21.09.2006 Энно Рей, Петер Фирс

MPLS используется в магистральных сетях практически всех операторов и находит все большее распространение в территориальных локальных сетях. Однако при определенных условиях из-за MPLS могут возникнуть серьезные проблемы с безопасностью. Поэтому

перед использованием VPN на базе MPLS или магистральных структур необходимо провести анализ рисков, в особенности в отношении передаваемого трафика.

Многопротокольная коммутация меток (Multi-Protocol Label Switching, MPLS) представляет собой специфицированную RFC 3031 и другими документами технологию продвижения пакетов. Разработчики стремились избежать неэффективной маршрутизации IP, когда маршрут каждого пакета определяется по его адресу назначения посредством объемных таблиц маршрутизации. В случае MPLS продвижение пакетов происходит на основании так называемых «меток». Для этого в заголовок добавляется блок данных размером 32 бит. Большую его часть составляет «тег» длиной 20 бит - собственно метка, на основании которой и принимается решение о дальнейшем перемещении пакета. Кроме того, имеется еще три поля, в том числе время жизни пакета (Time-To-Live, TTL).

Когда пакет IP достигает магистрали на базе MPLS, он в первую очередь классифицируется - по адресу назначения или по принадлежности к определенной клиентской виртуальной частной сети (Virtual Private Network, VPN), затем снабжается одной или несколькими метками и направляется дальше. На каждом транзитном узле верхняя метка заменяется на новую, после чего пакет передается следующему соседу. О метках и их значениях два соседних маршрутизатора договариваются при помощи специального протокола - в большинстве случаев протокола распределения меток (Label Distribution Protocol, LDP). Благодаря согласованию между соседними устройствами отпадает необходимость в централизованном механизме управления метками.

Когда пакет покидает магистраль, он направляется дальше в соответствии с традиционными механизмами маршрутизации.

При обсуждении безопасности технологии продвижения/маршрутизации пакетов в первую очередь упоминаются атаки наподобие спуфинга или инжекции, нацеленные на изменение или добавление информации о маршрутизации. Однако в описанной выше элементарной сети MPLS, в которой метки присваиваются на основании адресата назначения пакета, этот класс атак мало эффективен, поскольку метки имеют здесь значение лишь для двух соседних коммутаторов. Таким образом, атакующий не сможет повлиять на маршрут пакета за соседним транзитным узлом.

Наряду с базовой функцией - эффективной обработкой пакетов - метки служат для решения и других задач. В сети на базе MPLS есть ряд прочих функций, которые часто называют «службы MPLS» (см. Рисунок 1).

К таковым относятся:

• виртуальные частные сети на базе MPLS (иногда называемые виртуальными частными сетями третьего уровня);
• виртуальные частные сети второго уровня на базе MPLS; по ним передаются целые кадры второго уровня (подробнее об этом ниже);
• формирование трафика MPLS в целях оптимального использования имеющейся пропускной способности и предоставления резервных маршрутов;
• обобщенная технология MPLS (General MPLS, GMPLS) для сигнализации в оптических сетях.

Некоторые из перечисленных технологий, к примеру формирование трафика (Traffic Engineering, TЕ), имеют значение только для операторов магистральных сетей. Другие, в особенности технологии VPN, играют важную роль для многих организаций - когда подобная услуга приобретается у оператора или соответствующая служба используется в собственной территориальной локальной сети, к примеру для разделения трафика разных дочерних предприятий. Эти технологии будут представлены и подробно описаны ниже.

ОСНОВЫ ВИРТУАЛЬНОЙ ЧАСТНОЙ СЕТИ MPLS

В случае виртуальной частной сети MPLS речь идет о самостоятельной технологии на основе меток с собственной терминологией, описанной главным образом в RFC 2547 и 2917. Она часто сравнивается с ретрансляцией кадров и АТМ, поскольку в рамках одной сетевой инфраструктуры организуется несколько раздельных логических маршрутов, по которым передается трафик отдельных (клиентских) виртуальных частных сетей. Технология очень гибка в отношении возможных топологий VPN, поскольку благодаря использованию так называемых «целей маршрута» можно определять, какие сети и в каких таблицах маршрутизации упоминаются.

В первую очередь различие проводится между провайдерской сетью, где применяется MPLS, и клиентской, которая использует соответствующую службу, но не имеет никакого отношения к выделению меток или соответствующему продвижению данных. Транзитный пункт между клиентом и провайдером со стороны провайдера называют пограничным устройством провайдера (Provider Edge, PE), а со стороны клиента - пограничным устройством клиента (Customer Edge, CE).

Устройство РЕ обычно обслуживает нескольких клиентов, для чего помимо своей таблицы маршрутизации, которая в этом случае называется «глобальная», ведет дополнительные, специфичные для каждой VPN виртуальные экземпляры маршрутизации и продвижения данных (Virtual Routing and Forwarding Instance, VRF). Благодаря подобной виртуализации можно сделать так, чтобы разные клиенты пользовались одним и тем же адресным пространством или разными протоколами маршрутизации (см. Рисунок 2 и 3).

Устройства РЕ, к которым подключаются клиенты, обмениваются информацией о том, какую именно сеть (префикс) и какого клиента они обслуживают посредством многопротокольного BGP (Multiprotocol BGP, MP-BGP) - расширенного варианта пограничного шлюзового протокола (Border Gateway Protocol, BGP). Передаваемая информация выглядит примерно так: «Через меня (устройство РЕ) при помощи следующей метки можно достичь следующие префиксы (сети) таких-то клиентов».

Функциональность VPN можно обобщить следующим образом:

• маршрутизатор РЕ назначает индивидуально сконфигурированную метку при помощи так называемого «различителя маршрутов» каждой клиентской виртуальной частной сети;
• устройство РЕ при помощи MP-BGP передает данные о «различителе маршрутов», префиксе сети и соответствующей метки.

В результате каждое устройство РЕ узнает, через какие устройства РЕ можно достичь сети указанного клиента, и что за метка при этом используется - при условии отсутствия фильтрации информации о маршрутизации на основании конечного маршрута.

Если устройство РЕ получает от клиентского устройства пакет, оно снабжает его (минимум) двумя метками и направляет дальше: одна метка определяет, какому устройству РЕ ретранслируется пакет; вторая - к какому клиенту (клиентской сети) он относится. Таким образом, вся функциональность VPN реализуется при помощи двух меток.

При оценке безопасности этой технологии VPN часто цитируется старое исследование компании Miercom, главная мысль которого заключается в том, что технологию можно рассматривать как надежную, поскольку злоумышленник не в состоянии получить доступ к клиентским VPN или магистрали (см. Рисунок 4). Даже если придерживаться аргументации этого исследования - а Miercom часто обвиняют в чрезмерной близости к его заказчику, компании Cisco, - необходимо учитывать некоторые особенности:

• трафик в виртуальных частных сетях MPLS не шифруется. Если в представлении читателя понятие «виртуальная частная сеть» обязательно включает в себя шифрование, то от этого базового допущения придется отказаться. В данном случае VPN не означает ничего более, кроме разделения трафика;
• маршрутизатор РЕ обычно «делится» между различными клиентами и - при определенных условиях - задачами. Поэтому атаки, к примеру «отказ в обслуживании» (Denial of Service, DoS), из клиентской сети или - при условии соответствующей достижимости - из Internet могут иметь побочное негативное воздействие на безопасность или доступность других клиентов;
• авторы статьи в ходе оценки операторов столкнулись с тем, что технический персонал не проводит предписанной технической проверки устройств РЕ (сканирование), «чтобы отрицательно не повлиять на достижимость других клиентов».

Об этих аспектах и их возможных последствиях сетевые администраторы осведомлены в недостаточной мере, и потому в некоторых организациях требования к контролю не выполняются.

МЕТОДЫ АТАК

При атаках на VPN первоочередная цель злоумышленника - чтение трафика или неавторизованный доступ. Атаки DoS в этом случае не рассматриваются. Все атаки можно разделить на атаки «извне» (из клиентской сети или Internet) и атаки «изнутри» (с магистрали MPLS).

Инжекция (ввод) предварительно маркированного трафика из клиентской сети. Злоумышленник, находящийся в клиентской сети, может попытаться проникнуть в другую виртуальную частную сеть, передав «своему» устройству РЕ пакеты, уже содержащие метку. Речь идет о метке, на основании которой пакет направляется в другую VPN. Но как написано в RFC 2547: «Пакеты с метками из не заслуживающих доверия источников не принимаются магистральными маршрутизаторами».

С точки зрения провайдера, клиентская сеть никогда «не заслуживает доверия», а значит, такие пакеты должны отклоняться маршрутизатором РЕ.

Инжекция (ввод) уже маркированного трафика из Internet. Злоумышленник может попытаться отправить на маршрутизатор РЕ уже маркированные пакеты из Internet, с целью передать их в клиентскую сеть. Для этого ему необходимо узнать или угадать используемые метки и IP-адреса, что вполне возможно. IP-адрес 10.1.1.1, к примеру, встречается в большинстве сетей, а кроме того, зная производителя оборудования, метки довольно легко угадать. Между тем уже имеется инструмент, который служит для автоматического определения используемых в сети меток (см. ссылку в ). Инструмент предназначен только для магистрали и не рассчитан на применение из Internet, и поэтому он не подходит для описанной атаки. Тем не менее его наличие - показатель того, что атаки на MPLS попали в сферу интересов хакеров. В ближайшем будущем наверняка появятся новые средства для автоматического проведения описанных здесь атак.

Маркированные соответствующим образом пакеты необходимо доставить до атакуемой точки (что маловероятно), а атакуемый маршрутизтор PЕ должен быть достижим из Internet (что зависит от организации конкретной сети провайдера) - только тогда атака будет успешной. Но благодаря тенденции к концентрации все большего количества функций на все меньшем числе многофункциональных устройств, такие условия нельзя полнос-тью исключать. Как уже упоминалось, RFC 2547 предписывает, чтобы пакеты с метками из не заслуживающих доверия источников, к каковым, безусловно, относится Internet, отбрасывались. В том, что это требование выполняется, мы могли убедиться, проведя различные тесты. Однако cоставители книги «Безопасность виртуальных частных сетей MPLS», выпущенной компанией Cisco, утверждают: такая атака на маршрутизаторы может быть успешной при использовании некоторых (старых) версий операционной системы IOS.

АТАКИ С МАГИСТРАЛИ

В отличие от уже перечисленных атак другие предполагают нахождение злоумышленника на магистрали. Для начала следует вкратце пояснить это условие.

Атаки с магистрали. Если злоумышленник контролирует один из узлов магистрали, то у него появляется возможность для проведения целого ряда различных атак. Конечно, прежде всего весь проходящий через этот узел трафик, если он дополнительно не зашифрован, подвергается угрозе считывания. Как правило, такое шифрование обеспечить довольно просто, однако нередко от него отказываются ради экономии и простоты администрирования виртуальной частной сети MPLS, чего не скажешь о VPN на базе IPsec, - как известно, MPLS VPN призваны заменить IPSec VPN. При обсуждении безопасности виртуальных частных сетей MPLS магистраль, за эксплуатацию которой отвечает провайдер, принимается как надежная и безопасная. Авторы, имеющие обширный практический опыт в вопросах безопасности, не готовы считать что бы то ни было изначально надежным и безопасным. В случае следующих сценариев не исключается атака на виртуальную частную сеть MPLS с магистрали.

Скомпрометированные провайдерские устройства. Необходимо помнить, что провайдерские устройства могут быть взломаны. Опубликованная в 2003 г. на собрании Группы североамериканских сетевых операторов (North American Network Operators" Group, NANOG) статистика упоминает о подобных инцидентах с более чем 5000 маршрутизаторами в сетях провайдеров услуг Internet.

Эксплуатируемые клиентами устройства РЕ. Если клиент самостоятельно эксплуатирует устройство РЕ, это ставит под угрозу всю модель безопасности магистрали, поскольку у него появляется потенциальная возможность доступа к виртуальным частным сетям других клиентов. Авторам известны случаи, когда состоятельным клиентам разрешалось использование собственных устройств РЕ.

Взломанные станции управления. Если сотрудник провайдерской компании входит в Internet с того же компьютера, с которого он обращается к инструментам управления с графическим интерфейсом для построения VPN, то потенциально злоумышленник может получить доступ к системе управления - со всеми вытекающими последствиями для безопасности управляемых VPN.

Атаки на транзитные узлы между провайдерами. Для того чтобы предлагать виртуальные частные сети MPLS в мировом масштабе, многие операторы заключают между собой контракты, благодаря которым они могут строить виртуальные частные сети MPLS, простирающиеся за пределы их собственной сети, и одновременно обмениваться маркированными пакетами. RFC 2547 описывает разные модели, и среди них по меньшей мере одна - по иронии судьбы, наиболее масштабируемая - может быть по сути своей ненадежной. Кроме того, в точках обмена трафика (Internet Exchange Points, IXP) операторы часто организуют межсоединения на базе Ethernet, в результате чего потенциально создаются условия для атак на интерфейс данных на втором уровне.

Размещение устройства РЕ в нецивилизованных странах. По мнению авторов, есть страны, где не следует полагаться на надежность и целостность устройств в сети. Особенно проблематичной ситуация становится тогда, когда дело касается государств, мало внимания уделяющих защите интеллектуальной собственности.

Неправильно сконфигурированные устройства провайдеров. В большинстве случаев устройства провайдеров обслуживаются людьми, сверх меры загруженными различными обязанностями, из-за чего совершаются непредумышленные ошибки. При определенных условиях даже становится возможным нарушение целостности магистрали MPLS. Если же виртуальные частные сети MPLS используются в рамках корпоративных сетей, как это чаще всего и происходит, тогда нет почти никакой разницы между «клиентскими устройствами» и «безусловно надежными провайдерскими устройствами» - по меньшей мере в том, что касается обслуживающего персонала. На часто приводимую в оправдание ссылку на уязвимость «изнутри» структуры на базе ретрансляции кадров и АТМ авторы хотели бы возразить, указав на два значительных отличия:

• как ретрансляция кадров, так и АТМ предполагают наличие специализированных устройств (коммутаторов), которые недостижимы из Internet. Виртуальные частные сети MPLS, для которых ключевыми словами являются консолидация и оптимизация затрат, часто реализуются на базе имеющихся платформ, а они, помимо прочего, берут или могут взять на себя дополнительные функции в сети провайдера услуг Internet и вследствие этого потенциально достижимы из Internet;
• многообразие протоколов на разных уровнях (второй уровень: АТМ/ретрансляция кадров, третий уровень: IP) повышает сложность эксплуатации (а значит, и затраты на нее), но затрудняет проведение атак.

В мире MPLS, опирающемся исключительно на IP, инструменты для проведения атак найти проще. Так, используемая для генерирования пакетов и лежащая в основе многих инструментов для обеспечения безопасности библиотека Libnet поддерживает и MPLS. Упоминавшийся выше инструмент для проведения атак также разработан на базе Libnet.

АТАКИ ИЗ ЯДРА MPLS

Модификация маршрутизации MP-BGP. Когда злоумышленник в состоянии вмешаться в первоначальный информационный обмен в Multiprotocol BGP, он может добавлять в виртуальную частную сеть «дополнительные филиалы», и уже через них получить неавторизованный доступ к системам. Причем надо не только находиться на магистрали, но и иметь в наличии дополнительные инструменты для точечного доступа к трафику BGP, что требует значительных усилий.

Модификация меток на магистрали. Этот тип атаки также предусматривает нахождение атакующего на магистрали. Если ему удается изменить метку пакета, то последний несложно перенаправить в другую виртуальную частную сеть. Кроме того, в существующие VPN можно ввести любые пакеты.

Варианты атак различны. К примеру, в той, что показана на Рисунке 5, в двух разных VPN («альфа» и «бета») используется одно и то же адресное пространство. Поступающие на устройство PE пакеты для адресного пространства 172.31.1.0 различаются по их меткам (17 для «альфа» и 20 для «бета»):

pe_7204vxr>sh ip vp vpnv4 vrf alpha labels

Network Next HopIn label/Out label

Route Distinguisher: 100:1 (alpha)

20.20.20.21/32 10.10.10.25 nolabel/17

20.20.20.40/32 172.31.2.2 19/nolabel

172.31.1.0/29 10.10.10.25 nolabel/18

172.31.2.0/29 0.0.0.0 17/aggregate(alpha)

192.168.5.0 10.10.10.25 nolabel/19

Pe_7204vxr>sh ip bgp vpnv4 vrf beta labels

Network Next Hop In label/Out label

Route Distinguisher: 100:2 (beta)

172.31.1.0/29 10.10.10.25 nolabel/20

172.31.2.0/29 0.0.0.0 16/aggregate(beta)

Если теперь злоумышленник сможет читать пакеты (на Рисунке 6 простой ping), то он в состоянии изменить метку, ввести пакеты в сеть заново и таким образом проникнуть в VPN. В результате пакет будет транслироваться устройством в «не ту VPN» (перевод входящего пакета ping устройством в VPN «бета»):

01:55:45.993783 IP 172.31.1.2 > 172.31.2.2: icmp

40: echo request seq 17408

01:55:45.993815 IP 172.31.2.2 > 172.31.1.2: icmp

40: echo reply seq 17408

01:55:46.995175 IP 172.31.1.2 > 172.31.2.2: icmp

40: echo request seq 17664

01:55:46.995211 IP 172.31.2.2 > 172.31.1.2: icmp

40: echo reply seq 17664

01:55:47.996723 IP 172.31.1.2 > 172.31.2.2: icmp

40: echo request seq 17920

01:55:47.996756 IP 172.31.2.2 > 172.31.1.2: icmp

40: echo reply seq 17920

01:59:14.136855 IP 172.31.1.2 > 172.31.2.2: icmp

80: echo request seq 5725

01:59:14.136906 IP 172.31.2.2 > 172.31.1.2: icmp

80: echo reply seq 5725

Таким образом, взломщику удастся проникнуть за пределы виртуальных частных сетей. Однако сначала это работает лишь в одном направлении, и потенциальный ответный трафик снова окажется в VPN «альфа». Впрочем, атакующий может изменить и обратный трафик, построив полноценное двунаправленное соединение между сервером в VPN «бета» и контролируемым им клиентом в VPN «альфа».

Хотя для проведения подобных атак инструментов (пока!) не существует, даже односторонняя инжекция пакетов в виртуальную частную сеть может иметь серьезные последствия. Ее оказывается достаточно, к примеру, для атак на основе SNMP - среди которых есть сброс конфигурационного файла устройства - или для запуска «червей» на основе UDP («черви» SQL).

Такая замена меток не будет замечена системами обнаружения вторжений в VPN «бета», поскольку пакеты попадают туда уже без них и изменение меток (в отличие от изменения IP-адреса) не влечет за собой ошибки вследствие несовпадения контрольных сумм.

VPN ВТОРОГО УРОВНЯ

Под термином «виртуальная частная сеть второго уровня» в контексте MPLS обычно понимается передача произвольного трафика по MPLS (Any Transport over MPLS, AToM). Тогда по магистрали MPLS передаются не пакеты, а целые блоки второго уровня, к примеру ячейки АТМ, кадры Ethernet или frame relay.

При помощи меток создаются так называемые «псевдопровода»: они образуют логические каналы, по которым и передаются соответствующие кадры. Злоумышленнику доступ к магистрали дает те же возможности для атаки, что и описанные слабые места виртуальных частных сетей третьего уровня.

Но у технологии AToM имеется две модификации, которые представляют особый интерес в рамках разговора о безопасности: Ethernet поверх MPLS (Ethernet over MPLS, EoMPLS) и служба виртуальной частной локальной сети (Virtual Private LAN Service, VPLS).

В случае EoMPLS два филиала подключают к магистрали коммутаторы и передают, соответственно, кадры Ethernet. Для обеих сторон это выглядит так, словно между ними построен прямой канал второго уровня без промежуточной инфраструктуры глобальной сети. Все системы могут пользоваться общими виртуальными локальными сетями или подсетями IP.

EoMPLS представляет собой двухточечную технологию соединения. Подключение дополнительного филиала предполагает построение от него нового туннеля ко всем уже имеющимся офисам, что ограничивает масштабируемость ЕоMPLS. Именно этот недостаток и должна исправить служба виртуальной частной локальной сети. При ее применении любое количество филиалов образуют общую сеть Ethernet с многоточечными соединениями. При добавлении филиала «псевдопровода» создаются автоматически посредством специальной системы сигнализации - однако необходимая протокольная база еще не специфицирована полностью. Все филиалы соединяются друг с другом «будто бы» напрямую, поэтому облако MPLS/VPLS часто характеризуют как «большой виртуальный коммутатор». Авторы, напротив, предпочитают рассматривать это облако MPLS/VPLS как «большой виртуальный канал» (в представлении Cisco), поскольку устройства VPLS в общем и целом не воспринимаются такими протоколами, как STP, DTP или VTP, для которых они совершенно прозрачны. Пограничными устройствами на стороне клиента в EoMPLS или VPLS чаще всего служат коммутаторы.

Но если облако действительно ведет себя совершенно прозрачно, как это, к примеру, имеет место в случае реализации VPLS от компании Juniper, тогда могут проявляться интересные эффекты, существенно влияющие на безопасность сети.

СВЯЗУЮЩЕЕ ДЕРЕВО

Поскольку разные филиалы образуют теперь общую сеть (Ethernet), на каждую виртуальную сеть выбирается лишь один корень STP (только в одном филиале). При избыточном подключении филиала (к примеру, из соображений повышения готовности) это потенциально ведет к тому, что внутренние каналы филиала между коммутаторами оказываются заблокированными (см. Рисунок 7).

Рисунок 7. Избыточные соединения иногда оказываются открытыми.

Такое поведение хотя и соответствует принципам связующего дерева, как они описаны в стандарте, но при этом ответственный за безопасность на предприятии или проверяющий часто забывает о том, что: внутренний трафик филиала передается по провайдерской сети в незашифрованном виде и в зависимости от инфраструктуры может проходить через страны, где действуют законы о допустимости чтения проходящего трафика государственными органами и/или «распространено иное отношение к понятию интеллектуальной собственности».

ВИРТУАЛЬНЫЕ ЛОКАЛЬНЫЕ СЕТИ

Проблемы с безопасностью возникают и в связи с виртуальными локальными сетями. Если, к примеру, в двух филиалах существуют одинаковые номера виртуальных сетей, то эти VLAN после соединения филиалов посредством EoMPLS/VPLS будут «видеть» друг друга. Когда в одном филиале имеется VLAN 10 для серверов, а в другом - VLAN 10 для беспроводной сети, все пользователи беспроводной сети второго филиала будут получать широковещательный трафик Windows первого филиала, и у находящегося в беспроводной сети злоумышленника появится доступ к серверу другого филиала.

Эти технологии очень интересны с точки зрения построения сети. Кому не хотелось получить виртуальную сеть, охватывающую несколько филиалов, или прозрачное подключение по глобальной сети без маршрутизации и/или трансляции сетевых адресов и всех воздействий - к примеру, на трафик тиражирования данных служб каталогов и приложений?

Перечисленные выше аспекты соответствуют самому обычному поведению сети или протоколов, однако оказывают большое влияние на сетевую безопасность. В случае использования виртуальных частных сетей второго уровня на базе MPLS о них всегда необходимо помнить и учитывать при оценке риска.

Энно Рей и Петер Фирс занимаются сетевыми протоколами и их безопасностью. Эта статья базируется на докладе Энно Рея на конференции Blackhat 2006.

Ресурсы

Инструменты для проведения атак на MPLS: http://www.irmc.com/tools/irm-mpls-tools-1.0.tar.bz2 .

Майкл Берингер/Моник Морроу: «Безопасность виртуальных частных сетей MPLS» (Индианаполис, 2005).

Статистика взломов маршрутизаторов: http://www.nanog.org/tg-0306/pdf/thomas.pdf .

Мы немного забежали вперед, но теперь, когда стало понятнее какие преимущества дает даже базовый MPLS, мы можем окунуться в понятийный аппарат в мире MPLS.

Терминология

Label - метка - значение от 0 до 1 048 575. На основе неё LSR принимает решение, что с пакетом делать: какую новую метку повешать, куда его передать.
Является частью заголовка MPLS.

Label Stack - стек меток. Каждый пакет может нести одну, две, три, да хоть 10 меток - одну над другой. Решение о том, что делать с пакетом принимается на основе верхней метки. Каждый слой играет какую-то свою роль.
Например, при передаче пакета используется транспортная метка, то есть метка, организующая транзит от первого до последнего маршрутизатора MPLS.
Другие могут нести информацию о том, что данный пакет принадлежит определённому VPN.
В этом выпуске метка всегда будет только одна - больше пока не нужно.

Push Label - операция добавления метки к пакету данных - совершается в самом начале - на первом маршрутизаторе в сети MPLS (в нашем примере - R1).

Swap Label - операция замены метки - происходит на промежуточных маршрутизаторах в сети MPLS - узел получает пакет с одной меткой, меняет её и отправляет с другой (R2, R5).

Pop Label - операция удаления метки - выполняется последним маршрутизатором - узел получает пакет MPLS и убирает верхнюю метку перед передачей его дальше (R6).

На самом деле метка может добавляться и удаляться где угодно внутри сети MPLS.
Всё зависит от конкретных сервисов. Правильнее будет сказать, что метка добавляется первым маршрутизатором пути (LSP), а удаляется последним.
Но в этой статье для простоты мы будем говорить о границах сети MPLS.
Кроме того, удаление верхней метки ещё не означает, что остался чистый IP-пакет, если речь идёт о стеке меток. То есть если над пакетом с тремя метками совершили операцию Pop Label, то меток осталось две и дальше он по-прежнему обрабатывается, как MPLS. А в нашем примере была одна, а после не останется ни одной - и это уже дело IP.

LSR - Label Switch Router - это любой маршрутизатор в сети MPLS. Называется он так, потому что выполняет какие-то операции с метками. В нашем примере это все узлы: R1, R2, R3, R4, R5, R6.
LSR делится на 3 типа:
Intermediate LSR - промежуточный маршрутизатор MPLS - он выполняет операцию Swap Label (R2, R5).
Ingress LSR - «входной», первый маршрутизатор MPLS - он выполняет операцию Push Label (R1).
Egress LSR - «выходной», последний маршрутизатор MPLS - он выполняет операцию Pop Label (R6).
LER - Label Edge Router - это маршрутизатор на границе сети MPLS.
В частности Ingress LSR и Egress LSR являются граничными, а значит они тоже LER.

LSP - Label Switched Path - путь переключения меток. Это однонаправленный канал от Ingress LSR до Egress LSR, то есть путь, по которому фактически пройдёт пакет через MPLS-сеть. Иными словами - это последовательность LSR.
Важно понимать, что LSP на самом деле однонаправленный. Это означает, что, во-первых, трафик по нему передаётся только в одном направлении, во-вторых, если существует «туда», не обязательно существует «обратно», в-третьих, «обратно» не обязательно идёт по тому же пути, что «туда». Ну, это как туннельные интерфейсы в GRE.

Как выглядит LSP?

Да, вот так непрезентабельно.
Это компилированный вывод с четырёх LSR - R1, R2, R5, R6. То есть на LSR вы не увидите законченной последовательности узлов от входа до выхода, по типу атрибута AS-PATH в BGP. Здесь каждый узел знает только входную и выходную метки. Но LSP при этом существует.

Это похоже немного на IP-маршрутизацию. Несмотря на то, что существует путь от точки А до точки Б, таблица маршрутизации знает только следующий узел, куда надо отправлять трафик. Но разница в том, что LSR не принимает решение о каждом пакете на основе адреса назначения - путь определён заранее.

И одно из самых важный понятий, с которым необходимо разобраться - FEC - Forwarding Equivalence Class . Мне оно почему-то давалось очень тяжело, хотя по сути - всё просто. FEC - это классы трафика. В простейшем случае идентификатором класса является адресный префикс назначения (грубо говоря, IP-адрес или подсеть назначения).
Например, есть потоки трафика от разных клиентов и разных приложений, которые идут все на один адрес - все эти потоки принадлежат одному классу - одному FEC - используют один LSP.
Если мы возьмём другие потоки от других клиентов и приложений на другой адрес назначения - это будет соответственно другой класс и другой LSP.

В теории помимо адреса назначения FEC может учитывать, например, метки QoS, адрес источника, идентификатор VPN или тип приложений. Важно понимать тут, что пакеты одного FEC не обязаны следовать на один и тот же адрес назначения. И в то же время, если даже и два пакета следуют в одно место, не обязательно они будут принадлежать одному FEC.

Я поясню для чего всё это нужно. Дело в том, что для каждого FEC выбирается свой LSP - свой путь через сеть MPLS. И тогда, например, для WEB-сёрфинга вы устанавливаете приоритет QoS - это будет один FEC - а для VoIP - - другой FEC. И далее можно указать, что для FEC BE LSP должен идти широким, но долгим и негарантированным путём, а для FEC EF - можно узким, но быстрым.

К сожалению или к счастью, но сейчас в качестве FEC может выступать только IP-префикс. Такие вещи, как маркировка QoS не рассматриваются.

Если вы обратите внимание на таблицу меток, FEC там присутствует, поскольку параметры замены меток определяются как раз таки на основе FEC, но делается это только в первый момент времени - когда эти метки распределяются. Когда же по LSP бежит реальный трафик, никто, кроме Ingress LSR, уже не смотрит на него - только метки и интерфейсы. Всю работу по определению FEC и в какой LSP отправить трафик берёт на себя Ingress LSR - получив чистый пакет, он его анализирует, проверяет какому классу тот принадлежит и навешивает соответствующую метку. Пакеты разных FEC получат разные метки и будут отправлены в соответствующие интерфейсы.
Пакеты одного FEC получают одинаковые метки.

То есть промежуточные LSR - это молотилки, которые для всего транзитного трафика только и делают, что переключают метки. А всю интеллектуальную работу выполняют Ingress LSR.

LIB - Label Information Base - таблица меток. Аналог таблицы маршрутизации (RIB) в IP. В ней указано для каждой входной метки, что делать с пакетом - поменять метку или снять её и в какой интерфейс отправить.
LFIB - Label Forwarding Information Base - по аналогии с FIB - это база меток, к которой обращается сетевой процессор. При получении нового пакета нет нужды обращаться к CPU и делать lookup в таблицу меток - всё уже под рукой.

Одна из первоначальных идей MPLS - максимально разнести Control Plane и Data Plane - ушла в небытие.
Разработчикам хотелось, чтобы при передаче пакета через маршрутизатор не было никакого анализа - просто прочитал метку, поменял на другую, передал в нужный интерфейс.
Чтобы добиться этого, как раз и было два разнесённых процесса - относительно долгое построение пути (Control Plane) и быстрая передача по этому пути трафика (Data Plane)

Но с появлением дешёвых чипов (ASIC, FPGA) и механизма FIB обычная IP-передача тоже стала быстрой и простой.
Для маршрутизатора без разницы, куда смотреть при передаче пакета - в FIB или в LFIB.
А вот что, несомненно, важно и полезно - так это, что безразличие MPLS к тому, что передаётся под его заголовком - IP, Ethernet, ATM. Не нужно городить GRE или какие-то другие до боли в суставах неудобные VPN. Но об этом ещё поговорим.

Заголовок MPLS

Весь заголовок MPLS - это 32 бита. Формат полей и их длина фиксированы. Часто весь заголовок называют меткой, хотя это не совсем и верно.

Label - собственно сама метка. Длина - 20 бит.
TC - Traffic Class. Несёт в себе приоритет пакета, как поле DSCP в IP.
Длина 3 бита. То есть может кодировать 8 различных значений.
Например, при передаче IP-пакета через сеть MPLS значению в поле DSCP определённым образом ставится в соответствие значение TC. Таким образом пакет может почти одинаково обрабатываться в очередях на всём протяжении своего пути, как на участке чистого IP, так и в MPLS.
Но, естественно, это преобразование с потерями - шести битам DSCP тесно в 3 битах TC: 64 против 8. Поэтому существует специальная таблица соответствий, где целый диапазон - это всего лишь одно значение.

Первоначально поле носило название EXP (экспериментальное), а его содержимое не было регламентировано. Предполагалось, что оно может быть использовано для исследований, внедрения нового функционала. Но это в прошлом.
Если кто-то с вами спорит, что это поле экспериментальное и не утверждено формально за функцией QoS - он не шарит порядочно отстал от жизни .

В сети настроена простая политика QoS, в которой IP-пакеты, которые идут с хоста 10.0.17.7 на адрес 6.6.6.6, маркируются и передаются по сети MPLS. Для маркировки пакетов используется поле EXP, значение поля 3.

Схема

На маршрутизаторе R6 настроена политика QoS, которая классифицирует пакеты по полю EXP.
Но, при проверке оказалось, что политика на R6 не отрабатывает. То есть, нет пакетов, приходящих со значением EXP 3 и все пакеты попадают в class default.

Задание: Исправить конфигурацию так, чтобы политика на R6 срабатывала.

Маршрутизатор R7 используется в качестве клиента. Соответственно MPLS между R7 и R1 не включен.

Подробности задачи и конфигурации .
=====================

S - Bottom of Stack - индикатор дна стека меток длиной в 1 бит. Заголовков MPLS на пакете может быть несколько, например, внешняя для коммутации в сети MPLS, а внутренняя указывает на определённый VPN. Чтобы LSR понимал с чем он имеет дело. В бит S записывается «1», если это последняя метка (достигнуто дно стека) и «0», если стек содержит больше одной метки (ещё не дно). То есть LSR не знает, сколько всего меток в стеке, но знает, одна она или больше - да этого и достаточно на самом-то деле. Ведь любые решения принимаются на основе только самой верхней метки, независимо от того, что там под ней. Зато, снимая метку, он уже знает, что дальше сделать с пакетом: продолжить работу с процессом MPLS или отдать его какому-то другому (IP, Ethernet, ATM, FR итд).

Вот к этой фразе: “Зато, снимая метку, он уже знает, что дальше сделать с пакетом” - надо дать пояснение. В заголовке MPLS, как вы заметили, нет информации о содержимом (как Ethertype в Ethernet’е или Protocol в IP).
Это с одной стороны хорошо - внутри может быть что угодно - выше гибкость, а с другой стороны, как без анализа содержимого теперь определить, какому процессу передавать всё это хозяйство?
А тут небольшая хитрость - маршрутизатор, как вы увидите дальше, всегда сам выделяет метку и передаёт её своим соседям, поэтому он знает, для чего её выделял - для IP или для Ethernet или ещё для чего-то. Поэтому он просто добавляет эту информацию в свою таблицу меток. И в следующий раз, когда делает операцию Pop Label, он уже из таблицы (а не из пакета) знает, что дальше делать.

В общем, стек тут в классическом понимании - последним положили, первым взяли (LIFO - Last Input - First Output).

В итоге, несмотря на то, что длина заголовка MPLS фиксированная, самих заголовков может быть много - и все они располагаются друг за другом.

TTL - Time To Live - полный аналог IP TTL . Даже той же самой длиной обладает - 8 бит. Единственная задача - не допустить бесконечного блуждания пакета по сети в случае петли. При передаче IP-пакета через сеть MPLS значение IP TTL может быть скопировано в MPLS TTL, а потом обратно. Либо отсчёт начнётся опять с 255, а при выходе в чистую сеть IP значение IP TTL будет таким же, как до входа.

Как видите, заголовок MPLS втискивается между канальным уровнем и теми данными, которые он несёт - в случае IP - сетевым. Поэтому метафорически MPLS называется технологией 2,5 уровня, а заголовок - Shim-header - заголовок-клин.
К слову, метка не обязательно должна быть в заголовке MPLS. Согласно решению IETF, она может встраиваться в заголовки ATM, AAL5, Frame Relay.

Вот как оно выглядит в жизни:

Пространство меток

Как уже было сказано выше, может существовать 2^20 меток.

Из них несколько зарезервировано:

0 : IPv4 Explicit NULL Label . «Явная пустая метка». Она используется на самом последнем пролёте MPLS - перед Egress LSR - для того, чтобы уведомить его, что эту метку 0 можно снять, не просматривая таблицу меток (точнее LFIB).
Для тех FEC, что зарождаются локально (directly connected) Egress LSR выделяет метку 0 и передаёт своим соседям - предпоследним LSR (Penultimate LSR).
При передаче пакета данных предпоследний LSR меняет текущую метку на 0.
Когда Egress LSR получает пакет, он точно знает, что верхнюю метку нужно просто удалить.

Так было не всегда. Изначально предлагалось, что метка 0 может быть только на дне стека меток и при получении пакета с такой меткой, LSR должен вообще очистить упоминания об MPLS и начать обрабатывать данные.
В какой-то момент теоретики под давлением практиков согласились, что это нерационально и реального применения им придумать не удалось, поэтому отказались от обоих условий.
Так что теперь метка 0 не обязательно последняя (нижняя) и при операции Pop Label удаляется только она, а нижние остаются и пакет дальше обрабатывается в соответствии с новой верхней меткой.

1 : Метка Router Alert Label - аналог опции Router Alert в IP - может быть где угодно, кроме дна стека. Когда пакет приходит с такой меткой, он должен быть передан локальному модулю, а дальше он коммутируется в соответствии с меткой, которая была ниже - реальной транспортной, при этом наверх стека снова должна быть добавлена метка 1.

2 : IPv6 Explicit NULL Label - то же, что и 0, только с поправкой на версию протокола IP.

3 : Implicit Null . Фиктивная метка, которая используется для оптимизации процесса передачи пакета MPLS на Egress LSR. Эта метка может анонсироваться, но никогда не используется в заголовке MPLS реально. Рассмотрим её попозже.

4-15 : Зарезервированы.

В зависимости от вендора, могут быть зафиксированы и другие значения меток, например, на оборудовании Huawei метки 16-1023 используются для статических LSP, а всё, что выше - в динамических. В Cisco доступные метки начинаются уже с 16-й.

На следующей схеме все маршрутизаторы, кроме R5, это маршрутизаторы Huawei. R5 - Cisco.

Схема

Для приведенной ниже конфигурации маршрутизатора R5, необходимо настроить его таким образом, чтобы распределение значений меток соответствовало Huawei. Речь о том, что в Huawei динамические метки начинаются с 1024, а в Cisco с 16.

Конфигурация R5

Быстро, просто, понятно, хотя и не всегда нужно, чтобы все знали обо всём.

Второй режим - DoD - Downstream-on-Demand . LSR знает FEC, у него есть соседи, но пока они не спросят, какая для данного FEC метка, LSR сохраняет молчание.

Этот способ удобен, когда к LSP предъявляются какие-то требования, например, по ширине полосы. Зачем слать метку просто так, если она тут же будет отброшена? Лучше вышестоящий LSR запросит у нижестоящего: мне нужна от тебя метка для данного FEC - а тот: «ок, на».

Режим выделения меток специфичен для интерфейса и определяется в момент установки соединения. В сети могут быть использованы оба способа, но на одной линии, соседи должны договориться только об одном конкретном.

Ordered Control против Independent Control

Во-вторых , LSR может дожидаться, когда со стороны Egress LER придёт метка данного FEC, прежде чем рассказывать вышестоящим соседям. А может разослать метки для FEC, как только узнал о нём.

Первый режим называется Ordered Control

Гарантирует, что к моменту передачи данных весь путь вплоть до выходного LER будет построен.

Второй режим - Independent Control .

То есть метки передаются неупорядоченно. Удобен тем, что трафик можно начинать передавать ещё до того, как весь путь построен. Этим же и опасен.

Liberal Label Retention Mode против Conservative Label Retention Mode

В-третьих , важно, как LSR обращается с переданными ему метками.
Например, в такой ситуации, должен ли R1 хранить хранить информацию о метке 20, полученной от соседа R3, который не является лучшим способом добраться до R6?

А это определяется режимом удержания меток.
Liberal Label Retention Mode - метки сохраняются. В случае, когда R3 станет следующим шагом (например, проблемы с основным путём), трафик будет перенаправлен скорее, потому что метка уже есть. То есть скорость реакции выше, но велико и количество использованных меток.
Conservative Label Retention Mode - лишняя метка отбрасывается сразу, как она получена. Это позволяет сократить количество используемых меток, но и MPLS среагирует медленнее в случае аварии.

PHP

Нет, это не тот PHP, о котором вы подумали. Речь о Penultimate Hop Popping . Все инженеры немного оптимизаторы, вот и тут ребята подумали: а зачем нам два раза обрабатывать заголовки MPLS - сначала на предпоследнем маршрутизаторе, потом ещё на выходном.
И решили они, что метку нужно снимать на предпоследнем LSR и назвали сие действо - PHP.
Для PHP существует специальная метка - 3.
Возвращаясь к нашему примеру, для FEC 6.6.6.6 и 172.16.0.2 R6 выделяет метку 3 и сообщает её R5.
При передаче пакета на R6 R5 должен назначить ему фиктивную метку - 3, но фактически она не применяется и в интерфейс отправляется голый IP-пакет (стоит заметить, что PHP работает только в сетях IP) - то есть процедура Pop Label была выполнена ещё на R5.

Давайте проследим жизнь пакета с учётом всего, что мы теперь знаем.

С тем, как трафик передаётся, вроде, более или менее понятно. Но кто выполняет весь титанический труд по созданию меток, заполнению таблиц?

Протоколы распространения меток

Их не так много - три: LDP, RSVP-TE, MBGP.
Есть две глобальные цели - распространение траспортных меток и распространение меток сервисных.
Поясним: транспортные метки используются для передачи трафика по сети MPLS. Это как раз те, о которых мы говорим весь выпуск. Для них используются LDP и RSVP-TE.

Сервисные метки служат для разделения различных сервисов. Тут на арену выходят MBGP и отросток LDP - tLDP .
В частности MBGP позволяет, например, пометить, что вот такой-то маршрут принадлежит такому-то VPN. Потом он этот маршрут передаёт, как vpn-ipv4 family своему соседу с меткой, чтобы тот смог потом отделить мух от котлет.
Так вот, чтобы он мог отделить, ему и нужно сообщить о соответствии метка-FEC.
Но это действие другой пьесы, которую мы сыграем ещё через полгода-год.

Обязательным условием работы всех протоколов динамического распределения меток является базовая настройка IP-связности. То есть на сети должны быть запущены IGP.

Ну, вот теперь, когда я вас окончательно запутал, можно начинать распутывать.
Итак, как проще всего распределить метки? Ответ - включить LDP.

LDP

Протокол с очень прозрачным названием - Labed Distribution Protocol - имеет соответствующий принцип работы.
Рассмотрим его на сети linkmeup, которую мы мурыжим весь выпуск:

1. После включения LDP LSR делает мультикастовую рассылку UDP-дейтаграмм во все интерфейсы на адрес 224.0.0.2 и порт 646, где активирован LDP - так происходит поиск соседей.
TTL таких пакетов равен 1, поскольку LDP-соседство устанавливается между непосредственно подключенными узлами.

Вообще говоря, это не всегда так - LDP сессия может устанавливаться для определённых целей и с удалённым узлом, тогда это называется tLDP - Targeted LDP . О нём мы поговорим в других выпусках.

Такие сообщения называются Hello .

2. Когда соседи обнаружены, устанавливается TCP соединение с ними, тоже по порту 646 - Initialization . Дальнейшие сообщения (кроме Hello) передаются уже с TTL равным 255.

3. Теперь LSR периодически обмениваются сообщениями Keepalive адресно по TCP и по-прежнему не оставляют попыток найти соседей с помощью Hello.

4. В какой-то момент один из LSR обнаруживает в себе вторую личность - Egress LSR - то есть он является выходным для какого-то FEC. Это факт, о котором нужно сообщить миру.
В зависимости от режима он ждёт запроса на метку для данного FEC, либо рассылает его сразу же.

Эта информация передаётся в сообщении Label Mapping Message . Исходя из названия, оно несёт в себе соответствие FEC и метки.

R5 получает информацию о соответствии FEC 6.6.6.6/32 и метки 3 (implicit null) и записывает её в свою таблицу меток. Теперь, когда ему нужно будет отправить данные на 6.6.6.6 он будет знать, что нужно удалить верхний заголовок MPLS и отправить оставшийся пакет в интерфейс FE1/0.

Теперь R5 знает, что если пришёл пакет MPLS с меткой 20, его нужно передать в интерфейс FE1/0, сняв метку, то есть выполнив процедуру PHP.

R2 получает от R5 информацию о соответствии FEC-метка (6.6.6.6 - 20), вносит её в таблицу и, создав свою входную метку (18), передаёт её ещё выше. И так далее, пока все LSR не получат свою выходную метку.

Таким образом у нас построен LSP от R1 до R6. R1 при отправке пакета на 6.6.6.6/32 добавляет к нему метку 18 (Push Label) и посылает его в порт FE0/0. R2, получив пакет с меткой 18, меняет метку на 20 (Swap Label) и отправляет его в порт FE0/0. R5 видит, что для пакета с меткой 20, надо выполнить PHP (выходная метка - 3 - implicit null), снимает метку (Pop Label) и отправляет данные в порт FE1/0.

При этом параллельно оказались построены LSP от R2 до R6, от R5 до R6, от R4 до R6 итд. То есть ото всех LSR - просто я не показал это на иллюстрации.

Если у вас хватит сил, то на гифке ниже можно весь процесс посмотреть в динамике.

Естественно, вы понимаете, что не только R6 вдруг начал рассылать свои соответствия FEC-метка, но и все другие - R1 про 1.1.1.1/32, R2 - 2.2.2.2/32 итд. Все эти сообщения молниеносно разносятся по сети MPLS, строя десятки LSP. В результате каждый LSR будет знать про все существующие FEC и будет построен соответствующий LSP.

Опять же на гифке выше процесс показан не до конца, R1 потом передаёт информацию на R3, R3 на R4, R4 на R5.
И если мы посмотрим на R5, то увидим, что для FEC 6.6.6.6/32 у нас не одна выходная метка, как ожидалось, а 3:

Более того, сам R6 запишет метку для FEC 6.6.6.6, которую получит от R5:

Inuse - правильная - imp-null в сторону R6. Но две других из кольца - от R2 и R4. Это не ошибка и не петля - просто R2 и R4 сгенерировали эти метки для известного им из таблицы маршрутизации FEC 6.6.6.6/32.

Возникает два вопроса:
1) Как он планирует ими воспользоваться? Они же бестолковые. Ответ: а никак. Не может быть в нашей сети такой ситуации, когда 2.2.2.2 или 4.4.4.4 будут следующими узлами на пути к 6.6.6.6 - IGP так маршрут не построит. А значит и использованы метки не будут. Просто LDP-то глупый - его сообщения разбредаются по всей сети, пробиваясь в каждую щёлочку. А умный LSR уже решит каким пользоваться.
2) Что насчёт петель? Не будут сообщения LDP курсировать по сети пока TTL не истечёт?
А тут всё просто - получение нового сообщения Label Mapping Message не инициирует создание нового - полученное соответствие просто записывается в таблицу LDP. То есть в нашем случае R5 уже придумал один раз метку для FEC 6.6.6.6/32 и разослал её своим вышестоящим соседям и она уже не поменяется, пока процесс LDP не перезагрузится.

Возможно, вы уже заметили, что при настройке LDP есть возможность включить функционал Loop Detection, но спешу вас успокоить - это для сетей, где нет TTL, например, ATM. Этот функционал переключит LDP в режим DoD.

Это базовая информация о том, как работает LDP.
На самом деле здесь всё очень сильно зависит от производителя. В принципе LDP поддерживает всевозможные режимы работы с метками: и DoD/DU, и Independent Control/Ordered Control, и Conservative/Liberal Label Retention. Это никак не регламентируется RFC, поэтому каждый вендор волен выбирать свой путь.
Например, в основном все используют DU для LDP, но при этом в Juniper метки раздаются упорядоченно, а в Cisco независимо.
В качестве FEC в Huawei и Juniper выбираются только Loopback-интерфейсы LSR, а Cisco FEC создаётся для всех записей в таблице маршрутизации.

Но это всё едва ли как-то отразится на реальной сети.

Самое важное, что нужно понимать относительно LDP - он не использует в своей работе протоколы динамической маршрутизации - по принципу работы он похож на : наводняет всю сеть метками, но при этом он опирается на информацию из таблицы маршрутизации LSR. И если на R1 придёт две метки для одного FEC от разных соседей, то он выберет для LSP только ту, которая получена через лучший интерфейс до этого FEC по информации из ТМ.
Это означает три вещи:

• Вы вольны выбирать IGP, который вам больше нравится, хоть RIP .
• LDP всегда строит только один (лучший) маршрут и не может построить, например, резервный.
• При изменении топологии сети LSP перестроится в соответствии с обновившейся таблицей маршрутизации, то есть сначала должен сойтись IGP, и только потом поднимется LSP.

И вообще после включения LDP трафик будет ходить так же, как и без него, с той лишь разницей, что появляются метки MPLS.
В том числе LDP, как и IP, поддерживает ECMP , просто алгоритмы вычисления хэша, а соответственно и балансировки могут отличаться.

Для включения MPLS глобально, необходимо дать две команды:
R1(config)#ip cef R1(config)#mpls ip
Первая - это уже стандарт де факто и де юре почти на любом сетевом оборудовании - она запускает механизм CEF на маршрутизаторе, вторая стартует MPLS и LDP глобально (тоже может быть дана по умолчанию).

Router ID (а в более общей (нецисковской) терминологии LSR ID) в MPLS выбирается незамысловато:

1. Самый большой адрес Loopback-интерфейсов
2. Если их нет - самый большой IP-адрес, настроенный на маршрутизаторе.

Естественно, не стоит доверять автоматике - настроим LSR ID вручную:
R1(config)# mpls ldp router-id Loopback0 force
Если не добавлять ключевое слово «force» , Router ID изменится только при переустановлении LDP-сессии. «Force» заставляет маршрутизатор сменить Router ID насильно и при необходимости (если тот поменялся) переустанавливает соединение LDP.

Далее на нужных интерфейсах даём команду mpls ip :
R1(config)#interface FastEthernet 0/0 R1(config-if)#mpls ip R1(config)#interface FastEthernet 0/1 R1(config-if)#mpls ip
Cisco здесь опять использует свой принцип ленивого инженера - минимум усилий со стороны персонала. Команда mpls ip включает на интерфейсе LDP одновременно с MPLS, желаем мы этого или нет. Точно так же команда ip pim sparse-mode включает IGMP на интерфейсе, как я описывал это в статье про мультикаст .
После активации LDP маршрутизатор начинает прощупывать почву по UDP:

Проверяки посылаются на мультикастовый адрес 224.0.0.2.

Теперь повторяем все те же манипуляции на R2
R2(config)#ip cef R2(config)#mpls ip R2(config)# mpls ldp router-id Loopback0 force R2(config)#interface FastEthernet 0/0 R2(config-if)#mpls ip R2(config)#interface FastEthernet 0/1 R2(config-if)#mpls ip
и наслаждаемся результатом.
R2 тоже ищет соседей.

Узнали друг про друга, и R2 поднимает LDP-сессию:

Если интересно, как они устанавливают TCP-соединение

Теперь они соседи, что легко проверяется командой show mpls ldp neighbor .

Вот тут уже видно детали - R1 передаёт сразу 12 FEC - по одной для каждой записи в своей таблице маршрутизации. В такой же ситуации Huawei или Juniper передали бы только шесть FEC - адреса Loopback-интерфейсов, потому что они по умолчанию считают за FEC только /32-префиксы.
В этом плане Cisco очень неэкономно относится к ресурсу меток.
Впрочем, это поведение можно изменить на любом оборудовании. В нашем случае может помочь команда mpls ldp advertise-labels .

Но как так, спросите вы? Разве достаточно иметь метки только в Loopback?

Если в Cisco по умолчанию анонсируются метки для всех сетей (кроме полученных по BGP), то в Juniper, по умолчанию анонсируется только loopback.

Схема

Все маршрутизаторы, кроме R5, это маршрутизаторы Juniper.

Для приведенной ниже конфигурации маршрутизатора R5, донастроить его так, чтобы настройки маршрутизатора Cisco, соответствовало настройкам по умолчанию в Juniper.

Конфигурация R5

ip cef ! interface Loopback0 ip address 5.5.5.5 255.255.255.255 ip router isis ! interface FastEthernet0/0 description to R4 ip address 10.0.45.5 255.255.255.0 ip router isis mpls ip ! interface FastEthernet0/1 description to R2 ip address 10.0.25.5 255.255.255.0 ip router isis mpls ip ! interface FastEthernet1/0 description to R6 ip address 10.0.56.5 255.255.255.0 ip router isis mpls ip ! router isis net 10.0000.0000.0005.00 ! mpls ldp router-id Loopback0 force

И после этого посмотрим повторно на таблицу коммутации MPLS на R1 :

Для всех FEC уже появились метки.
Давайте пройдёмся по LSP от R1 до R6 и посмотрим как меняются метки по пути

Значит
1. Когда R1 21 Fa0/0 и поменять метку на 18 .
2. Когда R2 получает пакет MPLS с меткой 18 , он должен передать его в интерфейс Fa0/0 и поменять метку на 20 .
3. Когда R5 получает пакет MPLS с меткой 20 , он должен передать его в интерфейс Fa1/0 и снять метку - PHP .

В этом случае LSR даже не задумываются о том, чтобы глянуть что-то в таблице маршрутизации или в ip cef - они просто жонглируют метками.

Таблица коммутации, которую мы уже смотрели командой show mpls forwarding table - это LFIB (Lable Forwarding Information Base ) - почти что прописная истина для передачи данных - это Data Plane. Но что же там с Control Plane? Вряд ли LDP знает столько же? Наверняка у него ещё есть козыри в рукаве?
Так и есть:

Для каждого FEC мы тут видим информацию о различных метках:
local binding - что этот LSR передаёт соседям
remote binding - что этот LSR получил от соседей.

На иллюстрации выше вы можете видеть слово «tib». TIB - это Tag Information Base , которая правильно называется Label Information Base - LIB.
Это пережиток почившего в бозе TDP - прародителя LDP.

Обратите внимание, что везде по 2 remote binding - это два пути получения меток. Например, до R2 можно добрать от R1 напрямую, а можно через R3-R4-R5-R2.
То есть, понимаете да? Мало того, что он из каждой записи в таблице маршрутизации делает FEC, так этот негодяй ещё и Liberal Retention Mode использует для удержания меток.
Давайте подытожим: по умолчанию LDP в Cisco работает в следующих режимах:

• Independent Control
• Liberal Retention Mode
• В качестве FEC выбираются все записи в таблице маршрутизации

Короче говоря, щедроты его не знают границ.

Есть ещё команда show mpls ip binding . Она показывает нечто похожее и позволяет кроме того быстро узнать, какой путь сейчас активен, то есть как построен LSP:

И последний, пожалуй, вопрос, который возникает в связи со всеми этими LSP - когда маршрутизатор сам является Ingress LSR, как он понимает, что нужно делать с пакетами, как выбрать LSP?
А для этого вот и придётся заглянуть в IP CEF. Вообще именно на Ingress LSR ложится всё бремя обработки пакета, определения FEC и назначения правильных меток.

Тут вам и Next Hop и выходной интерфейс и выходная метка

И тут уже вы должны заметить, что в LDP понятия LER, Ingress LSR, Egress LSR - это не роль каких-то конкретных узлов или характеристика местоположения узла в сети. Они неотделимы от FEC и LSP, индивидуальны для них. То есть для каждого конкретного FEC есть один или несколько Egress LSR и множество Ingress LSR (как правило, все маршрутизаторы), до которых ведут LSP.
Даже скажем так, понятия LER возникают когда мы говорим о конкретном LSP, тогда мы можем сказать, кто является Ingress, кто Egress.

MPLS и BGP

До сих пор мы говорили о том как MPLS взаимодействует с IGP-протоколами. Мы убедились, что ничего сложного в этом нет и что настройки также довольно простые.

Но самое интересное кроется во взаимодействии MPLS с BGP. В этом выпуске мы лишь слегка затронем эту тему. Но в следующих, мы поговорим подробнее о том, какую роль играет BGP, и как с помощью него и MPLS мы можем организовывать различные типы VPN.
Сейчас же нам надо разобраться как MPLS и BGP взаимодействуют на самом базовом уровне.

Главное отличие BGP от IGP заключается в том, что MPLS не создает метки для маршрутов BGP. Если вспомнить о том, какое количество маршрутов передает BGP, то становится понятно, что это очень хорошая идея. Как же тогда состыковать MPLS и BGP?
Все просто:

1. создаем метки только для адресов, которые будут указаны как next-hop для маршрутов, которые мы получаем по BGP (тут надо не забыть про next-hop-self для IBGP-соседей).
2. Когда нашему Ingress LSR понадобится передать пакеты по маршруту, который был получен по BGP, отправляем их к next-hop, который указан в маршруте и используем ту метку, которая была создана для него.

Теперь, вместе того чтобы настраивать BGP на каждом маршрутизаторе в нашей AS, мы можем настраивать его только на пограничных маршрутизаторах, к которым подключены клиенты или другие провайдеры.

Посмотрим на примере сети:

Если нам надо добраться с R1 до сетей Филькин Сертификат, мы смотрим, что они доступны через R6 и «пролетаем» через MPLS до адреса 6.6.6.6. А когда мы добираемся до R6, он уже знает куда идти дальше. Аналогично будет и наоборот, в Балаган-Телеком.

Конфигурацию для этой схемы и пару команд с выводом информации, можно найти по ссылке .

В сети настроены MPLS и OSPF. MPLS настроен во всей сети, кроме соединения между R7 и R1.
Между маршрутизаторами R1-R2-R3-R4-R5-R6 трафик должен передаваться силами MPLS.
В сети также настроен BGP, который работает между R1 и R6.

Для маршрутов BGP не генерируются метки.
Для того чтобы R1 мог добраться до маршрутов, которые получены по BGP от R6, пакеты передаются средствами MPLS до IP-адреса, который указан как next-hop в маршрутах BGP.

Сейчас с R7 недоступен маршрут, который анонсируется по BGP маршрутизатором R6.

Задание:
Восстановить работу сети, чтобы с R7 пинговался адрес 100.0.0.1.

Ограничения:
Нельзя менять настройки BGP.

Схема

Подробности задачи и конфигурации узлов .
=====================

RSVP-TE

LDP хорош. Работает он просто и понятно. Но есть такая технология, как MPLS TE - Traffic Engineering. И ей недостаточно лучшего маршрута, который может обеспечить LDP.
Управление трафиком подразумевает, что вы можете направить трафик между узлами как вам угодно, учитывая различные ограничения.
Например, в нашей сети клиент имеет две точки подключения своих узлов - на R1 и на R6. И между ними он просит предоставить ему VPN с гарантированной шириной канала в 100 Мб/с. Но при этом у нас в сети ещё и обычные ШПДшники видео гоняют с вконтактика и дюжина других клиентов, которые VPN арендуют, но полосу им резервировать не надо.
Если не вмешаться в эту ситуацию, где-нибудь на R2 может возникнуть перегруз, и 100 Мб/с для дорогого клиента не достанется.

MPLS TE позволяет пройти по всей сети от отправителя до получателя и зарезервировать ресурсы на каждом узле. Если вы знакомы с концепцией IntServ, то да, это именно она - организовать QoS на всём протяжении пути, вместо того, чтобы позволить каждому маршрутизатору самому принимать решение для проходящего пакета.
Собственно, протокол RSVP (Resource ReSerVation Protocol ) изначально (в 1993-м году) и был задуман для организации IntServ в IP-сетях. Он должен был донести информацию о QoS для какого-то конкретного потока данных до каждого узла и заставить его зарезервировать ресурсы.

В первом приближении работает он просто.

1) Узел-источник хочет отправить поток данных со скоростью 5 Мб/с. Но перед этим он посылает RSVP запрос на резервирование полосы до получателя - Path Message . Это сообщение содержит некие идентификаторы потока, по которым узел потом сможет идентифицировать принадлежность полученных IP-пакетов потоку, и требуемую ширину полосы.
2) Сообщение Path передаётся от узла к узлу до самого получателя. Куда его послать, определяется на основе таблицы маршрутизации.
3) Каждый маршрутизатор, получив Path, проверяет свои ресурсы. Если у него есть достаточно свободной полосы, он настраивает свои внутренние алгоритмы так, чтобы пакеты потока были обработаны как следует и пропускной способности всегда хватало.
4) Если же у него нет необходимых 5 Мб/с (занято другими потоками), он отказывает в выделении ресурсов и возвращает соответствующее сообщение отправителю.
5) Пакет Path доходит до получателя потока, тот отправляет назад сообщение Resv , подтверждая выделение ресурсов на всём протяжении пути.
6) Изначальный отправитель, получив Resv, понимает, что всё для него готово, и он может отправлять данные.

На самом деле под этими четырьмя простыми шагами лежат гораздо более сложные процессы, но нам это не интересно.

А вот что нам интересно - так это расширение RSVP для Traffic Engineering , или проще - RSVP TE , которое было разработано специально для MPLS TE.
Его задача такая же, как у LDP - распределить метки между LSR и скомпилировать в итоге LSP от получателя до отправителя. Но теперь, как вы уже поняли, появляются нюансы - LSP должен удовлетворять определённым условиям.

RSVP TE позволяет строить основной и запасной LSP, резервировать ресурсы на всех узлах, обнаруживать аварии на сети, строить заранее обходные пути, делать быстрое перенаправление трафика, избегать каналов, которые физически проходят по одному пути.
Но всё это мы будем обсуждать в статье о MPLS TE через пару выпусков. А сегодня же мы сосредоточимся на принципах, согласно которым RSVP TE строит LSP.

От смены протокола не меняется то, что LSP - однонаправленный, соответственно и ресурсы будут резервироваться только в одном направлении. Хочешь в другом - создавай обратный LSP.

Для начала мы отбросим функционал резервирования ресурсов - пусть наша задача только создать LSP, то есть распределить метки между LSR.

Чтобы это стало возможно, стандартный RSVP расширяется добавлением нескольких объектов. Рассмотрим простейший вариант.
0) R1 нужен LSP до FEC 6.6.6.6/32. Это выглядит как интерфейс Tunnel на R1, у которого адрес назначений 6.6.6.6 и тип Traffic Engineering.
1) Он посылает сообщение RSVP Path в направлении 6.6.6.6. В этом сообщении появляется новый объект - Label Request . Сообщение Path провоцирует узел выделить метку для данного FEC - то есть это запрос метки.
2) Следующий узел формирует новое сообщение Path и также отправляет его в сторону 6.6.6.6. Итд.
3) Path достигает Egress LSR. Тот видит, что пакет-то ему адресован, выделяет метку и отправляет источнику сообщение Resv. В последнем тоже добавлен новый объект - Label . В нём Egress LSR передаёт свою метку для этого FEC предпоследнему, предпоследний предпредпоследнему свою итд.
4) Resv достигает источника, распределяя по пути метки. Таким образом создан LSP, а источник уведомлён, что всё готово.

Метки запрашиваются вниз по течению (сообщение Path от отправителя к получателю), а передаются вверх по течению (сообщение Resv от получателя к отправителю).
При этом обратите ваше внимание на то, что это уже самый что ни на есть Downstream on Demand + Ordered Control. Path выступает запросом метки, а Resv идёт от получателя шаг за шагом и, пока метку не выслал нижестоящий LSR, вышестоящий не может её отправить своим соседям.

Стоп! Мы говорили, что RSVP TE в отличие от LDP позволяет строить как мы хотим, не привязываясь к таблице маршрутизации и IGP, а тут пока просто «в направлении 6.6.6.6».
И вот тут мы подошли вплотную к фундаментальному отличию RSVP TE от LDP. RSVP TE очень тесно связан с протоколами динамической маршрутизации, он не просто опирается на результат их работы - он адаптирует их под себя, эксплуатирует в прямом смысле слова.
Во-первых , годятся только протоколы, основанные на алгоритмах по состоянию связи (link-state), то есть OSPF и ISIS.
Во-вторых , OSPF и ISIS расширяются введением новых элементов в протоколы. Так в OSPF появляется новый тип LSA - Opaque LSA , а в ISIS - новые TLV IS Neighbor и IP Reachability .
В-третьих , для расчёта пути между Ingress LSR и Egress LSR используется специальная модификация алгоритма SPF - CSPF (Constrained Shortest Path First ).

Теперь подробнее.

Сообщение Path в принципе передаётся юникастом адресно. То есть адрес отправителя у него - адрес R1, а получателя - 6.6.6.6. И оно могло бы дойти и просто по таблице маршрутизации.

Но фактически Path передаётся по сети не как FIB на душу положит на каждом узле, ведь мы тогда не сможем ни резервирование обеспечить, ни поиск запасных маршрутов. Нет, он следует определённому пути.
Этот путь определяется на Ingress LSR с точностью до каждого узла.
Чтобы построить этот путь, RSVP TE нужно знать топологию сети. Понимаете да, к чему мы приближаемся? Сам RSVP не утруждает себя её изучением, да и зачем, когда её можно получить у OSPF или ISIS. И тут же становится очевидно, почему сюда не подходят RIP, IGRP и EIGRP - ведь они не изучают топологию, максимум на что они способны - это Feasible Successor.
Но классический алгоритм SPF на входе имеет топологию сети, а на выходе может выдать только наибыстрейший маршрут с учётом метрик и , хотя просчитать может и все возможные пути.
И тут на сцену выходит CSPF. Именно этот алгоритм может посчитать лучший путь, второй по приоритетности путь и, например, ещё какой-нибудь запасной, чтобы хоть как-то добраться, пусть и через Китай .
То есть RSVP TE может обращаться к CSPF с просьбой вычислить для него какой-либо путь между двумя узлами.
Ну хорошо, а зачем для этого менять сами протоколы IGP? Вооот. А это уже Constraints - ограничения. RSVP TE может предъявлять требования к пути - ширина полосы пропускания, минимально доступная ширина, тип линии или даже узлы, через которые LSP должен пролегать. Так вот, чтобы CSPF мог учитывать ограничения, он должен знать и о них и о доступных ресурсах на узлах всей сети. Входными данными для него являются ограничения, заданные в туннеле и топология сети - логично будет, если топология будет содержать кроме префиксов и метрик ещё и информацию о доступных ресурсах.
Для этой цели маршрутизаторы обмениваются между собой через сообщения OSPF и ISIS не только базовой информацией, но и характеристиками линий, интерфейсов итд. Как раз в новых типах сообщений и передаётся эта информация.
Например, в OSPF для этого ввели 3 дополнительных типа LSA:

• Type 9 - link-local scope
• Type 10 - area-local scope
• Type 11 - AS scope

Opaque значит непрозрачный (для OSPF). Это специальные типы LSA, которые никак не учитываются в самом OSPF при расчёте таблицы маршрутизации. Их могут использовать любые другие протоколы для своих нужд. Так TE их использует для построения своей топологии (она называется TED - Traffic Egineering Database ). Но теоретически за TE они не закреплены - если вы напишете своё приложение для маршрутизаторов, которое будет требовать обмена какой-то информацией о топологии, вы тоже можете использовать Opaque LSA.
Точно так же работает и ISIS. Новые сообщения: IS-IS TLV 22 (Extended IS Reachability), 134 (Traffic Engineering router ID), 135 (Extended IP reachability).

Итак, взглянем более детализированно на весь этот процесс.

0) На R1 мы включили MPLS TE и настроили ISIS (OSPF) на передачу данных для поддержки TE. Маршрутизаторы обменялись информацией о доступных ресурсах. На этом шаге сформирована TED. RSVP молчит.

1) Мы создали туннельный интерфейс, где указали его тип (Traffic Engineering), адрес назначения (6.6.6.6) и необходимые требования по ресурсам. LSR запускает CSPF: нужно вычислить кратчайший путь от R1 до 6.6.6.6 с учётом накладываемых условий. На этом шаге мы получаем оптимальный путь - список узлов от источника до получателя (R2, R5, R6).

2) Результат предыдущего шага скармливается RSVP и трансформируется в объект ERO . R1 компилирует RSPV Path, куда, естественно, добавляет ERO. Адресат пакета - 6.6.6.6. Кроме того, имеется и объект Label Request, сообщающий о том, что при получении пакета нужно выделить метку для данного FEC (6.6.6.6/32).

ERO - Explicit Route Object - специальный объект сообщения RSVP Path. Он содержит список узлов, через которые суждено пройти этому сообщению.

3) Сообщение RSVP Path передаётся специальным образом - не по таблице маршрутизации, а по списку ERO. В нашем случае лучший маршрут IGP и ERO совпадают, поэтому пакет посылается на R2.

4) R2, получив RSVP Path, проверяет наличие требуемых ресурсов и, если они есть, выделяет метку MPLS для FEC 6.6.6.6/32. Старый пакет Path уничтожается и создаётся новый, причём объект ERO меняется - из него удаляется сам R2. Делается это для того, чтобы следующий узел не пытался вернуть пакет на R2. То есть новый ERO выглядит уже так: (R5, R6). В соответствии с ним R2 отправляет обновлённый Path на R5.

5) R5 совершает аналогичные операции: проверяет ресурсы, выделяет метку, удаляет себя из ERO, пересоздаёт пакет Path и передаёт в интерфейс, через который ему известен следующий объект ERO - R6.

6) R6, получив пакет, понимает, что он виновник всей суматохи. Он уничтожает Path, выделяет метку для FEC 6.6.6.6 и вставляет её как объект Label в ответное сообщение Resv.
Заметьте, до этого шага метки только выделялись, но не распространялись, теперь же они начинают анонсироваться тем LSR, которые их запрашивали.
7) Сообщение RESV продвигается к R1 (Ingress LSR), оставляя за собой растущий хвост LSP. Resv должно пройти через те же узлы, что Path, но в обратном порядке.

8) В конце концов LSP от R1 до 6.6.6.6 сформирован. Данные по нему могут передаваться только от R1 к R6. Чтобы позволить передачу данных в обратном направлении, нужно создать туннельный интерфейс на R6 с адресом назначения 1.1.1.1 - все действия будут точно такими же.

Возникает вопрос - почему адресат пакета Path 6.6.6.6, если передаётся он узел за узлом и их адреса известны? Вопрос этот не праздный - он ведёт нас к одной важной особенности. Объект ERO может на самом деле содержать не все узлы от Ingress LSR до Egress LSR - некоторые могут быть опущены. Поэтому каждый LSR должен знать, куда в итоге направляется сообщение. И происходить это может не потому что Ingress LSR лень просчитать весь путь.
Проблема в зонах IGP. Вы знаете, что и в OSPF и в ISIS существует это понятие для того, чтобы упростить маршрутизацию. В больших сетях (сотни и тысячи узлов) встаёт проблема широковещательных рассылок служебных пакетов и просчёт огромного количества комбинация алгоритмом SPF. Поэтому один глобальный домен делится на зоны маршрутизации.
И вся загвоздка в том, что если внутри зоны IGP и является протоколом по состоянию связи (link-state), то между ними - он самый настоящий дистанционно-векторный - топология сети строится только внутри зоны, любые внутренние маршрутизаторы не знают, как устроены другие зоны - они только поставлены в известность, что для того, чтобы попасть в ту или иную сеть, им нужно отправлять пакеты на конкретный ABR .
Иными словами, если у вас сеть поделена на зоны, то с MPLS TE возникают затруднения - CSPF не может просчитать весь путь, потому что в его топологии адресат из другой зоны - это облако, а не конкретный узел.
И тут на помощь приходит Explicit Path (не путать с объектом ERO). Это самый, что ни на есть, прямой способ управления путём построения LSP - администратор может самостоятельно и явно задать те узлы, через которые нужно проложить LSP. Ingress LSR должен точно следовать таким указаниям. Это вносит в жизнь алгоритма CSPF ещё немного разнообразия.
Как Explicit Path помогает пробить зону? Давайте на примере.

Мы возьмём и укажем, что обязательно должны быть промежуточные точки:
Explicit-path: R1, R3, R5.

Когда этот Explicit Path мы скармливаем CSPF, он строит тот кусок, который может, то есть в пределах Area 0: от R1 до R3.
То, что он насчитал, заносится в ERO, плюс в него добавляются и ещё один узел из Explicit-path - R5. Получается: R1, R2, R3. Path отправляется по сети согласно ERO, доходит до R3. Тот видит, что он в общем-то не адресат, а только перевалочный пункт, берёт заданные условия по требуемым ресурсам и адрес узла-получателя из Explicit-path и запускает CSPF. Последний выдаёт полный список узлов до адресата (R3, R4, R5), который преобразуется в ERO, и дальше всё происходит по стандартному сценарию.
То есть в случае нахождения Ingress LSR и Egress LSR в разных зонах вычисление пути выполняется отдельно для каждой зоны, а контрольной точкой является ABR.

Следует понимать, что Explicit Path используется не только для этого случая, но это вообще удобный инструмент, ведь вы можете явно указать, как нужно проложить LSP или наоборот, через какие узлы не надо прокладывать LSP.
Этого и много другого мы коснёмся детально в выпуске, посвящённом MPLS TE.

Меня могут упрекнуть в лукавстве, сказав, что не настолько уж и обязателен Link-State IGP. Ну вот хочется на моноцисочной сети запустить EIGRP, сил нет. Или вообще некрофильные позывы заставляют откопать RIP. И что теперь? Отказаться от TE?
В общем есть спасение, но только на оборудовании Cisco - называется оно Verbatim .

Ведь для чего нам нужен Link-State протокол? Он собирает информацию о топологии TE, а CSPF строит путь от Ingress LSR до Egress LSR. Таак. Отлично. А что если мы возьмём и состряпаем Explicit Path, где перечислим все узлы один за другим? Ведь тогда не надо ничего считать.
На самом деле, как бы подробно вы ни составили явный путь, он всё равно будет передан CSPF.
Но такое поведение можно отключить. Как раз для случаев, описанных выше.
Поможет такая команда:
Router(config-if)# tunnel mpls traffic-eng path-option 1 explicit name test verbatim
То ест данный путь будет взят как заведомо верный безо всяких проверок и пересчётов CSPF.
Такой сценарий стоит под большим вопросом, а его плюсы весьма призрачны. Однако возможность есть, и не говорите потом, что я вам про неё не рассказал.

Практика RSVP TE

Команда mpls ip была нам нужна для работы LDP. Теперь в ней больше нет нужды - удаляем её и начинаем с чистого листа .
Теперь нам понадобится mpls traffic-eng tunnels . Она глобально включает поддержку TE-туннелей и собственно RSVP TE:
R1(config)#mpls traffic-eng tunnels
Также необходимо включить то же самое на интерфейсах:

R1(config)# interface FastEthernet 0/0 R1(config-if)# mpls traffic-eng tunnels R1(config)# interface FastEthernet 0/1 R1(config-if)# mpls traffic-eng tunnels
Пока ничего не происходит. RSVP молчит.

Сейчас мы расширим IGP на передачу данных TE. В своём примере мы используем ISIS:
R1(config)#router isis R1(config-router)# metric-style wide R1(config-router)# mpls traffic-eng router-id Loopback0 R1(config-router)# mpls traffic-eng level-2
Включить режим расширенных меток - обязательно, иначе TE не заработает.
Задать LSR-ID, как мы это делали и в LDP,
Необходимо задать конкретный уровень ISIS, иначе, TE не заработает.

Если вдруг вы используете OSPF

R1(config)# mpls traffic-eng area 0
R1(config-router)# mpls traffic-eng router-id Loopback0

Эти шаги нужно повторить на других маршрутизаторах.

Сразу после этого ISIS начинает обмениваться информацией о TE:

Как видите передаётся информация о LSR-ID, расширенная информация о соседях (которые поддерживают TE), расширенная информация о интерфейсах.

На этом этапе сформирована TED.

Саму топологию вы можете посмотреть в ISIS: #show isis database verbose

RSVP пока молчит.

Теперь настроим TE-туннель.
R1(config)# interface Tunnel1 R1(config-if)# ip unnumbered Loopback0 R1(config-if)# tunnel destination 6.6.6.6 R1(config-if)# tunnel mode mpls traffic-eng R1(config-if)# tunnel mpls traffic-eng path-option 10 dynamic
Туннельные интерфейсы - вещь очень универсальная на маршрутизаторах. Они могут использоваться для L2TP, GRE, IPIP и, как видите, для MPLS TE.
ip unnumbered Loopback0 означает, что отправной точкой туннеля должен быть адрес интерфейса Loopback0.
tunnel destination 6.6.6.6 - универсальная для туннельных интерфейсов команда, определяет точку терминации, окончания туннеля.
tunnel mode mpls traffic-eng - задаёт тип. Именно здесь и определяется алгоритм работы туннеля, как его строить.
tunnel mpls traffic-eng path-option 10 dynamic - эта команда позволяет CSPF построить путь динамически, без задания промежуточных узлов.

Если до этого вы всё сделали правильно, то туннельный интерфейс должен подняться:
%LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up

Что при этом произошло?
R1 отправил Path.

Дамп снят на линии R1-R2.

Нас в нём интересуют адрес назначения, объекты ERO и Label Request.
Адрес назначения - 6.6.6.6, как и настроили в туннеле.
Explicit Route:
10.0.12.2 -> 10.0.25.2 -> 10.0.25.5 -> 10.0.56.5 -> 10.0.56.6.
То есть в нём прописан линковый адрес выходного интерфейса и линковый же адрес следующего узла. Каждый LSR таким образом точно знает, в какой интерфейс нужно отправить Path.
В данном ERO нет 10.0.12.1, потому что R1 уже удалил его перед отправкой.
Факт наличия Label Request говорит о том, что LSR должен выделить метку для данного FEC.
При этом он никак не отвечает на этот Path пока - он посылает обновлённый дальше.
Resv ниже посылается после того, как пришёл Resv от нижестоящего LSR.

То же самое происходит на R5:

Дамп снят на линии R2-R5.

Дамп снят на линии R2-R5.

Так Path доходит до R6. Тот отправляет назад RSPV Resv:

Дамп снят на линии R5-R6.

На дампе хорошо видно, что Resv передаётся от узла к узлу.
В объекте Label передаётся метка, выделенная данному FEC.

Обратите внимание, что R6 присвоил метку 0 - Expliсit Null. Вообще это нормальная ситуация - делается это для того, чтобы метка MPLS между R5 и R6 была (для обработки пакета согласно значению в поле EXP, например), но R6 сразу же понял, что метку 0 надо сбрасывать и обрабатывать то, что под ней, а не производил поиск в таблице меток.
Проблема в том, что в пакете меток может быть больше одной (например, для VPN), но согласно RFC 3032 (да и мы раньше об этом говорили) R5 должен удалить весь стек меток, сколько бы их ни было, и передать пакет с одной меткой 0. При этом, конечно, всё сломается.
На самом деле, требование того, чтобы метка 0 была единственной в стеке, выглядит неоправданным - применений этому нет. Поэтому в RFC 4182 это ограничение убрали. Теперь метка 0 может быть не единственной в стеке.
Интересная особенность - PHP. Несмотря на то, что для этого есть специальная метка - 3 - LSR совершит PHP даже при получении метки 0. Подробнее у того же Пепельняка .

R5 передаёт Resv на R2, а R2 на R1.


Дамп снят на линии R1-R2.

Тут, как видите, уже метка нормальная - 16.

Как бы внимательно вы ни приглядывались к Resv, вы не увидите там пути, по которому нужно пройти, а список узлов должен быть тем же самым, чтобы успешно раздать метки и построить LSP. Как это решается?

ВиО

В1: Чем отличаются RSVP TE LSP и LDP LSP?

Строго говоря, с точки зрения как вышестоящиех протоколов, так и самого MPLS таких понятий нет вообще. LSP - он и есть LSP - это просто путь коммутации меток.
Можно выделить термин CR-LSP (ConstRaint-based LSP) - он строится RSVP TE. В этом плане разница в том, что CR-LSP удовлетворяет условиям заданным в туннельном интерфейсе.

В2: Как соотносятся Explicit Path и ERO?

Если для туннеля задан Explicit Path, то RSVP формирует ERO, учитывая требования Explicit Path. При этом даже если вы в Explicit-Path пропишите каждый узел до Egress LSR, RSVP всё равно загонит данные в CSPF.

В3: Если один из промежуточных узлов не будет поддерживать LDP (RSVP TE) или протокол будет выключен на интерфейсе/платформе, будет ли построен LSP так, например, чтобы на этом узле он переходил в IP, а потом на следующем снова в MPLS?

В случае RSVP TE Ingress LSR не будет иметь данного узла в TED и не сможет выстроить путь до Egress LSR, соответственно не пошлёт Path, соответственно, не будет и меток и LSP.
Трафик через туннель передаваться не сможет.

Если же речь о LDP, то ситуация интереснее. Например, если на R2 выключить LDP на интерфейсе FE0/0 (в сторону R5), то
1) на R1 будет метка для FEC 6.6.6.6/32. Причём их будет 2: одна через R2, другая - через R3, поскольку согласно таблице маршрутизации лучший - через R2, то и LSP будет лежать в сторону R2.
2) на R2 метка будет, но только одна - в сторону 1.1.1.1. Это не лучший путь, поэтому он не будет использован. То есть здесь LSP от R1 к FEC 6.6.6.6/32 прекращает своё существование.
3) на R5 метка для FEC 6.6.6.6/32 будет

То есть, вроде бы, мы получаем разорванный LSP: {R1-R2, R5-R6}. Но на самом деле, это не так. LSP на то и Label Switched, чтобы на протяжении всего пути на нём менялись метки, а у нас получается от R1 до R2 MPLS, от R2 до R5 IP, а от R5 до R6 опять MPLS. LSP для FEC 6.6.6.6/32 здесь нет . Обычный трафик тут пройдёт, в принципе, но если говорить о каких-то применениях MPLS, таких, например, как VPN, то это работать не будет.

В4: Хорошо, зачем нужен MPLS будет понятно из следующих статей - пока это вообще какая-то искусственная ерунда, чтобы усложнить жизнь инженера, но зачем мне MPLS TE-то? Ведь трафик можно направить нужным мне путём с помощью метрик IGP.

Начнём с того, что это тема будущих выпусков. Но…
Вообще говоря, если вы хотите определять путь, по которому пойдёт трафик, то это действительно можно сделать путём хитрой настройки стоимости линков, интерфейсов итд. Но обслуживание такой системы доставит вам те ещё хлопоты с одной стороны, а с другой у вас всё равно не получится направить два разных потока разными путями. То есть если стоит задача разгрузить сеть путём распределения трафика, то с помощью метрик вы просто перенесёте проблему с одного плеча на другое.
А вот если у вас будет несколько разных LSP и вы сможете направить в них трафик, то это пожалуйста. Хотя в плане простоты поддержки TE тоже вызывает вопросы.

Ну и вообще подумайте, если вам нужны для двух клиентов гарантированные каналы 40 Мб/с и 50 Мб/с соответственно, как вы будете отслеживать утилизацию линий? Ну хорошо, один раз вы вычислили и настроили каким-то чудесным образом маршрутизацию и QoS так, чтобы обеспечить нужный уровень услуги, но вдруг у вас срезают в трёх местах 3 километра оптики разом и вы неделю не можете починить. И у вас даже есть три резервных канала по 50Мб/с, но трафик обоих клиентов попёр в одно место, наплевав на все ваши формальные SLA .

В5: Так чем всё-таки отличаются метки Explicit Null и Implicit Null? Нужно ли мне о них действительно знать?

Нужно. Первоначально предполагается, что по сети MPLS пакет всегда коммутируется по меткам от первого до последнего LSR. А на последнем пролёте метка будет «0», чтоб Egress LSR сразу знал, что её нужно снять. Эта метка позволяет не потерять приоритет, заданный в поле TC заголовка MPLS, который копируется по мере передачи пакета по сети. В итоге даже последний маршрутизатор обработает данные в правильных очередях.

В концепции с использованием метки «3» решили отказаться от лишних действий на Egress LSR. Если вас не волнует QoS (или вы скопировали приоритет, например, в поле DSCP), то острой нужды в транспортной метке на последнем пролёте нет - главное отправить в правильный интерфейс, а там Egress LSR разберётся. Если там был чистый IP-пакет - отдать его процессу IP, если был какой-нибудь E1, передать поток в нужный интерфейс, если стек меток, то сделать lookup в LFIB и посмотреть, какие дальнейшие действия нужно предпринять.

В6: Для одного FEC LSR всегда будет выделять одну и ту же метку всем своим соседям?

Существует понятие пространства меток:

• пространство меток интерфейса
• пространство меток слота
• пространство меток платформы

Если метки специфичны для каждого интерфейса, тогда для одного FEC в разные порты могут быть отправлены разные метки.
И наоборот - если метки специфичны для платформы (читай всего LSR), то маршрутизатор во все порты для одного FEC обязан отправить одинаковые метки.
В примерах ниже вы увидите, что у нас для одного FEC отправляются одинаковые метки разным соседям, но это ещё не говорит о том, как организовано пространство меток. Это вещь сугубо индивидуальная и завязана на аппаратном обеспечении.

Важно понимать, что технология MPLS никак не регламентирует протокол распространения меток, но конечные результаты на конкретной сети вполне могут различаться при использовании разных протоколов. Вышестоящие протоколы и приложения используют LSP безотносительно того, кем и как они построены.
Кстати нередко в современных сетях встречается сценарий LPD over TE. В этом случае RSVP-TE используется для организации транспорта и реализации Traffic Engineering, а LDP для обмена метками VPN, например.
Egress LSR, записывая в заголовок MPLS первую метку, определяет весь путь пакета. Промежуточные маршрутизаторы просто меняют одну метку на другую. Содержимое может быть совершенно любым. Как раз вот эта мультипротокольность позволяет MPLS служить основой для разнообразных сервисов VPN. Добавить метки

FTP – протокол пересылки файлов и многие другие) а с другой – обрело совместимость со всеми популярными стандартами физического, канального и сетевого уровней, в том числе и X.25. Однако широкие возможности сети TCP/ IP не отменяют ее недостатки. Основные из них – это проблемы безопасности и гарантии качества связи. И если задачу по обеспечению безопасности IP -сети еще можно решить, используя различные механизмы шифрования и защиты (например стандарты IPSec), то проблема отсутствия гарантированной скорости передачи данных, которую требуют такие чувствительные к задержкам приложения, как системы передачи голоса и видео, пока остается нерешенной.

Что касается протокола X.25, то в нем изначально была заложена высокая надежность . Когда X.25 создавался, преобладали аналоговые системы передачи данных и медные линии связи. Стремясь нивелировать невысокое качество каналов того времени, стандарт использует систему обнаружения и коррекции ошибок, что существенно повышает надежность связи, но зато замедляет общую скорость передачи данных. Кроме того, каждый коммутатор , через который проходит пакет информации, выполняет анализ его содержимого, что также требует времени и больших процессорных мощностей. С появлением оптоволоконных сетей столь высокие требования надежности, реализуемые X.25, стали излишними – достоинство протокола превратилось в его недостаток. Скорость передачи по протоколу Х.25 не превышает 64 Кб/с.

Протоколом, призванным исправить недостатки X.25, стал Frame Relay . Он использует тот же принцип виртуальных каналов, однако анализ ошибок осуществляется только на пограничных точках сети, что привело к существенному увеличению скорости (в настоящее время – до 45 Мб/с). Существенным достоинством протокола стала возможность приоритезации разнородного трафика (включая данные, голос и видео), то есть пакетам различных приложений могут предоставляться различные классы обслуживания, благодаря чему пакеты с более высоким приоритетом доставляются "вне очереди". Эти преимущества Frame Relay были развиты при создании технологии асинхронной передачи (АТМ).

Протокол ATM разбивает весь трафик на пакеты строго фиксированной длины (их называют ячейками), которые асинхронно мультиплексируются в единый цифровой тракт в соответствии с присвоенным приоритетом. Благодаря малой длине ячеек (53 байта), можно организовать одновременную передачу потока данных сразу нескольких служб, критичных ко времени доставки – ячейки с данными различных приложений будут вставляться в поток попеременно, обеспечивая каждому приложению необходимую скорость обмена данными. Технология ATM обеспечивает совместный пропуск трафика на скоростях от 1,5 Мб/с до 40 Гб/с. Как Frame Relay , так и ATM обеспечивают высокую степень безопасности - благодаря тому, что весь трафик в магистральной сети не маршрутизируется, а коммутируется на основе локальных меток DLCI (Frame Relay ) или VPI / VCI (АТМ) по виртуальным каналам, к которым несанкционированный пользователь не может подключиться, не изменив таблицы коммутации узлов сети.

Однако, при создании сетей с большим количеством точек доступа по виртуальным каналам, тот самый, "телефонный" принцип соединения, заложенный еще в технологии X.25 начинает доставлять определенные неудобства пользователям. Виртуальные сети ( VPN ) на основе протоколов Frame Relay и ATM становятся слишком громоздкими и трудно управляемыми. Действительно, чтобы обеспечить связь "каждый с каждым" необходимо выполнить операции по конфигурированию каждого канала. Сколько? Количество виртуальных каналов можно посчитать по формуле N*(N – 1)/2, где N – количество точек доступа. Допустим, что у компании 50 подразделений. В таком случае ей придется организовать 2450 двунаправленных каналов или 4900 однонаправленных. То есть при увеличении числа точек доступа вероятность ошибки в конфигурировании сети возрастает в квадратичной прогрессии. Да и стоить такая сеть будет немало, ведь операторы обычно требуют оплату в зависимости от количества каналов. Построение же сети на основе протокола ATM является и само по себе достаточно дорогой технологией, не считая необходимости адаптации оконечного оборудования к ATM . Поэтому сейчас этот протокол используется в основном для предоставления услуг на магистральном уровне, для передачи больших объемов информации.

По данным операторов сетей, до 90% от информации, пересылаемой в сетях Frame Relay и ATM , составляет IP -трафик. Таким образом, абсолютно логичной выглядит идея объединить в одной технологии те преимущества, что дает протокол IP , одновременно предоставляя гарантию качества и надежность протоколов ATM и Frame Relay .

В 1996 году Ipsilon, Cisco, IBM и несколько других компаний объединили свои фирменные разработки и создали технологию многопротокольной коммутации на основе меток (MPLS – Multiprotocol Label Switching ). Основная идея разработки состояла в том, чтобы реализовать возможность передачи трафика по наименее загруженным маршрутам IP -сети и обеспечить легкость конфигурирования VPN с одновременной поддержкой гарантии качества передачи, а также присвоения приоритетов различным видам трафика.

Введение в MPLS

Многопротокольная коммутация по меткам MPLS – технология, разработанная рабочей группой по созданию интегрированных услуг IETF. Это новая архитектура построения магистральных сетей , которая значительно расширяет имеющиеся перспективы масштабирования, повышает скорость обработки трафика и предоставляет огромные возможности для организации дополнительных услуг.

Технология MPLS сочетает в себе возможности управления трафиком, присущие технологиям канального уровня, и масштабируемость и гибкость протоколов, характерные для сетевого уровня. Являясь результатом слияния механизмов разных компаний, она впитала в себя наиболее эффективные решения каждой. MPLS соединила в себе надежность ATM, удобные и мощные средства доставки и обеспечения гарантированного качества обслуживания IP-сетей, - такая интеграция сетей позволяет получить дополнительную выгоду из совместного использования протоколов IP и ATM.

Главная особенность технологии MPLS – отделение процесса коммутации пакета от анализа IP-адреса в его заголовке, что позволяет осуществлять коммутацию пакетов значительно быстрее. В соответствии с протоколом MPLS маршрутизаторы и коммутаторы присваивают на каждой точке входа в таблицу маршрутизации особую метку и сообщают эту метку соседним устройствам.

Наличие таких меток позволяет маршрутизаторам и коммутаторам, поддерживающим технологию MPLS , определять следующий шаг в маршруте пакета без выполнения процедуры поиска адреса. На сегодняшний день существуют три основные области применения MPLS :

• управление трафиком;
• поддержка классов обслуживания (CoS);
• организация виртуальных частных сетей (VPN).

Расположение технологии MPLS в семиуровневой модели ВОС показано на рис. 9.1 .

Рис. 9.1.

Сетевой уровень – это комплексный уровень, который обеспечивает возможность соединения и выбор маршрута между двумя конечными системами, подключенными к разным "подсетям", которые могут находиться в разных географических пунктах. В данном случае "подсеть" – это, по сути, независимый сетевой кабель (иногда называемый сегментом). Так как две конечные системы, желающие организовать связь, может разделять значительное географическое расстояние и множество подсетей, сетевой уровень является доменом маршрутизации. Протоколы маршрутизации выбирают оптимальные маршруты через последовательность соединенных между собой подсетей. Традиционные протоколы сетевого уровня передают информацию вдоль этих маршрутов.

введение

G’B среде с обйчной маршрутизацией дейтаграммы 3-го уровня направляются от ис- гТОчника к получателю последовательно (отдельными переходами). Промежуточные ^ маршрутизаторы анализируют заголовок 3-го уровня каждого фрейма и ищут в таблице маршрутизации адрес следующего узла в направлении получателя. Хотя в некото- щ рых маршрутизаторах/для ускоренного определения адреса используются методы anil паратной"..и программной коммутации (например, скоростная пересылка Cisco ), создающие для определении пути к получателю высокоскоростные кэш-элементы, в целом эти методы основываются на протоколе маршру- ^1|газации 3-го уровня.

S К сожалению, протоколы маршрутизации практически не могут просматривать характеристики сети на 2-м уровне, в частности, учитывать требования качества обслуживания (QoS) и загрузку сети. Быстрые изменения типа и объема потоков данный; обрабатываемых в сети Internet, и взрывной рост числа пользователей вызывают беспрецедентные нагрузки на инфраструктуру Internet. Это требует использований Новых систем управления потоками. Целью использования коммутации MPLS и; eei^предшественницы, коммутации по тегам, является решение многих проблем, ^ вызванных общим развитием глобальной сети Internet и высокоскоростных каналов передачи данных. ,

Для удовлетворения этих новых требований была разработана многопротокольная коммутацияпо метке (Multiprotocol Label Switching- MPLS), изменяющая сам принцип последовательной маршрутизации При использовании коммутации MPLS граничные маршрутизаторы определяют маршруты в сети на основании определяемых пОЛьзбвателем требований с учетом требуемого качества обслуживания QoS и необхо- димой приложению полосы пропускания. Иными словами, при выборе маршрута в сети, которая использует только маршрутизаторы, теперь можно учитывать атрибуты

2- jO уровня. Такое решение позволяет Internet-провайдерам (Internet service provider - ISP) и крупным промышленным сетям реализовать объединенную инфраструктуру

3- го уровня, которая может удовлетворять требования, которые ранее могли выпол- .^Нйться только в магистрали 2-го уровня (такой как магистраль Frame Relay или ATM).

По существу технология MPLS объединяет богатство функций IP-маршрутизации и | простоту последовательной коммутации технологий Frame Relay и ATM, осуществляя

if hi- SS- гармоничное слияние ориентированной на соединение пересылки 2-го уровня со средой протокола IP, для которого характерна связь без установки соединения. В силу своей двойственной природы (действуя как на уровне протокола IP, так и на уровне коммутации по меткам), устройства MPLS часто называются маршрутизаторами, осуществляющими коммутацию по метке (Label Switch Router - LSR) или LSR-устройствами.

Основываясь на фирменном протоколе коммутации тегов Cisco, группа IETF определяет MPLS как протокол, не зависящий от производителя. У этих двух протоколов много общего. Единственным серьезным различием являются детали протокола, используемого смежными устройствами MPLS, который дает возможность сетевым администраторам осуществлять постепенный переход от сетей с коммутацией по тегам к основанным на стандартах сетям MPLS.

Терминология MPLS

использует ряд новых терминов. Ниже описаны наиболее важные из них.

Заголовок метки (Label header). Заголовок, создаваемый граничным LSR- устройством и используемый другими LSR-устройствами для пересылки пакетов. Формат заголовка меняется в зависимости от типа используемой в сети передающей среды. В сетях ATM метка располагается в полях VPI/VCI заголовка каждой ATM-ячейки. Во всех остальных средах (например, в LAN-сетях или в каналах типа "точка-точка") этот заголовок является "промежуточным" (shim) и располагается между заголовками 2-го и 3-го уровней, как показано на рис. 32.1. Заголовок метки может содержать одну метку или стек меток.

Информационная база пересылки по меткам (Label Forwarding Information Base - LFIB). Таблица, созданная устройством коммутации по метке (Label Switch- Capable Device - LSR), которая указывает, куда и как следует пересылать фреймы с определенными значениями меток.

Маршрутизатор коммутации по метке или LSR-устройство (Label Switch Router - LSR). Коммутатор или маршрутизатор, который передает элементы с метками согласно значению этих меток.

Граничный маршрутизатор коммутации по метке или граничное LSR-устройство (edge LSR). Устройство, первым добавляющее или последним удаляющее метку из пакета. Граничное LSR-устройство имеет интерфейсы, соединенные с другими LSR-устройствами и интерфейсы, соединенные с устройствами, не обладающими функциями MPLS (например, с узлами протокола IP).

Базовое LSR-устройство (Core LSR). Устройство, выполняющее коммутацию на основе значения метки, содержащегося в заголовке пакета. Все интерфейсы такого устройства соединены с другими LSR-устройствами.

Пересылка с использованием коммутации по метке (label switched). Решение о передаче, принятое LSR-устройством на основании метки, содержащейся во фрейме/ячейке.

Маршрут с коммутацией по меткам (Label-switched path - LSP). Определяемый метками маршрут между двумя граничными LSR-устройствами, проходящий через базовые LSR.

Рис. 32. /. Положение заголовка метки MPLS во фрейме 2-го уровня

Для описания работы MPLS в среде ATM определены несколько новых терминов, приведенных ниже.

Виртуальный канал с коммутацией по метке (Label virtual circuit - LVC). Маршрут LSP в системе 1Р+АТМ (сеть ATM с функциями коммутации по меткам).

Контроллер коммутации по меткам (Label switch controller - LSC). Соединенное с ATM-коммутатором или встроенное в него LSR-устройство, которое обменивается данными с этим ATM-коммутатором для инициализации и поддержки кросс-соединений LVC в коммутаторе ATM.

Протокол распространения меток (Label distribution protocol - LDP). Протокол рассылки сообщений, предназначенных для распространения информации о метках между LSR-устройствами.

XmplsATM. Виртуальный интерфейс между ATM-коммутатором и контроллером LSC.

Функционирование коммутации MPLS

В настоящем разделе описываются процесс передачи фреймов в системе MPLS и функции некоторых основных компонентов MPLS. В частности, в нем описано функционирование коммутации MPLS в инфраструктуре, основанной на передаче фреймов, в сравнении с системой, основанной на передаче ячеек (ATM).

На рис. 32.2 показано соединение нескольких LSR-устройств (граничных и базовых), образующих физический путь между двумя элементами - станцией А и станцией В.

Ethernet-фрейм, созданный станцией А, переносит IP-дейтаграмму и соответствует стандартному формату Ethernet с обычным заголовком 2-го уровня, за которым следует заголовок 3-го уровня. Поскольку адрес получателя указывает на другую сеть, станция А направляет фрейм с заголовком 2-го уровня на свой стандартный шлюз (R1). В данном случае стандартный шлюз одновременно играет роль граничного LSR- устройства (входного). Это LSR-устройство по своей внутренней таблице IP- коммутации (Forwaring Information Base - FIB) определяет, что эту IP-дейтаграмму следует отправить в направлении следующего LSR-устройства через интерфейс S1.

Позиция базы FIB для сети 172.16.1.0/24 на входном LSR-устройстве указывает на то, что между заголовками 2-го и 3-го уровней должна быть вставлена метка, чтобы указать, по какому маршруту должен направляться фрейм, адресованный станции В. Поэтому входное LSR вставляет заголовок MPLS между заголовком 2-го уровня протокола РРР (Point-to-Point) и IP-заголовком (этот процесс называется присвоением метки) и направляет этот помеченный пакет маршрутизатору R2. Маршрутизатор 2 анализирует фрейм, поступающий на порт 1, и обнаруживает между заголовками 2-го и 3-го уровней метку, значение которой основано на информации заголовка фрейма 2-го уровня (например, поля пакета РРР или поля Ethertype в пакетах LAN). Далее маршрутизатор обрабатывает фрейм согласно своей базе LFIB, в которой указано, что фрейм требуется отправить через порт 2, заменив входную метку 6 выходной меткой с новым значением, равным 11. Все последующие маршрутизаторы выполняют над фреймом такие же операции, пока фрейм не достигнет выходного LSR-устройства.

Рис. 32.2. Соединенные между собой LSR-устройства

Выходное граничное LSR-устройство таким же образом, как и предыдущие, просматривает свою таблицу и обнаруживает, что выходная метка для этого фрейма отсутствует. Поэтому оно стирает всю информацию о метках (этот процесс называется удалением меток) и передает стандартную IP-дейтаграмму, инкапсулированную во фрейм ethernet, станции В. Поскольку каждый из маршрутизаторов, расположенных между Станциями А и В, может коммутировать фрейм согласно информации своей базы LFIB и не должен совершать обычные операции маршрутизации, IP-дейтаграмма обрабатывается быстрее и эффективнее. Кроме того, для маршрута LSP от R1 к R4 в данном случае могут быть использованы каналы, отличные от тех, которые указываются таблицей маршрутизации протокола IP.

Литература:

Руководство по технологиям объединенных сетей, 4-е издание. : Пер. с англ. - М.: Издательский дом «Вильяме», 2005. - 1040 с.: ил. – Парал. тит. англ.

Может применяться технология MPLS. В чем заключаются ее особенности? Какие преимущества она имеет перед традиционными технологиями маршрутизации?

Общие сведения о технологии

В чем заключается специфика MPLS? Что это за технология? MPLS — это концепция, в соответствии с которой в компьютерных сетях осуществляется переадресация пакетов. Главная ее особенность — в предложении альтернативы анализу маршрутизаторами типа IPLP заголовков по всем пакетам, который осуществляется в целях определения направления для их пересылки к следующему компоненту инфраструктуры. В случае если задействуется рассматриваемая технология, то анализ заголовка осуществляется однократно при входе в сеть MPLS, а затем инициируется проверка соответствия между параметрами пакета и свойствами потока.

Особенности разработки MPLS

Разработали технологию MPLS специалисты, заинтересованные в реализации универсального протокола обмена данными, который бы подходил как для инфраструктуры с коммутацией по каналам, так и для приложений, где осуществляется передача пакетов. В сетях MPLS могут передаваться самые разные виды трафика — IP, ATM, Ethernet, SONET, SDH. Разработка концепции осуществлялась с учетом достоинств и недостатков более ранних протоколов аналогичного назначения. При этом в некоторых аспектах MPLS предполагает реализацию более простых алгоритмов в сравнении с подходами, применяемыми в традиционных решениях. Как отмечают эксперты, сетевое оборудование, поддерживающее технологию MPLS, способно вытеснить с рынка традиционные решения, что свидетельствует о том, что разработчиками MPLS была проделана хорошая работа по оптимизации и универсализации данной концепции.

MPLS и IP

Итак, мы знаем основные принципы функционирования концепции MPLS, что это за технология. В обычных сетях, в которых задействуется протокол TCP-IP, маршрутизация пакетов реализована с использованием IP-адреса компьютера, на который передается пакет. В сети при этом все маршрутизаторы владеют сведениями о том, какой интерфейс задействуется при передаче данных, а также о том, на какой компьютер необходимо перенаправить текущий пакет.

В случае с задействованием MPLS осуществляется иной подход. Он, как мы уже знаем, предполагает осуществление коммутации с использованием меток. Привязаны они к конкретному пакету, который передается в сети. Маршрутизаторы, получив его, одновременно имеют сведения о том, каким образом передавать данные дальше — исходя из конкретного значения, которое имеет MPLS-метка. Можно отметить, что располагается она в рамках MPLS-заголовка, размещаемого между кадром и пакетом, в соответствии с принятым форматом. Примечательно, что на одном пакете может быть размещено несколько меток. Для того чтобы обозначить, что та или иная метка — последняя в группе, применяются специальные флаги.

Полезно будет более детально рассмотреть преимущества технологии, о которой идет речь, перед традиционными решениями.

Ключевые преимущества MPLS: оперативность обработки данных

Важнейшее преимущество MPLS заключается в затратах меньшего количества времени на обработку данных, чем при сопоставлении IP-адреса. Более того, технология MPLS уменьшает время, которое затрачивается на перенаправление пакета с использованием базовых маршрутизаторов. Фактически может осуществляться коммутация с применением нескольких протоколов, при которой задействуются специальные метки в рамках пакетов передаваемых сетевых данных. Благодаря этому формируются обособленные коммутируемые потоки.

Преимущества MPLS: универсальность

Еще одно важное свойство концепции — универсальность. Практически в любые сети IP MPLS может быть внедрена. Рассматриваемая технология хорошо поддерживается на аппаратном уровне. Принципиально возможно применение доступных по цене решений для внедрения MPLS - Mikrotik, к примеру. Универсальны принципы приведения инфраструктуры в работоспособное состояние. Однако при конструировании сети MPLS настройка оборудования должна производиться опытными специалистами. Прежде всего — компетентными в части понимания особенностей характеристик ее аппаратных компонентов.

Преимущества MPLS: масштабируемость

Инфраструктура MPLS характеризуется масштабируемостью и высокой степенью автономности работы в отношении различных протоколов, посредством которых осуществляется передача данных. Специфика конкретных стандартов, реализуемых на канальном уровне, не имеет значения. При внедрении сети MPLS нет необходимости обеспечения функционирования сетей на втором уровне, которые оптимизированы под передачу тех или иных разновидностей трафика. С точки зрения классификации сетей по типу коммутации MPLS правомерно отнести к инфраструктуре, в которой осуществляется коммутация пакетов.

Архитектура MPLS: базовые устройства

Изучим то, какие устройства предполагается задействовать в сетях, где применяется концепция MPLS, что это за инфраструктура с точки зрения применения аппаратных ресурсов. Основными девайсами, что задействуются в рамках соответствующей технологии, можно назвать:

Маршрутизатор, совместимый с концепцией MPLS, а также с обычными протоколами передачи данных;

Маршрутизатор, взаимодействующий с устройствами, на которых коммутация с использованием меток не осуществляется (в том числе по причине отсутствия поддержки MPLS);

Группу сетевых девайсов, которые применяются для коммутации с использованием меток в рамках общей системы администрирования и маршрутизации.

Фактически устройства первого типа образуют соответствующую группу, которая, в свою очередь, формирует домен. MPLS-маршрутизаторы второго типа образую пограничную область данного домена.

Основные принципы MPLS-коммутации

Изучим то, исходя из каких принципов осуществляется коммутация в рамках технологии, о которой идет речь. Как мы уже знаем, ключевой компонент MPLS — это метка. Обмен ими и составляет основу соответствующей технологии. Все пакеты, которые передаются в сети, ассоциируются с определенным типом сетевого уровня. Каждый из них при этом идентифицируется с помощью конкретной метки. Ее значение является уникальным лишь при рассмотрении в рамках конкретного участка пути, который пролегает между узлами сети, располагающимися по соседству, то есть маршрутизаторами первого типа (по классификации, рассмотренной нами выше). Любой пакет, таким образом, будет включать метку. Однако способ ее ассоциации с пакетом будет зависеть от того, какая применяется технология в рамках канала.

Коммуникация между маршрутизаторами

Тот или иной маршрутизатор может запрашивать сведения о сети, используя некоторый алгоритм, совместимый с MPLS - BGP, к примеру. Главная функция устройства в данном случае — обеспечение обмена данными с соседствующими девайсами посредством распределения меток, впоследствии используемых в целях коммутации. Непосредственно обмен ими может осуществляться разными способами. Например, может быть задействован протокол LDP, или же измененные версии иных стандартов маршрутизации, используемые администратором сети.

Таблица компонентов

В процессе распределения меток при коммуникации разных устройств формируются отдельные пути передачи данных. На каждом из используемых маршрутизаторов применяется таблица, в которой обеспечивается соответствие компонентов, ассоциированных с входным интерфейсом, и участков, которые отражают характеристики выходной инфраструктуры. Маршрутизатор, получив тот или иной пакет в соответствии с номером интерфейса, а также прочитав значение метки, устанавливает для передаваемых данных определенный выходной интерфейс. При этом прежнее значение в рамках метки корректируется и замещается новым, которое отражается в той части таблицы, где фиксируются выходные метки, после чего пакет направляется к другому элементу инфраструктуры сети.

Протокол MPLS предполагает одноразовую идентификацию отдельных значений полей, расположенных в одной строке используемой таблицы. Этим и обусловлен тот факт, что рассматриваемая концепция позволяет осуществить более оперативную передачу данных в сравнении с методами, применяемыми в рамках обычной маршрутизации, когда IP-адрес исходного устройства имеет самый длинный префикс в рамках

Структура MPLS

Рассмотрим более подробно особенности структуры сетевой концепции, о которой идет речь. MPLS состоит из двух основных компонентов:

Пограничной области.

В структуре ядра присутствуют устройства, которые обязательно поддерживают MPLS. Они применяются в качестве компонентов инфраструктуры для маршрутизации трафика в рамках коммутируемого протокола. Таким образом, основная функция устройств, присутствующих в ядре — коммутация.

В свою очередь, пограничная область отвечает: за классификацию пакетов по установленным критериям, за реализацию сопутствующих сервисов — например, связанных с фильтрацией при передаче данных, за управление сетевым трафиком. Указанное распределение функций между ядром и пограничной областью позволяет настроить сеть MPLS с учетом специфики расположения конкретных девайсов в рамках сети.

Способы маркировки пакетов

Изучим более подробно то, каким образом осуществляется маркировка пакетов передачи данных с использованием MPLS-меток. Прежде всего стоит отметить, что метка обладает следующими основными характеристиками: фиксированной длиной, уникальностью в контексте отдельного соединения, которое осуществляется между соседствующими маршрутизаторами.

Фактически метка с одинаковым значением может применяться на разных участках сети, но только в рамках коммуникации между отдельными парами маршрутизаторов. Правда, в этом случае устройства должны определять то, откуда именно прибыл пакет с данными, маркированный соответствующей меток. На практике в простейших сетевых соединениях может задействоваться один и тот же набор MPLS-меток в рамках интерфейса.

В более сложных инфраструктурах предполагается задействование отдельного набора меток в рамках отдельного модуля или же устройства. Непосредственно перед тем, как включиться в состав пакета, MPLS-метка кодируется в соответствии с установленным алгоритмом. Если в сети задействуется протокол IP, то метка размещается в рамках заголовка пакета. В иных случаях она отражается в заголовке протокола уже на канальном уровне. Также может осуществляться ее кодировка в конкретном значении.

Применение групп меток

В процессе передачи данных с помощью рассматриваемой сетевой концепции в структуре пакета могут присутствовать, как мы отметили выше, группы меток — стеки. В каждом из них может отражаться операция по добавлению или удалению тех или иных меток. При этом, только в самой верхней задается конкретный результат коммутации. Данная особенность передачи данных в сетях MPLS позволяет реализовывать туннельные коммуникации. В стеке присутствуют компоненты, которые имеют длину в 32 бита. При этом 20 отводится на метку, 8 — на счетчик периода жизни пакета, 1 — отражает нижний предел в группе меток, 3 — не задействуются на практике. В целом возможно любое значение метки — исключая некоторое количество зарезервированных.

Структура коммутируемого пути

Чтобы детально понять то, по каким принципам работает сеть MPLS, что это за технология, полезно будет изучить особенности структуры коммутируемого пути, который выстраивается в рамках инфраструктуры сети. Главная его особенность в том, что он состоит из совокупности участков — на одном уровне. На них коммутация осуществляется с использованием меток по конкретному уровню.

В структуре того или иного уровня предполагается использование входного и выходного маршрутизаторов. Выше мы отметили, что в сетях MPLS может применяться протокол LDP. Изучим то, каким образом коммутируемый путь может выстраиваться при задействовании LDP.

Первым делом в ходе рассылки пакетов UDP, при которой может задействоваться большое количество адресов, маршрутизаторы устанавливают собственное месторасположение в сети — с использованием LDP. Также может определяться связь между маршрутизаторами, которые не относятся к одному и тому же каналу. Данная особенность структуры сети важна с точки зрения реализации передачи данных в туннельном формате.

После того как месторасположение маршрутизаторов установлено, протокол LDP запускает соединение вне TCP, то есть поверх него. В рамках него формируются запросы на инициирование привязки, а также сведения о ней. Также между разными устройствами могут передаваться тестовые сообщения в целях удостоверения работоспособности сети.