BGP în soluții convergente rețeaua ISP [602356]
Universitatea “Politehnica” din București
Facultatea de Electronică, Telecomunicații și Tehnologia Informației
BGP în soluții convergente – rețeaua ISP
Lucrare de dis ertație
prezentată ca cerință parțială pentru obținerea titlului de
Master în domeniul Telecomunicații
programul de studii de masterat Managementul Serviciilor și Rețelelor
Conducător științific Absolvent: [anonimizat]. Roxana ZOICAN Ing. Elena -Adriana STAN
Anul 2017
Cuprins
Introducere ………………………….. ………………………….. ………………………….. ………………………….. ………… 15
1. Descrierea conceptelor de routing și switching ………………………….. ………………………….. ………….. 17
1.1 Switching ………………………….. ………………………….. ………………………….. ………………………….. ……. 17
1.1.1 VLAN ………………………….. ………………………….. ………………………….. ………………………….. ……. 17
1.1.2 Configurare VLAN ………………………….. ………………………….. ………………………….. ……………. 18
1.2 Routing ………………………….. ………………………….. ………………………….. ………………………….. ……….. 19
1.2.1 Protocoale de rutare ………………………….. ………………………….. ………………………….. ………….. 19
1.2.1.1 Rute direct conectate și rutare statice ………………………….. ………………………….. ………… 19
1.2.1.2 Rutare dinamică ………………………….. ………………………….. ………………………….. …………… 20
1.2.2 Metrica ………………………….. ………………………….. ………………………….. ………………………….. ….. 20
1.2.3 ACL – Access Control Lists ………………………….. ………………………….. ………………………….. …. 21
1.2.4 Route -map ………………………….. ………………………….. ………………………….. …………………………. 21
1.2.5 VRF – Virtual Routing and Forwarding ………………………….. ………………………….. …………… 22
2 ISP – Furnizorii de servicii de Internet ………………………….. ………………………….. ……………………… 23
2.1 Noțiuni introductive ………………………….. ………………………….. ………………………….. …………………. 23
2.2 ISP – prezentare generală ………………………….. ………………………….. ………………………….. ………… 23
2.3 Nivele de clasificare ………………………….. ………………………….. ………………………….. …………………. 24
2.4 Arhitectura ISP ………………………….. ………………………….. ………………………….. ……………………….. 24
2.5 Protocoale de rutare utilizate ………………………….. ………………………….. ………………………….. ……. 25
3. BGP – Border Gateway Protocol ………………………….. ………………………….. ………………………….. ….. 27
3.1 Introducere ………………………….. ………………………….. ………………………….. ………………………….. ….. 27
3.2 Internal BGP (iBGP) și External BGP (eBGP) ………………………….. ………………………….. ……… 28
3.3 Formatul mesajelor BGP ………………………….. ………………………….. ………………………….. ………….. 29
3.3.1 Mesajul de tip Open ………………………….. ………………………….. ………………………….. ……………. 29
3.3.2 Mesajul de tip Update ………………………….. ………………………….. ………………………….. ………… 30
3.3.3 Mesajul de tip Notification ………………………….. ………………………….. ………………………….. …. 32
3.3.4 Mesajul de tip Keep_Alive ………………………….. ………………………….. ………………………….. …… 33
3.4 Stările BGP -ului ………………………….. ………………………….. ………………………….. ………………………. 33
3.5 Atributele BGP ………………………….. ………………………….. ………………………….. ………………………… 34
3.6 Algoritmul de selecție a rutelor ………………………….. ………………………….. ………………………….. …. 36
3.6.1 Atributul pondere (Weight) ………………………….. ………………………….. ………………………….. … 37
3.6.2 Atributul Preferință locală ………………………….. ………………………….. ………………………….. ….. 38
3.6.4 Atributul Origin ………………………….. ………………………….. ………………………….. …………………. 39
3.6.7 Atributul comunitate (COMMUNITY) ………………………….. ………………………….. ……………. 41
3.7 Indicatorii de timp folosiți în BGP ………………………….. ………………………….. …………………………. 41
3.8 Sursele actualizărilor de rutare ………………………….. ………………………….. ………………………….. … 41
3.8.1 Injectarea de informații dinamic în BGP ………………………….. ………………………….. …………. 41
3.8.1.1 Injectarea de informație greșită sau nedorită ………………………….. …………………………. 42
3.8.1.2 Rute instabile ………………………….. ………………………….. ………………………….. ………………. 42
3.8.2 Injectarea de informații static în BGP ………………………….. ………………………….. …………….. 43
3.8.3 Originea rutelor ………………………….. ………………………….. ………………………….. …………………. 43
3.9 Protocoale multiple: Rute de rezervă ………………………….. ………………………….. …………………….. 43
3.10 Scalarea BGP ………………………….. ………………………….. ………………………….. …………………………. 44
4. Exemplu de configurare a protocolului de rutare BGP ………………………….. ………………………….. 47
5. Implementarea practică folosind mediul de simulare GNS3 ………………………….. ………………….. 51
5.1 Topologia de implementare ………………………….. ………………………….. ………………………….. ………. 51
5.2 Configurarea rețelei ………………………….. ………………………….. ………………………….. …………………. 52
5.2.1 Configurația ruterului de graniță din Cluj: CPE_CL ………………………….. …………………… 53
5.2.2 Configurația ruterului de graniță din Constanța: CPE_CT ………………………….. ………….. 55
5.2.3 Configurația ruterului de graniță de backup din București: CPE1_Buc …………………….. 56
5.2.4 Configurația ruterului de graniță de backup din București: CPE1_Buc …………………….. 58
5.2.5 Configurația ruterului Head Quarter: HQ ………………………….. ………………………….. ………. 60
5.2.6 Configurația ruterului care asigură accesul la internet: INTERNET_ACCESS …………. 64
5.2.7 Configurația ruterului de management și mentenanță: MNG ………………………….. ……….. 65
5.2.8 Configurația nucleului rețelei – CORE ………………………….. ………………………….. …………….. 65
5.2.8.1 Ruterul DR_CL ………………………….. ………………………….. ………………………….. …………… 66
5.2.8.2 Ruterul DR_CT ………………………….. ………………………….. ………………………….. …………… 66
5.2.8. 3 Ruterul DR_Buc ………………………….. ………………………….. ………………………….. ………….. 67
5.3 Moduri de funcționare ………………………….. ………………………….. ………………………….. ……………… 68
5.3.1 Modul normal de funcționare ………………………….. ………………………….. ………………………….. 68
5.3.1 Modul de funcționare prin backup ………………………….. ………………………….. ………………….. 69
Concluzii ………………………….. ………………………….. ………………………….. ………………………….. ……………. 71
Bibliografie ………………………….. ………………………….. ………………………….. ………………………….. ………… 73
ANEXĂ ………………………….. ………………………….. ………………………….. ………………………….. ……………… 75
Lista figurilor
Figura 1.1.1.1 VLAN
Figura 1.1.1.2 Conectarea VLAN -urilor[9]
Figura 2.1 Arhitectura ISP
Figura 2.2 Perspectivele protocoalelor de rutare IGP vs EGP[10]
Figura 3.2.1 eBGP și iBGP exemplu[11]
Figura 3.5.1 Clase de atribute
Figura 3.6.1 Algoritmul de selecție a rutelor[14]
Figura 3.6.1.1 Exemplificarea atributului weight[12]
Figura 3.6.1.2 Exemplificarea atributului local preference[16]
Figura 3.6.1.3 Exemplificarea atributului MED [17]
Figura 3.6.1.4 Exemplificarea atributului AS -PATH [18]
Figura 4.1 Topologia pentru exemplificarea configurării protocolului BGP
Figura 5.1.1 Topologia de bază
Figura 5.1.2 Topologia rețelei exemplificată
Figura 5.2.1 Mesajele de ridicare ale protocolului BGP
Figura 5.2.2 Rutele învățate prin BGP de ruterul CPE1_Buc în VRF internet
Figura 5.2.3 Tabela de rutare internet a ruterului CPE1_Buc
Figura 5.2.4 Rutele învățate prin BGP de ruterul CPE1_Buc în tabela globală
Figura 5.2.5 Tabela de rutare internet a ruterulu i CPE2_Buc
Figura 5.2.6 Tabela de rutare internet a ruterului CPE2_Buc
Figura 5.2.7 Rutele învățate prin BGP de ruterul CPE1_Buc în tabela globală
Figura 5.2.8 Vecinii învățați prin BGP de ruterul CPE_HQ
Figura 5.2.9 Tabela de rutare a CPE_HQ
Figura 5 .2.10 Rutele învățate prin BGP de ruterul INTERNET_ACCESS
Figura 5.2.11 Username și parolă pentru Telnet
Figura 5.2.12 Telnet din ruterul MNG
Figura 5.2.13 Route -map-ul localpref150 de pe ruterul DR_CT
Figura 5.2.14 Route -map-ul setMED de pe ruterul DR_CT
Figura 5.2.15a Traceroute rută principală din locația CT
Figura 5.2.15b Traceroute rută principală din locația CL
Figura 5.2.16a Traceroute backup din locația CT
Figura 5.2.16b Traceroute backup din locația CL
Figura 5.2.17a Traceroute locații VPN CT – CL
Figura 5.2.17b Traceroute locații VPN CL – CT
Figura 5.2.18 Traceroute backup Internet
Lista tabelelor
Tabelul 1.2.1.1 Compararație între rutarea statică si rutarea dimanică
Tabelul 3.3.1 Antetul mesajului BGP
Tabelul 3.3.1.1 Formatul mesajului Open
Tabelul 3.3.2.1 Formatul mesajului Update
Tabelul 3.3.3.1 Formatul mesajului Notification
Tabelul 3.5.1 Atributele protocolului BGP
Tabelul 3.5.2 Procesul de decizie din BGP
Tabel 3.9.1 Valorile implicite ale distanței administrative în funcție de protocol
Tabel 5.2.1 Alocarea adreselor IP
Lista acronimelor
ACL Acces List AS -Autonomous System
BGP Border Gateway Protocol
CMTS Cable Modem Termination System
DHCP Dynamic Host Configuration Protocol
DR Designated Router
DSL Digital Subscriber Line
DSLAM Digital Subscriber Line access multiplexer
EIGRP Enhanced Interior Gateway Routing Protocol
EGP Exterior Gateway Protocol
FTP File Transfer Protocol
HSRP Hot Standby Router Protocol
IEEE Institute of Electrical and Electronics Engineers
IANA Internet Assigned Numbers Authority
ICMP Internet Control Message Protocol
IGP Interior Gateway Protocol
IP Internet Protocol
IPv4 Internet Protocol version 4
IS-IS Intermediate System to Intermediate System
ISP Internet Service Provider
LAN Local Area Network –
MAC Media Acces Control
MED Multi Exit Discriminator
NAP Network Acces Point
NAT Network Address Translation
OSPF Open Shortest Path First
PAT Port Address Translation
PE Provider Edge
RD Route Distinguisher
RIP Routing Information Protocol
RT Route Target
TCP Transmission Control Protocol
UDP User Datagram Protocol
VLAN Vitrual Local Area Network
VRF Virtual Routing and Forwarding
VPN Virtual Private Network
15
Introducere
În această lucrare am supus unei analize capabilitățile protocolului de rutare BGP – Border
Gateway Protocol. Acesta este singurul protocol exterior de rut are folosit în Internet, utilizat pentru
abilitățile sale precum controlul avansat al po liticilor de rutare și scalabilitate extrem de bună. Controlul
avansat al politicilor de rutare este datorat în primul rând metricii complexe folosite, bazată pe un număr
mare de atribute. Aceste atribute pot fi manipulate într -un număr infinit de moduri d atorită hărților de
rute și a altor mecanisme utilizate.
În prima parte a lucrării, a m prezentat pe scurt câteva noțiuni teoretice, precum ce este un
furnizor de servicii de internet, cunoștințe generale de rutare și switching , o descriere a caracteristici lor
protocolul ui BGP și mediul vast în care se folosește aceasta .
Ultima parte a lucrării o reprezintă implementarea practică , care este realizată folosind
programul GN S3, un soft care simulează rețele reale și complexe . Partea practică a constat în
realizareaaa unei rețele care va conține un nucleu de rutere, exemplificarea de locații în țară, una fiind a
sediului central ( Head Quarter), celelalte fiind ale clienților, care se vor conecta la nucleu, realizând
astfel ISP, crearea unei redundanțe pentru l egatura dintre sediul central și nucleu, exemplu de acces la
Internet a locațiilor, precum și o modalitate de asigurare a mentenanței întregii rețele.
Protocolul BGP este important pentru furnizorii de servicii de internet. Acesta este responsabil
cu transportarea informațiilo r legate de rutarea traficului î ntre domeniile BGP. Este un protocol care
oferă libertate în configurarea traseului optim având diverse atribute prin care poate fi influențat o rută
în favoarea alteia. Totodată acest protocol are timpi de convergența care pot fi modificați, astfel rețeaua
poate fi modificată încât timpul în care serviciile oferite să fie nefuncționale să fie cât mai mic.
Motivul principal pentru care am ales această temă a fost din dorința de a dobândii cât mai mu lte
cunoștințe despre rețelistică, deoarece o mare parte din tehnologia telecomunicațiilor se bazează pe
rețelistică , pe protocolul IP și pe protocoale de rutare.
16
17
1. Descrierea conceptelor de routing și switching
1.1 Switching
Switchurile sunt folosite pentru a diviza domeniul de coliziunii în domenii de coliziuni mai mici.
Un domeniu de coliziuni este un segment de rețea cu două sau mai multe dispozitive care împart aceeași
largime de bandă. Acest lucrul înseamn ă că dacă un dispozitiv tramsite un mesaj de broadcast , mesajul
este recepționat de fiecare dispozitiv din LAN -ul respectiv. Fiecare port al unui switch este un domeniu
de coliziune.
Când un switch este pornit pentru prima oară , memoria lui este goală. C ând un dispozitiv
,conectat într -unul din porturile switchului, transmite un pachet , respectivul pachet conține adresa MAC
(Media Access Control) a dispozitivului conectat, și switchul corelează adresa MAC cu portul în care
este dispozitivul conectat, se s crie în memorie, realizându -se astfel o corespondență intre dispozitiv ș i
portul în care este conectat. Urmează ca switchul să trimită pachetul în toate porturile , în afară de portul
de pe care a venit, deoarece switchul nu știe unde se află destinatarul. Dacă un dispozitiv răspun de, și
trimite un pachet înapoi , switchul va rea liza legătura între adresa MAC ș i portul în care este conectat
dispozitivul care răspunde.
1.1.1 VLAN
VLAN (Vitrual Local Area Network) asigură o împarțire logică a unui LAN în mai multe
domenii de bro adcast. Este o împărțire logică , nu una fizică , deoarece pe un switch pot exista mai multe
VLAN -uri , fiecare VLAN având anumite porturi.
VLAN -urile sunt folosite deoarece reduc traficul format din mesaje de broadcast. De exemplu,
într-un domeniu de broadcast format din 20 de dispozitive, dacă traficul de broadcast este necesar doar
pentru 10 din dispozitive atunci plasând acele 10 dispozitive într -un VLAN reduce traficul total.
Figura 1 .1.1.1 VLAN
18
VLAN -urile sunt identificate pr in numere de la 1 l a 4094, iar VLAN -urile 0, 4095 ș i cele de la
1002 la 1005 sunt rezervate. Fiecare VLAN este o subrețea diferită.
Într-un VLAN , dispozitivele pot fi conecta te in 3 moduri:
1. Modul trunk
Toate pachetele dintr -un link trunk trebuie sa aibă atașate un un câmp de identificare a VLAN –
ului. Aceste câmpuri se numesc trunk.
2. Modul acces
Toate pachetele dintr -un link acces sunt implicit marcate.
3. Modul hibrid
Este o combinație a celor două moduri.
Figura 1 .1.1.2 Conectarea VLAN -urilor [9]
Exemplificarea porturilor având ca exemplu figura 1.1.1.2 :
Primul calculator din partea stângă trimite un pachet primului dispozitiv din partea dreaptă .
Aceste dispozitive se află în același VLAN 10. Când calculatorul din stânga trimite un pachet , acesta nu
are asignat un VLAN. Ac est lucru îl realizează switch -ul la care este conectat , care asociază mesajul ca
făcând parte din VLAN 10. Înainte ca switchul din stânga să trimită mesajul către celalalt switch , acesta
trebuie să -l înștiinteze pe celălalt , din ce VLAN face parte p achetul. Astfel, cand switchul din stânga
trimi te mesajul printr -un port trunk , va adăuga la mesaj un câmp de identificare a VLAN -ului. Astf el ,
swtich -ul din dreapta trimite mesajul că tre VLAN 10.
1.1.2 Configurare VLAN
Pentru a co nfigura un VLAN pe un switch se rulează urmatoarele linii de comandă:
1. Switch# configure terminal
2. Switch(config)# vlan 10
3. Switch(config -vlan)# name test10
19
Explicarea comenzilor rulate:
1. Modul de configurare globală ;
2. Introducerea unui VLAN, pentru crearea lui, sau introducerea unui VLAN existent pentru
modificarea lui
3. Optional se poate introduce un nume pentru VLAN -ul creat.
Pentru configurarea unei interfețe a unui switch în modul acces:
1. Switch# configure terminal – Enter configuration commands, one per line. End with
CNTL/Z.
2. Switch(config)# interface fastethernet0/0
3. Switch(config -if)# switchport mode access(trunk)
4. Switch(config -if)# switchport access vlan 20
Explicarea comenzilor rulate:
1. Modul de configurare globală
2. Accesarea interfeței dorite pentru a o edita
3. Stabilirea modului de conectarea
4. Asignarea interfeței, a VLAN -ului dorit
1.2 Routing
Rutarea este procesul transmiterii pachetelor IP prin rețeaua INTERNET de la dispozitivul care a
format pachetul IP către dispozitivul care trebuie sa primească acest pachet . Acest proces se bazează pe
logica de structurar e layer din rețea , pe rutere, pe switchuri și pe gazde. Dispozitivul care trimite
pachetul se bazeză pe conceptul de Layer 3 pentru crearea pachetului IP.
1.2.1 P rotocoale de rutare
1.2.1.1 Rute direct conectate și rutare statice
Rețele direct conectate la interfața unui ruter sunt adăugate în tabela de rutare a ruterului.
Interfeța are o adresa IP configurată și ambele capete ale linkului trebuie să fie în starea ”up”. Un ruter
poate sa ruteze toate pachetele destinate acelei rețele direct conectate.
Rutarea statică poat fi configurată pe un ruter , acesta urmând sa învețe calea catre o rețea , fără
ca ruterul să fie direct conectat la aceasta rețea. Rutele statice sunt adaugate manual setând rețeaua
destinației , masca rețelei, si următorul pas. Următorul pas este adresa IP a vecinului conectat la ruterul
pe care se configurează ruta statică.
20
1.2.1.2 Rutare dinamică
Un ruter poate învăța rute dinamice doar dacă un protocol este activat. Un protocol de rutare
dinamic este folosit pentru a schimba rute cu alte rutere. Spre deosebire de rutarea statică, pentru rutarea
dinamică nu este necesară configurarea manuală a altor rute. Trebuie aleasă doar rețeaua direct
conectată pe ca re un utilizator dorește ca alte rețele să o învețe, urmând ca protocolul de rutare să se
ocupe de restul procedurii de înștiințare.
Protocoalele de rutare dinamică sunt:
a) RIP (Routing Information Protocol)
b) EIGRP (Enhanced Interior Gateway Routing Protocol)
c) OSPF (Open Shortest Path First)
d) IS-IS(Intermediate System to Intermediate System)
e) BGP (Border Gateway Protocol)
Rutarea statică Rutarea dimanică
Avantaje Dezavantaje Avantaje Dezavantaje
Ușor de implementat
în rețele mici Folosit în topologii
simple Potrivit în toate tipurile
de topologii Poate fi foarte
complex și greu de
implementat
Securizat, nu sunt
trimise mesaje de
anunțare Complexitatea
configurării crește pe
măsură ce rețeaua
crește Independent de
dimensiunea rețelei Mai puțin securizat
din cauza mesajelor
de update trimise în
rețea
Predictibil, traseul de
la sursă la destinație
este mereu același Dacă se întâmplă ca o
conexiune să pice,
traficul nu este rerutat
și astfel comunicația
este întreruptă. Rerutează automat
traficul în cazul în care
o conexiune este
întreruptă fizic Traseele depind de
topologia rețelei
Tabelul 1.2.1.1 Compararație între rutarea statică si rutarea dimanică
1.2.2 Metrica
Metrica are ca scop determinarea unei rute mai bune atunci când un ruter are de ales între două
sau mai multe căi prin care un pachet ajunge de la sursă la destinație.Fiecare protocol de rutare
folosește propri metrică.
Parametrii care pot fi utilizați în metrică sunt:
➢ Număru l de rutere : se ține cont de numărul de rutere prin care un pachet trebuie să treacă
de la sursă la destinație.
➢ Lărgimea de bandă : se ține cont de dimensiunea linkului prin care pachetul trece.
➢ Întârzierea : se ține cont de timpul necesar ca un pachet să traverseze linkul
➢ Încărcarea : se ține cont de utilizarea traficului pentru un link
➢ Fiabilitatea : se ține cont de probabilitatea unui link de a se defecta
➢ Costul : se ține cont de preferința administratorului de rețea.
21
Fiecare protocol de rutare are propria lui metrică.
➢ RIP : ține cont de numărul de hopuri. Este aleasă calea cu numărul cel mai mic de hopuri.
➢ EIGRP : ține cont de lățimea de bandă , întârzierea, încărcarea și fiabilitate.
➢ OSPF și IS -IS : ține cont de cost. Este aleasă ruta având costul cel mai mic.
1.2.3 ACL – Access Control Lists
ACL(Acces Control Lists) sunt folosite pentru a filtra traficul de intrare sau de ieșire dintr -un
ruter. Este compus dintr -un set de comenzi, grupate într -un număr sau nume. ACL este creat în modul
global de configurare. Dupa creare este activat pe o interfață, acesta necesitând o specificare a tipului de
filtrare: de intrare (traficul ce vine pe o interfață de la o sursă externă) sau de ieșire( traficul ce urmează
să părăseasca ruterul ).
ACL pot fi : standard sau extinse. ACL standard sunt cuprinse între 1 -99, 1300 -1999 iar cele
extinse între 100 -199, 2000 -2699. ACL standard pot filtra pachetele doar după adresa IP sursă a
pachetului, în timp ce ACL extinse pot filtra pachetele dupa adresa IP sursă, informații despre protocol,
a adresei sursă sau destinație (TCP sau UDP) sau în funcție de numărul portului.
Restricțiile ACL -ului sunt parcurse de sus în jos. Un pa chet este comparat cu prima restricție a
ACL -ului și daca este găsită o potrivire va fi executată una din cele două acțiuni incluse in restricție :
acțiune de permitere sau respingere. Dacă nu este găsita nici o potrivire , se va parcurge toată lista de
restricții până cand este găsită o potrivire, iar dacă nu este găsită o potrivire până la finalul listei,
pachetul este respins.
În parcurgerea listei de restricții a ACL -ului exista următoarele regului:
➢ Când este găsită o potrivire, parcurgerea listei se oprește
➢ Ordinea restricțiilor este importantă, deoarece după prima potrivire restul listei nu mai
contează
➢ Dacă nu este găsită nici o potrivire, pachetul este respins automat.
Exemple de ACL :
access-list 1 deny host 192.168.0 .1 – acest IP este respins, restul IP -urilor fiind permise access –
list 1 permit any
access -list 10 permit ip 192.168.100 .0 0.0.0.255 192.168.200.0 0.0.0.255 – toate pachetele
având sursă IP 192.168.1 00.0/24 și destinația 192.168.200.0/24 sunt permise, restul fiind respinse
1.2.4 Route -map
Route -map sunt folosite atunci când se redistribuie rute pentru protocoalele de rutare OSPF ,
RIP sau EIGRP. Există multe asemănări cu ACL -urile:
22
➢ Includ liste ordonate de condițiii, fiecare având o concluzie finala, permitere sau re spingere.
Lista se oprește din parcurs atunci când se îndeplinește prima restricție impusă.
➢ Modul în care sunt îndeplinite restricțiile ține cont de felul în care sunt aplicate pe interfețe.
Există și alte diferențe î ntre route -map și ACL:
➢ Route -map folosește ca și criteriu pentru restricții ACL -urile.
➢ ACL au ca rezultat permiterea sau respingerea traficului, iar dacă este aplicat ca o restricție a
unei redistribuiri, ACL determină dacă o rută e ste, sau nu este redistribuită.
➢ Route -map nu d oar permite redistribuirea traficului, dar și modifică informații legate de ruta
redistribuită.
➢ ACL este creat pentru a avea ca ultimă restricție o respingere, în timp ce route -map nu
include această restricție.
Comanda pentru a crea un route -map:
route -map nume (permit | deny)
match metric 100 – condiția acestui route -map este ca metrica unei căi sa fie de 100
set metric 300 – dacă se respectă condiția de mai sus => se schimbă metrica căi cu noua valoare
de 250
1.2.5 VRF – Virtual Routing and Forwarding
VRF este o tehnologie care permite divizarea virtuală a tabelei de rutare a unui ruter în mai
multe instanțe separate. Tabelele de rutare fiind diferite, se pot folosi aceleași adrese IP fară a exista un
confli ct între acestea. Traficul fiind separat , crește securitatea și po t fi eliminate autentificările ș i
codările. ISP profită de VRF -uri pentru a crea VPN -uri (Virtual Private Network) separate pentru
utilizatori.
VRF se comportă ca un ruter logic dar , în timp ce u n ruter include mai multe tabele de rutare,
VRF folosește o singură tabelă de rutare.
Într-o implementare obișnui tă, ruterul final al clientului , CE(Customer Edge) direcționează
traficul către ruterul de la ma rginea rețelei al furnizorului, PE (Provider E dge), acolo unde tabelele de
rutare sunt virtualizate. Ruterul PE, încapsulează traficul, îl asociază unui anu mit tabel de rutare virtual
VRF , și trasmite traficul către nucleu rețelei furnizorul ui. Ruterul PE de la destinație , decapsulează
traficul și îl trimite către ruterul de la destinația clientului CE.
Exemplu de configurație :
ip vrf internet
rd 100:500
interface FastEthernet1/0.100
encapsulation dot1Q 100
ip vrf forwarding internet
ip address 62.100.100.1 255.255.255.252
23
2 ISP – Furnizor ii de servicii de Internet
2.1 Noțiuni introductive
Creșterea rapida a rețelei de Internet si apariția furnizorilor de servicii de Internet a fost posibilă
datorită progreselor științifice care au avut loc in secolul trecut. Un factor important a fost introducerea
calculatorului person al la începutul anilor 1980 , o dezvoltarea care a fost posibilă datorită dezvoltărilor
tehnologice în domeniul circuitelor integrate și o scădere rapidă a prețurilor pentru calculatoare. Un alt
factor important a fost apar iția Ethernet -ului fiind standardizat de către IEEE(Institute of Electrical and
Electronics Engineers) în seria de standarde IEEE 802.3, care se definește ca fiind un standard pentru
cablare și semnalizare electrică aparținând primelor două nivele din stiv a OSI( Open Systems
Interconnection ) și ca urmare apariția LAN -urilor ( Local Area Network ).
La început ,Internetul era folosit strict pentru știință ,educație și în scopuri militare. În 1991
,regulamentul s -a schimbat pentru a permitet întreprinderilor și consumatorilor conectarea la Internet.
The World este primul furnizor de internet apărut in anul 1989 în Australia, urmând ca apoi în
anul 1990 să apară peste 10.000 de ISP în toată lumea, jumătate din acestea aflându -se în Statele Unite
ale Americii.
2.2 ISP – prezentare generală
Furnizori de servicii de Internet ( ISP), sunt întreprinderi si organizații care oferă utilizatorilor
acces la Internet.Acești furnizori conectază clienții la clienții altor furnizori de servicii prin intermediul
rețele lor. Fur nizorii de servicii de I nternet sunt companii care oferă servicii de telecomunicații, inclusiv
acces de comunicații de date si legătura telefonică.ISP oferă o punte de legătură între dispozitive care
sunt abonate la un ISP și toate celelalte dispozitive di n lume, toate fiind o parte a Internetului.
Un abonat al ISP -ului poate fi o întreprindere, un client individual, o instituție publică, sau chiar
un alt ISP. Computere individuale și toate celelalte rețele se conectează la ISP la un punct de graniță
(PE- Provider Edge ).Clienții se pot conecta la ISP în mai multe moduri.
Cele mai importante moduri de conectare sunt: dialup, DSL( Digital Subscriber Line), cablu,sau
conexiune prin satelit. O difertență importantă între aceste moduri de conectare constă in vite za pe care
o pot asigura, dialup având viteza cea mai mică, de aproximativ 56kbps, DSL si cablu având viteze de
pâna la 512kbps.
PE sunt localizate la marginea rețelei ISP -ului și deservește o anumită zonă geografică. Ele
asigură un punct de conectare si înregistrare pentru multiplii utilizatori. Un ISP poate avea mai multe Pe
in funcție de aria geografică pe care o deservește. În cadrul rețelei ISP, ruterele de mare viteză și switch –
urile transportă datele între diferitele PE. Link -uri multiple interconec tază PE pentru a oferi rute
alternative în cazul în care unul din link -urile devine supraîncărcat cu trafic sau cade.
24
2.3 Nivele de clasificare
Internetul are o structură ierarhică. În varful acestei ierarhii sunt organizațiile ISP. Pentru a
schimba date între ele ISP -urile se interconectează prin internediul NAP( Network Acces Point ).
Conectarea marilor metropole ale lumii se realizează în punctele NAP prin intermediul unei rețele
principale care în engleză poartă numele de backbone.
În funcție de mod ul în care un ISP este conectat la acest backbone al Internetului se poate realiza
o clasificare a lor :
1. ISP de nivelul 1 care se află in vârful ierarhiei. Aceștia formează backbone -ul Internetului.
2. ISP de nivelul 2 pentru a furniza abonaților acces la In ternet aceștia plătesc ISP de nivel 1
pentru a purta traficul prin echipamentele lor.
3. ISP de nivelul 3 la rândul lor plătesc ISP de nivel 2 pentru a purta traficul prin echipamentele
lor.
2.4 Arhitect ura ISP
ISP trebuie să asigure o conexiune sigură la Internet, aceasta necesitând o conexiune cu alți
furnizori de internet. ISP trebuie să fie capabil să gestioneze volume mari de trafic.
Legătura intre ISP -uri se mai numește și interconectare. Există multe tipuri de interconectare și
multe moduri de interconectare. Acest amestec intre tipul și modul de interconectare influențează
puternic cantitatea de trafic pe care un furnizor de servicii o poate purta ,dar și costul este influențat.
Furnizorul de servicii, ISP , în mod constat trebuie să iși manage rize propria rețea. Acesta
trebuie să utilizeze metode de ingineria traficului pentru a evita blocarea rețelei,un lucru de nedorit
atunci când abonații platesc pentru serviciile oferite.
Figura 2 .1 Arhitectura ISP
25
Câteva din echipamentele necesare pentru a oferii servicii cilenților așa cum se observă în figura
2.1 sunt :
➢ Echipamente de acces, care permit clienților să se conecteze la rețea , cum ar fi
DSLAM( Digital Subscriber Line access multiplexer ) pentru conexiunea DSL,
CMTS( Cable Modem Termination System ) pentru conexiune prin cablu;
➢ Rutere de graniță pentru a permite ISP să se conecteze și să transfere date cu alți ISP;
➢ Servere pentru aplicații ca e -mail, transferul de date( FTP – File Transfer Protocol ),
DHCP(Dynamic H ost Configuration Protocol) pentru a asocia o adresă IP unui client,
DNS( Domain Name System ) pentru a realiza asocierea între numele unei adrese web și
adresa IP( Internet Protocol );
În plus frunizorul de servicii trebuie să asigure funcționarea neîntreru ptă a echipamentelor și din
punct de vedere energetic și să elimine cantitățile mari de căldură pe care echipamentele le generează.
2.5 Protocoale de rutare utilizate
În Internet traseul unui pachet este ales dintr -un ruter în alt ruter. Politica de rut are influențează
traseul urmat de pachet. Atunci când un ruter alege un traseu , acesta trebuie să evite liniile
nefuncționale. Atunci când există mai multe căi de transfer disponibile, funcționale politica de rutare v -a
determina calea de transfer a datel or spre destinație.
Deoarece un furnizor de servicii este întotdeauna conectat cu alți furnizori de servicii , aceștia
trebuie să schimbe între ei informații cu privire la adresele IP pentru a se putea realiza transferul datelor
între emițător și receptor. Protocolul folosit la granița AS( Autonomous Systems ) este BGP( Border
Gateway Protocol ). Ruterele de la granița AS -ului, folosesc BGP exterior ( eBGP ) pentru a schimba
rute. Rutele învațate din exterior sunt distribuite în interiorul AS -ului folosind BGP in terior ( iBGP ).
AS(Autonomous Systems ) reprezintă una sau mai multe rețele, acestea la rândul lor fiind formate
din subrețele, toate acestea fiind sub autoritatea aceleiași entități. Chiar dacă un furnizor de servicii
poate folosii mai multe numere AS ,furnizorul este văzut in Internet cu un singur numar AS alocat de
IANA( Internet Assigned Numbers Authority ). Până in 2007,numerele AS erau definite pe 16 biți ,prin
care se puteau aloca 65536 de numere AS. Din anul 2007 , numerele AS au fost definite pe 3 2 biți.
Există numere AS private între 64,512 – 65,534 dintre cele definite pe 16 biți și între 4,200,000,000 –
4,294,967,294 dintre cele definite pe 32 de biți acestea putând fi utilizate doar în interiorul rețelei , făra
să fie anunțate în Internet. Prim ul și ultimul numar AS dintre cele definite pe 16 biți ,0 și 65535, și
ultimul numar AS dintre cele definite pe 32 biți ,4,294,967,295, sunt rezervate și nu pot fi folosite de
către operatori.
Ideea din spatele AS este aceea că rețeaua nu vede detaliile al tei rețele , BGP -ul grupând toate
elementele unei rețele sub un AS, asa cum se observă în figura următoare:
26
Figura 2.2 Perspectivele protocoalelor de rutare IGP vs EGP [10]
BGP,în primul rând, este un protocol de rutare prin incrementare, care după o schimbarea
completă a tabelei de rutare între vecini, nu v -a mai schimba toată tabela de rutare ci doar modificări
apărute in tabela de rutare. În al doilea rand , BGP este un protocol vector -cale ( path vector ) ,în care
anunțurile conțin o listă de numere AS folosite pentru a ajunge la destinație.În al treilea rând, mesajele
de actualizare ale BGP -ului conțin o lista de atribute, care descriu caracteristici diferite pentru fiecare
rută anunțată.
Alte protocoale de rutare folosite de un furnizor de servicii pot fi:
➢ RIP( Routing Information Protocol),
➢ OSPF( Open Shortest Path First ),
➢ IS-IS(Intermediate System to Intermediate System ),
➢ EIGRP( Enhanced Interior Gateway Routing Protocol ).
27
3. BGP – Border Gateway Protocol
3.1 Introducere
BGP este un protocol de rutare robust și scalabil, demonstrat de faptul că este protocolul de
rutare folosit în Internet. Furnizorii de servicii de Internet și rețelele de clienți, ca universități și
corporații, folosesc în mod uzual un IGP ( Interior Gateway Protocol) ca RIP Routing Information
Protocol), OSPF( Open Shortest Path First ), sau EIGRP( Enhanced Interior Gateway Routing
Protocol ) pentru schimbul de informații de rutare înă untrul rețelelor lor. Orice comunicație între
aceste IGP și Internet sau între furnizorii de servicii va fi realizată prin intermediul BGP.
Border Gateway Protocol (BGP) înștiințează, învață, și alege cele mai bune căi din interiorul
internetului la nivel mondial. Când doi ISP se conectează, ei folosesc de obicei BGP pentru a face
schimb de informații de rutare. Împreună, furnizorii de servicii de Internet din lume schimbă tabela de
rutare de Internet folosind BGP. Și companiile folosesc uneori BGP pentru a face schimb de informații
de rutare cu unul sau mai multe ISP -uri, permițând ruterelor companiilor de a afla rute spre Internet.
Routere care rulează protocolul de rutare BGP sunt denumite speakers. O pereche de routere
configurate cu protocolul BGP care schimbă informații de rutare între ele sunt numite vecinii BGP.
Deoarece există mai multe căi pentru o anumită destinație, ruterele BGP folosesc o tabelă de rutare
pentru a stoca toate informațiile cunoscut din topologie despre rețea. Bazat pe tabela de rutare , fiecare
ruter BGP selectează cea mai bună cale pentru fiecare dest inație din rețea. Informațiile sunt stocate într –
o tabelă de expediere împreună cu interfața de ieșire pentru a selecta cel mai bun traseu.
O diferență esențiala atunci când se compară BGP cu protocoalele obișnuite de rutare este
algoritmul de alegere a ce lei mai bune căi . BGP folosește un algoritm pentru a alege cea mai bună cale,
utilizând reguli care se extind dincolo de alegerea doar a traseului cu cea mai mică metrică. Acest
algoritm mai complex de a alege cel mai bun traseu oferă BGP -ului puterea de a permite inginerilor
configurarea mai multe setări diferite, care influențează cel mai bine selecție căii, permițând o mare
flexibilitate în modul în care ruterele aleg cele mai bune rute.
BGP , în special BGP Versiunea 4, este un protocol de rutare foart e des folosit în zilele noastre,
fiind creat ca un protocol de rutare pentru exterior ( Exterior Gateway Protocol (EGP) ), nu ca un
protocol de rutare pentru interior ( Interior Gateway Protocol (IGP) ). Ca urmare, câte unele scopuri ale
BGP difere de cele ale unui IGP cum ar fi OSPF sau EIGRP, dar unele din scopuri răman aceleași.
În primul rând , dacă privim asemănarile între aceste protocoale de rutare , putem observa că
BGP , la fel ca și OSFP sau EIGRP trebuie să anunțe prefixe IP. BGP trebuie să anunțe si alte informații
pentru ca ruterele să aleagă calea cea mai bună de a trimite pachetele. Ca și mecanism al protocolului,
BGP -ul stabilește o legătura cu vecinii, înainte de a schimba informații despre topologie cu ruterele
vecine.
În ceea ce privește difer ențele BGP nu necesită ca vecinii să faca parte din aceeși subrețea. În
schimb, ruterele BGP utilizeză o conexiune TCP (port 179) între rutere pentru a transmite mesajele
BGP, permițând ruterelor învecinate să fie în aceeași subrețea, sau să fie separate d e mai multe rutere. O
altă diferență constă în modul în care protocoalele de rutare aleg cel mai bun traseu. În loc de a alege cel
mai bun traseu doar prin utilizarea unui număr întreg ,metrica, BGP -ul folosește un proces mult mai
complex, folosind o varie tate de informații, numite atribute, care sunt schimbate în actualizările de
28
rutare ale BGP -ului la fel cum sunt schimbate informațiile metrice ale protocoalelor IGP.
Când este necesar BGP?
Deseori rețelele mari sunt împărțite în mai multe domenii de rutare, fiecare rulând propriul
săuprotocol de rutare. O greșeală frecventă este aceea de a considera că întotdeauna în astfel de
cazurieste necesară rularea BGP între domeniile respective. De multe ori însă, o astfel de decizie nu
facealtceva decât să complice administrarea rețelei.
Din punct de vedere al interconectării lor, sistemele autonome se împart în două categorii:
➢ single -homed AS(au o singură conexiune către un alt sistem autonom). În această categorieintră
majoritatea rețelelor mici (și multe d intre rețelele medii de tip enterprise);
➢ multi -homed AS două sau mai multe conexiuni către alte sisteme autonome) – rețelele de tip ISP,
sau rețele de enterprise cu conexiuni multiple la Internet.
În cazul sistemelor autonome single -homed , BGP nu oferă niciun fel de beneficiu. Cea mai bună
soluție în acest caz este folosirea unei rute implicite (default ), generată local sau injectată de către ISP.
Complexitatea BGP devine utilă doar în cazul unui AS multi -homed, când prin manipularea atributelor
BGP de vine posibilă selectarea căilor de intrare/ieșire din AS pentru pachetele de date. [13]
3.2 Internal BGP (i BGP ) și External BGP (eBGP)
BGP definește două tipuride vecini : BGP intern (iBGP) și BGP extern (eBGP). Acești termeni
folosesc perspectiva unui singur ruter. Dacă vecinul BGP se află sub același număr AS vorbim despre
iBGP, iar dacă se afla sub numere AS diferite vorbim despre eBGP.
Un ruter se comportă diferit față de vecinul său BGP, dacă acesta e ste un vecin iBGP sau un
vecin eBGP. Câteva diferențe ar fi : reguli diferite în alegerea celei mai bune căi BGP, reguli diferite
privind modul în care ruterele își actualizeză calea de atribute a BGP -ului.
Un ruter actualizează calea AS a BGP -ului când ac easta provine de la un vecin eBGP , dar nu
actualizeză calea AS a BGP -ului când aceasta provine de la un vecin iBGP.
Figura 3.2.1 eBGP și iBGP exemplu [11]
29
3.3 Formatul mesajelor BGP
Când vecinii BGP stabili o sesiune TCP, ei încep schimbul de informa ții BGP sub formă de
mesaje. Fiecare mesaj începe cu un antet, așa cum se arată în tabelul urmator:
Marker Lungime Tip
16 octeți 2 octeți 1 octet
Tabelul 3.3.1 Antetul mesajului BGP
➢ câmpul marker este utilizat pentru sincronizare și autentificare;
➢ câmpul lungime indică lungimea totală a mesajului în octeți;
➢ câmpul tip specifică tipul mesajului : Open , Update, Notification, Keep -alive;
3.3.1 Mesajul de tip Open
Ambele părți trimit un mesaj de tip Open imediat după ce sesiunea TCP a fost stabilită.
Mesajul de tip Open transmite informații importante privind configurarea și abilitățile BGP -ului.
Formatul mesajului Open este prezentat în tabelul următor :
Versiune AS Timpul de
așteptare Identificator Dimensiunea
parametrilor Parametrii
opționali
1 octet 2 octeți 2 octeți 4 octeți 1 octet 0-255 octeți
Tabelul 3.3.1.1 Formatul mesajului Open
➢ Versiune oferă numărul versiunii BGP -ului astfel încât destinatarul poate stabili dacă execută
aceeași versiune ca emițatorul.
➢ AS oferă numărul AS al emițatorulului.
➢ Timpul de așteptare indică numărul maxim de secunde care poate trece fără primirea unui
mesaj înainte ca emițatorul sa fie presupus a fi nefuncțional.
➢ Identificator oferă identificatorul BGP al expeditorului (adresa IP).
➢ Dimensiunea parametrilor indică lungimea câmpului parametrilor opționali (dacă sunt
prezenti).
➢ Parametrii opționali conține o listă de parametri opționali (dacă este cazul). Doar un singur
parametru opțional este definit în prezent: informații de autentifi care.
Informatiile de autentificare sunt formate din următoarele două câmpuri:
➢ Cod de autentificare: indică tipul de autentificare utilizat.
➢ Date de autentificare: conține datele folosite de mecanismul de autentificare.
30
3.3.2 Mesajul de tip Update
Mesajele de tip Update șterg sau adaugă rute noi. Ambele sunt opționale, astfel încât un mesaj
update poate șterge rute vechi, poate lista rute noi, sau poate face ambele acțiuni. Următorul tabel
arată formatul mesajului:
Lungime
nefezabilă a
traseelor Trasee șterse Lungimea
atributelor
rutelor Atributele
rutelor Informații de
accesibilitate
a rețelei
2 octeți variabil 2 octeți variabil variabil
Tabelul 3.3.2.1 Formatul mesajului Update
➢ Lungime nefezabilă a traseelor specifică lungimea totală a rutelor retrase; zero înseamnă că
acest câmp este absent.
➢ Trasee șterse conține o lista de prefixe IP a rutelor șterse.
➢ Lungimea atributelor rutelor indică lungimea totală a atributelor rutelor.
➢ Atributele rutelor descrie caracteristicile căii anunțate, având următorul format: 1 octet care
conține indicatorul atribului și 1 octet care conține tipul atribului.
Indicatorii atribului sunt următorii:
➢ Bit opțional (bitul 0,cel mai semnificativ bit) :
0 : Atributul este bine cunoscut (toate ruterele BGP trebuie să îl recunoască)
1 : Atributul este optional
➢ Bit tranzitiv (bitul 1)
0 : Atributul nu este tranzitiv
1 : Atributul este tranzitiv sau bine cunoscut
➢ Bit parțial ( bitul 2)
0 : Atributul este comple t, intranzitiv sau bine cunoscut
1 : Informația din atributul tranzitiv opțional este parțială
Atunci când un atribut tranzitiv opțional este transmis de un ruter care nu înțelege opțiunea,
acesta setează bitul parțial astfel încât ruterele urmatoare știu că atributul nu a fost prelucrat după cum
s-a dorit la toate ruterele anterioare.
➢ Bitul de lungime extinsă (bitul 3)
0 : Lungimea atributului este de 1 octet
1 : Lungimea atributului este de 2 octeți
Biții rămași din octetul indicatorului atribului nu sunt folosiți.
31
Tipul atributului :
➢ Origin este un atribut obligatoriu ,bine -cunoscut care definește originea
informațiilor.Octetul de date poate avea următoarele valori :
0 : IGP(Interior Gateway Protocol) – Informații de accesibilitate a rețelei învățate din
interiorul rețelei
1 : EGP(Exterior Gateway Protocol) – Informații de accesibilitate a rețelei învățate prin
protocolul EGP
2 : Incomplet – Informații de accesibilit ate a rețelei învățate prin alte metode
➢ AS_Path este un atribut obligatoriu bine -cunoscut, care este compus dintr -o secvență
de segmente de cale AS. Fiecare segment de cale AS este reprezentat prin următorul
format < tipul de segment de cale ; lungimea segmentului de cale ; valoarea
segmentului de cale >
o Tipul de segment de cale este un câmp având dimensiunea de 1 octet cu
următoarele valori :
1 : AS_SET – un set necomandat de căi AS pe care un mesaj de tip Update le -a
traversat
2 : AS_SEQUENCE – un set comandat de căi AS pe care un mesaj de tip
Update le -a traversat
o Lungimea segmentului de cale este un câmp având dimensiunea de 1 octet care
conține numarul de căi AS(nu numărul de octeți) din câmpul tipul de segment
de cale
o Valoarea segmentului de cale conține unul sau mai multe numere AS fiecare
fiind codificat într -un câmp având lungimea de 2 octeți
➢ Next_Hop acesta este un atribut obligatoriu bine -cunoscut care definește adresa IP a
ruterului care ar trebui utilizat ca ur mător pas spre destinația din informația de
accesibilitate a rețelei
➢ Multi_Exit_Disc acesta este un atribut intranzitiv ,opțional ,făra semn, format din 4
octeți. Valoarea acestui atribut poate fi folosită de catre un ruter BGP pentru a alege
între multiplele căi de acces către un alt ruter vecin.
➢ Local_Pref acest a este un atribut bine -cunoscut , făra semn, format din 4 octeți. Un
ruter BGP folosește acest a tribut pentru a informa alte rutere cu privire la preferințele
pe care le are cu privire la anumite căi.
Câmpul de informații de accesibilitate a rețelei este de lungime variabilă, dar nu este nevoie
să se includă un câmp de lungime pentru aceasta, pentru că acesta ocupă spațiul rămas în mesajul
BGP după câmpul atributele rutelor. Conține o listă de prefixe IP pentru rutele anunțate.
32
3.3.3 Mesajul de tip Notification
Acest pachet este folosit pentru a semnaliza erorile apărute. Următorul tabel arată formatul
mesajului:
Codul erorii Sub-codul erorii Datele erorii
1 octet 1 octet variabil
Tabelul 3.3.3.1 Formatul mesajului Notification
Codul erorii indică tipul erorii apărute. Tipuri de erori posibile :
➢ Eroare de antet a mesajului – indică o problemă apărută la antetul mesajului ,privind
lungimea, valoare câmpului sau un tip de mesaj neacceptat.Subcoduri ale mesajului de eroare:
1. Conexiune nesincronizată
2. Lungime a mesajului necorespunzătoare
3. Tipul mesajului necorespunzător
➢ Eroare pentru mesajul de tip Open – indică o problemă apărută la un mesaj de tip Open cum ar
fi: versiune nesuportată , număr AS neacceptat, adresă IP neacceptată sau cod de autentificare
neacceptat. Subcoduri ale mesajului de eroare:
1. Numarul versiunii neacceptat
2. Numarul AS al vecinului necorespunzător
3. Cod de autentificare nesuportat
4. Eșuarea autentificării
➢ Eroare pentru mesajul de tip Update – indică o problemă apărută la un mesaj de tip Update cum
ar fi o eroare apăruta in lista atributelor , o eroare a atributului Next_Hop sau oricare din
celelalte atribute prezentate. Subcoduri ale mesajului de eroare:
1. Lista atributelor incorectă
2. Atribut nerecunoscut
3. Lipsa atributulelor
4. Lungimea atributului necorespunzătoare
5. Atribului Ori gin necorespunzător
6. Atributul Next_Hop necorespunzător
➢ Eroare a timpului de așteptare – indică faptul că timpul de așteptare a expirat , timp după care
un nod BGP va fi considerat nefuncțional.
Sub-codul erorii spefică mai multe informții privind natura erorii raportate.
Datele erorii acest câmp este folosit pentru a diagnostica motivul mesajului de eroare.
33
3.3.4 Mesajul de tip Keep_Alive
Acest pachet este folosit pentru a determina dacă ruterele vecine sunt accesibile. Un mesaj de tip
Keep_Alive constă doar dintr -un antet și are o dimensiune de 19 octeți.
3.4 Stările BGP -ului
Când BGP este configurat, aceasta trece printr -o serie de etape înainte de a ajunge în starea
dorită, stabilit, în care BGP negociază toți parametrii necesari și este dispus să facă schimb de rute BGP.
Dacă în timpul acestui proces de trecere prin etapele enumărate mai jos eșuează în orice moment,starea
BGP -ului revine la inactiv si procesul începe de la început. Mereu când o conexiune pică, toate rutele
proven ite de la vecinul inactiv vor fi șterse din tabela de rutare.
Stările posibile ale BGP -ului sunt următoarele :
➢ Inactiv
➢ Conectat
➢ Activ
➢ Deschis -trimis
➢ Deschis -confirmat
➢ Stabilit
Fiecare din stările enumerate, sunt însoțite de evenimente BGP. Aceste evenimente apar în
timpul formării unei sesiuni BGP.
Evenimentele BGP :
1. Începutul BGP -ului – apare la începutul stării inactiv, și semnalizează începutul sesiunii BGP.
Acest eveniment are loc doar în starea inactiv. Daca un ruter primește un eveniment de început
al BGP -ului și acesta nu se afla în starea inactiv , evenimentul este ignorat.
2. Sfârșitul BGP -ului – semnalizează sfârșitul sesiunii BGP.
3. Deschiderea conex iunii de transport a BGP -ului – semnalizează ruterului că sesiunea TCP este
deschisă și inițializarea resurselor BGP se termină.
4. Închiderea conexiunii de transport a BGP -ului – semnealizează ruterului că sesiunea TCP este
închisă. Acest eveniment declanșe ază eliberarea resurselor BGP -ului și provoacă BGP -ul
ruterului să revină in starea inactivă.
5. Eșuarea conexiunii de transport a BGP -ului – semnealizează ruterului că sesiunea TCP către
ruter BGP vecin a eșuat. Acest eveniment declanșează eliberarea resurs elor BGP -ului și
provoacă BGP -ul ruterului să revină in starea inactivă.
6. Eroare de transport a BGP -ului – semnalizează BGP -ul ruterului că sesiunea TCP cu BGP -ul
vecin are o eroare. Acest eveniment declanșează eliberarea resurselor BGP -ului și provoacă
BGP-ul ruterului să revină in starea inactivă.
7. Expirarea timpului de reconectare – apare când timpul de reconectare a expirat.
34
8. Expirarea timpului de menținere a conexiunii – apare când timpul de menținere a conexiunii a
expirat. Apare în situația în care v ecinul conexiunii BGP nu mai răspunde la mesaje.
9. Expirarea timpului de Keep_Alive – apare când timpul de Keep_Alive a expirat, semnalând că
un mesaj de tipul Keep_Alive nu a fost recepționat de la vecinul conexiunii BGP în timpul
prestabilit.
10. Recepționarea unui mesaj de tip Open – semnalizeză sistemul local ca un mesaj BGP de tip
Open a fost recepționat și sesiunea BGP poate trece în starea deschis -confirmat.
11. Recepționarea unui mesaj de tip Keep_Alive – semnalizeză sistemul local ca un mesaj B GP de
tip Keep_Alive și sesiunea BGP poate trece în starea stabilit.
12. Receptionarea unui mesaj de tip Update – semnalizeză sistemul local ca un mesaj BGP de tip
Update.
13. Receptionarea unui mesaj de tip Notification – semnalizeză sistemul local ca un mesaj BGP de
tip Notification și sesiunea BGP ar trebui închisă.
3.5 Atributele BGP
Atributele se împart în urmatoarele categori:
1. Well -know mandatory
2. Well -know discretionary
3. Optional transitive
4. Optional non -transitive
Atributele well -known trebuie să fie recunoscute de toate implementările de BGP.
Unele din aceste atribute sunt mandatory și trebuie să fie incluse in fiecare mesaj de UPDATE.
Altele sunt discretionary și pot fi trimise în mesaje de tip UPDATE , nefiind obligatoriu, după cum se
poate obs erva in tabelul 3.5.1.
Atributele Optional nu trebuie sa fie recunoscute de toate implementările de BGP.
Numele atributului Categoria
Origin well-known,mandatory
AS_Path Well -known,mandatory
Next_Hop Well -known,mandatory
Unreachable Well -known,discretionary
Inter -As Metric Optional,non -transitive
Tabelul 3.5.1 Atributele protocolului BGP
35
Figura 3.5.1 Clase de atribute [14]
Pentru a putea face față întruperilor din internet , cele mai multe rețele de internet care
folosesc BGP se conectează la cel putin două rețele , pentru a asigura o redundanța. Asta înseamnă ca
mai multe destinații sunt accesibile prin mai multe căi posibile. De aceea BGP are nevoie de un
mecanism pentru a selecta cele mai bune căi dintre cele disponibile. Pent ru aceasta există mai multe
atribute prin care se realizează această diferențiere.
Acestea sunt:
Weight este o valoare, aplicată pe ruterul configurat , valorile mari fiind preferate. Are
semnificație locală acesta nefiind transmis altor vecini.
Local Pref erence este o valoare locală pentru un AS, folosit pentru a indica ruta preferată
atunci când se trece într -un domeniu AS diferit. BGP preferă întotodeauna ruta cu cea mai mare
valoare a Local Preference.
AS_Path este o listă în care sunt incluse toate num ere AS prin care a trecut pachetul de la
sursă la destinație. Acesta este folosit penrtu a preveni apariția unor bucle : un ruter ignoră orice rută pe
care o primește și care conține propriul număr AS. De asemenea , acesta este folosit și pentru a decide
ce cale să fie folosită. Rutele cu AS_Path mic sunt preferante în locul celor cu AS_Path mare.
Multi Exit Discriminator(MED ) acest atribut este folosit pentru a influența traficul către o
rețea destinție , pe o rută către un alt domeniu AS. Rutele cu cel ma i mic MED sunt preferante.
Next hop conține adresa IP a ruterului care urmează pe cale către destinație.
Origin acest atribut specifică originea update -ului. În functie de sursă acest atribut poate fi:
IGP (”i”) , EGP(”e”) si Necunoscut (”?”).
36
Communities nu sunt direct folosite in procesul de selectie al unei căi. Un ruter conține una sau
mai multe comunități. O comunitate este o valoare pe 32 de biți , scirsă sub forma 100:200 unde, 100
este numărul AS, iar 200 este o valoare care are semnific ație doar în interiorul domeniului AS.
Unreachable acest atribuit este folosit pentru a notifica un vecin BGP , cu privire la unele căi
anunțate anterior , care au devenit inactive.
Inter_As metric acest atribut poate fi folosit pentru căi exterioare, între domenii AS, pentru a
distinge căile de intrare sau ieșire pentru acelasi vecin AS.
Pas Descriere scurtă Care valoare este mai buna
0 Next_hop accesibil? Daca nu, nu se poate utiliza aceasta ruta
1 Weight Valoarea mai mare
2 Local_Pref Valoarea mai mare
3 Rute injectate local Mai bune decat iBGP/eBGP
4 AS_Path length Valoarea mai mica
5 Origin I este preferat lui E; E este preferat lui ?
6 MED Mai mica
7 Neighbour Type eBGP preferat lui iBGP
8 IGP metric to next hop Valoarea mai mica
Tabelul 3.5.2 Procesul de decizie din BGP
3.6 Algoritmul de selecție a rutelor
Când un ruter are doua sau mai multe căi către o destinație , acesta elimină rutele pe
baza următoarelor criterii de decizie :
1. Alege calea care are configurat cea mai mare valoare pentru atributul Weight.
2. Dacă atributul Weight este egal pentru două rute diferite, urmează ca ruterul să compare
atributul Local Preference și să aleagă ruta cu valoarea cea mai mare a atribu lui Local
Preference.
3. Dacă Weight și Local Preference sunt egale, ruterul alege ruta care a fost generată de ruterul
local.
4. Dacă Weight și Local Preference sunt egale , ruterul compară următorul atribut și alege ruta cu
valoarea cea mai mică a atribului AS Path.
5. Dacă toate atributele anterioare sunt egale , ruterul alege calea de origine (i > e > ?)
6. Dacă atributele anterioare sunt egale și sunt mai multe rute către destinație , ruterul preferă
ruta cu valoarea cea mai mica pentru atributul MED.
7. Daca at ributul MED este egal pentru rutele disponibile către destinație sau nu este folosit,
atunci ruterul preferă eBGP față de iBGP.
37
8. Dacă acele rute rămase sunt eBGP , ruterul preferă ruta cu cea mai mică valoare pentru IGP.
9. Dacă rutele sunt externe , ruterul alege ruta cea mai veche.
10. Dacă rutele au fost recepționate în același timp , ruterul alege ruta care provine de la vecinul cu
cel mai mic ID de BGP.
11. Dacă ID sunt identice , atunci ruterul preferă ruta care a venit de la vecinul cu cea mai mica
adresă IP.
Figura 3.6.1 Algoritmul de selecție a rutelor [14]
3.6.1 Atributul pondere (Weight)
Ponderea este un atribut definit Cisco local pentru fiecare ruter. Acest atribut nu are legatură cu
ruterele vecine. Daca ruterul î nvata una sau mai multe rute c ătre aceeasi destinație, va fi preferată ruta
cu ponderea cea mai mare. Î n figura de mai jos este prezentat principiul de functionare:
38
Figura 3.6.1.1 Exemplificarea atributului weight [12]
3.6.2 Atributul Preferință locală
Atributul de preferință locală este folosit pentru a alege un punct de ieș ire de la sistemul
autonom local.Spre deosebire de atributul pondere, atributul de preferință locală se propagă prin î ntregul
sistem autonom local. Dacă exista mai multe puncte de ieș ire din AS, acest atribut este folosit pentru a
selecta iesirea unei rute specifice. Valoarea default este 100. Î n figura de mai jos, este prezentat
principiul de functionare :[4]
Figura 3.6.1.2 Exemplificar ea atributului local preference[16]
39
3.6.3 Atributul Discriminator cu ieșire multiplă (MED)
Atributul discriminator cu ieșire multiplă (atributul metric sau MED) este folosit ca o sugestie la
un AS extern, c u privire la rutele preferate că tre AS -ul care trimite mesajul. Termenul este folosit
deoarece AS -ul extern care primeste atr ibutul MED poate fi utilizat de alte atribute BGP pentru selecț ia
de rutare. În figura de mai jos, este prezentat principiul de func ționare :[4]
Figura 3.6.1.3 Exemplificar ea atributului MED [ 17]
3.6.4 Atributul Origin
Atributul ORIGIN indica modul în care BGP învață o anumita rută. Acest atribut poate avea
una din cele 3 cazuri posibile:
➢ IGP – Ruta este definată local față de sistemele autonome de origine. Aceasta valoare este
setată atunci cand comanda configurației ruterului de rețea este folosită pentru a adauga
ruta în BGP
➢ EGP – Ruta este învata prin EBGP (BGP extern)
➢ Incompleta – Origi nea rutei este necunoscuta sau învațată prin alte metode.
Atributul Origine este folosit pentru selecția de rute.[4]
40
3.6.5 Atributul AS_Path
Atunci cand un mesaj trece printr -un sistem autonom, numarul AS -ului este adaugat intr -o lista
ordonata de AS-uri prin care a trecut mesajul. In figura urmatoare este prezentat principiul de
functionare: [4]
Figura 3.6.1.4 Exemplificar ea atributului AS -PATH [18]
3.6.6 Atributul AS_Path
Atributul NEXT_HOP (well -known, mandatory ) conține adresa IP a următorului ruter pe calea către
destinație. Trebuie menționat că adresa IP din NEXT_HOP nu aparține întotdeauna unui rutervecin:
➢ Dacă ruterul care anunță prefixul și ruterul care îl primește sunt în AS -uri diferite (eBGP),
NEXT_HOP va fi setat la adresa IP a ruterului care anunță prefixul;
➢ Dacă ruterul care anunță prefixul și ruterul care îl primește sunt în același AS (iBGP), și prefixul
aparține acelui AS, NEXT_HOP este adresa ruterului care a anunțat ruta;
➢ Dacă ruterul care anunță prefixul și ruterul car e îl primește sunt în același AS (iBGP), și prefixul
aparține unui alt AS, NEXT_HOP va fi adresa ruterului extern care a anunțat ruta. Un alt mod de a
formula această regulă este următorul: „La trecerea din eBGP în iBGP,NEXT_HOP nu se modifică”. [13]
41
3.6.7 Atributul comunitate (COMMUNITY)
Acest atribut păstrează o cale pentru un grup de destinații, numite comunităț i, pentru care
deciziile de rutare (de exemplu: acceptul, preferinta ș i red estribuirea) pot fi aplicate. Hărț ile de rutare
sunt folosite pe ntru a seta atributul comunit ate. Atributele Comunitate prede finite sunt urmatoarele:[4]
➢ No-export – Nu trimite mesaj cu aceasta ruta catre peer -urile EBGP
➢ No-advertise – Nu trimite mesaj catre nici un peer
➢ Internet – Trimite mesaj cu aceasta ruta catre co munitatea Internet; toate ruterele din
retea care ii corespund
3.7 Indicatorii de timp folosiți în BGP
Timpii pe care protocolul BGP îi foloște sunt keepalive și hold -down. Timpii prestabiliți pentru
protocolul BGP sunt keepalive : 60 de secunde, iar hold-down : 3*keepalive=180 de secunde. După ce a
fost realizată o legătură BGP , ruterul pornește timpul de hold -down de la 0 secunde. Fiecare mesaj de
keepalive este recepționat de la ruterul vecin , resetând timpul de hold -down la 0 secunde.
Dacă timp de 180 de secunde nu se recepționează acest mesaj de keepalive, ruterul vec in este
considerat nefuncțional, iar rutele primite de la acest ruter sunt eliminate. Acești timpi pot fi modificați
prin următoarea comandă : neighbor x.x.x.x timers keepalive hold own.
3.8 Sursele actualizărilor de rutare
În rețelele complexe de azi ca Internetul, stabilirea rutelor este o problemă serioasă. În ceea ce
privește fluctuațiile rutelor , este o legătură importantă între stabilirea accesului la Internet și informația
de rutare care a fost injectată în Internet prin BGP. Această informație poate fi injectată în BGP
dinamic sau static. Rutele injectate dinamic apar și dispar din tabela de rutare BGP,ele depinzând de
starea rețelelor pe care le identifică. Rut ele injectate static sunt rute permanente în tabela de rutare BGP,
indiferent de starea rețelelor pe care le identifică. Fiecare metodă are avantajele și dezavantajele ei.
3.8.1 Injectarea de informații dinamic în BGP
Informația i njectată dinamic poate fi mai departe împărțită în informație pur dinamică, în care
toate rutele IGP au fost redistribuite[2] în BGP ( prin intermediul comenzii r edistribute ), sau
semidinamică, în care doar unele rute IGP se vor injeca în BGP ( prin intermediul comenzii network ).
Această distincție reflectă în același timp și intervenția administatorului cât și nivelul de control în
definirea rutelor care vor fi anunțate.
42
Informația este injectată dinamic în BGP permițând tuturor rutelor IGP să fie automat
redistribuite în BGP. Ceea ce redistribuirea dinamică oferă este ușurință de configurare, toate rutele
interne IGP intră în BGP, indiferent de protocolul folosit.
O altă meto dă de a injecta informații în BGP nu este la fel de dinamică, est de a specifica
manual un se t de rețele IGP care să fie anunțate, introducând manual fiecare rețea injectată folosind
comanda network. Această metodă este mai puțin dinamică, deoarece o listă cu toate prefixele care
trebuie anunțate trebuie menținută în ruter. Ruterul nu injectează a utomat toate rutele IGP în BGP.
BGP presupune că rețelele definite cu comanda network exită și încearcă să verifice acest lucru
controlând tabela de rutare. Dacă BGP nu găsește o potrivire exactă pentru aceste rețele, ele nu vor fi
anunțate. Acest pas de verificare crește robustețea BGP încât rețelele externe nu vor fi anunțate de un
ruter ce publică o rețea la care nu este conectat sau o rețea neștiută de el.
3.8.1.1 Injectarea de informație greșită sau nedorită
Redistribuirea întregului IGP în BGP po ate duce la informație nedorită care să fie introdusă în
BGP. Exemplu de informații nedorite pot fi adrese private sau adrese interne care sunt presupuse
folosite doar în interiorul sistemului autonom. Alte informații pot include rute cu o lungime a prefix ului
care nu este conformă cu politicile de agregare, ca o rută cu o lungime a prefixului de /32. Este nevoie
de filtrare pentru a se asigura că nu exită consecințe nedorite.
Informație greșită poate fi injectată în BGP datorită schimbului reciproc de rut e între BGP și
IGP. În același mod cum informații din IGP pot fi redistribuite în BGP și informații din BGP pot fi
redistribuite în IGP. Când redistribuția exită în ambele căi, se numește redistribuire reciprocă. În
redistribuția reciprocă, informația car e a fost injectată din exteriorul sistemului autonom poate fi trimisă
inapoi în Internet ca și când ar fi originat din sistemul autonom.
3.8.1.2 Rute instabile
Injectarea rutelor IGP în BGP dinamic sau semidinamic este bazată pe dependența rutelor BGP
de rutele IGP. Deși putem spune acest lucru, este benefic deoarece reflectă starea rețelei, acest lucru
poate avea si dezavantaje. Trebuie să ținem minte că fluctuațiile rutelor dintr -un sistem autonom poate
avea efect de undă prin alte rețele conectate la Internet, care comunică prin BGP. Ruta IGP pe care o
anunțăm se traduce într'o rută BGP. Dacă acea rută cade, se trimite un mesaj de retragere BGP, cerând
vecinilor să șteargă acea rută din tabelele lor de rutare BGP. O rută care tot cade și se ridică î ntr-un
sistem autonom are efectul de a fi trimisă și retrasă constant de alte sisteme autonome.
Un alt mod de a controla instabilitatea unei rute este de a decupla mecanismul de anunțare a rutei
de existeța rutei. Acest mod se numește și injectare statică de rute.
43
3.8.2 Injectarea de informații static în BGP
Injectarea de informații static în BGP este cea mai eficace metodă de a asigura stabilitatea rutei.
Desigur, această metode are și dezavantaje.
Pentru a injecta informație static în BGP, rutele IGP care trebuie anunțate sunt definite manual
ca rute statice. Acest lucru asigură că aceste rute nu dispar niciodata din tabela de rutare IP și vor fi
întotdeauna anunțate. Deoarece în general administratorii nu vor să anunțe rețele instabile, câtde adec vat
este sa se folosească injectarea statică de informație, depinde de situație.
De exemplu, daca o rută este anunțată către Internet din mai multe puncte, anunțarea unei rute
care este căzută nu este o problemă. Oricine încearcă să ajungă la acea destina ție va eșua indiferent de
faptul că ruta a fost sau nu anunțată.
Pe de altă parte, dacă o rută este anunțată către Internet din mai multe puncte, anunțarea rutei
static tot timpul poate duce la aruncarea traficului. Dacă exită probleme în sistemul autonom , care
împiedică ruterul de frontieră să ajungă la rețeaua anunțată, traficul către acea destinație va fi aruncat
deși s -ar fi putut ajunge la destinație prin alt punct de interconexiune.
Actuala anunțare a rutei statice poate fi făcută prin ambele metode descrise, fie dinamic, fie
static.
3.8.3 Originea rutelor
BGP consideră rețelele anunțate prin comanda network sau prin agregare ca fiind interne
sistemului autonom și va introduce atributul ORIGIN ca fiind IGP(i). Pe de altă parte, când o rută a fost
introdusă în BGP prin redistribuire, atributul ORIGIN are valoarea Incomplet deoarece rutele
redistribuite pot să provină de oriunde. Dacă ruta a fost învățată prin EGP, atributul ORIGIN ia valoarea
corespunzătoare.
Deși atributul ORIGIN este mai mult s au mai puțin irelevant în acest moment, este folosit în
procesul de decizie BGP pentru a favora o rută peste alta.
3.9 Protocoale multiple: Rute de rezervă
Cu diferite IGP -uri și EGP -uri funcționând împreună pentru a realiza rutarea, rutele pot fi
învățate prin diferite protocoale; alegând un protocol peste altul, afectează cum curge traficul.
Conexiunile de rezervă, sau backdoor, oferă o cale alternativă IGP care poate fi folosi tă în locul
căii BGP externe. Rutele IGP care pot fi atinse peste conexiunea de rezervă se numesc rute de rezervă,
rute backdoor . Odata cu existența acestor rute, este nevoie de un mecanism care să dea o preferință unui
protocol peste alte protocoale. CIS CO Systems oferă un astfel de mecanism, numit distanță
administrativă a unui protocol. Cu cât mai mică distanța administrativă, cu atât este mai mult preferat
acel protocol.
44
De notat că distanța administrativă este un parametru relevant doar ruterului loc al și nu este știut
sau comunicat cu alte rutere din sistemul autonom. Dacă un administrator de rețea intenționează să
modifice distanța administrativă a unui ruter din sistemul autonom, indicat este ca el să modifice
distanța administrativă pe toate ruter ele din sistemul autonom pentru a garanta că deciziile de rutare
luate sunt consistente.
Protocol Distanță administrativă
Direct conectat 0
Static 1
EBGP 20
EIGRP(intern) 90
IGRP 100
OSPF 110
IS-IS 115
RIP 120
EGP 140
EIGRP(extern) 170
IBGP 200
BGP local 200
Tabel 3.9.1 Valorile implicite ale distanței administrative în funcție de protocol
3.10 Scalarea BGP
Problema din cauza căreia se creează găuri negre de rutare se datorează faptului că nu există
un full-mesh iBGP în AS. Motivul pentr u care există această problemă este regula de prevenire a
buclelor în iBGP. Conform acestei reguli, un ruter ce rulează iBGP nu are voie să transmită unui vecin
iBGP o rută primită prin iBGP.
Această regulă poate fi depășită printr -o metodă de scalare ce presupune folosirea unor rutere speciale în
implementarea BGP numite . route -reflectors . Aceste rutere au posibilitatea de a definianumiți clienți BGP
pentru care să realizeze o excepție de la regula de prevenire a buclelor iBGP.
Ruterele dintr -un AS se vor împărți astfel în 3 categorii :
➢ Ruterele route -reflectors – ruterele care „reflectă” rute iBGP la clienții desemnați;
➢ Ruterele clienți route -reflectors – ruterele care primesc rute prin iBGP de la route -reflectors;
➢ Ruterele normale iBGP – rutere care trebuie să fie conectate în full-mesh pentru a nugenera găuri
negre de rutare.
Folosirea acestei metode de scalare presupune ca grupul de clienți route -reflectors să aibă doar o
relație de adiacență cu ruterul route -reflector , deoarece acesta le va trimi te toate rutele pe care le obține
45
fie prin eBGP sau iBGP. În același timp, ruterele ce nu sunt clienți route – reflectors vor trebui să aibă relații iBGP full-
mesh atât între ei cât și cu ruterul route -reflector pentru a preveni posibilelegăuri negre.
Această metodă de scalare BGP a avut parte de o implementare extrem de elegantă în protocol.
Deoarece în toată strategia de mai sus, doar route -reflector -ul este cel care încalcă regula pentru iBGP
pentru bucle, întreaga configurație se bazează pe acesta.
46
47
4. Exemplu de c onfigurare a protocolului de rutare BGP
După ce avem un domeniu AS , un domeniu de adrese IP și o topologie a modului în care ruterele
vor fi conectate, urmează configurarea ruterelor. Acest proces este realizat în urmatoarii pași pentru
topologia urmatoare :
Figura 4 .1 Topologia pentru exemplificarea configurării protocolului BGP
1. Primul pas este trecerea ruterului în modul configurare și pornirea BGP
R1(config)#router bgp 10
R2(config)#router bgp 20
R3(config)#router bgp 30
2. Urmează adăugarea unei adrese IP și a numărului AS a vecinului cu care se dorește realizarea
legăturii de BGP
R1(config -router)#neighbor 10.100.0.2 remote -as 20
R1(config -router)#neighbor 10.100.1.2 remote -as 30
R3(config -router)#ne ighbor 10.100.1.1 remote -as 10
R2(config -router)#ne ighbor 10.100.0.1 remote -as 10
R1(config -router)#redistribute connected – pentru a distribui rutele conectate
Se observă că ruterul R2 învață calea către ruterul R3 pri n BGP prin comanda :
R2#sh ip route
Codes: C – connected, S – static, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
48
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, su – IS-IS summary, L1 – IS-IS level -1, L2 – IS-IS level -2
ia – IS-IS inter area, * – candidate default, U – per-user static route
o – ODR, P – periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/30 is subnetted, 2 subnets
C 10.100.0.0 is directly connected, FastEthernet0/0
B 10.100.1.0 [20/1] via 10.100.0.1, 00:00:32
Respectiv pentru R3:
R3# sh ip route
Codes: C – connect ed, S – static, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, su – IS-IS summary, L1 – IS-IS level -1, L2 – IS-IS level -2
ia – IS-IS inter area, * – candidate default, U – per-user static route
o – ODR, P – periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/30 is subnetted, 2 subnets
B 10.100.0.0 [20/1] via 10.100.1.1, 00:00:02
C 10.100.1.0 is directly connected, FastEthernet0/0
Ridicarea adiagențelor :
R2-R1: *Jun 23 17:37:22.795: %BGP -5-ADJCHANGE: neighbor 10.100.0.1 Up
R3-R1: *Jun 23 17:40:04.087: %BGP -5-ADJCHANGE: neighbor 10.100.1.1 Up
R1-R2: *Jun 23 17:38:22.495: %BGP -5-ADJCHANGE: neighbor 10.100.0.2 Up
R1-R3: *Jun 23 17:39:23.887: %BGP -5-ADJCHANGE: neighbor 10.100.1.2 Up
Se pot aplica filtre care impiedica rutele invățate de R1 prin BGP să fie redistribuite către alt
ruter vecin.
router bgp 10
no synchronization
bgp log -neighbor -changes
redistribute connected
neighbor 10.100.0.2 remote -as 20
neighbor 10.100.0.2 dist ribute -list 10 out – distribute -list este filtru pentru protocolul IP
neighbor 10.100.1.2 remote -as 30
no auto -summary
!
49
access -list 10 deny 10.100.1.0 0.0.0.3
access -list 10 permit any
R2#sh ip route
10.0.0.0/30 is subnetted, 1 subnets
C 10.100.0.0 is directly connected, FastEthernet0/0
Se observă că R2 nu mai învață nici o rută prin BGP datorită filtrului pus distribute -list 10 out,
în timp ce tabela de rutare a R3 nu a suferit nicio modificare :
R3#show ip route
10.0.0.0/30 is su bnetted, 2 subnets
B 10.100.0.0 [20/0] via 10.100.1.1, 00:50:35
C 10.100.1.0 is directly connected, FastEthernet0/0
Pentru a monitoriza o sesiune de BGP se folosește comanda : show ip bgp summary care va
returna următorul text:
R2#sh ip bgp summary
BGP router identifier 10.100.0.2, local AS number 20
BGP table version is 4, main routing table version 4
2 network entries using 234 bytes of memory
2 path entries using 104 bytes of memory
2/1 BGP path/bestpath attribute entries using 248 bytes o f memory
1 BGP AS -PATH entries using 24 bytes of memory
0 BGP route -map cache entries using 0 bytes of memory
0 BGP filter -list cache entries using 0 bytes of memory
BGP using 610 total bytes of memory
BGP activity 2/0 prefixes, 2/0 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.100.0.1 4 10 44 42 4 0 0 00:38:53 2
Din aceast text , ne interesează State/PfxRcd care ne arată starea si numărul de prefixe
recepționate de la vecin. Dacă ar fi fost trecută starea Idle ar fi fost o problemă ,cel mai probabil
interfața folosită pentru a ajunge la vecin ar fi fost picată. Dacă starea ar fi fost Active, ruteru Dacă
starea ar fi fost Active, ruterul încerca să inițieze o sesiune BGP ,dar vecinul nu răspundea.
50
51
5. Implementarea practic ă folosind mediul de simulare GNS3
Mediul de simulare folosit este GNS3 (Graphical Network Simulator). Acesta este un program
ce simulează rețele complexe într -un mod cât mai apropiat de modul în care se comportă rețelele reale.
GNS3 permite rularea virtuala a imaginilor CISCO IOS. Nucleu programului prin care se permite
rularea imagini lor este numit Dynamips.
5.1 Topologia de implementare
Va fi prezentat scenariul de bază pentru o mai bună înțelegere a topologiei de implementare. În
figura de mai jos se poate observa că în topologie există un singur client, având conectate pe langă
sediul său principal aflat în București (Buc), alte două locații din țară, una în Cluj (CL) , cealaltă fiind la
Constanța (CT). Clientul este conectat la rețea, simbolizată prin cele 3 rutere: DR_CL, DR_CT și
DR_Buc (care constinuie de altfel CORE -ul rețe lei), prin ruterele sale de graniță CPE_CL, CPE_CT,
CPE1_Buc și CPE2_Buc. Accesul în Internet, simbolizat în acest caz prin ruterul
INTERNET_ACCESS, este realizat prin intermediul ruterelor DR_Buc și DR_CT, conectate prin două
căi pentru a asigura redundan ța rețelei în cazul în care o cale este nefuncțională. Tot traficul clientului
va trece prin sediul central numit HQ (HeadQuarter), concept ce poartă numele de hub(butuc) și
spoke(spițe), acesta oferind următoarele avantaje : tot traficul este supravegheat și securizat de către
sediul central. Pentru managementul și mentenața rețelei a fost introdus routerul MNG, de unde
inginerii se pot conecta pe oricare dintre rutere pentru a verifica echipamentele și pentru a rezolva
problemele apărute.
Figura 5.1.1 Topologia de bază
52
Figura 5.1.2 Topologia rețelei exemplificată
5.2 Configurarea rețelei
Pentru configurarea ruterelor au fost folosite adresele IP din tabelul 5.2.1. Sunt folosite 3
VRF -uri, tabele de rutare separate : VPN , INTERNET și MANAGEMENT .
➢ VRF -ul VPN este folosit pentru a conecta locațiile clientului între ele;
➢ VRF -ul internet este folosit pentru accesul la Internet;
➢ VRF -ul mng este folosit pentru a permite conectarea de la distanța pe echipamente din
rețea în cazul î n care apar probleme s au aspecte legate de reconfigurarea anumitor
echipamente , strict pentru management .
53
VPN INTERNET MANAGEMENT
LAN WAN
10.0.1.0/24 – CL 192.168.1.0/30 -CL 150.1.1.0/30 Buc -main 10.100.1.8/30
10.0.2.0/24 – CT 192.168.2.0/30 -CT 160.1.1.0/30 Buc -bkp 10.100.1.16/30
10.0.100.0/24 – HQ 192.168.3.0/30 -Buc 81.12.1.0/30 Buc -main 10.100.1.24/30
192.168.4.0/30 -Buc 81.12.2.0/30 Buc -bkp 10.100.1.28/30
10.0.199.0/29 -Buc 109.100.1.0/30 Internet bkp 10.100.1.32/30
172.16.1.0/30 -Core 109.100.2.0/3 0 Internet main 10.100.1.36/30
172.16.20.0/30 -Core 62.100.100.0/30 Internet core 10.100.1.40/29
172.16.200.0/30 -Core 10.100.1.48/29
10.100.1.56/30
10.100.1.64/29
Tabelul 5.2.1 Alocarea adreselor IP
Locațiile din rețea sunt conectate la nucleul rețelei astfel:
➢ pentru Constanța este folosit protocolul de rutare OSPF;
➢ pentru Cluj a fost aleasă o rutare statică;
➢ pentru HQ este folosit protocolul BGP.
Locația din sediul central – HQ, este conectată la nucleul rețelei prin două căi, pentru a se
asigura astfel redundanța conexiunii în cazul unei defecțiuni ce poate aparea pe una din cele două trasee
– Head Quarte -ul având o importanță mai mare decât celelalte două locații
Clientul este conectat la un singur furnizor de servicii, ISP, printr -o con ectivitate dual -homed,
acesta fiind conectat prin două rutere CPE1_Buc și CPE2_Buc la propriul ruter CPE_HQ .
La rândul lor , cele două rutere CPE , sunt conectate la nucleu rețelei prin BGP .
5.2.1 Configurația ruterului de graniță din Cluj: CPE_CL
Pentru locația din Cluj a fost folosită rețeaua 192.168.1.0/30 pentru conectarea la
nucleu. Adresa IP 192.168.1.1 este atribuită ruterului DR_CL, iar adresa pereche din rețeaua
respectivă 192.168.1.2 este atribuită CPE_CL, pe sub -interfața FastEthernet0/0. 30. La crearea
unei sub -interfețe, aceasta devine asociată unui VLAN, în cazul de față VLAN 30. Pentru
configurarea interfeței au fost folosite următoarele comenzi :
CPE_CL#conf t
CPE_CL(config)#interface FastEthernet0/0.30
CPE_CL(config -subif)# encapsula tion dot1Q 30
CPE_CL(config -subif)# ip address 192.168.1.2 255.255.255.252
A fost folosită o sub -interfață pentru a putea realiza două conexiuni virtuale pe aceeași
conexiune fizică FastEthernet0/0. A doua conexiune fiind aceea de management. Pentru aces tă
conexiune a fost folosită rețeaua 10.100.1.40/29 , adresa IP asociată interfeței
FastEthernet0/0.500 fiind 10.100.1.43 . Se observă ca pentru această conexiune a fost creat
VLAN 500.
54
CPE_CL#conf t
CPE_CL(config)# interface FastEthernet0/0.500
CPE_CL(config -subif)# description mng to DR_CL
CPE_CL(config -subif)# encapsulation dot1Q 500
CPE_CL(config -subif)# ip add ress 10.100.1.43 255.255.255.24
Pentru legătura de WAN, ruterul CPE_CL este conectat la interfața FastEthernet0/0 switchul
SW1_CL prin i nterfața Fa0/0, responsabil cu transportarea VLAN -urilor către ruterele din nucleu, acest
lucru fiind evidențiat de modul trunk.
interface FastEthernet0/0
description VPN to CPE_CL
switchport trunk allowed vlan 1,2,30,500,1002 -1005
switchport mode trunk
Rutarea traficului din această locație spre nucleu se realizează printr -o rută statică, astfel orice
trafic având o adresa IP destinație care nu se află intre cele direct conectate la ruter, este redirecționată
catre ruterul DR_CL, care se va ocupa de rutarea corespunzătoare a traficului.
Cele 2 rute configurate sunt:
ip route 0.0.0.0 0.0.0.0 192.168.1.1 – pentru VPN
ip route vrf mng 0.0.0.0 0.0.0.0 10.100.1.41 – pentru management
CPE_CL#show ip route
Codes: C – connecte d, S – static, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, su – IS-IS summary, L1 – IS-IS level -1, L2 – IS-IS level -2
ia – IS-IS inter area, * – candidate default, U – per-user static route
o – ODR, P – periodic downloaded static route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
C 10.199.199.2/32 is directly connected, Loopback300
C 10.0.1.0/24 is directly connected, FastEthernet1/0
C 10.100.1.40/29 is directly connected, FastEthernet0/0.500
192.168.1.0/30 is subnetted, 1 subnets
C 192.168.1.0 is directly connected, FastEthernet0/0.30
S* 0.0.0.0/0 [1/0] via 192.168.1.1
Pentru legatura de LAN a fost alocată rețeaua 10.0.1.0/24 , adresa IP asociată interfeței
FastEthernet1/0 fiind 10.0.1.1 . Aceasta reprezintă poarta de ieșire spre nucleul rețelei a clienților
conectați în această locație.
55
5.2.2 Configurația ruterului de graniță din Constanța: CPE_CT
Pentru locația din Constanța a fost folosită rețeaua 192.168.2.0/30 pentru conectarea la nucleu.
Adresa 192.168.2.1 este atribuită ruterului DR_CT, iar adresa pereche din rețeaua respectivă
192.168.2.2 este atribuită ruterului CPE_CT, pe sub -interfața FastEthernet0/0.30.
interface FastEthernet0/0.30
description VPN to SW1_CT
encapsulation dot1Q 30
ip address 192.168.2.2 255.255.255.252
Pentru legătura de WAN , este conectat la interfața FastEthernet0/0 switchul SW1_CT prin
interfața Fa0/1, responsabil cu transportarea VLAN -urilor către ruterele d in nucleu, ca și la CPE_CL,
acest lucru este evidențiat de modul trunk.
interface FastEthernet0/1
description VPN to CPE_CT
switchport trunk allowed vlan 1,2,30,500,1002 -1005
switchport mode trunk
Rutarea traficului din această locație spre nucleu se realizează prin protocolul OSPF:
router ospf 1
log-adjacency -changes – folosit pentru a trimite mesaje syslog când vecinul își schimbă starea
redistribute connected
redistribute static subnets
network 10.0.2.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.3 area 0
Pe ruterul DR_CT este configurat protocolul OSPF folosit pentru conectarea cu ruterul de
graniță CPE_CT:
router ospf 1
log-adjacency -changes
redistribute connected metric 1 subnets
redistribute static metric 1 subn ets
redistribute bgp 500 metric 1 subnets – folosit penrtu a redistribui rutele din BGP
network 10.100.1.32 0.0.0.3 area 0
network 172.16.20.0 0.0.0.3 area 0
network 172.16.200.0 0.0.0.3 area 0
network 192.168.2.0 0.0.0.3 area 0
network 192.168.3.0 0.0.0.3 area 0
default -information originate always – folosită pentru a injecta ruta default
Pentru redistribuirea rutei default în OSPF este necesară executarea comenzii default –
information originate always , în modul de configurare al OSPF.
Pentru redistribuirea rutelor de către DR_CT învățate prin BGP este nevoie de următoarea
comandă, executată în modul de configurare a BGP – bgp redistribute -internal , iar pentru a redistribui
BGP, rutele învățate prin OSPF este necesară următoare a comandă, executată tot în modul de
56
configurare a BGP – redistribute ospf 1 :
router bgp 500
no synchronization
bgp log -neighbor -changes
bgp redistribute -internal
redistribute connected metric 1
redistribute static metric 1
redistribute ospf 1
neighbor 172.16.20.2 remote -as 500
neighbor 172.16.200.2 remote -as 500
neighbor 192.168.3.2 remote -as 800
neighbor 192.168.3.2 route -map localpref150 in
no auto -summary
Pentru legatura de LAN a fost alocată rețeaua 10.0.2.0/24 , adresa IP asociată interfeței
FastEthernet1/0 fiind 10.0.2.1 . Aceasta reprezintă poarta de ieșire a clienților conectați în această locație
spre nucleul rețelei. După ruterul de graniță din locație este conectat un switch prin care se pot conecta
mai mul te echipamente din locație la rețea.
Este asigurată astfel conexiunea dintre cele două locații din țară CLUJ -CONSTANȚA; cu un
ping din CPE_CT cu sursă LAN în locația din CL cu destinația LAN se poate evidenția funcționarea
acestei conexiuni:
CPE_CT#ping 10 .0.1.1 source FastEthernet1/0
Type escape sequence to abort.
Sending 5, 100 -byte ICMP Echos to 10.0.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.0.2.1
!!!!!
Success rate is 100 percent (5/5), round -trip min/avg/max = 36/61/76 ms
CPE _CL#ping 10.0.2.1 source fastEthernet1/0
Type escape sequence to abort.
Sending 5, 100 -byte ICMP Echos to 10.0.2.1, timeout is 2 seconds:
Packet sent with a source address of 10.0.1.1
!!!!!
Success rate is 100 percent (5/5), round -trip min/avg/max = 44/62/88 ms
5.2.3 Configurația ruterului de graniță de backup din București : CPE 1_Buc
Se configurează o conexiune eBGP ( Extenal BGP) cu ruterul DR_Buc:
router bgp 800 – se activeză protocolul BGP
no synchronization
bgp router -id 3.3.3.3
bgp log -neighbor -changes
redistribute connected – redistribuirea rutelor direct conectate(VPN)
neighbor 192.168.4.1 remote -as 500 – adresa IP a ruterului DR_Buc aflat in AS 500 (VPN)
neighbor 192.168.4.1 timers 5 20 – timpii de actualizare a BGP (VPN)
57
no auto -summary
address -family ipv4 vrf internet – configurarea VRF -ului internet
redistribute connected metric 1
neighbor 160.1.1.1 remote -as 500 – adresa IP a ruterului DR_Buc aflat in AS 500 (internet)
neighbor 160.1.1.1 timers 5 20 – timpii de actualizare a BGP(internet)
neighbor 160.1.1.1 activate
no synchronization
exit-address -family
Timpii de actualizare ai eBGP au fost micșorați , pentru a micșora timpul de stabiliare a
conexiunii, standard aceștia fiind timers 60 180 . În figur a 5.2.1 este un exemplu extras de pe ruterul
CPE1_Buc în care se observă timpul de stabilire a con exiunii BGP cu ruterul DR_Buc . Din momentul
în care interfața s -a ridic at, au mai trecut aproximativ 27 de secunde până când conexiunea BGP s -a
ridicat :
Figura 5 .2.1 Mesajele de ridicare ale protocolului BGP
Se configurează o conexiune eBGP cu ruterul clientului CPE_HQ:
router bgp 800 – se activeză protocolul BGP
no synchronization
bgp router -id 3.3.3.3
bgp log -neighbor -changes
redistribute connected – redistribuirea rutelor direct conectate(VPN)
neighbor 10.0.199.3 remote -as 65500 – adresa IP a ruterului CPE_HQ aflat in AS 65500 (VPN)
neighbor 10.0.199.3 timers 5 20 – timpii de actualizare a BGP (VPN)
no auto -summary
address -family ipv4 vrf internet – configurarea VRF -ului internet
redistribute connected metric 1
neighbor 81.12.2.2 remote -as 65500 – adresa IP a ruterului CPE_HQ aflat in AS 65500
(internet)
neighbor 81.12.2.2 timers 5 20 – timpii de actualizare a BGP (VPN)
neighbor 81.12.2.2 activate
no synchronization
exit-address -family
În figura 5.2.2 se observă legăturile BGP create intre ruter și celelalte două rutere vecine
CPE_HQ și DR_Buc, verificare realizată cu comanda : sh ip bgp vpnv4 vrf internet summary de unde
se observă că se vor afisa doar rutele din ta bela internet .
Figura 5. 2.2 Rutele învățat e prin BGP de ruterul CPE1_Buc în VRF internet
Se observă că dinspre CPE_HQ (82.12.2.2) nu se invață nici o rută deoarece acesta nu conține
58
tabele de rutare separate, în schimb se învață 3 rute dispre DR_Buc după cum se poate vedea în figura
5.2.3 , cele 3 rute fiind 8.8.8.8, 109.100.1 .0 și 109.100.2.0 reprezentând legăturile între ruterele din
nucleu și INTERNET.
Figura 5.2.3 Tabela de rutare internet a ruterului CPE1_Buc
În figura 5 .2.4 se observă rutele învățate de ruter din tabela de rutare globală, informație obținută
prin comanda : sh ip bgp summary .
Figura 5 .2.4 Rutele învățat e prin BGP de ruterul CPE1_Buc în tabela globală
5.2.4 Configurația ruterului de graniță de backup din București: CPE1_Buc
Asemănător cu CPE1_Buc, se configurează o conexiune eBGP ( Extenal BGP) cu ruterul
DR_Buc:
59
router bgp 800
no synchronization
bgp router -id 2.2.2.2
bgp log -neighbor -changes
redistribute connected metric 1
redistribute static metric 1
neighbor 192.168.3.1 remote -as 500
neighbor 192.168.3.1 timers 5 20
default -information originate
no auto -summary
address -family ipv4 vrf internet
redistribute connected metric 1
neighbor 150.1.1.1 remote -as 500
neighbor 150.1.1.1 timers 5 20
neighbor 150.1.1.1 activate
no synchronization
exit-address -family
Se configurează o conexiune eBGP cu ruterul clientului CPE_HQ:
router bgp 800
no synchronization
bgp router -id 2.2.2.2
bgp lo g-neighbor -changes
redistribute connected metric 1
redistribute static metric 1
neighbor 10.0.199.3 remote -as 65500
neighbor 10.0.199.3 timers 5 20
neighbor 10.0.199.3 soft -reconfiguration inbound
default -information originate
no auto -summary
address -family ipv4 vrf internet
redistribute connected metric 1
neighbor 81.12.1.2 remote -as 65500
neighbor 81.12.1.2 timers 5 20
neighbor 81.12.1.2 activate
no synchronization
exit-address -family
Figura 5.2.5 Tabela de rutar e internet a ruterului CPE2 _Buc
60
Figura 5.2.6 Tabela de rutar e internet a ruterului CPE2 _Buc
Figura 5.2.7 Rutele învățat e prin BGP de ruterul CPE1_Buc în tabela globală
5.2.5 Configurația ruterului Head Quarter: HQ
Este configurată o conexiune eBGP cu cele două rutere CPE astfel încât tot traficul est e
direcționt pe ruta principala, prin ruterul DR_CT . Acestă influențare a traficului este realizată prin
atributul weight setat în configurarea BGP cu valoarea 500 care este mai mare decât valoarea standard
de 100 și astfel tot traficul va fi direcționat prin vecinul cu weight 500.
Tot pe acest ruter este configurată și ruta default: neighbor 10.0.199.1 default -originate / neighbor
10.0.199.2 default -originate. Astfel prin protocolul BGP se transmite vecinilor ru ta default. Toti ceilal ți
61
vecini vor șt i să trimită pachetele care au ca destinație INTERNET către ruterul HQ deoarece acesta
deține informațiile de rutare corespunzătoare.
router bgp 65500
no synchronization
bgp log -neighbor -changes
redistribute static metric 1
neighbor 10.0.199.1 remote -as 800
neighbor 10.0.199.1 timers 5 20
neighbor 10.0.199.1 default -originate
neighbor 10.0.199.1 route -map ACL_to_VPN out
neighbor 10.0.199.2 remote -as 800
neighbor 10.0.199.2 timers 5 20
neighbor 10.0.199.2 default -originate
neighbor 10.0.199.2 soft -reconfiguration inbound
neighbor 10.0.199.2 weight 500
neighbor 10.0.199.2 route -map ACL_to_VPN out
neighbor 81.12.1.1 remote -as 800
neighbor 81.12.1.1 description main INTERNET
neighbor 81.12.1.1 timers 5 20
neighbor 81.12.1.1 weight 500
neighbor 81.12.2.1 remote -as 800
neighbor 81.12.2.1 description backup INTERNET
neighbor 81.12.2.1 timers 5 20
no auto -summary
În figura 5.2.8 se observă vecinii BGP, domeniul AS din care face parte fiecare vecin, timpul de
când sesiunea este activă, numărul de a drese IP învățate de la fiecare vecin .
Figura 5.2.8 Vecinii învățați prin BGP de ruterul CPE_HQ
Fiind sediul central se observă că numărul de rute pe care ruterul le învață de la vecini este mare.
62
Figura 5.2.9 Tabela de rutare a CPE_HQ
Tot pe acest ruter se realizează ș i NA T (Network Address Translation) , adresele IP de LAN fiind
translatate în adrese IP de WAN (adresele private 10.0.0.0/8 și 192.168.0.0/16 fiind translatate în adrese
publice 81.12.1.2 sau 81.12.2.2 pe porturi diferite , translatare cunoscută ș i sub numele de PAT – Port
Address Translation).
interface FastEthernet1/0
description to LAN HQ
ip address 10.0.100.1 255.255.255.0
ip nat inside – interfața fiind conectată cu LAN este definit nat inside ip
ip virtual -reassembly
duplex half
!
63
interface FastEthernet2/0.400
description INTERNET bkp to switch HQ
encapsulation dot1Q 400
ip addr ess 81.12.2.2 255.255.255.252
ip nat outside – interfața fiind conectată cu WAN este definit nat outside ip
ip virtual -reassembly
!
interface FastEthernet3/0.300
description INTERNET main to switch HQ
encapsulation dot1Q 300
ip address 81.12.1.2 255.255.255.252
ip nat outside
ip virtual -reassembly
!
După cum se poate observa din output -ul de mai jos, din locația CL și din locația CT se tri mit
pachete ICMP către INTERNET, iar în ruterul CPE_HQ se realizeză translația adresei IP, astfel adresa
IP 192.168.1.2 se translateză în adresa 81.12.1.2 pe porturile 49449 – 49451 , iar adresa IP 192.168.2.2
se translatează în adresa 81.12 .1.2 pe porturile 49201 – 49203 .
CPE_HQ#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
udp 81.12.1.2:49449 192.168.1.2:49449 8.8.8.8:33446 8.8.8.8:33446
udp 81.12.1.2:49450 192.168.1.2:49450 8.8.8.8:33447 8.8.8.8:33447
udp 81.12.1.2:49451 192.168.1.2:49451 8.8.8.8:33448 8.8.8.8:33448
udp 81.12.1.2:49201 192.168.2.2:49201 8.8.8.8:33443 8.8.8.8:33443
udp 81.12.1.2:49202 192.168.2.2:49202 8.8.8.8:33444 8.8.8.8:33444
udp 81.12.1.2:49203 192.168.2.2:49203 8.8.8.8:3 3445 8.8.8.8:33445
Pentru configurare NAT , sunt folosite două route -map NAT1 și NAT2 :
ip nat inside source route -map NAT1 interface FastEthernet3/0.300 overload
ip nat inside source route -map NAT2 interface FastEthernet2/0.400 overload
ip access -list extended NAT
permit ip 10.0.0.0 0.0.255.255 any
permit ip 192.168.0.0 0.0.255.255 any
route -map NAT2 permit 10
match ip address NAT
match interface FastEthernet2/0.400
route -map NAT1 permit 10
match ip address NAT
match interface FastEt hernet3/0.300
Route -map-urile NAT1 și NAT2 conțin acces -list-ul NAT prin care se selectează doar adresele
IP de la CPE clientului, pentru a le putea translata în adrese publice de pe interfețele
64
FastEthernet3 /0.30 0, respectiv FastEthernet2/0.400 , interfețe pe care sunt configurate adrese le
IP de WAN și anume 81.12.1.2, respectiv 81.12.2.2.
5.2.6 Configurația ruterului care asigură accesul la internet: INTERNET_ACCESS
Frunizorul de servicii trebuie să asigure în permanență o conexiune la Internet clienților, de
aceea pentru conexiunea la Internet a fost folosită o legătura redundantă din cele două rutere din nucleul
rețelei. Deoarece tabelele de rutare care se transmit între doi funizori de servicii conțin multe rute, se
folosește protocolul de rut are BGP. Astfel pentru conexiunea la internet este configurat protocolul BGP
între aceste rutere astfel :
router bgp 100
no synchronization
bgp log -neighbor -changes
redistribute connected metric 1
redistribute static metric 1
neighbor 109.100.1.2 rem ote-as 500
neighbor 109.100.2.2 remote -as 500
no auto -summary
Se observă ca este folosit un domeniu BGP nou, AS 100, iar vecinii cu care se fac legăturile
BGP sunt: neighbor 109.100.1.2 remote -as 500 care reprezintă legătura de backup către ruterul DR_B uc
și neighbor 109.100.2.2 remote -as 500 care reprezintă legătura principală către ruterul DR_CT.
Este configurată o înterfață virtuală, interfața de loopback, cu adresa IP 8.8.8.8 reprezentând
DNS GOOGLE.
Determinarea căii de transmisie a pachetelor, calea principala sau de backup, este determinată de
către ruterele din nucleu, nu de ruterul INTERNET, deoarece alegerea transmisiei a pachetelor pe o
anumită cale ține cont de politica internă a rețelei.
Se poate observa în figura 5.2.10 căile învățate de ruter prin protocolul BGP.Această informație
este obținută prin comanda: sh ip bgp . Se observă cum ruta principală este favorizată având o metrică
mai mică, întrucât, ruta cu metrica mai mică este aleasă de protocolul BGP. Această infuențare este
realizată pe ruterele din nucl eu prin atribulul MED. Totodată , cele două căi au același traseu prin
domeniile AS.
Figura 5.2.10 Rutele învățate prin BGP de ruterul INTE RNET _ACCESS
65
5.2.7 Configurația ruterului de management și mentenanță: MNG
Face parte din nucleul rețelei, deoarece este inclus în acelasi domeniu AS (AS 500), dar acest
ruter nu este responsabil cu transportarea informației sau cu direcționarea rutelor, rolul său fiind strict
acela de a permite conexiunea pe alte rutere în vederea as igurării controlului și verificărilor unei rețele
de comunicații (mentenanță și management).
router bgp 500
no synchronization
bgp router -id 10.100.1.37
bgp log -neighbor -changes
no auto -summary
!
address -family ipv4 vrf mng
neighbor 10.100.1.38 remote -as 500
neighbor 10.100.1.38 activate
no synchronization
exit-address -family
Conectivitatea pe orice alt echipament de pe acest ruter se face via telnet , fiind necesare un user
și o parolă configurate pe fiecare ruter dupa cum se observă în figura 5.2.11. În figura 5.2.12 este
exemplificată aceasta conexiune. Pentru aceasta e ste utilizată tabela de rutare mng.
Figura 5.2.11 Username și parolă pentru Telnet
Figura 5.2.12 Telnet din ruterul MNG
5.2.8 Configurația nucleului rețelei – CORE
Nucleul aceste rețele este format din cele trei rutere DR_CL, DR_Buc, DR_CT. Acestea sunt
configurate cu protocolul BGP în domeniul AS 500. Toate căile dintre două locații trec prin aceste
rutere , de aceea trebuie ca timpul de nefuncționare al acestora să fie cât mai mic. O problemă apărută pe
oricare din aceste rutere poate afecta întrega rețea, un lucru de nedorit.
Între toate cele trei rutere se configurează protocolul BGP astfel :
66
5.2.8.1 Ruterul DR_CL
Acest ruter nu poate influența calea principală sau de backup, rolul său fiind doar acela de a
asigura conexiunea locației din Cluj cu restul rețelei.
router bgp 500
no synchronization
bgp log -neighbor -changes
redistribute connected
redistribute static
redistribute rip
neighbor 172.16.1.1 remote -as 500
neighbor 172.16.20.1 remote -as 500
no auto -summary
!
address -family ipv4 vrf mng
redistribute connected
redistribute static
neighbor 10.100.1.29 remote -as 500
neighbor 10.100 .1.29 activate
neighbor 10.100.1.34 remote -as 500
neighbor 10.100.1.34 activate
neighbor 10.100.1.37 remote -as 500
neighbor 10.100.1.37 activate
neighbor 10.100.1.37 route -reflector -client
no synchronization
exit-address -family
5.2.8.2 Ruterul DR_CT
Acesta este ruterul de pe ruta principală. Pentru a influența traficul să urmeze acest ruter, au fost
folosite route -map-uri. Astfel pentru a influența traficul să folosească aceast ruter spre rute rul din sediul
central CPE_HQ , este folosit route -map-ul localpref150 , după cum se observă în figura 5.2.13 . Acest
route -map are rolul de a modifica local -prefence de la valoarea standard de 1 00, la o valoare mai mare ,
150 pentru a înfluența traficul. Local -preference cu valoarea mai mare este ales de către ruter. Route –
map –ul este aplicat vecinului 192.168.3.2, car e reprezintă ruterul CPE2_Buc .
Figura 5.2.13 Route -map-ul localpref150 de pe ruterul DR_CT
Pentru a influența traficul către INTERNET este folosit route -map setMED dupa cum se observă
în figura 5.2.14. Acesta , schimbă metrica din 1 ( setată manual default -metric 1 ) în 100.
Pe ruta de backup este folosit route -map setMED, dar acela schimbă metrica în 200. Route -map
–ul este aplicat vecinului 109.100.2.1 care reprez intă ruterul INTERNET.
67
Figura 5.2.14 Route -map-ul setMED de pe ruterul DR_CT
Pentru a influnța traficul către INTERNET este folosit același route -map localpref150 , aplicat de
această dată pe vecinul cu ruterul DR_Buc (62.100.100.1 ).
router bgp 500
no synchronization
bgp log -neighbor -changes
bgp redistribute -internal
redistribute connected metric 1
redistribute static metric 1
redistribute ospf 1
neighbor 172.16.20.2 remote -as 500
neighbor 172.16.200.2 remote -as 500
neighbor 192.168.3.2 remo te-as 800
neighbor 192.168.3.2 route -map localpref150 in
no auto -summary
!
address -family ipv4 vrf mng
redistribute connected
redistribute static
neighbor 10.100.1.26 remote -as 500
neighbor 10.100.1.26 activate
neighbor 10.100.1.33 remote -as 500
neighbor 10.100.1.33 activate
no synchronization
exit-address -family
!
address -family ipv4 vrf internet
neighbor 62.100.100.1 remote -as 500
neighbor 62.100.100.1 activate
neighbor 62.100.100.1 route -map localpref150 out
neighbor 109.100.2.1 remote -as 100
neighbor 109.100.2.1 activate
neighbor 109.100.2.1 route -map setMED out
neighbor 150.1.1.2 remote -as 800
neighbor 150.1.1.2 activate
default -metric 1
no synchronization
exit-address -family
5.2.8.3 Ruterul DR_Buc
Este ruterul de pe calea de backup. Acesta are rolul de a prelua tot traficul în cazul în care apare
o problemă pe ruta principală. Asemănător ca la DR_CT, sunt folosite și aici route -map-uri pentru a
înfluența traficul, cu deosebirea că în acest caz route -map localpref50 modifică valoarea local
preference în 50, astfel ruterul nu preferă această cale ca și cale principală, iar pentru route -map
setMED se modifică metrica la 200.
68
router bgp 500
no synchronization
bgp log -neighbor -changes
redistribute con nected
redistribute static
neighbor 172.16.1.2 remote -as 500
neighbor 172.16.200.1 remote -as 500
neighbor 192.168.4.2 remote -as 800
neighbor 192.168.4.2 route -map localpref50 in
no auto -summary
!
address -family ipv4 vrf mng
redistribute connected
redistribute static
neighbor 10.100.1.25 remote -as 500
neighbor 10.100.1.25 activate
neighbor 10.100.1.30 remote -as 500
neighbor 10.100.1.30 activate
no synchronization
exit-address -family
!
address -family ipv4 vrf internet
redistribute connected
redistribute static
neighbor 62.100.100.2 remote -as 500
neighbor 62.100.100.2 activate
neighbor 62.100.100.2 route -map localpref50 out
neighbor 109.100.1.1 remote -as 100
neighbor 109.100.1.1 activate
neighbor 109.100.1.1 route -map setMED out
neigh bor 160.1.1.2 remote -as 800
neighbor 160.1.1.2 activate
default -metric 1
no synchronization
exit-address -family
5.3 Moduri de funcționare
Există două moduri de funcționare posibile datorită căii redundante. Va funcționa o singură
legătura pe rând, ruta principală sau ruta secundară, niciodată amândouă în același timp.
5.3.1 Modul normal de funcționare
Modul normal presupune funcționarea legăturii principale dintre ruterul din nucleul rețelei și
ruterul din sediul principal, respectiv funcționarea legăturii principale dintre ruterul din nucleu și ruterul
din internet.
Pentru verificarea funcționării normale se face o urmărire a nodurilor prin care trece un pachet
ICMP din ruterul CPE_CT ,respectiv din ruterul CPE_CL, prin comanda tracer oute 8.8.8.8 . După cum
se observă în figurile 5.2.15a și figura 5.2.15b traseul urmat de pachet este prin ruta principală.
69
Figura 5.2.15a Traceroute rută principală din locația CT
Figura 5.2.15 b Traceroute rută pr incipală din locația CL
5.3.1 Modul de funcționare prin backup
Funcționarea prin backup presupune nefuncționalitatea legăturii principale și comutarea
automată pe legătura de backup. Rețeaua are legătura de backup atât pentru conexiunea cu sediul central
,cât și pentru conexiune a la internet.
Pentru verificarea funcț ionalității prin backup este opr ită interfața de pe ruta principală dintre
nucleu și sediul central. După cum se observă în figurile 5.2.16a și 5.2.16 b traficul a fost comutat de pe
192.168.3.2 – 81.12.1.1 -150.1.1.1 pe 192.168.4.2 – 81.12.2.1 -160.1.1.1 – 62.100.100.2 ( reprezentând
legătura principală cu ruterul INTERNET _ACCESS ).
Figura 5.2.16a Traceroute backup din locația CT
70
Figura 5.2.16 b Traceroute backup din locația CL
Se observă în figurile 5.2.17a și 5.2.17b că funcționarea prin legătura de backup nu afectează
traseul pe care traficul îl are între cele două locații CL și CT. Traficul trece prin fără probleme prin
nucleul rețelei.
Figura 5.2.17a Traceroute locații VPN CT – CL
Figura 5.2.17b Traceroute locații VPN CL – CT
O altă functionare de backup o reprezintă funcționarea pe calea către INTERNET. Atunci când
linia principală este nefuncțională și anume linia între DR_CT și INTERNET_ACCESS, traficul este
rerutat către DR_Buc, după cum se observă în figura 5.2.18. Din 150 .1.1.1 nu se duce direct în
109.100.1.1 ci trece prin 62.100.100.1 care reprezintă ruterul DR_Buc:
Figura 5.2.18 Traceroute backup Internet
71
Concluzii
Proiectarea rețelelor și practicile din rețelele de furnizor de servicii de Internet au o influență
semnificativă asupra traficului în Internet. Cum protocoalele de rutare sunt folosite în practică și cum
evenimentele din rețea duc la schimbări în rutare și schimbări în trafic este un concept crucial pentru
crearea unui model de rutare al Internetului p recis.
BGP este un protocol extrem de scalabil, în esență foarte simplu, dar în același timp complex
datorită tuturor modalităților prin care il putem manipula și cum putem controla informațiile prin
atributele prezentate în capitolele anterioare, o cerin ță de dorit într -o rețea care dispune de mai multe
tipuri de linii de transport.
Un neajuns al BGP este faptul că în rețele timpul de convergență este foarte mare. Acest
dezavantaj nu este neapărat din vina protocolului î n sine sau din vina protocolului său de transport, ci
este legat de faptul cum sunt tratate pachetele într -o rețea.
BGP este protocolul prin care se schimbă informații de rutare în Internet între furnizori diferiți și
cu clienți. Așa cum a fost prezentat în capitolele anterioare acest pr otocol poate fi configurat pentru a
asigura o legătură redundantă eficientă și necesară pentru a asigura un procent al disponibilității rețelei
spre 99,99%.
Topologia propusă pentru implementare reprezintă doar un mic exemplu prin care s -au
evidențiat cât eva din multele utilizări ale protocolului, precum și a atributelor sale.
BGP este o componentă de bază a Internetului, conectand practic toate domeniile AS de pe tot
globul. Acest protocol s -a impus datorită adaptării sale continue la diferite cerințe ș i continuă să fie
protocol ul standard de rutare între domenii.
72
73
Bibliografie
[1] http://www.cisco.com/c/en/us/td/docs/ios/12_2/ip/configuration/guide/fipr_c/1cf
bgp.html
[2] https://www.gns3.com/
[3] https://en.wikipedia.org/wiki/Border_Gateway_Protocol
[4] CNP Route – Official Certification Guide Printed in the United States of
America First Print ing January 2010
[5] Reliable Networks with the Border Gateway Protocol – Published by O'Reilly & Associates,
Inc., 1005 Gravenstein Highway North, Sebastopol, CA
[6] A Border Gateway Protocol 4 (BGP -4) – https://tools.ietf.org/html/rfc4271#section -4.3
[7] Border G ateway Protocol (BGP) – http://en.wikipedia.org/wiki/Border_Gateway_Protocol
[8] CCNP Practical Studies: Routing – https://www.informit.com/library
[9] https://networklessons.com/cisco/ccna -routing -switching -icnd1 -100-105/802 -1q-encapsulation –
explained/
[10] http://www.learncisco.net/courses/icnd -2/implementing -an-eigrp -based -solution/dynamic –
routing -protocols.html
[11] http://www.cisco.com/c/en/us/support/docs/ip/border -gateway -protocol -bgp/26634 -bgp-
toc.html
[12] https://networklessons.com/bgp/how -to-configure -bgp-weight -attribute/
[13] Proiectarea rețelelor – Răzvan Ruginiș 2009
[14] http://andrei.clubcisco.ro/cursuri/anul -4/semestrul -1/c1-proiectarea -retelelor.html – Materiale
curs
[15] http://docwiki.cisco.com/wiki/Border_Gate way_Protocol
[16] https://networklessons.com/bgp/how -to-configure -bgp-local -preference -attribute/
[17] https://networklessons.com/bgp/how -to-configure -bgp-med-attribute/
[18] https://networklessons.com/bgp/how -to-configure -bgp-as-path-prepending/
74
75
ANEX Ă
1.CPE_CL
CPE_CL#show running -config
Building configuration…
Current configuration : 1315 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname CPE_CL
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf mng
rd 100:300
username elena pa ssword 0 disertatie
!
!
ip tcp synwait -time 5
!
interface Loopback300
description mng
ip address 10.199.199.2 255.255.255.255
!
interface FastEthernet0/0
no ip address
duplex half
!
interface FastEthernet0/0.30
description VPN to SW1_CL
encapsulation dot1Q 30
ip address 192.168.1.2 255.255.255.252
!
interface FastEthernet0/0.500
description mng to DR_CL
encapsulation dot1Q 500
ip address 10.100.1.43 255.255.255.248
!
interface FastEthernet1/0
description to LAN
ip address 10.0.1.1 255.255.255.0
duplex half
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
ip route vrf mng 0.0.0.0 0.0.0.0 10.100.1.41
!
no ip http server
no ip http secure -server
!
!
no cdp log mismatch duplex
!
!
!
!
control -plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end
1. SW1_CL SW1_CL#show running -config
76
Building configuration…
Current configuration : 1580 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname SW1_CL
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
memory -size iomem 5
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf mng
rd 100:300
!
!
username elena password 0 disertatie
!
!
ip tcp synwait -time 5
!
!
interface FastEthernet0/0
description VPN to CPE_CL
switchport trunk allowed vlan
1,2,30,500,1002 -1005
switchport mode trunk
!
interface FastEthernet0/1
description VPN to DR_CL
switchport trunk allowed vlan
1,2,30,500,1002 -1005
switchport mode trunk
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4 !
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface Fa stEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface Vlan1
no ip address
!
interface Vlan500
description mng to DR_CL
ip address 10.100.1.42 255.255.255.248
!
ip default -gateway 10.100.1.41
no ip http server
no ip http secure -server
!
ip route 10.0.0.0 255.0.0.0 10.100.1.41
!
!
no cdp log mismatch duplex
!
!
!
control -plane
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
77
login local
! !
end
2. DR_CL
DR_CL#show running -config
Building configuration…
Current configuration : 2761 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname DR_CL
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf mng
rd 100:300
!
!
username elena password 0 disertatie
!
!
ip tcp synwait -time 5
!
!
interface Loopback300
ip address 10.199.199.1 255.255.255.255
!
interface FastEthernet0/0
description to DR_Buc
no ip address
duplex half
!
interface FastEthernet0/0.30
description to DR_Buc
encapsulation dot1Q 30
ip address 172.16.1.2 255.255.255.252 !
interface FastEthernet0/0.500
description to DR_Buc
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.30 255.255.255.252
!
interface FastEthernet1/0
description to DR_CT
no ip address
duplex half
!
interface FastEthernet1/0.30
description to DR_CT
encapsulation dot1Q 30
ip address 172.16.20.2 255.255.255.252
!
interface FastEthernet1/0.500
description mng to DR_CT
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.33 255.255.255.252
!
interface FastEthernet2/0
no ip address
duplex half
!
interface FastEthernet2/0.30
description VPN to CPE_CL
encapsulation dot1Q 30
ip address 192.168.1.1 255.255.255.252
!
interface FastEthernet2/0.500
descr iption mng to CPE_CL
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.41 255.255.255.248
!
interface FastEthernet3/0
no ip address
duplex half
!
interface FastEthernet3/0.500
description mng to MNG
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.38 255.255.255.252
!
router bgp 500
no synchronization
78
bgp log -neighbor -changes
redistribute connected
redistribute static
redistribute rip
neighbor 172.16.1.1 remote -as 500
neighbor 172.16.20.1 remote -as 500
no auto -summary
!
address -family ipv4 vrf mng
redistribute connected
redistribute static
neighbor 10.100.1.29 remote -as 500
neighbor 10.100.1.29 activate
neighbor 10.100.1.34 remote -as 500
neighbor 10.100.1.34 activate
neighbor 10.100.1.37 re mote -as 500
neighbor 10.100.1.37 activate
neighbor 10.100.1.37 route -reflector -client
no synchronization
exit-address -family
!
ip route 10.0.1.0 255.255.255.0 192.168.1.2
ip route vrf mng 10.199.199.2
255.255.255.255 10.100.1.43
ip route vrf mng 10.199.199.2
255.255.255.255 10.100.1.42
!
no ip http server
no ip http secure -server !
!
no cdp log mismatch duplex
!
!
control -plane
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end
3. MNG
MNG#sh run
Building configuration…
Current configuration : 1193 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname MNG
!
boot-start-marker
boot-end-marker
!
!
no aaa new -model
no ip icmp rate -limit unreachable
!
! ip cef
no ip domain lookup
!
!
ip vrf mng
description MNG to DR_CL
rd 100:300
!
!
ip tcp synwait -time 5
!
!
interface FastEthernet0/0
no ip address
duplex half
!
interface FastEthernet0/0.500
description MNG to DR_CL
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.37 255.255.255.252
!
79
router bgp 500
no synchronization
bgp router -id 10.100.1.37
bgp log -neighbor -changes
no auto -summary
!
address -family ipv4 vrf mng
neighbor 10.100.1.38 remote -as 500
neighbor 10.100.1.38 activate
no synchr onization
exit-address -family
!
ip route 0.0.0.0 0.0.0.0 10.100.1.38
!
no ip http server
no ip http secure -server
!
!
no cdp log mismatch duplex
!
!
! !
control -plane
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
en
5. DR_Buc
DR_Buc#sh running -config
Building configuration…
Current configuration : 4052 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname DR_Buc
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf internet
rd 100:500 !
ip vrf mng
rd 100:300
!
!
username elena password 0 disertatie
!
!
ip tcp synwait -time 5
!
!
interface Loopback300
description mng
ip address 10.199.199.6 255.255.255.255
!
interface FastEthernet0/0
description to DR_CL
no ip address
duplex half
!
interface FastEthernet0/0.30
description to DR_CL
encapsulation dot1Q 30
ip address 172.16.1.1 255.255.255.252
!
interface FastEthernet0/0.500
description mng to DR_CL
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.29 255.255.255.252
80
!
interface FastEthernet1/0
description to DR_CT
no ip address
duplex half
!
interface FastEthernet1/0.30
description to DR_CT
encapsulation dot1Q 30
ip address 1 72.16.200.2 255.255.255.252
!
interface FastEthernet1/0.100
encapsulation dot1Q 100
ip vrf forwarding internet
ip address 62.100.100.1 255.255.255.252
!
interface FastEthernet1/0.500
description mng to DR_CT
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.26 255.255.255.252
!
interface FastEthernet2/0
description link to INTERNET
ip vrf forwarding internet
ip address 109.100.1.2 255.255.255.252
duplex half
!
interface FastEthernet3/0
description bkp to CPE_Bu c
no ip address
duplex half
!
interface FastEthernet3/0.30
description VPN bkp to CPE_Buc
encapsulation dot1Q 30
ip address 192.168.4.1 255.255.255.252
!
interface FastEthernet3/0.500
description mng bkp to CPE_Buc
encapsulation dot1Q 500
ip vrf fo rwarding mng
ip address 10.100.1.57 255.255.255.252
!
interface FastEthernet4/0
no ip address
duplex half
!
interface FastEthernet4/0.400
description INTERNET backup to
CPE1_Buc
encapsulation dot1Q 400 ip vrf forwarding internet
ip address 160.1.1.1 255.255.255.252
!
interface FastEthernet5/0
no ip address
shutdown
duplex half
!
router bgp 500
no synchronization
bgp log -neighbor -changes
redistribute connected
redistribute static
neighbor 172.16.1.2 remote -as 500
neighbor 172.16.200.1 remote -as 500
neighbor 192.168.4.2 remote -as 800
neighbor 192.168.4.2 route -map localpref50
in
no auto -summary
!
address -family ipv4 vrf mng
redistribute connected
redistribute static
neighbor 10.100.1.25 remote -as 500
neighbor 10.100.1.25 activate
neighbor 10.100.1.30 remote -as 500
neighbor 10.100.1.30 activate
no synchronization
exit-address -family
!
address -family ipv4 vrf internet
redistribute connected
redistribute static
neighbor 62.100.100.2 remote -as 50 0
neighbor 62.100.100.2 activate
neighbor 62.100.100.2 route -map localpref50
out
neighbor 109.100.1.1 remote -as 100
neighbor 109.100.1.1 activate
neighbor 109.100.1.1 route -map setMED out
neighbor 160.1.1.2 remote -as 800
neighbor 160.1.1.2 activate
default -metric 1
no synchronization
exit-address -family
!
ip route vrf mng 10.100.1.20 255.255.255.252
10.100.1.14
ip route vrf mng 10.100.1.64 255.255.255.248
10.100.1.58
ip route vrf mng 10.199.199.7
255.255.255.255 10.100.1.14
81
ip route vrf mng 10.199 .199.7
255.255.255.255 10.100.1.58
!
no ip http server
no ip http secure -server
!
!
!
ip access -list extended ACL_internet
deny ip host 8.8.8.8 any
permit ip any any
access -list 2 permit any
access -list 100 permit ip any any
no cdp log mismatch duplex
!
route -map ACL_internet permit 10
match ip address ACL_internet
!
route -map setMED permit 10
match ip address 2
set metric 200
!
route -map localpref50 permit 10
description local pref 50 backup link match ip address 100
set local -preference 50
!
control-plane
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end
6. DR_CT
DR_CT#sh run
Building configuration…
Current configuration : 4697 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname DR_CT
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf internet rd 100:500
!
ip vrf mng
rd 100:300
!
!
username elena password 0 disertatie
!
!
ip tcp synwait -time 5
!
!
interface Loopback300
description mng
ip address 10.199.199.3 255.255.255.255
!
interface FastEthernet0/0
description to DR_Buc
no ip address
duplex half
!
interface FastEthernet0/0.30
description to DR_Buc
encapsulation dot1Q 30
ip address 172.16.200.1 255.255.255.252
!
interface FastEthernet0/0.100
encapsulation dot1Q 100
82
ip vrf forwarding internet
ip address 62.100.100.2 255.255.255.252
!
interface FastEthernet0/0.500
description mng to DR_Buc
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.25 255.255.255.252
!
interface FastEthernet1/0
description INTERNET main to internet
ip vrf forwarding internet
ip address 109.100.2.2 255.255.255.252
duplex half
!
interface FastEthernet2/0
description to D R_CL
no ip address
duplex half
!
interface FastEthernet2/0.30
description to DR_CL
encapsulation dot1Q 30
ip address 172.16.20.1 255.255.255.252
!
interface FastEthernet2/0.500
description mng to DR_CL
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.34 255.255.255.252
!
interface FastEthernet3/0
description VPN to CPE_CT
no ip address
duplex half
!
interface FastEthernet3/0.30
description VPN to CPE_CT
encapsulation dot1Q 30
ip address 192.168.2.1 255.255.255.252
!
interface FastEthernet3/0.500
description mng to CPE_CT
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.49 255.255.255.248
!
interface FastEthernet4/0
description main to CPE2_Buc
no ip address
duplex half
! interface FastEthernet4/0.40
description VPN main to CPE2_Buc
encapsulation dot1Q 40
ip address 192.168.3.1 255.255.255.252
!
interface FastEthernet4/0.500
description mng to CPE2_Buc_main
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.9 255.255.255.252
!
interface FastEthernet5/0
no ip address
duplex half
!
interface FastEthernet5/0.300
description INTERNET main to CPE2_Buc
encapsulation dot1Q 300
ip vrf forwarding internet
ip address 150.1.1.1 255.255.255.252
!
router ospf 1
log-adjacency -changes
redistribute connected metric 1 subnets
redistribute static metric 1 subnets
redistribute bgp 500 metric 1 subnets
network 10.100.1.32 0.0.0.3 area 0
network 172.16.20.0 0.0.0.3 area 0
network 172.16.200.0 0.0.0.3 area 0
network 192.168.2.0 0.0.0.3 a rea 0
network 192.168.3.0 0.0.0.3 area 0
default -information originate always
!
router bgp 500
no synchronization
bgp log -neighbor -changes
bgp redistribute -internal
redistribute connected metric 1
redistribute static metric 1
redistribute ospf 1
neighbor 172.16.20.2 remote -as 500
neighbor 172.16.200.2 remote -as 500
neighbor 192.168.3.2 remote -as 800
neighbor 192.168.3.2 route -map localpref150
in
no auto -summary
!
address -family ipv4 vrf mng
redistribute connected
redistribute static
neighbor 10.100.1.26 remote -as 500
neighbor 10.100.1.26 activate
83
neighbor 10.100.1.33 remote -as 500
neighbor 10.100.1.33 activate
no synchronization
exit-address -family
!
address -family ipv4 vrf internet
neighbor 62.100.100.1 remote -as 500
neighbor 62.100.100.1 activate
neighbor 62.100.100.1 route -map
localpref150 out
neighbor 109.100.2.1 remote -as 100
neighbor 109.100.2.1 activate
neighbor 109.100.2.1 route -map setMED out
neighbor 150.1.1.2 remote -as 800
neighbor 150.1.1.2 activate
default -metric 1
no synchronization
exit-address -family
!
ip route vrf mng 10.100.1.16 255.255.255.252
10.100.1.10
ip route vrf mng 10.199.199.4
255.255.255.255 10.100.1.51
ip route vrf mng 10.199.199.5
255.255.255.255 10.100.1.10
!
no ip http server
no ip http secure -server
!
!
!
ip access -list extended ACL_internet
deny ip host 8.8.8.8 any
permit ip any any
access -list 1 permit any
access -list 100 permit ip any any
no cdp log mismatch duplex
!
route -map ACL_internet permit 10
match ip address ACL_internet
!
route -map setMED permit 20
match ip address 1
set metric 100
!
route -map localpref150 permit 10
description local pref 150 main link
match ip address 100
set local -preference 150
!
!
control -plane !
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end
7. SW1_CT
SW1_CT#sh running -config
Building configuration…
Current configuration : 1513 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname SW1_CT
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
memory -size iomem 5
no ip routing
no ip icmp rate -limit unreachable
!
!
no ip cef
no ip domain lookup
!
username elena password 0 disertatie
84
!
!
ip tcp synwait -time 5
!
!
interface FastEthernet0/0
description VPN to DR_CT
switchport trunk allowed vlan
1,2,30,500,1002 -1005
switchport mode trunk
!
interface FastEthernet0/1
description VPN to CPE_CT
switchport trunk allowed vlan
1,2,30,500,1002 -1005
switchport mode trunk
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface Fa stEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface Vlan1
no ip address
no ip route -cache
!
interface Vlan500
ip address 10.100.1.50 255.255.255.248
no ip route -cache !
no ip http server
no ip http secure -server
!
!
no cdp log mismatch duplex
!
!
control -plane
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
login local
!
!
end
8.CPE_CT
CPE_CT#sh running -config
Building configuration…
Current configuration : 1770 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname CPE_CT
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
ip cef
no ip domain lookup
!
!
ip vrf mng
85
rd 100:300
!
username elena password 0 disertatie
!
!
ip tcp synwait -time 5
!
interface Loopback300
description mng
ip address 10.199.199.4 255.255.255.255
!
interface FastEthernet0/0
no ip address
duplex half
!
interface FastEthernet0/0.30
description VPN to SW1_CT
encapsulation dot1Q 30
ip address 192.168.2.2 255.255.255.252
!
interface FastEthernet0/0.500
description mng to SW1_CT
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.51 255.255.255.248
!
interface FastEthernet1/0
description to LAN
ip address 10.0.2.1 255.255.255.0
ip access -group ACL_internet in
duplex half
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
router ospf 1
log-adjacency -changes
redistribute connected
redistribute static subnets
network 10.0.2.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.3 area 0
!
ip route 0.0.0.0 0.0.0.0 192.168.2.1
ip route vrf mng 0.0.0.0 0.0.0.0 10.100.1.49
!
no ip http server
no ip http secure -server
!
ip access -list extended ACL_internet
deny ip host 10.0.2.3 host 8.8.8.8 deny ip host 10.0.2.4 host 8.8.8.8
permit ip any any
no cdp log m ismatch duplex
!
control -plane
!
!
gateway
timer receive -rtp 1200
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end
9. CPE1_Buc
CPE1_Buc#sh run
Building configuration…
Current configuration : 2587 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname CPE1_Buc
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
86
!
ip cef
no ip domain lookup
!
!
ip vrf internet
rd 100:500
!
ip vrf mng
rd 100:300
!
!
!
ip tcp synwait -time 5
!
!
interface Loopback100
ip address 3.3.3.3 255.255.255.255
!
interface Loopback300
description mng
ip address 10.199.199.7 255.255.255.255
!
interface FastEthernet0/0
no ip address
duplex half
!
interface FastEthernet0/0.30
description VPN to DR_Buc
encapsulation dot1Q 30
ip address 192.168.4.2 255.255.255.252
!
interface FastEthernet0/0.500
description mng to DR_Buc
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.58 255.255.255.252
!
interface FastEt hernet1/0
description VPN to HQ
ip address 10.0.199.1 255.255.255.248
duplex half
!
interface FastEthernet2/0
no ip address
duplex half
!
interface FastEthernet2/0.400
description INTERNET backup to HQ
encapsulation dot1Q 400
ip vrf forwarding internet
ip address 81.12.2.1 255.255.255.252 !
interface FastEthernet2/0.500
description mng to SW1_Buc
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.69 255.255.255.248
!
interface FastEthernet3/0
no ip address
duplex half
!
interface FastEthernet3/0.400
description INTERNET backup to DR_Buc
encapsulation dot1Q 400
ip vrf forwarding internet
ip address 160.1.1.2 255.255.255.252
!
router bgp 800
no synchronization
bgp router -id 3.3.3.3
bgp log -neighbor -changes
redistribute connected
neighbor 10.0.199.3 remote -as 65500
neighbor 10.0.199.3 timers 5 20
neighbor 192.168.4.1 remote -as 500
neighbor 192.168.4.1 timers 5 20
no auto -summary
!
address -family ipv4 vrf mng
no synchronization
exit-address -family
!
address -family ipv4 vrf internet
redistribute connected metric 1
neighbor 81.12.2.2 remote -as 65500
neighbor 81.12.2.2 timers 5 20
neighbor 81.12.2.2 activate
neighbor 160.1.1.1 remote -as 500
neighbor 160.1.1.1 timers 5 20
neighbor 160.1.1.1 activate
no synchronization
exit-address -family
!
ip route vrf mng 0.0.0.0 0.0.0.0 10.100.1.57
!
no ip http server
no ip http secure -server
!
!
no cdp log mismatch duplex
!
!
87
control -plane
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end CPE1_Buc#sh run
Building configuration…
Current configuration : 2587 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname CPE1_Buc
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf internet
rd 100:500
!
ip vrf mng
rd 100:300 !
!
ip tcp synwait -time 5
!
!
interface Loopback100
ip address 3.3.3.3 255.255.255.255
!
interface Loopback300
description mng
ip address 10.199.199.7 255.255.255.255
!
interface FastEthernet0/0
no ip address
duplex half
!
interface FastEthernet0/0.30
description VPN to DR_Buc
encapsulation dot1Q 30
ip address 192.168.4.2 255.255.255.252
!
interface FastEthernet0/0.500
description mng to DR_Buc
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.58 255.255.255.252
!
interface FastEthernet1/0
description VPN to HQ
ip address 10.0.199.1 255.255.255.248
duplex half
!
interface FastEthernet2/0
no ip address
duplex half
!
interface FastEthernet2/0.400
description INTERNET backup to HQ
encapsulation dot1Q 400
ip vrf forwarding internet
ip address 81.12.2.1 255.255.255.252
!
interface FastEthernet2/0.500
description mng to SW1_Buc
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.69 255.255.255.248
!
interface FastEthernet3/0
no ip address
duplex half
!
88
interface FastEthernet3/0.400
description INTERNET backup to DR_Buc
encapsulation dot1Q 400
ip vrf forwarding internet
ip address 160.1.1.2 255.255.255.252
!
router bgp 800
no synchronization
bgp router -id 3.3.3.3
bgp log -neighbor -changes
redistribute connected
neighbor 10.0.199.3 remote -as 65500
neighbor 10.0.199.3 timers 5 20
neighbor 192.168.4.1 remote -as 500
neighbor 192.168.4.1 timers 5 20
no auto -summary
!
address -family ipv4 vrf mng
no synchronization
exit-address -family
!
address -family ipv4 vrf internet
redistribute connected metric 1
neighbor 81.12.2.2 remote -as 65500
neighbor 81.12.2.2 timers 5 20
neighbor 81.12.2.2 activate
neighbor 160.1.1.1 remote -as 500
neighbor 160.1.1.1 timers 5 20
neighbor 160.1.1.1 activate
no synchronization
exit-address -family
!
ip route vrf mng 0.0.0.0 0.0.0.0 10.100.1.57
!
no ip http server
no ip http secure -server
!
!
no cdp log mismatch duplex
!
!
!
!
control -plane
!
!
!
!
!
!
gatekeeper
shutdown !
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end
10. CPE2_Buc
CPE2_Buc#sh running -config
Building configuration…
Current configuration : 2763 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname CPE2_Buc
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf internet
rd 100:500
!
ip vrf mng
rd 100:300
!
!
username elena password 0 disertatie
!
89
!
ip tcp synwait -time 5
!
!
!
!
!
interface Loopback100
ip address 2.2.2.2 255.255.255.255
!
interface Loopback300
description mng
ip address 10.199.199.5 255.255.255.255
!
interface FastEthernet0/0
no ip address
duplex half
!
interface FastEthernet0/0.40
description VPN to DR_CT
encapsulation dot1Q 40
ip address 192.168.3.2 255.255.255.252
!
interface FastEthernet0/0.500
description mng to DR_CT
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.10 255.255.255.252
!
interface FastEthernet1/0
description VPN to HQ
ip address 10.0.199.2 255.255.255.248
duplex half
!
interface FastEthernet2/0
no ip address
duplex half
!
interface FastEthernet2/0.300
description INTERNET mai n to HQ
encapsulation dot1Q 300
ip vrf forwarding internet
ip address 81.12.1.1 255.255.255.252
!
interface FastEthernet2/0.500
description mng to HQ
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.18 255.255.255.252
!
interface FastEthernet3/0
no ip address
duplex half
!
interface FastEthernet3/0.300
description INTERNET main to DR_CT
encapsulation dot1Q 300 ip vrf forwarding internet
ip address 150.1.1.2 255.255.255.252
!
interface FastEthernet3/0.400
!
router bgp 800
no synchronization
bgp router -id 2.2.2.2
bgp log -neighbor -changes
redistribute connected metric 1
redistribute static metric 1
neighbor 10.0.199.3 remote -as 65500
neighbor 10.0.199.3 timers 5 20
neighbor 10.0.199.3 soft -reconfiguration
inbound
neighbo r 192.168.3.1 remote -as 500
neighbor 192.168.3.1 timers 5 20
default -information originate
no auto -summary
!
address -family ipv4 vrf mng
no synchronization
exit-address -family
!
address -family ipv4 vrf internet
redistribute connected metric 1
neighbor 81.12.1.2 remote -as 65500
neighbor 81.12.1.2 timers 5 20
neighbor 81.12.1.2 activate
neighbor 150.1.1.1 remote -as 500
neighbor 150.1.1.1 timers 5 20
neighbor 150.1.1.1 activate
no synchronization
exit-address -family
!
ip route vrf mng 0.0. 0.0 0.0.0.0 10.100.1.9
!
no ip http server
no ip http secure -server
!
no cdp log mismatch duplex
!
!
control -plane
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
90
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end
11. SW1_Buc
SW1_Buc#sh run
Building configuration…
Current configuration : 2030 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname SW1_Buc
!
boot-start-marker
boot-end-marker
!
!
no aaa new -model
memory -size iomem 5
no ip routing
no ip icmp rate -limit unreachable
!
!
no ip cef
no ip domain lookup
!
!
ip tcp synwait -time 5
!
!
interface FastEthernet0/0
description VPN bkp to CPE1_Buc
switchport trunk allowed vlan
1,2,30,400,500,1002 -1005
switchport mode trunk
!
interface FastEthernet0/1
description VPN bkp to CPE2_Buc
switchport trunk allowed vlan
1,2,40,300,500,1002 -1005
switchport mode trunk
!
interface FastEthernet0/2
description internet to HQ
switchport trunk allowed vlan 1,2,30,300,1002 –
1005
switchport mode trunk !
interface FastEthernet0/3
description INTERNET main to HQ
switchport trunk allowed vlan 1,2,30,300, 1002 –
1005
switchport mode trunk
!
interface FastEthernet0/4
description INTERNET bkp to HQ
switchport trunk allowed vlan 1,2,30,400,1002 –
1005
switchport mode trunk
!
interface FastEthernet0/5
description INTERNET main to CPE2_Buc
switchport trunk allowed vlan 1,2,300,1002 –
1005
switchport mode trunk
!
interface FastEthernet0/6
description INTERNET backup to CPE1_Buc
switchport trunk allowed vlan 1,2,400,1002 –
1005
switchport mode trunk
!
interface FastEthernet0/7
!
interface Fas tEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface Vlan1
no ip address
no ip route -cache
!
interface Vlan500
description mng
ip address 10.100.1.70 255.255.255.248
no ip route -cache
!
no ip http server
no ip http secure -server
!
!
no cdp log mismatch duplex
91
!
!
!
control -plane
!
!
line con 0
exec-timeout 0 0
privilege l evel 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
login local
!
!
end
12. CPE_HQ
CPE_HQ#sh running -config
Building configuration…
Current configuration : 3227 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname CPE_HQ
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf internet
rd 100:500
!
ip vrf mng
rd 100:300
!
username elena password 0 disertatie
!
! ip tcp synwait -time 5
!
!
interface Loopback0
description mng
ip address 10.199.199.8 255.255.255.255
!
interface FastEthernet0/0
description VPN to switch HQ
ip address 10.0.199.3 255.255.255.248
ip nat inside
ip virtual -reassembly
duplex half
!
interface FastEthernet1/0
description to LAN HQ
ip address 10.0.100.1 255.255.255.0
ip nat inside
ip virtual -reassembly
duplex ha lf
!
interface FastEthernet2/0
no ip address
duplex half
!
interface FastEthernet2/0.400
description INTERNET bkp to switch HQ
encapsulation dot1Q 400
ip address 81.12.2.2 255.255.255.252
ip nat outside
ip virtual -reassembly
!
interface FastEthernet 2/0.500
description mng to CPE1_Buc_bkp
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.68 255.255.255.248
!
interface FastEthernet3/0
no ip address
duplex half
!
interface FastEthernet3/0.300
description INTERNET main to switch HQ
encapsulation dot1Q 300
ip address 81.12.1.2 255.255.255.252
ip nat outside
ip virtual -reassembly
!
router bgp 65500
no synchronization
bgp log -neighbor -changes
redistribute static metric 1
neighbor 10.0.199.1 remote -as 800
neighbor 10.0.199.1 ti mers 5 20
neighbor 10.0.199.1 default -originate
neighbor 10.0.199.1 route -map ACL_to_VPN out
92
neighbor 10.0.199.2 remote -as 800
neighbor 10.0.199.2 timers 5 20
neighbor 10.0.199.2 default -originate
neighbor 10.0.199.2 soft -reconfiguration inbound
neighbor 10.0.199.2 weight 500
neighbor 10.0.199.2 route -map ACL_to_VPN out
neighbor 81.12.1.1 remote -as 800
neighbor 81.12.1.1 description main INTERNET
neighbor 81.12.1.1 timers 5 20
neighbor 81.12.1.1 weight 500
neighbor 81.12.2.1 remote -as 800
neighbor 81.12.2.1 description backup
INTERNET
neighbor 81.12.2.1 timers 5 20
no auto -summary
!
ip route vrf mng 0.0.0.0 0.0.0.0 10.100.1.69
!
no ip http server
no ip http secure -server
!
ip nat inside source route -map NAT1 interface
FastEthernet3/0.300 overload
ip nat inside source route -map NAT2 interface
FastEthernet2/0.400 overload
!
!
ip prefix -list 100 description ACL spre VPN
ip prefix -list 100 seq 5 permit 81.12.1.0/30
ip prefix -list 100 seq 10 permit 81.12.2.0/30
!
ip access -list extended NAT
permit ip 10.0.0.0 0.0.255.255 any
permit ip 192.168.0.0 0.0.255.255 any
no cdp log mismatch duplex
!
route -map ACL_to_VPN deny 10
match ip address prefix -list 100
!
route -map ACL_to_VPN permit 20
!
route -map NAT2 permit 10
match ip address NAT
match interface FastEthernet2/0.400
!
route -map NAT1 permit 10
match ip address NAT
match interface FastEthernet3/0.300
!
!
control -plane
!
!
gatekeeper
shutdown
!
! line con 0
13. INTERNET_ACCESS
INTERNET_ACCESS#sh running -config
Building configuration…
Current configuration : 1325 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname INTERNET_ACCESS
!
boot-start-marker
boot-end-marker
!
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
ip tcp synwait -time 5
!
!
interface Loopback100
description DNS GOOGLE
ip address 8.8.8.8 255.255.255.255
!
interface FastEthernet0/0
description bkp link to DR_Buc
ip address 109.100.1.1 255.255.255.252
duplex half
!
interface FastEthernet1/0
description main link to DR_CT
ip address 109.100.2.1 255.255.255.252
duplex half
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
interface FastEthernet 3/0
no ip address
shutdown
duplex half
!
router bgp 100
93
no synchronization
bgp log -neighbor -changes
redistribute connected metric 1
redistribute static metric 1
neighbor 109.100.1.2 remote -as 500
neighbor 109.100.2.2 remote -as 500
no auto -summary
!
!
no ip http server
no ip http secure -server
!
!
no cdp log mismatch duplex
!
!
control -plane
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
94
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: BGP în soluții convergente rețeaua ISP [602356] (ID: 602356)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.