IPSec ×××都属于传统×××
传统×××的缺陷:范围都是点对点
1、需要手工静态指定建立,随着用户网络规模增长,可扩展性不强
2、×××维护和管理工作属于用户自行完成
MPLS ×××的优点:
1、实现隧道的动态建立(通过MPLS中的LDP实现)
2、解决IP地址冲突问题
3、×××私网路由易于控制
×××核心思想就是隧道,实际上隧道就是进来封装,出去解封装,但不安全,只是打标签,隐藏IP报文
传统IP转发是逐包转发,检查路由表中的目标地址,转发是它的瓶颈(ATM由于成本太高)
注:
1、面对去往目标存在多条路由,经过多次查表计算,选择IP转发采用最长匹配,算法效率不高
2、当前路由器多采用CPU进行转发处理,性能有限
ATM:采用定长标签来代替IP地址
1、ATM转发采用唯一标签匹配,一次查表,效率很高
2、但ATM控制层面配置复杂,成本高,难以普及
MPLS介于IP与ATM协议之间
MPLS报文格式:MPLS封装方式位于2.5层
MPLS用一个短而定长的标签来封装网络层分组,交换机路由器根据标签转发报文
MPLS多协议标签交换,起源于IPv4,最初是为了提高转发速度而提出的,其核心技术可扩展到多种网络协议,包括IPv6、IPX等
MPLS技术集二层的快速交换和三层的路由转发于一体,可以满足各新应用对网络的要求
Label报文格式:
MPLS标签是一个长度固定,仅具有本地意义的标识符,用于唯一标识一个分组所属的FEC,一个标签只能代表一个FEC
路由器根据标签决定如何转发,不查找IP转发
MPLS网络组成:
LSR(标签交换机路由器):是MPLS网络中的基本元素(提供标签交换,标签分发功能)
LSR ID占用四个字节、标签空间序号占用两个字
LER(标签交换边缘路由器):处于MPLS网络边缘处(提供标签与IP的映射,标签分发、标签移除功能)
FEC(转发等价类):MPLS作为一种分类转发技术,通过标签与IP的映射将具有相同转发处理方式的分组归为一类
LSP(标签交换路径):一个FEC的数据流,在不同的节点赋予确定的标签,数据按照这些标签进行转发,数据流所走的路径就是LSP
传统IP网络中,转发数据是基于路由表转发,MPLS网络中,转发数据是基于LDP转发
标签分配协议,用于在LSR之间分配标签,建立LSP(LDP、CR-LDP、RSVP-TE、MP-BGP)
LDP(标签分发协议):是MPLS的控制协议,它相当于传统网络中的路由协议,负责FEC的分类、标签的分配以及LSP的建立和维护一些列操作
LDP消息类型:
发现消息:用于LDP邻居的发现和维持,通过互发hello包,使用UDP传输端口646
会话消息:用于LDP邻居会话建立、维持和终止,使用TCP传输(类似于keepalive消息)
通告消息:用于LDP实体向LDP邻居宣告Label、地址等消息,使用TCP传输
通知消息:用于向LDP邻居通知事件或者错误消息,使用TCP传输
LDP采用组播地址224.0.0.2,选择最优路径
上游LSR和下游LSR:数据先到打的设备是上游,后到达的设备是下游
主要针对标签分发:往往标签分发是下游为上游分发,数据的传输肯定是上游到下游
标签分发过程:
1、路由器根据路由表进行标签分配,形成MPLS标签转发表
2、标签转发表主要包含入标签、出标签、出接口,路由器可以根据标签转发表转发MPLS报文
3、标签是设备随机自动生成的,16以下为系统保留
PUSH压标签进行封装标签,POP弹出标签解封装操作
高速路由器:采用多核CPU转发
MPLS基本工作流程
1、LDP和传统路由协议一起,在各个LSR中为有业务需求的FEC建立路由表和标签信息表
2、入口LER接收分组,完成第三层功能,判定分组所属的FEC,并给分组加上标签,形成MPLS标签分组
3、LSR根据标签转发表进行转发,不对标签分组进行任何的第三层处理
4、LER去掉分组中的标签,继续进行后面的IP转发
倒数第二跳弹出标签
LER节点只需要进行IP转发,标签已经没有使用价值,为了减轻LER节点负担,提高MPLS网络对报文的处理能力
MPLS ×××模型中,包含三个组成部分:CE、PE和P。
CE:是用户网络边缘设备,接口直接与服务提供商相连,可以是路由器或是交换机等
PE:即运营商边缘路由器,是运营商网络的边缘设备,与用户的CE直接相连
P:运营商网络中的骨干路由器,不和CE直接相连。P路由器需要支持MPLS能力
CE和PE的划分主要是从运营商与用户的管理范围来划分的,CE和PE是两者管理范围的边界。
GRE隧道在PE上启用
MPLS优点
1、快速转发,不再根据路由表查找路由,根据标签转发
2、基于TCP面向连接服务
3、支持各种链路层协议和网络层协议
4、不仅支持基于策略的约束路由,满足各种新应用对网络的要求
5、应用广泛
1、MPLS基本能力配置
[H3C]interface loopback 0
[H3C-LoopBack0] ip address 1.1.1.1 255.255.255.255 用于MPLS lsr-id
[H3C]mpls lsr-id 1.1.1.1 配置MPLS的LSR ID(必须为32位的loopback口地址)
[H3C]mpls 全局使能MPLS
[H3C-mpls]mpls ldp 全局使能MPLS LDP
2、定义×××实例、VRF虚拟路由转发(彼此之间各自学各自的路由)
[H3C]ip ***-instance ***a 创建并进入×××实例视图
[H3C-***-***a]route-distinguisher 100:100 配置***a的RD
[H3C-***-***a]***-target 100:100 200:200 300:300 import-extcommunity 为***a引入***-target团体
[H3C-***-***a]***-target 100:100 export-extcommunity 为***a导出***-target团体
3、配置PE与CE间进行路由交换
[H3C]interface Ethernet1/0/0 进入连接用户CE接口
[H3C-Ethernet1/0/0]ip binding ***-instance ***a接口绑定在***a下
[H3C-Ethernet1/0/0]ip address ip-address 192.168.10.1 255.255.255.0 配置地址
[H3C]ospf 110 router-id 1.1.1.1 ***-instance ***a 创建OSPF多实例
[H3C-ospf-110]area 0 进入area0
[H3C-ospf-110-area-0.0.0.0]ip ***-instance ***a 创建RIP多实例
[H3C-ospf-110-area-0.0.0.0]network 192.168.10.0 0.0.0.255 发布与CE相连路由
[H3C-ospf-110]import-route direct 发布直连路由
4、配置PE与P接口IP地址
[H3C]interface Ethernet2/0/0 进入连接P接口
[H3C-Ethernet1/0/0]ip address ip-address 123.1.1.1 255.255.255.252 配置地址
[H3C]ospf 100
[H3C-ospf-100]area 0
[H3C-ospf-100-area-0.0.0.0]network 123.1.1.0 0.0.0.3
[H3C-ospf-100]import-route direct
[H3C]interface tunnel 1
[H3C-tunnel1]tunnel-protocol gre
[H3C-tunnel1]source 123.1.1.1
[H3C-tunnel1]destination 121.1.1.1
[H3C-tunnel1]ip address 192.168.1.1 255.255.255.0
[H3C-tunnel1]mpls 接口使能MPLS
[H3C-tunnel1]mpls ldp enable 接口使能MPLS LDP
[H3C]ip route-static 192.168.100.1 32 ip-address2
[H3C]bgp 64052
[H3C-bgp]peer 121.1.1.1 as-number 64040
[H3C-bgp]address-family ipv4 unicast
[H3C-bgp-af-***]peer 121.1.1.1 enable
[H3C-bgp]address-family ***v4 进入***v4视图
[H3C-bgp-af-***]undo policy ***-target
[H3C-bgp-af-***]peer 172.16.1.241 enable
[H3C-bgp-af-***]peer 172.16.1.241 route-policy route-aggregation export
CE上配置
[H3C]ip route-static 0.0.0.0 0.0.0.0 123.1.1.12(与ISP互联的地址)
PE上配置
[H3C]ip route-static ***-instance ***a 0.0.0.0 0.0.0.0 10.1.1.1(与CE互联的地址)