Лаб4
.docxМИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,
СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Кафедра: Защищенных систем связи
Факультет: Кибербезопасности
Дисциплина: Основы построения защищенных компьютерных сетей
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №4
Организация L3 VPN с использованием статической маршрутизации на участке между PE и CE
(тема отчета)
Направление/специальность подготовки
10.03.01 Информационная безопасность
(код и наименование направления/специальности)
Студент:
Травкина Е.А., ИКБ-14
(Ф.И.О., № группы) (подпись)
Федченко А.С., ИКБ-14
(Ф.И.О., № группы) (подпись)
Преподаватель:
к.т.н., Беккель Л.С.
(должность, Ф.И.О.) (подпись)
Рассматриваемая топология изображена на Рис. 1:
Рис. 1. Топология сети для организации L3 VPN
Синим цветом отмечены MPLS маршрутизаторы, находящиеся под управлением оператора связи, серым и красным отмечены маршрутизаторы под управлением клиентов. При этом маршрутизаторы красного цвета относятся к сети клиента VPN A, а серого к сети VPN B.
Для VPN сетей будет использоваться частная адресация. Для VPN A будет использоваться агрегированная подсеть 192.168.100.0/24, на каждый СЕ при этом выделяется блок адресов /26. Для VPN B будет использоваться агрегированная подсеть 172.16.20.0/24. При этом половина адресного пространства используется для подключения СЕ-3, который условно является центральный офисом, а оставшиеся половина делится на рваные части между остальными СЕ. Адресный план приведен в Таблице №1:
Таблица 1. Адресный план для организации L3 VPN сетей
|
Подсеть |
Адрес PE |
Адрес CE |
CE-A-1 |
192.168.100.0/26 |
192.168.100.1/26 |
192.168.100.2/26 |
CE-A-2 |
192.168.100.64/26 |
192.168.100.65/26 |
192.168.100.66/26 |
CE-A-3 |
192.168.100.128/26 |
192.168.100.129/26 |
192.168.100.130/26 |
CE-A-4 |
192.168.100.192/26 |
192.168.100.193/26 |
192.168.100.194/26 |
CE-B-1 |
172.16.20.0/25 |
172.16.20.1/25 |
172.16.20.2/25 |
CE-B-2 |
172.16.20.128/26 |
172.16.20.129/26 |
172.16.20.130/25 |
CE-B-3 |
172.16.20.192/26 |
172.16.20.193/26 |
172.16.20.194/25 |
Настроили адреса на интерфейсах PE и CE маршрутизаторов (см. Рис. 2, 3).
Рис. 2. Пример настройки интерфейса на CE маршрутизаторе
Рис. 3. Пример настройки интерфейса на PE маршрутизаторе
Для настройки VPN сетей сначала создадим соответствующие VRF (см. Рис. 4).
Рис. 4. Пример настройки VRF
Аналогично VRF настраиваются на других PE маршрутизаторах. На P маршрутизаторе не требуется каких-либо настроек VRF.
Route-Distinguisher (RD) при передаче префиксов клиента по средствам MBGP определяет к какой VPN сети они относятся. Для каждого префикса может быть только одно значение RD. Мы используем формат <Router ID>:NN, значение должно быть уникально для одной VPN сети.
Community Route-Target (RT) определяет политики импорта и экспорта для таблиц VRF, для одного префикса может быть несколько RT. Используется формат <ASN>:NN. Для удобства значения NN для RD и RT делают одинаковыми, но это не является обязательным условием. Ключевое слово both определяет одновременно политику импорта и экспорта для данного VRF.
Теперь необходимо назначить VRF на интерфейсе, к которому подключаются СЕ. Рассмотрим на примере для PE-4 (см. Рис. 5)
Рис. 5. Назначение VRF на интерфейс
Аналогичным образом происходит назначение VRF для интерфейсов на остальных PE. Теперь можно проверить статус интерфейсов для VRF (см. Рис. 6).
Рис. 6. Проверка статуса интерфейсов для VRF
После того как на всех PE настроены VRF, и они закреплены за определенными интерфейсами, для обмена маршрутной информацией VRF необходимо настроить поддержку протокола Multiprotocol BGP (MBGP). По сути, это не отдельный протокол, а только расширение протокола BGP для передачи не только IPv4 Unicast префиксов, но и маршрутной информации других адресных семейств. В нашем примере нас интересует поддержка семейства адресов IPv4 VPN. Для этого сначала настроим использование протокола Internal BGP (см. Рис. 7).
Рис. 7. Настройка iBGP
Аналогичным образом BGP настраивается на остальных маршрутизаторах. Активируем передачу для семейства адресов IPv4 VPN (см. Рис. 8).
Рис. 8. Активация передачи для IPv4 VPN
Аналогично настраивается на всех остальных PE маршрутизаторах. На P маршрутизаторе не активируется поддержка IPv4 VPN.
И последний шаг в конфигурации, необходимо осуществить редистрибюцию connected маршрутов между PE маршрутизаторами:
Рис. 9. Активация перераспределения
Аналогичным образом настраивается на других PE, при этом, где присутствует два VRF, надо настроить редистрибюцию для обоих VRF. Теперь можно посмотреть таблицы маршрутизации для VRF (см. Рис. 10).
Рис. 10. Просмотр маршрутной информации для VRF
Можно также посмотреть информацию о маршрутизаторах поддерживающих данное семейство адресов (см. Рис. 11).
Рис. 11. Просмотр информации о маршрутизаторах
Проверили доступность PE маршрутизаторов для определенных VRF (см. Рис. 12).
Рис. 12. Проверка доступности PE маршрутизаторов
Проверили, что в таблицу LFIB были добавлены новые записи, определяющие принадлежность префикса к определенной VRF (см. Рис. 13).
Рис. 13. Проверка появления записей в LFIB
Вывод
В ходе выполнения данной лабораторной работы была рассмотрена настройка сети для организации L3 VPN на основе MPLS и протокола BGP. На основе предложенной топологии сети были созданы VRF для каждой VPN сети и настроена маршрутизация между PE и CE маршрутизаторами, относящимися к сетям клиентов VPN A и VPN B.
Для разделения трафика и обеспечения изоляции между VPN использовались уникальные идентификаторы RD и RT, а также выполнена настройка MBGP для поддержки семейства адресов IPv4 VPN. Конфигурация BGP на каждом PE маршрутизаторе обеспечила обмен маршрутной информацией между VPN через MPLS-сеть провайдера. Дополнительно была настроена редистрибуция маршрутов, что позволило корректно передавать трафик между виртуальными маршрутизируемыми интерфейсами.
Результаты проверки таблиц маршрутизации VRF и доступности PE маршрутизаторов подтверждают корректность настройки. Проанализированный трафик показал, что BGP корректно передает параметры маршрутов, включая Route-Target и семейство адресов IPv4 VPN, а при передаче трафика используются стековые метки MPLS, обеспечивая изоляцию трафика для каждой VPN.