تا %60 تخفیف خرید برای 4 نفر با صدور مدرک فقط تا
00 00 00
در توسینسو تدریس کنید

MPLS چگونه کار می کند؟ - بخش هجدهم

در ادامه سری مقالات MPLS درخدمت شما عزیزان هستیم با ما همراه باشید.

وضعیت زمان convergence در حالت ارتباط هدف دار در مقایسه با ارتباط توسط لینک مسقیم عملکرد بهتری دارد. در حالت ارتباط با لینک مستقیم ، زمانی که لینک بین دو LSR قطع می شود ارتباط LDP نیز از بین می رود اما در ارتباط هدف دار LDP با یک مسیر جایگزین را در نظر بگیرد که بسته های TCP ارتباط LDP از یک LSR به LSR دیگر ارسال می شوند اگر در این حالت یک لینک بین دو LSR قطع شود همچنان ارتباط LDP باقی می ماند و از طریق لینک جایگزین این ارتباط ادامه خواهد داشت. اگر ارتباط LDP باقی بماند label ها نیز حفظ می شوند و باعث بهبود وضعیت قرار گرفتن label ها از LIB به LFIB هم در زمان قطع شدن لینک و هم در زمان up شدن لینک می شود.

برای تغییر زمان LDP hello interval و Hold time برای ارتباط هدف دار LDP می توانید از دستور زیر استفاده کنید :

mpls ldp discovery {hello {holdtime | interval} seconds | targeted-hello {holdtime |interval} seconds | accept [from acl]}

به تصویر زیر توجه کنید. روتر نیویورک و سیدنی به صورت مستقیم به یکدیگر متصل نیستند. به هر حال ، می خواهیم بین آنها ارتباط LDP داشته باشیم. می توانیم روی هر دو روتر تنظیمات مربوط به ارتباط هدف دار LDP را انجام دهیم. یک راه دیگر برای اینکار این است که تنظیمات ارتباط هدف دار LDP را تنها در یک روتر انجام دهیم و روتر دیگر را تنظیم کنیم که ارتباط هدف دار از یک LDP روتر خاص را قبول کند. اینکار را با دستور [mpls ldp discovery targeted-hello accept [from acl می توان انجام داد. برای جلوگیری از اینکه هر روتری بتواند با این روتر ارتباط LDP برقرار کند از یک ACL استفاده می کنیم که اجازه برقراری ارتباط LDP را تنها به روترهای خاص می دهد.

MPLS چگونه کار می کند؟ - بخش هجدهم

در مثال های زیر تنظمیات مورد نیاز برای برقراری ارتباط هدف دار LDP بین روتر های نیویورک و سیدنی نمایش داده شده است.

MPLS چگونه کار می کند؟ - بخش هجدهم

MPLS چگونه کار می کند؟ - بخش هجدهم

در تصویر زیر خروجی دستور show mpls ldp neighbor برای ارتباط هدف دار LDP نمایش داده شده است.

MPLS چگونه کار می کند؟ - بخش هجدهم

LDP Authentication :


ارتباط LDP یک ارتباط TCP است. ارتباط TCP می تواند به وسیله Spoof (جعل) TCP segment مورد حمله قرار گیرد. برای حفاظت از LDP در برابر این حملات ، می توان از احراز هویت به وسیله (Message Digest 5 (MD5 استفاده کرد. MD5 یک Signature که به آن MD5 digest گفته می شود به TCP Segment اضافه می کند. MD5 digest برای هر TCP segment با استفاده از پسوردی که در هر دو سمت تعیین شده است محاسبه می شود. پسورد MD5 که تعیین می شود هیچ وقت ارسال نمی شود. این باعث می شود که هکر نتواند بهTCP sequence numbers و پسورد DM5 دسترسی پیدا کند. در IOS سیسکو ، با استفاده از دستور زیر می توانید MD5 را برای LDP تنظیم کنید. این تنظیمات باید در هر دو جفت LDP انجام شود.

mpls ldp neighbor [vrf vpn-name] ip-addr password [0-7] pswd-string

MD5 به هر TCP segment که خارج می شود یک digest اضافه می کند. این digest تنها توسط هر دو جفت LDP که پسورد برای آنها تنظیم شده است قابل بررسی است. اگر MD5 در یک LSR برای یک LDP تنظیم شده باشد و برای LSR دیگر اینکار انجام نشده باشد پیام زیر به صورت log نمایش داده می شود :

TCP-6-BADAUTH: No MD5 digest from 10.200.254.4(11092) to 10.200.254.3(646) 

اگر هر دو LDP پسورد برای MD5 داشته باشند اما پسوردها با هم مطابقت نداشته باشند پیام زیر به صورت log نمایش داده می شود :

TCP-6-BADAUTH: Invalid MD5 digest from 10.200.254.4(11093) to 10.200.254.3(646)

کنترل ارسال Labelsها توسط LDP :


LDP این اجازه را می دهد که بتوانید روی ارسال label ها کنترل داشته باشید. شما می توانید LDP را تنظیم کنید که بعضی از labelها را به بعضی از جفت های LDP خود ارسال کند یا ارسال نکند. سپس شما می توانید از label های local که اختصاص داده اید و آنها را برای جفت های LDP ارسال کرده اید به عنوان label خروجی برای آن LSR ها استفاده کنید. Syntax برای این دستور به صورت زیر است :

mpls ldp advertise-labels [vrf vpn-name] [interface interface|for prefix-access-list [to peer-access-list]]

prefix-access-list یک access list استاندارد با شماره 1 تا 99 یا یک access list با نام است که به وسیله آن مشخص می کنید label کدام شبکه باید ارسال شود. همچنین peer-access-list یک access list استاندارد با شماره 1 تا 99 یا یک access list با نام است که به وسیله آن مشخص می کنید کدام جفت LDP باید label ها را دریافت کند. اگر چهار بایت اول LDP router ID جفت LDP با access list مطابقت پیدا کند. در بسیاری از موارد استفاده از این دستور برای محدود کردن تعداد label های ارسالی است و تنها label های شبکه هایی که برای ارسال ترافیک در شبکه MPLS مورد استفاده قرار می گیرند را در این access list قرار می دهیم. به طور مثال شبکه MPLS VPN را در نظر بگیرد ، BGP nexthop prefixes به عنوان شبکه مهم برای گرفتن ترافیک مشتری و انتقال آن از شبکه MPLS است که معمولا اینترفیس loopback در روتر PE هستند. در این حالت شما می توانید label bindings را برای شبکه های متعلق به سایر اینترفیس ها در روترهای P یا PE را ارسال نکنید.

نکته : برای اعمال دستور mpls ldp advertise-labels لازم نیست همسایگی LDP را پاک کنید.

منتظر بخش های بعدی این سری مقالات باشید. موفق ، پیروز و itpro باشید.

نویسنده : جعفر قنبری شوهانی

منبع : جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

نظر شما
برای ارسال نظر باید وارد شوید.
1 نظر
افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند