1

MPLS

mpls concepts – 1 פרק 1.mpls תומך בכמה l3 protocols2.mpls הוא connection oriented מפיץ לרשת את הנתיבמראש. כלומר, נתב

להגיע לרשת שנמצאת אצלו. רק אז יוכלו להעביר אליו תעבורה עבור הרשת הזו. סוגי נתבים.3

a.LSR (label switch router) נתב - P מסביבו מדברים .MPLSלא עושה . routing רק ,label switching

b.Edge LSR – נתב PE-נמצא בקצה של ה .mpls domainחלק מהממשקים . mpls .ים וחלק מהממשקים לא

ארכיטקטורה.4a.FIB (Forward Info Table) –-מעביר מידע על בסיס ה RIB (Routing Info

Table)b.-טיפול בlabel mpls-נעשה ב control plane-לא ב) data plane(c.LFIB (Label Forwarding table)-ה - control plane-בונה טבלה נוספת ל

FIB עבור העברת תעבורה ,MPLS.יתd.-הIOS) משתמש בטבלה המתאימה בהתאם לסוג הממשק לכיוון היעד LFIB

י)mpls כאשר הממשק היוצא אינו FIBי, mplsכאשר הממשק היוצא הוא e.דוגמה לflow בנתב LSR

i.RIB הנתב לומד - pfx של רשת מסוימת באמצעות IGP (ospf/isis...) ומפיץ הלאה

ii. באמצעותlabel exchange protocol הוא לומד labelים שהוא מכיר. PFXים שהוא יצר עבור כל labelמשכנים ומפיץ את ה-

iii.LFIB – כאשר הנתב מקבל תעבורה עם forwarding mpls label-הוא מחליף את ה ,label-ע"פ טבלת ה LFIB.

5.mpls labelsa.-לlabel-יש משמעות לוקלית רק עבור הנתב שהקצה את ה label .b.-הlabel-מייצג "דרך" או ניתוב ליעד. ה labelחוסך לנתב חיפוש בטבלת

.RIBהניתוב וביצוע רקורסיה על ה-c.-הנתב מפרסם את הlabelים שלו לנתבים אחרים, כדי שנתבים אחרים יוספו

ים שלו לפקטים שמגיעים אליו. ככה, הוא מקבל פקט צבוע ב-labelאת ה-label ובלי להסתכל בטבלת ,RIB-הוא מנתב אותו ישירות עפ"י ה ,label

שהוא הקצה (אבל הפקט סומן עפ"י נתב שכן).6.FEC (forward equivalence class) –קבוצה של פקטים שמועברים בדיוק באותה

למרות שהם בדרך ליעדים שונים. המטרה: לא–צורה ועוברים את אותו טיפול ים מיותרים עבור פקטים שמקבלים את אותו יחס. labelלבנות

7.mpls header stacka. לכל פקט יכולים להיות כמהheader ים: עבורforwarding (LDP label)עבור ,

. Traffic engineering) ועבור ה-VRF (משייך ל-VPNה-b.-הl2 header מציין שיש אחריו mpls header .

i.-למשל, בethernet יהיה רשום שם ,ethtype=0x8847 עבור mpls unicast, 0x0800 עבור unlabled ip unicast, 0x8848 עבור labled

multicast.c.-הנתב שמקבל את הפקט מתייחס רק לtop label.

labelפורמט של .8a.Frame-mode מוסיף - header-נוסף בין ה l2header-ל l3headerb.-גודל הmpls header בייט4 הוא

2

c.בcell של ATM אין mpls label –-אלא משתמשים ב header-המקורי של ה ATMהסיבה: ה .cell ים קטנים ולא רוצים ליצור עודoverheadמיותר

d.Label value – ערכי label שמורים0-15 (מספר). הערכים e.Expiramental bit – נועד עבור צביעה של CoS או precedencef.Bottom of stack bit – ניתן לשייך לפקט מספר label,ים. אם הביט הזה צבוע

האחרון שיש על הפקטlabelמדובר ב-g.TTL

ים:labelשינויים של .9a.Impose / push – הוספה של label-ב ingress edge LSRb.Swap – החלפה של label-ב labelאחר c.Pop – הסרה של label-ב egress edge LSR

ATMיישומי .10a.AToM (Any Transport over MPLS) –אפשרות להעביר תעבורה מעל כל

)ATM, שהופך ל-eth שהופך ל-FRסוג של רשת מעורבת (b.QoS – LDP יכול לפרסם labelים שונים בהתאם לרמות השירותc.Traffic engineering – constraint based routingניתוב עפ"י אילוצי רוחב .

פס, שרידות ועדיפויות.d.Unicast routinge.Multicast routing-כאשר ה) PIM יכול להפיץ label ים במקוםLDP(f.Mpls VPN (VRF)

MPLSאינטראקציה בין יישומים ל-.11

3

label assignment and distribution – 2 פרק 1.LDP –יחסי שכנות

a.LDP שולח hello 224.0.0.2 שניות ל 5 כל) all routers(b.Keepalive.כל דקה c.-משתמש בtcp/udp 646d.LDP helloמכיל

i.-את הIP-וה UDP headerii.Transport address –-מכיל את ה source-של ה LDP

session(אופציונאלי). מחייב שהשכן יידע ניתוב לכתובת זו (אם )loopback יוצא מ-SRCלמשל ה-

iii.LDP ID – שדה TLV בייט שמכיל את המזהה של6 בגודל הנתב

1.LDP ID :ייראה כך RouterID:A2.RouterID הוא IP3.A-מייצג את ה label space כאשר .per platformיראה תמיד

A=0-ו ,per interfaceיראה מספרים אחרים, בהתאם לממשק.

iv.LDP IDנבחר אוטומטית עפ"י 1.highest loopback IP2.highest interface IP

v.label space – (שמייצג יעד) לשכנים שלו, עליוlabelכאשר נתב מפיץ .1

label spaceלהגיד גם מה ה-ישנם שני סוגים.2

a.Per platform – הנתב ייצור label.ים כללים לכל יעד חסכוני במשאבים.

b.Per interface – הנתב ייצור labelלכל יעד ויפיץ . יותרinterface שונה בכל labelעבור אותו יעד

מאובטח אולם צורך יותר משאבים. אם שני נתביםמקושרים עם מספר לינקים, יחסי השכנות ו ה-

label .ים שיווצרו יהיו כפוליםe.-בfull mesh-למשל מספר נתבים שמחוברים ל) SWהנתב עם הכתובת הכי ,(

ים בין הנתבים.sessionגבוה ינהל את ה-f.:ניתן להגדיר שכן ידנית כדי

4

i.MPLS fast reroute FRR –במקרה של נפילת קישור, קישור הגיבוי יתפקד תוך פחות מדקה

ii.NSF (MPLS non stop forwarding) –כאשר יש נפילה של לא נפגע.forwarding, ה-control planeה-

iii.Convergance.נמוך. לא מחפש שכנים, מוגדר ידנית ), הסברים בהמשך.... PHPים (ללא labelהפצה של .2

a. נתבE 172.16.1.0/24 מחזיק את הרשתb. נתבE) מפיץ לשכנים שלו A + B 172.16.1.0/24) שכדי להגיע לרשת,

mpls tag = 17שיצמידו c.A + B מפיצים בתורם tag ים מקבילים לנתבD וממפים tagים שקיבלו

מאחריםd. נתבD מקבל החלטת ניתוב (עפ"י IGP-שכדאי לו ללכת ל (Aכדי להגיע

לרשת.e. נתבD-מסתכל על טבלת ה LFIB) ומוסיף pop (mpls label = 38.לפריים

A ל-frameהוא שולח את ה-f.A-מסתכל על טבלת ה LFIB) ורואה שיש להחליף swap 38) פריים עם,

. E ולשלוח לנתב 17בפריים עם g. נתבA-חסך במשאבים. הוא לא צריך להסתכל על ה RIBולא צריך לעשות

next hop (איך להגיע ליעד, איך להגיע ל-RIPשאילטות רקורסיביות על ה-של היעד...).

h.כיוון שE הוא נתב PE נתב ,E-מקלף את ה mpls tagושולח את הפריים לכיוון ).MPLS לא תומך ב-172.16.1.0/24הרשת (כי

Introducing typical label distribution in frame-mode MPLS – 3 פרק 1.Frame-mode mpls – שותל label) ים על הפרייםPPP, Ethernet, ATM, HDLC,(

תוך שימוש בשדותLDP יעודי (שמור) עבור VC שמשתמש ב-cell modeבניגוד ל-ATM להעביר label .יםCell mode הוא ישן והוא לא חלק מהבחינה. רק frame mode.

5

. אם היו מעבירים את הלייבל על גבי פרוטוקוליLDP מתבצעת ע"י labelהפצה של .2 ניתוב, היה צריך לבצע שינויים רבים מידי. מסיבה זו, הוחלט להשתמש בפרוטוקול

.LDP –חדש וייעודי LDPארכיטקטורה של .3

a.-רץ פרוטוקול ניתוב במקביל לLDPb.-פרוטוקול הניתוב מאכלס את טבלת הRIBc.LDP

i. יוצר יחסי שכנות עם נתביmplsאחרים ii.-מאכלס את טבלת הLFIB

d.-בdata plane-מורכב הפריים, ההדר של ה ,IP-עם ה mpls labele.-בנוסף, במידת הצורך, מוחלף הlabel.שהתקבל בלייבל אחר

4.LSPa.Label Switched pathb. נתיב שלLSR ים עבורFECc. נוצרLSP עבור כל רשומה בטבלת הניתוב (מיוצר LSP עבור כל prefix

ברשימה)d.LSP הוא חד כיווני. עבור נתיב זהה (אבל הפוך) נוצר LSP.חדש e.-ניתן לבחור בLSP-שונה מזה שנבחר באמצעות ה IGP ע"י MPLS-Traffic

Engineering5.LIB vs LFIB – LIB ,מכיל את כל האפשרויות LFIBמכיל רק את השורה התחתונה ים בקלות:label 3פריים יכול להכיל .6

a.LSP label(נתיב לידע) b.VRF label-אומר ל) PE ביעד לאיזה VRF (הוא שייך

6

c.TE (traffic engineering)7.PHP

a.penultimate hop poppingb. לכאורה, כיוון שהיעד לא מדברMPLS) על הנתב האחרון ,PEזה שלפני ,

. mpls label) את ה-popהיעד) להסיר (c.-מסיבה זו אין טעם לאכלס בPE היעד LFIB-רלוונטי ל prefix.d.-כדי לחסוך לPE-משאבים, ה P-שקרוב ל PE-יעשה בשבילו את ה ,POPנתב)

A 2, סעיף 2 בפרק .(e.-מבחינת הP זה לא מהווה בעיה ולא לוקח משאבים. ללא ,PHPהנתב במילא ,

.label ולעשות שינוי ב-LFIBיצטרך להסתכל ב-f.PE-מפרסם ל P "impose null כלומר ."PE-אומר ל P-תוריד לי את ה" label

עבורי) כדי שלא אעבוד סתם". pop(תעשה g. לפרסוםimpose null(הערך שמור) יש ערך קבוע

i.-בLDP 3, הערך הואii.-בTDP 1 (תקן מוקדם של סיסקו), הערך הוא

h. ,בד"כVRF label הוא bottom label ו"מעליו" יש ,LSP label שהוא top label .

i.PHP עושה pop-רק ל top label-שהוא כאמור מתאר את ה) LSP(j.PHP לא עובד על ממשק ATM לא ניתן להסיר) VCI/VPI(k.מופעל כברירת מחדל

8.Summary + PHPa. כאשר נתבP מבצע summaryעלולה להיווצר בעיית תקשורת ,b.-למשל, נניח שPE וה-24/ ביעד מפרסם P לפני PEשממנו מתחילה התעבורה

16/ של summaryעושה על

c. נתבC-לכיוון נתב 24/ לא מפרסם את ה Ad.-כתוצאה מכך, הLSP-2 נשבר ל LSP:שונים

i. מנתבA-עד ל C) B עושה pop-16/) כii. מנתבC לנתב E-24/ כ

e.-כאשר יש צורך בLSP מקצה לקצה, חל איסור לבצע summaryf. מקרים שדורשיםLSPאחד מקצה לקצה

i.MPLS VPN (VRF)ii.MPLS TE

iii.MPLS על ATMiv.Transit BGP-כאשר נתבי ה core לא מריצים BGP

שמוריםlabel הם ערכי 9.0-1510.TTL propogation

a.מנגנון למניעת לופיםb.-כיוון שMPLS הוא בין L2-ל L3-ה ,TTL-של ה IP packetלא בא לידי ביטווי c.-יכול להיווצר לופ כיוון שLDP-מסתמך על ה IGPבבחירת ניתוב d.Mpls מכיל שדה TTL-בדומה ל TTL של IP

7

e.TTL propogation-מבצע העתקה של ערך ה TTL-ב IP header-לתוך ה MPLS

f.TTL propogation-גם מעתיק חזרה מה MPLS-ל IP-כאשר מקלפים את ה MPLS

g.מופעל כברירת מחדלh.) הגדרה גלובלית על כל הנתבglobal config(i.כאשר מפעילים, מפעילים בכל הרשת. כשמבטלים, מבטלים בכל הרשתj. כאשרTTL propogation-כבוי, כל רשת ה MPLS.תיראה כהופ אחד k. ניתן לבטלTTL propogationעל כל התעבורה. אבל כחריג, תעבורה שהנתב)

. ככה שטרייס מהנתב, ייראה טובTTL propogationמייצר יופעל עליה (למשל).

l.TTL propogation-כבוי אומר שערך ה TTL-של ה mpls-255 יהיה שווה ל .m.-גם כשהTTL propogation-כבוי, ה TTL-של ה IPלא משתנה/מתאפס/נדרס

11.Per-platform label allocation vs. per interface label allocationa.Per-platform – הנתב מייצר label אחד לכל prefixb.Per interface – הנתב מייצר עבור pfx אחד, מספר labelים שונים: אחד לכל

intc.Per platform צורך פחות משאבים (פחות label(ים לעקוב אחריהם

i.LFIBקטן יותר ii. תחלופה מהירה שלlabelים

d.Per interface מאובטח יותר. יותר קשה לשתול labelים רלוונטים בפריימים שונה).label ה-intשנשלחים לנתב (כי בכל

introducing convergence in frame mode MPLS – 4 פרק מאוכלסים.RIB, LIB, FIB, LFIBמצב יציב הוא כאשר ה-.12.LIB-מכיל את כל ה label-ים (גם אלה שלא בשימוש) עבור מקרים בהם הIGPמשנה

נתיב3.MPLS הוא preemptכאשר הניתוב הטוב יותר עולה שוב, חוזרים להשתמש בו ,

זמן ההתאוששות תלוי ב.4a.-זמן התאוששות הIGPb.-זמן יצירת השכנות של הLDP

MPLSהשפעה של זמן התאוששות של .5a.-אם הLIB ,לא מלא IP טהור (ללא MPLS label .עדיין יכול לעבור (b. אולם, אם יש יישוםMPLS) מקצה לקצה MPLS-VPN, TEהוא פשוט לא ,(

יעבוד. c.Mpls-מקצה לקצה תלוי בזמן ההתאוששות של ה MPLS

introducing MPLS label allocation, distribution and retention modes – 5 פרק 1.Unsolicited downstream label distribution - MPLSלא צריך בניה של טופולוגיה

ליעד, הוא יכול לשדרlabel ביעד. כאשר לנתב כלשהוא יש PEאו הכרה בנתב 2.Liberal label retention – נתב יחזיק רשימה של label ים עבורpfx-גם אם ה ,

downstream neighbor (הנתב השכן, שהוא הנתיב המועדף) לא יודע MPLS

introducing CEF switching – 6 פרק שיטות3ישנם .1

a.Process switching –-רקורסיה מלאה לכל פקט. מתבצע ע"י ה RPb.Fast switching – עושה cacheרקורסיה רק על הפקט הראשון לפי יעד .c.Cisco Express Forwarding (CEF) –.חישוב מראש מפה של טופולוגיה

מתבצע פעם אחת כאשר הניתוב נלמד

8

2.CEFמכיל a. טבלתFIB –) רשת היעד ip + mask-וה (next hopb.Adjacency table – דומה לטבלת ARP-הכתובת של ה :next hop ומידע L2

.ARP דומה לטבלת ethernet, adjacency table. ב-next hop (ARP)עבור ה-קונפיגורציה.3

RTR(config)# ip cef <distributed> - distributed for vip intRTR(config-if)# no ip route-cache cef - disable cef on int

4.Showsh ip cef detailIP CEF with switching (Table Version 26), flags=0x0 21 routes, 0 reresolve, 0 unresolved (0 old, 0 new), peak 0 1 instant recursive resolution, 0 used background process 21 leaves, 17 nodes, 20928 bytes, 28 inserts, 7 invalidations 1 load sharing elements, 376 bytes, 1 references universal per-destination load sharing algorithm, id 0C85B41B 3(0) CEF resets, 4 revisions of existing leaves Resolution Timer: Exponential (currently 1s, peak 1s) 3 in-place/0 aborted modifications refcounts: 4668 leaf, 4608 node

Table epoch: 0 (21 entries at this epoch)

Adjacency Table has 2 adjacencies0.0.0.0/0, version 25, epoch 0, cached adjacency 192.168.1.10 packets, 0 bytes via 1.1.1.1, 0 dependencies, recursive next hop 192.168.1.1, Ethernet0/0 via 1.1.1.0/24 valid cached adjacency

configuring frame-mode mpls on CISCO IOS platforms – 7 פרק MPLSמשימות בהקמת .1

a. הפעלתCEFRTR(config)# ip cef

b. הגדרתMPLSעל הממשק RTR(config-if)# mpls ip

) היו מגדיריםTDPופעם (כשהיה RTR(config-if)# tag-switching ip

c. הגדרתLDPעל הממשקים הרלוונטים

RTR(config-if)# mpls label protocol <tdp | ldp | both>

משימות אפציונליות.2a.-הגדרת הMPLS ID) Router ID-של ה LDP(

RTR(config)# mpls ldp router-id <int> <force> - force=keep id even If int is down

b. הגדרתMTU עבורת פקטים עם MPLS

9

i.:לא תמיד יש צורך בפקודהii. בממשקיWAN-באופן אוטומטי ה ,MTUמוגדל

iii. בממשקיLAN-באופן אוטומטי ה ,MTUמוקטן. מקטינים כדי תומכים בזהLAN כי לא כל התקני ה-jumbo framesלא להגיע ל-

(ולא רוצים ליצור פרגמנטציה או בעיות תקשורת)iv. גודל הדר שלmpls 4 הוא לפחות byte (32bit)תלוי בכמות ,

רמות, יש3...). למשל, כדי לתמול ב-LSP, VPN, TEים (labelה-1512להגדיר

v.קונפיגורציהRTR(config)# mpls mtu <bytes>

c. הגדרתTTL propogationi.No –-כל רשת ה MPLSנראית כמו הופ אחד

ii.Forwarded –-עבור הלקוחות, כל רשת ה MPLSנראית כמו ) הטרייסים ייראו נורמליPE או Pהופ אחד. עבור טרייסים מהרשת (

iii.Local –-ההפך מ forwardedטרייסים של לקוחות ייראו . טוב. טרייסים מהרת ייראו כמו הופ אחד

RTR(config)# no mpls ip propagate-ttl <forwarded | local>

d. הגדרתconditional label advertising) excludeלתעבורה שאנחנו לא רוצים )MPLSלהפעיל עבורה

i.מגדירים איזה רשתות יפורסמו לאיזה שכניםii.Pfx acl –איזה רשתות יפורסמו

iii.Peer ACL –) לאיזה שכנים הרשתות pfx acl.יפורסמו ( !!! לא לממשק מול השכן!!!Router IDמתייחס ל-

iv.קונפיגורציה

RTR(config)# mpls ldp advertise-labels for <pfx ACL> to <peer ACL>

3.Mpls על ממשקי ATM/FRInterface atm0/1 pvc 0/33 mpls ip

Interface serial1 frame-relay interface-dlci 32 mpls ip

monitoring frame-mode MPLS on cisco IOS platform – 8 פרק :MPLS MTUכדי לדעת מה גודל ה-.1

sh mpls interfaces fa0/0 detailInterface FastEthernet0/0: IP labeling enabled (ldp,tdp): Interface config LSP Tunnel labeling not enabled BGP tagging not enabled Tagging operational Fast Switching Vectors:

10

IP to MPLS Fast Switching Vector MPLS Turbo Vector MTU = 1500

איך מנסה ליצור יחסי שכנות.2a.Xmit/recv – הממשק מקבל ושולח discovery helloמנסה ליצור יחסי)

שכנות ובצורה אקטיביתb.Ldp/tdp –באיזה פרוטוקול מנסה לדבר

sh mpls ldp discovery <all | vrf> Local LDP Identifier: 1.1.1.1:0 Discovery Sources: Interfaces: FastEthernet0/1 (ldp,tdp): xmit/recv LDP Id: 2.2.2.2:0 FastEthernet1/0 (ldp,tdp): xmit/recv LDP Id: 2.2.2.3:0

רשימת שכנים.3a.Local/peer – Router IDשלי ושל השכן b.2.2.2.2.55486 – 1.1.1.1.646 - IP-ופורט של ה connectionc.msg sent/rcvd –-הודעות שנשלחו ב connection כולל) keepalive(d.downstream/downstream-on-demand – dodהוא מצב שבו נשלחות

שזה החלפת הודעות רגילהdownstreamהודעות רק כשהשכן מבקש. בניגוד לe.uptime –כמה זמן יש יחסי שכנות f.Ldp discovery source –מאיזה ממשק וכתובת נוצרו יחסי השכנות g.Addresses bound to peer – כתובות IPשל הממשקים על השכן. עלולים

LFIB ב-next hopלהופיע כ-h.KA = keepalive

sh mpls ldp neighbor detail Peer LDP Ident: 2.2.2.2:0; Local LDP Ident 1.1.1.1:0 TCP connection: 2.2.2.2.55486 - 1.1.1.1.646 State: Oper; Msgs sent/rcvd: 147/147; Downstream; Last TIB rev sent 38 Up time: 01:44:03; UID: 1; Peer Id 0; LDP discovery sources: FastEthernet0/1; Src IP addr: 192.168.2.2 holdtime: 15000 ms, hello interval: 5000 ms Addresses bound to peer LDP Ident: 192.168.2.2 2.2.2.2 192.168.102.2 10.20.10.1 Peer holdtime: 180000 ms; KA interval: 60000 ms; Peer state: estab

sh mpls ldp neighbor Peer LDP Ident: 2.2.2.2:0; Local LDP Ident 1.1.1.1:0 TCP connection: 2.2.2.2.55486 - 1.1.1.1.646 State: Oper; Msgs sent/rcvd: 134/135; Downstream Up time: 01:33:24 LDP discovery sources: FastEthernet0/1, Src IP addr: 192.168.2.2 Addresses bound to peer LDP Ident: 192.168.2.2 2.2.2.2 192.168.102.2 10.20.10.1

LDPפרמטרים כללים של .4a.min/max –-טווח מספרי ה label) 16-100000 שיוקצו(b.Holdtime/keepalive – שמירת יחסי שכנות של LDP

11

c.Session/discovery –הפרדה של טיימרים ביצירת שכנות לבין טיימרים קייםconnectionלהחזקת

sh mpls ldp parametersProtocol version: 1Downstream label generic region: min label: 16; max label: 100000Session hold time: 180 sec; keep alive interval: 60 secDiscovery hello: holdtime: 15 sec; interval: 5 secDiscovery targeted hello: holdtime: 90 sec; interval: 10 secDownstream on Demand max hop count: 255Downstream on Demand Path Vector Limit: 255LDP for targeted sessionsLDP initial/maximum backoff: 15/120 secLDP loop detection: off

5.LIB –-רשימה של כל ה labelיםa.Local binding –-ה tagשצריך לשלוח אליי כדי להגיע לרשת b.Remote binding –-ה tag) שצריך לשלוח לשכן tsrכדי להגיע לרשת (c.Imp-null לשלוח בלי tag

sh mpls ldp bindings all tib entry: 2.2.2.1/32, rev 33 local binding: tag: 23 remote binding: tsr: 2.2.2.3:0, tag: 19 remote binding: tsr: 2.2.2.2:0, tag: 20 tib entry: 2.2.2.3/32, rev 29 local binding: tag: 21 remote binding: tsr: 2.2.2.3:0, tag: imp-null remote binding: tsr: 2.2.2.2:0, tag: 17

6.LFIB כדי לדעת מה הנתב עושה עבור כל - pfxa.Outgoing tag

i.T – באמצעות LSP tunnelii.Untagged – אין label switchingליעד

iii.Pop tagb.Bytes tag switched –(כמה החוק בשימוש) "כמה בתים "פגעו בחוק c.Mac/encaps –-גודל ה L2 headerd. "הערך של האנקפסולציה עצמה ב-–"ג'יבריש hexe.MRU –-ה MTU-של ה packetאחרי אנקפסולציה f.Tag stack – מציין מידע אם יש עוד tag של ATMאו משהו דומה

sh mpls forwarding-tableLocal Outgoing Prefix Bytes tag Outgoing Next Hoptag tag or VC or Tunnel Id switched interface16 Pop tag 1.1.1.0/24 0 Fa0/0 192.168.2.120 23 2.2.2.1/32 0 Fa0/0 192.168.2.1

sh mpls forwarding-table detailPE2#sh mpls forwarding-table detailLocal Outgoing Prefix Bytes tag Outgoing Next Hoptag tag or VC or Tunnel Id switched interface16 Pop tag 1.1.1.0/24 0 Fa0/0 192.168.2.1 MAC/Encaps=14/14, MRU=1504, Tag Stack{} C40217DC0001C405177C00008847 Per-packet load-sharing20 23 2.2.2.1/32 0 Fa0/0 192.168.2.1 MAC/Encaps=14/18, MRU=1500, Tag Stack{23} C40217DC0001C405177C00008847 00017000

7.FIB BB#sh ip cef detailAdjacency Table has 4 adjacencies2.2.2.1/32, version 54, epoch 0, cached adjacency 192.168.3.20 packets, 0 bytes tag information set, shared

12

local tag: 23 fast tag rewrite with Fa1/0, 192.168.3.2, tags imposed: {19} via 192.168.3.2, FastEthernet1/0, 1 dependency next hop 192.168.3.2, FastEthernet1/0 valid cached adjacency tag rewrite with Fa1/0, 192.168.3.2, tags imposed: {19}2.2.2.3/32, version 51, epoch 0, cached adjacency 192.168.3.20 packets, 0 bytes tag information set local tag: 21 via 192.168.3.2, FastEthernet1/0, 0 dependencies next hop 192.168.3.2, FastEthernet1/0 valid cached adjacency tag rewrite with Fa1/0, 192.168.3.2, tags imposed: {}

8.Debuga.Debug mpls ldp – יחסי שכנות של LDPומסרים b.Debug mpls lfib c.Debug mpls packets <int< פקטים שעברו - label switch .להשתמש

בזהירות!

T roubleshooting Frame-mode MPLS on cisco IOS platforms – 9 פרק בעיות של יצירת שכנות.1

a. לבדוק שאיןACL שחוסם LDPb. לבדוק ששני הצדדים הםLDP או TDP.c. לבדוק שיש תקשורת ביןloopbackים. לרוב יחסי השכנות מתבצעת

באמצעותם. לא מופעלCEF ריק - LFIB וה-labelאין הקצאה של .2conditional label distribution לבדוק שאין –ים labelהשכן לא לומד .34.Mpls לא מוגדר – מרטט בנתב ldp-router ID ככתובת של Loopback –נבחרה

מרטטMPLSכתובת של ממשק פיזי: כשהממשק מרטט, כל ה-.MTU לא הוגדל ה-–בעיות גלישה או הורדה (פקטים גדולים לא נופלים) .5

MPLS VPN – 10 פרק על גבי רשת ציבורית של הספקיתVPNהרעיון הוא ליצור רשת .1שתי דרכים ליישם.2

a.Overlay VPN – GRE, VC, DLCI, X.25, PPP, IPSEC – "tunnelבעצם) " ) שרץ מעל הרשת הציבורית. חסרונותL2כל

i.Full meshיוצר הרבה ממשקים ii.בזבוז רוחב פס על אנקפסולציה

iii.הקצאה ידנית של קישורים ורוחב פסb.P2P VPN – controlled route distribution (VRF), packet filtersלכל)

ים). חסרונות:ACLלקוח יש פול משלו ויש על כל ממשק i.הספקית מעורבת בניתובים של הלקוח

ii. הספקית אחראית עלconverganceiii..הספקית צריכה להתמודד בעומס של ניתובים שאינם שלה

Categorizing VPN – 11 פרק כמה סוגים עפ"י המודל העיסקי.1

a.Intranet VPN –-ענן ה VPNמשמש קישור בין סניפים של אירגון b.Extranet VPN –ענן שמקשר כמה אירגונים בצורה מאובטחת c.Access VPN (VPDN) – חיבור dial upלרשת של הלקוח

כמה סוגים עפ"י סוג החיבוריות.2a.Simple VPN –כל אתר יכול לדבר עם אתר אחר

13

b.Overlapping/complex VPN – חלק מהאתרים שייכים למספר VPNיםc.Central servies VPN –האתרים יכולים לתקשר עם שרתים מרכזיים אך אין

תקשורת בין הסניפיםd.Managed networks – VPN-ייעודי לניהול נתבי ה CE

Introduxing MPLS VPN architecture – 12 פרק )MPLS מסורתי (לא P2P VPNחיסרון ב-.1

a.Shared PE router(משותף לכמה לקוחות) i.כל הלקוחות שותפים לטווח כתובות אחד

ii. עלות גבוהה של תחזוקתpacket filters (ACL)iii. ירידה בביצועים בגללACLים

b.Dedicated PE Router) PE(ייעודי ללקוח אחד i.כל הלקוחות שותפים לאותו טווח כתובות

ii. יש צורך לספקPE לכל לקוח בכל POPשל הספקית מושגים.2

a.PE = Edge LSRb.P = LSR – לא מכיל ניתובי VPNc.VRF = Virtual routing and forwarding –טבלת ניתוב וירטואלית d.MP-BGP = Multi Protocol BGP ,כזה שיודע להעביר, בין היתר .VPNv4

3.RD (Route Distinguisher)a. מזהה ייחודי ולוקלי לנתבPEb. 64בגודלbit c.IPv4 address + RD כתובת = VPNv4ייחודית d. כתובותVPNv4 מועברות בין נתבי PE באמצעות MP-BGPe.-רלוונטי גם לIPv6-ו VPNv6

4.RT (Route Target)a. כיוון שאתר יכול להשתתף בכמהVPN-ים, יש צורך בRT-בנוסף ל RD. RD

עצמו אינו מספיק.b.RT = BGP extended communityc. כל ניתוב בטבלת הניתוב מכילRD+RTd. ניתן לשייך מספרRTל prefixאחד e.Export

i.-איזה ניתובים הPEמפיץ לאחרים ii. כאשר עושיםexport-לניתוב ב VRF מוסיפים לו RDכדי

. כך אין התנגשות בין כתובתexport שעשה PEשיהיה ייחודי על ה-VPNv4 אחת לשניה או התנגשות עם כתובת IPv4

f.Importi.-איזה ניתובים הPE-מתקין לתוך ה VRF

ii.PE מרוחק שיש לו את VRFרלוונטי, יתקין ניתובים שיש VRF של ה-import שתואם להגדרת ה-RTלהם

g. הוספתRT-מאפשרת לשתף את ה pfx עם PE-שגם אצלם מוגדר ה vrfh.-הRD של הנתב PE-שחולל אותו חסר משמעות ל PEהמרוחק

introducing the MPLS VPN Routing Model – 13 פרק Forwarding MPLS VPN packets – 14 פרק

14

VRF ולהתקין אותם ב-PE ל-CEניתן להריץ פרוטוקולי ניתוב בין ה-.12.Flowמלא לדוגמה

a.) טופולוגיהLSP(

b.-איך נראה פרסום של ניתוב בVRF-מ PE1-ל PE2

c.-איך נראה פקט מCE2 לכיוון CE1?

3.SOOa.Site Of Origin

i.-מנגנון למניעת לופים, כאשר הCE-ים מריצים פרוטוקלי ניתוב מול הPEים

ii.Attribute .אופציונאלי 4.VRF-lite –

a.vrf שקיים על PE .אחד b. בליRT import/exportc. אין התערבותMPLS) יתlabel exchange, ldp, RT(d.-אין לשנות את הnext-hop בפרסום BGP-ה .next hop-חייב להיות ה PE

שיצר את הפירסוםPE שייך רק ל-VPN lable. זאת כיוון ש-pfxאליו שייך ה-e. אסור לבצעsummary הנתב שעושה .summary-מקלף את ה LSPואז הוא

. VPN labelלא יודע מה לעשות עם ה-5.Show

15

a.Show ip cefPE2#sh ip cef vrf test 10.1.1.1 detail10.1.1.0/24, version 9, epoch 0, cached adjacency 192.168.101.10 packets, 0 bytes tag information set local tag: VPN-route-head fast tag rewrite with Fa0/1, 192.168.101.1, tags imposed: {48 98} via 1.1.1.1, 0 dependencies, recursive next hop 192.168.101.1, FastEthernet0/1 via 1.1.1.0/24 valid cached adjacency tag rewrite with Fa0/1, 192.168.101.1, tags imposed: {48 98}

b.TracerouteCE2#traceroute 10.1.1.1Tracing the route to 10.1.1.1 1 192.168.10.1 52 msec 56 msec 44 msec 2 192.168.2.1 [MPLS: Labels 48/98 Exp 0] 44 msec 24 msec 40 msec 3 10.1.10.1 56 msec 20 msec 60 msec 4 10.1.1.1 56 msec * 88 msec

c.Show ip bgpPE1#sh ip bgp vpnv4 vrf test 10.1.1.1BGP routing table entry for 100:87:10.1.1.0/24, version 5Paths: (1 available, best #1, table test) Not advertised to any peer Local, imported path from 100:1:10.1.1.0/24 1.1.1.1 (metric 161280) from 1.1.1.1 (1.1.1.1) Origin incomplete, metric 0, localpref 100, valid, internal, best Extended Community: RT:100:100 Originator: 1.1.1.1, mpls labels in/out nolabel/98

d.Show mpls forwarding-tableP#sh mpls forwarding-table labels 20Local Outgoing Prefix Bytes tag Outgoing Next Hoptag tag or VC or Tunnel Id switched interface48 Pop tag 1.1.1.1/32 0 Fa0/0 192.168.2.1

P#sh mpls forwarding-table labels 98Local Outgoing Prefix Bytes tag Outgoing Next Hoptag tag or VC or Tunnel Id switched interface

e.Capture של פרסום BGP

f.Captureשל פקט

16

Using MPLS VPN mechanisms on Cisco IOS platforms – 15 פרק VPN MPLSפרוטוקולי ניתוב שתומכים ב-.1

a.eBGPb.EIGRPc.OSPFd.IS-ISe.RIPv2

2.OSPF הוא היחידי שמצריך פרוסס נפרד עבור כל vrfבשאר פרוטוקולי הניתוב יש . address-familyתמיכה ב-

global נמצאים ב-VRF. כל ניתובי ה-VRF אין מספר טבלאות ניתוב עבור כל BGPב-.3)vrf (שמציין את ה-communityומופרדים ע"י ה-

configuring vrf tables – 16 פרק configuring an MP-BGP session between PE routers – 17 פרק 1.VRF הוא case sensitive2.VRF נהיה פעיל רק כאשר ניתן לו RD3.RD יכול להופיע בפורמט ASN:nn או A.B.C.D:nn4.RD-חייב להיות ייחודי על ה PEשבו הוא מוגדר 5.RD 8 מוסיףbyte לכתובת IP זהים)import/export (כאשר ה->Route-target both <rtניתן להגדיר .67.VPN-ID

a.אופציונליb.-ניתן להוסיף מזהה נוסף לVRF ע"י VPN-IDc. יש יישומים שלDHCPורדיוס לפרמטר הזה d. בפורמטOrganization OUI) 3 אוקטטות שלmac-מספר שמהווה מזהה ל + (

VPNe.-הופך את הRD-לייחודי בעולם (כי אתה משתמש ב OID-הייחודי שקיבלת מ

IEEE(f. כלPE-שיש לו את ה VRF-חייב לציין אצלו את ה VPN-ID

8.MP-BGPa.AF vpnv4 אחראי להפצה של VPN labels-כדי לשלוח אלי ל") VRFתוסיפו ,

VPN-label X("b.AF ipv4 vrf – אחראי להפצה של pfx-ים בתוך הvrfהספציפי ("נמצאת

")Xאצלי הרשת CEפרוטוקול ניתוב מול .9

a. כשעושיםredistribute-מ BGP-לפרוטוקול ניתוב ניתן להעתיק את ה MED לתוך הפרוטוקול ניתובBGPשל ה-

b.-בEIGRP-יש לציין את ה ASשל הלקוח c. רקRIPv2 נתמך בין CE-ל PE

קונפיגורציה.10ip vrf <name> rd <rd> route-target export <rt> route-target import <rt>

17

route-target both <rt> vpn id <OUI>:<vpn-index>

interface fa0/0 ip vrf forwarding <vrf name> ip address <ip + mask>

ip route vrf <name> <network> <next-hop>

router eigrp <process> address-family ipv4 vrf <vrf name> autonomous-system <AS> redistribute bgp <AS> metric <default-metric | metrics>router rip version 2 address-family ipv4 vrf <vrf name> network 10.0.0.0 default-information-originate redistribute bgp <aS> metric transparent

router bgp <AS> address-family ipv4 unicast neighbor <PE/RR> remote-as <AS> neighbor <PE/RR> update-source <interface/loopback> exit-address-family address-family vpnv4 neighbor <PE/RR> activate neighbor <PE/RR> send-community both neighbor <PE> route-reflector-client exit-address-family address-family ipv4 vrf <vrf name> redistribute connected redistribute static redistribute rip neighbor <CE> next-hop-self no sync exit-address-family

monitoring MPLS VPN operations – 19 פרק 1.Show ip vrf

PE1#sh ip vrf Name Default RD Interfaces test 100:1001 Fa1/0

2.Show ip vrf detailPE1#sh ip vrf detailVRF test; default RD 100:1001; default VPNID <not set> Interfaces: Fa1/0 Connected addresses are not in global routing table Export VPN route-target communities RT:100:100 Import VPN route-target communities RT:100:100 No import route-map No export route-map

18

VRF label distribution protocol: not configured VRF label allocation mode: per-prefix

3.Show ip vrf interfacesPE1#sh ip vrf interfacesInterface IP-Address VRF ProtocolFa1/0 10.10.10.1 test up

4.Show ip cef vrfPE1#sh ip cef vrf testPrefix Next Hop Interface0.0.0.0/0 drop Null0 (default route handler entry)0.0.0.0/32 receive9.9.9.9/32 192.168.101.1 FastEthernet0/110.10.10.0/24 attached FastEthernet1/0

5.Show ip protocols vrf6.Show ip route vrf7.Show ip bgp vpnv4 vrf8.Show ip bgp vpnv4 all-מציג ניתוב בכל ה) vrf ים ומה התקבל מכלPE (

PE1#Show ip bgp vpnv4 allBGP table version is 11, local router ID is 2.2.2.1Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S StaleOrigin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight PathRoute Distinguisher: 100:1001 (default for vrf test)*>i9.9.9.9/32 2.2.2.2 11 100 0 ?*> 10.10.10.0/24 0.0.0.0 0 32768 ?*>i10.20.10.0/24 2.2.2.2 0 100 0 ?*>i10.100.10.0/24 2.2.2.2 1 100 0 ?*>i100.100.100.0/24 2.2.2.2 1 100 0 ?Route Distinguisher: 100:1002*>i9.9.9.9/32 2.2.2.2 11 100 0 ?*>i10.20.10.0/24 2.2.2.2 0 100 0 ?*>i10.100.10.0/24 2.2.2.2 1 100 0 ?*>i100.100.100.0/24 2.2.2.2 1 100 0 ?

9.Show ip bgp vpnv4 rd –-מה למדתי ב VRF-מסוים מ PEמסוים 10.Show mpls forwarding vrf

הפרקים הבאים עוסקים בדרכים לשמור על המטריקות של פרוטוקולי ניתוב בצד הלקוח. ויש לשמור על המטריקות בין הסניפים - למרות שבתווך יש ספקיתIGPהלקוח מפעיל

אינטרנט.

configuring small scale routing protocols between PE and CE routers – 18 פרק 1.SOO (Site Of Origin)

a.-נתמך בRIP, EIGRP-ו BGPb.-2נועד כדי למנוע לופים כתוצאה מWay distribution בין EIGRP-ל BGP –

(שני נתבים מחוברים לספקית). multi-homedמול אתר שהוא

19

c. :לדוגמהCE2-מפרסם לספקית, הספקית מפרסמת ל CE1, CE1-מפרסם ל CE2-מבלי לדעת ש CE2(היה המקור לפרסום

d. :הפתרוןi.Route-map שמוגדר על הממשק ומוסיף community extended

ייחודי לאתר של הלקוח.ii. כאשר עושיםredistribute-מ EIGRP-ל BGP SoOמוסיף

את לניתוב. communityה-

iii.BGP לא יפרסם pfx עם SoOלכיוון ממשק שמוגדר לו את SoOאותו

iv.קונפיגורציהroute-map <name> permit <seq> set extcommunity soo <community> <additive>

interface fa0/0 ip vrf forwarding <vrf name> ip vrf sitemap <route-map> ip address <address + mask>

e.ShowPE1#sh ip bgp vpnv4 vrf test 9.9.9.9BGP routing table entry for 100:1001:9.9.9.9/32, version 30Paths: (1 available, best #1, table test) Not advertised to any peer Local, imported path from 100:1002:9.9.9.9/32 2.2.2.2 (metric 161280) from 1.1.1.1 (1.1.1.1) Origin incomplete, metric 11, localpref 100, valid, internal, best Extended Community: SoO:100:999 RT:100:100 Originator: 2.2.2.2, Cluster list: 1.1.1.1 mpls labels in/out nolabel/28

configuring OSPF as the routing protocol between PE and CE routers – 20 פרק 1.External ospf routes

a. כיוון שהספקית מריצהBGP ולכן יש ,redistribute בין BGP לבין OSPFb.-כל אתר רואה את האתר האחר כexternal .c.LSA1 או LSA2-שלא אמורים להיות מופצים לאזורים אחרים, מופצים כ ,

external כלומר) LSA5(d.Summary-ו stub .לא יעבדו טוב e. מטריקות שלexternal-שונות מ internal(איבוד מידע של המטריקות)

20

f.OSPF מעדיף internal על external –-מה שיכול לגרום ל sub-optimal routing

g.הפתרוןi. הרשת של הספקית צריכה להיותsuper backbone (area0)ללקוח

ii.Super-backbone מהווה עוד שכבה מעל שכבת backbone OSPFב-

iii.-הPE מהווה ABR (Area Boundry Router)iv.-ניתובים שעוברים דרך הVRF הם inter-area summary

routes (LSA2) או external (LSA5)-תלוי ב - LSAהמקורי של הניתוב.

v. מידעOSPF מועבר באמצעות extended community

MEDמטריקה מועברת באמצעות .12.LSA type-מתווסף ל RT

h.קונפיגורציהrouter ospf <process> vrf <vrf> log-adjacency-changes redistribute bgp <AS> subnets network <net + wildcard> area <area>

router bgp 100address-family ipv4 vrf test redistribute connected redistribute static redistribute ospf <process> vrf <vrf> match <internal | external> no synchronization exit-address-family

i. ללאmatch לא יתבצע ,redistribute של external-ל BGP!!!j.Show

PE1#sh ip bgp vpnv4 vrf test 9.9.9.9BGP routing table entry for 100:1001:9.9.9.9/32, version 51Paths: (1 available, best #1, table test)Flag: 0x820 Not advertised to any peer Local, imported path from 100:1002:9.9.9.9/32 2.2.2.2 (metric 161280) from 1.1.1.1 (1.1.1.1) Origin incomplete, metric 2, localpref 100, valid, internal, best Extended Community: RT:100:100 OSPF DOMAIN ID:0x0005:0x000000640200 OSPF RT:0.0.0.2:2:0 OSPF ROUTER ID:10.20.10.1:0 Originator: 2.2.2.2, Cluster list: 1.1.1.1 mpls labels in/out nolabel/21

2.Down-bit

21

a. יש חשש ללופ כאשר שני נתביCEבאותו איזור מחוברים בינם לבין עצמם וכל שונהPEאחד מהם מחובר לנתב

b. כאשרPE מחובר לשני CEים מאזורים שונים, יכול להיות מצב שאחד . תעבורה יכולה לעבור מאזור א' לאזור ג' דרך אזור ב'transitהאזורים יהפוך ל-

במקום דרך הספקית.

c.d.-נקודת ההנחה היא שפרסומים תמיד זורמים מהPE-ים למטה, לכיוון הCEe. הפתרון: כאשרPE-מפיץ ניתוב לתוך איזור, הוא מסמן את ניתוב ה OSPF-ב

down-bit כאשר .PE רואה פירסום OSPF-שצבוע ב down-bitהניתוב זורם) .BGPלמעלה במקום למטה), הוא זורק אותו ולא מפיץ אותו חזרה ל-

f.ShowCE2#sh ip ospf database summary OSPF Router with ID (9.9.9.9) (Process ID 100) Summary Net Link States (Area 2) Routing Bit Set on this LSA LS age: 1026 Options: (No TOS-capability, DC, Downward) LS Type: Summary Links(Network) Link State ID: 10.10.10.0 (summary Network Number) Advertising Router: 10.20.10.1

3.Route-bita. .ביט שהוא משמעותי לנתב הלוקליb.-דומה לdown-bit .c. מיועד למצבים כאשרPE מחובר לשני נתבים CEמאותו איזור שמחוברים

בינם4.OSPF tag field

a. כאשר בין האתרים ישOSPF domainsשונים, ונתב שמחבר בינהם (עושה redistribute .בין דומיין אחד לשני

22

b.-במקרה זה, הdown-bitמתנקה ע"י הנתב שמחבר בין הדומיינים

c.Tag field נשמר בזמן redistribute.ובמקרים אלו יש להשתמש בו d.?איך עושים

i. בזמן קבלת הניתוב יש להוסיףtag למשל כאשר) PEעושה redistribute-מ RIP-ל OSPF :אז ,redistribute ospf <process> tag

<tag<ii.מגדירים על שאר הPE-ים פילטרים על פירסומים מCE.ים

מוסכם.tagהפילטרים מסירים ניתובים שמכילים את אותו 5.Sham link

a. כאשר יש שני נתבים שמחוברים בינהם דרך ספקית אולם יש גם קו גיבוי איטיb.-כיוון שOSPF מעדיף קישורי Intra-area (בתוך) ולא inter-areaלכיוון)

PEהספקית), הנתבים יעדיפו את הקו האיטי ולא יוציאו תעבורה דרך ה-

c. הפתרון הוא ליצורsham-link על גבי הרשת של הספקית i.Sham link על PEים שכנים

ii.-לדאוג שהמטריקות של הsham linkיהיו טובות יותר מאשר קו הגיבוי.

iii. פירסומיOSPF-יעברו על גבי ה sham link ולא על גבי BGP (זה בסדר)

iv.-פירסומים יופצו על קו הגיבוי ועל הshamבמקביל d.תזכורת ) sham link(

i. קישור לוגי בין שני אזורים זהים שמגשר על אזורים שונים (כמוtunnel )OSPFרק ל-

ii.-שכנות וflooding-מתבצעים גם על ה sham linkiii.הקישור הלוגי הוא כמו קישור פיזי בין שני אזוריםiv. פקודתVirtual-link

e.קונפיגורציהi. יש צורך שני כתובותloopback) source + destination-של ה sham(

ii.-שני הלופבקים שייכים לVRFiii. הניתובים של הממשקים יופץ ע"יBGP ולא OSPF

23

configuring BGP as the routing protocol between PE and CE routers – 21 פרק address-family ipv4 vrf תחת CEמגדירים את השכנות עם ה-.12.maximum

a.כדי להגן על הספקית מפני תקלות בצד הלקוח או התקפה שבה הלקוח מפוץ בניתובים ומעמיס אותוPEאת ה-

b.מגביל את כמות הניתובים שהVRF-על ה PE-יכיל באמצעות שליטה על ה import

c.קונפיגורציה

ip vrf <vrf name> maximum routes <number> <threshold> <warning-only>

3.Maximum-prefixa. אותו כנ"ל רק הגנה מפני השכןBGPb.קונפיגורציה

Neighbor <CE> maximum-prefix <No> <threshold> <warning-only>

4.AS-Overridea.-המנגנון למניעת לופים מונע מהספקית לפרסם לCEניתוב שנלמד במקום

)AS-PATH של הלקוח (ASאחר על

24

b.-הפתרון: החלפה של הAS-המקורי ב ASשל הספקית (גם אם יש prepend(ים

c.דוגמה וקונפיגורציה

5.AllowAS-ina. כאשר ללקוח יש שניVRFים ונתב שמקשר בינהם. הנתב של הלקוח מריץ

BGP-בין ה VRF ים של הספקית. במקרה זה, מנגנון מניעת הלופים שלBGP (AS-PATH)מונע מה PE ביעד מלקבל ניתוב של VRF-אחד ל VRFהשני

b.-הפתרון, להגדיר לPE-לקבל ניתובים שמופיעים בו ה AS שאליו הוא שייך c.קונפיגורציה

Neighbor <CE> allowas-in <number of prepends allowed>

6.SoO – בדומה למה שתואר קודם. ניתן להגדיר הצדה של SoO communityעל הממשק או ישירות מול השכן.

T roubleshooting MPLS VPNs – 22 פרק VRF ב-BGP לטבלת ניתוב של ה-VRFיש להשוות בין טבלת הניתוב ב-.1 על הממשקים (ובכלל)CEFיש לבדוק שמופעל .2

Show ip cef interface <interface>יםlabelלעקוב אחרי ה-.3

Show ip cef vrf <vrf> <pfx> detailShow mpls forwarding vrf <vrf> <label> detail

using advanced VRF import and export features – 23 פרק 1.Selective import/export

a. ע"י הגדרתroute-mapb.Import/exportקונפיגורציה

25

route-map <route-map> permit 10 match ip address <ACL>

ip vrf <vrf> Import map <route-map>

c. יש לבצעclear ip bgpכדי שזה יתפוס

introducing overlapping VPN – 24 פרק טופולוגיה לדוגמה:.1

תחתיוVRF של ה-route-target של ה-import/exportהאתר המרכזי עושה .2

a.A-center לא יוכל לגשת לרשת תחת Bb.B-center לא יוכל לגשת לרשת תחת Ac.A לא יוכל לדבר עם Bd..הניתובים פשוט לא יופיעו בטבלת הניתוב של הנתבים המרכזיים

המרכזיVRF של ה-community לא מוסיף/דורס את ה-import/exportכלומר, .3. אחרVRFלניתובים של

לא משנה לאן הוא מופץ– המקורי שלו RTכל ניתוב שומר על ה-.45.Import-רלוונטי רק ל PE-שבו עשו את ה import6.Export-רלוונטי רק לרשתות שהמקור שלהם הוא ה vrf-ב PE-הם מופצות לשאר ה .

PEים האחרים

introducing Central services VPN – 25 פרק ים, אולםVRF מרכזי שיכיר את כל הניתובים של שאר ה-VRFהמטרה היא שיהיה .1

ים לא יוכל לדבר אחד עם השני. VRFששאר ה-

26

המרכזי (כי אז מחברים את כולם)VRF ע"י ה-default routeיש למנוע הפצה של .2 משלוRD) יש ליצור PE על vrfלכל אתר של לקוח (.3הדרך המומלצת.4

a. יוצרים שניRT .ביניים שמייצגים את השרות המשותף b.RT אחד בשביל export ,(רשימת הלקוחות) RT שני בשביל importמייצג)

חבילת שירותים (גם שרת דואר, גם אנט ספאם))c..היתרון? קל לנהלd. :מייצג את "החבילה"203מייצג את "כל הלקוחות בשירות". 303לדוגמה

PE קשה לנהל רשימה של לקוחות: דורש הוספה של כל לקוח חדש בכל –דרך ב' .5שמחזיק חלק מהשירות. בנוסף, קשה לנהל חבילת שירותים.

דוגמה לא נכונה.6

27

a.PE מפיץ ניתובים של Client1 123:103 וגם 123:111 עם) export(b.Client2 עושה import גם לניתובים של client1 מכיוון שמשויך אליהם RT

123:103c. :התוצאהclient1-ו client2.מחוברים בינם לבין עצמם

VRF–שירותים משותפים רק עבור הסניפים המרכזיים של כל .7a. שילוב שלoverlapping וגם central servicesb. עושים לסניף המרכזיVRFמשלו c. עושיםoverlapבין ה VRF-של הסניף המרכזי ל VRFשהוא מרכז d. עושיםcentral services-בין ה VRF-של השירות עם ה VRFשל הסניף

המרכזי.

introducing managed CE routers service – 26 פרק CE) שמאפשרת ניהול ודוחות רק על הלופבקים של ה-NMSמערכת שליטה ובקרה (.1

מבלי לקבל גישה לרשתות של הלקוחות עצמם.נקרא גם "רשת אפורה".2 ) שמתיר רק כתובותroute-map רק שמכיל פילטר (shared servicesדומה ל-.3

loopbackדוגמה.4

extended community דוחף vrf תחת ה-route-mapחידוש: ה-.5

28

internet access and MPLS VPNs – 27 פרק implementing separate internet access and vpn services – 28 פרק implementing internet access as a separate vpn – 29 פרק סוגי חיבור לאינטרנט.1

a.Classical internet access בד"כ יש - FW-מרכזי שמחובר ל CE-מרכזי. ה CE ובשניה לאינטרנט.VRFמחובר ברגל אחת יש חיבור ל-

b.Multisite internet access –-לכל סניף יש חיבור לאינטרנט ול VRFc.Wholesale internet access – הלקוח מפריד בין הספקית שעושה לו VPN

לספקית שמחברת אותו לאינטרנט. כך הוא יכול לבחור ספקית אינטרנטבנפרד.

מודלים.2a.-החיבור לאינטרנט נפרד מהשירות של הVPN

i.DGW-כניתוב סטטי על ה PE(מהאינטרנט לכיוון הלקוח) ii. אפשר להריץBGP-בין ה CE-ל PE

iii.פתרון מוכר וקל ליישוםiv.חיסרון: מצריך שני ממשקים נוספים לפחות (אחד לאינטרנט

)VRFושני ל-b. החיבור לאינטרנט הואVRFבפני עצמו

i.האינטרנט של הספקית נפרד מהאינטרנט של הלקוחii. לא ניתן ליישםfull route(בגלל הגודל)

iii.Route leaking –) חיבור/דליפה leak של ניתובים (VRF-ים לglobal routing – !!!לא מומלץ

iv.-לCE-המרכזי יש רגל אחת ב VRF-של הלקוח ורגל שניה ב vrf internet

introducing MPLS TE – 30 פרק TE (traffic engineering)מטרות .1

a. נועד להעביר בעיקר תעבורהvoiceb. ניתן להשתמש בקווי גיבוי או כאלה עם –ניצול יעיל יותר של רוחב פס cost

נמוךc.מונע מצב שבו חלק מהקווים לא מנוצלים בעוד שחלק, בו זמנית, נמצאים

בעומסd.מאפשר הגנה על תעבורה בזמן כשלe.-מאפשר לנצל קווים אשר הIGP.לא מעדיף

29

f.מאפשר להגדיר נתיב באופן ידני ולא להסתמך על חישוב הנתיב הטוב ביותר ליעד

2.TE tunnel ממופה לתוך LSP נתיב) MPLS(י שהוגדר מראש DSCPים בעלי מאפיינים זהים (flow היא מקבץ של tunnelתעבורה שעוברת על ה-.3

מסוים, מקור ויעד זהה וכדומה)4.TE tunnel יוצר overlay tunnel-מסלול שנבנה מעל ה) L3 אולם הוא אינו ,L2( או שניים:label מקבל עוד TE-tunnelכל פקט שעולה על .5

a.-הtopmost-מייצג את ה tunnel-או את ה LSP-של ה tunnelb.-הlabel-מתחתיו הוא הוראות עבור ה egress router-הנתב בסוף ה) tunnel(

6.TE-משתמש ב RSVP.7.CBR (constraint based routing)

a. ,ביצוע (בחירת) ניתוב תחת אילוצים (של רוחב פסdelay(וכדומה b.TE משתמש בהרחבות של OSPF-ו ISISכדי לקבל מידע על הנתיבים

הזמינים ואיכותם ביחס לאילוציםc.TEלא ישתמש בנתיב שלא עומד באילוצים d.-הפניה של פקטים לtunnel מתבצע ע"י CEF שמורה לנתב להוסיף labelשל

TEhop by hop routingעוקף תהליך של .8

U nderstanding MPLS TE components – 31 פרק שניtu אחד ותעבורה אחרת דרך tuניתן להגיד שתעבורה מסוג אחד תעבור דרך .12.TE tunnelשולט בנתיב של תעבורה לכיוון אחד 3.TE-שונה מ LSP

a. ניתן להגדיר מספרtuבין אותם שתי נקודות b. כלtuיכול לבחור נתיב זהה או שונה c. כלtu-ישתמש ב labelאחר d.Tuיכול לשנות את נתיבו בהתאם ליכולות הנתיב (האם הנתיב עומד

בדרישות)e.-חלק מהגדרות הTU ,הם הדרישות שלו (רוחב פס delay(...

- הגדרות שהאדמין מגדיר בזמן ההקמה TE tunnelמאפייני .4a.Ingress (head end) / egress (tail end) router –-הקצוות של ה tunnelb.Class of data –-איזה תעבורה תעלה על ה tunnelc.Characteristics –-מה הדרישות של ה tunnel(רוחב פס למשל)

5.TE attributesa.TE traffic attributes – הגדרות בצד head-end

i.Traffic parameters –-דרישות של ה tunnel(רוחב פס לדוגמה) ii.Path selection and management –-האם הנתיב של ה tu

IGP) או שנבחר לבד ע"י ה-explicitמוגדר ידנית ע"י האדמין ((dynamic)

iii.Resource class affinity –רשימה של לינקים שניתן/אסור ")se4/1 על 56kלהשתמש בהם ("תשתמש בכל לינק למעט קישור

iv.Adaptability –-האם ה tuיכול לשנות נתיב אם הנתיב המקורי כושל או כאשר התגלה נתיב טוב יותר

v.Priority and preemption –-ניתן לדרג את חשיבות ה tu-0 (מ בחשיבות נמוכה (כי איןtu בחשיבות גבוהה יכול להרוס Tu). 7עד

)bwלשניהם מספיק vi.Resilience –-האם ה tu יכול לעשות rerouteמסביב לכשל

b.TE link attributes –-הגדרות על התווך (ממשקים) עליו רץ ה tui.Max bandwidth) רוחב פס על הממשק - Tuבחשיבות גבוהה יכול

אחר מלעבור על לינק מסוים ולגרום לו לבחור בלינק אחר)Tuלהדיח

30

ii.Link resource class האם ניתן להריץ על הממשק - TE tunnel

iii.Constraint based specific metric –ניתן להגדיר מאשר המטריקה שלIGPשהמטריקה של הממשק שונה עבור ה-

TEהממשק עבור ה-6.Constraint based path computation

a.IGPבוחר בנתיב עם העלות הנמוכה ביותר ליעד b.CBR-משתמש ב CSPF (constraint based shortest path first)-או ב

PCALC (path calculation)c.PCALC-ו CSPF מבוססים על dijkstraאך הם שונים. הם הרחבה של חישוב

ISIS או OSPF של SPF (shortest path first)העלויות של d. בודק למשל כמה רוחב פס פנוי על הנתיב (ועודattributes.(

האדמין יכול לבחור בבחירת נתיב .7a.Dynamic ע"י - IGPb.Explicit – כתובות IP-של ההופים שדרכם יעבור ה tuc. ע"י פקודות–שילוב

i.Exclude-address –תבחר את הנתיב אבל אל תשתמש בקישור מסוים

ii.Next-hop loose – תבחר את הנתיב להופ הבא דינמית מגה?30מה הנתיב הטוב ביותא עבור תעבורה שדורשת .8

9.TE processesa.Information distribution –-מידע על הממשקים מופץ על ההרחבה של ה

IGPb.Path selection – מידע זה ישמש אתמהיעד למקור נבחר הנתיב הטוב ביותר .

התהליך הבא בהקמת הנתיב ושיריון המשאביםc.Path setup –-מוקם הנתיב מה headend router (מקור) ליעד ע"י RSVP

pathבאמצעות הודעת d.Forwarding traffic to tunnel –-ניתן להעביר תעבורה על ה tunnel

באמצעותi.Static route –-ה next-hop-הוא ה interface tunnel

ii.PBR iii.Autoroute

מופיע כממשק לנתב ביעד tunnel (LSP)ה-.1directly connectedהנתב ביעד הוא .2

31

מקבל היא המטריקה הכי נמוכה שה-tunnelהמטריקה שה-.3IGP-יכול לתת (גם אם ה tunnelעובר דרך הנתיב הכי גרוע

ברשת) . כלומר, רקIGP"הממשק" שנוצר לא מופץ לשאר הנתבים ב-.4

(אבל אפשר גם שיופץ)tunnel מכיר את ה-headendה-tunnel ינותבו דרך ה-tailendedכל הרשתות מאחורי ה-.5

e.Path maintenance –מעקף של כשלים ואופטימיזציה 10.RSVP

a.-משריין משאבים עבור הtunnelb.PATH

i. הודעת בקשה לשריין משאביםii. כיווןhead to tail

iii.-זורם עפ"י הexplicit pathiv.הנתב בודק אם יש לו משאבים

c.RESV i. בכיווןtail to head

ii.-נשלח ע"י היעד בתגובה לpathiii."הכרזה ע"י הנתבים "אנחנו משריינים משאביםiv. מפילtunnelבעדיפות נמוכה אם יש צורך v.-כשמגיע לhead מוקם בפועל ,LSP

d. מפילLSPומודיע על שגיאות e.-הנתבים מעדכנים את הIGPאם אין משאבים

11.TE-לא נתמך ב IGP שמריץ RIP או EIGRP

C onfiguring MPLS TE on cisco IOS platforms – 32 פרק !!!TEפקודות להגדיר בכל נתב שדרכו עובר .1

a.Mpls traffic-eng tunnelsb.Ip cefc. יש להגדיר תחת פרוטוקול הניתוב איזהarea יכלול TEd.Metric-style wide – מאפשר להעביר את ההרחבות עבור TEe.Mpls traffic-eng router-id – הכתובת באמצעותה שולחים pathועבורה

יציבהloopbackמשריינים משאבים. עדיף כתובת פקודות אחרות.2

a.Ip rsvpi.Int-kbps – כמה רוחב פס יכול RSVP 1 לשריין (ביןk-10 לG(

ii.Flow-kbps – כמה רוחב פס flowאחד יכול לקבל iii. אם ישsub-int!!!יש להגדיר על הממשק הפיזי ,iv. יש להגדיר על כל הממשקים שעלולים להעבירTE

b.Mpls traffic-eng tunnels –יש להגדיר על כל הממשקים שעלולים להעביר TE

c.Ip unnumbered –-כדי לא לתת ל tu-כתובת. שישתמש ב loopback

32

d.priorityi.נמוך = חשוב יותר

ii. = 7ברירת מחדלiii.priority –-חשיבות ה tuבזמן ההקמה iv.Hold –-חשיבות ה tuבזמן שהוא למעלה (האם אחרים

יכולים להפיל אותו)e.Path

i.Number – אם מוגדרים כמה path-על ה tuהמספר מייצג את , (נמוך = חשוב)pathחשיבות ה-

ii.Dynamic –-הנתיב יחושב עפ"י ה IGPiii.Explicit <path<-שימוש ב - explicit pathשהוגדר ידנית iv.Lockdown –.לא ניתן לבצע אופטימיזציה מחדש

f.Autoroute –"ממשק ליעד"

קונפיגורציה.3ip cefmpls traffic-eng tunnels

router isis mpls traffic-eng <level-1 | level-2> mpls traffic-eng router-id <int> metric-style wide

router ospf <proc> mpls traffic-eng area <area> mpls traffic-eng router-id <int>

interface <int> mpls ip mpls traffic-eng tunnels ip rsvp bandwidth <int-kbps [flow-kbps]>

int tunnel <number> ip unnumbered <int> tunnel destination <remote PE/P> tunnel mode mpls traffic-eng tunnel mpls traffic-eng autoroute announce tunnel mpls traffic-eng bandwidth <requested bandwidth> tunnel mpls traffic-eng priority <priority> <hold-priority> tunnel mpls traffic-eng path-option <number> <dynamic | explicit [path-name]> <lockdown>

ip explicit-path <name> <enable | disable> next-address

monitoring MPLS TE on cisco IOS platforms – 33 פרק 1.Show ip rsvp interfaceכמה הקצאת רוחב פס ניתנה לכל ממשק -

sh ip rsvp interfaceinterface rsvp allocated i/f max flow max sub maxse1/0 ena 128K 128K 56K 0se1/1 ena 256K 1M 64K 0

2.Show mpls traffic-eng tunnels briefa.-מציג את כל הtunnelעל המכונה b.Up-if –-הממשק לכיוון ה headend router

33

c.Down-if –-הממשק לכיוון ה tailendd.Name –-ה desc-של ה tu

sh mpls traffic-eng tunnels tu11 briefSignalling Summary: LSP Tunnels Process: running RSVP Process: running Forwarding: enabled Periodic reoptimization: every 3600 seconds, next in 1661 seconds Periodic FRR Promotion: Not Running Periodic auto-bw collection: every 300 seconds, next in 2 secondsTUNNEL NAME DESTINATION UP IF DOWN IF STATE/PROTTunnel-P-PE2 1.1.1.1 se1/0 se2/0 up/up

3.Show mpls traffic-eng autoroute –-כפי שמוצג ע"י ה IGPsh mpls traffic-eng autorouteMPLS TE autorouting enabled destination 0010.0100.1001.00, area isis level-2, has 2 tunnels Tunnel15 (load balancing metric 1666, nexthop 1.1.1.1) (flags: Announce) Tunnel11 (load balancing metric 1666, nexthop 1.1.1.1) (flags: Announce) destination 0020.0200.2002.00, area isis level-2, has 1 tunnels Tunnel14 (load balancing metric 1666, nexthop 2.2.2.2) (flags: Announce)

4.Show ip cefsh ip cef 100.100.100.0/24100.100.100.0/24, version 123012758, epoch 0, per-destination sharing0 packets, 0 bytes tag information set, all rewrites owned local tag: 768 Flow: AS 0, mask 24 via 1.1.1.1, Tunnel11, 0 dependencies traffic share 1 next hop 1.1.1.1, Tunnel11 valid adjacency tag rewrite with Tu11, point2point, tags imposed {352372 323760} via 2.2.2.2, Tunnel14, 0 dependencies traffic share 1 next hop 2.2.2.2, Tunnel14 valid adjacency tag rewrite with Tu14, point2point, tags imposed {6117 300416} tmstats: external 0 packets, 0 bytes internal 0 packets, 0 bytes

34

תוספותATM and multicast

)TDP או LDPים (כמו labelלא צריך פרוטוקול ייעודי להחלפת .12.PIMv2 יודע להעביר MPLS3.FEC

a.Unicast –משתמש ב pfxשל היעד b.Multicast – משתמש בכתובת multicast

MPLS over ATM1.LC-ATM – Label Controlled ATMים ידנית. הניתוב הוא סטטי ולא דינמיVC ולכן יש להגדיר L3 לא יודע ATMסוויץ' .2sub-optimal routing מה שיכול ליצור L3 יכולה להיות שונה מ-L2טופולוגית .34.Cell mode MPLS

a.VCI/VPIהם נתיב וירטואלי ליעד b. לא ניתן להוסיףlabel-ל cell ATMכיוון שהגודל שלו קבוע c.-הLabel-נכתב על שדה ה VPI/VCId.LSP-ב ATM הוא VC (virtual circuit) בטרמינולוגיה של ATMe.-כמות הVPI/VCI על נתב הם מוגבלים ולכן lableים הם משאב יקר בסביבת

ATMCell modeבניית טבלת ניתוב ב-.5

a. 'סוויץATM משמש כנתב שיודע IP רק מבחינת control plane בחירת) ניתובים)

b.-כיוון שהATM switchמשמש כנתב, הוא מופיע כהופ בטרייס c.Label-ים נוצרים עפ"י דרישה של נתב הsource

35

d.-כיוון שהATM סוויץ' לא יכול לעשות IP lookup הוא לא מייצר ,label,לוקלי אלא רק בתגובה לליבל שמשודר מכיוון היעד של התעבורה

e.Flowi. נתבA רוצה לשלוח תעבורה לנתב E

ii.A-שולח ל C-בקשה ל label .iii.C-מעביר את הבקשה ל D. D-מעביר את הבקשה ל E .iv. נתבE מקצה label (1/37)v.D מקצה label לנתב C (2/82)-ו C מקצה label-ל A (1/56)

vi.A מעדכן בטבלת LIB/FIB-שה label 1/56 לרשת היעד הוא

vii. כאשר יש עודLSR-שמחובר ל C, C ישתמש באותם label ATM כי B (1/43) שונה עבור label) אך יקצה 2/82לכיוון היעד (

switch-משתמש ב per interface VPI/VCI

viii.Label ניתן per-interface כלומר, יתכן ויהיה אותו .labelעל ים שונים, אולם המשמעות שלהם שונה לחלוטין.intשני

f.ATM interleavei. כאשר נתביםA+Bשולחים תעבורה לאותו יעד נוצרת בעיה. שני

cell ים ממקור שונה משתמשים באותוVC (2/82)ii. נתבEלא יודע להרכיב חזרה את הפקטים כי הוא לא יודע

2/82 כולם רוכבים על – connectionלמי שייך כל

36

iii.פתרונות1.Additional label allocation ליצור עבור כל בקשה - VC.

יםVCבעייתי כי יש מגבלה של כמות 2.VC merge – ATM-סוויץ' ישמור ב buffer-פקט שמגיע מ B,

יוכל לשדרB יסיים, A יסיים. כש-Aעד ש-a. חוסךVCb. יוצרdelay!c.-מצריך זיכרון על הATM switchd.-רשת הATM-הופכת בפועל ל frame mode

g.זיהוי לופיםi.ATM header לא מכיל TTL-ו LDP מסתמך בעיקר על IGPבמניעת

לופii.LDP hop count TLV

LDPמנגנון שמובנה ב-.1source לכיוון ה-מראשהנתב בכיוון היעד מבצע מדידה .2

TTL בדרך מוריד הופ מה-ATM switchכל .3. VC יודע כמה הופים נמצאים על ה-sourceהנתב שקרוב ל-.4 של הפקט אתTTL מוריד מה-sourceהנתב שקרוב ל-.5

. הפקט0. אם התוצאה נמוכה/שווה ל-VCההופים של ה-ייזרק

של הפקט לפני השליחהTTL מוריד את ה-Aנתב .6

37

h.כיווניםi.Downstream –כיוון הבקשה + התעבורה שהולכת להישלח

ii.Upstream –-כיוון הקצאת ה label-מהיעד ל) source(i. הנתבים בקצוות נקראיםATM edge LSRj. פקט שהואunlabeled לא יכול לעבור על גבי רשת LC-ATM

6.Label distribution parametersa.Label space

i.Per platform אחד ומודיע לכל השכניםlabelמחולל .11.1.1.1:0 של השכן. למשל ip לכתובת 0 מוסיפים LSPב-.2

ii.Per interfaceמאובטח.1 ים שונים אך יש להם משמעותint בין labelיתתכנו כפילויות ב.2

שונה של השכן.ip ל-int של הקוד של ה-prepend, יש LSPב-.3

1.1.1.1:17למשל b.Label generation and distribution

i.Unsolicited downstream – נוצר label) אחד שנשלח לכל השכנים downstream או upstream(

ii.Downstream on demand –-כמו ב cell modeכאשר מגיע . והקצאותlabelדרישה (פקט, תעבורה) מתחיל תהליך של בקשות ל-

c.Label allocationi.Independent control mode

edge LSR שיש לו יכולות של LSRעבור .1downstream גם אם אין שכן ב-labelמקצה לעצמו .2L3 lookup יידע לעשות LSR, ה-labelאם מגיע פקט בלי .3

ii.Ordered control mode –הנתב יעביר תעבורה רק אם יש label עבור

next hopה-d.Retaining labels

i.Liberal retention mode –-הנתב מחזיק את כל ה labelים שהוא מכיר. גם אם הם לא בשימוש, גם אם הם התקבלו ממי שאינו שכן

ii.Conservative retention mode – מחזיק רק labelים שנלמדו מהשכנים

e.המלצותi. נתב עם ממשקיframe – per platform, unsolicited, independent,

liberal

38

ii. נתב עם ממשקיATM – per interface, downstream on demand, independent, conservative אוliberal

iii.ATM switch - per interface, downstream on demand, conservative, ordered

7.LDP/TDPa.Hello

i.LDP - UDP/646ii.TDP – UDP/711

iii.224.0.0.2) all routers(iv.-מכיל את הaddress space (per int / per platform)

b. הקמתconnectioni.LDP – TCP/646

ii.TDP – TCP/711c.-יחסי שכנות בLAN

i.-ינהל הנתב עם כתובת הrouter-ID(מוגדר ידנית) הגבוה ביותר ii. אם איןRID-עם ה ,loopback שיש לו IPהגבוה ביותר

iii. אם איןloopback-עם כתובת ה ,intהגבוה ביותר d. יחסי שכנות בין נתביATM

i.-שימוש בcontrol VC (0/32) עבור LDPופרוטוקולי ניתוב ii.VSI (Virtual Switch interface) – propriety.של סיסקו

ים בצורה דינמיתVC ויוצר LIB באמצעות ה-LFIBמאכלס

e. הקמת יחסי שכנות - ראשית יש הקמה שלconnectionאח"כ תחלופה של , keepalive, לאחר מכן initהודעות

f. יחסי שכנות עם נתבים שאינם סמוכים (לאdirectly connected(i. הכל זהה למעטhello

ii.Hello-נשלח כ unicast-ולא כ multicastframe-mode בצורת ATM/FR על ממשקי mplsהגדרת .8

a. הממשק צריך להיותpoint to pointb.Mpls-תחת ה PVCc. מגדיריםLDP/TDPd.קונפיגורציה

interface ATM0/1.33 point-to-point ip unnumbered loopback 0 pvc 1/33 mpls ip

interface serial 0.202 point-to-point frame-relay interface-dlci 202 ip unnumbered loopback 0 mpls ip

LC-ATMהגדרת .9

39

a. על נתביMPLSi. ממשקp2p עם "mpls"יוצר

LC-ATMממשק .1control VC הוא ה-0/32כברירת מחדל .2label allocation יהיה עבור VP=1כברירת מחדל .3TDPכברירת מחדל יהיה שימוש ב-.4

ii.) קונפיגורציהsubinterface mpls-הופך את הממשק ל cell mode(

interface ATM0/1.33 mpls mpls ip mpls label protocol <LDP | TDP> ip unnumbered loopback 0

b. עלCisco ATM 8510/8540 switch-עובד רק ב) cell mode(interface ATM0/1 mpls ip ip unnumbered loopback 0 mpls label protocol <LDP | TDP>

c.פרמטריםi.-הפרמטרים מוגדרים בין הSW-ל RTR

ii.חייבים להיות זהים בין שני הצדדיםiii.Vc-merge

מופעל כברירת מחדל.1. VC בין פקטים שרצים על אותו Interleaveאין .2 אם הנתבים בצדדים לא יודעים להפרידvc-mergeיש לבטל .3

VCים שונים שרצים על אותו connectionבין iv.Maxhops

VC המקסימלי שיכול להופיע על פקט בכניסתו ל-TTLה-.1maxhops = 254כברירת מחדל .2

v.Vpi –-הטווח של ה vpi-שיוקצה ל vc עם label 1 (במקום(

vi.קונפיגורציהinterface ATM0/1.33 mpls mpls atm control-vc <vpi vci> - different cntrl vc then 0/32 mpls atm vpi <vpi range> - vp label range (not 1) no mpls ldp atm vc-merge - disable vc-merge mpls ldp maxhops <hops> -

10.ATM Virtual-path (VP)a.-כאשר ענן הATM לא בניהול שלנו ולא ניתן להקים vcכבקשתינו b.-רעיון דומה לLC-ATMc. מקימיםVirtual path ועליו מריצים vcבאופן חופשי d.VP

i. מוגדר בין חיבור שלATM switch לציוד ATMאחר (בחיבור ל ATM switch או ATM router(

ii.-בניגוד לPVCשמוגדר בין שני נתבים iii. מאפשר להגדירMPLS על ATM-כאשר ה ATM switchשל

mplsהספקית לא תומך ב-iv. 'בין שני –טופולוגיה א ATM switch

40

v. 'בין –טופולוגיה ב ATM switchלנתב

showפקודות .11a.Show mpls atm-ldp summary

i.Remote – כמה label.ים השכן הקצהshow mpls atm-ldp summary Total number of destinations: 788 ATM label bindings summary interface total active local remote Bwait Rwait IFwait ATM0/0/0 594 594 296 298 0 0 0 ATM0/0/1 590 590 296 294 0 0 0

b.Show mpls atm-ldp bindingshow mpls atm-ldp bindings Destination: 150.100.100.254/32 Tailend Router ATM1/0.1 1/35 Active, VCD=19 Tailend Router ATM2/0.1 2/66 Active, VCD=20 Destination: 150.1.2.2/32 Headend Router ATM2/0.1 (1 hop) 2/65 Active, VCD=19 Tailend Router ATM1/0.1 1/34 Active, VCD=18

41

c.Show mpls atm-ldp capabilityi.Negotiated –טווח המספרים ששני הצדדים הסכימו עליו

ii.Local/remote –טווח המספרים שהציוד המקומי/מרוחק מוכן לקבל.

Show mpls atm-ldp capabilityVPI VCI Alloc Odd/Even VC Merge

ATM0/1/0 Range Range Scheme Scheme IN OUT Negotiated [100 - 101] [33 - 1023] UNIDIR - - Local [100 - 101] [33 - 16383] UNIDIR EN EN Peer [100 - 101] [33 - 1023] UNIDIR - -

d.debugdebug mpls atm-ldp routesdebug mpls atm-ldp states

שירותים נוספים1.NAT

a. הגדרתNAT-ביציאה של הלקוחות לאינטרנט (מה VRF(b.) שירות בתשלוםyeah, right(c. שרידות ע"י הגדרה על מספריPEיםd.PE-NAT נתב - PE-שיבצע את ה NATe.-הNATיתבצע ביציאה לאינטרנט או ביציאה לשירות משותף של שני

VRF.ים עם טווח כתובות חופף או לא חוקיf.PE-NAT-מחזיק רגל אחת באינטרנט ומוגדר עליו ה VRFשל הלקוח

i.קונפיגורציהglobal לטבלת DGWניתוב של השירות המשותף/.1 ממשק שאינוVRF לתוך ה-NATתעבורה חוזרת תבצע .2

VRFיP לכיוון נתבי inside אחר, יש להגדיר PEעבור רשתות ב-.3

interface FastEthernet0/0 description To CE connected to PE-NAT ip vrf forwarding VPN1 ip nat inside

interface FastEthernet0/0 description To P (for CE connected to other PEs) ip nat inside mpls ip

interface FastEthernet1/0 description To Internet ip nat outside

ip route vrf VPN1 0.0.0.0 0.0.0.0 FastEthernet1/0 123.0.0.2 globalip nat pool VPN1_POOL 123.1.0.0 123.1.0.255 prefix-length 24ip nat inside source list 1 pool VPN1_POOL vrf VPN1 overloadaccess-list 1 permit 100.10.0.0 0.0.255.255

2.DHCP-Relaya. שירותDHCP מרכזי - שרת DHCP-מרכזי עבור אתרים מרוחקים ב VRFים

שוניםb.DHCP agent

i.-מוגדר על הממשק על הPE-מול ה CEii.-משתמש בoption 82-כדי לשדר את ה vrfאליו שייך

הממשק

42

iii.Option 82-משדר את ה VPN ID-(אם הוגדר) או את שם ה VPN

c.-שרת הDHCP ידע לחלק כתובת פנויה באותו VRFגם אם היא חופפת) אחר)VRFותפוסה ב-

d.טופולוגיה

e.קונפיגורציהip dhcp relay information option vpn

interface serial 0/1 ip helper-address vrf <vrf> <dhcp server>

3.ODAP - On-demand address poolsa. שרת לניהול כתובות (רדיוס אוDHCPשל לקוחות (b.הבעיה

i. טווח כתובות אחד או משותף לכמהVRFיםii. .רוצים להקצות כתובות ללקוחות בדרך יעילה

iii. לא רוצים להקים שרת ניהול כתובות בכלVRF .בנפרד בזבוז של חומרה .1) VRFיש להוסיף ידנית פולים (אם נגמר ב-.2 שניVRF אחד ל-VRFיש לנייד פולים פנויים מ-.3

c. הפתרון שלODAP i.-הODAP על שרתי (לא כתובות בודדות!!!)פולים הוא שרת לניהול

DHCP.אחרים ii.PE-משמש כ DHCP-וה ODAP מקצה לו פולים

iii..מקצה ומנהל כתובות בצורה אוטומטיתiv.ODAP-מוגדר כ shared server v.כברירת מחדל, הקצאה של פול חדש תתבצע רק כאשר יש

על הפול הקיים (אפשר להגדיר אחרת)90%ניצולת של vi. יודעVRF ית

43

d.טופולוגיה

e.קונפיגורציהi.Origin-שימוש ב = ODAP

ii.Initialגודל הפול הראשון שיבקש = iii.Outgrowגודל הפולים הבאים =

PEip dhcp pool <name> vrf <vrf name> utilization mark high <%> utilization mark low <%> origin dhcp subnet size initial <initial pool size> autogrow <next size>

ODAPip dhcp pool <name> vrf <vrf name> network <net> <subnet> subnet prefix length <subnet>

4.Multicast VPNa. תמיכה שלMPLS VPN בתעבורת multicastb.מושגים

i.mVPN – רשת VPN-שתומכת ב multicast ii.mVRF – VRF-שתומך ב unicast וגם multicast

iii.MDT – עץ multicast-שנבנה בין ה PE-ל Pומאפשר mcastתעבורת

iv.Default MDT –-קבוצה שעובדת ב dense modeושרוחב הפס שלה נמוך

v.Data MDT – עבור נפח תעבורה גבוה.1 חורגdefault MDT רק כאשר – on demandקבוצה שנוצרת .2

מרוחב פס שהוגדר מראשVRF ברמת נתב או ברמת thresholdניתן להגדיר .3 )G(*, ולא mVPN (S,G)קבוצה זו מעבירה רק זוגות .4sparseעובד קצת כמו .5

44

c. יש להגדירPIM i.-בין הPE-ל P-ב) global(

ii.על הloopback עבור) BGP(iii.-בין הPE-ל CE (VRF, mVRF)iv.-בתוך הרשת של הלקוח (בין הCE-ל C(v.) הספק יכול לעבוד בדרךsparse/denseאחת והלקוח בדרך (

אחרת. הלקוח לא יודע (ולא מעניין אותו) אין עובד הספק.d.RR, RPוכדומה כרגיל

e.Default MDT –כולם משתתפים

f.Data MDT –רק מי שמעוניין בשידור משתתף

g.קונפיגורציה

45

ip multicast-routing vrf <name>

ip vrf <name> rd <rd> route-target both <RT> mdt default <multicast address> mdt data <mcast address + net> threshold <number>

int fa0/0 description to CE ip forwarding <vrf> ip pim <sparse | dense | sparse-dense>

int fa0/1 description to P mpls ip ip pim <sparse | dense | sparse-dense>

מהשאלות

1.MPLS מיועד לנתבים חלשים ולם יש לשים לב למשאבי עיבוד וזיכרון שקשורים בבניית LFIBcontrol plane או data plane. רק forwarding plane אין כזה דבר .23.MPLS applications = TE, VPN, QoS4.Mpls label

5.LDP hello message-משתמש ב UDP6.Multiple label space = per-interface label space7.CEF-ו fast-switching

a.CEF-משתמש ביותר זיכרון מ fast-switching-כיוון ש fastמחזיק טבלה רק עבור CEF) ולא על תעבורה שלא עברה על הנתב. cacheתעבורה שעברה דרך הנתב (

שומר רשומות על כל יעד, גם אם לא תעבור דרכו תעבורה רלוונטיתb.CEF הוא יותר CPU intensicec. לא בכל הנתבים מופעלcefכברירת מחדל

8.Hub and spoke-הוא ה VPN overlay-הכי קל ליישום כי יש שם מעט קישורים (ביחס ל full/partial mesh(

CE מול EIGRP כאשר מגדירים address family של הלקוח תחת ה-ASיש להגדיר את ה-.910.Show mpls forwarding vrf <vrf<-מציג את ה - label-ים של הVRF11.OSPF

a.Super-backbone-ה) MPLSשל הספקית) הוא שקוף מבחינת הלקוח. פרסומים וכדומה)areaשעוברים לאזורים אחרים שומרים על המידע שבהם (

b.Super-backbone-דומה ל area0.c.-הCE של הלקוח יבצע summaryלפני שהוא יפרסם את הרשתות שלו לאתר באזור

אחרd.Tag-field מונע cross-domain loop עבורexternal LSAse.Down-bit-נוצר בזמן שה PE עושה redistribute-מ BGP-ל OSPFf. פרוססים של 28ניתן להפעיל OSPF VPN-ב IOS 12.1

12.LDP-משתמש ב Router ID בייט (כתובת 4 בגודל IP(13.MPLS ether type

a.0x8847 – unicast mplsb.0x8848 – multicast mpls

12.4. המבחן הוא מלפני LDP ל-TDPי מ-default השתנה הפרוטוקול הIOS 12.4החל מ-.14

46

15.LDP loop detection מכיל שני - TLVיםa.Path vector TLV –-מכיל את כל ה LSR שדרכם עברה הודעה של LDP

b.Hop Count TLV – כאשר SW שולח requestוהוא חושד שהוא מקבל את אותו , request חזרה, הוא שולח שוב request עם hop count אם הוא מקבל את252 של .

, הוא יודע שיש לופ ומיידע את השכן שלו253 עם requestה-

16.Hub-and spoke ע"י VPN לא) overlay-ו (!BGP בין CE-ים לPE ים דורשallowas-in17.Make before break – כאשר TE) משנה נתיב recoveryהוא בונה נתיב חלופי בזמן שהנתיב ,(

הישן עדיין בשימוש. כל זאת כדי לא לגרום להפרעה בתעבורה. באופן אוטומטי.BGP של ה-MED מועברות ל-RIPהמטריקות של ה-.18 remote-as, מגדירים רק ipv4 בלי vpnv4 שכן, כך שהוא יקבל רק PE מול iBGPכדי להפעיל .19

.vpnv4 תחת activate), ו-activate (ללא ipv4ב-20.Route-map בכיוון export יכול להצמיד רקextcommunity!!!הוא אינו יכול לפלטר .propogationביטול .21

a.(אבל מומלץ, כי אז טרייסים ייראו מוזר) אינו חייב על כל הרשתb.-לא מעתיק מהIP-ל MPLS-ולא מעתיק מה MPLS-ל IP.

22.Packet-Leaking –-ניתובים בין ה global-ל VRF.וההפך לא מופעלCEFים נכנסים, סימן שה-labelים אבל לא מתקין labelכאשר הנתב מפיץ .2396bit = RD (64bit) + IP (32 bit) בגודל VPNv4כתובת .2425.RT 64 בגודל bit26.RD 64 בגודל bitframe modeסדר פעולות ב-.27

a.פרוטוקול הניתוב מסיים ללמודb.-הLSR מקצה label.ים עבור הניתובים שלוc.-הLSR-מפיץ את ה labelים שלוd.-הLSR-בונה את ה LIB, LFIB

47

28.Penultimate P router לא עושה route lookup הוא עושה .popומעביר לממשק המתאים שלוLFIBבהתאם לטבלת ה-

29.S bit –אומר שה label-הנוכחי הוא ה bottom of the stack ואין מאחוריו עוד) label(ים פרוססים של פרוטוקולי ניתוב על נתב אחד32לא מומלץ להפעיל יותר מ-.30.export וגם import שהוא גם RTים, חייב להיות IOSבחלק מה-.31.BGP על שכן send-community extendedכברירת מחדל, מופעל .3233.push = shim-תהליך של הוספת אנקפסולציה ל .L334.Transport address TLV – ב-אופציונאלי שדה LDP hello messageסיסקו משתמשים בו .

hello ממנה נשלח ה-IPכדי לציין את כתובת ה- . סיסקוATM עבור רשתות IP switching כתבה פתרון בשם ipsilon חברת –היסטוריה .35

tag switching וקראה לו ATM) שאינה ייעודית ל-proprietyהציעה טכנולוגיה מקבילה (אבל שהקדים אתTag Distribution Protocol (TDP) וכלל את label switching(שאח"כ הפך ל-

LDP .(IETF איחד את ההצעה של סיסקו עם הצעות של חברות אחרות וככה נולד MPLS-ו LDPכתקן פתוח

36.FEC-מיוצג ע"י ה pfx) של היעד unicast-או ע"י כתובת ה (mcast (mcast)37.Extended community חייב להכיל AS חוקי או IP(תלוי בפורמט) חוקי 38.Client לקוח עם כמה = sites יוצר יחסי שכנות רק עלframe mode, LDPאם יש שני קישורים מקבילים בין שני נתבים, ב-.39

per-platformאחד הממשקים משום שהוא TDP או LDP אלא אם אנחנו רוצים להכריח שימוש ב-mpls label protocolאין חובה להגדיר .4041.Redistribute transparent נועד להעתיק את ערכי BGP MED לתוך RIP.42.Routing bit-ב ospf-מציין אם הניתוב ייכנס ל RIB-כאשר הוא כבוי, הניתוב לא ייכנס ל .RIB.

דלוק, יש להתעלם מהניתוב (כי אז יווצרdown bitמדובר ביישום ייחודי לסיסקו. כאשר ה-.routing bit, מכבים את ה-down bitלופ) ולכן במקביל להדלקת ה-

internal רק ל-redistribute, יתבצע BGP מ-redistribute OSPFכברירת מחדל, כאשר עושים .43routes יש לציין במיוחד לבצע .redistribute-גם ל external

Global נמצא תחת ה-BGP, update sourceב-.4445.AToM (Any Transport over MPLS) – מספק L2 -ו point-to-point על גבי קישור WAN46.ATM

a.ATM switch-שתומך ב MPLSצריך לדעת i.L3ולעבוד עם פרוטוקולי ניתוב

ii. להפעילLDP/TDPb.Virtuual-pathנועד

i. לגשר על רשתATM(ציבורית) שלא מנוהלת ii. בזמן מיגרציה לרשתATM שתומכת MPLSכדי לגשר על חלקים ברשת .

MPLSשעוד לא עברו מיגרציה, ועדיין לא תומכים ב-c. ATM switchיענה לrequest של VC label-רק כאשר הוא קיבל תשובה ב

downstream neighborשלו d.pvc auto –היא פקודה שאינה קיימת e.-שימוש בframe mode

i. כאשר נתביlow-end לא תומכים בכמות VC-ים גבוהה (כמו בcell mode(ii.-כאשר ענן הATM-לא תומך ב MPLS

iii. לא נכון– SVC-לא קשור ל) MPLS(iv. כאשר רוצים להעביר –לא נכון IP על ענן ATM-שתומך ב MPLS.

f.LDP מקצה באופן דינמי VCI/VPI-ב ATM MPLSg.Switching-נעשה באמצעות ה VPI/VCI-אותו הקים ה LDP.h. ניתן לבצעconditional label advertising-רק ב frame modei.Hop count TLV-ב cell mode-יגרום לכך שכל רשת ה ATMתיראה כהופ אחד j.AAL5mux 'אחראים על הפרוטוקול שרץ על גבי ה- ושות ATM) IP/IPX.(וכדומה

MPLSאין להם קשר ל-k.Vc-merge-מונע שימוש ב per-interface label allocationl. הגדרותmpls

i. עלsw ATM – ממשק ATM רגיל עם mpls ipii. ממשק –על נתב ATM mpls עם mpls ip

m.Cell interleave-נגרם כתוצאה מ per platform label allocation

48

n.-הlabel-המקורי נשאר בתוך ה ATM cell-מכיוון שהוא ב .header-של ה frame-ה ,ATM labelיופיע ב cell.הראשון של הפקט

o.-בcell mode-כאשר עובר פקט דרך ה ,ATM לא יורד ,hop-מה TTL בכל switch. ATMים) שהפקט יעבור דרכם בכניסה לענן ATMאלא יש הורדה של כל ההופים (

label רקורסיה בהוספת 1.Show ip cef vrf –-מציג את ה vpn label-ואת ה RIDשל ה PEשמחזיק את הניתוב 2.Show ip cef –-יציג את ה label-ל PELSP הוא ה-VPN, 576 הוא ה-4575דוגמה: .3

sh ip cef vrf VPN 172.30.101.0 detail 172.30.101.0/24, version 74347, epoch 0, per-destination sharing0 packets, 0 bytes tag information set local tag: VPN-route-head fast tag rewrite with Recursive rewrite via 1.1.1.1/32, tags imposed {4575}

sh mpls forwarding-table vrf VPN 172.30.101.0 detail Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface None Recursive 172.30.101.0/24 0 Recursive rewrite via 1.1.1.1/32, Tag Stack {4575} 011DF000 No output feature configured Per-destination load-sharing, slots: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

sh ip cef 1.1.1.1 detail 1.1.1.1/32, version 204468697, epoch 0, per-destination sharing0 packets, 0 bytes tag information set, shared local tag: 5016 via 192.168.200.1, GigabitEthernet0/2.400, 1065 dependencies traffic share 1 next hop 192.168.200.1, GigabitEthernet0/2.400 valid adjacency tag rewrite with Gi0/2.400, 192.168.200.1, tags imposed: {576}

49

תקציר1.ATM SWמצריך

a. + פרוטוקול ניתובL3b.LDP

cell mode ATMים ברשת label ידני כדי לצמצם את כמות ה-VCמגדירים .23.tag-switching atm maxhops

a. מנגנון למניעת לופים בעיקר עבורTDPכיוון ש) TDP לא מכיר router-IDולכן לא )RIDיודע לזהות לופים ע"י

b..הקטנה ידנית של מספר ההופים מאפשר זיהוי מהיר של לופ4.Mpls over ATM = Cell-mode ATM5.LC-ATM binding

show mpls atm-ldp bindings Destination: 150.100.100.254/32 Tailend Router ATM1/0.1 1/35 Active, VCD=19 Tailend Router ATM2/0.1 2/66 Active, VCD=20 Destination: 150.1.2.2/32 Headend Router ATM2/0.1 (1 hop) 2/65 Active, VCD=19 Tailend Router ATM1/0.1 1/34 Active, VCD=18

6.Vc-mergeכבוי כברירת מחדל 7.Distribution of labels רק ע"י LDP או TDP8.Traceroute על cell mode –-יציג את ה ingress routerכמה פעמים עבור כל הופ ברשת

ATM9.Debug tag-switching tdp sessions

frame-modeהפצת לייבלים סלקטיבית מתאפשרת רק ב-.1011.BGP-מעתיק את המטריקות של ה RIPל MED12.CR-LDP (constrained based LDP) –

a. עבורTE-ומקביל ל RSVP .b.LDP שמכיל TLV .ים נוספיםc.TLV) ים אלו מכילים מידע על אילוציםQoS(...רוחב פס פנוי על הממשק ,

13.RT הוא VPN identifier