Файловый архив студентов. Файловый архив студентов.
1301 вуз, 5076 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича
Предмет:
Основы построения защищенных компьютерных сетей
Файл:

Лаб2

.docx
Скачиваний:
3
Добавлен:
28.12.2024
Размер:
310.06 Кб
Скачать

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,

СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ

УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Кафедра: Защищенных систем связи

Факультет: Кибербезопасности

Дисциплина: Основы построения защищенных компьютерных сетей

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №2

Управление распространением меток и механизмом TTL Propagation

(тема отчета)

Направление/специальность подготовки

10.03.01 Информационная безопасность

(код и наименование направления/специальности)

Студент:

Травкина Е.А., ИКБ-14

(Ф.И.О., № группы) (подпись)

Федченко А.С., ИКБ-14

(Ф.И.О., № группы) (подпись)

Преподаватель:

к.т.н., Беккель Л.С.

(должность, Ф.И.О.) (подпись)

Цель

Познакомиться с управлением распространения меток и с механизмом TTL Propagation.

Ход лабораторной работы

По умолчанию в Cisco привязка FEC – метка создается для всех записей в таблице маршрутизации. Это ведет к нерациональному использованию адресного пространства, так как записей в таблице маршрутизации может быть сотни тысяч. А для работы приложений на основе MPLS необходимы только LSP между PE маршрутизаторами.

Для нашей сети необходимо разрешить распространение меток только для Loopback интерфейсов маршрутизаторов. Необходимые изменения в конфигурации (см. Рис. 1):

no mpls ldp advertise-labels – отключение стандартного механизма распространения меток.

mpls ldp advertise-labels for 1 to 2 – метки анонсируется только для подсетей, подпадающих под правило в ACL 1 для LDP соседей, подпадающих под правило для ACL 2.

Рис. 1. Настройка распространения меток

Создаем корректные ACL 1 и 2 (см. Рис. 2):

Рис. 2. Создание ACL

То есть будут создаваться метки для FEC подпадающих под правило 1, то есть для всех адресов Loopback маршрутизаторов рассматриваемой сети, и будут анонсироваться всем маршрутизаторам в сети.

При обработке входящего пакета на Ingress LSR из IP сети, по умолчанию, значение TTL из заголовка IP копируется в поле TTL заголовка MPLS. Если отключить данный механизм, то в заголовок MPLS не будет копироваться значение из заголовка IP, а будет подставлено значение 255. Это может быть полезно в том случае, если оператор связи не хочет, чтобы его клиенты знали о внутренней структуре его сети. Клиент может произвести проверку с помощью утилиты traceroute (tracert), в этом случае когда пакет с TTL равным 1 поступит на Ingress LSR, он передаст его дальше на основе адреса назначения при этом TTL в заголовке MPLS будет 255, то есть клиент не сможет проверить сколько хопов находиться на пути следования до узла, до которого он проводил диагностику. Рассмотрим данный механизм на примере нашей сети. Подключим СЕ-1 к PE-1 (см. Рис. 3).

Рис. 3. Подключение CE-1 к PE-1

Адресация на их стыке будет 192.168.100.0/24, .1 адрес для PE-1 и .2 для CE-1. Также на СЕ-1 настроим статический маршрут до 3.3.3.3 (см. Рис. 4):

CE-1(config)#ip route 3.3.3.3 255.255.255.255 10.100.100.1

Рис. 4. Настройка IP-адреса и статического маршрута на CE-1

Отключить данный механизм на PE-1 можно командой:

no mpls ip propagate-ttl

Также есть расширенные опции для данной команды:

no mpls ip propagate-ttl [ forwarded | local ]

Ключевое слово forwarded позволяет отключить данный механизм исключительно для транзитного трафика, то есть такого трафика, как в рассматриваемом примере. Ключевое слово local отключает механизм для трафика локально созданного на MPLS маршрутизаторе. Без использования данных ключей отключается TTL для всего трафика. То есть также отсутствует промежуточный хоп P, что может быть не удобно при диагностике проблем.

Самым оптимальный вариантом будет использование опции forwarded, чтобы отключить механизм TTL Propagation для трафика извне сети, и с охранить для локального трафика сети, для диагностики возможных проблем. Активировать данный вариант можно командой:

no mpls ip propagate-ttl forwarded

ВЫВОД

В данной работе было исследовано и оптимизировано использование меток в сети MPLS с учетом привязки FEC. По умолчанию в Cisco метки создаются для всех записей в таблице маршрутизации, что приводит к нерациональному использованию адресного пространства. Для улучшения эффективности сети были внесены изменения в конфигурацию, чтобы разрешить распространение меток только для Loopback интерфейсов маршрутизаторов. Это было достигнуто с помощью команды no mpls ldp advertise-labels и создания соответствующих ACL. В результате таблица LFIB была оптимизирована, и метки стали создаваться только для необходимых FEC. Также было рассмотрено влияние механизма TTL Propagation на маршрутизацию MPLS трафика. Отключение этого механизма позволяет скрыть внутреннюю структуру сети от клиентов, что может быть полезно для диагностики и безопасности. Наиболее оптимальным вариантом является использование опции forwarded для отключения TTL Propagation только для транзитного трафика, сохраняя ее для локального трафика сети.

Санкт-Петербург

2024

Соседние файлы в предмете Основы построения защищенных компьютерных сетей
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности