Cum funcționează mpls vpn, laboratorul de rețea

Cum funcționează MPLS VPN

Bună ziua tuturor. Astăzi, conversația noastră se va concentra pe tehnologii precum MPLS VPN. În articolul precedent, rețeaua avea această tehnologie. Am demonstrat cum să mă protejez de rutele inundabile din partea clientului. În acest articol vom analiza modul în care funcționează rețeaua.

Mă voi abate de la schema obișnuită a narațiunii mele. Povestea mea va fi despre ceea ce se întâmplă pe web. Și ceea ce este configurat, puteți citi în config la sfârșitul articolului și pe Internet o mulțime de exemple. Dar aici este ceea ce este pe Internet foarte greu de găsit, deci este o descriere etapizată a modului în care o astfel de rețea funcționează, ce etape trece pachetul, de ce nu este necesar să organizați tuneluri și, cel mai important, cum să verificați totul corect.

Deci, ce este schimbarea etichetelor multiprotocol și de ce este mai bine decât rutarea? Esența principală constă în faptul că între link-ul de antet și straturile de rețea (și, în unele standarde, cum ar fi Frame Relay sau ATM-uri în antetul link-layer), router PE (Provider Edge) este introdus în etichetă, iar pachetul este transmis la următorul router MPLS, sau cum este numit, LSR (Label Switch Router). După primirea pachetului, The LSR citește eticheta și în conformitate cu tabelul modifică eticheta curentă pe eticheta următorului hop la direcția de destinație și trimite pachetul la interfața corespunzătoare, care este, de asemenea, înregistrate în tabel.

Și toată sarea este că nu există nici un studiu al tabelului de etichete. LSR se referă imediat la o înregistrare al cărei număr de ordine în tabel este egal cu valoarea etichetei. Ca urmare, se obține o rată foarte mare de procesare a pachetelor. Aproape la fel de repede ca la al doilea nivel de comutare. Aproape pentru că titlul celui de-al doilea nivel ar trebui să fie schimbat la toate și să producă toate operațiunile legate de acest lucru. Un alt obstacol relativ este rutarea PE, care acum trebuie să învețe nu numai masa de rutare la trimiterea pachetelor, ci și un tabel de etichete. Astfel, câștigând performanța într-un singur loc, pierdem în cealaltă. Dar plătirea în centrul rețelei este foarte semnificativă, ceea ce a dus la popularitatea MPLS cu furnizorii.

Să trecem acum la punctul și să vedem cum funcționează. Pentru a demonstra înlocuirea etichetelor în timpul transferului de pachete, adăugăm la schema noastră anterioară încă două routere. De ce - va fi clar în acest proces. Așa arată acum rețeaua noastră.

Cum funcționează mpls vpn, laboratorul de rețea

Deci, avem aici routerele CE D_apad și D_Vostok, conectate la router-urile PE Zapad și Vostok. Routerele Yug1,2 și Sever1,2 reprezintă nucleul rețelei de furnizori. Conectarea clienților este organizată folosind BGP (acest lucru nu este foarte important), iar în cadrul rețelei furnizorului, rutarea se face folosind OSPF (acest lucru este important, numai IGP poate lucra împreună cu LDP). În cele din urmă, LDP este folosit pentru a distribui etichete.

Un pic despre distribuirea etichetelor. Etichetele sunt atribuite ruterelor PE ale rețelelor înregistrate de tabela de rutare. Doar numit în ordine, începând cu ora 16 (de ce cu 16 nu va fi dificil de găsit pe Internet). Apoi, folosind PLDM, în acest caz, informații despre eticheta este transferată la routerele vecine, care, la rândul lor, desemnează marca pentru subrețele transferate routere PE și să le transmită de atunci noile etichete. Și așa mai departe și așa mai departe. Din prima oară nu pot înțelege. Eu cer să fiți răbdători, în procesul de a spune totul va deveni clar.

Să ne uităm la tabelul etichetelor de pe ruterul Zapad.

Deci, ceea ce vedem aici. Prima coloană este eticheta locală este lista de tag-uri care i se atribuie subrețele marshrutizato din tabelul de rutare, și referindu-se la masă atunci când router-ul va primi pachetul MPLS va avea loc pe acea coloană.

A doua coloană este eticheta de ieșire. Aceasta este eticheta care va fi atribuită pachetului trimis în rețeaua MPLS. Eticheta de tip pop indică faptul că antetul MPLS va fi tăiat și pachetul va fi trimis la nodul specificat ca Next Hop, care va lua o decizie cu privire la redirecționarea ulterioară utilizând rutarea deja obișnuită. Fără etichetă în acest caz înseamnă că MPLS pe ​​interfețele corespunzătoare nu este activată. De fapt, ambele subrețele care au o No Label sunt atribuite lui vrf Zapad și nu există nici o interfață MPLS pe ​​nici o subrețea.

Să vedem acum ce aventuri așteaptă pachetul în cursul călătoriei prin rețea. Pentru a face acest lucru, vom ping interfața lo0 pe routerul D_Vostok în numele interfeței lo0 de pe routerul D_Zapad. Să vedem ce ne va arăta WireShark și să întrebăm routerele dacă ne minte.

E în regulă, rețeaua funcționează, pachetele se execută. Uite, asta ne arată cățelul nostru.

De la routerul D_Zapad la ruterul Zapad rulează un cadru Ethernet complet normal cu un pachet IPv4. Privim mai departe. Legătura dintre Zapad și Yug_1.

Și aici vedem un lucru interesant. În locul unui antet MPLS, vedem două. Cum sa întâmplat? Mergem la ruterul Zapad și vedem ce poate explica despre asta. În primul rând, verificăm tabelul de rutare Zapad vrf, deoarece interfața pe care primim pachetul nostru aparține acestui router virtual.

Deci, aici vedem că rețeaua noastră de destinații 192.168.20.1/32 se află în spatele nodului 192.168.0.3, dar aici nu există ruta către acest nod. Unde o găsesc? Deoarece avem MPLS activat, vom verifica tabela de transfer MPLS.

Bine. Aici am dat seama. Dar de unde a apărut al doilea antet MPLS cu eticheta 24? Există o etichetă 24, dar ea indică nodul 192.168.0.2 și nu a fost menționată nici o mențiune și nici o mențiune despre aceasta.

Aici trebuie să vă amintiți titlul articolului, că avem nu numai MPLS, ci și VPN. Adică, odată ce există două antete ale aceluiași protocol, atunci există tunel, adică rețea în rețea. Într-adevăr, pentru clienți, organizația este organizată tocmai pentru a realiza o rețea în rețea.

Aici cititorul poate pune o întrebare rezonabilă. Noi MPLS pe ​​routerele virtuale nu sunt configurate. Ar fi mai logic să vezi tunelul IP. De unde vine MPLS?

Aici vorbim despre una dintre prelungirile protocolului BGP - Multiprotocol BGP sau MP-BGP. În configurația procesului bgp de pe routerul Zapad există o secțiune:

Același lucru este pe ruterul Vostok. Această secțiune este responsabilă pentru activarea MP-BGP între routerele Zapad și Vostok și pentru trecerea rutelor între vrf pe aceste routere. Modul în care funcționează este cel mai bine ilustrat prin actualizarea debug bgp. Pentru a porni actualizarea, dezactivați și activați lo1 pe D_Vostok.

În această ieșire, vom vedea că în Comunitatea extinsă (și rețeaua VPN mai ușor) RT: 1: 1000 (aceasta este același cu cel pe care l-am creat echipe de import și export) a primit actualizarea cu noua rută către subrețeaua 192.168.20.2/32, care se referă RD la 1: 100 și eticheta (acest traseu) 29. Lista toate aceste rute cu etichetele lor respective:

Acum puteți vedea unde a apărut cel de-al doilea (și, de ex., Primul) antet al MPLS.

Să vedem cum pachetele cu etichete merg pe net. Iată pachetul dintre routerele Yug_1 și Yug_2:

Vedem că antetul Ethernet sa schimbat (în mod natural), iar eticheta superioară sa schimbat, în timp ce TTL-ul se micșorează simultan. Ce ne va spune routerul Yug_1 despre acest lucru:

Bine. Toate pachetele cu o etichetă de 21 trebuie să primească o etichetă de 18 și sunt trimise la nodul 10.100.6.1 prin interfața Et1 / 1. Ie vedem că eticheta MPLS are o valoare locală, numai pentru acest router. Într-adevăr, dacă ne uităm la tabela de redirecționare a routerului Zapad, atunci vom găsi și eticheta 21. Numai pentru a indica că va fi pe o subrețea complet diferită.

Dar, în timp ce suntem plictisiți, pachetul nostru a pornit deja și a trecut routerul Yug_2. Să vedem ce sa întâmplat cu el.

Aici vedem că mai rămâne o singură poziție MPLS. Verificăm tabelul de transmisie de pe ruterul Yug_2.

Într-adevăr, dacă se găsește un pachet în eticheta 18, atunci această etichetă trebuie tăiată. Dar cum este, pentru că Yug_2 nu este încă un router PE. De ce este tăiat semnul aici?

Și există pur și simplu o separare a încărcăturii. Rețeaua 192.168.0.3/32 este următorul router (a spus OSPF), și se pare că, atunci când vine vorba de eticheta pachetului va trebui să-și facă datoria dublu și procesul de masă MPLS, și tabela de rutare. De ce face acest lucru în cazul în care eticheta poate reduce router-ul anterior și pachetul este încă trimis la destinație utilizând corespunzător antetul cadru Ethernet.

Aceasta este ceea ce observăm. Eticheta este tăiată, pachetul este trimis la nodul 10.100.4.2 prin interfața Et1 / 1.

Ce va face routerul Vostok cu acest pachet? Ne uităm la masa de transfer:

Eticheta 24 ne arată unde să trimitem pachetul. În acest caz, nu este nevoie de o acțiune intermediară datorită faptului că interfața Et1 / 2 aparține vrf. În mod similar, putem specifica, de exemplu, un traseu static cu o interfață. Indiferent dacă această interfață aparține oricărui vrf, pachetul va fi transmis. Aceeași regulă se aplică și tabelului MPLS.

Verificam cum arată pachetul după routerul Vostok:

Ei bine, așa cum era de așteptat, pachetul obișnuit de icmp fără adăugări.

Pe această aventură a acestei solicitări ICMP se termină și, sperăm, ați adăugat la înțelegerea modului în care MPLS VPN funcționează.

Averyanov Cyril
network-lab.ru

Articole similare