Анализ и проектирование сетей VPN на основе технологии MPLS

Руководство запуска_мо-дели_сети_в GNS3.doc

1.Установить GNS3. В ходе установки ставить все по умолчанию и со всем соглашаться.
Скопировать папку Cisco в C:cisco (Можно скопировать и в другое место. Но я не проверял)
Исходную папку cisco лучше не удалять (может понадобиться если вы что-то укажите неправильно в настройках)
На рабочем столе будет ярлык GNS3. Запустить его.
Появиться окно Setup Wizard. Выбрать 2 пункт.
Запуститься окно IOS image and hypervisors
a.Нажать « » в разделе Image file
b.Выбрать c:ciscoc2600
c.Нажать ОТКРЫТЬ и затем SAVE
d.Нажать « » в разделе Image file
e.Выбрать c:ciscoc7200
f.Нажать ОТКРЫТЬ и затем SAVE
Появиться окно Setup Wizard. Выбрать 1 пункт.
Откроется меню Preferences
a.General --> Выбрать русский язык --> Apply
b.Основное --> Папка проекта --> C:ciscodiplom
c.Основное --> Папка IOSPIX --> C:cisco
d.Dynamips --> Рабочая папка --> C:ciscotemp
Файл --> Открыть --> C:ciscodiplommy

Чертеж_003_телекоммуникационный_шкаф.cdw

Вид сверху указан без крышки.
Вид спереди указан без стеклянной двери.
* - размеры для справок (мм)
Маршрутизатор Cisco 7200
Коммутатор D-Link DES-3526
Коммутационная панель
Шасси D-Link DPS-800
Размещение оборудования
в телекоммуникационном

ПЗ_вкр.docx

Общий анализ принципов построения современных глобальных сетей связи применяемых для организации VPN сетей. Анализ и сравнение технологии MPLS VPN6
1 Обзор технологий глобальных сетей применяемых для построения VPN сетей.6
2 VPN-сети с установлением соединения7
2.1 Сети на основе технологии TDM8
2.2 VPN-сети на основе технологии передачи фреймов10
2.3 VPN-сети на основе технологии передачи ячеек11
2.4 VPN-сети 3-го уровня с установлением соединения13
3 VPN-сети без установления соединения16
3.1 Обычные VPN-сети протокола IP16
3.2 VPN-сети на основе коммутации MPLS18
4 Сравнение VPN-технологий20
5 Преимущества VPN-сетей MPLS20
6 Постановка технического задания26
Исследование технологии MPLS VPN. Алгоритм настройки сетей MPLS VPN.28
1 Принцип работы VPN-сетей MPLS28
1.1 Маршрутизация и пересылка пакетов в сетях VPN30
1.2 Распространение маршрутной информации в VPN-сети32
1.3 Пересылка пакетов в сети MPLS34
2 Проектирование сети36
2.1 Выбор протоколов используемых на участке СЕ-РЕ36
2.1.1 Внутренние и внешние протоколы маршрутизации38
2.1.2 Дистанционно-векторные и протоколы маршрутизации с учетом состояния39
2.1.3 Протоколы маршрутизации41
2.1.4 Обоснование выбора43
2.2 Выбор оборудования43
2.3 Этапы конфигурирования маршрутизаторов52
2.3.1 Конфигурирование интерфейсов сети и протокола IGP52
2.3.2 УказаниеVPN-сети пользователя53
2.3.3 Конфигурирование сеансов маршрутизации РЕ-РЕ54
2.3.4 Конфигурирование сеансов маршрутизации РЕ-СЕ55
2.3.5 Конфигурирование Р-маршрутизаторов56
2.3.6 Конфигурирование СЕ-маршрутизаторов57
2.3.7 Конфигурирование функций QoS для VPN-сетей MPLS58
2.3.8 Проверка работоспособности VPN-cети и конфигурации QoS63
3 Выводы по главе 65
Конфигурирование спроектированной сети65
1 Конфигурирование маршрутизаторов провайдера66
2 Конфигурирование пограничных маршрутизаторов провайдера и пользователя68
2.1 Конфигурирование сети в Перми68
2.2 Конфигурирование сети в Екатеринбурге71
3 Выводы по главе 74
Исследование характеристик работы построенной модели VPN-сети75
1 Исследование участка сети клиента А75
2 Исследование участка сети клиента В81
3 Исследование участка сети клиента С86
4 Обобщение полученных данных91
5 Исследование защищенности клиентских данных от других клиентов95
Список использованных источников99
Конфигурация маршрутизатора Р2:100
Конфигурация маршрутизатора Р3101
Конфигурация маршрутизатора Р4102
Конфигурация маршрутизатора Р5103
Конфигурирование сети в Челябинске105
Конфигурирование сети в Оренбурге108
Конфигурирование сети в Ижевске111
При разработке современных магистральных сетей крупнейших операторов необходимо решать ряд задач сложность и характер которых зависит от требований к функциональному назначению сети. Основная масса постоянно обновляющихся требований предъявляемых в настоящее время к технологиям глобальных (магистральных) сетей операторов связи исходит от растущего спроса клиентов на дополнительные услуги. При разработке современных магистральных сетей отвечающих таким требованиям выбираются такие технологии и стандарты которые позволяют в конечном итоге получить сеть отвечающую требованиям и характеристикам «мультисервисной» сети. Мультисервисная сеть - это сеть которая образует единую информационно-телекоммуникационную структуру которая поддерживает все виды трафика (данные голос видео) и предоставляет все виды услуг (традиционные и новые базовые и дополнительные) в любой точке в любое время в любом наборе и объеме с дифференцированным гарантированным качеством и по стоимости удовлетворяющей различные категории пользователей [1].
Требования предъявляемые к мультисервисной сети можно условно разделить на две части — базовые требования (которые учитываются при разработке сети практически всегда) и дополнительные требования (требования которые учитываются при наличии достаточного спроса на них со стороны провайдеров или пользователей). В соответствии с требованиями определяют также и услуги которые должен предоставлять оператор.
К базовым услугам мультисервисной сети относятся традиционные услуги передачи и доступа:
передача трафика данных сети Интернет;
передача традиционного телефонного трафика;
передача видеотрафика;
передача трафика мобильных сетей.
К дополнительным услугам относятся следующие:
передача голосового трафика IP-телефонии;
доступ в сеть Интернет с заданием следующих параметров: гарантируемой минимальной и возможной максимальной полосы пропускания допустимой максимальной задержки допустимых пределов вариации задержки;
организации виртуальных частных сетей корпоративных пользователей;
различные услуги контент-провайдеров;
услуги по обеспечению гарантированного уровня обслуживания.
Одной из самых важных предоставляемых услуг является услуга организации виртуальных частных сетей корпоративных пользователей. Характерным свойством большинства корпоративных сетей на сегодняшний день является их территориально распределенная структура вследствие чего возникает задача объединения территориально распределенных филиалов предприятия и компьютеров удаленных сотрудников в одну сеть. Кроме того существуют проблемы защиты информации аутентификации и авторизации пользователей предоставления доступа к ресурсам обеспечение независимости адресных пространств.
Изначально эти задачи решались путем организации собственной частной сети что подразумевало прокладку выделенных каналов связи установку маршрутизаторов и устройств доступа. Преимущества частных сетей неоспоримы это и независимость адресного пространства и независимый выбор сетевой технологии и высокий уровень безопасности. Но также неоспорим и тот факт что с экономической точки зрения такую сеть может себе позволить далеко не каждое предприятие.
Под термином VPN понимают круг технологий обеспечивающих безопасную и качественную связь в пределах контролируемой группы пользователей по открытой глобальной сети [5]. Цель создания VPN сводится к максимальной степени обособления потоков данных одного предприятия от потоков данных всех других пользователей сети. Такое разделение должно быть обеспечено в отношении параметров пропускной способности потоков а также в отношении конфиденциальности передаваемых данных [8].
В свете все более возрастающего интереса к технологии уже сегодня провайдеры предоставляют планы предоставления услуг с добавленной ценностью поверх своих транспортных сетей VPN расширяется рынок VPN-продуктов.
Относительно технологий магистральной сети то для решения возникающих задач разрабатывалось множество архитектур но в настоящее время все более распространяется архитектура MPLS которая обеспечивает построение магистральных сетей имеющих практически неограниченные возможности масштабирования повышенную скорость обработки трафика и беспрецедентную гибкость с точки зрения организации дополнительных сервисов. Кроме того технология MPLS позволяет интегрировать сети IP и ATM за счет чего поставщики услуг смогут не только сохранить средства инвестированные в оборудование асинхронной передачи но и извлечь дополнительную выгоду из совместного использования этих протоколов.
В архитектуре MPLS собраны наиболее удачные элементы всех предыдущих разработок и она уже значительное время назад превратилась в стандарт благодаря усилиям рабочей группы IETF отвечающей за развитие MPLS и компаний заинтересованных в скорейшем продвижении данной технологии на рынок.
Провайдеры предлагающие своим клиентам IP-услуги по магистралям MPLS могут поддерживать качество обслуживания (QoS) что позволяет администраторам контролировать такие параметры передачи трафика как задержка колебания задержки и потери пакетов в сети. Одним из основных преимуществ QoS является возможность поддерживать разные виды трафика такие как данные голос и видео что позволяет подписывать с заказчиками соглашения о гарантированном качестве услуг.
Учитывая вышесказанное можно говорить о том что у технологии VPN MPLS
несомненно есть будущее и рассмотрение организации и механизма работы такой сети довольно актуальный вопрос.
Целью моей квалификационной работы является исследование принципов построения VPN сетей на базе технологии MPLS.
Для достижения поставленной цели необходимо решение следующих задач:
Анализ принципов построения современных глобальных сетей поддерживающих технологию
Исследование и оценка применимости технологии VPN
Построение и оценка виртуальной модели сети VPN
Объектом исследования является изучение способов организации VPN сетей на базе технологий современных глобальных сетей.
Предметом исследования является спроектированная виртуальная сеть поддерживающая технологию VPN MPLS.
Общий анализ принципов построения современных глобальных сетей связи применяемых для организации VPN сетей. Анализ и сравнение технологии MPLS VPN
1 Обзор технологий глобальных сетей применяемых для построения VPN сетей.
Провайдеры предлагают услуги виртуальных частных сетей (Virtual Private Network — VPN) промышленным пользователям с момента начала эксплуатации сетей на базе TDM и сетей Х.25 с коммутацией пакетов. Позднее сети Frame Relay и сети на основе технологии ATM с несколькими классами обслуживания в значительной степени заменили Х.25 и выделенные линии. Провайдеры служб устанавливают либо фиксированную стоимость служб VPN либо оплату зависящую от интенсивности пользования службой.
Термин "виртуальная частная сеть" (VPN) используется операторами связи и провайдерами служб для обозначения совокупности виртуальных каналов закрытых групп пользователей с момента разработки и начала применения служб Х.25 Frame Relay и ATM [15]. Позднее этот термин стал использоваться при управлении промышленными сетями (Enterprise Network Management) для обозначения закрытых групп пользователей в IP-сетях[8].
Пользователи давно осознали преимущества заключения субдоговора на телекоммуникационные услуги с внешними провайдерами (outsourcing) и объединения служб данных голоса и видео. Поэтому для них желательно использование службы управляемого протокола IP (Managed IP) с соглашениями об уровне обслуживания (Service-Level Agreement — SLA) на всем маршруте передачи данных (end-to-end) и с гарантированным качеством обслуживания (QoS) [6].
VPN-сети на базе протокола IP быстро становятся основой доставки объединенных голоса и видео и обычных цифровых данных. Многие провайдеры служб предлагают приложения с дополнительными услугами (value-added) в дополнение к своим транспортным VPN-сетям.
Основой обеспечения консолидированных служб являются две уникальные и дополняющие друг друга структуры сетей VPN которые основаны на технологиях набора открытых стандартов обеспечения безопасности (IP Security - IPSec) и многопротокольной коммутации по меткам (Multiprotocol Label Switching — MPLS). В настоящей главе рассматриваются доступные в настоящее время топологии и структуры сред VPN.
Использование VPN-функций в протоколе IP позволяет установить в сетях на основе программного обеспечения Cisco IOS магистральные службы расширяемых VPN-сетей 3-го уровня с использованием протокола IP версии 4 (IPv4). VPN-сети протокола IP являются базой используемой компаниями для размещения и администрирования дополнительных служб включая приложения размещение и хранение данных электронную торговлю и телефонные службы для коммерческих потребителей.
В сетях уровня предприятия внутренние сети на базе протокола IP радикально изменили стиль коммерческих компаний. В настоящее время компании перемещают коммерческие приложения в локальные сети с последующим распространением их на распределенную сеть (WAN).
Компании также объединяют потребности пользователей поставщиков и партнеров путем использования внешних сетей (под такой сетью понимается внутренняя сеть которая обслуживает предприятия). Используя такие сети компании могут уменьшить производственные расходы за счет автоматизации учета поставок обмена электронными данными (Electronic Data Interchange — EDI) и других форм электронной торговли. Для того чтобы воспользоваться этими коммерческими возможностями провайдерам служб требуется технология VPN-сетей протокола IP которая предоставляет предприятиям службы частных сетей по совместно используемым инфраструктурам.
2 VPN-сети с установлением соединения
VPN-сети с установлением соединения могут быть созданы на базе инфраструктуры 2-го или 3-го уровня. Примерами таких VPN-сетей 2-го уровня могут служить каналы с установлением соединения типа "точка-точка" такие как виртуальные соединения Frame Relay или ATM.
Примером VPN-сетей с установлением соединения 3-го уровня могут служить структуры VPN созданные с использованием полносвязной или частично-связной топологии туннелей на базе протокола IPSec (с шифрованием для обеспечения конфиденциальности) или с использованием технологии общей инкапсуляцией маршрутизации (Generic Routing Encapsulation — GRE).
VPN-сети доступа к службе используют механизм установления соединения с коммутацией каналов обеспечивающие временное безопасное соединение удаленного доступа между индивидуальным пользователем и внутренней или внешней корпоративной сетью (intranet и extranet) через совместно используемую сеть провайдера службы с той же стратегией передачи данных как и в частной сети. Такие сети используют удаленный доступ к точке присутствия (Point of Presence — РоР) провайдера ISP с последующей передачей данных по открытой сети Internet с конечным доступом к внутренней корпоративной сети.
Главной проблемой в VPN-сетях с установлением соединения является сложность расширения сети. В частности эффективность VPN-сетей с установлением соединения без полносвязной топологии далека от оптимальной. Кроме того в случае VPN-сетей 3-го уровня при передаче по сети Internet невозможно твердо гарантировать качество обслуживания (Quality of Service — QoS) при передаче данных по такой структуре. С точки зрения менеджеров телекоммуникаций (telecom management) сложность создания виртуальных каналов ATM или Frame Relay сравнима со сложностью создания выделенных линий[13].
Использование VPN-сетей на базе виртуальных каналов требует от провайдера службы создания отдельных виртуальных каналов и управления ими или создания логических маршрутов и управления ими для каждой пары узлов входящих в группу пользователей и осуществляющих обмен данными. Такое требование эквивалентно построению полносвязной топологии виртуальных каналов включающей всех пользователей.
VPN-сети 2-го уровня с установлением соединения являются основой VPN-модели передачи информации одного уровня в среде другого. В этой модели провайдер службы предоставляет виртуальные каналы а обмен маршрутной информацией происходит непосредственно между маршрутизаторами пользователя (т.е. СРЕ).
2.1 Сети на основе технологии TDM
Большинство провайдеров служб предлагают пользователям службы сетей с выделенными линиями. Они включают в себя цифровое мультиплексирование при использовании которого из битового потока практически одновременно выделяются данные двух или более каналов и их биты передаются поочередно. В Северной Америке провайдеры служб и операторы связи предлагают пользователям линии DS1 и DS3 а в Европе и в Тихоокеанском регионе как правило используются линии Е1 и ЕЗ.
Как показано на рисунке 1.1 пользователи А и Б совместно используют физическую инфраструктуру оператора связи но логически отделены друг от друга механизмом преобразования адресов портов и электронными перекрестными соединениями которые обеспечиваются оператором связи. Перекрестные соединения обычно обеспечиваются системами DACS (Digital Automatic and CrossConnect System — система цифрового доступа и коммутации). Однако для достижения указанной цели также широко используются физические соединения.
На рисунке 1.2 показаны физические соединения между пользователями А и Б а также сеть провайдера службы в целом.
Сеть TDM представляет собой простейший пример виртуальной частной сети предоставляющей пользователям фиксированную полосу пропускания высокого качества. Большинство операторов связи предоставляют пользователям полосу пропускания кратную 64 Кбитс (полоса пропускания одного канала DS0). Более подробная информация о TDM будет приведена далее в работе.
Рисунок 1.1 – Логическая схема использования выделенных линий в VPN-сетях
Рисунок 1.2 – Сеть VPN с выделенными линиями
2.2 VPN-сети на основе технологии передачи фреймов
VPN-сети на основе фреймов такие как Frame Relay и Х.25 используют логические маршруты определяемые коммутируемыми и постоянными виртуальными каналами. Как показано на рисунке 1.3 при этом несколько закрытых групп пользователей совместно используют коммутируемую инфраструктуру провайдера службы. Пользователям предоставляется доступ только к тем виртуальным каналам которые предназначены исключительно для частного использования. Такие каналы PVC или SVC могут предоставляться с фиксированной согласованной скоростью передачи (CIR) или на скорости порта (равной ширине полосы пропускания абонентского канала — local loop).
Рисунок 1.3 – Структура VPN-сети Frame Relay
На рисунке 1.4 показана физическая картина сети Frame Relay. Оба пользователя А и Б подсоединены к точкам присутствия (Points of Presence — POPs) провайдера абонентских каналов TDM. Протокол Frame Relay функционирует между локальным CPE-устройством FRAD (например маршрутизатор) и коммутатором Frame Relay.
Функция межсетевого обмена протокола Frame Relay преобразует фреймы Frame Relay в ячейки ATM для передачи по магистрали ATM.
Более подробное описание технологии Frame Relay будет приведена далее в работе.
В технологии Х.25 на 2-м уровне используются фреймы Х.25 а на 3-м уровне — пакеты Х.25 в отличие от технологии Frame Relay в которой используются только фреймы 2-го уровня. Провайдеры службы Х.25 обычно предоставляют по желанию заказчика коммутируемые виртуальные каналы SVC или постоянные каналы PVC которые описываются идентификаторами логического канала (Logical Channel Identifier— LCI).
Рисунок 1.4 – Структура сети VPN в среде Frame Relay
Идентификатор LCI включает в себя 4-битовый номер логической группы (Logical Group Number— LGN) и 8-битовый номер логического канала (Logical Channel Number — LCN). Х.25 в качестве протокола создания фреймов на 2-м уровне использует сбалансированную процедуру доступа к каналу (Link Access Procedure Balanced — LAPB).
2.3 VPN-сети на основе технологии передачи ячеек
VPN-сети на основе передачи ячеек такие как ATM и SMDS используют логические маршруты определяемые коммутируемыми (SVC) и постоянными (PVC) виртуальными каналами. При этом как показано на рисунке 1.5 несколько закрытых групп пользователей или потребителей совместно используют коммутируемую инфраструктуру провайдера службы. Пользователям предоставляются виртуальные каналы зарезервированные исключительно для частного использования. Такие каналы PVC или SVC могут предоставляться со следующими классами обслуживания: CBR VBR-RT VBR-NRT ABR и UBR. В сетях ATM также могут предоставляться перепрограммируемые каналы PVC (soft PVC) представляющие собой гибрид каналов SVC и PVC.
Рисунок 1.5 – Логическая структура VPN-сети ATM
На рисунке 1.6 показана физическая структура сети ATM. Пользователи А и Б подсоединены к точкам присутствия (Points of Presence — POPs) сети ATM с помощью абонентских каналов TDM или SONETSDH на полной пропускной способности. АТМ-маршрутизаторы оборудования пользователя (СРЕ) используют виртуальные каналы ATM в качестве транспортного механизма 2-го уровня для передачи данных протокола IP или любого другого протокола 3-го уровня.
Рисунок 1.6 – Физическая структура VPN-сети ATM
2.4 VPN-сети 3-го уровня с установлением соединения
VPN-сети 3-го уровня в которых используется процедура установления соединения являются основой туннельной модели VPN. При использовании технологий GRE или IP Security (IPSec) создается туннельная модель соединений "точка-точка" через внутреннюю сеть IP или через открытую сеть Internet в то время как виртуальные частные сети удаленного доступа (Virtual Private Dialup Network — VPDN) представляют собой гибридную комбинацию удаленного доступа и безопасного туннельного соединения через среду Internet к точке концентрации трафика предприятия такой как корпоративный шлюз.
Туннельные VPN-сети протокола общей инкапсуляции маршрутизации (Generic Route Encapsulation — GRE) могут быть использованы для создания IP-соединений типа "точка-точка". Комбинация таких GRE-туннелей может быть использована для построения VPN-сети. Однако присущая GRE-туннелям недостаточная внутренняя безопасность вытекающая из отсутствия механизмов шифрования делает GRE-туннели недостаточно защищенными от несанкционированного доступа.
Как показано на рисунке 1.7 использование GRE-туннелей целесообразно для построения VPN-сетей в частной магистральной IP-сети провайдера службы. Они также полезны для передачи по туннельным соединениям потоков данных 3-го уровня отличных от IP в частной IP-сети.
Рисунок 1.7 – Туннельные VPN-сети протоколов GRE and IPSec
VPN-сети протокола IPSec с туннельными соединениями представляет собой технологию с высокой степенью безопасности использующую шифрование и механизм создания туннельных соединений которые защищают содержимое пакетов при прохождении по IP-сети [5]. Протокол IPSec как правило используется при передаче данных через открытые недостаточно безопасные IP-сети такие как Internet. Комбинация туннелей IPSec типа "точка-точка" позволяет создавать VPN-сети в открытых IP-сетях. Большая часть структуры IPSec реализуется на СРЕ-оборудовании пользователя а провайдеры служб как правило предоставляют VPN-службы управляемого протокола IPSec (Managed IPSec). Топология сети использующей технологию IPSec приведена на рисунке 1.7. Для пользователей которым требуется безопасный удаленный доступ IPSec в настоящее время является единственной практической возможностью получения такого доступа через VPN-сеть.
VPDN-сети использующие протоколы L2F И L2TP также предоставляют определенную степень безопасности при удаленном доступе хотя и не столь высокую как технология IPSec. высокая эффективность защиты протокола IPSec обеспечивается глубоким шифрованием содержимого с помощью различных разновидностей стандарта шифрования данных (Data Encryption Standard — DES) таких как 168-битовый стандарт 3DES и аутентификация по заголовкам.
П пользователи получают удаленный доступ к своим корпоративным сетям через службы открытой коммутируемой телефонной сети (Public Switched Telephone Network — PSTN) или через службы ISDN. Как показано на рисунке 1.8 службы виртуальной частной сети удаленного доступа (Virtual Private Dialup Network — VPDN) реализуются главным образом по частной IP-магистрали провайдера. Для реализации служб VPDN по IP-сети используются такие протоколы как протокол пересылки 2-го уровня (Layer 2 Forwarding — L2F) и протокол туннельного соединения 2-го уровня (Layer 2 Tunneling Protocol — L2TP).
Удаленные пользователи инициируют соединение удаленного доступа с сетевым сервером доступа (Network Access Server — NAS) используя протокол РРР. Сервер NAS выполняет аутентификацию вызова и направляет ячейки с помощью протоколов L2F или L2TP к корпоративному шлюзу пользователя. Шлюз принимает вызов направленный серверу NAS выполняет дополнительную аутентификацию и авторизацию после чего завершает сеанс РРР пользователя. Функции аутентификации авторизации и учета (Authentication Authorization and Accounting — AAA) также могут быть выполнены сервером AAA таким как TACACS+. Все параметры сеанса РРР согласовываются между пользователем удаленного доступа и корпоративным шлюзом. На VPN-сети удаленного доступа такие как VPDN имеют определенные ограничения: они не поддаются расширению и не обеспечивают связь "всех-со-всеми".
Рисунок 1.8 – Виртуальная частная сеть удаленного доступа (VPDN)
Протокол туннельного соединения типа "точка-точка" (Point-to-Point Tunneling Protocol — PPTP) наряду с протоколом шифрования "точка-точка" корпорации Microsoft (Microsoft Point-to-Point Encryption — MPPE) позволяет VPN-сетям на основе оборудования корпорации Cisco использовать PPTP в качестве протокола туннельного соединения [12]. РРТР представляет собой сетевой протокол безопасной передачи данных от удаленного клиента к серверу частного предприятия путем создания VPN—сети в IP-сети. Протокол РРТР использует туннели по желанию пользователя (также называемые туннелями инициированными пользователем client-initiated tunneling) что позволяет клиентам сконфигурировать и установить зашифрованные туннели к туннельным серверам без промежуточного участия сервера NAS в согласовании параметров и установке туннеля.
Протокол РРТР использует МРРЕ в качестве метода шифрования при передаче данных по каналу удаленного доступа или по туннелю VPN-сети. МРРЕ функционирует как вспомогательная функция протокола сжатия типа "точка-точка" корпорации Microsoft (Microsoft Point-to-Point Compression — MPPC). МРРЕ использует шифровальные ключи длиной 40 или 128 бит. Все ключи создаются на основе передаваемого открытым текстом пароля пользователя. Алгоритм МРРЕ представляет собой механизм шифрования потока поэтому зашифрованные и расшифрованные фреймы имеют ту же длину что и первоначальные фреймы. Cisco-реализация МРРЕ полностью совместима и взаимозаменяема с реализацией корпорации Microsoft и использует все доступные опции последней включая режим шифрования без предыстории.
3 VPN-сети без установления соединения
VPN-сети без установления соединения при установке связи между конечными точками не требуют наличия заранее заданного логического или виртуального канала между ними.
Сети 3-го уровня без установления соединения составляют базу одноранговой модели. В такой модели обмен маршрутной информацией происходит между маршрутизаторами СРЕ и маршрутизаторами провайдера.
3.1 Обычные VPN-сети протокола IP
Многие провайдеры предоставляют пользователям управляемые службы IP (managed IP services) что дает пользователям возможность подсоединить свои IP-маршрутизаторы СРЕ к частным IP-магистралям провайдера. Большинство провайдеров службы IP организуют свои IP-сети в инфраструктуре 2-го уровня такой как сеть ATM или Frame Relay. Типичный пример VPN-сети IP приведен на рисунке 1.9.
Рисунок 1.9 – Типовая VPN-сеть протокола IP на основе маршрутизаторов
Обычно провайдеры для различных пользователей конфигурируют на своих магистральных маршрутизаторах несколько протоколов маршрутизации или несколько процессов маршрутизации. Как правило устройство маршрутизации Cisco (Cisco Routing engine) поддерживает на отдельных маршрутизаторах несколько протоколов маршрутизации для подсоединения сетей использующих различные протоколы. В протоколы маршрутизации еще при создании закладывался принцип независимого функционирования от других аналогичных протоколов. Каждый протокол собирает и анализирует необходимую ему информацию и реагирует на изменения топологии индивидуальным образом. Например протокол RIP использует в качестве метрики количество транзитных переходов а протокол EIGRP — вектор метрической информации состоящий из пяти элементов.
Еще более важно то что маршрутизаторы Cisco как правило могут одновременно обрабатывать до 30 процессов динамической IP-маршрутизации. При комбинировании различных процессов маршрутизации на одном маршрутизаторе могут использоваться следующие протоколы (приведены также имеющиеся ограничения):
до 30 процессов IGRP-маршрутизации;
до 30 процессов OSPF-маршрутизации;
один процесс маршрутизации
до 30 процессов маршрутизации EGP.
Пользователи получают доступ к VPN-сетям IP посредством комбинации списков доступа протоколов маршрутизации и процессов. Самыми сложными проблемами стоящими перед провайдерами управляемых IP-служб являются расширяемость и сложность реализации. Большое количество доступных протоколов и процессов маршрутизации поддерживаемых платформами маршрутизаторов иногда вынуждает провайдеров размещать в точке присутствия отдельные маршрутизаторы для каждой пользовательской VPN-сети.
3.2 VPN-сети на основе коммутации MPLS
VPN-сети MPLS не устанавливают соединений. Механизмы MPLS разделяют потоки данных на категории и обеспечивает конфиденциальность без использования туннельных протоколов 2-го уровня и шифрования. Такой подход значительно упрощает процесс инициализации сети.
Использование технологии MPLS позволяет решить проблемы расширяемости возникающие при создании сетей Frame Relay и ATM за счет того что провайдеры могут инициировать несколько сетей VPN для части пользователей не инициируя все виртуальные каналы всех закрытых групп пользователей число которых иногда составляет несколько десятков или даже сотен. Пример VPN-сети технологии MPLS приведен на рисунке 1.10. Пользователи А и Б совместно используют инфраструктуру провайдера сохраняя способность формировать свои собственные замкнутые пользовательские группы с наивысшим возможным для них уровнем безопасности. Они также могут использовать собственные протоколы маршрутизации.
Рисунок 1.10 – Виртуальная частная сеть MPLS
Модель MPLS требует чтобы CPE-маршрутизаторы осуществляли непосредственный обмен маршрутной информацией только с граничными маршрутизаторами провайдера вместо обмена такой информацией со всеми CPE-маршрутизаторами принадлежащими к данной структуре VPN. Принадлежность устройств VPN-сети к замкнутой пользовательской группе фиксируется с помощью метки. Метки содержат информацию о следующем транзитном переходе атрибуты службы и идентификатор VPN-сети который обеспечивает конфиденциальность обмена информацией внутри структуры VPN.
На входе в сеть провайдера пакеты поступающие от маршрутизатора СРЕ обрабатываются и им присваиваются метки в соответствии с физическим интерфейсом на котором они были получены. Назначение меток основано на информации содержащейся в таблицах маршрутизации и пересылки (VPN Routing and Forwarding — VRF). Необходимые таблицы составляются заранее и входящие пакеты исследуются только на входном LSR-устройстве. Базовые устройства или LSR-устройства провайдера (Provider — Р) лишь отправляют эти пакеты основываясь на значениях меток.
Применение технологии MPLS дает возможность маршрутизируемым магистралям провайдера поддерживать VPN-сети и обеспечивает прозрачность механизмов 3-го уровня даже через инфраструктуры 2-го уровня [5]. Такой подход позволяет создавать закрытые пользовательские группы и связанные с ними службы.
4 Сравнение VPN-технологий
В процессе внедрения VPN-сетей для удовлетворения индивидуальных требований различных пользователей провайдеры должны рассмотреть вопрос о совместном использовании как технологии MPLS так и IPSec. Обе технологии имеют определенные достоинства и дополняют друг друга расширяя возможности средств для создания безопасного сквозного соединения VPN в инфраструктуре провайдера и через каналы открытой сети Internet.
В таблице 1.1 приведено сравнение различных технологий VPN и даются рекомендации по выбору подходящего решения на основе используемых приложений требований безопасности расширяемости финансовых возможностей и иных факторов.
Таблица 1.1 Сравнение различных решений для VPN-сетей
Виртуальные каналы 2-ого уровня
Туннели на 3-м уровне
Уровень сложности при установке и управлении
Для быстрого создания новых служб повышения уровня безопасности качества обслуживания и поддержки соглашений об уровне обслуживания необходимо иметь усовершенствованные системы мониторинга и анализа проходящих потоков данных
Уровень безопасности
Должны предлагаться различные уровни безопасности включая использование туннелей шифрование разделение потоков (traffic separation) аутентификация и управление доступом
Продолжение таблицы 1.1
Расширяемость структуры
Должна позволять расширение служб VPN малых и средних предприятий до сетей крупных промышленных пользователей
Качество обслуживания
Должна быть возможность назначать приоритеты критически важным или чувствительным к задержке приложениям и возможность управления в случае возникновения заторов путем изменения ширины полосы пропускания
Для реализации QoS необходимо использовать другие технологии
Прямые и косвенные расходы на установку VPN
5 Преимущества VPN-сетей MPLS
В настоящем разделе опишем следующие преимущества VPN-сетей MPLS:
простота создания сетей
соответствие стандартам;
сквозные службы задания приоритетов;
консолидация (объединение разных типов данных);
перераспределение потоков;
централизованное обслуживание;
поддержка интегрированных классов обслуживания;
модернизация и модификация сети;
централизованное управление и инициализация путем использования Cisco-протокола управления службой (Cisco Service Management — CSM).
Коммутация MPLS была разработана в частности для эффективного решения проблем связанных с расширением сетей. Ее использование позволяет создавать в одной и той же сети десятки тысяч VPN-структур. Структуры VPN на базе технологии MPLS используют паритетную модель и структуру 3-го уровня без установления соединения для создания VPN-сетей с большой степенью расширяемости. Паритетная модель требует чтобы узел пользователя имел одноранговую связь только с одним граничным маршрутизатором провайдера (Provider Edge router — РЕ-router) а не со всеми маршрутизаторами СРЕ или граничными маршрутизаторами пользователя (Customer Edge router — CE-router) которые принадлежат к VPN-сети. Структура без установления соединений позволяет создавать VPN-сети на 3-м уровне устраняя необходимость в туннелях или виртуальных каналах (VC).
VPN-сети технологии MPLS обеспечивают такой же уровень безопасности как и VPN-структуры с установлением (Frame Relay или ATM). Пакеты одной VPN-сети не могут случайным образом попасть в другую сеть VPN поскольку безопасность обеспечивается на границе инфраструктуры провайдера где пакеты полученные от пользователя отправляются в нужную VPN-сеть [7]. В магистрали данные отдельных VPN-сетей перемешаются отдельно. «Снифинг» (попытка получить доступ к РЕ-маршрутизатору) практически невозможен поскольку IP-пакеты пользователей должны быть получены на конкретном интерфейсе или подинтерфейсе где они однозначно идентифицируются по VPN-меткам.
Простота создания сети VPN
При создании VPN-сетей не требуется специальных таблиц преобразований для соединений "точка-точка" или дополнительных топологий. Для создания закрытых групп пользователей к внутренним и внешним сетям (т.е. intranet и extranet) могут быть добавлены новые узлы. При таком управлении VPN-сетями узел может находиться в нескольких VPN-сетях что предоставляет максимальную гибкость при построении инфраструктуры. Функции MPLS выполняются в сети провайдера а в конфигурировании оборудования пользователя либо вообще нет необходимости либо требуется лишь незначительное. Среда MPLS прозрачна для маршрутизаторов CPE а CPE-устройствам пользователя установка службы MPLS не требуется.
Для того чтобы сделать службу VPN более доступной пользователи провайдера могут создать собственную схему адресации независимую от схем адресации других пользователей этого провайдера. Многие пользователи используют собственные адресные пространства в соответствии со спецификацией RFC 1918 и не имеют желания затрачивать время и средства на преобразование открытых IP-адресов для создания соединений внутренней сети. VPN-сети MPLS дают возможность использовать текущее адресное пространство без трансляции сетевых адресов (Network Address Translation — NAT) и адреса — как частные внутренние так и открытые внешние. Использование службы трансляции NAT становится необходимым только в том случае когда двум VPN-сетям с пересекающимися адресными пространствами требуется установить связь. Эта служба дает возможность использовать собственные незарегистрированные частные адреса и свободно осуществлять связь через открытую IP-сеть.
Соответствие стандартам
Коммутация MPLS может быть использована всеми разработчиками для обеспечения взаимодействия между сетями содержащими оборудование различных производителей.
Гибкость сетевой структуры
Программное обеспечение Cisco IOS в сочетании е маршрутизаторами и коммутаторами Cisco позволяет провайдерам легко устанавливать межсетевые соединения с другими провайдерами для обеспечения глобального распространения технологии IP на нужные сети.
Сквозные службы задания приоритетов
Механизмы качества обслуживания обеспечивают пользователям необходимое качество коммуникаций на всем протяжении маршрута а провайдерам позволяют гарантировать выполнение условий соглашений об уровне обслуживания (SLA). Технология MPLS обеспечивает расширяемость QoS и его распространение на многочисленные технологии сквозных соединений.
Объединение различных типов данных
Объединение в одном потоке (консолидация) обычных цифровых данных голоса и видео позволяет провайдерам уменьшить капитальные расходы и затраты на поддержание работы сети.
Перераспределение потоков
Маршрутизация с перераспределением потоков и резервированием ресурсов (Traffic Engineering Routing with Resource Reservation — RRR) наряду с использованием расширений протокола RSVP позволяет провайдерам в максимальной степени использовать сетевые ресурсы и добиться оптимальной работы сети. Маршрутизация RRR позволяет оператору применять явно заданные маршруты и принудительно направлять по ним потоки данных что заменяет традиционные методы IP-маршрутизации и предоставляет пользователю механизмы защиты и быстрого восстановления работы сети в случае отказа устройств. При этом достигается оптимизация работы недостаточно загруженных каналов и более эффективная маршрутизация.
Централизованное обслуживание
Построение VPN-сетей на 3-м уровне позволяет целевым образом предоставлять требуемые службы группам пользователей данной VPN. VPN-сеть должна не только предоставить провайдерам механизм частного подключения пользователей к intranet-службам но и обеспечить способ гибкого предоставления дополнительных служб отдельным пользователям. При этом вопросы расширяемости приобретают исключительную важность поскольку пользователи хотят использовать службы частным образом в своих внутренних и внешних сетях (intranet и extranet). Поскольку среды MPLS рассматриваются как частные внутренние сети новые IP-службы могут быть использованы для следующих целей:
для многоадресатной рассылки;
для обеспечения качества обслуживания;
для поддержки телефонной связи между сетями
для централизованных служб внутри сред
для соединения "всех-со-всеми".
Интегрированная поддержка классов обслуживания
Уровень качества обслуживания представляет собой важное требование многих потребителей VPN-сетей технологии IP. Функции QoS позволяют выполнить два фундаментальных требования к сети VPN:
предсказуемое поведение сети и реализация заданной стратегии;
поддержка различных уровней обслуживания в VPN-сетях MPLS.
Перед тем как потоки данных будут объединены в соответствии со стратегией задаваемой клиентами и направлены в пункты назначения по магистрали провайдера на границе сети производится их классификация и назначение им меток. В магистрали или на границе сети потоки данных могут дифференцироваться по различным классам на основе вероятности отбрасывания пакетов или величины задержки в каналах.
Модернизация и модификация сети
Размещение службы VPN требует ясного плана модификации сети. VPN-сети MPLS уникальны поскольку их можно построить на базе нескольких сетевых структур включая IP ATM Frame Relay и гибридные сети. Модернизация сети для конечного пользователя упрощается поскольку на граничном маршрутизаторе пользователя не требуется поддержки служб MPLS а во внутренней сети пользователя не требуется никаких модификаций.
6 Постановка технического задания
Согласно теоретической разработке представленной в главе 1 и выбранной темы выпускной квалификационной работы необходимо будет построить модель сети VPN на базе технологии MPLS используя среду Dynampis с графическим интерфейсом GNS3 и также необходимо будет оценить ее работоспособность.
Вся сеть должна быть разбита на две основные части а именно сеть провайдера и сети клиентов. При этом сети клиентов не должны видеть сеть провайдера и иметь к ней доступ.
Необходимо сконфигурировать сеть таким образом чтобы сети разных клиентов не имели доступ к сети другого клиента и не видели ее. Но в тоже время могли использовать адреса частных сетей.
Сеть провайдера должна поддерживать разные протоколы маршрутизации такие как RIP версии 2 OSPF и другие чтобы обеспечить подключение совершенно разных клиентов к сети провайдера.
Также надо обеспечить работу качества обслуживания. В данной выпускной квалификационной работе реализуем это следующим образом. Сконфигурируем сеть таким образом чтобы она поддерживала три тарифных плана а именно Platinum Gold и Silver. Каждый тарифный план поддерживает скорость доступа 384 Кбитсек - для клиента А 512 Кбитсек – для клиента B и 768 Кбитсек для клиента С. соответственно.
Спроектированная сеть должна быть хорошо масштабируемой и обеспечивать быстрое подключение нового клиента в сеть.
В ходе проектирования сети необходимо определиться с используемым оборудованием. Оборудование должно отвечать следующим требованиям: надежность быстродействие качество.
Термин "виртуальная частная сеть" (Virtual Private Network — VPN) используется для обозначения группы пользователей внутри некоторой сети. Сети VPN на базе протокола IP быстро становится основой объединения голосовых и видеослужб и служб обычных цифровых данных. Технологии IPSec и MPLS представляют собой доминирующую тенденцию обеспечения консолидированных служб.
VPN-сети с установлением соединения могут быть созданы на базе инфрастуктур 2-го и 3-го уровней. Примером таких сетей на 2-м уровне могут служить VPN-сети Frame Relay и ATM. Примерами VPN-сетей с установлением соединения 3-го уровня могут служить среды которые используют туннельный протокол 2-го уровня IPSec (L2TP) протокол пересылки 2-го уровня (Layer 2 Forwarding — L2F) и общую инкапсуляцию при маршрутизации (Generic Routing Encapsulation — GRE). Другим примером VPN-сетей с установлением соединения являются виртуальные сети удаленного доступа VPDN (Access VPDN).
VPN-сети без установления соединения не требуют предварительной установки логического или виртуального канала для создания канала связи между двумя оконечными точками. Такие сети 3-го уровня образуют основу одноранговой модели. При использовании данной модели обмен информацией происходит между маршрутизаторами СРЕ и маршрутизаторами провайдера службы. Примерами VPN-сетей без установления соединений могут служить обычные VPN-сети протокола IP и VPN-сети MPLS.
При создании VPN-сетей в качестве наилучших утвердились две технологии: MPLS и IPSec. Выбор провайдером одной из них должен основываться на требованиях пользователей и обслуживаемых сегментах на дополнительных службах которые могут быть предложены пользователям и на приоритетах собственной сети.
Исследование технологии MPLS VPN. Алгоритм настройки сетей MPLS VPN.
Виртуальная частная сеть (VPN) представляет собой набор узлов совместно использующих информацию маршрутизации 3-го уровня. Хотя VPN-сети технологии MPLS не используют процедуру установления соединения при их создании удается объединить преимущества коммутации 2-го уровня с принципами маршрутизации с установлением соединения 3-го уровня. VPN-сети MPLS позволяют также обеспечить безопасность связи за счет того что обмен информацией о маршрутизации происходит только между узлами принадлежащими к данной VPN-сети.
Указанная выше особенность позволяет провайдеру создавать локальные и распределенные сети и предоставлять возможность выхода в среду Internet различным VPN-сетям по общей инфраструктуре которая также может быть использована для предоставления служб IP ATM и Frame Relay.
Функции VPN совместно с многопротокольной коммутацией по меткам (Multiprotocol Label Switching — MPLS) позволяют реализовать в сети провайдера расширяемые магистральные VPN-службы 3-го уровня на базе протокола IPv4. Такие службы могут быть развернуты в маршрутизируемой магистрали 3-го уровня которая использует среду ATM [4]. В настоящей главе описан процесс развертывания технологии MPLS в маршрутизируемой магистрали. Любой из предложенных ниже подходов позволяет провайдеру предоставлять интегрированные VPN-службы в той же самой инфраструктуре которая используется для предоставления услуг сети Internet или служб 2-го уровня таких как VPN-службы с установлением соединения Frame Relay или ATM. В настоящее время протокол IP является единственными протоколом 3-го уровня который поддерживается Cisco-реализациями средств MPLS совместно с VPN.
1 Принцип работы VPN-сетей MPLS
На рисунке 2.1 приведен пример VPN-сети создаваемой провайдером. Возможность предоставлять пользователям расширяемые VPN-сети полностью отвечает интересам провайдера. Промышленные сети которые построены на имеющихся или арендуемых частных инфраструктурах 2-го уровня также могут использовать такие технологии.
Рисунок 2.1 – Виртуальная частная сеть MPLS
Ниже приведены различные компоненты технологии MPLS используемые для создания VPN-сетей.
Базовые маршрутизаторы MPLS (Р). Базовые маршрутизаторы также называемые маршрутизаторами провайдера (Р router) не содержат маршрутов VPN-сетей. Вместе с другими LSR-устройствами провайдера они обычно образуют полносвязную или частично-связную топологию и осуществляют интерфейс с граничными маршрутизаторами провайдера (provider edge — РЕ router). Р-маршрутизаторы никогда не подсоединяются непосредственно к маршрутизаторам пользователя.
Граничные маршрутизаторы сети MPLS (MPLS edge routers — РЕ). Маршрутизаторы точек присутствия также известные как граничные маршрутизаторы провайдера (Provider Edge router — РЕ router) содержат VPN-маршруты для поддерживаемых ими сетей VPN. Они являются устройствами того же ранга что и граничные маршрутизаторы пользователя (Customer Edge router — СЕ router) и поддерживают интерфейс с базовыми маршрутизаторами провайдера. РЕ-маршрутизаторы являются устройствами того же ранга что и Р-маршрутизаторы и соединены с ними или непосредственно с другими РЕ- маршрутизаторами.
Граничные маршрутизаторы пользователя (Customer Edge router — СЕ router). Граничным маршрутизаторам пользователя не требуются функции MPLS а для поддержки соединений они могут использовать обычные методы маршрутизации. Ранговая модель требует чтобы узел пользователя поддерживал паритетную связь только с одним РЕ-маршрутизатором в отличие от всех остальных СРЕ- или СЕ-маршрутизаторов являющихся членами VPN-сети которая построена на основе других технологий. СЕ-маршрутизаторы никогда непосредственно не подсоединяются к Р-маршрутизаторам.
Маршрутизаторы пользователя (Customer router — С-router). Принадлежащим пользователю внутренним маршрутизаторам также называемым С-маршрутизаторами не требуется поддерживать функции MPLS а для поддержки соединений между собой и с СЕ-маршрутизаторами они могут использовать обычные методы маршрутизации.
VPN-сети включают в себя устройства пользователя подсоединенные к СЕ-маршрутизаторам. СЕ-маршрутизаторы любой из VPN-сетей могут быть подсоединены к любому из РЕ-маршрутизаторов провайдера. РЕ-маршрутизаторы соединены между собой через базовую сеть Р-маршрутизаторов.
1.1 Маршрутизация и пересылка пакетов в сетях VPN
Каждая VPN-сеть логически связана с одним или более комплексов маршрутизации и пересыпки (VPN Routing and Forwarding instance — VRF). Комплекс VRF определяет членство в VPN-сети узла пользователя подсоединенного к РЕ-маршрутизатору. Экземпляр VRF состоит из таблицы IP-маршрутизации полученной из нее таблицы экспресс-коммутации корпорации Cisco (Cisco Express Forwarding — CEF) набора интерфейсов использующих такую таблицу и набора правил и параметров протокола маршрутизации управляющих информацией таблицы маршрутизации.
Между узлами пользователя и VPN-сетями не обязательно существует однозначное соответствие. Как показано на рисунке 2.2 узел может одновременно принадлежать к нескольким VPN-сетям. Однако комплекс VRF может задавать только одну сеть VPN. VRF-комплекс узла пользователя содержит все маршруты доступные этому узлу из VPN-сетей членом которых он является.
Для каждого комплекса VRF информация о пересылке пакетов хранится в таблице IP-маршрутизации и в таблице CEF. Для каждого экземпляра VRF поддерживается отдельный набор таблиц маршрутизации и таблиц CEF. Такие таблицы предотвращают выход маршрутной информации за границы VPN-сети и направление пакетов извне VPN-сети на маршрутизатор находящийся внутри структуры VPN.
Рисунок 2.2 – Узел принадлежащий нескольким VPN-сетям
Каждый пользователь VPN-сети должен сохранять уникальность своего адресного IP-пространства. Однако если принято решение об объединении двух пользовательских сетей для образования единой сети путем контролируемого импорта маршрутов то одни должны сохранять уникальность своей IP-адресации избегая наложения IP-адресов.
Для взаимного обмена пакетами протокола IP версии 4 РЕ-маршрутизаторы используют глобальную IP-таблицу. VRF-таблицы IP-маршрутизации и пересылки используются для обмена информацией внутри VPN-сети. Поскольку РЕ-маршрутизатор может содержать несколько комплексов VRF каждая комбинация VRF-таблицы IP-маршрутизации и CEF-таблицы пересылки данных может рассматриваться как виртуальный маршрутизатор внутри физического РЕ-маршрутизатора.
Каждая комбинация VRF-таблиц IP-маршрутизации и пересылки содержит маршруты принадлежащие к одной или более пользовательских VPN-сетей.
Ограничение протокола маршрутизации используемого внутри VPN-сети одной VRF-таблицей позволяет осуществлять наложение нескольких VPN-сетей (например поддержка внешних по отношению к сети пользователя структур VPN). Интерфейсы РЕ-маршрутизаторов логически связаны с индивидуальными комплексами VRF. Информация о маршрутизации полученная через эти интерфейсы логически связана с сконфигурированными экземплярами VRF и называется контекстом маршрутизации (routing context). Некоторые протоколы маршрутизации такие как RIP поддерживают одновременно несколько контекстов одного протокола в то время как другие протоколы такие как OSPF требуют отдельной копии процесса протокола маршрутизации для каждого комплекса VRF.
Управление распространением информации о маршрутизации в VPN-сети осуществляется путем использования сообществ целевых маршрутов VPN реализуемых расширенным форматом сообществ протокола граничного шлюза (Border Gateway Protocol communities — BGP communities). Ниже описывается распространение информации о маршрутизации в сетях VPN.
Когда VPN-маршрут полученный от СЕ-маршрутизатора становится известным внутреннему многопротокольному IBGP (Multiprotocol IBGP — MP-IBGP) список атрибутов расширенного сообщества целевых маршрутов VPN логически связывается с ним в момент его экспорта из локального комплекса VRF для представления другим VRF-комплексам. Обычно список значений целевых маршрутов сообщества устанавливается из экспортированного списка целевых маршрутов логически связанных с комплексом VRF от которого этот маршрут получен.
Список импорта расширенных сообществ целевых маршрутов логически связан с каждым комплексом VRF. Список импорта определяет атрибуты расширенного сообщества целевых маршрутов которые необходимы для того чтобы маршрут мог быть импортирован в экземпляр VRF. Например если список импорта для конкретного комплекса VRF включает в себя сообщества целевых маршрутов А Б и В то любой маршрут VPN по которому передаются целевые маршруты расширенных сообществ А Б и В импортируется в данный комплекс VRF.
1.2 Распространение маршрутной информации в VPN-сети
Граничный маршрутизатор провайдера службы (service Provider Edge — РЕ router) может узнать IP-префикс от граничного маршрутизатора пользователя (Customer Edge — СЕ router) на основе статической конфигурации посредством сеанса протокола BGP с С Е-маршрутизатором или через сеансы протоколов RIP версии 2 или OSPF с СЕ-маршрутизатором. IP-префикс является членом семейства адресов протокола IP четвертой версии. После того как РЕ-маршрутизатор узнает IP-префикс он преобразует его в VPN-префикс протокола IP версии 4 комбинируя его с 64-битовым признаком маршрута (Route Distinguisher — RD). Полученный 96-битовый префикс является членом семейства VPN-адресов протокола IP версии 4. Он служит для уникальной (однозначной) идентификации адреса пользователя даже в том случае когда узел пользователя использует незарегистрированный частный IP-адрес.
Признак маршрута используемый для генерации VPN-префикса протокола IP версии 4 задается командой конфигурирования связанной с VRF-комплексом на РЕ-маршрутизаторе.
BGP является протоколом с очень высокой степенью расширяемости который может поддерживать большое количество VPN-сетей. Данный протокол также поддерживает взаимный обмен маршрутной информацией между маршрутизаторами которые непосредственно не связаны друг с другом. Это возможно в тех случаях когда имеется соответствующий протокол IGP такой как OSPF или IS-IS который обеспечивает соединения 3-го уровня между BGP-устройствами одного ранга. Протокол BGP также обладает достаточной гибкостью для передачи необязательных параметров (атрибутов) что делает его предпочтительным при использования совместно со структурой MPLS плюс VPN.
Протокол BGP распространяет информацию о достижимости VPN-префиксов протокола IP версии 4 для каждой VPN-сети. Коммуникация протокола BGP происходит на двух уровнях: внутри автономной системы (внутренний протокол или процесс BGP или IBGP) и между автономными системами (внешний протокол или процесс BGP или EBGP). Сеансы РЕ-РЕ или PE-RR (рефлектор маршрута Route Reflector — RR) представляют собой сеансы IBGP а сеансы РЕ-СЕ являются сеансами EBGP. Для каждой пользовательской VPN-сети требуется отдельный сеанс протокола EBGP между РЕ- и СЕ-маршрутизаторами.
Протокол BGP распространяет среди РЕ-маршрутизаторов информацию о достижимости для VPN-префиксов среды IP версии 4 посредством расширений многопротокольного BGP которые включают поддержку семейств адресов отличных от адресов протокола IP версии 4[8]. Это осуществляется таким образом чтобы маршруты VPN-сети были известны только ее членам что позволяет им устанавливать связь друг с другом. Семейство адресов создается для того чтобы многопротокольный протокол граничного шлюза (Multiprotocol Border Gateway Protocol – MP-BGP) мог передавать информацию протоколов отличных от IP четвертой версии. Проект расширенных сообществ протокола BGP определяет два новых сообщества называемых адресатом маршрута (route target) и источником маршрута (route origin). Адресат маршрута задает стратегию импорта и экспорта для комплекса VRF. В реализации Cisco источник маршрута называется узлом источника (Site of Origin — SOO) и используется для предотвращения петель между узлами. Протокол MP-BGP распространяет информацию о расширенном сообществе наряду с другими BGP-атрибутами между РЕ-маршрутизаторами.
РЕ-маршрутизаторы поддерживают и сохраняют маршруты для VPN-сетей непосредственно соединенных друг с другом. Данная функция повышает степень расширяемости за счет импортирования только тех VPN-маршрутов протокола IP версии 4 которые логически связаны с VRF-комплексами сконфигурированными на РЕ-маршрутизаторе. Однако протокол BGP хранит в своей таблице все BGP-маршруты независимо от того используются ли они VRF-комплексами. Такой подход приводит к избыточным затратам ресурсов поскольку используется часть памяти DRAM и создается дополнительная служебная нагрузка которая занимает часть полосы пропускания при передаче этих сообщений другим РЕ-маршрутизаторам. Функции обновления и автоматической фильтрации маршрутов (Route Refresh and Automatic Route Filtering) позволяют уменьшить объем информации BGP-маршрутизации которую требуется поддерживать РЕ-маршрутизаторам. Однако ни один из указанных механизмов не предотвращает поступления ненужной информации на РЕ-маршрутизатор.
В случае изменения правил РЕ-маршрутизатора таких как добавление удаление или модификация VRF функция обновления маршрута обеспечивает отправку соседним устройствам запроса о повторной передаче обновленных маршрутов.
Функция автоматической фильтрации маршрутов (Automatic Route Filtering) фильтрует маршруты VPN которые содержат записи использующие расширенные сообщества адресатов маршрутов не совпадающие ни с одним из VRF-комппексов РЕ-маршрутизаторов.
Выходные фильтры маршрутов (Outbound Route Filter— ORF) представляют собой локально сконфигурированные наборы правил для исходящей информации предотвращающие выход из источника нежелательных маршрутов.
1.3 Пересылка пакетов в сети MPLS
При использовании коммутации MPLS пакеты направляются к пунктам назначения на основе маршрутной информации содержащейся в таблице IP-маршрутизации и в CEF-таблице комплекса VRF. РЕ-маршрутизатор связывает метку с префиксом каждого пользователя полученным от СЕ-маршрутизатора и включает метку в информацию о достижимости сети для данного префикса которую он сообщает другим РЕ-маршрутизаторам. Отправляя пакет полученный от СЕ-маршрутизатора по сети провайдера РЕ-маршрутизатор присваивает этому пакету метку полученную от РЕ-маршрутизатора пункта назначения. Когда РЕ-маршрутизатор получает помеченный пакет он удаляет метку и использует ее для направления пакета на требуемый СЕ-маршрутизатор.
Р-маршрутизаторы провайдера не принимают участия в процессе работы протокола MP-BGP и не передают VPN-маршруты. Они не нужны для принятия решений о маршрутизации основанных на адресах VPN-сетей. Р-маршрутизаторы отправляют пакеты на основе значений меток назначенных IP-пакетам. Эти маршрутизаторы участвуют в обмене метками коммутации MPLS однако не являются оконечными устройствами VPN-сетей MPLS.
РЕ-маршрутизаторы обычно идентифицируются уникальными идентификаторами такими как IP-адреса петлевого интерфейса с 32-битовыми масками (маршруты узлов — host routes). Такие адреса используются вместе с BGP-атрибутом следующего транзитного перехода для VPN-маршрутов объявленных РЕ-маршрутизаторами. Маршрутам хостов метки назначаются Р-маршрутизаторами; эти метки затем передаются всем соседним устройствам. MPLS-протокол LDP обеспечивает получение всеми РЕ-маршрутизаторами метки связанной с данным РЕ-маршрутизатором. Сеть MPLS готова к обмену VPN-пакетами в тот момент когда входной РЕ-маршрутизатор получает метку для выходного РЕ-маршрутизатора.
Пересылка на основании метки по магистрали провайдера базируется либо на технологии динамической коммутации по метке либо на маршрутах перераспределения потоков. При пересечении магистрали пакет данных пользователя содержит два уровня меток. Первая метка направляет пакет к требуемому РЕ-маршрутизатору следующего транзитного перехода а вторая — указывает комплекс VRF логически связанный с выходным интерфейсом СЕ-маршрутизатора пункта назначения. Такой двухуровневый механизм обычно называется иерархическим тегом или коммутацией по меткам.
Получив через какой-либо интерфейс от СЕ-маршрутизатора IP-пакет РЕ-маршрутизатор логически связывает его с комплексом VRF в результате чего создается нижняя метка (bottom после этого РЕ-маршрутизатор помещает обе метки в стек меток MPLS. Этот стек меток присоединяется к VPN-пакету и направляется к следующему транзитному переходу. Р-маршрутизаторы в сети MPLS анализируют верхнюю метку и направляют пакет по сети к требуемому узлу.
На выходном РЕ-маршрутизаторе верхняя метка удаляется и исследуется нижняя метка указывающая VRF-комплекс адресата маршрута и выходной интерфейс. После этого нижняя метка также удаляется и IP-пакет посылается на требуемый СЕ-маршрутизатор.
2 Проектирование сети
2.1 Выбор протоколов используемых на участке СЕ-РЕ
Протоколы маршрутизации выбираются исходя из характеристик перечисленных ниже.
Оптимальность описывает способности протокола и алгоритма по выбору наиболее оптимального маршрута на основании метрик и их весовых значений используемых при расчетах. Например некий протокол может использовать счетчик узлов и задержки для определения метрик; задержки имеют более высокий вес при учете окончательного значения но зато их сложнее рассчитать.
Простота и низкие накладные расходы. Идеальная эффективность работы алгоритма маршрутизации может быть достигнута когда загрузка процессора и памяти маршрутизатора минимальны. Эта характеристика важна для масштабируемости сети которая в предельном случае может быть расширена до размеров сети Internet.
Устойчивость и надежность. Алгоритм маршрутизации должен корректно функционировать даже при наличии нестандартных и непредвиденных обстоятельств таких как сбой оборудования высокая загрузка и ошибки эксплуатации.
Быстрая конвергенция. Конвергенцией называется процесс установления договоренности между всеми маршрутизаторами об имеющихся маршрутах. Когда в сети происходят события оказывающие влияние на доступность маршрутизатора для установления повторного соединения требуются перерасчеты. Алгоритмы маршрутизации не обладающие быстрой конвергенцией могут вызвать сбой или значительную задержку при доставке информации.
Гибкость. Алгоритм и протокол маршрутизации должны быстро адаптироваться к разнообразным изменениям в сети. Изменениями в сети считаются изменения в состоянии устройств в частности маршрутизаторов изменение пропускной способности каналов изменение размера очередей или сетевой задержки.
Масштабируемость. Некоторые протоколы разработаны таким образом что могут быть масштабируемы лучше других. Важно помнить что если планируется расширение сети (или такая возможность в принципе предусматривается) следует отдать предпочтение протоколу EIGRP нежели RIP.
Первоочередная задача алгоритма маршрутизации при обновлении таблицы маршрутизации состоит в определении наилучшей информации которая должна быть внесена в таблицу. Алгоритмы маршрутизации используют различные метрики для определения наилучшего маршрута но каждый алгоритм интерпретирует выбор лучшего варианта пути по-своему. Алгоритм маршрутизации рассчитывает число называемое метрикой для каждого сетевого маршрута. Сложные алгоритмы маршрутизации могут основывать выбор маршрута на основе нескольких параметров объединяя их в одну общую метрику как показано на рисунке 2.3. Чем меньше метрика тем лучше выбранный маршрут.
Рисунок 2.3 – Метрики маршрутизации
Метрики могут быть вычислены на основе одной или нескольких характеристик. Наиболее часто в алгоритмах маршрутизации используются параметры метрики которые перечислены ниже.
Ширина полосы пропускания представляет собой средство оценки объема информации который может быть передан по каналу связи (канал Fast Ethernet со скоростью 100 Мбитс более предпочтителен чем выделенная линия со скоростью 512 Кбитс).
Задержка – промежуток времени необходимый для перемещения пакета по каждому из каналов связи от отправителя получателю. Задержка зависит от пропускной способности промежуточных каналов размера очередей в портах маршрутизаторов загрузки сети и физического расстояния.
Загрузка – объем операций выполняемых сетевым устройством таким как маршрутизатор или средняя загруженность канала связи.
Надежность обычно обозначает относительное значение количества ошибок для каждого из каналов связи.
Счетчик транзитных узлов – количество маршрутизаторов через которые должен пройти пакет прежде чем достигнет пункта назначения. Когда пакет проходит через маршрутизатор значение счетчика узлов увеличивается на единицу. Путь для которого значение счетчика узлов равно четырем означает что данные отправленные по этому маршруту пройдут через четыре маршрутизатора прежде чем будут получены адресатом. Если существует несколько путей маршрутизатор выбирает тот для которого значение счетчика узлов наименьшее.
Стоимость – значение обычно вычисляемое на основе пропускной способности денежной стоимости или других единиц измерения назначаемых администратором.
2.1.1 Внутренние и внешние протоколы маршрутизации
Маршрутизаторы используют протоколы маршрутизации для обмена маршрутной информацией. Иными словами протоколы маршрутизации определяют как маршрутизируются протоколы передачи данных (т.е. маршрутизируемые). Как показано на рисунке 2.4 двумя семействами протоколов маршрутизации являются протоколы внутренних шлюзов (Interior Gateway Protocol – IGP) и протоколы внешних шлюзов (Exterior Gateway Protocols – EGP). Классификация всех протоколов по этим двум семействам основана на принципе их работы по отношению к автономным системам.
Рисунок 2.4 – Протоколы EGP и IGP
Автономной системой (Autonomous System – AS) называется сеть или группа сетей находящихся под единым административным контролем как например домен Cisco.com. Автономная система состоит из маршрутизаторов которые для внешнего мира (т.е. для других сетей) выглядят как единая сеть.
Протоколы класса IGP маршрутизируют данные внутри автономных систем. К классу IGP относятся следующие протоколы маршрутизации:
протоколы RIP и RIP
протокол обмена данными между промежуточными системами (Intermediate system-to-Intermediate System – IS-IS).
Протоколы класса EGP маршрутизируют данные между автономными системами. Протокол BGP является наиболее широко известным представителем класса EGP.
2.1.2 Дистанционно-векторные и протоколы маршрутизации с учетом состояния
Протоколы маршрутизации могут подразделяться по самым разным критериям например по сфере применения т.е. по принадлежности к EGP- или IGP-типу. Другой классификацией описывающей протоколы маршрутизации может быть деление по используемым алгоритмам: протокол использует дистанционно-векторный (distanse-vector) алгоритм или работает с учетом состояния канала (link-state)[16]. Если принадлежность маршрутизаторов к EGP- или IGP-типу описывает их физическое взаимодействие то использование алгоритмов маршрутизации по вектору расстояния или состоянию канала описывает характер взаимодействия маршрутизаторов между собой при рассылке маршрутных обновлений.
Алгоритм дистанционно-векторной маршрутизации определяет направление (вектор) и расстояние (счетчик узлов) для каждого из каналов связи образующих сеть. При использовании этого алгоритма маршрутизатор периодически (например каждые 30 секунд) пересылает всю или часть своей таблицы маршрутизации своим соседям. Периодические обновления рассылаются маршрутизатором использующим дистанционно-векторный алгоритм даже если не произошли никакие изменения в сети. Получив таблицу маршрутизации от своего соседа маршрутизатор может проверить уже известные маршруты и внести необходимые изменения на основе полученного обновления. Такой процесс иногда называют маршрутизацией по слухам’’ поскольку представление маршрутизатора о структуре сети базируется на данных его соседей. Дистанционно-векторные протоколы маршрутизации основаны на алгоритме Беллмана-Форда (Bellman-Ford) и используют его для поиска наилучшего маршрута.
Дистанционно-векторный алгоритм служит основой для следующих протоколов:
для протокола маршрутной информации (Rout
для протокола маршрутизации внутреннего шлюза (Inter корпорация C
для усовершенствованного протокола маршрутизации внутреннего шлюза (Enhanced Inter этот протокол имеет исключительно быструю конвергенцию работает значительно более эффективно чем его предшественник и сочетает в себе все преимущества дистанционно-векторных алгоритмов и протоколов с учетом состояния каналов.
Протоколы маршрутизации использующие алгоритм с учетом состояния каналов были разработаны для преодоления ограничений связанных с использованием дистанционно-векторных протоколов. Алгоритм с учетом состояния канала дает возможность протоколам быстро реагировать на изменения сети рассылать обновления только в случае появления изменений и рассылать периодические обновления (называемые обновлениями состояния канала) через большие промежутки времени примерно один раз каждые 30 минут. Когда состояние канала изменяется устройство обнаружившее такое изменение формирует извещение о состоянии канала (Link-State Andvertisement – LSA) относящееся к этому каналу (маршруту) и рассылает его всем соседствующим маршрутизаторам. Каждый маршрутизатор получает копию извещения о состоянии канала и на этом основании обновляет свою базу состояния каналов (топологическую базу) после чего пересылает копию извещения всем своим соседям. Такая массовая рассылка извещения нужна чтобы гарантировать что все маршрутизаторы обновят свои базы данных и создадут обновленную таблицу маршрутизации которая отражает новую топологию. База данных состояния канала используется для обнаружения наилучшего сетевого пути. Маршрутизация с учетом состояния канала основана на алгоритме первоочередного определения кратчайшего маршрута (Shortest Path First – SPF) Дейкстра (Dijkstra) для построения SPF-дерева на основе которого принимается решение о том какой маршрут является наилучшим. Наилучший (кратчайший) маршрут выбирается из дерева первоочередного определения кратчайшего маршрута и помещается в таблицу маршрутизации. Примерами протоколов использующих алгоритм с учетом состояния каналов являются OSPF и IS_IS.
2.1.3 Протоколы маршрутизации
В этом разделе описаны метрики загрузка сети и другие важные характеристики наиболее широко используемых протоколов маршрутизации.
Протокол маршрутной информации (Routing Information Protocol – RIP) использует счетчик количества транзитных узлов для определения направления и расстояния для любого из каналов сети. Если существуют несколько маршрутов к получателю протокол RIP выберет тот из них который имеет наименьшее значение счетчика транзитных узлов. Поскольку счетчик является единственной метрикой используемой протоколом RIP выбранный маршрут далеко не всегда оказывается кратчайшим. Протокол RIP версии 1 позволяет использовать только классовую (classfull) маршрутизацию. Это означает что все сетевые устройства должны иметь одинаковую маску сети поскольку RIP версии 1 не включает в маршрутные обновления информацию о ней.
Протокол RIP версии 2 использует так называемую префиксную маршрутизацию (prefix routing) и пересылает маску сети вместе с анонсами таблиц маршрутизации: именно за счет этой функции обеспечивается поддержка бесклассовой маршрутизации. Благодаря протоколам бесклассовой маршрутизации можно использовать подсети с разной длины масками внутри одной и той же сети. Использование масок подсети разной длины внутри одной сети называется технологией масок переменной длины (Variable-Length Subnet Mask –VLSM).
Протокол маршрутизации внутреннего шлюза (Interior Gateway Routing Protocol – IGRP) разработанный корпорацией Cisco использует дистанционно-векторный алгоритм и предназначен для решения проблем возникающих при маршрутизации в больших сетях где невозможно использовать такие протоколы как RIP. Протокол IGRP способен выбирать самый быстрый путь на основе задержки пропускной способности загрузки и надежности канала. Стандартно протокол IGRP использует в качестве 24-битовых метрик только пропускную способность и задержку. Этот протокол имеет значительно большее максимальное значение счетчика узлов чем протокол RIP что дает возможность использовать его в более крупных сетях. Протокол IGRP позволяет использовать только классовую маршрутизацию.
Так же как и IGRP протокол EIGRP (Enhanced Interior Gateway Routing Protocol – расширенный протокол маршрутизации внутреннего шлюза) был разработан корпорацией Cisco и является ее фирменным продуктом. Этот протокол – усовершенствованная версия протокола IGRP использует 32-битовые метрики. В частности протокол EIGRP очень эффективен благодаря более быстрой конвергенции и низкому потреблению пропускной способности. Он является усовершенствованным вариантом протокола работающего на основе дистанционно-векторного алгоритма. Протокол EIGRP также использует некоторые функции алгоритмов с учетом состояния канала. Вот почему использование термина гибридный тоже вполне законно при описании протокола IGRP.
Открытый протокол поиска кратчайшего пути (Open Shortest Path First – OSPF) использует алгоритм маршрутизации по состоянию каналов. Проблемная группа проектирования Internet (IETF) разработала OSPF в 1988 году [6]. Самая последняя версия этого протокола OSPF версии 2 описана в спецификации RFC 2328. OSPF является протоколом IGP-типа что означает что он распространяет маршрутную информацию между маршрутизаторами находящимися в единой автономной системе. Протокол OSPF был разработан для использования в больших сетях в которых невозможно использование протокола RIP.
Протокол обмена маршрутной информацией между промежуточными системами (Intermediate System-to-Intermediate System – IS-IS) использует алгоритм маршрутизации по состоянию канала для стека протоколов модели OSI. Он распространяет маршрутную информацию для протокола сетевого обслуживания (Connectionless Network Protocol – CLNP) для соответствующих ISO-служб сетевого обслуживания без установления соединения (Connectionless Network Service – CLNS). Интегрированный протокол IS-IS является вариантом реализации протокола IS-IS для маршрутизации нескольких сетевых протоколов. Интегрированный протокол IS-IS объединяет CLNP-маршруты с информацией об IP-сетях и масках подсетей. Благодаря соединению ISO CLNS и IP-маршрутизации в одном протоколе интегрированный протокол IS-IS предоставляет альтернативу протоколу OSPF при использовании в IP-сетях. Он может быть использован для IP-маршрутизации ISO-маршрутизации и для комбинации этих двух вариантов.
Протокол граничного шлюза (Border Gateway Protocol – BGP) является примером протокола EGP-типа. Протокол BGP обеспечивает обмен маршрутной информацией между автономными системами и гарантирует выбор маршрутов без зацикливания. Он является базовым протоколом извещений маршрутизации использующимся большинством крупных компаний и поставщиками услуг доступа к Internet (ISP). Протокол BGP-4 стал первой версией протокола BGP в котором встроена бесклассовая междоменная маршрутизация (Classless InterDomain Routing – CIDR) и первым использующим механизм агрегации маршрутов. В отличие от распространенных протоколов IGP-типа таких как RIP OSPF и EIGRP BGP не использует в качестве метрики счетчик узлов пропускную способность или задержку в сети. Вместо этого протокол BGP принимает решение о выборе маршрута руководствуясь указанными сетевыми правилами используя различные маршрутные BGP-атрибуты.
2.1.4 Обоснование выбора
Проанализировав эту информацию и зная что пограничные РЕ-маршрутизаторы провайдера создают отдельную таблицу маршрутизации для каждого клиента. Причем эта таблица маршрутизации прикрепляется к тому же интерфейсу на котором работает клиент и использует клиентский протокол маршрутизации. Можно сделать вывод что для провайдера не имеет значения на каком протоколе построена сеть клиента.
2.2 Выбор оборудования
Cisco 7200 одни из самых распространенных в отрасли универсальных граничных маршрутизаторов для крупных предприятий и операторов связи. Маршрутизаторы серии Cisco 7200 отличаются превосходным соотношением ценапроизводительность предлагая самый широкий спектр поддерживаемых интерфейсов и непревзойденный набор функций. Компактные по размерам и построенные на высокопроизводительных модульных процессорах эти устройства отличаются самой высокой в отрасли эксплуатационной надежностью и удобством в управлении. Благодаря модульной архитектуре эти маршрутизаторы позволяют создавать масштабируемые решения отвечающие самым различным требованиям к плотности производительности и ассортименту услуг одновременно обеспечивая защиту инвестиций с учетом будущего развития сети [1].
В числе преимуществ маршрутизаторов серии Cisco 7200:
поддержка самого широкого спектра функций IPMPLS в программном обеспечении C
широкий ассортимент гибких модульных интерфейсов (от DS0 до OC12);
поддержка интерфейсов Fast Ethernet G
полностью модульная конструкция в формате 3
полная поддержка терминации L2TP и
поддержка до 16000 широкополосных абонентских сессий;
акселератор услуг на базе технологии C
поддержка различных протоколов;
низкие первоначальные капиталовложения;
масштабируемость и гибкость; идеально подходят для модернизации сетей.
Рисунок 2.5 – Маршрутизатор Cisco серии 7200 в разобранном виде
Маршрутизаторы серии Cisco 7200 предназначены для использования в качестве центрального высокопроизводительного маршрутизатора крупных сетей. Имея широкий выбор доступных интерфейсных модулей (порт-адаптеров) он может быть подключен практически к любой сети а возможности операционной системы Cisco IOS позволяют эффективно маршрутизировать любой трафик при практическом отсутствии каких-либо ограничений на конфигурацию сети.
Это позволяет в частности использовать маршрутизаторы серии 7200 для объединения сетей департаментов предприятия (локальных и территориально распределенных) независимо от применяемых в них технологий и их текущей конфигурации
Модуль обработки (NPE - Network Processing Engine) использует процессор MIPS RISC и выпускается в четырех вариантах - 100 200 и 300 МГц а также модель NPE-100 которая использует также процессор 150 Мгц но не имеет 1 Мб SRAM что ограничивает его производительность. Каждый модуль имеет 32 Мб оперативной памяти расширяемой до 128 Мб (NPE 300 - до 256) и 8 Мб флэш-памяти расширяемой до 40 Мб.
Набор шасси и модулей NPE серии 7200 предоставляет возможность выбора оптимальной конфигурации и производительности при минимальных затратах и возможности дальнейшего наращивания мощности устройства путем замены шасси либо модуля NPE. Шасси серии 7200 имеют пропускную способность шины 600 Мбитсек. В настоящее время анонсирована серия шасси 7200VXR которая имеет шину с пропускной способностью 1 Гбитсек. Модули NPE имеют следующую производительность: NPE-100 - 100 kpps NPE - 150 kpps NPE-200 - 200 kpps NPE-300 - 300 kpps.
Таблица 2.1 - Спецификации
Поддержка всех функций ПО Cisco IOS.
Технология NetFlow accounting дает возможность собрать подробную статистику использования сетевых ресурсов для ведения учета системы тарификации и планирования будущего роста сети.
Большой спектр функциональности управления полосой пропускания и сетевыми перегрузками.
Агрегирование подписчиков сетей широкополосного доступа.
Функциональность Service Selection Gateway (SSG) позволяет реализовать разграничение доступа к услугам с возможностью динамического выбора необходимых услуг на основе желаний подписчика.
Поддержка технологии многопротокольной коммутации на основе признаков (MPLS).
Возможность интеграции со шлюзами ОКС-7 для построения крупномасштабных сетей доступа.
Гибкость мультисервисных приложений благодаря встроенной шине MIX.
Многофункциональные платформы Cisco 7200 представляют собой эффективную с точки зрения стоимости систему сочетающую в себе возможности поддержки следующих технологий:
высокая производительность благодаря применению технологии параллельной скоростной пересылки PXF (Parallel eXpress Forward
гибкая модульная структура поддержка интерфейсов Mult
поддержка MPLS VPN и
многообразие IP сервисов и терминирование
поддержка мультисервисных функций.
Внутренняя шина поддерживает MIX (Multiservice Interchange) – коммутацию DS0 каналов к любому интерфейсному модулю. Поддержка MIX позволяет интегрировать на одном интерфейсе голос и данные.
Cisco 7200 может выступать в роли гибкого шлюза между различными средами передачи голоса: ATM Frame Relay и IP.
Cisco 7200 поддерживает следующие стандарты передачи голоса:
VoATM с использованием уровня адаптации ATM Adapter Layer 2 (AAL2);
FRF. 11 and FRF. 12;
Поддерживает общие для серий Cisco 7200 Cisco 7100 Cisco 7400 и Cisco 7500 модули расширения.
Поддержка аппаратного ускорения шифрации данных по технологии IPSec (модули SA-ISA SA-VAM).
Для обеспечения отказоустойчивости системы в устройствах серии Cisco 7200 предусмотрена возможность подключения двух источников питания а также возможность замены интерфейсных модулей без остановки работы устройства.
Поддержка маршрутизаторами Cisco 7200 протокола Cisco IOS Hot Standby Router Protocol (HSRP) обеспечивает возможность быстрого перехода на резервное оборудование в случае отказа части сетевых устройств или соединений.
Резервный внутренний источник питания обеспечивает равномерную нагрузку по питанию и удваивает время наработки на отказ.
Маршрутизаторы Cisco серии 7200VXR работают под управлением ПО Cisco IOS и позволяют реализовывать на практике сервисы QoS усилить безопасность и использовать сжатие и шифрование трафика.
Адаптер ISA (Integrated Services Adapter) реализует высокопроизводительное туннелирование трафика а также сервисы шифрования для сетей WAN и VPN.
межсетевой экран контекстная проверка трафика (CBAC) и предотвращение сетевых атак (IDS);
трансляция сетевых адресов (NAT);
фильтры трафика (ACL);
фиксированная скорость доступа (Comm
поддержку туннелирования L2TP PPT и
поддержку MPLS VPN и Fu
различные дополнительные сервисы в том числе с аппаратными услугами PXF.
Таблица 2.2 – Технические характеристики
Rack-mountable - модульный
Максимальное количество установленных модулей
Технология подключения
Ethernet Fast Ethernet Gigabit Ethernet
Сетевой Транспортный протокол
Протокол маршрутизации
OSPF IGRP RIP IS-IS BGP EIGRP HSRP
Протокол удалённого администрирования
Flow control modular design full duplex capability Layer 2 switching auto-sensing per device поддержка DHCP поддержка VPN BOOTP support поддержка ARP поддержка MPLS поддержка VLAN manageable поддержка IPv6
x network - Ethernet 10Base-T100Base-TX1000Base-T - RJ-45 ¦ 1 x management - console - RJ-45 ¦ 4 x serial - auxiliary - RJ-45 ¦ 1 x management - Ethernet 10Base-T100Base-TX - RJ-45 ¦ 2 x USB - 4 PIN USB Тип A
Способ аутентификации
Secure Shell (SSH) RADIUS PAP CHAP TACACS
Поддерживаемые стандарты
NEBS level 3 FCC Class A certified CSA EN 60950 IEC 61000-3-2 IEC 61000-4-11 IEC 61000-4-2 IEC 61000-4-3 IEC 61000-4-4 IEC 61000-4-5 IEC 61000-4-6 IEC950 UL 1950 VCCI-II CSA 22.2 No. 950 EN55022 Class B ASNZ 3548 Class A
Блок питания - redundant
Установленное кол-во Максимально поддерживаемое кол-во
(установлено) 2 (максимально)
Требуемое напряжение
AC 120230 V ( 5060 Hz )
Предустановленное устройство питания
Программное обеспечение Системные требования
Предустановленная операционная система
Программное обеспечение Included
Параметры окружающей среды
Минимальная рабочая температура
Максимальная рабочая температура
Рабочий диапазон влажности
Одним из ключевых устройств нашего маршрутизатора является процессорный управляющий модуль NPE-G2 для маршрутизаторов Cisco серии 7200 обеспечивает более высокую производительность маршрутизации и обработки потоков данных обладая наиболее полным набором функций Cisco IOS.
Рисунок 2.6 – Процессорный управляющий модуль NPE-G2
Основные особенности управляющего процессорного модуля NPE-G2:
удвоенная производительность по сравнению с управляющими модулями предыдущих серий (до 2 миллионов пакетов в секунду при использовании скоростной пересылки C
RJ-45 101001000Ethernet порта (с поддержкой динамического рефлектометра) оптические порты;
специальный управляющий порт;
USB порта для подключения резервных носителей и ключей безопасности;
Устранение необходимость использования контроллеров входавыхода.
Таблица 2.3 – Технические характеристики
Compact Flash: 256 Мб
Кэш второго уровня: 1-Мб
USB Flash: 64-256 Мб
67 ГГц Motorola Freescale 7448
56 x 38 481 x 28 245 см
В качестве CE-маршрутизаторов были выбраны маршрутизаторы Cisco серии 2600. Так как модульные маршрутизаторы доступа серии CISCO 2600 - это высокоэффективные мультисервисные устройства обеспечивающие гибкость в выборе LAN и WAN конфигураций безопасность соединения и высокую производительность. Совокупность этих характеристик делает серию CISCO 2600 идеальной для создания постоянных интернет-каналов связи между центральным офисом предприятия и его филиалами.
Серия Cisco 2600 представляет собой экономичную серию модульных маршрутизаторов для малых и средних офисов включающую в себя возможность передачи голоса и факса. Предлагаемый набор модулей позволяет так же использовать Cisco 2600 в качестве серверов доступа и сетевых экранов. Модульная архитектура этих устройств обеспечивает гибкое решение комплекса таких задач как:
Подключение небольшого офиса в общую корпоративную сеть компании через коммутируемый или выделенный канал ISDN BRI сети общего пользования X.25 Frame Re
Обеспечение точки доступа в общую корпоративную сеть офиса для мобильных пользователей и сотрудников работающих из дома;
Построение виртуальной корпоративной сети (V
Передачу голоса и факсов между офисами поверх сетей коммутации пакетов а так же использование услуг операторов
Маршрутизация данных внутри корпоративной локальной сети между несколькими виртуальными локальными сетями (VLAN);
Подключение банкоматов и POS-терминалов к центральному процессинговому центру.
Для маршрутизаторов Cisco 2600 существует более 30 сетевых интерфейсных модулей и карт позволяющих использовать маршрутизаторы этой серии практически в любых существующих сетях. Имеются модули для Ethernet синхронных и асинхронных последовательных портов каналов E1 и T1 ATM аналоговых модемов ISDN BRI передачи голоса (FXO FXS E&M ISDN BRI-ST) модуль сжатия данных.
Для передачи критичного к полосе пропускания и задержкам трафика (к примеру мультимедиа) маршрутизаторы Cisco 2600 поддерживают гарантированное качество обслуживания (Quality of Service – QoS).
2.3 Этапы конфигурирования маршрутизаторов
Рис. 2.5 Структура сети MPLS VPN
Для того чтобы сконфигурировать и протестировать VPN-сеть MPLS необходимо выполнить следующие действия.
Этап 1. Сконфигурировать интерфейсы сети и протокол IGP.
Этап 2. Указать VPN-сети.
Этап 3. Сконфигурировать сеансы маршрутизации РЕ-РЕ.
Этап 4. Сконфигурировать сеансы маршрутизации РЕ-СЕ.
Этап 5. Сконфигурировать Р-маршрутизаторы.
Этап 6. Сконфигурировать СЕ-маршрутизаторы.
Этап 7. Сконфигурировать QoS.
2.3.1 Конфигурирование интерфейсов сети и протокола IGP
Для того чтобы сконфигурировать интерфейсы сети и IGP необходимо выполнить следующие действия.
Этап 1. Включить службу CEF на РЕ-маршрутизаторе в режиме глобального конфигурирования. CEF-коммутация является существенной частью функционирования MPLS-коммутации.
Router(conf ig) #ip сеf
Этап 2. Сконфигурировать IP-адрес петлевого интерфейса для использования его в качестве идентификатора в процессе IGP-маршрутизации:
Router(config) #interface loopback n
Router(config-interface) #ip address IP-address mask
Этап 3. Сконфигурировать протокол IGP. В данном примере была использована маршрутизация OSPF переводящая командную строку в режим конфигурирования маршрутизатора. Результат:
Router(config)#router ospf ospf-process*id
Этап 4. Задать интерфейс на котором будет использоваться маршрутизация OSPF и указать идентификатор (ID) области для данного интерфейса:
Router(config-router)#network address wildcard-mask area area-id
Этап 5. Сконфигурировать интерфейсы подсоединенные к РЕ-маршрутизаторам с данным IP-адресом. В рассматриваемом примере сконфигурирован последовательный интерфейс DS3. Результат:
Router(config)#interface Serial slotadapterport
Router(config-interface)#ip address IP-address mask
Этап 6. Включить на заданном интерфейсе теговую коммутацию (Tag Switching):
Router(config-interfасе)#tag-switching IP
2.3.2 Указание VPN-сети пользователя
Как уже говорилось выше технология MPLS поддерживает большое количество VPN-сетей для разных пользователей и обладает исключительно высокой степенью расширяемости. Каждый пользователь VPN-сети логически связан с комплексом маршрутизации и пересылки (VRF). Для того чтобы определить VPN-комплекс маршрутизации на РЕ-маршрутизаторе необходимо выполнить следующие действия.
Этап 1. Задать различные VPN-комплексы маршрутизации и пересылки путем назначения VRF-имен и войти в режим конфигурирования VRF:
Router(config)#ip vrf vrf-name
В этой команде vrf-name — имя назначенное комплексу VRF. Оно используется для идентификации пользователя службы VPN и должно быть уникальным. Имя vrf-name чувствительно к регистру. Все СЕ-маршрутизаторы пользователя подсоединенные к РЕ-маршрутизатору должны иметь определенные подобным образом имена.
Этап 2. Создать таблицы маршрутизации и пересылки для пользовательских сетей VPN с использованием признака маршрутов (Route Distinguisher — RD). Признак RD добавляется в подрежиме VRF. Стандартное значение для параметра RD отсутствует. Признак RD должен быть сконфигурирован так чтобы стало возможным функционирование VRF-комплекса. Признак RD добавляет 64-битовое значение к 32-битовому префиксу IP версии 4 в результате чего создается 96-битовый VPN-префикс протокола IP. Служба RD создает таблицы маршрутизации и пересылки и задает для VPN-сети значение параметра RD. Признаки маршрутов RD вставляются перед началом префиксов протокола IP четвертой версии превращая их в глобально уникальные VPN-префиксы протокола. Такая структура позволяет пользователям VPN-сетей использовать ту же самую частную схему адресации IP:
Router(config-vrf)#rd route-distinguisher
Этап 3. Импортировать из расширенного VPN-сообщества или экспортировать ему информацию о маршрутизации. После этого требуется создать для комплекса VRF расширенное сообщество адресатов маршрута с использованием команды route-target в подрежиме VRF. Этот адресат маршрута задает расширенное сообщество VPN-адресатов маршрута. Подобно признаку маршрута расширенное сообщество состоит из номера автономной системы и произвольного номера либо из IP-адреса и произвольного номера. Результат:
Router(config-vrf)#route-target import export both route-target -ext-communitу
Этап 4. Выполнить логическое связывание VRF-комплекса с интерфейсом или по-дынтерфейсом. Данный этап исключительно важен поскольку служба MPLS логически связывает физический интерфейс с комплексом VRF. Результат:
Router(config-if)#ip vrf forwarding vrf-name
Логическое связывание интерфейса с комплексом VRF приводит к удалению IP-адреса данного интерфейса. После того как интерфейсу будет назначен комплекс VRF IP-адрес должен быть сконфигурирован повторно.
2.3.3 Конфигурирование сеансов маршрутизации РЕ-РЕ
Для того чтобы сконфигурировать сеансы маршрутизации РЕ-РЕ многопротокольного IBGP в сети провайдера на РЕ-маршрутизаторах необходимо выполнить следующие действия.
Этап 1. Сконфигурировать процесс маршрутизации IBGP с передачей номера автономной системы другим РЕ-маршрутизаторам IBGP:
Router(config)#router bgp autonomous-system
Этап 2.Отключить одноадресатные анонсы префиксов протокола IP версии 4:
Routerconfig-router)#no bgp default ipv4-unicast
Этап 3. Задать IP-адрес соседнего РЕ-маршрутизатора или паритетную группу устройств протокола IBGP идентифицируя ее тем самым для локальной автономной системы:
Router(config-router)#neighbor ip-address peer-group-name remote-as number
Этап 4. Включить анонсы адресов протокола IP версии 4 соседним устройствам IBGP:
Router (conf ig-router) #neighbor ip-address activate
2.3.4 Конфигурирование сеансов маршрутизации РЕ-СЕ
РЕ-маршрутизатор необходимо сконфигурировать таким образом чтобы вся информация о маршрутизации полученная от интерфейса пользователя могла быть логически связана с конкретным комплексом VRF. Необходимого результата можно достичь путем использования стандартных процессов протоколов маршрутизации известных как контексты маршрутизации.
Протокол RIP версии 2 может быть использован в качестве протокола маршрутизации между устройствами РЕ и СЕ. Маршрутная информация полученная РЕ-маршрутизатором по протоколу RIPv2 (версии 2) от СЕ-маршрутизатора помещается в комплекс VRF логически связанный с физическим интерфейсом подсоединенным к СЕ-маршрутизатору. После этого информация VRF передается по сеансам IBGP РЕ-маршрутизаторам того же уровня.
При обычной маршрутизации по протоколу RIP первой и второй версий команды начинающиеся с ключевого слова network которые задают использующие его интерфейсы вводятся в подрежиме конфигурирования протокола маршрутизации router rip. Такие действия приводят к тому что RIP-марш руты передаются в глобальные таблицы Маршрутизации РЕ-маршрутизаторов. Однако требуется чтобы RIP-маршруты поддерживались только внутри замкнутой VRF-группы VPN-сети пользователя. Для этого сетевые команды вводятся в подрежиме address-family. Аналогичным образом в подрежиме address-family должно быть сконфигурировано перераспределение IBGP-маршрутов чтобы VPN-маршруты полученные от сеанса IBGP были объявлены СЕ-маршрутизатору при помощи RIP-процесса.
Для того чтобы сконфигурировать сеансы RIP-маршрутизации от РЕ к СЕ на РЕ-маршрутизаторе необходимо выполнить следующие действия.
Этап 1. Включить протокол RIP версии 2:
Router(config)#router rip
Router(config-router) #version 2
Этап 2. Задать параметры протокола RIP для сеансов маршрутизации от устройства РЕ к устройству СЕ в подрежиме address-family внутри главного процесса конфигурирования RIP:
Router(config-router)#address-family ipv4 [unicast] vrf vrf-name
Этап 3. Связать сеть с процессом маршрутизации RIP в подрежиме address-family:
Router(config-router-af) #network prefix
Этап 4. Перераспределить IBGP-маршруты в семействе RIP-адресов для того чтобы объявить их СЕ-маршрутизаторам:
Router(config-router-af)#redistribute bgp asn metric metric
2.3.5 Конфигурирование Р-маршрутизаторов
Базовые маршрутизаторы провайдера (Provider core routers — P-routers) представляют собой LSR-устройства которые участвуют в работе протокола маршрутизации IGP такого например как OSPF или IS-IS. Однако они не принимают участия в мультипротокольном процессе IBGP как это делают РЕ-маршрутизаторы поэтому они имеют более простую конфигурацию. Р-маршрутизаторы не являются терминальными устройствами каналов пользователя от СЕ-маршрутизаторов. Ниже приводится пошаговое описание процесса конфигурирования Р-маршрутизатора на котором функционирует протокол OSPF.
Этап 1. Включить коммутацию CEF на РЕ-маршрутизаторе в режиме глобального конфигурирования. CEF-коммутация является существенным элементом функционирования технологии MPLS. Результат:
Router(config)#ip cef
Router(config)#interface loopback n
Этап 3. Задать конфигурацию используемого протокола IGP. В данном примере используется маршрутизация ввод команды происходит в режиме конфигурирования маршрутизатора. Результат:
Router(config)#router ospf ospf-process-id
Этап 4. Задать интерфейс на котором будет функционировать OSPF и идентификатор области для этого интерфейса:
Этап 5. Сконфигурировать интерфейсы подсоединенные к РЕ-маршрутизаторам с данным IP-адресом. В примере сконфигурирован интерфейс DS3. Результат:
Этап 6. Включить теговую коммутацию (Tag Switching) для интерфейса:
Router(config-interface)#tag-switching IP
2.3.6 Конфигурирование СЕ-маршрутизаторов
СЕ-маршрутизаторы могут быть сконфигурированы с использованием одной из четырех опций:
статическая маршрутизация;
маршрутизация по протоколу RIP версии 2;
маршрутизация по протоколу
маршрутизация по протоколу OSPF.
РЕ-маршрутизатор должен быть сконфигурирован с использованием того же самого протокола маршрутизации который был выбран для СЕ-маршрутизатора. СЕ-маршрутизаторы могут принадлежать пользователю или провайдеру. Как правило если провайдер предлагает VPN-службы управляемого протокола IP (Managed IP) то СЕ-маршрутизатор принадлежит провайдеру и поддерживается им. Пользователям предоставляется подробная информация об IP-структуре и соответствующая документация для нумерации IP-устройств пользователя и внутренней маршрутизации. Большинство провайдеров предпочитают самостоятельно управлять СЕ-маршрутизаторами особенно если структура их VPN-сетей MPLS достаточно сложна. Устранение ошибок и неисправностей в такой ситуации становится затруднительным если инженеры провайдера не имеют полного доступа к СЕ-маршрутизатору.
Для того чтобы сконфигурировать использование протокола RIP версии 2 для сеансов маршрутизации СЕ-РЕ на СЕ-маршрутизаторе необходимо выполнить следующие действия.
Этап 1. Сконфигурировать использование протокола RIP версии 2:
Router(config-router)#version 2
Этап 2. В режиме конфигурирования маршрутизатора связать сеть с процессом RIP-маршрутизации:
Router(config-router)#network prefix
2.3.7 Конфигурирование функций QoS для VPN-сетей MPLS
Для конфигурирования QoS на входных РЕ-маршрутизаторах используются модульный интерфейс CLI функции качества обслуживания. Он позволяет пользователям задавать класс потока данных независимо от стратегии QoS. Использование модульного интерфейса CLI QoS включает в себя три этапа которые представлены ниже.
Конфигурирование классов потоков данных для классификации IP-пакетов в соответствии с критериями и преобразованием классов.
Конфигурирование правил службы с преобразованием классов.
Конфигурирование входного интерфейса для применения к нему правил службы.
Конфигурирование классов потоков данных
Команда class-mар используется для создания класса потока данных (traffic class). При создании класса потока содержащего критерий соответствия команда class -map используется для задания имени класса а команда match используется в режиме конфигурирования преобразования классов. Команда сlass-mар имеет следующий синтаксис:
class-map [match-any natch-all] class-name no clasa-map [match-any match-all] class-name
Команда class-map match-all используется в тех случаях когда для причисления пакета к определенному классу потоков необходимо удовлетворение всех критериев соответствия. Команда class-map match-any используется в тех случаях когда для причисления пакета к определенному классу потоков необходимо удовлетворение одного критерия из списка критериев соответствия. Если ни одна из команд match-all и match-any не задана то класс потока определяется в соответствии с командой class-map match-all. Для того чтобы задать критерий соответствия который предотвращает классификацию пакета как члена класса используется команда match not.
Приведенные ниже этапы конфигурирования относят потоки данных к различным классам с использованием команд преобразования классов (class map).
Этап 1. Задать преобразование классов которому должны соответствовать пакеты:
Router (config) #class -map class-map-name
Этап 2. Задать характеристики пакетов которые будут проверяться на соответствие классам:
Router(config-стар)#match criteria
Критерии соответствия включают в себя следующие команды.
match access-group access-group — конфигурирует критерий соответствия преобразования классов для указанного списка ACL.
match any — конфигурирует критерий соответствия для преобразования классов заключающийся в том что этому критерию должны соответствовать все пакеты.
match class-map class-map-name — конфигурирует критерий соответствия для преобразования классов основанный на определенном правиле классификации.
match cos cos-value [ cos-value cos-value cos-value] — конфигурирует критерий соответствия для преобразования классов основанный на CoS-маркировке 2-го уровня.
match destination-address mac address — конфигурирует критерий соответствия для преобразования классов основанный на МАС-адресе получателя.
match input-interface interface-name — конфигурирует критерий соответствия для преобразования классов основанный на признаке входного интерфейса.
match ip dscp dscp-value [deep-value dscp-value dscp-value dscp-value dscp-value dscp-value dscp-value] — конфигурирует критерий соответствия для преобразования классов основанный на значении кодовой точки DSCP (IP Differentiated Service Code Point — DSCP). В одной директиве соответствия match может быть задано до 8 значений IP-DSCP. Значения DSCP должны находиться в интервале от 0 до 63.
match ip precedence precedence-value (precedence-value precedence-value precedence-value] — конфигурирует критерий соответствия для преобразования классов основанный на значениях IP-приоритета. В одной директиве соответствия match может быть задано до 4 значений IP-приоритета. Значения приоритета должны находиться в интервале от 0 до 7.
match ip rtp starting-port-number port-range — конфигурирует критерий соответствия для преобразования классов основанный на порте протокола реального времени (Real-Time Protocol-RTP). Начальный номер порта RTP находится в интервале от 2000 до 6SS3S. Рабочий номер порта RTP должен находиться в интервале от 0 до 16383.
match mpis experimental number — конфигурирует критерий соответствия для преобразования классов основанный на значении поля Ехр. Это значение поля Ехр может лежать в пределах от 0 до7.
match not — конфигурирует критерий для преобразования классов основанный на отсутствия соответствия.
match protocol protocol — конфигурирует критерий соответствия для преобразования классов основанный на конкретном протоколе.
match qos-group gos-group-value — конфигурирует критерий соответствия для преобразования классов основанный на значении QoS-группы. Это значение QoS-группы находится в интервале от 0 до 99 и практического значения не имеет. Значение QoS-группы является для маршрутизатора локальным и используется в качестве маркера. Обработка соответствующих пакетов задается пользователем при помощи правил QoS в режиме конфигурирования класса преобразования.
match source-address mac address — конфигурирует критерий соответствия для преобразования классов основанный на МАС-адресе отправителя.
Этап 3. Выйти из режима конфигурирования преобразования классов:
Router(config-cmap)#end
В качестве иллюстрации ниже приводится код (пример 2.1) для такого конфигурирования класса преобразования когда все пакеты имеющие IP-приоритет 5 сопоставляются классу преобразования с именем critical.
Пример 2.1. Конфигурация правила класса
Router(config)#class-map critical
Router(config-cmap) #match ip precedence 5
Конфигурирование правил службы
Правила службы конфигурируются с использованием команды policy-map с указанием имени правила. Связывание класса потока с правилом службы осуществляется командой class.
Правила QoS для стратегии службы определяются в подрежиме преобразования правил. В настоящем разделе подробно описываются правила QoS которые могут применяться к службе в подрежиме преобразования правил.
Команда policy-map имеет следующий синтаксис:
policy-map policy-name no policy-map policy-name
Команда class имеет следующий синтаксис:
class class-name no class class-name
Если сконфигурирован стандартный класс то все потоки данных не удовлетворяющие критерию соответствия считаются принадлежащими к нему.
Этап 1. Создать преобразование правил которое может быть применено к одному или более интерфейсам для задания стратегии службы. Результат:
Router (config) #policy-map po2icy-map-name
Этап 2. Задать имя преобразования класса ранее заданного командой class-mар:
Router (conf ig-pmap) #class сlass-map-name
Этап 3. Задать стандартный класс который будет создан как часть правил службы:
Router(config-pmap)#class class-default
Этап 4. Задать минимальную гарантированную полосу пропускания для класса потоков данных. Минимальная гарантированная полоса пропускания может быть задана в Кбитс или в процентах от обшей ширины полосы пропускания:
Router(config-pmap-c)#bandwidth bandwidth-kbps percent percent
Этап 5. Установить для команды стандартные параметры:
Router(config-pmap-c)#default command
Этап 6. Задать количество очередей зарезервированных для класса:
Router(config-pmap-c)#fair-queue number-of-queues
Этап 7. Используя алгоритм сопоставления показателей потока задать максимальное использование классом полосы пропускания:
Router (conf ig-pmap-c) #police bps burst-normal burst-max conf orm-action action exceed-action action violate-action action
Команда police позволяет осуществлять над входящими пакетами следующие действия:
drop — уничтожить пакет;
transmit — передать пакет.
Этап 8. Задать гарантированную разрешенную полосу пропускания (в Кбитс или в процентах) для приоритетных потоков данных. Необязательный параметр bytes указывает величину разрешенного всплеска трафика в системе который бы не превышал сконфигурированную скорость передачи в Кбитс:
Router (config-pmap-c) #priority kbps percent percent [bytes]
Этап 9. Задать для класса максимальное количество пакетов устанавливаемых в очередь (в случае отсутствия команды random-detect):
Router(config-pmap-c)#queue-limit packets
Этап 10. Включить механизм отбрасывания для класса потоков имеющего гарантированную ширину полосы пропускания:
Router(config-pmap-c)#random-detect
Этап 11. Установить в 1 бит приоритета в случае потери ячеек ATM:
Router (conf ig-pmap-c) #set atm-clp
Этап 12. Задать значение CoS или значения которые будут логически связаны с данным пакетом. Конфигурируемое значение должно находиться в диапазоне 0—7:
Router(config-pmap-c)#sat cos cos-value
Этап 13. Задать значение DSCP IP-пакетов данного класса потоков. Значением DSCP IP может быть любое число от 0 до 63:
Router(config-pmap-c)#set ip deep ip-dscp-value
Этап 14. Задать IP-приоритет при отбрасывании пакетов данного класса потоков. Значение приоритета должно находиться в диапазоне 0-7:
Router(config-pmap-c)#set ip precedence ip-precedence-value
Этап 15. Задать значение которое будет использовано для битов MPLS в случае если пакеты соответствуют заданному преобразованию:
Router(config-pmap-с)#set mpls experimental value
Этап 16. Выйти из режима конфигурирования правил:
Router(config-pmap-с)#end
В качестве иллюстрации ниже приводится код (пример 2.2) команды которого устанавливают значение 4 для экспериментального поля MPLS каждого пакета соответствующего преобразованию класса critical.
Пример 2.2 Конфигурирование экспериментального поля MPLS
Router (config) #poliey-map set_experimental__4
Router(config-pmap)#class critical
Router(config-pmap-c)#set mpls experimental 4
Router(config-pmap-c)#end
Конфигурирование правил и привязка их к интерфейсу
Команда конфигурирования интерфейса service-policy используется для присоединения правил службы к интерфейсу и задания направления в котором они должны быть применены. Команда service-policy имеет следующий синтаксис:
service-policy input output policy-map-name no service-policy input output policy-map
Для того чтобы сконфигурировать правила и применить их к интерфейсу следует выполнить следующие действия.
Этап 1. Назначить входной интерфейс:
Router(config)#interface interface-name
Этап 2.Подсоединить заданное преобразование стратегии к входному интерфейсу:
Router (config-int) #service-policy input policy-map-name
Этап 3. Выйти из режима конфигурирования интерфейса:
Router(config-int)#end
В качестве иллюстрации приводится код (пример 2.3) подключающий службу set__experimental__4 к входному интерфейсу Ethernet.
Пример 2.3. Включение правила на интерфейсе
Router(config)#interfасе ethernet 100
Router(config-int)ttservice-policy input aet_experimental_4
2.3.8 Проверка работоспособности VPN-cети и конфигурации QoS
Для проверки работоспособности VPN-сети необходимо выполнить следующие действия.
Этап 1. Вывести на экран определенные ранее VRF-комплексы и интерфейсы:
Этап 2. Вывести на экран информацию об определенных VRF и связанных с ними интерфейсах:
Router#show ip vrf [brief detail interfaces ] vrf-name
Этап 3. Вывести на экран таблицу IP-маршрутизации для комплекса VRF:
Router#show ip route vrf vrf-name
Этап 4. Вывести информацию протокола маршрутизации для VRF:
Router#show ip protocols vrf vrf-name
Этап 5. Вывести на экран таблицу пересылки CEF связанную с комплексом VRF:
Router#show ip cef vrf vrf-name
Этап 6. Вывести на экран таблицу VRF связанную с интерфейсом:
Router#show ip interface interface-number vrf vrf-name
Этап 7. Отобразить информацию о VPN-сетях протокола BGP:
Router#show ip bgp vpnv4 all [ tags ]
Этап 8. Отобразить по меткам записи таблицы коммутации которые соответствуют VRF-маршрутам объявленным маршрутизатором:
Router#show tag-switching forwarding vrf vrf-name (prefixmasklength] [detail]
Для того чтобы выполнить проверку конфигурации заданной с помощью модульного интерфейса CLI QoS следует выполнить следующие действия.
Этап 1. Вывести на экран всю информацию о классе потока:
Router#show class-mар
Этап 2. Вывести на экран информацию о классе потока указанном пользователем:
Router#tshow class-map class-name
Этап 3. Вывести на экран все правила службы:
Router#show policy-map
Этап 4. Вывести на экран всю информацию об указанном пользователем правиле:
Router#show policy-map policy-map-name
Этап 5. Вывести на экран конфигурацию и статистику для всех входных и выходных правил связанных с интерфейсом:
Routeг#show policy-map interface
Этап 6. Вывести на экран конфигурацию и статистику для всех входных и выходных правил связанных с интерфейсом:
Router#show policy-map interface interface-spec
Этап 7. Вывести на экран конфигурацию и статистику для входного правила связанного с интерфейсом:
Router#tshow policy-map interface interface-spec input
Этап 8. Вывести на экран конфигурацию и статистику для выходного правила связанного с интерфейсом:
Router#show policy-map interface interface-spec output
Этап 9. Вывести на экран конфигурацию и статистику для имени класса сконфигурированного в данном правиле:
Router#show policy-map [ interface [ interface-spec [input output ] [ class class-name ]]]
В главе был рассмотрен принцип работы технологии MPLS. Были изучены основные компоненты сети MPLS. В сети MPLS основным оборудованием являются маршрутизаторы P PECE. Поскольку MPLS-это технология применяемая в магистральных сетях операторов связи то ее структура удовлетворяет важнейшим концепциям магистральных технологий. В ее структуре таким образом выделяются:
уровень ядра (на основе P-маршрутизаторов);
уровень агрегации (на основе PE -маршрутизаторов);
уровень доступа (на основе CE -маршрутизаторов).
Также был рассмотрен принцип маршрутизации и пересылки пакетов в сетях MPLS с поддержкой технологии VPN. Были выявлены преимущества этой технологии перед другими подобными.
Далее учитывая структуру построения сетей MPLS VPN были выбраны соответствующие протоколы для обмена маршрутной информацией. Выбор осуществлялся на основе нескольких наиболее важных критериев для оценки производительности протоколов. Таких как время конвергенции протокола возможности масштабирования затраты ресурсов и т.д. После выбора протоколов осуществлялся выбор оборудования проектируемой сети.
В конце главы был описан алгоритм конфигурирования сетей MPLS VPN который разумеется представляет практическую ценность.
Конфигурирование спроектированной сети
Рис. 3.1 Структура сети MPLS VPN
1 Конфигурирование маршрутизаторов провайдера
Р-маршрутизаторы конфигурируются для коммутации по меткам. Они не используют многопротокольные сеансы iBGP. Р-маршрутизаторы конфигурируются с помощью протокола OSPF в качестве протокола внутреннего шлюза IGP.
Конфигурация маршрутизатора Р1
class-map match-all class2
match ip precedence 3
class-map match-all class3
match ip precedence 1
class-map match-all class1
match ip precedence 5
ip address 10.10.6.1 255.255.255.255
description ***Router_P2***
ip unnumbered Loopback0
serial restart-delay 0
max-reserved-bandwidth 90
service-policy output Isp
description ***Router_PE1***
description ***Router_P3***
log-adjacency-changes
network 10.10.6.1 0.0.0.0 area 0
Аналогично конфигурируются и другие P-маршрутизаторы. Конфигурации маршрутизаторов Р2 Р3 Р4 Р5 представлены в приложении А.
2 Конфигурирование пограничных маршрутизаторов провайдера и пользователя
Ниже будут приведены конфигурации пограничных PE-маршрутизаторов на стороне провайдера и пограничных CE-маршрутизаторов на стороне пользователя.
2.1 Конфигурирование сети в Перми
Для настройки сеть в Перми необходимо сконфигурировать PE-маршуртизатор (PE1) на стороне провайдера и два CE-маршрутизатора на стороне клиента.
Конфигурация маршрутизатора PE1:
route-target export 100:1
route-target import 100:1
route-target export 100:2
route-target import 100:2
class-map match-all Gold
match input-interface FastEthernet21
class-map match-all Platinum
match input-interface FastEthernet20
ip address 10.10.1.1 255.255.255.255
interface FastEthernet20
ip vrf forwarding vrf1
ip address 172.16.254.1 255.255.255.252
interface FastEthernet21
ip vrf forwarding vrf2
ip address 172.17.254.1 255.255.255.252
network 10.10.1.1 0.0.0.0 area 0
address-family ipv4 vrf vrf2
redistribute bgp 64512 metric 1
address-family ipv4 vrf vrf1
no bgp default ipv4-unicast
bgp log-neighbor-changes
neighbor 10.10.2.1 remote-as 64512
neighbor 10.10.2.1 update-source Loopback0
neighbor 10.10.3.1 remote-as 64512
neighbor 10.10.3.1 update-source Loopback0
neighbor 10.10.4.1 remote-as 64512
neighbor 10.10.4.1 update-source Loopback0
neighbor 10.10.5.1 remote-as 64512
neighbor 10.10.5.1 update-source Loopback0
address-family vpnv4
neighbor 10.10.2.1 activate
neighbor 10.10.2.1 send-community extended
neighbor 10.10.3.1 activate
neighbor 10.10.3.1 send-community extended
neighbor 10.10.4.1 activate
neighbor 10.10.4.1 send-community extended
neighbor 10.10.5.1 activate
neighbor 10.10.5.1 send-community extended
Конфигурация маршрутизатора принадлежащего клиенту А:
interface FastEthernet00
ip address 172.16.254.2 255.255.255.252
interface FastEthernet01
ip address 172.16.10.254 255.255.255.0
Конфигурация маршрутизатора принадлежащего клиенту B:
ip address 172.17.254.2 255.255.255.252
ip address 172.17.10.254 255.255.255.255
2.2 Конфигурирование сети в Екатеринбурге
Для настройки сеть в Екатеринбурге необходимо сконфигурировать PE-маршуртизатор (PE5) на стороне провайдера и два CE-маршрутизатора на стороне клиента.
Конфигурация маршрутизатора PE5:
hostname Ekaterinburg
ip address 10.10.5.1 255.255.255.255
ip address 172.16.251.1 255.255.255.252
ip address 172.17.252.1 255.255.255.252
network 10.10.5.1 0.0.0.0 area 0
neighbor 10.10.1.1 remote-as 64512
neighbor 10.10.1.1 update-source Loopback0
neighbor 10.10.1.1 activate
neighbor 10.10.1.1 send-community extended
ip address 172.16.251.2 255.255.255.252
ip address 172.16.40.254 255.255.255.0
ip address 172.17.252.2 255.255.255.252
ip address 172.17.30.254 255.255.255.255
Аналогично конфигурируются PE-маршрутизаторы в других городах.
Конфигурации маршрутизатора РЕ2 и принадлежашего ему клиентов А и С маршрутизатора РЕ3 и принадлежашего ему клиентов А и С маршрутизатора РЕ4 и принадлежашего ему клиентов А и С представлены в приложении Б.
В главе производились настройки сети MPLS VPN согласно алгоритму сформулированному в главе 2.
Исследование характеристик работы построенной модели VPN-сети
Исследование и тестирование разработанной сети схема которой представлена на рис. 3.2 проводились в симуляторе Dynamips с использованием графического интерфейса GNS 3.
Цель исследования – изучение прохождения пакетов по сети а также проверка работоспособности сети качества обслуживания и защищенности пересылаемых клиентских данных от других клиентов сети. Для исследования была выбрана команда ping с ее возможностью отправлять пакеты разного размера а также помечать их необходимыми битами в заголовке пакета.
Для проверки канала в сеть отправлялись пакеты размером:
Исследование VPN туннеля проходило в несколько этапов:
Исследование прохождения пакетов по сети из главного офиса клиента в его филиалы;
Исследование влияния повреждения одного из кабелей провайдера на прохождение пакетов между сайтами клиента;
Исследование прохождения пакетов в сети при загруженности одного из участков сети провайдера;
Исследование прохождения пакетов в сети при использовании одного и того же канала двумя разными клиентами;
1 Исследование участка сети клиента А
Проведем измерения на всех 4 этапах и внесем данные в соответственные таблицы. Согласно схемы сети главный офис клиента А находиться в Перми (А1) а его филиалы в Оренбурге (А2) Челябинске (А3) и Екатеринбурге (А4).
Выполним исследование участка сети А1 – А4. На первом этапе будем проверять филиал клиента А4 из главного офиса клиента используя пакеты разного размера и занесем результаты в таблицу 4.1:
Ping 172.16.251.2 size 100 repeat 100
Ping 172.16.251.2 size 6000 repeat 100
Ping 172.16.251.2 size 12000 repeat 100
Ping 172.16.251.2 size 18000 repeat 100
Таблица 4.1 – Зависимость времени задержки от размера пакета
Минимальное значение (мс)
Среднее значение (мс)
Максимальное значение (мс)
На втором этапе предположим что произошел обрыв кабеля на участке Р1-Р3 и повторим действия выполненные на первом этапе. Также заметим что в течении 10-15 секунд ping не проходил так как маршрутизаторы реагировали на изменения в сети. Полученные данные занесем в таблицу 4.2.
Таблица 4.2 – Зависимость времени задержки от размера пакета при обрыве кабеля на участке P1-P3
На третьем этапе предположим что на участке PE5-P3 происходит обмен данными. Для этого выполним команду ping из маршрутизатора PE5:
Ping 10.10.8.1 size 18000 repeat 500
Выполним измерения и занесем их в таблицу 4.3.
Таблица 4.3 – Зависимость времени задержки от размера пакета при загруженности одного из участков сети (PE5-P3)
На четвертом эт аапе предположим что участок между маршрутизаторами PE1-PE5 также использует другой клиент пусть это будет клиент В. Для этого с маршрутизатора клиента В находящегося в Перми выполним:
Ping 172.17.252.2 size 18000 repeat 500
Выполним измерения и занеесем их в таблицу 4.4.
Таблица 4.4 – Зависимость времени задержки от размера пакета при использовании одного и того же канала (PE1-PE5) двумя клиентами
Далее выполним эти же действия но для участк0ов сети А1-А3 и А1-А4 внесем данные в соответствующую таблицы для дальнейшего анализа. Измерения для участка сети А1-А3 будут в таблицах 4.5 4.6 4.7 4.8 а для участка А1-А4 в таблицах 4.9 4.10 4.11 4.12.
Таблица 4.5 – Зависимость времени задержки от размера пакета
Таблица 4.6 – Зависимость времени задержки от размера пакета при обрыве кабеля на участке P1-P3
Таблица 4.7 – Зависимость времени задержки от размера пакета при загруженности одного из участков сети (PE4-P5)
Таблица 4.8 – Зависимость времени задержки от размера пакета при использовании одного и того же канала (PE1-PE4) двумя клиентами
Таблица 4.9 – Зависимость времени задержки от размера пакета
Таблица 4.10 – Зависимость времени задержки от размера пакета при обрыве кабеля на участке P1-P2
Таблица 4.11 – Зависимость времени задержки от размера пакета при загруженности одного из участков сети (PE3-P4)
Таблица 4.12 – Зависимость времени задержки от размера пакета при использовании одного и того же канала (PE1-PE3) двумя клиентами
После выполненных измерений постоим графики полученных данных. На первом графике рисунок 4.1 отобразим зависимость времени задержки от размера пакета используя данные таблицы 4.1. Из рисунка 4.1 можно сделать вывод что зависимость линейная т.е. задержка будет равномерно возрастать с ростом размера пакета.
Рисунок 4.1 – Зависимость времени задержки от размера пакета
На следующем графике рисунок 4.2 отобразим временную задержку на всех четырех этапах данные для графика возьмем из таблиц 4.1 4.2 4.3 и 4.4 при отправки пакета максимального размера – 18000 байт.
Рисунок 4.2 – Время задержки на всех четырех этапах
Из рисунка 4.2 можно сделать вывод что при загруженности одного из участков сети провайдера или при совместном использовании одного канала двумя клиентами время задержки возрастает незначительно. Временная задержка при обрыве одного из кабелей провайдера больше всех остальных что связана с прохождением большего количества маршрутизаторов и следственно увеличением расстояния между клиентами.
Теперь вычислим среднюю задержку для каждого из четырех этапов при отправке пакета максимального размера – 18000 байт. И занесем полученные данные в таблицу 4.13
Таблица 4.13 – Среднее значение временной задержки на каждом из этапов
Среднее значение временной задержки (мс)
Используя данные таблицы 4.13 можно построить график рисунок 4.3.
Рисунок 4.3 – Среднее время задержки на каждом из этапов
2 Исследование участка сети клиента В
Проведем измерения на всех 4 этапах и внесем данные в соответственные таблицы. Главный офис клиента В находиться в Перми (В1) а его филиалы в Ижевске (В2) и в Екатеринбурге (B3).
Выполним исследование участка сети B1 – B2. На первом этапе будем пинговать филиал клиента B2 из главного офиса клиента используя пакеты разного размера и занесем результаты в таблицу 4.14:
Ping 172.17.252.2 size 100 repeat 100
Ping 172.17.252.2 size 6000 repeat 100
Ping 172.17.252.2 size 12000 repeat 100
Ping 172.17.252.2 size 18000 repeat 100
Таблица 4.14 – Зависимость времени задержки от размера пакета
На втором этапе предположим что произошел обрыв кабеля на участке Р1-Р3 и повторим действия выполненные на первом этапе. Также заметим что в течении 10-15 секунд ping не проходил так как маршрутизаторы реагировали на изменения в сети. Полученные данные занесем в таблицу 4.15.
Таблица 4.15 – Зависимость времени задержки от размера пакета при обрыве кабеля на участке P1-P3
Таблица 4.16 – Зависимость времени задержки от размера пакета при загруженности одного из участков сети (PE5-P3)
На четвертом этапе предположим что участок между маршрутизаторами PE1-PE5 также использует другой клиент пусть это будет клиент А. Для этого с маршрутизатора клиента А находящегося в Перми выполним:
Ping 172.16.251.2 size 18000 repeat 500
Выполним измерения и занесем их в таблицу 4.17.
Таблица 4.17 – Зависимость времени задержки от размера пакета при использовании одного и того же канала (PE1-PE5) двумя клиентами
Далее выполним эти же действия но для участков сети B1-B3 внесем данные в соответствующие таблицы для дальнейшего анализа. Измерения для участка сети B1-B3 будут в таблицах 4.18 4.19 4.20 и 4.21.
Таблица 4.18 – Зависимость времени задержки от размера пакета
Таблица 4.19 – Зависимость времени задержки от размера пакета при обрыве кабеля на участке P1-P2
Таблица 4.20 – Зависимость времени задержки от размера пакета при загруженности одного из участков сети (PE2-P2)
Таблица 4.21 – Зависимость времени задержки от размера пакета при использовании одного и того же канала (PE1-PE2) двумя клиентами
После выполненных измерений постоим графики полученных данных. На первом графике рисунок 4.4 отобразим зависимость времени задержки от размера пакета используя данные таблицы 4.14. Из рисунка 4.1 можно сделать вывод что зависимость линейная т.е. задержка будет равномерно возрастать с ростом размера пакета.
Рисунок 4.4 – Зависимость времени задержки от размера пакета
На следующем графике рисунок 4.5 отобразим временную задержку на всех четырех этапах данные для графика возьмем из таблиц 4.14 4.15 4.16 и 4.17 при отправки пакета максимального размера – 18000 байт.
Рисунок 4.5 – Время задержки на всех четырех этапах
Из рисунка 4.5 можно сделать вывод что при загруженности одного из участков сети провайдера или при совместном использовании одного канала двумя клиентами время задержки возрастает незначительно. Временная задержка при обрыве одного из кабелей провайдера больше чем при прохождении пакета без помех что связана с прохождением большего количества маршрутизаторов и следственно увеличением расстояния между клиентами.
Теперь вычислим среднюю задержку для каждого из четырех этапов при отправке пакета максимального размера – 18000 байт. И занесем полученные данные в таблицу 4.22.
Таблица 4.22 – Среднее значение временной задержки на каждом из этапов
Используя данные таблицы 4.22 можно построить график рисунок 4.6.
Рисунок 4.6 – Среднее время задержки на каждом из этапов
3 Исследование участка сети клиента С
Проведем измерения на всех 4 этапах и внесем данные в соответственные таблицы. Согласно схеме сети главный офис клиента С находиться в Ижевске (С1) а его филиалы в Оренбурге (C2) и в Челябинске(C3).
Выполним исследование участка сети C1 – C2. На первом этапе будем пинговать филиал клиента C2 из главного офиса клиента используя пакеты разного размера и занесем результаты в таблицу 4.23:
Ping 172.18.253.2 size 100 repeat 100
Ping 172.18.253.2 size 6000 repeat 100
Ping 172.18.253.2 size 12000 repeat 100
Ping 172.18.253.2 size 18000 repeat 100
Таблица 4.23 – Зависимость времени задержки от размера пакета
На втором этапе предположим что произошел обрыв кабеля на участке Р2-Р4 и повторим действия выполненные на первом этапе. Также заметим что в течении 10-15 секунд ping не проходил так как маршрутизаторы реагировали на изменения в сети. Полученные данные занесем в таблицу 4.24.
Таблица 4.24 – Зависимость времени задержки от размера пакета при обрыве кабеля на участке P2-P4
На третьем этапе предположим что на участке PE3-P4 происходит обмен данными. Для этого выполним команду ping из маршрутизатора PE3:
Ping 10.10.9.1 size 18000 repeat 500
Таблица 4.25 – Зависимость времени задержки от размера пакета при загруженности одного из участков сети (PE3-P4)
На четвертом этапе предположим что участок между маршрутизаторами PE2-PE3 также использует другой клиент. Для этого с маршрутизатора клиента PE3 находящегося в Оренбурге выполним:
Ping 10.10.2.1 size 18000 repeat 500
Выполним измерения и занесем их в таблицу 4.26.
Таблица 4.26 – Зависимость времени задержки от размера пакета при использовании одного и того же канала (PE2-PE3) двумя клиентами
Далее выполним эти же действия но для участков сети С1-С3 внесем данные в соответствующие таблицы для дальнейшего анализа. Измерения для участка сети С1-С3 будут в таблицах 4.27 4.28 4.29 и 4.30.
Таблица 4.27 – Зависимость времени задержки от размера пакета
Таблица 4.28 – Зависимость времени задержки от размера пакета при обрыве кабеля на участке P2-P4
Таблица 4.29 – Зависимость времени задержки от размера пакета при загруженности одного из участков сети (PE4-P5)
Таблица 4.30 – Зависимость времени задержки от размера пакета при использовании одного и того же канала (PE2-PE4) двумя клиентами
После выполненных измерений постоим графики полученных данных. На первом графике рисунок 4.7 отобразим зависимость времени задержки от размера пакета используя данные таблицы 4.23. Из рисунка 4.7 можно сделать вывод что зависимость линейная т.е. задержка будет равномерно возрастать с ростом размера пакета.
Рисунок 4.7 – Зависимость времени задержки от размера пакета
На следующем графике рисунок 4.8 отобразим временную задержку на всех четырех этапах данные для графика возьмем из таблиц 4.23 4.24 4.25 и 4.26 при отправки пакета максимального размера – 18000 байт.
Рисунок 4.8 – Время задержки на всех четырех этапах
Из рисунка 4.8 можно сделать вывод что при загруженности одного из участков сети провайдера или при совместном использовании одного канала двумя клиентами время задержки возрастает незначительно. Временная задержка при обрыве одного из кабелей провайдера больше чем при прохождении пакета без помех что связана с прохождением большего количества маршрутизаторов и следственно увеличением расстояния между клиентами.
Теперь вычислим среднюю задержку для каждого из четырех этапов при отправке пакета максимального размера – 18000 байт. И занесем полученные данные в таблицу 4.31.
Таблица 4.31 – Среднее значение временной задержки на каждом из этапов
Используя данные таблицы 4.31 можно построить график рисунок 4.9.
Рисунок 4.9 – Среднее время задержки на каждом из этапов
4 Обобщение полученных данных
Сведем данные из таблиц 4.13 4.22 и 4.31 в один график и отобразим его на рисунке 4.10
Рисунок 4.10 – Среднее время задержки на каждом из этапов каждого клиента
Из полученного графика можно сделать вывод что средняя временная задержка на каждом этапе приблизительно одинаковая и довольно мала чтобы как-то повлиять на передачу данных в сети.
Зная данные предыдущих разделов можно рассчитать среднюю временную задержку передачи данных в сети для каждого клиента виртуальной частной сети. Для этого используем данные таблиц 4.13 4.22 и 4.31 и вычислим для каждой среднее значение. Результат поместим в таблицу 4.32.
Таблица 4.32 – Среднее значение временной задержки для каждого клиента VPN
Используя данные таблицы 4.32 построим график и отобразим его на рисунке 4.11
Рисунок 4.11 – Средняя временная задержка для каждого клиента
Проанализируем результаты полученного графика для этого построим таблицу 4.33 используя данные QoS и зная подсчитав количество маршрутизаторов. Для того чтобы узнать среднее значение маршрутизаторов на пути от одного филиала к другому воспользуемся формулой 4.1
N = (n1+n2+ +nk) k (4.1)
где n1 – количество маршрутизаторов на первом пути;
nk – количество маршрутизаторов на k-ом пути;
k – максимально возможное количество путей выходящих из главного офиса к клиенту.
Тогда для VPN A можно подсчитать что
n1= PE1+P1+P3+PE5 т.е. n1= 4
n2= PE1+P1+P3+P5+PE4 т.е. n2= 5
n3= PE1+P1+P2+P4+PE3 т.е. n3= 5
Значит N = (4+5+5)3 = 4.7. Аналогично можно рассчитать значение N для VPN B и для VPN C.
Таблица 4.33 – Параметры VPN-сетей
Скорость доступа определенная QoS (Кбитсек)
Максимальное число пакетов в очереди
Среднее число маршрутизаторов на пути
Средняя задержка в сети
Из таблицы 4.33 можно сделать вывод что средняя задержка в сети не может зависеть только от среднего числа маршрутизаторов на пути. Это значение можно рассматривать только как один из факторов влияющий на временную задержку в сети.
Теперь на основе полученных данных сопоставим расчетную скорость передачи данных со скоростью определенной QoS. Для этого воспользуемся формулой 4.2.
где V – скорость передачи данных;
S – размер передаваемых данных;
T – время за которое передались данные.
VvpnA = (18000*8)0369 = 382 Кбитсек
VvpnB = (18000*8)0285 = 505 Кбитсек
VvpnC = (18000*8)0257 = 560 Кбитсек
Построим график отображающий расчетную скорость передачи данных с выделенной скоростью для каждого клиента и отобразим его на рисунке 4.12.
Рисунок 4.12 – Соотношение экспериментальных данных и требований QoS
Таким образом из рисунка 4.12 видно что расчетные данные скорости передачи для всех 3-ех корпоративных клиентов соответствуют требованиям QoS заданным в техническом задании. Это подтверждает то что виртуальная модель сети была спроектирована и настроена корректно. Скорости передачи данных 3-ех корпоративных клиентов не превышают их тарифные планы а именно Platinum Gold и Silver. Каждый тарифный план поддерживает скорость доступа до 384 Кбитсек - для клиента А до 512 Кбитсек – для клиента B и до 768 Кбитсек для клиента С. соответственно.
5 Исследование защищенности клиентских данных от других клиентов
Для этого необходимо провести несколько простых тестов а именно с каждого сайта клиента попытаться пропинговать сайт другого клиента.
CE_A1#ping 172.17.254.2
Type escape sequence to abort.
Sending 5 100-byte ICMP Echos to 172.17.254.2 timeout is 2 seconds:
Success rate is 0 percent (05)
Как видно из примера результат отрицательный клиента сайта А не видит сайт клиента В.
Также можно попробовать пропинговать сайт клиента имея доступ к маршрутизаторам провайдера.
Perm#ping 172.16.254.2
Sending 5 100-byte ICMP Echos to 172.16.254.2 timeout is 2 seconds:
Результат аналогичен предыдущему сеть провайдера ничего не знает о сайтах клиента.
Исследование и тестирование разработанной сети проводились в симуляторе Dynamips с использованием графического интерфейса GNS 3. В главе были сделаны ряд экспериментов с целью проверки характеристик прохождения пакетов по сети а также с целью проверки работоспособности модели сети выполнений требований QoS (качества обслуживания) и защищенности пересылаемых клиентских данных от других клиентов сети. Для исследования была выбрана команда ping с ее возможностью отправлять пакеты разного размера а также помечать их необходимыми битами в заголовке пакета.
Результаты экспериментов показали что модель сети работоспособна и удовлетворяет всем требованиям сформулированным в техническом задании.
В результате выполнения выпускной квалификационной работы была спроектирована и настроена модель сети провайдера на базе технологии MPLS с поддержкой трех виртуальных частных сетей в разных городах.
Были решены следующие задачи:
Проведен анализ существующих решений на основе которого был сделан выбор в пользу технологии VPN
Разработана сеть провайдера на основе технологии коммутации по меткам с поддержкой трех клиентов. Обеспечена надежная защита клиентских данных от несанкционированного использования как со стороны других клиентов так и со стороны провайдера;
Изучены базовые настройки межсетевой операционной системы C
Сеть спроектирована и настроена таким образом что в случае подключения новых клиентов с частными адресами сеть будет также эффективно функционировать и одинаковые частные адреса в сети не будут создавать коллизий;
Разработана система качества обслуживания на основе установки соответствующего IP-приоритета в заголовке пакета и распознавание его в дальнейшем по ходу продвижения пакета по сети;
Проведены испытания работы сети в ходе которых были подтверждены изученные теоретические знания а также соответствие виртуальных частный сетей техническому заданию.
Таким образом в результате решения указанных задач можно сказать что поставленная в выпускной квалификационной работе цель достигнута.
Список использованных источников
Ram Balakrishnan. Advanced QoS for Multi–Service IPMPLS Networks. Indianapolis: Wiley Publishing Inc 2008.-464 с.
Бехингер М. Безопасность MPLS VPN. – Индианаполис: Cisco Press 2005. – 312
Бройдо В. Вычислительные системы сети и телекоммуникации. СПб.: Питер 2004 г. 688 с.
Булдырина Н.В. Шуваров В.П. Телекоммуникационные сети с многопротокольной коммутацией по меткам (MPLS) — Санкт-Петербург Горячая Линия - Телеком 2008 г.- 446 с.
Гейн Л. Основы MPLS. – Индианаполис: Cisco Press 2007. – 651 с.
Гольдштейн А.Б. Гольдштейн Б.С Технология и протоколы MPLS. — СПб.: БХВ – Санкт-Петербург 2005. — 304 с
Гучард Б. Архитектура MPLS и VPN. – Индианаполис: Cisco Press 2006. –504 с.
Захватов М. Построение виртуальных частные сетей (VPN) на базе технологии MPLS. – М.: Cisco Systems 2011. – 52 с.
КульгинМ. Е. Технологии корпоративных сетей. – СПб: Питер 2009 г.
Олвейн В. Структура и реализация современной технологии MPLS. – М.: Издательский дом «Вильямс» 2009. – 480 с.
Основы организации сетей Cisco. Том 1. (Третье издание)
М.: Вильямс 2007 г. 512 с.
Олифер В. Г. Компьютерные сети. Принципы технологии протоколы В. Г Олифер Н.А. Олифер. - СПб.: Питер 2010. - 429 с.
Редди К. Построение MPLS сетей. – Индианаполис: Cisco Press 2010. – 408 с.
Росляков А.В. Виртуальные частные сети. Основы построения и применения. СПб.: Эко-Трендз 2008 г.- 304 с.
Трибунский Д. С. Шувалов В. П. Проектирование сетей с многопротокольной коммутацией по меткам.— Санкт-Петербург Горячая Линия - Телеком 2010 г.- 146 с.
Таненбаум Э. Компьютерные сети.- СПб.: Питер 2007 г.
Конфигурирование P-маршрутизаторов
Конфигурация маршрутизатора Р2:
ip address 10.10.7.1 255.255.255.255
description ***Router_P1***
description ***Router_P4***
description ***Router_PE2***
network 10.10.7.1 0.0.0.0 area 0
Конфигурация маршрутизатора Р3
ip address 10.10.8.1 255.255.255.255
description ***Router_P5***
description ***Router_PE5***
network 10.10.8.1 0.0.0.0 area 0
Конфигурация маршрутизатора Р4
ip address 10.10.9.1 255.255.255.255
description ***Router_PE3***
network 10.10.9.1 0.0.0.0 area 0
Конфигурация маршрутизатора Р5
ip address 10.10.10.1 255.255.255.255
description ***Router_PE4***
network 10.10.10.1 0.0.0.0 area 0
Конфигурирование PE-маршрутизаторов
Конфигурирование сети в Челябинске
Для настройки сеть в Челябинске необходимо сконфигурировать PE-маршрутизатор (PE4) на стороне провайдера и два CE-маршрутизатора на стороне клиента.
Конфигурация маршрутизатора PE4:
route-target export 100:3
route-target import 100:3
class-map match-all Silver
ip address 10.10.4.1 255.255.255.255
ip address 172.16.252.1 255.255.255.252
ip vrf forwarding vrf3
ip address 172.18.252.1 255.255.255.252
network 10.10.4.1 0.0.0.0 area 0
address-family ipv4 vrf vrf3
ip address 172.16.252.2 255.255.255.252
ip address 172.16.30.254 255.255.255.0
Конфигурация маршрутизатора принадлежащего клиенту С:
ip address 172.18.252.2 255.255.255.252
ip address 172.18.30.254 255.255.255.255
Конфигурирование сети в Оренбурге
Для настройки сеть в Оренбурге необходимо сконфигурировать PE-маршрутизатор (PE3) на стороне провайдера и два CE-маршрутизатора на стороне клиента.
Конфигурация маршрутизатора PE3:
ip address 10.10.3.1 255.255.255.255
ip address 172.16.253.1 255.255.255.252
ip address 172.18.253.1 255.255.255.252
network 10.10.3.1 0.0.0.0 area 0
ip address 172.16.253.2 255.255.255.252
ip address 172.16.20.254 255.255.255.0
ip address 172.18.253.2 255.255.255.252
ip address 172.18.20.254 255.255.255.255
Конфигурирование сети в Ижевске
Для настройки сети в Ижевске необходимо сконфигурировать PE-маршрутизатор (PE2) на стороне провайдера и два CE-маршрутизатора на стороне клиента.
Конфигурация маршрутизатора PE2:
ip address 10.10.2.1 255.255.255.255
ip address 172.17.253.1 255.255.255.252
ip address 172.18.254.1 255.255.255.252
network 10.10.2.1 0.0.0.0 area 0
ip address 172.17.253.2 255.255.255.252
ip address 172.17.20.254 255.255.255.0
ip address 172.18.254.2 255.255.255.252
ip address 172.18.10.254 255.255.255.255

Отзыв_руко-водителя.doc

о работе студента гр. ИВТ-614
(вставить свою фамилию)
над магистерской работой
Тема работы: «Частные виртуальные сети на основе технологии IPMPLS»
Перед (вставить свою фамилию) была поставлена задача разработать сеть для межрегионального провайдера на базе технологии IPMPLS которая будет поддерживать виртуальные частные сети для его клиентов а также обеспечивать функции качества обслуживания (QoS).
С поставленной задачей студент (вставить свою фамилию) полностью справился. В процессе выполнения работы им были тщательно рассмотрены и проанализированы различны источники с помощью которых при обобщении их со знаниями полученными во время учебы в (вставить название своего вуза) он выполнил весь необходимый объем работ по решению поставленных задач. После чего студентом был качественно выполнен графический материал и написана пояснительная записка.
В ходе работы над магистерской работой студент освоил межсетевую операционную систему Cisco IOS что и позволило ему правильно сконфигурировать все маршрутизаторы и проверить их правильность в симуляторе Dynamips. Также был приобретен опыт построения крупных масштабируемых сетей на основе изучаемой технологии.
Разработанная система выполнена на достаточно высоком инженерном уровне и может быть рекомендована к внедрению.
С поставленной задачей (вставить свою фамилию) справился успешно проявив инициативу и самостоятельность. Работа его над магистерской работой заслуживает оценки «отлично» а сам он достоин присвоения квалификации ”Магистр по специализированным компьютерным сетям”.
Руководитель проекта