NECLASIFICAT

NECLASIFICAT
1 din 97
NECLASIFICAT

NECLASIFICAT
2 din 97
NECLASIFICAT

NECLASIFICAT
3 din 97
NECLASIFICAT

NECLASIFICAT
4 din 97
 NECLASIFICAT

Cuprins:

INTRODUCERE ................................................................................................... 7
CAPITOLUL 1. GENERALITĂȚI PRIVIND REȚELELE DE COMUNICAȚII
............................................................................................................................... 9
CAPITOLUL 2. REȚELE VIRTUALE PRIVATE ............................................ 13
2.1. Avantaje VPN ......................................................................................... 13

2.2. Caracteristicile unui VPN ....................................................................... 15

2.3. Modelul VPN Peer-to-Peer ..................................................................... 17

CAPITOLUL 3. CARACTERISTICI MPLS ..................................................... 19

3.1. Beneficiile MPLS .................................................................................. 19

3.2. Arhitectura MPLS ................................................................................... 21

3.3. Stivuirea etichetei ................................................................................... 22

3.4. Elementele MPLS ................................................................................... 23

3.4.1. Routerul de comutare a etichetelor (LSR) ....................................... 23

3.4.2. Calea pe care circulă pachetele MPLS(LSP) ................................... 27

3.4.3. Protocolul de Distribuție al Etichetelor ............................................ 28

3.5. Moduri de alocare a etichetelor .............................................................. 29

3.5.1. Modul de alocare la cerere a etichetelor........................................... 29

3.5.2. Modul de alocare nesolicitat în aval ................................................. 30

CAPITOLUL 4. REȚELE MPLS VPN .............................................................. 31

4.1. Modelul de rutare MPLS VPN ............................................................... 31

4.2. Arhitectura MPLS VPN.......................................................................... 31

4.3. Prezentare generală a arhitecturii MPLS VPN ....................................... 35

NECLASIFICAT
5 din 97
 NECLASIFICAT

4.3.1. Instanța de rutare virtuală (Virtual Routing Forwarding-VRF) ....... 35

4.3.2. Discriminatorul de rute (RD) ........................................................... 36

CAPITOLUL 5. SECURITATEA ÎN REȚELELE MPLS VPN........................ 39

5.1. Ascunderea infrastructurii de bază ......................................................... 39

5.2. Rezistența la atacuri ................................................................................ 39

5.3. Imposibilitatea de Spoofing .................................................................... 40

5.4. Utilizarea IPSec ...................................................................................... 40

CAPITOLUL 6. REȚELE VPN BAZATE PE TEHNOLOGIA MPLS –

PARTEA PRACTICĂ......................................................................................... 43
6.1. Prezentarea programelor utilizate în realizarea simulărilor ................... 43

6.2. Construcția arhitecturii rețelei ................................................................ 49

6.3. Configurarea echipamentelor ................................................................. 52

6.4. Configurarea PE1 pentru adresarea pe interfețe și activarea MPLS ...... 56

6.5. Testarea serviciilor, simularea și monitorizarea traficului prin rețea ..... 70

CONCLUZII ....................................................................................................... 81
BIBLIOGRAFIE ................................................................................................. 83
Anexa nr.1 ........................................................................................................... 85
Anexa nr.2 ........................................................................................................... 89
Anexa nr.3 ........................................................................................................... 91
Anexa nr.4 ........................................................................................................... 93

NECLASIFICAT
6 din 97
 NECLASIFICAT

INTRODUCERE

Proiectul presupune elaborarea unui studiu privind implementarea

tehnologiei MPLS în cadrul rețelelor de comunicații existente. Pe lângă acest
prim obiectiv, acesta își propune analiza serviciilor furnizate și a monitorizării
traficului, pentru a putea realiza pe baza modelării și simulării traficului o
adaptare la noile soluții de implementare a rețelelor convergente de comunicații.
MPLS reprezintă o metodă îmbunătățită pentru transmiterea pachetelor
într-o rețea utilizând informația conținută în etichetele atașate pachetelor IP.
Rețelele de tip VPN oferă o cale virtuală pentru transferul informației
între site-urile diferiților clienți, într-un mod punct-la-punct, folosind aceeași
infrastructură fizică. Utilizarea rețelelor de tip VPN are un rol tot mai important
în transmiterea informației și de aceea trebuie căutate soluții privind realizarea
unui grad de securitate ridicat, adecvat acestui tip de rețea.
În proiect se vor analiza comparativ soluții pentru implementarea rețelelor
de tip MPLS-VPN, punctând avantajele, dezavantajele, posibilități în ceea ce
privește asigurarea protecției acestui tip de rețele în cazul transmiterii de date
care nu sunt sensibile la întârziere, în cazul furnizării unui set diversificat de
servicii de comunicații.Lucrarea este structurată în șase capitole.
În primul capitol sunt prezentate generalități referitoare la rețelele de
comunicații. Noțiunile prezentate în acest capitol au rolul de a oferi perspectiva
funcționalității unor astfel de rețele.
În capitolul doi sunt abordate noțiuni referitoare la rețelele virtuale
private. În acest capitol sunt prezentate principiile de funcționare cât și
caracteristicile de bază ale acestora.
Capitolul trei conține principalele caracteristici generale MPLS
evidențiind modul de alocare al etichetelor dar și beneficiile și avantajele
utilizării acestei tehnologii.
Capitolul patru este dedicat rețelelor de tipul MPLS VPN. Acesta conține
prezentarea arhitecturii rețelelor de acest tip cât și rolul principalelor elemente
componente.
Capitolul cinci cuprinde o abordare succintă a securității în rețelele MPLS
VPN.

NECLASIFICAT
7 din 97
 NECLASIFICAT

Capitolul șase cuprinde abordarea în detaliu a părții practice. În acest

ultim capitol sunt prezentate programele utilizate, dar și etapele parcurse în
scopul realizării proiectului.
La finalul lucrării se găsesc concluziile, bibliografia dar și anexele
aferente acesteia.

NECLASIFICAT
8 din 97
 NECLASIFICAT

CAPITOLUL 1. GENERALITĂȚI PRIVIND REȚELELE DE

COMUNICAȚII

Încă din cele mai vechi timpuri și până în prezent necesitatea de a

interacţiona unii cu ceilalți a reprezentat nevoia noastră de a ne susţine viaţa.
Comunicarea este aproape la fel de importantă pentru noi cum sunt aerul, apa,
hrana și adăposturile. Metodele însă folosite pentru a schimba idei și informații
se schimbă și evoluează constant. De la presa scrisă la televiziune, fiecare
invenție a îmbogățit metodele noastre de comunicare. Comunicarea și
interacțiunea sunt indispensabile ființei umane iar acest lucru reprezintă și
motivul apariției și dezvoltării rețelelor de comunicații. Crearea comunităților
pentru schimbul ideilor și a informațiilor are potențialul de a crește
oportunitățile de productivitate pe întreg globul.
Rețelele de comunicații reprezintă un ansamblu de terminale
interconectate prin intermediul unor medii de comunicație. În acest fel un număr
mare de utilizatori pot avea acces simultan la toate resurse lor fizice (hardware),
logice (software și aplicații de bază) și informaționale de care dispune ansamblul
de calculatoare conectate.
Inițial calculatoarele aflate la nivelul unei rețele puteau schimba între ele
numai informație bazată pe caracter. Această limitare a fost rapid depașită
deoarece odată cu trecerea timpului nevoile s-au diversificat. O organizație se
putea întinde cu sucursale și sedii in toate colțurile lumii însă trebuia să fie în
legătură permanentă cu angajații acestora , datorită necesității de a monitoriza și
a asigura mentenanța echipamentelor în timp real.
Internetul are rol de a interconecta diverse rețele de calculatoare având
protocoale diferite sau infrastructură diferită. Astfel cele mai folosite servicii
initial au fost cele de e-mail și cele de transfer de fișiere.
Odată cu înmulțirea serviciilor in Internet, necesitatea dezvoltării rețelelor
de comunicații nu mai reprezintă o surpriză. Apariția serviciilor inteligente cum
ar fi VoIP (telefonie IP), video streaming sau stocarea datelor în cloud
reprezintă doar cateva dintre serviciile ce se adaugă opțiunilor de bază (e-mail,
transfer fișiere).

NECLASIFICAT
9 din 97
 NECLASIFICAT

Din componența unui sistem de comunicații fac parte echipamente

terminale, medii de transport cât și un anumit set de reguli care guvernează
rețeaua. În acest fel putem spune că:
• Sursa – este echipamentul care produce mesajul sau setul de mesaje care
urmează a fi transmis;
• Transmițătorul – realizează schimbările care au loc la nivelul mesajului
pentru a-l putea transforma într-un semnal ce poate fi transmis pe un canal
de comunicații;
• Mediul de transmisie – face legătura între transmițător și receptor. Poate fi
reprezentat de un cablu coaxial, cablu UTP, fibră optică sau o purtătoare
radio;
• Receptorul – recepționează semnalele și le convertește într-o formă care
poate fi înțeleasă de către destinatar.

Principala funcție a unei rețele de comunicații este asigurarea unei

transmisii eficiente a informației de la un punct de origine către un punct
terminal.
În funcție de numărul destinatarilor o comunicație poate fi:
• punct la punct – dacă există un singur destinatar. În mod obișnuit,
destinatarul este selecționat explicit de către emițător; o astfel de
comunicație este numită unicast . Uneori însă, de exemplu în cazul în care
un serviciu este oferit de mai multe servere, echivalente din punctul de
vedere al clientului, este favorabil ca rețeaua să aleagă destinatarul
comunicației, în funcție de distanța față de emițător, dintr-o mulțime
specificată de destinatari posibili. O astfel de comunicație se numește any
cast.
• difuziune – dacă există mai mulți destinatari. Se distinge difuziune completă
( engl.broadcast), în care destinatari sunt toate calculatoarele dintr-o rețea,
și difuziune selectivă(engl. multicast), în care destinatari sunt o submulțime
aleasă a calculatoarelor din rețea.

Rețelele de date sunt într-o continuă dezvoltare, cele existente astăzi

oferind posibilitatea transmiterii de text, imagini, voce, video între diverse
echipamente electronice. Actualul concept este cel de rețele convergente, adică
face referire la acele tipuri de rețele care oferă accesul utilizatorilor la diverse
NECLASIFICAT
10 din 97
 NECLASIFICAT

clase de trafic (date, voce, video) folosind o infrastructură de rețea comună.

Acest lucru conduce la reducerea costurilor de implementare, monitorizare și
management al rețelelor și oferă utilizatorilor servicii diverse. O condiție
necesară funcționării optime a rețelelor convergente este capacitatea
furnizorului de servicii de a implementa diverse politici pentru calitatea
serviciilor (QoS) precum prioritizarea traficului în funcție de sensibilitatea la
întârzieri și de importanța acestuia la nivelul rețelei. Principalii parametrii de
calitate ai serviciului oferit de rețea sunt: capacitatea de transport, timpul de
transfer, timpul de propagare și siguranța transmisiei.
Capacitatea de transport oferită de rețea, sau debitul maxim acceptat este
raportul dintre numărul de biți transportați în cadrul unei comunicații și timpul
în care aceștia sunt transmiși. Echivalent, capacitatea este inversul duratei medii
între trecerea a doi biți consecutivi ai unei comunicații printr-un punct dat al
rețelei.
Timpul de transfer a unui bloc de date este timpul scurs de la trecerea,
printr-un punct dat, a primului bit al blocului până la trecerea, prin același punct
a ultimului bit. Timpul de transfer este egal cu raportul dintre dimensiunea
blocului și debitul cu care se face transferul.
Capacitatea oferită de rețea unei legături poate să varieze datorită variației
debitului altor comunicații care partajează aceleași echipamente.
Există aplicații legate de transferul de fișiere, pentru care este important
ca rețeaua să ofere o capacitate medie cât mai mare. Pentru alte aplicații, cum ar
fi telefonia, transmisia video (de exemplu pentru teleconferințe) sau alte aplicații
în timp real, este important să nu scadă niciodată capacitatea legăturii sub o
anumită valoare minimă, însă nu este necesară o capacitate mai mare.
Timpul de propagare între două entități este timpul scurs între momentul
în care entitatea sursă emite un bit și momentul în care acel bit ajunge la
destinație. Timpul de propagare rezultă din însumarea timpului de propagare a
semnalului de-a lungul mediului de comunicație cu diverși timpi de așteptare a
datelor în diverse zone tampon. Timpul scurs de la începutul transmisiei unui
bloc de date de către emițător până la finalul recepției blocului de către receptor
este egal cu suma dintre timpul de transfer și timpul de propagare.
La transferul unui fișier mare la care oricum timpul de transfer este mare,
timpul de propagare influențează foarte puțin timpul total necesar transmiterii
fișierului. La difuzarea de materiale video, un timp de propagare mare nu este
NECLASIFICAT
11 din 97
 NECLASIFICAT

deranjant, însă este important ca el să fie constant în timp. Timpul de propagare

este important să fie scurt în special pentru aplicații în care entitățile ce
comunică transmit mesaje scurte și trebuie să aștepte răspunsul la mesajul
precedent pentru a putea genera mesajul următor(telefonie, videoconferințe).
În timpul transmisiei există posibilitatea apariției erorilor ca urmare a
diverselor perturbații ce afectează transmiterea semnalelor. Există metode de a
micșora semnificativ probabilitatea ca un mesaj să fie afectat de erori, însă
niciodată această probabilitate nu poate fi zero.
Siguranța transmisiei constă în faptul ca fiecare mesaj al entității sursă să
ajungă într-un singur exemplar la destinație (să nu se piardă și să nu fie duplicat)
iar mai multe mesaje transmise de către aceeași sursă spre aceeași destinație să
ajungă în ordinea în care au fost transmise de sursă. Mesajele se pot pierde
datorită erorilor de transmisie, a supraaglomerării sau a defectării unor
echipamente din rețea sau chiar din cauză că emițătorul transmite cu debit mai
mare decât este capabil receptorul să preia informația transmisă. Transmisia
sigură este evident utilă, însă vine cu un anumit cost. Cel mai adesea costul este
reprezentat de creșterea și fluctuația timpului de propagare, deoarece mesajele
pierdute trebuie retransmise. La o transmisie audio-video, este preferabilă
păstrarea unui timp de propagare redus, cu prețul pierderii, din când în când, a
unor fracțiuni de secundă de material audio-video.
Totodată, trebuie să se aibă în vedere și implementarea soluțiilor privind
securitatea rețelei pentru ca datele transmise să nu fie interceptate, furate sau
modificate. Astfel iși face apariția si conceptul de securitate a comunicației.
Securitatea comunicației constă în faptul că un adversar ce controlează o
parte din rețea să nu poată obține informația transmisă, sau modifica datele
transmise fără ca acest lucru să fie detectat de către receptor.

NECLASIFICAT
12 din 97
 NECLASIFICAT

CAPITOLUL 2. REȚELE VIRTUALE PRIVATE

O rețea virtuală privată (VPN – Virtual Private Network) este o rețea care
funcționează ca o rețea privată pe o infrastructură comună. Rețele de tip VPN au
fost introduse inițial pentru a permite furnizorilor de servicii să folosească o
infrastructură fizică comună cât și pentru a putea implementa legături punct la
punct între site-urile clienților.
VPN-ul poate oferi comunicare la nivelurile legătură de date sau rețea din
stiva ISO-OSI. VPN-ul aparține de obicei, unei singure companii și are mai
multe site-uri interconectate în întreaga infrastructura a furnizorului de servicii
comune.
Termenul „rețea virtuală privată” se referă la comunicația între un set de
amplasamente(site-uri), prin utilizarea unei infrastructuri de rețea partajată,
pentru a facilita operațiile rețelei private. Structura logică a VPN-ului precum
topologia, adresarea, conectivitatea, ușurința de acces dar și controlul accesului,
este echivalentă cu o rețea privată convențională, utilizând facilități private.
Această tehnologie este din ce în ce mai căutată și utilizată, deoarece oferă
servicii cu un grad ridicat de securitate la un cost redus, fiind implementat peste
backbone-ul furnizorului de servicii.
Rețeaua privată impune faptul că toate site-urile cu clienți sunt capabile să
se interconecteze și sunt complet separate de alte VPN-uri. Aceasta este cerința
minimă de conectivitate. Cu toate acestea, modelul VPN de la nivelul IP ar
putea necesita mai mult decât atât. El poate oferi conectivitate între diferite
VPN-uri, atunci când este dorit acest lucru și oferă chiar conectivitate la
Internet.

2.1. Avantaje VPN

Rețelele VPN oferă mai multe avantaje: prețuri reduse pentru

implementare, securitate informațională sporită (aproape ca la rețelele private
propriu-zise, tradiționale), scalabilitate, acces simplificat și compatibilitate cu
rețelele publice de mare viteză.
Există 3 moduri principale prin care un VPN se poate realiza și anume:
Access VPN, Intranet VPN și Extranet VPN.

NECLASIFICAT
13 din 97
 NECLASIFICAT

Access VPN (remote access VPN) – permite conectarea individuală

(utilizatori mobili) sau a unor birouri la sediul central al unei companii, aceasta
realizându-se în cele mai sigure condiţii. VPN-urile de acces folosesc tehnologii
analogice, precum ISDN (Integrated Services Digital Network), DSL (Digital
Subscriber Line), IP mobil pentru a conecta în siguranță utilizatorii mobili,
birourile regionale și sucursalele.
Intranet VPN (site-to-site) – permite conectarea diferitelor sedii ale unei
companii folosind legături dedicate. Diferenţa fată de Access VPN constă în
faptul că se folosesc legături dedicate cu rata de transfer garantată, fapt care
permite asigurarea unei foarte bune calitaţi a transmisiei pe lângă securitate şi
bandă mai largă.
Extranet VPN – este folosit pentru a lega diferiţi clienţi sau parteneri de
afaceri la sediul central al unei companii folosind linii dedicate, conexiuni
partajate și o securitate mărită. VPN-urile extranet diferă de cele intranet prin
faptul că oferă acces și utilizatorilor din afara întreprinderii.
Rețea VPN cu acces la distanță

Internet

Echipament terminal
Sediul companiei
mobil

Rețea VPN locație la locație

Internet

Sediul central național Sediul internațional

Rețea VPN extranet

Internet

Furnizor Producător

Figura 2. 1. Principalele soluții de realizare a unui VPN

NECLASIFICAT
14 din 97
 NECLASIFICAT

2.2. Caracteristicile unui VPN

Principalele caracteristici ale unei rețele VPN performante vor fi

prezentate în cele ce urmează.

Operațiile eficiente
Termenul operație se referă la configurarea și monitorizarea unei rețelei în
exploatare. Pentru un VPN, în momentul adăugării unui nou site, site-urile
existente nu trebuie să sufere modificări de configurație.

Confidențialitatea datelor
Un VPN este un serviciu de conectivitate, a cărui confidențialitate este o
caracteristică fundamentală. Un abonat din VPN-ul A nu trebuie să fie capabil să
acceseze traficul aparținând VPN-ului B, dar acest lucru nu împiedică pachetele
de la clienți diferiți să circule pe aceeași legătură. Soluțiile la Nivel 3 trebuie să
respecte principiul confidențialității precum cele de la Nivelul 2 pe care le
înlocuiesc.

Rutarea eficientă
Rutarea pe linkurile punct-la-punct poate crea complexitate în rețelele IP.
Pentru un VPN site, operatorul rețelei trebuie să configureze corect rutarea astfel
încât un site să fie accesibil din alte locații. VPN-urile site rulează de obicei un
protocol de rutare dinamic între echipamentele clienților situate în locații
diferite.

VPN multicast
Această unealtă permite unui furnizor de servicii să configureze și să
suporte operațiile multicast în rețelele private virtuale. Această caracteristică
suportă rutarea și transmisia pachetelor multicast pentru fiecare VPN și fiecare
instanță de rutare și de asemenea asigură un mecanism de transport a acestor
pachete peste backbone-ul furnizorului de servicii.

Calitatea serviciilor(QoS)
VPN-urile trebuie să facă o distincție între numeroasele clase de trafic
provenite de la serviciile multiple oferite mai multor clienți. Acest lucru creează
o cerință suplimentară pentru transpoziția setărilor QoS de la un domeniu la
altul, deoarece furnizorul de servicii verifică și posibil schimbă clasificarea
pachetelor IP recepționate de la clienți și schimbarea ulterioară a lor în
NECLASIFICAT
15 din 97
 NECLASIFICAT

momentul aplicării etichetei sau trecerii printr-un tunel urmând ca în final să le

restaureze starea inițială în momentul livrării către client.

Fragmentarea pachetelor
În momentul în care un pachet are o dimensiune apropiată de limita
maximă (MTU) a unui port fizic al unui echipament și este încapsulat cu antetul
VPN-ului specific, va depăși probabil limita maximă a portului respectiv.
Această situație determină o fragmentare a pachetului după criptare, ceea ce
necesită ca providerul să asigure o reasamblare înainte de decriptare, degradând
performanțele. Pentru a minimiza efectul post-fragmentării, se poate seta limita
maximă a pachetului pe calea în sens invers fluxului de date pentru a se asigura
că fragmentarea se petrece înainte de criptare. Prefragmentarea în cadrul VPN-
urilor evită degradarea performanțelor prin mutarea sarcinii de reasamblare la
utilizatorul final.

Autentificarea, autorizarea și ținerea evidenței (Authentification,

Authorization and Accounting–AAA)
În contextul unui VPN, un utilizator trebuie să solicite accesul la rețeaua
privată (autentificare). Rețeaua îi acordă permisiunea utilizatorului să realizeze
anumite operațiuni specifice în diferite părți ale rețelei (autorizare). Utilizatori
diferiți pot avea permisiuni diferite. În final, rețeaua ține evidența operațiilor
efectuate de utilizator.

Suportul pentru orice plan de adresare

Planul de adresare utilizat pentru un client nu este vizibil în rețeaua
furnizorului de servicii. În VPN-urile bazate pe rețea, un router de margine al
furnizorului face parte din fiecare VPN și trebuie să aibă tabele de rutare private
pentru a menține separarea spațiilor de adrese ale clienților pentru același
echipament fizic.

Alocarea eficientă a adreselor

Pentru a fi cu adevărat operațională, un VPN trebuie să suporte tehnicile
de asignare dinamică a adreselor, precum DHCP sau RADIUS. Alternativa,
alocarea statică a adreselor IP nu este o opțiune deoarece consumă un timp mare
și este expusă la erori, astfel că o tehnologie performantă VPN trebuie să
integreze mecanismele dinamice de alocare a adresei.

NECLASIFICAT
16 din 97
 NECLASIFICAT

2.3. Modelul VPN Peer-to-Peer

Furnizorii de servicii pot implementa două modele majore VPN pentru a

oferi servicii VPN clienților lor:

• Modelul VPN de suprapunere – VPN overlay;

• Modelul VPN Peer-to-Peer.

La baza modelului VPN Overlay stau VPN-urile orientate pe conexiune

de nivel 2. În acest model furnizorul de servicii pune la dispoziția clienților
circuitele virtuale, informațiile de rutare fiind schimbate direct între routerele
acestora.
Există mai multe modele de rețele VPN de nivel 2 orientate pe
conexiune:
• Rețele VPN bazate pe TDM (Time Division Multiplexing) - Majoritatea
furnizorilor de servicii oferă linii private clienților, ceea ce duce la
necesitatea folosirii multiplexării digitale, tehnică în care două sau mai
multe canale aparent simultane, sunt derivate ale unui flux de biți, obținute
prin întrețeserea biților acestora.
• Rețele VPN bazate pe cadru/celulă - Aceste rețele bazate pe cadru (Frame
Relay sau X.25) sau cele bazate pe celulă (ATM) folosesc căi logice
definite prin circuite virtuale permanente sau de comutație.

La baza modelului VPN Peer-to-Peer (punct-la-punct) stau VPN-urile

neorientate pe conexiune de nivel 3, în care informația de rutare este transmisă
prin intermediul routerelor furnizorului de servicii. Acest model a fost
implementat pentru a suplini deficiențele modelului overlay, adică pentru a
asigura transportul optim și în siguranță al datelor prin nucleul rețelei
furnizorului de servicii. Separarea informațiilor de rutare specifice fiecărui
client în parte se poate face prin filtrarea traficului prin intermediul unor liste de
acces sau prin stabilirea unor anumite etichete pe care routerele să le poată
trimite vecinilor.
Routerele furnizorului de servicii participă activ la rutarea informației,
ceea ce face ca aceste rețele să aibă o scalabilitate mărită. Adăugarea unui nou

NECLASIFICAT
17 din 97
 NECLASIFICAT

site presupune doar adăugarea acestuia pe routerul furnizorului de servicii.

Astfel nu mai e nevoie de ciruite virtuale dedicate ca în cazul overlay.
Modelul peer-to-peer are și două aspecte mai puțin plăcute decât în cazul
modelului overlay:
• Routerele de la marginea rețelei furnizorului de servicii trebuie să asigure
scalabilitate și convergența rețelelor client;
• Clientul nu are control asupra întregii rețele ca în cazul overlay, deoarece
rutarea informațiilor în interiorul rețelei furnizorului se face prin
intermediul routerelor acestuia.

Router de margine Client

Router de margine al
furnizorului de servicii

Router de margine
Client

Router de margine al
furnizorului de servicii
Router de margine al Router de margine
furnizorului de servicii Client

Router de margine al
furnizorului de servicii

Router de margine Client

Figura 2. 2. Modelul VPN Peer-toPeer

NECLASIFICAT
18 din 97
 NECLASIFICAT

CAPITOLUL 3. CARACTERISTICI MPLS

MPLS – Multi-Protocol-Label-Switching este o tehnologie de transmitere

a pachetelor, cu un grad de performanță ridicat, care integrează randamentul
ridicat și capabilitățile de management ale comutației nivelului „legătura de
date”(Nivel 2 ISO-OSI) cu scalabilitatea, flexibilitatea și performanțele de rutare
ale nivelului „rețea”(Nivel 3 ISO-OSI). MPLS aduce o soluție îmbunătățită
pentru realizarea managementului benzii, aceasta aducând un câmp dedicat ce
poate fi utilizat în funcție de necesitățile furnizorului de servicii pentru
asigurarea unui QoS(Quality of Service) cât mai bun.
MPLS este o metodă îmbunătățită pentru transmiterea pachetelor într-o
rețea utilizând informația conținută în etichetele atașate pachetelor IP. Acestea
sunt inserate între antetul de nivel 3 și cel de nivel 2 al stivei ISO-OSI,
tehnologia MPLS putând fi numită tehnologie de nivelul 2,5 ce combină
tehnicile de comutație de nivel 2 cu tehnicile de rutare de nivel 3, sau conținute
în câmpurile Identificator al Căii Virtuale (VPI) și Identificator al Canalului
Virtual (VCI) în cazul tehnologiilor bazate pe celule, precum ATM. Obiectivul
principal al tehnologiei MPLS este acela de a crea o rețea flexibilă care să
asigure performanță și stabilitate crescute. Acesta include ingineria traficului și
capabilități de creare a rețelelor VPN, soluție care oferă multiple clase de
servicii (CoS) pentru realizarea calității serviciilor (QoS).
Etichetele MPLS sunt anunțate între routere, astfel încât acestea să poată
construi o hartă a acestora. Aceste etichete sunt atașate la pachetele IP, ce permit
routerelor redirecționarea traficului prin căutarea etichetelor și nu a adreselor IP
de destinație. Pachetele sunt transmise prin comutare de etichete în loc de
comutare prin IP.

3.1. Beneficiile MPLS

Această secțiune explică pe scurt câteva din beneficiile de a rula MPLS în

rețea. Aceste beneficii includ următoarele:
 Utilizarea infrastructurii de o rețea unificată;
 O mai bună integrare IP prin ATM-uri;
 Border Gateway Protocol (BGP) de bază –gratuit;
 Modelul peer-to-peer pentru MPLS VPN;
NECLASIFICAT
19 din 97
 NECLASIFICAT

 Debit optim al traficului;

 Inginerie de trafic.

Un protocol „label swapping” înlocuiește eticheta pachetului etichetat

primit înlocuind-o cu cea corespunzătoare router-ului următor. Unul dintre
primele motive pentru un apariția unui astfel de protocol este reprezentat de
reprezintă nevoia de viteză. Trecerea de pachete IP pe un procesor a fost
considerată a fi mai lentă decât trecerea de pachete etichetate căutând doar
eticheta din partea de sus a unui pachet. Un router transmite un pachet IP
căutând adresa destinație IP în antet și găsind cea mai bună potrivire din tabela
de rutare. Cu toate acestea, deoarece adresele IP pot fi unicast sau multicast și au
patru octeti, căutarea poate fi complexă. Un mijloc de căutare complexă
semnifică faptul că o decizie de redirecționare pentru un pachet IP poate dura
ceva timp.
În prezent, link-urile de pe routere pot avea o lățime de bandă de până la
40 Gbps. Un router care are mai multe legături de mare viteză, nu ar mai putea
trece toate pachetele IP doar prin utilizarea CPU pentru a lua decizia de
expediere. CPU are rolul de a se ocupa în detaliu de planul de control.
Planul de control este un set de protocoale care permite configurarea
datelor sau a planului de expediere. Principalele componente ale planului de
control sunt protocoalele de rutare, tabela de rutare, și controlul sau protocoale
de semnalizare utilizate pentru furnizarea planului de date.
Planul de date este calea de redirecționare de pachete printr-un router sau
switch. Comutarea pachetelor în ziua de astăzi este realizată pe hardware-ul
specific construit, sau prin circuite integrate specifice aplicației (ASIC).
Utilizarea ASIC în planul de redirecționare a unui router conduce la faptul că
pachetele IP pot fi comutate la fel de repede ca și etichetele de pachete. Prin
urmare, punerea în aplicare a MPLS în rețea nu are ca scop comutarea mai
rapidă a pachetelor.
La MPLS, ideea este de a eticheta pachete pe baza adresei lor de
destinație și pentru a comuta tot traficul pe o infrastructură comună. Acesta este
marele avantaj al MPLS.
Unul dintre motivele pentru care IP-ul a devenit singurul protocol ce
domină în lumea rețelelor se datorează faptului că multe tehnologii pot fi
transportate peste acesta. Pe lângă date, peste IP poate fi transportată și voce.
NECLASIFICAT
20 din 97
 NECLASIFICAT

Prin utilizarea IP cu MPLS, posibilitățile se pot extinde în ceea ce privește

serviciile ce se pot transporta. MPLS poate transporta IPv4, IPv6, Ethernet, Link
Control de date la nivel înalt (HDLC), PPP cât și alte tehnologii Layer 2.

3.2. Arhitectura MPLS

O etichetă MPLS este un câmp de 32 de biți, cu o anumită structură. În

figura 3 este ilustrată detaliat sintaxa unei etichete MPLS.

Figura 3. 1. Eticheta MPLS

Primii 20 de biți reprezintă valoarea etichetei. Această valoare poate fi

între 0 și , sau 1048575. Cu toate acestea, primele 16 valori sunt scutite
de la condițiile normale de utilizare ele având o semnificație specială.
Biții 20, 21 și 22 sunt cei trei biți experimentali (EXP). Aceștia sunt
utilizați exclusiv pentru calitatea serviciului (QoS). Cu ajutorul lor se setează
unui pachet diverși algoritmii de aruncare, în momentul traversării rețelei
Bitul 23 este bitul Bottom of Stack (BoS). Acesta are valoarea 0, cu
excepția cazului în care eticheta se află pe ultima poziție. În acest caz, bitul BoS
este setat la 1. Stiva reprezintă o colecție de etichete care se găsesc în partea de
sus a pachetului IP.
Biții 24-31 sunt cei opt biți folosiți pentru Time To Live (TTL). Acest
TTL are aceeași funcție ca și TTL găsit în header-ul IP. Pur și simplu scade cu 1
la fiecare nex-hop, iar funcția sa principală este de a evita ca un pachet să fie
blocat într-o buclă de rutare. În cazul în care are loc o buclă de rutare și nu este
prezent TTL, pachetele vor rămâne blocate în buclă pentru totdeauna. Dacă
TTL-ul etichetei ajunge la 0, pachetul este aruncat.
Următoarele secțiuni descriu stivuirea etichetei și plasarea stivei de
etichete într-un cadru.

NECLASIFICAT
21 din 97
 NECLASIFICAT

3.3. Stivuirea etichetei

Routerele cu capabilități MPLS ar putea avea nevoie de mai mult de o

etichetă în partea de sus a pachetului la rutarea acestuia în rețeaua MPLS. Acest
lucru se face prin așezarea etichetelor într-o stivă. Prima etichetă din stivă este
numită eticheta de sus(top label), iar ultima etichetă este denumită eticheta de
jos (bottom label). Între acestea, poate fi un număr nelimitat de etichete. În
figura 4 este prezentată stiva de etichete.

Figura 3. 2. Stiva de etichete MPLS

Se poate observa că stiva de etichete din Figura 3, arată că bitul BoS este
0 pentru toate etichetele, cu excepția etichetei de pe ultima poziție. Pentru
aceasta din urmă, bitul BoS este setat la 1.
Unele aplicații MPLS, au nevoie de mai mult de o etichetă din stivă
pentru a putea transmite pachete etichetate. Un exemplu de aplicație, este
MPLS VPN ce va pune două etichete în stivă. În cazul realizării unei astfel de
rețele MPLS VPN, pachetul va avea atribuite încă de la intrarea în rețeaua
MPLS două etichete și anume: eticheta care definește VPN-ul de care aparține
pachetul, iar deasupra acesteia este dispusă eticheta corespunzătoare următorului
LSR din rețea.

NECLASIFICAT
22 din 97
 NECLASIFICAT

Eticheta LDP

Eticheta VPN
Figura 3. 3. Exemplu de dispunere în stivă a etichetelor

3.4. Elementele MPLS

Elementele MPLS sunt:

• Router de comutare a etichetelor (LSR)
• Calea pe care circulă pachetele MPLS (LSP)
• Protocolul de distribuție al etichetelor (LDP)

3.4.1. Routerul de comutare a etichetelor (LSR)

LSR-ul reprezintă un dispozitiv ce îndeplineşte funcţia de comutare pe

bază de etichetă. LSR transmite un pachet pe baza valorii etichetei încapsulate în
acesta, dar poate de asemenea să transmită pachete de nivel 3.
LSR-urile sunt routere cu posibilități MPLS sau pot fi comutatoare cu
posibilități MPLS care utilizează etichete pentru transmisia traficului. Un pas
fundamental în comutarea etichetelor îl reprezintă faptul că LSR-urile se pun de
acord în privința etichetelor pe care le folosesc pentru direcționarea traficului,
acord realizat prin folosirea LDP sau extensii ale BGP, RSVP sau CR-LDP.
LSR-urile de margine sau ELSR cum mai sunt numite sunt localizate la
limitele punctului de prezență (POP) ale unei rețele MPLS și aplică etichete (sau
stive de etichete) pachetelor. Atașarea etichetelor pachetului este numită și
acțiune de inserție. LSR-urile de margine realizează de asemenea dispoziția
etichetelor sau funcția de îndepărtare a etichetei la punctul de ieșire din
domeniul MPLS, care este numită și extragerea etichetei.

NECLASIFICAT
23 din 97
 NECLASIFICAT

Tabelul 3.1. Acțiuni LSR asupra etichetelor

Acțiune Descriere

Agregare Îndepărtează eticheta superioară din stivă și realizează o căutare la

Nivelul 3

Extragere Îndepărtează eticheta superioară din stivă și transmite sarcina

rămasă fie ca un pachet etichetat sau pachet IP neetichetat

Inserție Realizeză înlocuirea etichetei superioare din stivă cu un set de

etichete

Interschimbare Realizază înlocuirea etichetei superioare din stivă cu o altă valoare

Demarcare Înlătură eticheta superioară și transmite pachetul IP la următorul

hop IP specificat

Operația de bază a unei rețele MPLS ce comută pachete în sprijinul rutării

unicast cu un singur nivel al stivei este ilustrat în figura 4. LSR1 realizează
funcțiile unui LSR de margine, adică aplică eticheta inițială pachetului,
realizează o căutare cu potrivirea cea mai lungă în antetul IP și determină FEC
pentru pachet.
Parametrii precum interfața de intrare, în cazul VPN sau calea
predeterminată prin ingineria traficului, pot determina selecția FEC, această
determinare este efectuată o singură dată, la intrare. Fiecare FEC este asociat cu
eticheta corespunzătoare. După ce pachetul este etichetat, LSR-urile ulterioare
expediază pachetul folosind doar eticheta. LSR-urile înlocuiesc de obicei
eticheta de intrare cu o nouă valoare când îl expediază. La ieșire, LSR4 execută
o căutare de etichete, extrage eticheta, efectuează o căutare la Nivelul 3 și
înaintează pachetul la următorul router extern.

NECLASIFICAT
24 din 97
 NECLASIFICAT

LSR3
1
0 1 0
2
R1 LSR1 LSR2
LSR4

R2

Figura 3. 4. Operații LSR

Figura 3.4 ilustrează operațiile LSR cu multiple niveluri de etichete în

stivă. LSR1 efectuează funcțiile LSR de margine (ELSR). Aplică setul inițial de
etichete pachetului după executarea căutării convenționale cu potrivirea cea mai
lungă în antetul IP, și determină FEC pentru pachet. LSR2 intermediar schimbă
eticheta superioară cu valoarea 7 și o înlocuiește cu valoarea 8. La ieșire, LSR4
efectuează o căutare de etichetă, extrage eticheta, execută o căutare la Nivelul 3
și expediază pachetul la următorul router extern.

NECLASIFICAT
25 din 97
 NECLASIFICAT

LSR3
1
0 1 0
2
R1 LSR1 LSR2
LSR4

R2

Figura 3. 5. Operații LSR cu multiple niveluri în stivă

Operațiile LSR descrise mai sus au anumite deficiențe asociate cu dublă

căutare efectuată la LSR4, deoarece necesită examinarea stivei de etichete și
căutarea etichetelor în LFIB pentru a se realiza că acestea trebuie extrase,
urmată de căutarea executată la Nivelul 3 în tabela de rutare pentru a transmite
în mod corect pachetul următorul router. Dubla căutare la LSR4 rezultă în
degradarea performanțelor, precum și complexitatea în implementarea hardware
a MPLS în anumite circuite integrate. Pentru a implementa extragerea la
penultimul hop, LSR de margine, LSR4 cere o operație de extragere a etichetei
de la vecinul său, LSR2, via LDP utilizând o etichetă specială, implicit-null, ce
are valoarea 3 pentru LDP.
LSR2 extrage eticheta înainte de transmisia pachetului IP către LSR4,
care mai apoi execută o căutare la Nivelul 3, bazată pe adresa destinație
conținută în pachet și îl înaintează mai departe conform subrețelei locale sau
următorului router.
NECLASIFICAT
26 din 97
 NECLASIFICAT

3.4.2. Calea pe care circulă pachetele MPLS(LSP)

LSP reprezintă calea de la sursă la destinaţie pentru un pachet de date

printr-o reţea MPLS. Acesta este o conexiune configurată între 2 routere LSR,
în care pentru transmisia pachetelor, sunt utilizate tehnicile de comutare a
etichetei. LSP-urile sunt căi specifice într-o rețea MPLS și sunt realizate
utilizînd LDP, TDP, RSVP cu extensii de inginerie a traficului sau extensii ale
protocoalelor de rutare precum cele ale protocolului BGP. LSP poate fi
considerat calea de-a lungul unui set de LSR pe care pachetele ce aparțin unui
anumit FEC o parcurg pentru a ajunge la destinație.
MPLS permite o ierarhie de etichete cunoscută ca stiva de etichete. Astfel
este posibil să existe LSP-uri diferite la niveluri diferite ale stivei de etichete
pentru ca un pachet să ajungă la destinație. LSP-urile sunt unidirecționale, ceea
ce înseamnă că un pachet poate lua altă cale la întoarcere.
Stabilirea LSP poate fi realizată prin 2 metode:
 Controlul independent;
 Controlul ordonat.

Cele 2 metode pentru crearea unui LSP pot coexista în aceeași rețea fără
probleme de arhitectură sau interoperabilitate. Metoda independentă asigură
convergență rapidă, deoarece routerele pot crea informații despre etichete
oricând, fără întârzierea provocată de așteptarea confirmării propagării dintr-o
parte a rețelei până în cealaltă. În metoda de control ordonată, informațiile
despre etichetă sunt propagate de-a lungul rețelei după ce LSP este creat.
Metoda controlului ordonat asigură capabilități de prevenție a buclelor.
În metoda de stabilire LSP folosind controlul independent, fiecare LSR
partiționează prefixele destinație în clase de transmisie, FEC. Etichetele sunt
atribuite fiecărui FEC iar informațiile despre etichetă sunt transmise vecinilor
LSR. Vecinii creează o tabelă LFIB utilizând mapările între clasele de
transmisie și următoarele hopuri. LSR rulează un protocol de rutare unicast
precum OSPF sau IS-IS și utilizează informații generate de către acesta pentru a
crea maparea FEC-următorul hop.
Tabela LFIB memorează informația despre următoarele câmpuri : eticheta
de intrare, următorul hop, eticheta de ieșire, și interfața de ieșire. LSR creează
informația locală despre un FEC particular prin alegerea arbitrară a unei etichete
dintr-un set de etichete nefolosite din Baza de Informații despre Etichete (LIB)
NECLASIFICAT
27 din 97
 NECLASIFICAT

și actualizează LFIB. Câmpul etichetei de intrare din LFIB este setat cu valoarea
etichetei extrasă din setul de etichete, următorul hop este setat cu adresa IP a
următorului hop asociat cu FEC, iar interfața de de ieșire este setată cu tipul și
numărul interfeței către următorul hop.
După crearea informațiilor locale, LSR distribuie aceste informații către
LSR învecinați utilizând LDP sau extensii ale unui protocol de rutare.
Informația de legătură constă într-un set de valori de forma prefix-adresă-
etichetă, unde prefixul de adresă identifică FEC și eticheta identifică valoarea
etichetei pe care LSR o utilizează pentru asocierea informațiilor locale cu FEC-
ul particular.
Când un router adiacent primește informații de control de la un vecin,
verifică prezența anterioară a acestor informații și actualizează câmpul „Eticheta
de Ieșire”, cu noua valoare primită, LSR având acum o tabelă LFIB populată și
fiind pregătit de transmisia pachetelor.
Dacă un LSR primește informații de control de la un vecin și nu are
informații locale pentru acea clasă particulară în tabela LFIB, are opțiunea de a
reține informația sau de a o arunca, caz în care LDP avertizează vecinul să
retransmită informația de control. Această informație de control este distribuită
numai între rutere adiacente, astfel că un LSR va împărtăși informația de control
cu un LSR învecinat care are o subrețea comună cu cel puțin o interfață cu LSR
local.

3.4.3. Protocolul de distribuție al etichetelor

Protocolul de distribuție al etichetelor (LDP) este utilizat în paralel cu

protocoalele de rutare standard pentru a putea distribui informațiile de control
între routerele cu posibilități de comutare de etichete. LDP permite unui LSR să
distribuie etichetele către vecini utilizând portul 646 al TCP. Utilizarea TCP ca
protocol de transport concretizează o livrare fiabilă a informațiilor LDP cu un
control al fluxului robust și mecanisme de manevrare a congestiei.
O cale într-un domeniu MPLS este definită de către un set de etichete
comutate între routerul de intrare și cel de ieșire.
LDP pune la dispoziție un mecanism de descoperire a LSR pentru a
permite perechilor LSR să se localizeze și să stabilească o legătură sau
comunicația între acestea.
NECLASIFICAT
28 din 97
 NECLASIFICAT

Se definesc 4 clase de mesaje:

 Mesaje DISCOVERY – rulează UDP și utilizează mesaje HELLO de
multicast pentru a învăța despre ruterele la care LDP are conexiune
directă. Stabilește apoi o conexiune TCP și o eventuală sesiune LDP cu
perechile sale, care sunt bidirecționale. LSR-urile la ambele capete pot
anunța sau solicita date de control de la sau către LSR- ul de la celălalt
capăt al conexiunii.
 Mesaje ADJACENCY – rulează TCP și realizează inițializarea sesiunii
utilizând mesaje de INIȚIALIZARE la începutul negocierii sesiunii LDP.
Această informație include moduri de alocare a etichetelor, valori ale
timerelor și intervalul de etichete ce poate fi utilizat între 2 rutere LSR.
 Mesaje LABEL ADVERTISMENT – asigură anunțăeile cu informații
despre etichetă, utilizând mesaje LABEL MAPPING care avertizează
legăturile dintre clasele de echivalență și etichete. Mesajele LABEL
WITHDRAWAL sunt utilizate pentru procesul invers. Mesajele LABEL
RELEASE sunt utilizate de către rutere care au recepționat informații de
atribuire a etichetelor și vor să elibereze eticheta deoarece aceasta nu mai
este necesară.
 Mesaje NOTIFICATION – asigură informații consultative și de asemenea
informații de semnalizare a erorilor între perechile de LSR care au o
sesiune LDP stabilită între ele.

LDP utilizează TCP pentru a asigura mesaje fiabile, cu excepția mesajelor

LDP DISCOVERY, care utilizează UDP. Mesajele LDP sunt specificate ca un
set de obiecte TLV(tip, lungime, valoare). Distribuția și alocarea etichetelor
TLV pot fi realizate în diferite moduri.

3.5. Moduri de alocare a etichetelor

3.5.1. Modul de alocare la cerere a etichetelor

Arhitectura MPLS permite unui LSR să solicite explicit de la hopul
următor pentru o clasă de echivalență particulară, o etichetă legată de acea clasă
de echivalență. Aceasta este cunoscută ca și distribuția etichetelor downsteam-
on-demand. Acest mod utilizează mesajele REQUEST LABEL pentru a solicita
mapări de etichete de la vecinii LSR din aval. Mesajul LABEL REQUEST

NECLASIFICAT
29 din 97
 NECLASIFICAT

ABORT este utilizat pentru a anula mesajul LABEL REQUEST în timpul sau
înainte de completarea solicitării.

3.5.2. Modul de alocare nesolicitat în aval

Arhitectura MPLS permite de asemenea unui LSR să distribuie informații

de control către ruterele care n-au solicitat în mod explicit acest lucru. Această
tehnică este cunoscută sub numele de distribuire de etichete „unsolicited
downstream”.
Atât alocarea etichetelor la cerere cât și nesolicitat în aval pot fi utilizate
în aceeași rețea, în același timp. În cazul fiecărei adiacențe de distribuție de
etichete perechea LSR trebuie să cadă de acord asupra tehnicii care va fi
utilizată. Acest fapt este negociat între LSR-uri în timpul sesiunii de negociere,
LDP utilizând schimbul de mesaje INITIALIZATION.
Dacă un LSR suportă modul de păstrare liberal al etichetelor, menține
legăturile între o etichetă și o clasă de echivalență care sunt primite de la LSR-ul
care nu este următorul hop pentru acea clasă de echivalență. Ruterul are
opțiunea de a păstra aceste legături sau de a le descărca. Dacă le păstrează,
atunci le poate utiliza imediat dacă LSR-ul pereche devine eventual mai târziu,
hopul următor pentru acel FEC. Dacă le aruncă, LSR-ul pereche devine
următorul hop mai târziu, iar maparea va trebui refăcută utilizând LDP.

NECLASIFICAT
30 din 97
 NECLASIFICAT

CAPITOLUL 4. REȚELE MPLS VPN

Rețelele MPLS VPN sau MPLS Virtual Private Networks, sunt cea mai
populară și cea mai raspândită implementare a tehnologiei MPLS. Popularitatea
sa a crescut exponențial de când a fost inventată, și este încă în creștere
constantă, cu toate că majoritatea furnizorilor de servicii au implementat-o ca un
înlocuitor pentru Frame Relay sau servicii ATM. Practic, furnizorului de servicii
îi este permisă crearea mai multor VPN-uri pentru mai mulți clienți, fără a fi
nevoit să realizeze un număr consistent de circuite virtuale pentru fiecare grup
închis de utilizatori. MPLS VPN cunoaște acum un interes crescut din partea
companiilor și întreprinderilor mari ce văd în această tehnologie viitorul în
proiectarea rețelelor lor. De asemenea, poate oferi scalabilitate și separă rețeaua
în rețele mai mici, ceea ce este adesea necesar în rețelele de întreprinderi mai
mari, unde Infrastructura IT comună trebuie să ofere rețele izolate la
departamente individuale.

4.1. Modelul de rutare MPLS VPN

Domeniul MPLS VPN, la fel ca domeniul VPN-ului tradițional este

alcătuit din rețeaua clientului și din rețeaua provider-ului. Modelul MPLS VPN
este foarte similar modelului router PE dedicat din implementarea Peer to Peer a
VPN. În locul alocării unui ruter PE dedicat pentru fiecare client, traficul
clientului este izolat pe același ruter PE care asigură conectivitatea la rețeaua
Service Provider-ului pentru multiplii clienți. Componentele unei rețele MPLS
VPN sunt prezentate în figura 8.

4.2. Arhitectura MPLS VPN

Principalele părți componente ale arhitecturii MPLS VPN sunt:

• Rețeaua Client, care este de obicei controlată de către client și care
conține echipamente și routere care comunică cu rețeaua Service
Provider-ului aparținând diferitelor site-uri ale clientului;
• Rețeaua Provider, este un domeniu controlat de provider și conține
routere PE si P care conectează site-urile clientului pe o infrastructură
comună. Rețeaua Provider controlează traficul de rutare dintre site-urile
NECLASIFICAT
31 din 97
 NECLASIFICAT

clientului, și de asemenea asigură izolarea traficului specific fiecărui

client în ruterele PE.
În funcție de rolul și poziția lor în structura rețelelor MPLS VPN routerele
poartă anumite denumiri specifice:
• Routere CE (Client Edge) – sunt routerele din rețeaua client aflate la
granița cu rețeaua MPLS a furnizorului de servicii. Se mai numesc și
routere de intrare/ieșire în/din rețeaua client.
• Routerele P (Provider) – sunt routerele din interiorul nucleului rețelei
furnizorului de servicii care fac rutarea între routerele PE. Acestea nu au
nevoie să cunoască tabela globală de rutare, deoarece ele transmit
informația pe baza etichetelor atașate pachetelor.
• Routerele PE (Provider Edge) – sunt routerele furnizorului de servicii
aflate la granița cu rețeaua client. Acestea sunt cele mai importante în
realizarea rețelei MPLS VPN, deoarece pe ele se definesc VPN-urile
client. Routerele PE trebuie să cunoască tabela globală de rutare și să
ruleze BGP pentru a transporta traficul VPN. Aceste routere sunt
singurele echipamente vizibile din rețeaua client, ceea ce implică riscuri
mai ridicate de atac.

VPN Furnizor de servicii VPN

C P C

CE PE PE CE

C P C
Locație A MPLS VPN Locație B

Figura 4. 1. Schemă generală MPLS VPN

NECLASIFICAT
32 din 97
 NECLASIFICAT

În rețelele MPLS VPN, routerele CE schimbă informații de rutare direct

cu routerele PE ale furnizorului de servicii. Membrii VPN-urilor sunt identificați
ca aparținând unui anumit VPN pe baza etichetelor. Acestea conțin informații
despre următorul hop, despre tipul de servicii și un identificator VPN.
La intrarea în rețeaua furnizorului, pachetele trimise de routerele CE sunt
procesate și le este atribuită o etichetă pe baza interfeței fizice pe care au fost
primite. Etichetele sunt atribuite folosind instanțe de rutare virtuale (VRF -
Virtual Routing Forwarding), pachetele fiind analizate numai la LSR-urile de
intrare.
Clienții furnizorului de servicii pot avea propria schemă de adresare, adică
ei pot utiliza adrese IP înregistrate, dar de asemenea și adrese IP private sau
adrese utilizate de către clienți ce sunt conectați la același furnizor de servicii
(adresare IP suprapusă). Dacă pachetele ar fi transmise prin rețeaua providerului
ca pachete IP ar cauza probleme, deoarece routerele P ar fi confuze. Dacă nu ar
exista caracterul privat și posibilitatea de suprapunere a schemelor de adresare,
atunci fiecare client trebuie să utilizeze un interval de adrese separat, iar în acest
caz pachetele pot fi transmise pe baza adresei IP destinație, dar routerele P și PE
trebuie să aibă tabele de rutare complete pentru fiecare client, rezultând tabele
de rutare foarte mari. Singurul protocol de rutare capabil să transporte un număr
mare de rute este Border Gateway Protocol (BGP). De asemenea acest lucru
înseamnă ca toate routerele P și PE vor trebui să ruleze între ele Internal BGP
(iBGP). Prin memorarea tuturor rutelor clienților se pierde caracterul privat al
VPN-urilor.
O altă soluție este ca fiecare router P și PE să aibă o tabelă de rutare
privată între ele. Mai multe sesiuni ale unui protocol de rutare (câte un proces
pentru fiecare VPN) pot fi rulate pe toate routerele pentru a distribui rutele VPN.
De fiecare dată când este adăugat un VPN la rețea, trebuie adăugat un nou
proces de rutare pe fiecare router P. De asemenea dacă un pachet IP ajunge la un
router P, acesta nu are o modalitate clară prin care determină care este VPN-ul
de care aparține acel pachet IP. O soluție este adăugarea unui câmp pachetului
IP prin care se specifică VPN-ul de care aparțin, iar routerele P trebuie să caute
acest câmp extra și la adresa IP destinație, acest lucru însemnând că routerele P
trebuie să fie conștiente de câmpul adăugat.
O soluție scalabilă ar fi ca routerele P să nu știe de VPN-urile existente
astfel că nu vor fi încărcate de informația de rutare pentru rutele VPN. Această
NECLASIFICAT
33 din 97
 NECLASIFICAT

soluție se obține prin utilizarea MPLS. Pachetele IP ale clientului sunt etichetate
în rețeaua providerului pentru a obține un VPN privat pentru fiecare client.
Routerele P nu trebuie să dețină tabele de rutare ale clienților prin utilizarea a
două etichete MPLS, așadar nu este nevoie de BGP pe aceste routere. Rutele
VPN sunt cunoscute doar de routerele PE ale rețelei MPLS VPN, ceea ce face
MPLS VPN o soluție scalabilă.

VPN A
Site 1 Echipament VPN A
client
Site 2
Echipament
client

Echipamentul
furnizorului Echipamentul
furnizorului

Rețea MPLS a furnizorului

de servicii

Echipament
client Echipamentul
furnizorului

VPN B VPN B
Site 2
Site 1

Echipament
client

Figura 4. 2. Modelul MPLS VPN

NECLASIFICAT
34 din 97
 NECLASIFICAT

4.3. Prezentare generală a arhitecturii MPLS VPN

Pentru a obține o rețea de tipul MPLS VPN sunt necesare câteva blocuri
esențiale pe routerele PE: instanța de rutare specifică fiecărui VPN(VRF),
discriminatorul de rută (Route Distinguisher- RD), propagarea rutelor prin MP-
BGP, politicile de import ale rutelor (Route Targets – RT) și transmisia
pachetelor etichetate.

4.3.1. Instanța de rutare virtuală (Virtual Routing Forwarding-VRF)

Instanță de rutare și transmisie ( VRF ) este un proces VPN prin care sunt
rutate și transmise datele. Este numită astfel datorită combinației dintre tabela de
rutare VPN, tabela CEF și protocoalele de rutare IP asociate prezente pe routerul
PE, acesta având câte o instanță VRF pentru fiecare VPN atașat.

VPN A
Site 1

Echipament
client

Echipamentul
furnizorului

Rețea MPLS a furnizorului

de servicii

Echipament
client

Tabelă de rutare VRF

VPN B pentru VPN-ul A
Site 1

Tabelă de rutare globală

Tabelă de rutare VRF

pentru VPN-ul B

Figura 4. 3. Prezența VRF-urilor pe router-ul PE

NECLASIFICAT
35 din 97
 NECLASIFICAT

Deoarece rutarea trebuie să fie separată și privată pentru fiecare client

(VPN) pe routerul PE, fiecare VPN trebuie să aibă propria tabelă de rutare.
Această tabelă de rutare privată este numită tabelă de rutare VRF. Interfața de
pe routerul PE către routerul CE poate aparține unui singur VRF, astfel că toate
pachetele IP recepționate pe acea interfață VRF sunt identificate ca aparținând
VPN-ului respectiv. Unui singur VRF îi poate fi atribuită o interfață, dar de
asemenea se pot aloca mai multe interfețe unui singur VRF. Tabela de rutare
VRF nu diferă de o tabelă de rutare obișnuită utilizată pentru un set de site-uri
VPN și este complet separată de alte tabele de rutare.
Tabela de rutare VRF conține prefixe ce sunt populate de către protocoale
de rutare dinamice și de către rutarea statică, precum o tabelă de rutare globală.
De asemenea conceptul metricii, distanță sau hop următor nu se modifică.
Deoarece instanța VRF este asociată cu interfețele, doar pachetele IP ce intră pe
acea interfață în routerul PE sunt transmise conform acelei tabele VRF.

4.3.2. Discriminatorul de rute (RD)

Prefixele VPN sunt propagate peste rețeaua MPLS VPN de către

Multiprotocolul BGP (MP-BGP). Problema este reprezentată de faptul că în
momentul în care BGP transportă aceste prefixe IPv4 acestea trebuie să fie
unice. Dacă clientul avea o adresare IP care s-a suprapus, apăreau erori. Pentru
a rezolva această problemă, a fost elaborat conceptul RD pentru a face ca
prefixele IPv4 să fie unice. Ideea de bază este că fiecare prefix de la fiecare
client recepționează un identificator unic (RD) pentru a distinge același prefix
de la clienți diferiți. Astfel un prefix ce derivă de la combinația dintre prefixul
IPv4 și RD este numit prefix vpnv4, pe care MP-BGP îl utilizează pentru a
transporta prefixele clienților între routerele PE.
Discriminatorul de rute este un câmp de 64 de biți utilizat pentru ca MP-
BGP să transporte prefixele VRF. Funcția unui RD nu este de identificator al
VPN-ului, deoarece anumite scenarii complexe de VPN ar putea necesita mai
multe de un RD pentru fiecare VPN. Fiecare instanță VRF de pe routerul PE
trebuie să aibă atribuit un RD. Acest câmp de 64 de biți poate avea 2 formatări:
ASN:nn sau adresă IP:nn, unde nn reprezintă un număr. Primul format este cel
mai utilizat, unde ASN provine de numărul sistemului autonom pe care
Autoritatea de Asignare a Numerelor în Internet o alocă unui furnizor de
NECLASIFICAT
36 din 97
 NECLASIFICAT

servicii iar „nn” este numărul pe care furnizorul de servicii îl atribuie VRF-ului.
RD este utilizat numai pentru a identifica în mod unic rutele VPN, astfel că
prin folosirea lui se poate realiza suprapunerea rutelor IPv4 cu rute de la un alt
VPN. Combinarea RD cu prefixul IPv4 creează prefixul vpnv4, în care adresa
are o dimensiune de 96 de biți. Masca folosită are tot 32 de biți, ca în cazul unui
prefix IPv4. Ca exemplu, dacă se ia prefixul IPv4 10.1.1.0/24 și RD 1:1,
prefixul vpnv4 devine 1:1:10.1.1.0/24.

NECLASIFICAT
37 din 97
NECLASIFICAT

NECLASIFICAT
38 din 97
 NECLASIFICAT

CAPITOLUL 5. SECURITATEA ÎN REȚELELE MPLS VPN

5.1. Ascunderea infrastructurii de bază

Structura internă a rețelei centrale (MPLS, PE si elemente P) nu ar trebui

sa fie vizibilă în exterior. Mulți furnizori de servicii cred că este avantajos în
cazul în care adresele interne si structura rețelei sunt ascunse de lumea
exterioară. Un argument este faptul că atacurile DoS Denial-Of-Service asupra
unui router de bază sunt mult mai ușor de efectuat în cazul în care un atacator
știe adresele routerului. Aceste adrese pot fi intuite insă marele avantaj îl
reprezintă întocmai ascunderea infrastructurii.
Core -ul ar trebui să fie invizibil pentru lumea exterioară și totodată
comparabil ca infrastructură cu Nivelul 2 al stivei ISO-OSI(Ex:Frame
Relay,ATM). De asemenea elementele rețelei de bază (core) nu sunt accesibile
din interiorul unui VPN.
Securitatea nu ar trebui să se bazeze în întregime pe obscuritate sau pe
ascunderea informației. Serviciile ar trebui să fie la fel de sigure chiar și în cazul
în care implementarea acestora este cunoscută.

5.2. Rezistența la atacuri

Există două tipuri de atacuri Denial of Service(DoS) când resursele sunt

indisponibile utilizatorilor autorizați și intruziunea în cazul în care resursele
devin disponibile utilizatorilor neautorizați.
Rețelele BGP/MPLS IP VPN trebuie să asigure cel puțin același nivel de
protecție împotriva ambelor forme de atac.
Pentru intruziuni există două modalitați fundamentale de protecție a
rețelei. În primul rând trebuiesc întărite protocoalele vulnerabile iar în cel de-al
doilea rând trebuie ca rețeaua să fie cât mai inaccesibilă posibil.
Acest lucru se poate realiza combinând firewalling cu filtrarea pachetelor
si ascunderea adreselor.
Atacurile DoS sunt cel mai usor de realizat deorece o singura adresă IP
este suficientă pentru a putea ataca un echipament. Acest lucru se poate realiza
folosind un așa zis trafic normal „permis” dar cu rată mai mare a pachetelor

NECLASIFICAT
39 din 97
 NECLASIFICAT

decât cea normală astfel încât alți utilizatori nu mai pot accesa echipamentul
vizat.
Singurul mod de a fi invulnerabil la acest tip de atac este de a asigura
inaccesibilitatea echipamentelor (destination unreacheble) prin filtrarea
pachetelor și opțional ascunderea adreselor.

5.3. Imposibilitatea de Spoofing

Un atacator ar putea încerca să acceseze alte VPN-uri pe baza adreselor IP

prin inserare de pachete cu o etichetă improprie. Acest lucru ar putea fi realizabil
atât din exterior, folosind un alt router (CE-client edge) sau de pe Internet, cât și
din interiorul core-ului MPLS. Cea din urmă modalitate nu poate fi realizabilă
deorece se presupune că rețeaua centrală oferă servicii sigure.
În cazul în care un nucleu este nesigur prezentând riscuri, o protecție
suplimentară ar reprezenta-o utilizarea protocoalelor de securitate IpSec peste
întreaga rețea de bază MPLS.
Din motive de securitate, un router PE nu ar trebui să accepte niciodată
pachete etichetate venite pe interfața către un router CE.
În concluzie singurul atac de tipul Spoofing rămâne la nivelul adresei IP
sursă.

5.4. Utilizarea IPSec

BGP/MPLS/IP VPN nu oferă ei înșiși confidentialitate (criptare),

integritatea datelor sau autentificare. În cazul în care acestea sunt necesare se
folosește IPSec implementat peste infrastructura MPLS.
IPSec reprezintă cea mai bună soluție pentru utilizatorii care doresc un
grad cât mai mare de securizare al datelor. Acest grup de protocoale asigură
confidențialitate, integritate, autentificarea originii datelor și neretransmiterea
lor:
• Confidențialitatea datelor – pachetele sunt criptate înaintea transmiterii lor
în rețea;
• Integritatea datelor – destinatarul poate autentifica pachetele primite de la
sursă, asigurându-se astfel că acestea nu au fost modificate;

NECLASIFICAT
40 din 97
 NECLASIFICAT

• Autentificarea originii datelor – acest serviciu depinde de integritatea

datelor;
• Neretransmiterea datelor – destinatarul poate detecta și refuza pachetele
care au mai fost recepționate.

Protocoalele folosite de IPSec pentru securizarea datelor sunt:

• Authentication Header (AH) – asigură doar autentificarea și integritatea
datelor. Se realizează un rezumat pe un număr fix de biți al mesajului prin
aplicarea unei funcții hash obținute cu algoritmii MD5 sau SHA-1.
• Encapsulating Security Payload (ESP) – asigură integritatea,
autentificarea și confidențialitatea (criptarea) datelor prin utilizarea unor
algoritmi de criptare simetrici: AES, DES, 3DES.
 AES este considerat cel mai puternic algoritm dintre cele trei, din
punctul de vedere al securității. AES folosește blocuri de date de
lungime 128 de biți și cu chei de criptare care pot avea lungimi de
128, 192, sau 256 de biți.
 DES folosește o cheie cu lungimea de 64 de biți, din care 56 sunt
aleatori, iar 8 sunt biți de paritate. Blocurile de date folosite au
lungimea de 64 de biți.
 3DES este un algoritm de criptare format prin aplicarea
algoritmului DES de 3 ori. A apărut, deoarece s-a considerat că
lungimea cheii folosite de DES nu mai este suficientă pentru
securizarea datelor. 3DES folosește o cheie cu lungimea de 168 de
biți (plus 24 de biți de paritate). Pentru a exista interoperabilitate
între DES și 3DES, cel mai utilizat model de criptare este 3DES-
EDE (prima cheie pentru criptare, a doua pentru decriptare, a treia
pentru criptare).
 MD5 (Message Digest) este o funcție hash unidirecțională care
realizează un rezumat pe un număr fix de biți (128 de biți) al unui
mesaj cu lungime variabilă. Pe routerele Cisco, pentru identificarea
pachetelor, se folosește o funcție MD5 îmbunătățită numită HMAC
(Hased Message Authentication Code).
 SHA-1 este o funcție hash care realizează rezumatul unui mesaj
aleator pe un număr de 160 biți.

NECLASIFICAT
41 din 97
NECLASIFICAT

NECLASIFICAT
42 din 97
 NECLASIFICAT

CAPITOLUL 6. REȚELE VPN BAZATE PE TEHNOLOGIA

MPLS – PARTEA PRACTICĂ

6.1. Prezentarea programelor utilizate în realizarea simulărilor

În realizarea lucrării am utilizat ca soft de management Unified Network

Lab. Instalarea acestuia am realizat-o pe o mașină virtuală WMware pe care
aveam instalat ca sistem de operare Ubuntu. După instalare pentru a accesa
platforma de lucru a acestuia în masina virtuală se face trimitere catre un link.
Accesul este realizabil doar după autentificare, acest lucru contribuind totodată
la securitatea si confidențialitatea lucrării.

Figura 6. 1. Accesare proiectului din mașina virtuală

NECLASIFICAT
43 din 97
 NECLASIFICAT

Am ales acest pachet software deoarece oferă posibilități multiple de

configurare și interconectare. Acesta funcționează ca un emulator în mașina
virtuală și are nevoie de resurse suplimentare din punct de vedere al memoriei
RAM pentru a putea incărca mai multe imagini de echipamente. Un mare
avantaj este reprezentat de faptul că programul software utilizat este ,,user
friendly” prezentând o interfață prietenoasă din punctul de vedere al
utilizatorului. Toate opțiunile pe care le oferă sunt foarte la îndemână , ușor de
descoperit și de folosit. Meniul se află afișat în partea stânga oferind accesul la
toate opțiunile asigurate de acest laborator.

Adăugare echipamente

Stabilire conexiuni/legături
Verificarea configurării inițiale a tuturor echipamenelor

Posibile acțiuni asupra echipamentelor

Resursele disponibile ale stației de lucru

Figura 6. 2. Pricipalele funcții ale programului software UNL

Accesul la spațiul de lucru se face accesând URL-ul generat de mașina

virtuală , prin intermediul unui browser de Internet. De precizat este faptul că nu
necesită acces la Internet. Datorită măsurilor de securitate, odată accesată pagina
de lucru mai este nevoie de incă o autentificare după care putem avea acces la
aceasta.

NECLASIFICAT
44 din 97
 NECLASIFICAT

Figura 6. 3. Accesarea proiectului în platforma UNL

Figura 6. 4. Alegerea tipului de echipament utilizat

NECLASIFICAT
45 din 97
 NECLASIFICAT

Posibilitățile de lucru nu sunt limitate de tipul unui echipament sau de

producător. Astfel avem opțiunea de a putea alege echipamente de la producători
diferiți cât și sisteme de operare diferite ceea ce constituie un mare avantaj
pentru utilizator. Practic lucrul în acest soft se apropie foarte mult de realitate.
Pentru a putea folosi toate opțiunile în ceea ce priveste nodurile rețelei
trebuie sa avem grijă să încărcăm imaginile echipamentelor în mașina virtuală.
După ce s-au parcurs aceste etape putem configura arhitectura dorită.
Am ales o topologie prin care pot fi evidențiate capabilitățile rețelei.
Astfel în topologia construită am folosit routere CISCO dar și routere JUNIPER
pentru a putea prezenta interconectivitatea echipamentelor ce au producători
diferiți. Acest lucru este des intâlnit în realitate deoarece necesitatea asigurării
anumitor servicii nu ține cont de furnizorul acestora. Infrastructura rețelei de
bază este construită în totalitate cu routere JUNIPER iar pentru clienți am folosit
routere CISCO și stații terminale cu sistem de operare Linux. Toate nodurile cât
și stațiile plasate sunt oprite inițial, astfel resursele sunt utilizate eficient și oferă
posibilitatea adăugării mai multor echipamente.

Figura 6. 5. Topologia rețelei propuse

Juniper Networks este una dintre principalele companii producătoare de

echipamente de telecomunicații cât și unul dintre cei mai importanți furnizori de

NECLASIFICAT
46 din 97
 NECLASIFICAT

soluții de securitate și rețea la nivel mondial. Indiferent de industria unde este

utilizat, Juniper contribuie la transformarea conceptului de „networking”. Acesta
conferă siguranță, stabilitate, eficiență și rapiditate. Aceste caracteristici sunt
mai mult decât suficiente pentru aplicațiile utilizate atât în prezent cât și în
viitor.
Routerele Juniper oferă capacitate scalabilă pentru zeci de mii de
utilizatori și capacități avansate de Quality of Service(QoS) devenind astfel
platforma ideală pentru serviciile multimedia broadband precum VoIP, Video on
Demand și IPTV pentru un număr mare de clienți. Acestea asigură simultan
convergența, controlul și accesul granular asupra multiplelor servicii într-o
singură platformă IP/MPLS oferind performanță, fiabilitate și securitate în
mediul IT. De asemenea, permit furnizorilor de servicii Internet să-și
consolideze serviciile într-o singură infrastructură IP/MPLS. Aceste
echipamente oferă o combinație unică de caracteristici avansate de rutare, cele
mai eficiente capabilități IP/MPLS, precum și un nivel ridicat de fiabilitate și
scalabilitate ce transformă aceste produse în platforma ideală pentru aplicațiile
de mare capacitate.
Marele avantaj al sistemului de operare JunOS(sistem de operare utilizate
de echipamentele Juniper) este acela că reprezintă un sistem de operare modular
care integrează funcțiile de rutare, comutare, securitate și capacitatea de oferire a
serviciilor.
Un alt avantaj al sistemului de operare JunOS este cel reprezentat de
utilizarea comenzii „commit” astfel încât nu putem avea configurații
intermediare sau incomplete dar și posibilitatea folosirii comenzii „rollback”.
Aceasta din urmă oferă posibilitatea ca greșelile de configurare să fie corectate
foarte ușor prin revenirea la o configurație anterioară.
Acest sistem de operare diferă față de cel Cisco însă are la bază sistemul
de operare Linux. Astfel necesită un studiu mai aprofundat pentru a putea
configura echipamentele produse de Juniper.
Tot în topologia implementată se poate observa prezența unui generator
de trafic conectat la routerul PE1. Am optat pentru un generator de trafic
perfomant ce poate oferi mai multe opțiuni din punct de vedere al traficului. Cel
care a îndeplinit aceste cerințe a fost generatorul de trafic ,,Ostinato”.
Ostinato este un generator de trafic și analizor în același timp, cu o
interfața grafică prietenoasă, ceea ce îl face ușor de utilizat. Acesta își propune
NECLASIFICAT
47 din 97
 NECLASIFICAT

să fie "Wireshark in Reverse" și prin urmare, să devină complementar

Wireshark-ului. Acesta oferă dosar de pachete personalizat, domeniu pentru mai
multe protocoale cum ar fi L2: Ethernet, 802.3, LLC SNAP, VLAN dar si L3:
ARP, IPv4, IPv6, IP în IP(tunel IP), cât și L4: TCP, UDP, IGMP, MLD,
ICMPv4, ICMPv6, și L5:HTTP, SIP, RTSP, NNTP. Acesta este util atât pentru
testarea funcționalității dar și a performanței.

Figura 6. 6. Configurarea generatorului de trafic „Ostinato”

Pentru a putea configura echipamentele din topologie se folosește

programul SecureCRT ce oferă acces la consola fiecăruia dintre acestea. Astfel
avem acces la configurația nodurilor și putem configura fiecare echipament de la
zero având exact aceleași posibilități ca și în cazul echipamentelor reale.

NECLASIFICAT
48 din 97
 NECLASIFICAT

Putem accesa controlul in linie de comandă

pentru fiecare echipament de rețea

Figura 6. 7. Programul SecureCRT

Un alt program folosit pentru configurarea stațiilor de lucru Linux este

„Ultra VNC viewer”. Acesta funcționează ca o platformă de remote desktop prin
intermediul căreia se pot accesa și configura stațiile finale Linux pe rând sau
concomitent folosind ip-ul acestora și portul de conectare.

6.2. Construcția arhitecturii rețelei

Topologia implementată în lucrare are în structura sa șase routere Juniper,

două routere Cisco și 4 stații Linux. Este gândită în așa fel încât rețeaua de
bază(core-ul) să fie construită doar din routere Juniper, în număr de șase. Peste
protocoalele de rutare din rețeaua de bază am creat un VPN de Nivel 2 pentru
interconectarea transparentă a celor două routere Cisco. Astfel acestea se văd ca
vecini direct conectați. Acest lucru este esențial în practică, pentru ca un furnizor
de servicii să poată asigura diverse servicii clienților săi fără a vulnerabiliza
rețeaua sa internă. Astfel clienții nu au acces la traseul parcurgerii informației ci
pot verifica numai conectivitatea dintre ei ca vecini. Nu numai că nu pot avea
acces dar pentru aceștia rețeaua este complet transparentă. La routerele Cisco am
conectat câte o stație terminală Linux pentru a putea interacționa cu rețeaua, din
NECLASIFICAT
49 din 97
 NECLASIFICAT

punctul de vedere al unui client. Astfel se poate exemplifica fizic conexiunea și

calitatea serviciilor oferite.
Tot peste infrastructura rețelei de bază am construit și un VPN de Nivel 3
prin VRF, între două stații ale ISP-ului. La acestea am conectat câte o stație
Linux pentru a putea vizualiza rezultatele. Acestea două nu pot vizualiza alte
rute din cadrul rețelei de bază, ci doar acele rute din cadrul acestui VPN.

Stație terminală
Linux
Home Servicii client VPN de
Lan Nivelul 3

R2 R4
PE1 PE2

Generator de R1 R6
trafic

R3 R5

Servicii client VPN de Nivelul 2

CE1 CE2

Stație terminală
Linux

Stație terminală Stație terminală

Linux Linux

Figura 6. 8. Arhitectura rețelei

NECLASIFICAT
50 din 97
 NECLASIFICAT

Principalele părți componente ale arhitecturii MPLS VPN sunt rețeaua

Client și rețeaua furnizorului de servicii(Provider).

Stație terminală
Linux
Home
Lan Rețea Client

Rețea furnizor de servicii

R2 R4
PE1 PE2

Generator de R1 R6
trafic

R3 R5

Rețea Client
CE1 CE2

Stație terminală
Linux

Stație terminală Stație terminală

Linux Linux
Figura 6. 9. Structura arhitecturii MPLS VPN

Rețeaua Client este formată din două routere CISCO și patru stații Linux.
Două dintre acestea sunt conectate direct cu routerele client, CE1 și CE2, în
timp ce celelalte două stații linux sunt folosite pentru exemlificarea unor servicii
de nivel 3-VPN. Acestea din urmă sunt conectate la routerele JUNIPER din
cadrul rețelei centrale, rețeaua de bază MPLS.
Toate echipamentele din topologie trebuiesc configurate în scopul inițial
al lucrării, astfel că toate implicit au nevoie mai întâi de configurarea IP-urilor
cât și a interfețelor.

NECLASIFICAT
51 din 97
 NECLASIFICAT

Astfel am ales aleator două clase de IP-uri, pentru diversitate cât și pentru
apropierea cu realitatea, deoarece în realitate există diversitate în alocarea de IP.
Rețelei Client i-au fost alocate IP-uri clasă C iar rețelei MPLS,
infrastructurii acesteia, IP-uri clasă A. De asemenea, pentru a simplifica
adresarea înspre și dinspre acestea a fost necesară setarea adreselor de Loopback
care au fost folosite deoarece sunt tot timpul active. Această adresare a urmărit
întocmai structura rețelei, optând astfel pentru alocări sugestive fiecărui
router,cât și fiecărei rute. Astfel, de exemplu Routerul 6 va avea alocată adresa
de loopback 6.6.6.6 iar ruta către acesta va fi 56.56.56.56 dacă provine de la
Routerul 5.
Configurările pe CISCO au sintaxe diferite față de cele pe JUNIPER.
Astfel a fost necesară o documentare mai amplă în ceea ce privește tehnologia
JUNIPER.

6.3. Configurarea echipamentelor

Optând pentru IP-uri din clasa C, am ales pentru routerele client CE1 și
respectiv CE2 pentru interfețele client IP-urile 192.168.10.1 respectiv
192.168.20.1.
Astfel setarea interfețelor pe routerul CISCO CE1 este prezentată mai jos.
interface Loopback0
ip address 11.11.11.11 255.255.255.255

interface FastEthernet0/0
ip address 10.11.11.2 255.255.255.252
ip ospf authentication-key 1 abc123
speed 100
full-duplex

interface FastEthernet0/1
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto

După configurarea acestora se poate verifica dacă interfețele sunt activate.

CE1>show ip interface brief

NECLASIFICAT
52 din 97
 NECLASIFICAT

Interface IP-Address OK? Method Status Protocol

FastEthernet0/0 10.11.11.2 YES NVRAM up up

FastEthernet0/1 192.168.10.1 YES NVRAM up up

Loopback0 11.11.11.11 YES NVRAM up up

Setarea interfețelor cât și cea a IP-urilor pentru routerul CE2 s-a realizat în
mod similar cu CE1. Astfel IP-urile sunt prezente în descrierea interfețelor.

CE2>show ip interface brief

Interface IP-Address OK? Method Status Protocol

FastEthernet0/0 10.11.11.1 YES NVRAM up up

FastEthernet0/1 192.168.20.1 YES NVRAM up up

Loopback0 22.22.22.22 YES NVRAM up up

Anterior, pe routerele CISCO nu a fost configurată autentificarea cu

parolă criptată. S-au realizat numai configurări generale cum ar fi denumirea
acestora și alocarea IP-urilor. În urma setării și ridicării interfețelor, rețeaua
client are nevoie de un protocol de rutare. În acest caz am optat pentru
protocolul OSPF(Open Shortest Path First). Acesta reprezintă un protocol IP
dinamic ce este bazat pe caracteristicile conexiunilor dintre interfețe.
Caracteristic pentru acest protocol este baza de date ce cuprinde link-urile spre
routerele adiacente. Această bază de date cuprinde o listă a tuturor routerelor
conectate direct. Pentru a fi actualizată permanent, este necesar un schimb
permanent de informație între routere, acest fapt realizându-se prin intermediul
pachetelor LSA(Link State Advertisments). Printre avantajele protocolului
OSPF se numără mecanismul de evitare al buclelor dar totodată și conceptul de
arie(ierarhizare) ce contribuie la controlul rapid al schimbărilor de topologie și
la recalcularea rutelor în funcție de noile condiții. Acest protocol permite
suplimentar setarea unei autentificări cu diverse tipuri de chei de criptare.
Implementarea practică a acestui protocol s-a realizat incluzând toate
rețelele specifice interfețelor cât și Loopback-ului, în aceeași arie 0 specifică de
altfel acestui protocol de rutare.
NECLASIFICAT
53 din 97
 NECLASIFICAT

Mai jos sunt prezentați pașii parcurși pentru configurarea protocolului de

rutare OSPF in rețeaua Client.

CE1
router ospf 1
router-id 11.11.11.11
log-adjacency-changes
area 0 authentication message-digest
passive-interface Loopback0
network 10.11.11.0 0.0.0.3 area 0
network 11.11.11.11 0.0.0.0 area 0
network 192.168.10.0 0.0.0.255 area 0

CE2
router ospf 1
router-id 22.22.22.22
log-adjacency-changes
area 0 authentication message-digest
passive-interface Loopback0
network 10.11.11.0 0.0.0.3 area 0
network 22.22.22.22 0.0.0.0 area 0
network 192.168.20.0 0.0.0.255 area 0

Pe routerele CE(Client Edge), pentru atribuirea IP-urilor eventualilor

clienți, am optat pentru utilizarea protocolului DHCP. În acest fel intervenția
administratorului de rețea nu mai este obligatorie.
Utilizatorii au fost conectați la routerele de margine CE1 și CE2 sub
forma unor terminale Linux ce pot fi accesate prin remote desktop.

Figura 6. 10. Alocare DHCP pe routerul CE1

NECLASIFICAT
54 din 97
 NECLASIFICAT

Figura 6. 11. Alocare DHCP pe routerul CE2

În urma acestor setări strict necesare rețelei Client se poate aborda modul
de configurare al rețelei centrale. Întâi de toate trebuiesc stabilite obiectivele
acesteia. Rețeaua Provider a fost proiectată pentru a putea oferi atât servicii
avansate MPLS cât și servicii optime de inginerie a traficului. Am optat astfel
pentru o arhitectură formată din șase routere JUNIPER așezate în hexagon.

2.2.2.2 4.4.4.4

P P

PE1 PE2

1.1.1.1 6.6.6.6

P P

3.3.3.3 5.5.5.5

Figura 6. 12. Rețea furnizor de servicii

Topologia descrisă de această formă geometrică poate asigura schimbul

informațional continuu indiferent de problemele întâmpinate în timpul rutării.
NECLASIFICAT
55 din 97
 NECLASIFICAT

Pentru acest fapt este necesară cel puțin o cale de rezervă pentru parcurgerea
informației prin rețea, condiție pe care această topologie o îndeplinește cu
succes.
Rețeaua furnizorului de servicii este alcătuită din două routere de margine
numite Provider EDGE(PE) și din patru routere centrale numite simplu
Provider(P). Routerele PE1 și PE2 necesită configurări diferite față de routerele
P deoarece acestea pot fi numite și routere destinație sau routere ce sunt
conectate direct cu rețeaua client.
Unul dintre avantajele utilizării MPLS VPN este acela că traficul între
VPN-uri este separat în totalitate, un utilizator putând să-și păstreze propria
schemă de adresare atunci când trimite pachete între site-uri aflate în locații
geografice diferite.

6.4. Configurarea PE1 pentru adresarea pe interfețe și activarea

MPLS

root> show configuration | display set

Această intrucțiune este specifică echipamentelor Juniper sistemul de

operare al acestora apropiindu-se foarte mult cu cel Linux, și afișază toate
configurările realizate pe un echipament în întregime.

set version 14.1R1.10

set system root-authentication encrypted-password
"$1$nj1EOlf.$HCYIzyxmM7msuoMMK05Mo/"
set system syslog user * any emergency
set system syslog file messages any notice
set system syslog file messages authorization info
set system syslog file interactive-commands interactive-commands any
set interfaces ge-0/0/0 unit 0 family inet address 12.12.12.1/30
set interfaces ge-0/0/0 unit 0 family iso
set interfaces ge-0/0/0 unit 0 family mpls
set interfaces ge-0/0/1 unit 0 family inet address 13.13.13.1/30
set interfaces ge-0/0/1 unit 0 family iso
set interfaces ge-0/0/1 unit 0 family mpls
set interfaces ge-0/0/2 encapsulation ethernet-ccc
set interfaces ge-0/0/2 unit 0 family ccc
NECLASIFICAT
56 din 97
 NECLASIFICAT

set interfaces ge-0/0/3 unit 0 family inet address 192.168.1.1/24

set interfaces ge-0/0/3 unit 0 family iso

Mai sus au fost configurate atât adresarea pe interfețe, ce conține ruta sau
IP-ul de pe interfața vecină, cât și activarea MPLS.
Interfața de Loopback 0 este folosită pentru activarea MPLS și pentru
atribuirea ID-ului specific comutării pe bază de etichete pentru routerele din
topologie, ID utilizat pentru stabilirea vecinilor LDP.

set interfaces lo0 unit 0 family inet address 1.1.1.1/32

set interfaces lo0 unit 0 family iso address 49.0001.0000.0000.0001.00
set routing-options router-id 1.1.1.1
set routing-options autonomous-system 65001

Tot aici se poate observa modul diferit de configurare față de Cisco,

pentru setarea și activarea MPLS pe routerele Juniper.
„Forwording-ul” bazat pe MPLS are ca și caracteristică de bază, faptul că
MPLS utilizează FEC(Forwording Equivalence Class). Astfel nodurile MPLS
atribuie o etichetă fiecărui FEC. Putem spune că forwording-ul MPLS este
realizat în mod asemănător atât ca în switch-urile ATM, cât și în routere. Cu
toate acestea la switch-urile ATM, numărul de ordine din cozile de așteptare
sunt date de valoarea etichetei VCI(Virtual Circuit Identifier), pe când la routere
acest număr de ordine este dat de valoarea biților ,,Exp’’ din header-ul etichetei.
Switch-urile ATM nu au capabilități de a analiza header-e de nivel 3 ISO-OSI.
Etichetele pot fi distribuite cu ajutorul mai multor protocoale dintre care
putem aminti: LDP(Label Distribution Protocol), RSVP(Resource Reservation
Protocol), BGP(Border Gateway Protocol).
RSVP asigură transmiterea fără întrerupere a datelor chiar dacă în rețea
apare o defecțiune, acest protocol restabilind nivelul de QoS fără ca aplicația să
aibă de suferit astfel pierderile fiind minimizate.
O cerere RSVP de rezervare a resurselor se aplică unui flux de date cu
traseu prestabilit prin rețea. Fiecare flux este identificat în RSVP prin adresa și
portul destinație al pachetelor.
Folosind semnalizarea RSVP , un receptor trimite spre emițător o cerere
de rezervare. Emițătorul va trimite un mesaj special numit ,,Path message’’spre
receptor iar fiecare router de pe traseu are obligația să memoreze calea pe care a
NECLASIFICAT
57 din 97
 NECLASIFICAT

venit mesajul și cerința de trafic. Astfel RSVP face posibilă rutarea MPLS pe
două căi diferite, asigurând totodată integritatea datelor și comutarea imediată pe
calea de rezervă în caz de nevoie.
Mai jos este prezentat modul de implementare a RSVP și MPLS pe
subinterfețe dar și căile de transmitere, principală și secundară.

set protocols rsvp interface ge-0/0/0.0

set protocols rsvp interface ge-0/0/1.0
set protocols rsvp interface lo0.0
set protocols mpls label-switched-path R1-to-R6 to 6.6.6.6
set protocols mpls label-switched-path R1-to-R6 no-cspf
set protocols mpls label-switched-path R1-to-R6 primary R1-R2-R4-R6
set protocols mpls label-switched-path R1-to-R6 secondary R1-R3-R5-R6
set protocols mpls path R1-R2-R4-R6 2.2.2.2 loose
set protocols mpls path R1-R3-R5-R6 3.3.3.3 strict
set protocols mpls interface ge-0/0/0.0
set protocols mpls interface ge-0/0/1.0

Rută principală: 2.2.2.2 4.4.4.4

R1-R2-R4-R6

R2 R4

PE1 PE2

R1 R6

1.1.1.1 6.6.6.6

R3 R5

Rută secundară:
3.3.3.3 5.5.5.5 R1-R3-R5-R6

Figura 6. 13. Stabilirea rutelor principale

NECLASIFICAT
58 din 97
 NECLASIFICAT

Figura 6. 14. Starea MPLS pe subinterfețe

Figura 6. 15. Afișarea căilor predefinite și adresa next hop

Figura 6. 16. LSP-uri definite și starea acestora

Figura 6. 17. Vecinii cu care este stabilit RSVP

Figura 6. 18. Sesiunile RSVP punct la punct și starea acestora

NECLASIFICAT
59 din 97
 NECLASIFICAT

Pe routerele de margine ale furnizorului de servicii este necesară activarea

unui protocol de rutare care să permită transportul unui număr considerabil de
rute peste nucleul MPLS. Protocolul care îndeplinește această cerință cu succes
este BGP(Border Gateway Protocol). Deoarece între routerele PE-CE informația
este rutată prin intermediul altor protocoale de rutare decât BGP, este necesară o
redistribuire reciprocă de rute între cele două protocoale. Procesul acesta este
mai complicat în cazul redistribuirii din BGP în EIGRP, deoarece necesită
precizarea manuală a parametrilor metricilor rutelor, într-o ordine stabilită:
capacitatea legăturilor, întârziere, fiabilitate, încărcare și MTU (Maximum
Transfer Unit). În cadrul sesiunii BGP, este necesar să se precizeze vecinii sau
perechea BGP, precum și adresa de familii vpnv4.

set protocols bgp local-address 1.1.1.1

set protocols bgp mtu-discovery
set protocols bgp family inet-vpn unicast
set protocols bgp local-as 65001
set protocols bgp group ibgp type internal
set protocols bgp group ibgp local-address 1.1.1.1
set protocols bgp group ibgp family inet-vpn unicast
set protocols bgp group ibgp family l2vpn signaling
set protocols bgp group ibgp peer-as 65001
set protocols bgp group ibgp allow 0.0.0.0/0

BGP este un protocol de gateway extern destinat a fi utilizat între rețele

diferite. Este protocolul utilizat pe Internet. A fost construit pentru
fiabilitate,scalabilitate si control nu pentru viteză. Din această cauză se comportă
diferit față de protocoalele acoperite până in prezent.
BGP utilizează conceptul de sisteme autonome. Un sistem autonom este
un grup de rețele în cadrul unei administrații comune. De asemenea, folosește
protocoalele CLNS si CLNP în cadrul rutării IS-IS pentru a livra actualizările
sale. El trimite mesajele sale în PDU .
În cazul în care rețeaua IP a unui furnizor de servicii trebuie să transmită
trafic, fiecare router trebuie să se uite după adresa IP destinație a pachetului. În
cazul în care pachetele sunt trimise către destinații care sunt exterioare rețelei
furnizorului de servicii, aceste etichete IP externe trebuie să fie prezente în
tabelul de rutare a fiecărui router. BGP transportă prefixe externe, cum ar fi

NECLASIFICAT
60 din 97
 NECLASIFICAT

prefixele clienților sau prefixe Internet. Acest lucru înseamnă că toate routerele
din rețeaua furnizorului de servicii trebuie să ruleze BGP.
Cu toate acestea,MPLS permite mai degrabă transmiterea de pachete
bazate pe o căutare de etichetă, decât o căutare a adreselor IP. MPLS permite
unei etichete să fie asociată mai degrabă cu un router de ieșire, decât cu adresa
de destinație IP a pachetului. Eticheta este informația atașată la un pachet care
spune fiecărui router intermediar către ce margine a routerului trebuie să fie
transmis. Routerul P nu mai are nevoie să aibă informațiile de transmitere a
pachetelor bazate pe adresa IP de destinație.
Astfel, routerele de bază în rețeaua furnizorului de servicii nu mai au
nevoie pentru a rula BGP.
Router-ul de la marginea rețelei MPLS trebuie încă să se uite la adresa IP
de destinație a pachetelor și prin urmare, încă mai trebuie să ruleze BGP. Fiecare
prefix BGP de pe routerele MPLS are o adresă IP next-hop BGP asociată cu
acesta. Această adresă de IP next-hop BGP este o adresă IP a unui router MPLS
de ieșire.
Eticheta MPLS care este asociată cu adresa IP next-hop BGP și fiecare
adresă IP next-hop BGP a unui router de ieșire MPLS trebuie să fie cunoscute de
toate routerele de bază. Orice protocol de rutare interioară cum ar fi OSPF sau
ISIS, poate îndeplini această sarcină.
Pe lângă precizarea vecinilor sau perechilor BGP s-a configurat ca o
măsura de securitate suplimentară, autentificarea acestora în grupul intern al
BGP. Mai jos este prezentată adiacența prin autentificare MD5.

set protocols bgp group ibgp neighbor 3.3.3.3 authentication-key "$9$ROehclvMX-

dsKvoJDjq."
set protocols bgp group ibgp neighbor 3.3.3.3 peer-as 65001
set protocols bgp group ibgp neighbor 4.4.4.4 authentication-key "$9$Ra4hclvMX-
dsKvoJDjq."
set protocols bgp group ibgp neighbor 4.4.4.4 peer-as 65001
set protocols bgp group ibgp neighbor 5.5.5.5 authentication-key "$9$-
wVb2oaUHkP4oz39Cu0"
set protocols bgp group ibgp neighbor 5.5.5.5 peer-as 65001
set protocols bgp group ibgp neighbor 2.2.2.2 authentication-key
"$9$tvI1u0IhclMWxEhVwg4ZG"
set protocols bgp group ibgp neighbor 2.2.2.2 peer-as 65001

NECLASIFICAT
61 din 97
 NECLASIFICAT

set protocols bgp group ibgp neighbor 6.6.6.6 authentication-key

"$9$DtiHm5T39Cuf5IEyrvM"
set protocols bgp group ibgp neighbor 6.6.6.6 peer-as 65001

IS-IS este un protoccol ce utilizează resursele router-ului eficient, ce are o

mare contribuție în rețelele mari, cum ar fi cazul furnizorilor mari de servicii de
Internet. Permite totodată interconectarea a mai mult de 100 de routere cum este
cazul rutării OSPF. IS-IS are avantaje față de OSPF în sensul timpilor mai mici
de convergență în cazul apariției unor evenimente in rețea și datorită faptului că
într-o arie IS-IS pot fi conectate aproximativ 1000 de routere, de 10 ori mai
multe decât într-o arie OSPF.
IS-IS integrat poate transporta informații de rețea IP, dar nu utilizează ca
protocol de transport IP-ul. Acesta folosește din modelul OSI protocoalele
CLNS și CLNP pentru a livra actualizările sale. IS-IS trimite mesajele sale în
PDU-uri(unități de date).
Adiacența formațiunii în IS-IS se bazează de fapt la nivelul IS de rutare în
care se află (ex:Level1,Level 2 ,Level1-2) și numărul ariei sale (area number).
Aceasta este o adiacență CLNS (Conetionless Network Service )și poate fi
formată chiar dacă adresele IP nu coincid.
Activarea cât și adiacența IS-IS pe routerul PE1 s-a realizat astfel:

set protocols isis level 1 disable

set protocols isis level 2 authentication-key "$9$YFg4ZDjqf5FUD9A0ORE"
set protocols isis level 2 authentication-type md5
set protocols isis level 2 wide-metrics-only
set protocols isis interface ge-0/0/0.0
set protocols isis interface ge-0/0/1.0
set protocols isis interface ge-0/0/3.0
set protocols isis interface lo0.0 level 1 disable
set protocols ldp interface lo0.0

R1

[edit]
root# run show isis adjacency
Interface System L State Hold (secs) SNPA
ge-0/0/0.0 0000.0000.0002 2 Up 25 0:5:86:71:96:0
ge-0/0/1.0 0000.0000.0003 2 Up 14 0:5:86:71:80:1
NECLASIFICAT
62 din 97
 NECLASIFICAT

[edit]
root# run show isis authentication
Interface Level IIH Auth CSN Auth PSN Auth
ge-0/0/0.0 2 MD5 MD5 MD5
ge-0/0/1.0 2 MD5 MD5 MD5

L2 LSP Authentication: MD5

[edit]
root# run show configuration protocols isis
level 1 disable;
level 2 {
authentication-key "$9$IiGEhrKvLN-weK4aUDkq"; ## SECRET-DATA
authentication-type md5;
wide-metrics-only;
}
interface ge-0/0/0.0;
interface ge-0/0/1.0;
interface lo0.0 {
level 1 disable;
}
Am stabilit un circuit de nivel 2 între routerele PE1 și PE2 pentru a putea
livra trafic de nivel 2 între routerele client CE1 și CE2. Un circuit de nivel 2 de
conexiune VC (Virtual Circuit) este configurat doar pe routerele de margine din
rețeaua centrală, routerele PE. Nu este necesară nicio configurație specială pe
routerele client CE sau pe celelalte routere din rețeaua centrală. Routerele P
necesită doar MPLS și LDP pe interfețele adecvate pentru a permite ca
etichetele să fie partajate între routerele PE.

set protocols l2circuit traceoptions file layer2

set protocols l2circuit traceoptions file size 5m
set protocols l2circuit traceoptions flag all
set protocols l2circuit neighbor 6.6.6.6 interface ge-0/0/2.0 virtual-circuit-id 777
set protocols l2circuit neighbor 6.6.6.6 interface ge-0/0/2.0 encapsulation-type ethernet
set protocols l2circuit neighbor 6.6.6.6 interface ge-0/0/2.0 ignore-encapsulation-mismatch
set protocols l2circuit neighbor 6.6.6.6 interface ge-0/0/2.0 ignore-mtu-mismatch

NECLASIFICAT
63 din 97
 NECLASIFICAT

Figura 6. 19. VPN-urile de Nivel 2 configurate și starea acestora

Pentru ca o rețea MPLS VPN să poată fi implementată, trebuie ca pe

routerele PE să existe câteva blocuri esențiale: instanța de rutare virtuală
specifică fiecărui VPN (VRF), discriminatorul de rute(RD - Route
Distinguisher), politicile de import ale rutelor (RT - Route Targets), propagarea
rutelor prin MP-BGP, transmisia pachetelor etichetate.
Mai jos este exemplificată configurarea politicii de securitate care spune
că se acceptă informații(rute) din partea protocolului OSPF ce rulează pe Juniper
către routerele client Cisco și invers.

set policy-options policy-statement export-C1 term 1 from protocol ospf

set policy-options policy-statement export-C1 term 1 then accept
set policy-options policy-statement export-C1 term 2 from interface ge-0/0/2.0
set policy-options policy-statement export-c1-bgp term 1 from protocol bgp
set policy-options policy-statement export-c1-bgp term 1 then accept
set policy-options policy-statement export-c1-ospf from protocol ospf
set policy-options policy-statement export-c1-ospf from area 0.0.0.0
set policy-options policy-statement export-c1-ospf then accept
set policy-options policy-statement from-direct term 1 from protocol direct
set policy-options policy-statement from-direct term 1 then accept

NECLASIFICAT
64 din 97
 NECLASIFICAT

set policy-options policy-statement from-ospf term 1 from protocol ospf

set policy-options policy-statement from-ospf term 1 then accept
set policy-options policy-statement from-ospf term 2 then reject

Figura 6. 20. Topologia învățată în OSPF în urma politicilor de export de catre router-ul CE1

Figura 6. 21. Rutele invățate în urma rulării politicilor de export

Configurarea VRF și a OSPF VRF pentru client. Aceasta va realiza

distribuirea rutei ospf în backbone-ul bgp.

set routing-instances c1 instance-type vrf

set routing-instances c1 route-distinguisher 1:1
set routing-instances c1 vrf-target target:1:1
set routing-instances c1 vrf-table-label
set routing-instances c1 protocols ospf export export-c1-bgp

Configurarea routerului PE2, fiind cel de-al doilea router de margine, se

face analog cu PE1. Singurele diferențe vor fi la destinație unde nu va mai figura
NECLASIFICAT
65 din 97
 NECLASIFICAT

routerul R6 ci routerul R1. Întreaga configurație a router-ului PE2 este

prezentată în anexa 1.

Figura 6. 22. Vecinii care au stabilit adiacența cât și rutele învățate în IS-IS

Routerele din topologia centrală, altele decât cele de margine vor conține
o configurație mai succintă decat cele PE. Însă și acestea se vor împărți în două
categorii deoarece pe două dintre ele s-a realizat un circuit VPN de nivel 3.
Acest lucru a necesitat câteva setări de configurație în plus față de celelalte
routere P. În continuare este prezentată configurarea unui router P din backbone-
ul central comparativ cu un router de margine PE. Astfel sunt evidențiate
anumite setări necesare doar routerelor PE.
Configurarea routerului P3 pentru adresare și activare MPLS pe o
interfață este prezentată mai jos. Configurația completă a acestuia se găsește în
anexa nr.2.
set interfaces ge-0/0/0 unit 0 family inet address 35.35.35.1/30
set interfaces ge-0/0/0 unit 0 family iso
set interfaces ge-0/0/0 unit 0 family mpls

Configurarea protocolului RSVP și activarea MPLS pe subinterfețe:

set protocols rsvp interface ge-0/0/0.0
set protocols rsvp interface ge-0/0/1.0
set protocols rsvp interface ge-0/0/2.0
set protocols rsvp interface lo0.0

NECLASIFICAT
66 din 97
 NECLASIFICAT

Mai jos are loc configurarea protocolului BGP, stabilirea vecinilor cât și a
autentificării acestora prin intermediul unei parole criptate MD5.
set protocols bgp traceoptions file bgp
set protocols bgp traceoptions file size 5m
set protocols bgp traceoptions flag all
set protocols bgp mtu-discovery
set protocols bgp local-as 65001
set protocols bgp group ibgp type internal
set protocols bgp group ibgp local-address 3.3.3.3
set protocols bgp group ibgp family inet-vpn unicast
set protocols bgp group ibgp family l2vpn signaling
set protocols bgp group ibgp neighbor 2.2.2.2 authentication-key "$9$7e-dsg4Zji.2gTz6/tp"
set protocols bgp group ibgp neighbor 2.2.2.2 peer-as 65001
set protocols bgp group ibgp neighbor 5.5.5.5 authentication-key "$9$vVRW87dVYoaU-
dk.5T3n"
set protocols bgp group ibgp neighbor 5.5.5.5 peer-as 65001
set protocols bgp group ibgp neighbor 1.1.1.1 authentication-key
"$9$qmPQ3nCu0IF3SrvMXx"
set protocols bgp group ibgp neighbor 1.1.1.1 peer-as 65001
set protocols bgp group ibgp neighbor 4.4.4.4 authentication-key "$9$fTQn9Cu1Ic/9evLX-d"
set protocols bgp group ibgp neighbor 4.4.4.4 peer-as 65001
set protocols bgp group ibgp neighbor 6.6.6.6 authentication-key "$9$GIDjqPfz6/tmPBIcSeK"
set protocols bgp group ibgp neighbor 6.6.6.6 peer-as 65001

Activarea și adiacența IS-IS pe routerul P se realizează în mod similar cu

routerul PE. Adiacența se realizează pe nivele iar activarea protocolului de
rutare pe subinterfețe. Totodată este necesară activarea LDP pe interfața de
loopback.

set protocols isis level 2 authentication-key "$9$lPeKvL7Nb2gJx7jHmPQz"

set protocols isis level 2 authentication-type md5
set protocols isis level 2 wide-metrics-only
set protocols isis level 1 disable
set protocols isis interface ge-0/0/0.0
set protocols isis interface ge-0/0/1.0
set protocols isis interface ge-0/0/2.0
set protocols isis interface lo0.0 level 1 disable
set protocols ldp interface lo0.0

NECLASIFICAT
67 din 97
 NECLASIFICAT

Mai sus a fost configurat routerul R3/P3 care după cum se poate observa
față de routerele PE1 și PE2 nu are nevoie politici de import/export de rute,
acestea fiind transmise de routerele de margine. Același lucru se întâmplă și cu
circuitul de nivel 2 care are nevoie de configurări doar pe routerele PE1 și PE2
iar în rest atât prin intermediul rutării IS-IS a protocoalelor BGP și RSVP cât și
LDP se transmit și se învață rutele necesare.
Routerele P4 și P5 se vor configura în mod similar cu routerele P doar că
între acestea se asigură servicii de nivel rețea. Acest lucru implică faptul că sunt
necesare configurări în plus față de celelalte routere din backbone-ul central.
Configurările complete ale router-elor P4 și P5 se găsesc în anexa nr.3.
Stație terminală
Linux
Servicii client
VPN de Nivel 3
2.2.2.2 4.4.4.4

R2 R4

PE1 PE2

R1 R6

1.1.1.1 6.6.6.6

R3 R5

3.3.3.3 5.5.5.5

Stație terminală
Linux

Figura 6. 23. Servicii client de Nivel 3 pe routerele R4 și R5

Verificarea acestui tip de servicii se va face folosind transmiterea de

pachete ICMP pe această rută. Ping-ul propriu-zis va fi dat între stațiile Linux
conectate la routerele P4 și P5. Accesul la aceste două stații se va realiza printr-
un program de remote desktop ce reprezintă de fapt interfața fizică a acestora,
permițându-ne totodată să avem acces la terminal in fiecare stație.

NECLASIFICAT
68 din 97
 NECLASIFICAT

Mai jos putem observa declararea ISP-ului cât și a adresarea pe interfața

spre stația linux. Am optat pentru un IP clasă B subnetizat având masca /30. IP-
ul de gateway trebuie introdus manual în fiecare stație linux alocarea
nerealizându-se prin DHCP.

set interfaces ge-0/0/3 description link-isp1

set interfaces ge-0/0/3 unit 0 family inet address 172.16.40.1/30

Configurarea necesară Layer3-VPN prezentă pe acest router:

set routing-instances vpn-l3 instance-type vrf

set routing-instances vpn-l3 interface ge-0/0/3.0
set routing-instances vpn-l3 route-distinguisher 888:1
set routing-instances vpn-l3 vrf-target target:888:1
set routing-instances vpn-l3 vrf-table-label

Diferențele de configurare a router-ului P5 constau în descrierea ISP1 ca

fiind un vpn layer3 dar și IP-ul diferit pe interfața către cel de-al doilea client.

set interfaces ge-0/0/3 description vpn.layer3

set interfaces ge-0/0/3 unit 0 family inet address 172.16.50.1/30

Restul configurărilor se realizează în mod asemănător cu routerul

precedent. Și pe acest router am optat pentru adiacența fiecărui protocol sporind
astfel nivelul de securitate. Fiecare router din backbone are nevoie de
autentificare pentru a putea rula în sistem.
În declararea circuitului de nivel 3 s-a ținut cont de instanța de rutare,
discriminatorul de rute cât și destinația să coincidă ca indice, în caz contrar acest
VRF ar fi fost inutil neputând să se stabilească o legătura între cele două routere
P4 și P5.

set routing-instances vpn-l3 instance-type vrf

set routing-instances vpn-l3 interface ge-0/0/3.0
set routing-instances vpn-l3 route-distinguisher 888:1
set routing-instances vpn-l3 vrf-target target:888:1
set routing-instances vpn-l3 vrf-table-label

NECLASIFICAT
69 din 97
 NECLASIFICAT

O materializare a acestor configurări o putem urmări în tabela de rutare

L3-VPN. Aceasta este prezentă mai jos și prezintă toate detaliile rutării pe acest
circuit.

Figura 6. 24. Tabela de rutare a circuitului l3vpn pe router-ul R4

Figura 6. 25. Tabela de rutare a circuitului l3vpn pe router-ul R5

6.5. Testarea serviciilor, simularea și monitorizarea traficului prin

rețea

Verificarea serviciilor de nivel 3 se face interacționând direct cu stațiile

linux, unde sunt necesare configurări suplimentare pentru a selecta IP-ul de
gateway corespunzător fiecărei stații. Mai jos este prezentat modul de verificare
al serviciilor prezente între routerele R4-R5 printr-un ping de la un capăt la
celălalt al traseului. Pentru aceasta este necesară introducerea manuală a IP-
urilor, a măștilor de rețea dar și a gateway-ului pe fiecare stație terminală.
Succesul transmiterii ne indică stabilirea și funcționarea acestui tip de servicii.

NECLASIFICAT
70 din 97
 NECLASIFICAT

Figura 6. 26. Verificare prin ping de la stația linux conectată la router-ul R4 la stația linux
conectată la router-ul R5

Modelarea și simularea traficului în această rețea VPN MPLS, s-a realizat

folosind un generator de trafic foarte performant, Ostinato. Pentru a putea
implementa acest generator de trafic l-am conectat la un router de margine pe
interfața Eth1 iar pe Eth0 la un „Home LAN” ce reprezintă de fapt laptopul de
pe care operez.
Acesta permite configurări multiple și complexe, de la tipul de pachete
injectate pe un canal până la tipuri de IP sau chiar mai mult de atât.
Pentru a putea utiliza acest generator de trafic sunt necesare câteva
configurări. Mai întâi din sistemul de operare de pe Ostinato trebuie configurată
interfața Eth1.

NECLASIFICAT
71 din 97
 NECLASIFICAT

Figura 6. 27. Configurarea interfețelor generatorului de trafic Ostinato

După acest prim pas am creat un port prin intermediul căruia se va genera
trafic.

Figura 6. 28. Crearea portului

În continuare am creat o noua sesiune pe care am denumit-o test. Aceasta

la rândul ei are nevoie de configurări suplimentare ce necesită atât MAC-ul
sursă (cel ce aparține generatorului de trafic), cât și cel destinație (ce aparține
primului router PE1).

NECLASIFICAT
72 din 97
 NECLASIFICAT

Figura 6. 29 Extragerea adresei fizice MAC de pe routerul R1

Figura 6. 30. Completarea adreselor MAC

NECLASIFICAT
73 din 97
 NECLASIFICAT

Pe lângă configurările ce necesită adresa fizică mai sunt necesare

configurări ce au la bază IP-ul sursă(cel ce aparține generatorului) cât și IP-ul
destinație (loopback-ul routerului PE2 din rețea).

Figura 6. 31. Completare IP sursă și loopback destinație

După configurările realizate, trebuie configurat și modul de

adresare/trimitere/injectare cât și tipul pachetelor folosite.

NECLASIFICAT
74 din 97
 NECLASIFICAT

Figura 6. 32. Configurarea tipului de trafic ,,injectat”

Rolul acestuia a fost de a injecta un anumit tip de trafic în rețea, pentru a-l
putea monitoriza mai apoi prin capturi wireshark. Programul folosit pentru
construirea rețelei permite și mod de captură wireshark pe interfețele oricărui
router.
Am ales simularea traficului de tip UDP și am urmărit traseul acestuia
prin capturi multiple. Monitorizarea traficului s-a realizat în acest mod pentru a
verifica funcționalitatea rețelei. Rețeaua a fost configurată în așa fel încât întreg
traficul să fie rutat pe o singură cale constituită din routerele R1-R2-R4-R6,
scopul principal fiind de a asigura o cale secundară sau de rezervă, prin care
traficul să poată ajunge de la un capăt la celălalt în orice condiții. Astfel pentru a
exemplifica acest atribut al rețelei vom ,,defecta’’(opri) funcționarea unui router
NECLASIFICAT
75 din 97
 NECLASIFICAT

de pe calea principală și vom urmării modul de transmitere al informației în

acest context, caz frecvent de altfel în rețelele de acest gen implementate practic.
Vom putea observa că prin încetarea funcționării routerului R2 de pe calea
principală, întreg traficul va fi rutat pe calea secundară care a fost deja invățată
prin intermediul protocolului BGP și RSVP.
Acest lucru este prezentat în capturile wireshark pe R2 resprectiv R3, de
mai jos:

Figura 6. 33. Captură pe routerul R2

Se poate observa prezența pachetelor UDP ce traversează routerul R2.

Astfel se verifică faptul că informația circulă inițial pe ruta principală formată
din routerele R1-R2-R4-R6.
Mai jos este prezentată o captura wireshark pe routerul R3 ce este
realizată în același timp cu cea de pe routerul R2. Astfel se poate observa că nu
trece trafic prin acesta lipsind din această captură pachetele UDP generate de
generatorul de trafic.

NECLASIFICAT
76 din 97
 NECLASIFICAT

Figura 6. 34. Captură router R3

Pentru testarea serviciilor asigurate de rețea și anume de comutare de pe

ruta principală pe ruta secundară, se va opri routerul R2. În urma încetării
funcționării acestuia, întreg traficul va fi rutat pe calea secundară implementată
pe routerele de margine PE1 și PE2 ce este constituită din routerele R1-R3-R5-
R6. Realizând o nouă captură wireshark pe routerul R3 se poate observa
prezența traficului prin acesta, materializat prin pachete UDP.

Figura 6. 35. Captură wireshark router R3 în urma incetării funcționării routerului R2

NECLASIFICAT
77 din 97
 NECLASIFICAT

Testarea circuitului Layer 2 VPN între cei doi clienți conectați la routerele
CE1 și CE2, se realizează prin ping între stațiile terminale. Succesul transmiterii
ping-ului confirmă buna funcționare a acestuia.
Aceste stații terminale au alocate IP-urile DHCP. Pentru aflarea acestora
se folosește comanda „ifconfig” în terminalul stației. Astfel se poate observa că
stația linux conectată la routerul client CE1are IP-ul 192.168.10.2 iar stația
conectată la routerul client CE2 are IP-ul 192.168.20.2.

Figura 6. 36. Ping înspre stația linux conectată la routerul CE1

De asemenea testarea caracteristicii de bază a rețelei MPLS VPN, ce

constă în transparența rețelei, se va face de pe routerele client CE1 și CE2.
Astfel aceste două routere trebuie să vadă întreaga rețea MPLS VPN ca fiind
inexistentă și totodată să pară a fi conectate în mod direct.

NECLASIFICAT
78 din 97
 NECLASIFICAT

Figura 6. 37. Vecinii OSPF ai routerul client CE1

Figura 6. 38. Vecinii OSPF ai routerul client CE2

Se poate observa că routerele figurează ca vecini fără a detecta măcar

rețeaua centrală MPLS VPN. Scopul inițial a fost atins cu succes.

Rețea Client
CE1 CE2

Stație terminală Stație terminală

Linux Linux

Figura 6. 39. Reprezentarea rețelei client

NECLASIFICAT
79 din 97
NECLASIFICAT

NECLASIFICAT
80 din 97
 NECLASIFICAT

CONCLUZII

Topologia și infrastructura rețelei proiectate a fost gândită astfel încât

aceasta să poată fi utilizată fără a mai fi nevoie de configurări suplimentare a
echipamentelor terminale. Acest lucru evidențiază performanța rețelei
furnizorului de servicii de a oferi conectări de tipul ,,plug and play”.
Configurarea abordată în acest mod a topologiei ajută la păstrarea integrității cât
și a securității rețelei, clienții neavând acces la informații referitoare la aceasta.
Astfel se atinge cu succes caracteristica de bază a rețelelor convergente de tipul
MPLS VPN, și anume transparența totală în cazul serviciilor de Nivel 2.
O caracteristică importantă a rețelelor MPLS o reprezintă securitatea
sporită. Forwarding-ul pe bază de etichetă constă în adăugarea unei etichete
pachetului, etichetă ce este primită de la următorul cel mai apropiat router. În
cazul folosirii altei etichete pachetul va fi aruncat.
În același timp au fost implementate politici de adiacență și conectare pe
bază de parolă criptată la nivelul fiecărui protocol, fapt ce sporește semnificativ
securitatea rețelei centrale.
Flexibilitatea este o altă caracteristică a rețelelor MPLS VPN. Acestea pot
oferi atât servicii VPN de Nivel 2 cât și servicii VPN de Nivel 3. Avantajul
folosirii acestora din urmă îl reprezintă administrarea mai usoară a noilor clienți.
În cazul necesității de adăugare a mai multor locații/clienți în VPN nu se vor
face tunele punct la punct, ci un circuit VPN de Nivel 3. Astfel toți acești clienți
nou adăugați se vor vedea ca intr-o rețea proprie.
Totodată acest tip de rețea MPLS VPN permite și flexibilitatea în QoS.
Clientul poate avea propria schemă de QoS, iar furnizorul de servicii folosește
alte marcaje, tratând traficul după propriile capabilități fără a schimba marcajele
de QoS ale clientului.
Un rol important în scopul modelării și monitorizării traficului, îl are
protocolul RSVP. Acesta permite ca link-urile să fie încărcate cât mai eficient
posibil. De asemenea acest protocol oferă și posibilitatea de a fi asigurată
protecția acestora, ceea ce conduce la întreruperi în trafic de ordinul a câtorva
milisecunde.
Programul UNL reprezintă o platformă ce permite emularea și integrarea
de diferite echipamente care aparțin diverșilor vendori. În realizarea proiectului,

NECLASIFICAT
81 din 97
 NECLASIFICAT

pentru a mă apropia cât mai mult de scenariile întâlnite în practică, am evidențiat

interconectarea mai multor echipamente indiferent de producătorii acestora.
Folosirea unui program performant ca UNL ajută la înțelegerea
amănunțită a rețelelor de tipul MPLS VPN, la evidențierea capacităților și
capabilităților acestora cât și la identificarea posibilelor defecte.
Rețeaua VPN MPLS construită în această lucrare oferă atât servicii VPN
de Nivel 2 cât și servicii VPN de Nivel 3. Aceasta a fost proiectată astfel încât să
ofere și servicii ce constau în posibilitatea de monitorizare și dirijare a întregului
trafic.

NECLASIFICAT
82 din 97
 NECLASIFICAT

BIBLIOGRAFIE

1. Tanebaum S., Rețele de calculatoare, Editura Computer Press Agora,

Târgu-Mureș, 2004
2. Lupșa Radu-Lucian, Rețele de calculatoare - Principii, Casa Cărții de
Știință, Cluj 2008
3. De Ghein Luc, MPLS Fundamentals - A Comprehensive Introduction to
MPLS Theory and Practice, Cisco Press, Indianapolis, 2007
4. Guichard Jim, Pepelnjak Ivan, MPLS and VPN Arhitectures, Cisco Press,
Indianapolis , 2000
5. Lobo Lancy,Umesh Lakshman, MPLS Configuration on Cisco IOS
Software, Cisco Press, Indianapolis, 2006
6. Vivek Alwayn, Advanced MPLS Design and Implementation, Cisco Press,
Indianapolis, 2002
7. Jim Guichard, Ivan Pepelnjak, MPLS and VPN Arhitectures Volume I,
CCIE, Cisco Press, Indianapolis, 2003
8. Jim Guichard, Ivan Pepelnjak, MPLS and VPN Arhitectures Volume II,
CCIE, Cisco Press, Indianapolis, 2005
9. Study Guide by Harry Reynolds JNCIE Juniper® Networks Certified
Internet Expert
10. Study Guide by Harry Reynolds JNCIP Juniper® Networks Certified
Internet Professional
11. Study Guide by Joseph M. Soricelli with John L. Hammond, Galina
Diker Pildush, Thomas E. Van Meter, and Todd M. Warble JNCIA
Juniper™ Networks Certified Internet Associate
12. Antonio Sánchez-Monge & Krzysztof Grzegorz Szarkowicz, MPLS in the
SDN Era, Publisher: O’Reilly Media

13. Rob Cameron, Brad Woodberg, Patricio Giecco, Tim Eberhard, and
James Quinn, Junos Security: A Guide to Junos for the SRX Services
Gateways & Security Certification Publisher: O’Reilly Media
14. James Sonderegger, Orin Blomberg, Kieran Milne, and Senad
Palislamovic, Junos High Availability: Best Practices for High Network
Uptime
15. Behringer Michael H., MPLS VPN Security, Cisco Press, Indianapolis,
2005
NECLASIFICAT
83 din 97
 NECLASIFICAT

16. Lewis Chris, Pickavance Steve, Morrow Monique, Monaghan

John, Huegen Craig, Selecting MPLS VPN Services, Cisco Press,
Indianapolis, 2006
17. Osborne Eric, Ajay Simha, Traffic Engineering with MPLS, Cisco Press,
Indianapolis, 2002
18. Alvarez Santiago, QoS for IP/MPLS Networks, Cisco Press, Indianapolis,
2006
19. Minei Ina, Lucek Julian, MPLS-Enabled Applications, John Wiley & Sons,
Chichester, 2008
20. Morrow Monique, Sayeed Azhar, MPLS and Next-Generation Networks:
Foundations for NGN Enterprise Virtualization, Cisco Press, Indianapolis,
2006
21. Morgan Brian, Gonzalez Moises, Cisco Unity Fundamentals, Cisco Press,
Indianapolis, 2008

NECLASIFICAT
84 din 97
 NECLASIFICAT

Anexa nr.1
Configurația router-ului PE2:

root> show configuration | display set

set version 14.1R1.10
set system root-authentication encrypted-password
"$1$PAlYyWcF$sjmBAS9tMdny1nysClT8p0"
set system syslog user * any emergency
set system syslog file messages any notice
set system syslog file messages authorization info
set system syslog file interactive-commands interactive-commands any
set interfaces ge-0/0/0 unit 0 family inet address 46.46.46.2/30
set interfaces ge-0/0/0 unit 0 family iso
set interfaces ge-0/0/0 unit 0 family mpls
set interfaces ge-0/0/1 unit 0 family inet address 56.56.56.2/30
set interfaces ge-0/0/1 unit 0 family iso
set interfaces ge-0/0/1 unit 0 family mpls
set interfaces ge-0/0/2 encapsulation ethernet-ccc
set interfaces ge-0/0/2 unit 0 family ccc
set interfaces ge-0/0/3 speed 100m
set interfaces ge-0/0/3 unit 0 family inet address 10.33.33.1/30
set interfaces lo0 unit 0 family inet address 6.6.6.6/32
set interfaces lo0 unit 0 family iso address 49.0001.0000.0000.0006.00
set routing-options router-id 6.6.6.6
set routing-options autonomous-system 65001
set protocols rsvp interface ge-0/0/0.0
set protocols rsvp interface ge-0/0/1.0
set protocols rsvp interface lo0.0
set protocols mpls label-switched-path R6-to-R1 to 1.1.1.1
set protocols mpls label-switched-path R6-to-R1 no-cspf
set protocols mpls label-switched-path R6-to-R1 primary R6-R4-R2-R1
set protocols mpls label-switched-path R6-to-R1 secondary R6-R5-R3-R1
set protocols mpls path R6-R4-R2-R1 4.4.4.4 loose
set protocols mpls path R6-R5-R3-R1 5.5.5.5 strict
set protocols mpls interface ge-0/0/0.0
set protocols mpls interface ge-0/0/1.0
set protocols bgp local-address 6.6.6.6
set protocols bgp mtu-discovery
NECLASIFICAT
85 din 97
 NECLASIFICAT

set protocols bgp family inet-vpn unicast

set protocols bgp local-as 65001
set protocols bgp group ibgp type internal
set protocols bgp group ibgp local-address 6.6.6.6
set protocols bgp group ibgp family inet-vpn unicast
set protocols bgp group ibgp family l2vpn signaling
set protocols bgp group ibgp peer-as 65001
set protocols bgp group ibgp allow 0.0.0.0/0
set protocols bgp group ibgp neighbor 4.4.4.4 authentication-key
"$9$ikqfQz6AtOTQEcleW8"
set protocols bgp group ibgp neighbor 4.4.4.4 peer-as 65001
set protocols bgp group ibgp neighbor 5.5.5.5 authentication-key
"$9$mf5F6/tOBEn6reW87N"
set protocols bgp group ibgp neighbor 5.5.5.5 peer-as 65001
set protocols bgp group ibgp neighbor 1.1.1.1 authentication-key
"$9$DAiHm5T39Cuf5IEyrvM"
set protocols bgp group ibgp neighbor 1.1.1.1 peer-as 65001
set protocols bgp group ibgp neighbor 2.2.2.2 authentication-key
"$9$hyrSyKW87Vb2MWJGiHmP"
set protocols bgp group ibgp neighbor 2.2.2.2 peer-as 65001
set protocols bgp group ibgp neighbor 3.3.3.3 authentication-key
"$9$9Vy0AtOIRSeK81INdsYoa"
set protocols bgp group ibgp neighbor 3.3.3.3 peer-as 65001
set protocols isis level 1 disable
set protocols isis level 2 authentication-key "$9$XL-7NbY2aUDksYfT3nCA"
set protocols isis level 2 authentication-type md5
set protocols isis level 2 wide-metrics-only
set protocols isis interface ge-0/0/0.0
set protocols isis interface ge-0/0/1.0
set protocols isis interface lo0.0 level 1 disable
set protocols ldp interface lo0.0
set protocols l2circuit traceoptions file layer2
set protocols l2circuit traceoptions file size 5m
set protocols l2circuit traceoptions flag all
set protocols l2circuit neighbor 1.1.1.1 interface ge-0/0/2.0 virtual-circuit-id 777
set protocols l2circuit neighbor 1.1.1.1 interface ge-0/0/2.0 encapsulation-type ethernet
set protocols l2circuit neighbor 1.1.1.1 interface ge-0/0/2.0 ignore-encapsulation-mismatch
set protocols l2circuit neighbor 1.1.1.1 interface ge-0/0/2.0 ignore-mtu-mismatch
set policy-options policy-statement export-C1 term 1 from protocol ospf
NECLASIFICAT
86 din 97
 NECLASIFICAT

set policy-options policy-statement export-C1 term 1 then accept

set policy-options policy-statement export-c1-bgp term 1 from protocol bgp
set policy-options policy-statement export-c1-bgp term 1 then accept
set policy-options policy-statement export-c1-ospf from protocol ospf
set policy-options policy-statement export-c1-ospf from area 0.0.0.0
set policy-options policy-statement export-c1-ospf then accept
set policy-options policy-statement from-direct term 1 from protocol direct
set policy-options policy-statement from-direct term 1 then accept
set routing-instances c1 instance-type vrf
set routing-instances c1 interface ge-0/0/3.0
set routing-instances c1 route-distinguisher 1:1
set routing-instances c1 vrf-target target:1:1
set routing-instances c1 vrf-table-label
set routing-instances c1 protocols ospf export export-c1-bgp
set routing-instances c1 protocols ospf area 0.0.0.0 interface ge-0/0/3.0 authentication md5
1 key "$9$b9sYoZGi.mTJZn/tpB1"

NECLASIFICAT
87 din 97
NECLASIFICAT

NECLASIFICAT
88 din 97
 NECLASIFICAT

Anexa nr.2
Configurația router-ului P3:

set version 14.1R1.10

set system root-authentication encrypted-password "$1$xnZngWLj$0KKJSJOkq9HQ6k4dz5FwW1"
set system syslog user * any emergency
set system syslog file messages any notice
set system syslog file messages authorization info
set system syslog file interactive-commands interactive-commands any
set interfaces ge-0/0/0 unit 0 family inet address 35.35.35.1/30
set interfaces ge-0/0/0 unit 0 family iso
set interfaces ge-0/0/0 unit 0 family mpls
set interfaces ge-0/0/1 unit 0 family inet address 13.13.13.2/30
set interfaces ge-0/0/1 unit 0 family iso
set interfaces ge-0/0/1 unit 0 family mpls
set interfaces ge-0/0/2 unit 0 family inet address 23.23.23.2/30
set interfaces ge-0/0/2 unit 0 family iso
set interfaces ge-0/0/2 unit 0 family mpls
set interfaces lo0 unit 0 family inet address 3.3.3.3/32
set interfaces lo0 unit 0 family iso address 49.0001.0000.0000.0003.00
set routing-options router-id 3.3.3.3
set routing-options autonomous-system 65001
set protocols mpls interface ge-0/0/0.0
set protocols mpls interface ge-0/0/1.0
set protocols mpls interface ge-0/0/2.0
set protocols bgp traceoptions file bgp
set protocols bgp traceoptions file size 5m
set protocols bgp traceoptions flag all
set protocols bgp mtu-discovery
set protocols bgp local-as 65001
set protocols bgp group ibgp type internal
set protocols bgp group ibgp local-address 3.3.3.3
set protocols bgp group ibgp family inet-vpn unicast
set protocols bgp group ibgp family l2vpn signaling
set protocols bgp group ibgp neighbor 2.2.2.2 authentication-key "$9$7e-dsg4Zji.2gTz6/tp"
set protocols bgp group ibgp neighbor 2.2.2.2 peer-as 65001
set protocols bgp group ibgp neighbor 5.5.5.5 authentication-key "$9$vVRW87dVYoaU-dk.5T3n"
set protocols bgp group ibgp neighbor 5.5.5.5 peer-as 65001
set protocols bgp group ibgp neighbor 1.1.1.1 authentication-key "$9$qmPQ3nCu0IF3SrvMXx"
set protocols bgp group ibgp neighbor 1.1.1.1 peer-as 65001
set protocols bgp group ibgp neighbor 4.4.4.4 authentication-key "$9$fTQn9Cu1Ic/9evLX-d"

NECLASIFICAT
89 din 97
 NECLASIFICAT

set protocols bgp group ibgp neighbor 4.4.4.4 peer-as 65001

set protocols bgp group ibgp neighbor 6.6.6.6 authentication-key "$9$GIDjqPfz6/tmPBIcSeK"
set protocols bgp group ibgp neighbor 6.6.6.6 peer-as 65001
set protocols isis level 2 authentication-key "$9$lPeKvL7Nb2gJx7jHmPQz"
set protocols isis level 2 authentication-type md5
set protocols isis level 2 wide-metrics-only
set protocols isis level 1 disable
set protocols isis interface ge-0/0/0.0
set protocols isis interface ge-0/0/1.0
set protocols isis interface ge-0/0/2.0
set protocols isis interface lo0.0 level 1 disable
set protocols ldp interface ge-0/0/0.0
set protocols ldp interface ge-0/0/1.0
set protocols ldp interface ge-0/0/2.0

NECLASIFICAT
90 din 97
 NECLASIFICAT

Anexa nr.3
Configurația router-ului P4:

set version 14.1R1.10

set system root-authentication encrypted-password "$1$ri7kE9jk$IaBd7Tq3Nmnc7Y4zwpk3s."
set system syslog user * any emergency
set system syslog file messages any notice
set system syslog file messages authorization info
set system syslog file interactive-commands interactive-commands any
set interfaces ge-0/0/0 unit 0 family inet address 46.46.46.1/30
set interfaces ge-0/0/0 unit 0 family iso
set interfaces ge-0/0/0 unit 0 family mpls
set interfaces ge-0/0/1 unit 0 family inet address 24.24.24.2/30
set interfaces ge-0/0/1 unit 0 family iso
set interfaces ge-0/0/1 unit 0 family mpls
set interfaces ge-0/0/2 unit 0 family inet address 45.45.45.1/30
set interfaces ge-0/0/2 unit 0 family iso
set interfaces ge-0/0/2 unit 0 family mpls
set interfaces lo0 unit 0 family inet address 4.4.4.4/32
set interfaces lo0 unit 0 family iso address 49.0001.0000.0000.0004.00
set routing-options router-id 4.4.4.4
set routing-options autonomous-system 65001
set protocols mpls interface ge-0/0/0.0
set protocols mpls interface ge-0/0/1.0
set protocols mpls interface ge-0/0/2.0
set protocols bgp local-as 65001
set protocols bgp group ibgp type internal
set protocols bgp group ibgp local-address 4.4.4.4
set protocols bgp group ibgp family inet-vpn unicast
set protocols bgp group ibgp family l2vpn signaling
set protocols bgp group ibgp neighbor 2.2.2.2 authentication-key "$9$fTQn9Cu1Ic/9evLX-d"
set protocols bgp group ibgp neighbor 5.5.5.5 authentication-key "$9$d0bwgaJDkqfoaFnCA0O"
set protocols bgp group ibgp neighbor 6.6.6.6 authentication-key "$9$1uhREyeK87NblegoGUHk"
set protocols bgp group ibgp neighbor 1.1.1.1 authentication-key "$9$x9hN-w2gJDjqY25Qn6At"
set protocols bgp group ibgp neighbor 1.1.1.1 peer-as 65001
set protocols bgp group ibgp neighbor 3.3.3.3 authentication-key "$9$Z.UDkmPQn6A.mO1hcle"
set protocols bgp group ibgp neighbor 3.3.3.3 peer-as 65001
set protocols isis level 1 disable
set protocols isis level 2 authentication-key "$9$pw160ORcSeW87hcbs4oGU"
set protocols isis level 2 authentication-type md5
set protocols isis level 2 wide-metrics-only
set protocols isis interface ge-0/0/0.0
NECLASIFICAT
91 din 97
 NECLASIFICAT

set protocols isis interface ge-0/0/1.0

set protocols isis interface ge-0/0/2.0
set protocols isis interface lo0.0 level 1 disable
set protocols ldp interface ge-0/0/0.0
set protocols ldp interface ge-0/0/1.0
set protocols ldp interface ge-0/0/2.0

NECLASIFICAT
92 din 97
 NECLASIFICAT

Anexa nr.4

Configurația router-ului P5:

set version 14.1R1.10

set system root-authentication encrypted-password "$1$rikKqclP$iUbH8D7M08uLdczykacae."
set system syslog user * any emergency
set system syslog file messages any notice
set system syslog file messages authorization info
set system syslog file interactive-commands interactive-commands any
set interfaces ge-0/0/0 unit 0 family inet address 35.35.35.2/30
set interfaces ge-0/0/0 unit 0 family iso
set interfaces ge-0/0/0 unit 0 family mpls
set interfaces ge-0/0/1 unit 0 family inet address 56.56.56.1/30
set interfaces ge-0/0/1 unit 0 family iso
set interfaces ge-0/0/1 unit 0 family mpls
set interfaces ge-0/0/2 unit 0 family inet address 45.45.45.2/30
set interfaces ge-0/0/2 unit 0 family iso
set interfaces ge-0/0/2 unit 0 family mpls
set interfaces lo0 unit 0 family inet address 5.5.5.5/32
set interfaces lo0 unit 0 family iso address 49.0001.0000.0000.0005.00
set routing-options router-id 5.5.5.5
set routing-options autonomous-system 65001
set protocols mpls interface ge-0/0/0.0
set protocols mpls interface ge-0/0/1.0
set protocols mpls interface ge-0/0/2.0
set protocols bgp traceoptions file bgp
set protocols bgp traceoptions file size 5m
set protocols bgp mtu-discovery
set protocols bgp local-as 65001
set protocols bgp group ibgp type internal
set protocols bgp group ibgp local-address 5.5.5.5
set protocols bgp group ibgp family inet-vpn unicast
set protocols bgp group ibgp family l2vpn signaling
set protocols bgp group ibgp neighbor 4.4.4.4 authentication-key "$9$jHHkPTQnCA05TRhrlMW"
set protocols bgp group ibgp neighbor 4.4.4.4 peer-as 65001
set protocols bgp group ibgp neighbor 3.3.3.3 authentication-key "$9$pvqb0ORcSeW87hcbs4oGU"
set protocols bgp group ibgp neighbor 3.3.3.3 peer-as 65001
set protocols bgp group ibgp neighbor 6.6.6.6 authentication-key "$9$nre0/9pOBEyrv0OX7Vb2g"
set protocols bgp group ibgp neighbor 6.6.6.6 peer-as 65001
set protocols bgp group ibgp neighbor 1.1.1.1 authentication-key "$9$TzF/AtOREyCAvWx7Vb"
set protocols bgp group ibgp neighbor 1.1.1.1 peer-as 65001
NECLASIFICAT
93 din 97
 NECLASIFICAT

set protocols bgp group ibgp neighbor 2.2.2.2 authentication-key "$9$ZXUDkmPQn6A.mO1hcle"

set protocols bgp group ibgp neighbor 2.2.2.2 peer-as 65001
set protocols isis level 1 disable
set protocols isis level 2 authentication-key "$9$hK1SyKW87Vb2MWJGiHmP"
set protocols isis level 2 authentication-type md5
set protocols isis level 2 wide-metrics-only
set protocols isis interface ge-0/0/0.0
set protocols isis interface ge-0/0/1.0
set protocols isis interface ge-0/0/2.0
set protocols isis interface lo0.0 level 1 disable
set protocols ldp interface ge-0/0/0.0
set protocols ldp interface ge-0/0/1.0
set protocols ldp interface ge-0/0/2.0

NECLASIFICAT
94 din 97
 NECLASIFICAT

Listă cu abrevieri

AAA-Authentification, Authorization and Accounting

ARP-Address Resolution Protocol
ATM-Asyncrhronous Transfer Mode
AH- Authentication Header
BGP- Border Gateway Protocol
BoS- Bottom of Stack
CE-Client Edge
CEF-Cisco Express Forwarding
CLNP-Connectionless Network Protocol
CLNS- Connectionless Network Service
CPU-Central Processing Unit
CR-LDP-Constraint-based Routing Label Distribution Protocol
DoS-Denial of Service
DHCP-Dynamic Host Configuration Protocol
DSL-Digital Subscriber Line
EIGRP-Enhanced Interior Gateway Routing Protocol
ELSR-Edge Label Switch Router
ESP- Encapsulating Security Payload
EXP-Experimental
FEC-Forward Error Correction
HDLC-High Level Data Link Control
HTTP-Hipertext Transfer Protocol
ICMP-Internet Control Message Protocol
ID-Identification Data
VCI-Virtual Channel Identifier
VPI-Virtual Path Identifier
IGMP-Internet Group Management Protocol
IP-Internet Protocol
IpSec- Internet Protocol Security
IPv4- Internet Protocol Version 4
IPv6- Internet Protocol Version
ISDN -Integrated Services Digital Network
IS-IS-Intermediate System to Intermediate System
NECLASIFICAT
95 din 97
 NECLASIFICAT

ISP-Internet Service Provider

IT-Internet and Telecomunication
LDP-Label Distribution Protocol
LFIB-Label Forwarding Information Base
LIB-Label Information Base
LLC-Logical Link Control
LSA-Link State Advertisments
LSP-Label Switched Path
LSR-Label Switching Router
MD5-Message Digest Algorithm 5
MLD-Multicast Listener Discovery
MPLS –Multi Protocol Label Switching
MTU-Maximum Transfer Unit
NNTP-Network News Transfer Protocol
OSPF-Open Shortest Path First
P-Provider
PDU-Protocol Data Unit
PE-Provider Edge
POP-Post Office Protocol
PPP-Point to Point Protocol
QoS-Quality of Service
RD - Route Distinguisher
RT- Route Targets
RSVP-Resource Reservation Protocol
RTSP-Real Time Streaming Protocol
SHA-Secure Hash Algorithm
SIP-Session Initiation Protocol
SNAP-Scaleable Node Address Protocol
TCP-Transmission Control Protocol
TTL- Time To Live
TLV-Type, Length, Value
UDP-User Datagram Protocol
UNL-Unified Network Lab
URL-Uniform Resource Locator
UTP-Unshield Twisted Pair
NECLASIFICAT
96 din 97
 NECLASIFICAT

VCI-Virtual Circuit Identifier

VLAN-Virtual Local Area Network
VoIP-VOICE over Internet Protocol
VPN -Virtual Private Network
VRF - Virtual Routing Forwarding

NECLASIFICAT
97 din 97