерфейсом:

Router#show policy-map interface interface-spec output

Этап 9. Вывести на экран конфигурацию и статистику для имени класса,

сконфигурированного в данном правиле:

Router#show policy-map [ interface [ interface-spec [input | output ] [ class class-

name ]]]

64

Page 65: Диплом MPLS VPN

2.3 Выводы по главе

В главе был рассмотрен принцип работы технологии MPLS. Были изучены основные компоненты сети MPLS. В сети MPLS основным оборудованием являются маршрутизаторы P, PE,CE. Поскольку MPLS-это технология, применяемая в магистральных сетях операторов связи, то ее структура удовлетворяет важнейшим концепциям магистральных технологий. В ее структуре, таким образом, выделяются:

уровень ядра (на основе P-маршрутизаторов); уровень агрегации (на основе PE -маршрутизаторов); уровень доступа (на основе CE -маршрутизаторов).

Также был рассмотрен принцип маршрутизации и пересылки пакетов, в сетях MPLS, с поддержкой технологии VPN. Были выявлены преимущества этой технологии перед другими подобными.

Далее, учитывая структуру построения сетей MPLS VPN, были выбраны соответствующие протоколы для обмена маршрутной информацией. Выбор осуществлялся на основе нескольких наиболее важных критериев для оценки производительности протоколов. Таких как время конвергенции протокола, возможности масштабирования, затраты ресурсов и т.д. После выбора протоколов осуществлялся выбор оборудования проектируемой сети.

В конце главы был описан алгоритм конфигурирования сетей MPLS VPN, который, разумеется, представляет практическую ценность.

65

Page 66: Диплом MPLS VPN

3. Конфигурирование спроектированной сети

Рис. 3.1 Структура сети MPLS VPN

3.1 Конфигурирование маршрутизаторов провайдера

Р-маршрутизаторы конфигурируются для коммутации по меткам. Они не

используют многопротокольные сеансы iBGP. Р-маршрутизаторы конфигурируются с

помощью протокола OSPF в качестве протокола внутреннего шлюза IGP.

Конфигурация маршрутизатора Р1

!hostname P1!ip cef!class-map match-all class2match ip precedence 3 class-map match-all class3match ip precedence 1 class-map match-all class1match ip precedence 5 !policy-map Ispclass class1bandwidth 5120queue-limit 900

66

Page 67: Диплом MPLS VPN

class class2bandwidth 2048queue-limit 600class class3bandwidth 1024queue-limit 900!interface Loopback0ip address 10.10.6.1 255.255.255.255!interface Serial1/0description ***Router_P2***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface Serial1/1description ***Router_PE1***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface Serial1/2description ***Router_P3***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!router ospf 100log-adjacency-changesnetwork 10.10.6.1 0.0.0.0 area 0!

Аналогично конфигурируются и другие P-маршрутизаторы. Конфигурации маршрутизаторов Р2, Р3, Р4, Р5 представлены в приложении А.

67

Page 68: Диплом MPLS VPN

3.2 Конфигурирование пограничных маршрутизаторов провайдера и пользователя

Ниже будут приведены конфигурации пограничных PE-маршрутизаторов на стороне провайдера и пограничных CE-маршрутизаторов на стороне пользователя.

3.2.1 Конфигурирование сети в Перми

Для настройки сеть в Перми необходимо сконфигурировать PE-маршуртизатор (PE1) на стороне провайдера и два CE-маршрутизатора на стороне клиента.

Конфигурация маршрутизатора PE1:!hostname Perm!ip vrf vrf1rd 100:1route-target export 100:1route-target import 100:1!ip vrf vrf2rd 100:2route-target export 100:2route-target import 100:2!ip cef!class-map match-all Goldmatch input-interface FastEthernet2/1class-map match-all Platinummatch input-interface FastEthernet2/0!policy-map Ispclass Platinumbandwidth 5120queue-limit 900set ip precedence 5class Goldbandwidth 2048queue-limit 600set ip precedence 3!interface Loopback0ip address 10.10.1.1 255.255.255.255!interface Serial1/0bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface FastEthernet2/0

68

Page 69: Диплом MPLS VPN

ip vrf forwarding vrf1ip address 172.16.254.1 255.255.255.252duplex autospeed auto!interface FastEthernet2/1ip vrf forwarding vrf2ip address 172.17.254.1 255.255.255.252duplex autospeed auto!router ospf 100log-adjacency-changesnetwork 10.10.1.1 0.0.0.0 area 0!router ripversion 2network 172.16.0.0network 172.17.0.0! address-family ipv4 vrf vrf2 redistribute bgp 64512 metric 1 network 172.17.0.0 no auto-summary version 2 exit-address-family ! address-family ipv4 vrf vrf1 redistribute bgp 64512 metric 1 network 172.16.0.0 no auto-summary version 2 exit-address-family!router bgp 64512no bgp default ipv4-unicastbgp log-neighbor-changesneighbor 10.10.2.1 remote-as 64512neighbor 10.10.2.1 update-source Loopback0neighbor 10.10.3.1 remote-as 64512neighbor 10.10.3.1 update-source Loopback0neighbor 10.10.4.1 remote-as 64512neighbor 10.10.4.1 update-source Loopback0neighbor 10.10.5.1 remote-as 64512neighbor 10.10.5.1 update-source Loopback0!address-family vpnv4neighbor 10.10.2.1 activateneighbor 10.10.2.1 send-community extendedneighbor 10.10.3.1 activateneighbor 10.10.3.1 send-community extendedneighbor 10.10.4.1 activate

69

Page 70: Диплом MPLS VPN

neighbor 10.10.4.1 send-community extendedneighbor 10.10.5.1 activateneighbor 10.10.5.1 send-community extendedexit-address-family!address-family ipv4 vrf vrf2redistribute ripno auto-summaryno synchronizationexit-address-family!address-family ipv4 vrf vrf1redistribute ripno auto-summaryno synchronizationexit-address-family!

Конфигурация маршрутизатора принадлежащего клиенту А:!hostname CE_A1!interface FastEthernet0/0ip address 172.16.254.2 255.255.255.252duplex autospeed auto!interface FastEthernet0/1ip address 172.16.10.254 255.255.255.0duplex autospeed auto!router ripversion 2network 172.16.0.0!

Конфигурация маршрутизатора принадлежащего клиенту B:!hostname CE_B1!interface FastEthernet0/0 ip address 172.17.254.2 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 172.17.10.254 255.255.255.255 shutdown duplex auto speed auto!

70

Page 71: Диплом MPLS VPN

router rip version 2 network 172.17.0.0!

3.2.2 Конфигурирование сети в Екатеринбурге

Для настройки сеть в Екатеринбурге необходимо сконфигурировать PE-маршуртизатор (PE5) на стороне провайдера и два CE-маршрутизатора на стороне клиента.

Конфигурация маршрутизатора PE5:!hostname Ekaterinburg!ip vrf vrf1rd 100:1route-target export 100:1route-target import 100:1!ip vrf vrf2rd 100:2route-target export 100:2route-target import 100:2!ip cef!class-map match-all Goldmatch input-interface FastEthernet2/1class-map match-all Platinummatch input-interface FastEthernet2/0!policy-map Ispclass Platinumbandwidth 5120queue-limit 900set ip precedence 5class Goldbandwidth 2048queue-limit 600set ip precedence 3!interface Loopback0ip address 10.10.5.1 255.255.255.255!interface Serial1/0bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!

71

Page 72: Диплом MPLS VPN

interface FastEthernet2/0ip vrf forwarding vrf1ip address 172.16.251.1 255.255.255.252duplex autospeed auto!interface FastEthernet2/1ip vrf forwarding vrf2ip address 172.17.252.1 255.255.255.252duplex autospeed auto!router ospf 100log-adjacency-changesnetwork 10.10.5.1 0.0.0.0 area 0!router ripversion 2network 172.16.0.0network 172.17.0.0!address-family ipv4 vrf vrf2redistribute bgp 64512 metric 1network 172.17.0.0no auto-summaryversion 2exit-address-family!address-family ipv4 vrf vrf1redistribute bgp 64512 metric 1network 172.16.0.0no auto-summaryversion 2exit-address-family!router bgp 64512no bgp default ipv4-unicastbgp log-neighbor-changesneighbor 10.10.1.1 remote-as 64512neighbor 10.10.1.1 update-source Loopback0neighbor 10.10.2.1 remote-as 64512neighbor 10.10.2.1 update-source Loopback0neighbor 10.10.3.1 remote-as 64512neighbor 10.10.3.1 update-source Loopback0neighbor 10.10.4.1 remote-as 64512neighbor 10.10.4.1 update-source Loopback0!address-family vpnv4neighbor 10.10.1.1 activateneighbor 10.10.1.1 send-community extendedneighbor 10.10.2.1 activateneighbor 10.10.2.1 send-community extended

72

Page 73: Диплом MPLS VPN

neighbor 10.10.3.1 activateneighbor 10.10.3.1 send-community extendedneighbor 10.10.4.1 activateneighbor 10.10.4.1 send-community extendedexit-address-family!address-family ipv4 vrf vrf2redistribute ripno auto-summaryno synchronizationexit-address-family!address-family ipv4 vrf vrf1redistribute ripno auto-summaryno synchronizationexit-address-family!

Конфигурация маршрутизатора принадлежащего клиенту А:!hostname CE_A4!interface FastEthernet0/0ip address 172.16.251.2 255.255.255.252duplex autospeed auto!interface FastEthernet0/1ip address 172.16.40.254 255.255.255.0duplex autospeed auto!router ripversion 2network 172.16.0.0!

Конфигурация маршрутизатора принадлежащего клиенту B:!hostname CE_B3!interface FastEthernet0/0 ip address 172.17.252.2 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 172.17.30.254 255.255.255.255 shutdown duplex auto speed auto

73

Page 74: Диплом MPLS VPN

!router rip version 2 network 172.17.0.0!Аналогично конфигурируются PE-маршрутизаторы, в других городах.

Конфигурации маршрутизатора РЕ2 и принадлежашего ему клиентов А и С , маршрутизатора РЕ3, и принадлежашего ему клиентов А и С, маршрутизатора РЕ4 и принадлежашего ему клиентов А и С, представлены в приложении Б.

3.3. Выводы по главеВ главе производились настройки сети MPLS VPN, согласно алгоритму,

сформулированному в главе 2.

Этап 1. Сконфигурировать интерфейсы сети и протокол IGP.

Этап 2. Указать VPN-сети.

Этап 3. Сконфигурировать сеансы маршрутизации РЕ-РЕ.

Этап 4. Сконфигурировать сеансы маршрутизации РЕ-СЕ.

Этап 5. Сконфигурировать Р-маршрутизаторы.

Этап 6. Сконфигурировать СЕ-маршрутизаторы.

Этап 7. Сконфигурировать QoS.

74

Page 75: Диплом MPLS VPN

4. Исследование характеристик работы построенной модели VPN-сети

Исследование и тестирование разработанной сети, схема которой представлена на

рис. 3.2 проводились в симуляторе Dynamips с использованием графического интерфейса

GNS 3.

Цель исследования – изучение прохождения пакетов по сети, а также проверка

работоспособности сети, качества обслуживания и защищенности пересылаемых

клиентских данных от других клиентов сети. Для исследования была выбрана команда

ping, с ее возможностью отправлять пакеты разного размера, а также помечать их

необходимыми битами в заголовке пакета.

Для проверки канала в сеть отправлялись пакеты размером:

100 байт

6000 байт

12000 байт

18000 байт

Исследование VPN туннеля проходило в несколько этапов:

Исследование прохождения пакетов по сети из главного офиса клиента в его

филиалы;

Исследование влияния повреждения одного из кабелей провайдера на

прохождение пакетов между сайтами клиента;

Исследование прохождения пакетов в сети при загруженности одного из

участков сети провайдера;

Исследование прохождения пакетов в сети при использовании одного и того же

канала двумя разными клиентами;

4.1 Исследование участка сети клиента А

Проведем измерения на всех 4 этапах и внесем данные в соответственные

таблицы. Согласно схемы сети главный офис клиента А находиться в Перми (А1), а его

филиалы в Оренбурге (А2), Челябинске (А3) и Екатеринбурге (А4).

Выполним исследование участка сети А1 – А4. На первом этапе будем проверять

филиал клиента А4 из главного офиса клиента, используя пакеты разного размера и

занесем результаты в таблицу 4.1:

Ping 172.16.251.2 size 100 repeat 100

Ping 172.16.251.2 size 6000 repeat 100

Ping 172.16.251.2 size 12000 repeat 100

75

Page 76: Диплом MPLS VPN

Ping 172.16.251.2 size 18000 repeat 100

Таблица 4.1 – Зависимость времени задержки от размера пакета

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 12 49 84

6000 68 116 188

12000 140 184 276

18000 184 233 312

На втором этапе предположим, что произошел обрыв кабеля на участке Р1-Р3 и

повторим действия выполненные на первом этапе. Также заметим что в течении 10-15

секунд ping не проходил, так как маршрутизаторы реагировали на изменения в сети.

Полученные данные занесем в таблицу 4.2.

Таблица 4.2 – Зависимость времени задержки от размера пакета при обрыве

кабеля на участке P1-P3

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 36 62 98

6000 80 140 210

12000 180 222 317

18000 199 303 432

На третьем этапе предположим, что на участке PE5-P3, происходит обмен

данными. Для этого выполним команду ping из маршрутизатора PE5:

Ping 10.10.8.1 size 18000 repeat 500

Выполним измерения и занесем их в таблицу 4.3.

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 12 53 120

6000 110 160 272

12000 168 208 351

18000 212 273 503

76

Page 77: Диплом MPLS VPN

Таблица 4.3 – Зависимость времени задержки от размера пакета при

загруженности одного из участков сети (PE5-P3)

На четвертом эт аапе предположим, что участок между маршрутизаторами PE1-

PE5 также использует другой клиент, пусть это будет клиент В. Для этого с

маршрутизатора клиента В находящегося в Перми выполним:

Ping 172.17.252.2 size 18000 repeat 500

Выполним измерения и занеесем их в таблицу 4.4.

Таблица 4.4 – Зависимость времени задержки от размера пакета при

использовании одного и того же канала (PE1-PE5) двумя клиентами

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 28 58 136

6000 107 171 208

12000 168 241 364

18000 202 284 516

Далее выполним эти же действия, но для участк0ов сети А1-А3 и А1-А4, внесем

данные в соответствующую таблицы для дальнейшего анализа. Измерения для участка

сети А1-А3 будут в таблицах 4.5, 4.6, 4.7, 4.8, а для участка А1-А4 в таблицах 4.9, 4.10,

4.11, 4.12.

Таблица 4.5 – Зависимость времени задержки от размера пакета

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 32 65 98

6000 104 170 244

12000 176 265 368

18000 240 382 496

77

Page 78: Диплом MPLS VPN

Таблица 4.6 – Зависимость времени задержки от размера пакета при обрыве

кабеля на участке P1-P3

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 40 65 100

6000 120 207 368

12000 236 333 404

18000 320 423 528

Таблица 4.7 – Зависимость времени задержки от размера пакета при

загруженности одного из участков сети (PE4-P5)

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 32 77 176

6000 152 197 272

12000 204 290 396

18000 292 410 564

Таблица 4.8 – Зависимость времени задержки от размера пакета при

использовании одного и того же канала (PE1-PE4) двумя клиентами

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 32 80 156

6000 116 195 268

12000 192 295 460

18000 296 420 576

Таблица 4.9 – Зависимость времени задержки от размера пакета

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 40 72 108

6000 115 174 260

12000 182 260 376

18000 258 394 481

78

Page 79: Диплом MPLS VPN

Таблица 4.10 – Зависимость времени задержки от размера пакета при обрыве

кабеля на участке P1-P2

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 48 83 120

6000 123 181 278

12000 240 315 420

18000 342 428 533

Таблица 4.11 – Зависимость времени задержки от размера пакета при

загруженности одного из участков сети (PE3-P4)

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 44 80 151

6000 163 204 302

12000 216 285 391

18000 304 412 546

Таблица 4.12 – Зависимость времени задержки от размера пакета при

использовании одного и того же канала (PE1-PE3) двумя клиентами

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 45 87 169

6000 160 210 334

12000 235 300 408

18000 312 422 599

После выполненных измерений постоим графики полученных данных. На первом

графике, рисунок 4.1 отобразим зависимость времени задержки от размера пакета,

используя данные таблицы 4.1. Из рисунка 4.1 можно сделать вывод, что зависимость

линейная, т.е. задержка будет равномерно возрастать с ростом размера пакета.

79

Page 80: Диплом MPLS VPN

Рисунок 4.1 – Зависимость времени задержки от размера пакета

На следующем графике, рисунок 4.2, отобразим временную задержку на всех

четырех этапах, данные для графика возьмем из таблиц 4.1, 4.2, 4.3 и 4.4 при отправки

пакета максимального размера – 18000 байт.

Рисунок 4.2 – Время задержки на всех четырех этапах

Из рисунка 4.2 можно сделать вывод, что при загруженности одного из участков

сети провайдера или при совместном использовании одного канала двумя клиентами

время задержки возрастает незначительно. Временная задержка при обрыве одного из

кабелей провайдера больше всех остальных, что связана с прохождением большего

количества маршрутизаторов и следственно увеличением расстояния между клиентами.

Теперь вычислим среднюю задержку для каждого из четырех этапов при отправке

пакета максимального размера – 18000 байт. И занесем полученные данные в таблицу 4.13

80

0

50

100

150

200

250

100 6000 12000 18000

Размер (байт)В

рем

я (м

с)

0

50

100

150

200

250

300

350

1 2 3 4

Этап исследования (номер)

Вре

мя

(мс)

Page 81: Диплом MPLS VPN

Таблица 4.13 – Среднее значение временной задержки на каждом из этапов

Этап исследования Среднее значение временной задержки (мс)

1 336

2 385

3 365

4 375

Используя данные таблицы 4.13 можно построить график, рисунок 4.3.

Рисунок 4.3 – Среднее время задержки на каждом из этапов

4.2 Исследование участка сети клиента В

Проведем измерения на всех 4 этапах и внесем данные в соответственные

таблицы. Главный офис клиента В находиться в Перми (В1), а его филиалы в Ижевске

(В2), и в Екатеринбурге (B3).

Выполним исследование участка сети B1 – B2. На первом этапе будем пинговать

филиал клиента B2 из главного офиса клиента, используя пакеты разного размера и

занесем результаты в таблицу 4.14:

Ping 172.17.252.2 size 100 repeat 100

Ping 172.17.252.2 size 6000 repeat 100

Ping 172.17.252.2 size 12000 repeat 100

Ping 172.17.252.2 size 18000 repeat 100

81

310320330340350360370380390

1 2 3 4

Этап исследования (номер)

Вре

мя

(мс)

Page 82: Диплом MPLS VPN

Таблица 4.14 – Зависимость времени задержки от размера пакета

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 12 51 100

6000 76 137 204

12000 156 203 276

18000 168 261 392

На втором этапе предположим, что произошел обрыв кабеля на участке Р1-Р3 и

повторим действия выполненные на первом этапе. Также заметим что в течении 10-15

секунд ping не проходил, так как маршрутизаторы реагировали на изменения в сети.

Полученные данные занесем в таблицу 4.15.

Таблица 4.15 – Зависимость времени задержки от размера пакета при обрыве

кабеля на участке P1-P3

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 18 60 97

6000 98 145 201

12000 178 231 299

18000 205 294 403

На третьем этапе предположим, что на участке PE5-P3, происходит обмен

данными. Для этого выполним команду ping из маршрутизатора PE5:

Ping 10.10.8.1 size 18000 repeat 500

Таблица 4.16 – Зависимость времени задержки от размера пакета при

загруженности одного из участков сети (PE5-P3)

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 24 51 88

6000 100 165 252

12000 156 220 344

18000 192 286 468

82

Page 83: Диплом MPLS VPN

На четвертом этапе предположим, что участок между маршрутизаторами PE1-PE5

также использует другой клиент, пусть это будет клиент А. Для этого с маршрутизатора

клиента А, находящегося в Перми, выполним:

Ping 172.16.251.2 size 18000 repeat 500

Выполним измерения и занесем их в таблицу 4.17.

Таблица 4.17 – Зависимость времени задержки от размера пакета при

использовании одного и того же канала (PE1-PE5) двумя клиентами

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 28 54 120

6000 88 118 184

12000 156 232 324

18000 228 299 460

Далее выполним эти же действия, но для участков сети B1-B3, внесем данные в

соответствующие таблицы для дальнейшего анализа. Измерения для участка сети B1-B3

будут в таблицах 4.18, 4.19, 4.20 и 4.21.

Таблица 4.18 – Зависимость времени задержки от размера пакета

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 16 44 84

6000 96 155 236

12000 142 211 660

18000 184 269 416

83

Page 84: Диплом MPLS VPN

Таблица 4.19 – Зависимость времени задержки от размера пакета при обрыве кабеля на

участке P1-P2

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 32 53 84

6000 92 154 232

12000 176 265 352

18000 208 305 520

Таблица 4.20 – Зависимость времени задержки от размера пакета при

загруженности одного из участков сети (PE2-P2)

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 24 47 100

6000 88 126 240

12000 140 219 336

18000 208 272 424

Таблица 4.21 – Зависимость времени задержки от размера пакета при

использовании одного и того же канала (PE1-PE2) двумя клиентами

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 24 55 108

6000 92 140 220

12000 148 215 312

18000 224 294 404

После выполненных измерений постоим графики полученных данных. На первом

графике, рисунок 4.4 отобразим зависимость времени задержки от размера пакета,

используя данные таблицы 4.14. Из рисунка 4.1 можно сделать вывод, что зависимость

линейная, т.е. задержка будет равномерно возрастать с ростом размера пакета.

84

Page 85: Диплом MPLS VPN

0

50

100

150

200

250

300

100 6000 12000 18000

Размер (байт)В

рем

я (м

с)

Рисунок 4.4 – Зависимость времени задержки от размера пакета

На следующем графике, рисунок 4.5, отобразим временную задержку на всех

четырех этапах, данные для графика возьмем из таблиц 4.14, 4.15, 4.16 и 4.17 при

отправки пакета максимального размера – 18000 байт.

240

250

260

270

280

290

300

310

1 2 3 4

Этап исследования (номер)

Вре

мя

(мс)

Рисунок 4.5 – Время задержки на всех четырех этапах

Из рисунка 4.5 можно сделать вывод, что при загруженности одного из участков

сети провайдера или при совместном использовании одного канала двумя клиентами

время задержки возрастает незначительно. Временная задержка при обрыве одного из

кабелей провайдера больше чем при прохождении пакета без помех, что связана с

прохождением большего количества маршрутизаторов и следственно увеличением

расстояния между клиентами.

85

Page 86: Диплом MPLS VPN

Теперь вычислим среднюю задержку для каждого из четырех этапов при отправке

пакета максимального размера – 18000 байт. И занесем полученные данные в таблицу

4.22.

Таблица 4.22 – Среднее значение временной задержки на каждом из этапов

Этап исследования Среднее значение временной задержки (мс)

1 265

2 300

3 279

4 297

Используя данные таблицы 4.22 можно построить график, рисунок 4.6.

240

250

260

270

280

290

300

310

1 2 3 4

Этап исследования (номер)

Вре

мя

(мс)

Рисунок 4.6 – Среднее время задержки на каждом из этапов

4.3 Исследование участка сети клиента С

Проведем измерения на всех 4 этапах и внесем данные в соответственные

таблицы. Согласно схеме сети главный офис клиента С находиться в Ижевске (С1), а его

филиалы в Оренбурге (C2), и в Челябинске(C3).

Выполним исследование участка сети C1 – C2. На первом этапе будем пинговать

филиал клиента C2 из главного офиса клиента, используя пакеты разного размера и

занесем результаты в таблицу 4.23:

Ping 172.18.253.2 size 100 repeat 100

Ping 172.18.253.2 size 6000 repeat 100

Ping 172.18.253.2 size 12000 repeat 100

Ping 172.18.253.2 size 18000 repeat 100

86

Page 87: Диплом MPLS VPN

Таблица 4.23 – Зависимость времени задержки от размера пакета

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 12 40 84

6000 68 104 188

12000 96 138 204

18000 136 200 260

На втором этапе предположим, что произошел обрыв кабеля на участке Р2-Р4 и

повторим действия выполненные на первом этапе. Также заметим что в течении 10-15

секунд ping не проходил, так как маршрутизаторы реагировали на изменения в сети.

Полученные данные занесем в таблицу 4.24.

Таблица 4.24 – Зависимость времени задержки от размера пакета при обрыве

кабеля на участке P2-P4

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 36 71 120

6000 108 174 236

12000 188 257 340

18000 260 326 380

На третьем этапе предположим, что на участке PE3-P4, происходит обмен

данными. Для этого выполним команду ping из маршрутизатора PE3:

Ping 10.10.9.1 size 18000 repeat 500

Таблица 4.25 – Зависимость времени задержки от размера пакета при

загруженности одного из участков сети (PE3-P4)

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 15 69 156

6000 60 110 180

12000 124 174 240

18000 144 194 280

87

Page 88: Диплом MPLS VPN

На четвертом этапе предположим, что участок между маршрутизаторами PE2-PE3

также использует другой клиент. Для этого с маршрутизатора клиента PE3, находящегося

в Оренбурге, выполним:

Ping 10.10.2.1 size 18000 repeat 500

Выполним измерения и занесем их в таблицу 4.26.

Таблица 4.26 – Зависимость времени задержки от размера пакета при

использовании одного и того же канала (PE2-PE3) двумя клиентами

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 28 57 116

6000 64 120 196

12000 92 158 212

18000 160 216 300

Далее выполним эти же действия, но для участков сети С1-С3, внесем данные в

соответствующие таблицы для дальнейшего анализа. Измерения для участка сети С1-С3

будут в таблицах 4.27, 4.28, 4.29 и 4.30.

Таблица 4.27 – Зависимость времени задержки от размера пакета

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 28 50 88

6000 72 111 172

12000 108 170 220

18000 180 230 352

88

Page 89: Диплом MPLS VPN

Таблица 4.28 – Зависимость времени задержки от размера пакета при обрыве

кабеля на участке P2-P4

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 32 60 88

6000 108 157 264

12000 164 246 324

18000 196 288 436

Таблица 4.29 – Зависимость времени задержки от размера пакета при

загруженности одного из участков сети (PE4-P5)

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 32 59 108

6000 120 154 236

12000 168 235 344

18000 208 297 364

Таблица 4.30 – Зависимость времени задержки от размера пакета при

использовании одного и того же канала (PE2-PE4) двумя клиентами

Размер пакетаМинимальное

значение (мс)

Среднее значение

(мс)

Максимальное

значение (мс)

100 32 70 116

6000 108 157 212

12000 172 235 320

18000 240 302 388

После выполненных измерений постоим графики полученных данных. На первом

графике, рисунок 4.7 отобразим зависимость времени задержки от размера пакета,

используя данные таблицы 4.23. Из рисунка 4.7 можно сделать вывод, что зависимость

линейная, т.е. задержка будет равномерно возрастать с ростом размера пакета.

89

Page 90: Диплом MPLS VPN

0

50

100

150

200

250

100 6000 12000 18000

Размер (байт)В

рем

я (м

с)

Рисунок 4.7 – Зависимость времени задержки от размера пакета

На следующем графике, рисунок 4.8, отобразим временную задержку на всех

четырех этапах, данные для графика возьмем из таблиц 4.23, 4.24, 4.25 и 4.26 при

отправки пакета максимального размера – 18000 байт.

0

50

100

150

200

250

300

350

1 2 3 4

Этап исследования (номер)

Вре

мя

(мс)

Рисунок 4.8 – Время задержки на всех четырех этапах

Из рисунка 4.8 можно сделать вывод, что при загруженности одного из участков

сети провайдера или при совместном использовании одного канала двумя клиентами

время задержки возрастает незначительно. Временная задержка при обрыве одного из

кабелей провайдера больше чем при прохождении пакета без помех, что связана с

прохождением большего количества маршрутизаторов и следственно увеличением

расстояния между клиентами.

90

Page 91: Диплом MPLS VPN

Теперь вычислим среднюю задержку для каждого из четырех этапов при отправке

пакета максимального размера – 18000 байт. И занесем полученные данные в таблицу

4.31.

Таблица 4.31 – Среднее значение временной задержки на каждом из этапов

Этап исследования Среднее значение временной задержки (мс)

1 215

2 307

3 246

4 259

Используя данные таблицы 4.31 можно построить график, рисунок 4.9.

0

50

100

150

200

250

300

350

1 2 3 4

Этап исследования (номер)

Вре

мя

(мс)

Рисунок 4.9 – Среднее время задержки на каждом из этапов

4.4 Обобщение полученных данных

Сведем данные из таблиц 4.13, 4.22 и 4.31 в один график и отобразим его на

рисунке 4.10

91

Page 92: Диплом MPLS VPN

0

50

100

150

200

250

300

350

400

450

1 2 3 4

Этап исследования (номер)

Вре

мя

(мс)

VPN A

VPN B

VPN C

Рисунок 4.10 – Среднее время задержки на каждом из этапов каждого клиента

Из полученного графика можно сделать вывод, что средняя временная задержка

на каждом этапе приблизительно одинаковая и довольно мала, чтобы как-то повлиять на

передачу данных в сети.

Зная данные предыдущих разделов можно рассчитать среднюю временную

задержку передачи данных в сети для каждого клиента виртуальной частной сети. Для

этого используем данные таблиц 4.13, 4.22 и 4.31 и вычислим для каждой среднее

значение. Результат поместим в таблицу 4.32.

Таблица 4.32 – Среднее значение временной задержки для каждого клиента VPN

Клиент Среднее значение временной задержки (мс)

A 369

B 285

C 257

Используя данные таблицы 4.32 построим график и отобразим его на рисунке 4.11

92

Page 93: Диплом MPLS VPN

Рисунок 4.11 – Средняя временная задержка для каждого клиента

Проанализируем результаты полученного графика для этого построим таблицу

4.33 используя данные QoS и зная подсчитав количество маршрутизаторов. Для того

чтобы узнать среднее значение маршрутизаторов на пути от одного филиала к другому

воспользуемся формулой 4.1

N = (n1+n2+…+nk) / k (4.1)

где n1 – количество маршрутизаторов на первом пути;

nk – количество маршрутизаторов на k-ом пути;

k – максимально возможное количество путей выходящих из главного офиса к

клиенту.

Тогда для VPN A можно подсчитать что

n1= PE1+P1+P3+PE5 т.е. n1= 4

n2= PE1+P1+P3+P5+PE4 т.е. n2= 5

n3= PE1+P1+P2+P4+PE3 т.е. n3= 5

Значит N = (4+5+5)/3 = 4.7. Аналогично можно рассчитать значение N для VPN B

и для VPN C.

93

0

50

100

150

200

250

300

350

400

VPN A VPN B VPN C

Клиент

Вре

мя

(мс)

Page 94: Диплом MPLS VPN

Таблица 4.33 – Параметры VPN-сетей

Клиент

Скорость доступа

определенная QoS

(Кбит/сек)

Максимальное

число пакетов

в очереди

Среднее число

маршрутизаторов

на пути

Средняя

задержка в

сети

VPN A 384 900 4,7 365

VPN B 512 600 4 285

VPN C 640 900 4,5 257

Из таблицы 4.33 можно сделать вывод, что средняя задержка в сети не может

зависеть только от среднего числа маршрутизаторов на пути. Это значение можно

рассматривать только как один из факторов влияющий на временную задержку в сети.

Теперь, на основе полученных данных, сопоставим расчетную скорость передачи

данных со скоростью определенной QoS. Для этого воспользуемся формулой 4.2.

V = S / T, (4.2)

где V – скорость передачи данных;

S – размер передаваемых данных;

T – время, за которое передались данные.

Тогда

VvpnA = (18000*8)/0,369 = 382 Кбит/сек

VvpnB = (18000*8)/0,285 = 505 Кбит/сек

VvpnC = (18000*8)/0,257 = 560 Кбит/сек

Построим график, отображающий расчетную скорость передачи данных с

выделенной скоростью для каждого клиента и отобразим его на рисунке 4.12.

94

Page 95: Диплом MPLS VPN

1 2 30

100

200

300

400

500

600

700

Расчетные данные

Данные QoS

Клиент

Ско

рост

ь (К

бит/

сек)

Рисунок 4.12 – Соотношение экспериментальных данных и требований QoS

Таким образом, из рисунка 4.12 видно, что расчетные данные скорости передачи

для всех 3-ех корпоративных клиентов соответствуют требованиям QoS, заданным в

техническом задании. Это подтверждает то, что виртуальная модель сети была

спроектирована и настроена корректно. Скорости передачи данных 3-ех корпоративных

клиентов не превышают их тарифные планы, а именно Platinum, Gold и Silver. Каждый

тарифный план поддерживает скорость доступа до 384 Кбит/сек - для клиента А, до 512

Кбит/сек – для клиента B и до 768 Кбит/сек для клиента С. соответственно.

4.5 Исследование защищенности клиентских данных от других клиентов

Для этого необходимо провести несколько простых тестов, а именно с каждого

сайта клиента попытаться пропинговать сайт другого клиента.

CE_A1#ping 172.17.254.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.17.254.2, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

CE_A1#

Как видно из примера результат отрицательный, клиента сайта А не видит сайт

клиента В.

95

Page 96: Диплом MPLS VPN

Также можно попробовать пропинговать сайт клиента имея доступ к

маршрутизаторам провайдера.

Perm#ping 172.16.254.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.254.2, timeout is 2 seconds:

Success rate is 0 percent (0/5)

Результат аналогичен предыдущему, сеть провайдера ничего не знает о сайтах

клиента.

96

Page 97: Диплом MPLS VPN

4.6 Выводы по главеИсследование и тестирование разработанной сети проводились в симуляторе

Dynamips с использованием графического интерфейса GNS 3. В главе были сделаны ряд

экспериментов с целью проверки характеристик прохождения пакетов по сети, а также с

целью проверки работоспособности модели сети, выполнений требований QoS (качества

обслуживания) и защищенности пересылаемых клиентских данных от других клиентов

сети. Для исследования была выбрана команда ping, с ее возможностью отправлять

пакеты разного размера, а также помечать их необходимыми битами в заголовке пакета.

Результаты экспериментов показали, что модель сети работоспособна и

удовлетворяет всем требованиям, сформулированным в техническом задании.

97

Page 98: Диплом MPLS VPN

ЗаключениеВ результате выполнения выпускной квалификационной работы была

спроектирована и настроена модель сети провайдера на базе технологии MPLS с

поддержкой трех виртуальных частных сетей в разных городах.

Были решены следующие задачи:

Проведен анализ существующих решений на основе которого был сделан выбор

в пользу технологии VPN MPLS;

Разработана сеть провайдера на основе технологии коммутации по меткам с

поддержкой трех клиентов. Обеспечена надежная защита клиентских данных от

несанкционированного использования, как со стороны других клиентов, так и со стороны

провайдера;

Изучены базовые настройки межсетевой операционной системы Cisco IOS;

Сеть спроектирована и настроена таким образом, что в случае подключения

новых клиентов с частными адресами сеть будет также эффективно функционировать и

одинаковые частные адреса в сети не будут создавать коллизий;

Разработана система качества обслуживания на основе установки

соответствующего IP-приоритета в заголовке пакета и распознавание его в дальнейшем по

ходу продвижения пакета по сети;

Проведены испытания работы сети, в ходе которых были подтверждены

изученные теоретические знания, а также соответствие виртуальных частный сетей

техническому заданию.

Таким образом в результате решения указанных задач можно сказать что

поставленная в выпускной квалификационной работе цель достигнута.

98

Page 99: Диплом MPLS VPN

Список использованных источников

1. CISCO Internetworking Technology Overview/ пер. В. Плешакова. URL: http :// lib . mexmat . ru / books /85359 .

2. CISCO Internetworking Technology Handbook. URL: http://www.cisco.com/en/US/docs/internetworking/technology/handbook/Bridging-Basics.html

3. Ram Balakrishnan. Advanced QoS for Multi–Service IP/MPLS Networks. Indianapolis: Wiley Publishing, Inc, 2008.-464 с.

4. Берлин А. Н. Телекоммуникационные сети и устройства. // Интернет-университет информационных технологий ИНТУИТ.ру. — М.: ЗАО «Издательство БИНОМ», 2008.

5. Бехингер М. Безопасность MPLS VPN. – Индианаполис: Cisco Press, 2005. – 3126. Бройдо В. Вычислительные системы, сети и телекоммуникации. СПб.: Питер,

2004 г. 688 с.7. Булдырина Н.В., Шуваров В.П. Телекоммуникационные сети с

многопротокольной коммутацией по меткам (MPLS) — Санкт-Петербург, Горячая Линия - Телеком, 2008 г.- 446 с.

8. Гейн Л. Основы MPLS. – Индианаполис: Cisco Press, 2007. – 651 с.

9. Гольдштейн А.Б., Гольдштейн Б.С Технология и протоколы MPLS. — СПб.: БХВ – Санкт-Петербург, 2005. — 304 с

10. Гулевич Д. С. Сети связи следующего поколения. // Интернет-университет информационных технологий ИНТУИТ.ру. М.: ЗАО «Издательство БИНОМ», 2007.

11. Гучард Б. Архитектура MPLS и VPN. – Индианаполис: Cisco Press, 2006. –504 с.

12. Захватов М. Построение виртуальных частные сетей (VPN) на базе технологии

MPLS. – М.: Cisco Systems, 2011. – 52 с.

13. Кульгин М. Е. Технологии корпоративных сетей. – СПб: Питер, 2009 г.

14. Олвейн В. Структура и реализация современной технологии MPLS. – М.:

Издательский дом «Вильямс», 2009. – 480 с.

15. Основы организации сетей Cisco. Том 1. (Третье издание)М.: Вильямс, 2007 г., 512 с.

16. Олифер В. Г. Компьютерные сети. Принципы, технологии, протоколы / В. Г Олифер, Н.А. Олифер. - СПб.: Питер, 2010. - 429 с.

17. Проект OpenNet, статьи по открытому ПО и сетям - портал [Электронный

ресурс]. - Режим доступа: http://www.opennet.ru/. Дата обращения: 17.06.2013.

18. Редди К. Построение MPLS сетей. – Индианаполис: Cisco Press, 2010. – 408 с.

19. Росляков А.В. Виртуальные частные сети. Основы построения и применения. СПб.: Эко-Трендз, 2008 г.- 304 с.

20. Трибунский Д. С., Шувалов В. П. Проектирование сетей с многопротокольной коммутацией по меткам.— Санкт-Петербург, Горячая Линия - Телеком, 2010 г.- 146 с.

21. Таненбаум Э. Компьютерные сети.- СПб.: Питер, 2007 г., 992 г.

99

Page 100: Диплом MPLS VPN

Приложение А

Конфигурирование P-маршрутизаторов

Конфигурация маршрутизатора Р2:

!hostname P2!ip cef!class-map match-all class2match ip precedence 3 class-map match-all class3match ip precedence 1 class-map match-all class1match ip precedence 5 !policy-map Ispclass class1bandwidth 768queue-limit 900class class2bandwidth 512queue-limit 600class class3bandwidth 384queue-limit 900!interface Loopback0ip address 10.10.7.1 255.255.255.255!interface Serial1/0description ***Router_P1***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface Serial1/1description ***Router_P4***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface Serial1/2description ***Router_PE2***bandwidth 10240

100

Page 101: Диплом MPLS VPN

ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface Serial1/3description ***Router_P3***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!router ospf 100log-adjacency-changesnetwork 10.10.7.1 0.0.0.0 area 0!

Конфигурация маршрутизатора Р3

!hostname P3!ip cef!class-map match-all class2match ip precedence 3 class-map match-all class3match ip precedence 1 class-map match-all class1match ip precedence 5 !policy-map Ispclass class1bandwidth 768queue-limit 900class class2bandwidth 512queue-limit 600class class3bandwidth 384queue-limit 900!interface Loopback0ip address 10.10.8.1 255.255.255.255!interface Serial1/0description ***Router_P1***bandwidth 10240ip unnumbered Loopback0

101

Page 102: Диплом MPLS VPN

tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface Serial1/1description ***Router_P2***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface Serial1/2description ***Router_P5***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface Serial1/3description ***Router_PE5***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!router ospf 100log-adjacency-changesnetwork 10.10.8.1 0.0.0.0 area 0!

Конфигурация маршрутизатора Р4

!hostname P4!ip cef!class-map match-all class2match ip precedence 3 class-map match-all class3match ip precedence 1 class-map match-all class1match ip precedence 5 !policy-map Ispclass class1

102

Page 103: Диплом MPLS VPN

bandwidth 768queue-limit 900class class2bandwidth 512queue-limit 600class class3bandwidth 384queue-limit 900!interface Loopback0ip address 10.10.9.1 255.255.255.255!interface Serial1/0description ***Router_P2***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface Serial1/1description ***Router_P5***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface Serial1/2description ***Router_PE3***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!router ospf 100log-adjacency-changesnetwork 10.10.9.1 0.0.0.0 area 0!

Конфигурация маршрутизатора Р5

!hostname P5!ip cef!class-map match-all class2match ip precedence 3

103

Page 104: Диплом MPLS VPN

class-map match-all class3match ip precedence 1 class-map match-all class1match ip precedence 5 !policy-map Ispclass class1bandwidth 768queue-limit 900class class2bandwidth 512queue-limit 600class class3bandwidth 384queue-limit 900!interface Loopback0ip address 10.10.10.1 255.255.255.255!interface Serial1/0description ***Router_P3***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface Serial1/1description ***Router_P4***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface Serial1/2description ***Router_PE4***bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!router ospf 100log-adjacency-changesnetwork 10.10.10.1 0.0.0.0 area 0!

104

Page 105: Диплом MPLS VPN

Приложение Б

Конфигурирование PE-маршрутизаторов

Конфигурирование сети в ЧелябинскеДля настройки сеть в Челябинске необходимо сконфигурировать PE-

маршрутизатор (PE4) на стороне провайдера и два CE-маршрутизатора на стороне клиента.

Конфигурация маршрутизатора PE4:!hostname Chel!ip vrf vrf1rd 100:1route-target export 100:1route-target import 100:1!ip vrf vrf3rd 100:3route-target export 100:3route-target import 100:3!ip cef!class-map match-all Platinummatch input-interface FastEthernet2/0class-map match-all Silvermatch input-interface FastEthernet2/1!policy-map Ispclass Platinumbandwidth 768queue-limit 900set ip precedence 5class Silverbandwidth 512queue-limit 900set ip precedence 1!interface Loopback0ip address 10.10.4.1 255.255.255.255!interface Serial1/0bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface FastEthernet2/0ip vrf forwarding vrf1

105

Page 106: Диплом MPLS VPN

ip address 172.16.252.1 255.255.255.252duplex autospeed auto!interface FastEthernet2/1ip vrf forwarding vrf3ip address 172.18.252.1 255.255.255.252duplex autospeed auto!router ospf 100log-adjacency-changesnetwork 10.10.4.1 0.0.0.0 area 0!router ripversion 2network 172.16.0.0network 172.18.0.0!address-family ipv4 vrf vrf3redistribute bgp 64512 metric 1network 172.18.0.0no auto-summaryversion 2exit-address-family!address-family ipv4 vrf vrf1redistribute bgp 64512 metric 1network 172.16.0.0no auto-summaryversion 2exit-address-family!router bgp 64512no bgp default ipv4-unicastbgp log-neighbor-changesneighbor 10.10.1.1 remote-as 64512neighbor 10.10.1.1 update-source Loopback0neighbor 10.10.2.1 remote-as 64512neighbor 10.10.2.1 update-source Loopback0neighbor 10.10.3.1 remote-as 64512neighbor 10.10.3.1 update-source Loopback0neighbor 10.10.5.1 remote-as 64512neighbor 10.10.5.1 update-source Loopback0!address-family vpnv4neighbor 10.10.1.1 activateneighbor 10.10.1.1 send-community extendedneighbor 10.10.2.1 activateneighbor 10.10.2.1 send-community extendedneighbor 10.10.3.1 activateneighbor 10.10.3.1 send-community extended

106

Page 107: Диплом MPLS VPN

neighbor 10.10.5.1 activateneighbor 10.10.5.1 send-community extendedexit-address-family!address-family ipv4 vrf vrf3redistribute ripno auto-summaryno synchronizationexit-address-family!address-family ipv4 vrf vrf1redistribute ripno auto-summaryno synchronizationexit-address-family!

Конфигурация маршрутизатора принадлежащего клиенту А:!hostname CE_A3!interface FastEthernet0/0ip address 172.16.252.2 255.255.255.252duplex autospeed auto!interface FastEthernet0/1ip address 172.16.30.254 255.255.255.0duplex autospeed auto!router ripversion 2network 172.16.0.0!

Конфигурация маршрутизатора принадлежащего клиенту С:!hostname CE_С3!interface FastEthernet0/0 ip address 172.18.252.2 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 172.18.30.254 255.255.255.255 shutdown duplex auto speed auto!router rip

107

Page 108: Диплом MPLS VPN

version 2 network 172.18.0.0!

Конфигурирование сети в ОренбургеДля настройки сеть в Оренбурге необходимо сконфигурировать PE-

маршрутизатор (PE3) на стороне провайдера и два CE-маршрутизатора на стороне клиента.

Конфигурация маршрутизатора PE3:!hostname Orenburg!ip vrf vrf1rd 100:1route-target export 100:1route-target import 100:1!ip vrf vrf3rd 100:3route-target export 100:3route-target import 100:3!ip cef!class-map match-all Platinummatch input-interface FastEthernet2/0class-map match-all Silvermatch input-interface FastEthernet2/1!policy-map Ispclass Platinumbandwidth 768queue-limit 900set ip precedence 5class Silverbandwidth 512queue-limit 900set ip precedence 1!interface Loopback0ip address 10.10.3.1 255.255.255.255!interface Serial1/0bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface FastEthernet2/0

108

Page 109: Диплом MPLS VPN

ip vrf forwarding vrf1ip address 172.16.253.1 255.255.255.252duplex autospeed auto!interface FastEthernet2/1ip vrf forwarding vrf3ip address 172.18.253.1 255.255.255.252duplex autospeed auto!router ospf 100log-adjacency-changesnetwork 10.10.3.1 0.0.0.0 area 0!router ripversion 2network 172.16.0.0network 172.18.0.0!address-family ipv4 vrf vrf3redistribute bgp 64512 metric 1network 172.18.0.0no auto-summaryversion 2exit-address-family!address-family ipv4 vrf vrf1redistribute bgp 64512 metric 1network 172.16.0.0no auto-summaryversion 2exit-address-family!router bgp 64512no bgp default ipv4-unicastbgp log-neighbor-changesneighbor 10.10.1.1 remote-as 64512neighbor 10.10.1.1 update-source Loopback0neighbor 10.10.2.1 remote-as 64512neighbor 10.10.2.1 update-source Loopback0neighbor 10.10.4.1 remote-as 64512neighbor 10.10.4.1 update-source Loopback0neighbor 10.10.5.1 remote-as 64512neighbor 10.10.5.1 update-source Loopback0!address-family vpnv4neighbor 10.10.1.1 activateneighbor 10.10.1.1 send-community extendedneighbor 10.10.2.1 activateneighbor 10.10.2.1 send-community extendedneighbor 10.10.4.1 activate

109

Page 110: Диплом MPLS VPN

neighbor 10.10.4.1 send-community extendedneighbor 10.10.5.1 activateneighbor 10.10.5.1 send-community extendedexit-address-family!address-family ipv4 vrf vrf3redistribute ripno auto-summaryno synchronizationexit-address-family!address-family ipv4 vrf vrf1redistribute ripno auto-summaryno synchronizationexit-address-family!

Конфигурация маршрутизатора принадлежащего клиенту А:!hostname CE_A2!interface FastEthernet0/0ip address 172.16.253.2 255.255.255.252duplex autospeed auto!interface FastEthernet0/1ip address 172.16.20.254 255.255.255.0duplex autospeed auto!router ripversion 2network 172.16.0.0!

Конфигурация маршрутизатора принадлежащего клиенту С:!hostname CE_С2!interface FastEthernet0/0 ip address 172.18.253.2 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 172.18.20.254 255.255.255.255 shutdown duplex auto speed auto!

110

Page 111: Диплом MPLS VPN

router rip version 2 network 172.18.0.0!

Конфигурирование сети в ИжевскеДля настройки сети в Ижевске необходимо сконфигурировать PE-маршрутизатор

(PE2) на стороне провайдера и два CE-маршрутизатора на стороне клиента.

Конфигурация маршрутизатора PE2:!hostname Igevsk!ip vrf vrf2rd 100:2route-target export 100:2route-target import 100:2!ip vrf vrf3rd 100:3route-target export 100:3route-target import 100:3!ip cef!class-map match-all Goldmatch input-interface FastEthernet2/0class-map match-all Silvermatch input-interface FastEthernet2/1!policy-map Ispclass Goldbandwidth 512queue-limit 600set ip precedence 3class Silverbandwidth 384queue-limit 900set ip precedence 1!interface Loopback0ip address 10.10.2.1 255.255.255.255!interface Serial1/0bandwidth 10240ip unnumbered Loopback0tag-switching ipserial restart-delay 0max-reserved-bandwidth 90service-policy output Isp!interface FastEthernet2/0

111

Page 112: Диплом MPLS VPN

ip vrf forwarding vrf2ip address 172.17.253.1 255.255.255.252duplex autospeed auto!interface FastEthernet2/1ip vrf forwarding vrf3ip address 172.18.254.1 255.255.255.252duplex autospeed auto!router ospf 100log-adjacency-changesnetwork 10.10.2.1 0.0.0.0 area 0!router ripversion 2network 172.17.0.0network 172.18.0.0!address-family ipv4 vrf vrf3redistribute bgp 64512 metric 1network 172.18.0.0no auto-summaryversion 2exit-address-family!address-family ipv4 vrf vrf2redistribute bgp 64512 metric 1network 172.17.0.0no auto-summaryversion 2exit-address-family!router bgp 64512no bgp default ipv4-unicastbgp log-neighbor-changesneighbor 10.10.1.1 remote-as 64512neighbor 10.10.1.1 update-source Loopback0neighbor 10.10.3.1 remote-as 64512neighbor 10.10.3.1 update-source Loopback0neighbor 10.10.4.1 remote-as 64512neighbor 10.10.4.1 update-source Loopback0neighbor 10.10.5.1 remote-as 64512neighbor 10.10.5.1 update-source Loopback0!address-family vpnv4neighbor 10.10.1.1 activateneighbor 10.10.1.1 send-community extendedneighbor 10.10.3.1 activateneighbor 10.10.3.1 send-community extendedneighbor 10.10.4.1 activate

112

Page 113: Диплом MPLS VPN

neighbor 10.10.4.1 send-community extendedneighbor 10.10.5.1 activateneighbor 10.10.5.1 send-community extendedexit-address-family!address-family ipv4 vrf vrf3redistribute ripno auto-summaryno synchronizationexit-address-family!address-family ipv4 vrf vrf2redistribute ripno auto-summaryno synchronizationexit-address-family!

Конфигурация маршрутизатора принадлежащего клиенту B:!hostname CE_B2!interface FastEthernet0/0ip address 172.17.253.2 255.255.255.252duplex autospeed auto!interface FastEthernet0/1ip address 172.17.20.254 255.255.255.0duplex autospeed auto!router ripversion 2network 172.17.0.0!

Конфигурация маршрутизатора принадлежащего клиенту С:!hostname CE_С1!interface FastEthernet0/0 ip address 172.18.254.2 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 172.18.10.254 255.255.255.255 shutdown duplex auto speed auto!

113

Page 114: Диплом MPLS VPN

router rip version 2 network 172.18.0.0!

114