Documente Academic
Documente Profesional
Documente Cultură
NECLASIFICAT
1 din 97
NECLASIFICAT
NECLASIFICAT
2 din 97
NECLASIFICAT
NECLASIFICAT
3 din 97
NECLASIFICAT
NECLASIFICAT
4 din 97
NECLASIFICAT
Cuprins:
INTRODUCERE ................................................................................................... 7
CAPITOLUL 1. GENERALITĂȚI PRIVIND REȚELELE DE COMUNICAȚII
............................................................................................................................... 9
CAPITOLUL 2. REȚELE VIRTUALE PRIVATE ............................................ 13
2.1. Avantaje VPN ......................................................................................... 13
NECLASIFICAT
5 din 97
NECLASIFICAT
CONCLUZII ....................................................................................................... 81
BIBLIOGRAFIE ................................................................................................. 83
Anexa nr.1 ........................................................................................................... 85
Anexa nr.2 ........................................................................................................... 89
Anexa nr.3 ........................................................................................................... 91
Anexa nr.4 ........................................................................................................... 93
NECLASIFICAT
6 din 97
NECLASIFICAT
INTRODUCERE
NECLASIFICAT
7 din 97
NECLASIFICAT
NECLASIFICAT
8 din 97
NECLASIFICAT
NECLASIFICAT
9 din 97
NECLASIFICAT
NECLASIFICAT
12 din 97
NECLASIFICAT
O rețea virtuală privată (VPN – Virtual Private Network) este o rețea care
funcționează ca o rețea privată pe o infrastructură comună. Rețele de tip VPN au
fost introduse inițial pentru a permite furnizorilor de servicii să folosească o
infrastructură fizică comună cât și pentru a putea implementa legături punct la
punct între site-urile clienților.
VPN-ul poate oferi comunicare la nivelurile legătură de date sau rețea din
stiva ISO-OSI. VPN-ul aparține de obicei, unei singure companii și are mai
multe site-uri interconectate în întreaga infrastructura a furnizorului de servicii
comune.
Termenul „rețea virtuală privată” se referă la comunicația între un set de
amplasamente(site-uri), prin utilizarea unei infrastructuri de rețea partajată,
pentru a facilita operațiile rețelei private. Structura logică a VPN-ului precum
topologia, adresarea, conectivitatea, ușurința de acces dar și controlul accesului,
este echivalentă cu o rețea privată convențională, utilizând facilități private.
Această tehnologie este din ce în ce mai căutată și utilizată, deoarece oferă
servicii cu un grad ridicat de securitate la un cost redus, fiind implementat peste
backbone-ul furnizorului de servicii.
Rețeaua privată impune faptul că toate site-urile cu clienți sunt capabile să
se interconecteze și sunt complet separate de alte VPN-uri. Aceasta este cerința
minimă de conectivitate. Cu toate acestea, modelul VPN de la nivelul IP ar
putea necesita mai mult decât atât. El poate oferi conectivitate între diferite
VPN-uri, atunci când este dorit acest lucru și oferă chiar conectivitate la
Internet.
NECLASIFICAT
13 din 97
NECLASIFICAT
Internet
Echipament terminal
Sediul companiei
mobil
Internet
Internet
Furnizor Producător
NECLASIFICAT
14 din 97
NECLASIFICAT
Operațiile eficiente
Termenul operație se referă la configurarea și monitorizarea unei rețelei în
exploatare. Pentru un VPN, în momentul adăugării unui nou site, site-urile
existente nu trebuie să sufere modificări de configurație.
Confidențialitatea datelor
Un VPN este un serviciu de conectivitate, a cărui confidențialitate este o
caracteristică fundamentală. Un abonat din VPN-ul A nu trebuie să fie capabil să
acceseze traficul aparținând VPN-ului B, dar acest lucru nu împiedică pachetele
de la clienți diferiți să circule pe aceeași legătură. Soluțiile la Nivel 3 trebuie să
respecte principiul confidențialității precum cele de la Nivelul 2 pe care le
înlocuiesc.
Rutarea eficientă
Rutarea pe linkurile punct-la-punct poate crea complexitate în rețelele IP.
Pentru un VPN site, operatorul rețelei trebuie să configureze corect rutarea astfel
încât un site să fie accesibil din alte locații. VPN-urile site rulează de obicei un
protocol de rutare dinamic între echipamentele clienților situate în locații
diferite.
VPN multicast
Această unealtă permite unui furnizor de servicii să configureze și să
suporte operațiile multicast în rețelele private virtuale. Această caracteristică
suportă rutarea și transmisia pachetelor multicast pentru fiecare VPN și fiecare
instanță de rutare și de asemenea asigură un mecanism de transport a acestor
pachete peste backbone-ul furnizorului de servicii.
Calitatea serviciilor(QoS)
VPN-urile trebuie să facă o distincție între numeroasele clase de trafic
provenite de la serviciile multiple oferite mai multor clienți. Acest lucru creează
o cerință suplimentară pentru transpoziția setărilor QoS de la un domeniu la
altul, deoarece furnizorul de servicii verifică și posibil schimbă clasificarea
pachetelor IP recepționate de la clienți și schimbarea ulterioară a lor în
NECLASIFICAT
15 din 97
NECLASIFICAT
Fragmentarea pachetelor
În momentul în care un pachet are o dimensiune apropiată de limita
maximă (MTU) a unui port fizic al unui echipament și este încapsulat cu antetul
VPN-ului specific, va depăși probabil limita maximă a portului respectiv.
Această situație determină o fragmentare a pachetului după criptare, ceea ce
necesită ca providerul să asigure o reasamblare înainte de decriptare, degradând
performanțele. Pentru a minimiza efectul post-fragmentării, se poate seta limita
maximă a pachetului pe calea în sens invers fluxului de date pentru a se asigura
că fragmentarea se petrece înainte de criptare. Prefragmentarea în cadrul VPN-
urilor evită degradarea performanțelor prin mutarea sarcinii de reasamblare la
utilizatorul final.
NECLASIFICAT
16 din 97
NECLASIFICAT
NECLASIFICAT
17 din 97
NECLASIFICAT
Router de margine al
furnizorului de servicii
Router de margine
Client
Router de margine al
furnizorului de servicii
Router de margine al Router de margine
furnizorului de servicii Client
Router de margine al
furnizorului de servicii
NECLASIFICAT
18 din 97
NECLASIFICAT
NECLASIFICAT
21 din 97
NECLASIFICAT
Se poate observa că stiva de etichete din Figura 3, arată că bitul BoS este
0 pentru toate etichetele, cu excepția etichetei de pe ultima poziție. Pentru
aceasta din urmă, bitul BoS este setat la 1.
Unele aplicații MPLS, au nevoie de mai mult de o etichetă din stivă
pentru a putea transmite pachete etichetate. Un exemplu de aplicație, este
MPLS VPN ce va pune două etichete în stivă. În cazul realizării unei astfel de
rețele MPLS VPN, pachetul va avea atribuite încă de la intrarea în rețeaua
MPLS două etichete și anume: eticheta care definește VPN-ul de care aparține
pachetul, iar deasupra acesteia este dispusă eticheta corespunzătoare următorului
LSR din rețea.
NECLASIFICAT
22 din 97
NECLASIFICAT
Eticheta LDP
Eticheta VPN
Figura 3. 3. Exemplu de dispunere în stivă a etichetelor
NECLASIFICAT
23 din 97
NECLASIFICAT
Acțiune Descriere
NECLASIFICAT
24 din 97
NECLASIFICAT
LSR3
1
0 1 0
2
R1 LSR1 LSR2
LSR4
R2
NECLASIFICAT
25 din 97
NECLASIFICAT
LSR3
1
0 1 0
2
R1 LSR1 LSR2
LSR4
R2
Cele 2 metode pentru crearea unui LSP pot coexista în aceeași rețea fără
probleme de arhitectură sau interoperabilitate. Metoda independentă asigură
convergență rapidă, deoarece routerele pot crea informații despre etichete
oricând, fără întârzierea provocată de așteptarea confirmării propagării dintr-o
parte a rețelei până în cealaltă. În metoda de control ordonată, informațiile
despre etichetă sunt propagate de-a lungul rețelei după ce LSP este creat.
Metoda controlului ordonat asigură capabilități de prevenție a buclelor.
În metoda de stabilire LSP folosind controlul independent, fiecare LSR
partiționează prefixele destinație în clase de transmisie, FEC. Etichetele sunt
atribuite fiecărui FEC iar informațiile despre etichetă sunt transmise vecinilor
LSR. Vecinii creează o tabelă LFIB utilizând mapările între clasele de
transmisie și următoarele hopuri. LSR rulează un protocol de rutare unicast
precum OSPF sau IS-IS și utilizează informații generate de către acesta pentru a
crea maparea FEC-următorul hop.
Tabela LFIB memorează informația despre următoarele câmpuri : eticheta
de intrare, următorul hop, eticheta de ieșire, și interfața de ieșire. LSR creează
informația locală despre un FEC particular prin alegerea arbitrară a unei etichete
dintr-un set de etichete nefolosite din Baza de Informații despre Etichete (LIB)
NECLASIFICAT
27 din 97
NECLASIFICAT
și actualizează LFIB. Câmpul etichetei de intrare din LFIB este setat cu valoarea
etichetei extrasă din setul de etichete, următorul hop este setat cu adresa IP a
următorului hop asociat cu FEC, iar interfața de de ieșire este setată cu tipul și
numărul interfeței către următorul hop.
După crearea informațiilor locale, LSR distribuie aceste informații către
LSR învecinați utilizând LDP sau extensii ale unui protocol de rutare.
Informația de legătură constă într-un set de valori de forma prefix-adresă-
etichetă, unde prefixul de adresă identifică FEC și eticheta identifică valoarea
etichetei pe care LSR o utilizează pentru asocierea informațiilor locale cu FEC-
ul particular.
Când un router adiacent primește informații de control de la un vecin,
verifică prezența anterioară a acestor informații și actualizează câmpul „Eticheta
de Ieșire”, cu noua valoare primită, LSR având acum o tabelă LFIB populată și
fiind pregătit de transmisia pachetelor.
Dacă un LSR primește informații de control de la un vecin și nu are
informații locale pentru acea clasă particulară în tabela LFIB, are opțiunea de a
reține informația sau de a o arunca, caz în care LDP avertizează vecinul să
retransmită informația de control. Această informație de control este distribuită
numai între rutere adiacente, astfel că un LSR va împărtăși informația de control
cu un LSR învecinat care are o subrețea comună cu cel puțin o interfață cu LSR
local.
NECLASIFICAT
29 din 97
NECLASIFICAT
ABORT este utilizat pentru a anula mesajul LABEL REQUEST în timpul sau
înainte de completarea solicitării.
NECLASIFICAT
30 din 97
NECLASIFICAT
Rețelele MPLS VPN sau MPLS Virtual Private Networks, sunt cea mai
populară și cea mai raspândită implementare a tehnologiei MPLS. Popularitatea
sa a crescut exponențial de când a fost inventată, și este încă în creștere
constantă, cu toate că majoritatea furnizorilor de servicii au implementat-o ca un
înlocuitor pentru Frame Relay sau servicii ATM. Practic, furnizorului de servicii
îi este permisă crearea mai multor VPN-uri pentru mai mulți clienți, fără a fi
nevoit să realizeze un număr consistent de circuite virtuale pentru fiecare grup
închis de utilizatori. MPLS VPN cunoaște acum un interes crescut din partea
companiilor și întreprinderilor mari ce văd în această tehnologie viitorul în
proiectarea rețelelor lor. De asemenea, poate oferi scalabilitate și separă rețeaua
în rețele mai mici, ceea ce este adesea necesar în rețelele de întreprinderi mai
mari, unde Infrastructura IT comună trebuie să ofere rețele izolate la
departamente individuale.
C P C
CE PE PE CE
C P C
Locație A MPLS VPN Locație B
NECLASIFICAT
32 din 97
NECLASIFICAT
soluție se obține prin utilizarea MPLS. Pachetele IP ale clientului sunt etichetate
în rețeaua providerului pentru a obține un VPN privat pentru fiecare client.
Routerele P nu trebuie să dețină tabele de rutare ale clienților prin utilizarea a
două etichete MPLS, așadar nu este nevoie de BGP pe aceste routere. Rutele
VPN sunt cunoscute doar de routerele PE ale rețelei MPLS VPN, ceea ce face
MPLS VPN o soluție scalabilă.
VPN A
Site 1 Echipament VPN A
client
Site 2
Echipament
client
Echipamentul
furnizorului Echipamentul
furnizorului
Echipament
client Echipamentul
furnizorului
VPN B VPN B
Site 2
Site 1
Echipament
client
NECLASIFICAT
34 din 97
NECLASIFICAT
Pentru a obține o rețea de tipul MPLS VPN sunt necesare câteva blocuri
esențiale pe routerele PE: instanța de rutare specifică fiecărui VPN(VRF),
discriminatorul de rută (Route Distinguisher- RD), propagarea rutelor prin MP-
BGP, politicile de import ale rutelor (Route Targets – RT) și transmisia
pachetelor etichetate.
Instanță de rutare și transmisie ( VRF ) este un proces VPN prin care sunt
rutate și transmise datele. Este numită astfel datorită combinației dintre tabela de
rutare VPN, tabela CEF și protocoalele de rutare IP asociate prezente pe routerul
PE, acesta având câte o instanță VRF pentru fiecare VPN atașat.
VPN A
Site 1
Echipament
client
Echipamentul
furnizorului
Echipament
client
NECLASIFICAT
35 din 97
NECLASIFICAT
servicii iar „nn” este numărul pe care furnizorul de servicii îl atribuie VRF-ului.
RD este utilizat numai pentru a identifica în mod unic rutele VPN, astfel că
prin folosirea lui se poate realiza suprapunerea rutelor IPv4 cu rute de la un alt
VPN. Combinarea RD cu prefixul IPv4 creează prefixul vpnv4, în care adresa
are o dimensiune de 96 de biți. Masca folosită are tot 32 de biți, ca în cazul unui
prefix IPv4. Ca exemplu, dacă se ia prefixul IPv4 10.1.1.0/24 și RD 1:1,
prefixul vpnv4 devine 1:1:10.1.1.0/24.
NECLASIFICAT
37 din 97
NECLASIFICAT
NECLASIFICAT
38 din 97
NECLASIFICAT
NECLASIFICAT
39 din 97
NECLASIFICAT
decât cea normală astfel încât alți utilizatori nu mai pot accesa echipamentul
vizat.
Singurul mod de a fi invulnerabil la acest tip de atac este de a asigura
inaccesibilitatea echipamentelor (destination unreacheble) prin filtrarea
pachetelor și opțional ascunderea adreselor.
NECLASIFICAT
40 din 97
NECLASIFICAT
NECLASIFICAT
41 din 97
NECLASIFICAT
NECLASIFICAT
42 din 97
NECLASIFICAT
NECLASIFICAT
43 din 97
NECLASIFICAT
Adăugare echipamente
Stabilire conexiuni/legături
Verificarea configurării inițiale a tuturor echipamenelor
NECLASIFICAT
44 din 97
NECLASIFICAT
NECLASIFICAT
45 din 97
NECLASIFICAT
NECLASIFICAT
46 din 97
NECLASIFICAT
NECLASIFICAT
48 din 97
NECLASIFICAT
Stație terminală
Linux
Home Servicii client VPN de
Lan Nivelul 3
R2 R4
PE1 PE2
Generator de R1 R6
trafic
R3 R5
Stație terminală
Linux
NECLASIFICAT
50 din 97
NECLASIFICAT
Stație terminală
Linux
Home
Lan Rețea Client
R2 R4
PE1 PE2
Generator de R1 R6
trafic
R3 R5
Rețea Client
CE1 CE2
Stație terminală
Linux
Rețeaua Client este formată din două routere CISCO și patru stații Linux.
Două dintre acestea sunt conectate direct cu routerele client, CE1 și CE2, în
timp ce celelalte două stații linux sunt folosite pentru exemlificarea unor servicii
de nivel 3-VPN. Acestea din urmă sunt conectate la routerele JUNIPER din
cadrul rețelei centrale, rețeaua de bază MPLS.
Toate echipamentele din topologie trebuiesc configurate în scopul inițial
al lucrării, astfel că toate implicit au nevoie mai întâi de configurarea IP-urilor
cât și a interfețelor.
NECLASIFICAT
51 din 97
NECLASIFICAT
Astfel am ales aleator două clase de IP-uri, pentru diversitate cât și pentru
apropierea cu realitatea, deoarece în realitate există diversitate în alocarea de IP.
Rețelei Client i-au fost alocate IP-uri clasă C iar rețelei MPLS,
infrastructurii acesteia, IP-uri clasă A. De asemenea, pentru a simplifica
adresarea înspre și dinspre acestea a fost necesară setarea adreselor de Loopback
care au fost folosite deoarece sunt tot timpul active. Această adresare a urmărit
întocmai structura rețelei, optând astfel pentru alocări sugestive fiecărui
router,cât și fiecărei rute. Astfel, de exemplu Routerul 6 va avea alocată adresa
de loopback 6.6.6.6 iar ruta către acesta va fi 56.56.56.56 dacă provine de la
Routerul 5.
Configurările pe CISCO au sintaxe diferite față de cele pe JUNIPER.
Astfel a fost necesară o documentare mai amplă în ceea ce privește tehnologia
JUNIPER.
Optând pentru IP-uri din clasa C, am ales pentru routerele client CE1 și
respectiv CE2 pentru interfețele client IP-urile 192.168.10.1 respectiv
192.168.20.1.
Astfel setarea interfețelor pe routerul CISCO CE1 este prezentată mai jos.
interface Loopback0
ip address 11.11.11.11 255.255.255.255
interface FastEthernet0/0
ip address 10.11.11.2 255.255.255.252
ip ospf authentication-key 1 abc123
speed 100
full-duplex
interface FastEthernet0/1
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
Setarea interfețelor cât și cea a IP-urilor pentru routerul CE2 s-a realizat în
mod similar cu CE1. Astfel IP-urile sunt prezente în descrierea interfețelor.
CE1
router ospf 1
router-id 11.11.11.11
log-adjacency-changes
area 0 authentication message-digest
passive-interface Loopback0
network 10.11.11.0 0.0.0.3 area 0
network 11.11.11.11 0.0.0.0 area 0
network 192.168.10.0 0.0.0.255 area 0
CE2
router ospf 1
router-id 22.22.22.22
log-adjacency-changes
area 0 authentication message-digest
passive-interface Loopback0
network 10.11.11.0 0.0.0.3 area 0
network 22.22.22.22 0.0.0.0 area 0
network 192.168.20.0 0.0.0.255 area 0
În urma acestor setări strict necesare rețelei Client se poate aborda modul
de configurare al rețelei centrale. Întâi de toate trebuiesc stabilite obiectivele
acesteia. Rețeaua Provider a fost proiectată pentru a putea oferi atât servicii
avansate MPLS cât și servicii optime de inginerie a traficului. Am optat astfel
pentru o arhitectură formată din șase routere JUNIPER așezate în hexagon.
2.2.2.2 4.4.4.4
P P
PE1 PE2
1.1.1.1 6.6.6.6
P P
3.3.3.3 5.5.5.5
Pentru acest fapt este necesară cel puțin o cale de rezervă pentru parcurgerea
informației prin rețea, condiție pe care această topologie o îndeplinește cu
succes.
Rețeaua furnizorului de servicii este alcătuită din două routere de margine
numite Provider EDGE(PE) și din patru routere centrale numite simplu
Provider(P). Routerele PE1 și PE2 necesită configurări diferite față de routerele
P deoarece acestea pot fi numite și routere destinație sau routere ce sunt
conectate direct cu rețeaua client.
Unul dintre avantajele utilizării MPLS VPN este acela că traficul între
VPN-uri este separat în totalitate, un utilizator putând să-și păstreze propria
schemă de adresare atunci când trimite pachete între site-uri aflate în locații
geografice diferite.
Mai sus au fost configurate atât adresarea pe interfețe, ce conține ruta sau
IP-ul de pe interfața vecină, cât și activarea MPLS.
Interfața de Loopback 0 este folosită pentru activarea MPLS și pentru
atribuirea ID-ului specific comutării pe bază de etichete pentru routerele din
topologie, ID utilizat pentru stabilirea vecinilor LDP.
venit mesajul și cerința de trafic. Astfel RSVP face posibilă rutarea MPLS pe
două căi diferite, asigurând totodată integritatea datelor și comutarea imediată pe
calea de rezervă în caz de nevoie.
Mai jos este prezentat modul de implementare a RSVP și MPLS pe
subinterfețe dar și căile de transmitere, principală și secundară.
R2 R4
PE1 PE2
R1 R6
1.1.1.1 6.6.6.6
R3 R5
Rută secundară:
3.3.3.3 5.5.5.5 R1-R3-R5-R6
NECLASIFICAT
58 din 97
NECLASIFICAT
NECLASIFICAT
59 din 97
NECLASIFICAT
NECLASIFICAT
60 din 97
NECLASIFICAT
prefixele clienților sau prefixe Internet. Acest lucru înseamnă că toate routerele
din rețeaua furnizorului de servicii trebuie să ruleze BGP.
Cu toate acestea,MPLS permite mai degrabă transmiterea de pachete
bazate pe o căutare de etichetă, decât o căutare a adreselor IP. MPLS permite
unei etichete să fie asociată mai degrabă cu un router de ieșire, decât cu adresa
de destinație IP a pachetului. Eticheta este informația atașată la un pachet care
spune fiecărui router intermediar către ce margine a routerului trebuie să fie
transmis. Routerul P nu mai are nevoie să aibă informațiile de transmitere a
pachetelor bazate pe adresa IP de destinație.
Astfel, routerele de bază în rețeaua furnizorului de servicii nu mai au
nevoie pentru a rula BGP.
Router-ul de la marginea rețelei MPLS trebuie încă să se uite la adresa IP
de destinație a pachetelor și prin urmare, încă mai trebuie să ruleze BGP. Fiecare
prefix BGP de pe routerele MPLS are o adresă IP next-hop BGP asociată cu
acesta. Această adresă de IP next-hop BGP este o adresă IP a unui router MPLS
de ieșire.
Eticheta MPLS care este asociată cu adresa IP next-hop BGP și fiecare
adresă IP next-hop BGP a unui router de ieșire MPLS trebuie să fie cunoscute de
toate routerele de bază. Orice protocol de rutare interioară cum ar fi OSPF sau
ISIS, poate îndeplini această sarcină.
Pe lângă precizarea vecinilor sau perechilor BGP s-a configurat ca o
măsura de securitate suplimentară, autentificarea acestora în grupul intern al
BGP. Mai jos este prezentată adiacența prin autentificare MD5.
NECLASIFICAT
61 din 97
NECLASIFICAT
R1
[edit]
root# run show isis adjacency
Interface System L State Hold (secs) SNPA
ge-0/0/0.0 0000.0000.0002 2 Up 25 0:5:86:71:96:0
ge-0/0/1.0 0000.0000.0003 2 Up 14 0:5:86:71:80:1
NECLASIFICAT
62 din 97
NECLASIFICAT
[edit]
root# run show isis authentication
Interface Level IIH Auth CSN Auth PSN Auth
ge-0/0/0.0 2 MD5 MD5 MD5
ge-0/0/1.0 2 MD5 MD5 MD5
[edit]
root# run show configuration protocols isis
level 1 disable;
level 2 {
authentication-key "$9$IiGEhrKvLN-weK4aUDkq"; ## SECRET-DATA
authentication-type md5;
wide-metrics-only;
}
interface ge-0/0/0.0;
interface ge-0/0/1.0;
interface lo0.0 {
level 1 disable;
}
Am stabilit un circuit de nivel 2 între routerele PE1 și PE2 pentru a putea
livra trafic de nivel 2 între routerele client CE1 și CE2. Un circuit de nivel 2 de
conexiune VC (Virtual Circuit) este configurat doar pe routerele de margine din
rețeaua centrală, routerele PE. Nu este necesară nicio configurație specială pe
routerele client CE sau pe celelalte routere din rețeaua centrală. Routerele P
necesită doar MPLS și LDP pe interfețele adecvate pentru a permite ca
etichetele să fie partajate între routerele PE.
NECLASIFICAT
63 din 97
NECLASIFICAT
NECLASIFICAT
64 din 97
NECLASIFICAT
Figura 6. 20. Topologia învățată în OSPF în urma politicilor de export de catre router-ul CE1
Figura 6. 22. Vecinii care au stabilit adiacența cât și rutele învățate în IS-IS
Routerele din topologia centrală, altele decât cele de margine vor conține
o configurație mai succintă decat cele PE. Însă și acestea se vor împărți în două
categorii deoarece pe două dintre ele s-a realizat un circuit VPN de nivel 3.
Acest lucru a necesitat câteva setări de configurație în plus față de celelalte
routere P. În continuare este prezentată configurarea unui router P din backbone-
ul central comparativ cu un router de margine PE. Astfel sunt evidențiate
anumite setări necesare doar routerelor PE.
Configurarea routerului P3 pentru adresare și activare MPLS pe o
interfață este prezentată mai jos. Configurația completă a acestuia se găsește în
anexa nr.2.
set interfaces ge-0/0/0 unit 0 family inet address 35.35.35.1/30
set interfaces ge-0/0/0 unit 0 family iso
set interfaces ge-0/0/0 unit 0 family mpls
NECLASIFICAT
66 din 97
NECLASIFICAT
Mai jos are loc configurarea protocolului BGP, stabilirea vecinilor cât și a
autentificării acestora prin intermediul unei parole criptate MD5.
set protocols bgp traceoptions file bgp
set protocols bgp traceoptions file size 5m
set protocols bgp traceoptions flag all
set protocols bgp mtu-discovery
set protocols bgp local-as 65001
set protocols bgp group ibgp type internal
set protocols bgp group ibgp local-address 3.3.3.3
set protocols bgp group ibgp family inet-vpn unicast
set protocols bgp group ibgp family l2vpn signaling
set protocols bgp group ibgp neighbor 2.2.2.2 authentication-key "$9$7e-dsg4Zji.2gTz6/tp"
set protocols bgp group ibgp neighbor 2.2.2.2 peer-as 65001
set protocols bgp group ibgp neighbor 5.5.5.5 authentication-key "$9$vVRW87dVYoaU-
dk.5T3n"
set protocols bgp group ibgp neighbor 5.5.5.5 peer-as 65001
set protocols bgp group ibgp neighbor 1.1.1.1 authentication-key
"$9$qmPQ3nCu0IF3SrvMXx"
set protocols bgp group ibgp neighbor 1.1.1.1 peer-as 65001
set protocols bgp group ibgp neighbor 4.4.4.4 authentication-key "$9$fTQn9Cu1Ic/9evLX-d"
set protocols bgp group ibgp neighbor 4.4.4.4 peer-as 65001
set protocols bgp group ibgp neighbor 6.6.6.6 authentication-key "$9$GIDjqPfz6/tmPBIcSeK"
set protocols bgp group ibgp neighbor 6.6.6.6 peer-as 65001
NECLASIFICAT
67 din 97
NECLASIFICAT
Mai sus a fost configurat routerul R3/P3 care după cum se poate observa
față de routerele PE1 și PE2 nu are nevoie politici de import/export de rute,
acestea fiind transmise de routerele de margine. Același lucru se întâmplă și cu
circuitul de nivel 2 care are nevoie de configurări doar pe routerele PE1 și PE2
iar în rest atât prin intermediul rutării IS-IS a protocoalelor BGP și RSVP cât și
LDP se transmit și se învață rutele necesare.
Routerele P4 și P5 se vor configura în mod similar cu routerele P doar că
între acestea se asigură servicii de nivel rețea. Acest lucru implică faptul că sunt
necesare configurări în plus față de celelalte routere din backbone-ul central.
Configurările complete ale router-elor P4 și P5 se găsesc în anexa nr.3.
Stație terminală
Linux
Servicii client
VPN de Nivel 3
2.2.2.2 4.4.4.4
R2 R4
PE1 PE2
R1 R6
1.1.1.1 6.6.6.6
R3 R5
3.3.3.3 5.5.5.5
Stație terminală
Linux
NECLASIFICAT
68 din 97
NECLASIFICAT
NECLASIFICAT
69 din 97
NECLASIFICAT
NECLASIFICAT
70 din 97
NECLASIFICAT
Figura 6. 26. Verificare prin ping de la stația linux conectată la router-ul R4 la stația linux
conectată la router-ul R5
NECLASIFICAT
71 din 97
NECLASIFICAT
După acest prim pas am creat un port prin intermediul căruia se va genera
trafic.
NECLASIFICAT
72 din 97
NECLASIFICAT
NECLASIFICAT
73 din 97
NECLASIFICAT
NECLASIFICAT
74 din 97
NECLASIFICAT
Rolul acestuia a fost de a injecta un anumit tip de trafic în rețea, pentru a-l
putea monitoriza mai apoi prin capturi wireshark. Programul folosit pentru
construirea rețelei permite și mod de captură wireshark pe interfețele oricărui
router.
Am ales simularea traficului de tip UDP și am urmărit traseul acestuia
prin capturi multiple. Monitorizarea traficului s-a realizat în acest mod pentru a
verifica funcționalitatea rețelei. Rețeaua a fost configurată în așa fel încât întreg
traficul să fie rutat pe o singură cale constituită din routerele R1-R2-R4-R6,
scopul principal fiind de a asigura o cale secundară sau de rezervă, prin care
traficul să poată ajunge de la un capăt la celălalt în orice condiții. Astfel pentru a
exemplifica acest atribut al rețelei vom ,,defecta’’(opri) funcționarea unui router
NECLASIFICAT
75 din 97
NECLASIFICAT
NECLASIFICAT
76 din 97
NECLASIFICAT
NECLASIFICAT
77 din 97
NECLASIFICAT
Testarea circuitului Layer 2 VPN între cei doi clienți conectați la routerele
CE1 și CE2, se realizează prin ping între stațiile terminale. Succesul transmiterii
ping-ului confirmă buna funcționare a acestuia.
Aceste stații terminale au alocate IP-urile DHCP. Pentru aflarea acestora
se folosește comanda „ifconfig” în terminalul stației. Astfel se poate observa că
stația linux conectată la routerul client CE1are IP-ul 192.168.10.2 iar stația
conectată la routerul client CE2 are IP-ul 192.168.20.2.
NECLASIFICAT
78 din 97
NECLASIFICAT
Rețea Client
CE1 CE2
NECLASIFICAT
80 din 97
NECLASIFICAT
CONCLUZII
NECLASIFICAT
81 din 97
NECLASIFICAT
NECLASIFICAT
82 din 97
NECLASIFICAT
BIBLIOGRAFIE
NECLASIFICAT
84 din 97
NECLASIFICAT
Anexa nr.1
Configurația router-ului PE2:
NECLASIFICAT
87 din 97
NECLASIFICAT
NECLASIFICAT
88 din 97
NECLASIFICAT
Anexa nr.2
Configurația router-ului P3:
NECLASIFICAT
89 din 97
NECLASIFICAT
NECLASIFICAT
90 din 97
NECLASIFICAT
Anexa nr.3
Configurația router-ului P4:
NECLASIFICAT
92 din 97
NECLASIFICAT
Anexa nr.4
NECLASIFICAT
94 din 97
NECLASIFICAT
Listă cu abrevieri
NECLASIFICAT
97 din 97