BGP în soluții convergente rețeaua ISP [602485]
Universitatea “Politehnica” din București
Facultatea de Electronică, Telecomunicații și Tehnologia Informației
BGP în soluții convergente – rețeaua ISP
Lucrare de dizertație
prezentată ca cerință parțială pentru obținerea titlului de
Master în domeniul Telecomunicații
programul de studii de masterat Managementul Serviciilor și Rețelelor
Conducător științific Absolvent: [anonimizat]. Roxana ZOICAN Ing. Elena -Adriana STAN
Anul 2017
Cuprins
Introducere ………………………….. ………………………….. ………………………….. ………………………….. ………….. 15
1. Descrierea conceptelor de routing și switching ………………………….. ………………………….. ……………… 17
1.1 Switching ………………………….. ………………………….. ………………………….. ………………………….. …….. 17
1.1.1 VLAN ………………………….. ………………………….. ………………………….. ………………………….. ……. 17
1.1.2 Configurare VLAN ………………………….. ………………………….. ………………………….. ……………… 18
1.2 Routing ………………………….. ………………………….. ………………………….. ………………………….. ………… 19
1.2.1 Protocoale de rutare ………………………….. ………………………….. ………………………….. …………….. 19
1.2.1.1 Rute direct conectate și rutare statice ………………………….. ………………………….. …………….. 19
1.2.1.2 Rutare dinamică ………………………….. ………………………….. ………………………….. …………….. 20
1.2.2 Metrica ………………………….. ………………………….. ………………………….. ………………………….. …… 20
1.2.3 ACL – Access Control Lists ………………………….. ………………………….. ………………………….. …… 21
1.2.4 Route -map ………………………….. ………………………….. ………………………….. ………………………….. . 21
1.2.5 VRF – Virtual Routing and Forwarding ………………………….. ………………………….. ……………….. 22
2 ISP – Furnizorii de servicii de Internet ………………………….. ………………………….. ………………………….. 23
2.1 Noțiuni introductive ………………………….. ………………………….. ………………………….. …………………… 23
2.2 ISP – prezentare generală ………………………….. ………………………….. ………………………….. ……………. 23
2.3 Nivele de clasificare ………………………….. ………………………….. ………………………….. ………………….. 23
2.4 Arhitectura ISP ………………………….. ………………………….. ………………………….. …………………………. 24
2.5 Prot ocoale de rutare utilizate ………………………….. ………………………….. ………………………….. ……….. 25
3. BGP – Border Gateway Protocol ………………………….. ………………………….. ………………………….. ……… 27
3.1 Introducere ………………………….. ………………………….. ………………………….. ………………………….. ……. 27
3.2 Internal BGP (iBGP) și External BGP (eBGP) ………………………….. ………………………….. ………….. 28
3.3 Formatul mesajelor BGP ………………………….. ………………………….. ………………………….. …………….. 28
3.3.1 Mesajul de tip Open ………………………….. ………………………….. ………………………….. ……………… 28
3.3.2 Mesajul de tip Update ………………………….. ………………………….. ………………………….. ………….. 29
3.3.3 Mesajul de tip Notification ………………………….. ………………………….. ………………………….. …… 31
3.3.4 Mesajul de tip Keep_Alive ………………………….. ………………………….. ………………………….. …….. 32
3.4 Stările BGP -ului ………………………….. ………………………….. ………………………….. ………………………… 32
3.5 Atributele BGP ………………………….. ………………………….. ………………………….. ………………………….. 33
3.6 Algoritmul de selecție a rutelor ………………………….. ………………………….. ………………………….. ……. 35
3.7 Indicatorii de timp folosiți în BGP ………………………….. ………………………….. ………………………….. .. 36
4. Exemplu de configurare a protocolului de rutare BGP ………………………….. ………………………….. ……. 37
5. Implementarea practică folosind mediul de simulare GNS3 ………………………….. ……………………….. 41
5.1 Topologia de implementare ………………………….. ………………………….. ………………………….. …………. 41
5.2 Configurarea rețelei ………………………….. ………………………….. ………………………….. ……………………. 42
5.2.1 Configurația ruterului de graniță din Cluj: CPE_CL ………………………….. ………………………….. 43
5.2.2 Configurația ruterului de graniță din Constanța: CPE_CT ………………………….. ………………….. 45
5.2.3 Configurația ruterului de graniță de backup din București: CPE1_Buc ………………………….. … 46
5.2.4 Configurația ruterului de graniță de backup din București: CPE1_Buc ………………………….. … 48
5.2.5 Configurația ruterului Head Quarter: HQ ………………………….. ………………………….. …………….. 50
5.2.6 Configurația ruterului care asigură accesul la internet: INTERNET_ACCESS …………………. 54
5.2.7 Configurația ruterului de management și mentenanță: MNG ………………………….. ………………. 55
5.2.8 Configur ația nucleului rețelei – CORE ………………………….. ………………………….. ………………… 55
5.2.8.1 Ruterul DR_CL ………………………….. ………………………….. ………………………….. …………….. 56
5.2.8. 2 Ruterul DR_CT ………………………….. ………………………….. ………………………….. …………….. 56
5.2.8.3 Ruterul DR_Buc ………………………….. ………………………….. ………………………….. ……………. 57
5.3 Moduri de funcționare ………………………….. ………………………….. ………………………….. ………………… 58
5.3.1 Modul normal de funcționare ………………………….. ………………………….. ………………………….. … 58
5.3.1 Modul de funcționare prin backup ………………………….. ………………………….. ………………………. 59
6. Concluzii ………………………….. ………………………….. ………………………….. ………………………….. ………… 61
7. Bibliografie ………………………….. ………………………….. ………………………….. ………………………….. ……… 63
ANEXĂ ………………………….. ………………………….. ………………………….. ………………………….. ………………. 65
Lista figurilor
Figura 1.1.1.1 VLAN
Figura 1.1.1.2 Conectarea VLAN -urilor[9]
Figura 2.1 Arhitectura ISP
Figura 2.2 Perspectivele protocoalelor de rutare IGP vs EGP[10]
Figura 3.2.1 eBGP și iBGP exemplu[11]
Figura 3.6.1 Exemplificarea atributului weight[12]
Figura 4.1 Topologia pentru exemplificarea configurării protocolului BGP
Figura 5.1.1 Topologia de bază
Figura 5.1.2 Topologia rețelei exemplificată
Figura 5.2.1 Mesajele de ridicare ale protocolului BGP
Figura 5.2.2 Rutele învățate prin BGP de ruterul CPE1_Buc în VRF internet
Figura 5.2.3 Tabela de rutare internet a ruterului CPE1_Buc
Figura 5.2.4 Rutele învățate prin BGP de ruterul CPE1_Buc în tabela globală
Figura 5.2.5 Tabela de rutare internet a ruterului CPE2_Buc
Figura 5.2.6 Tabela de rutare internet a ruterului CPE2_Buc
Figura 5.2.7 Rutele învățate prin BGP de ruterul CPE1_Buc în tabela globală
Figura 5.2.8 Vecinii învățați prin BGP de ruterul CPE_HQ
Figura 5.2.9 Tabela de rutare a CPE_HQ
Figura 5.2.10 Rutele învățate prin BGP de ruterul INTERNET_ACCESS
Figura 5.2.11 Username și parolă pentru Telnet
Figura 5.2.12 Telnet din ruterul MNG
Figura 5.2.13 Route -map-ul localpref150 de pe ruterul DR_CT
Figura 5.2.14 Route -map-ul setMED de pe ruterul DR_CT
Figura 5.2.15a Traceroute rută principală din locația CT
Figura 5.2.15b Traceroute rută principală din locația CL
Figura 5.2.16a Traceroute backup din locația CT
Figura 5.2.16b Traceroute backup din locația CL
Figura 5.2.17a Traceroute locații VPN CT – CL
Figura 5.2.17b Traceroute locații VPN CL – CT
Figura 5.2.18 Traceroute backup Internet
Lista tabelelor
Tabelul 1.2.1.1 Compararație între rutarea statică si rutarea dimanică
Tabelul 3.3.1 Antetul mesajului BGP
Tabelul 3.3.1.1 Formatul mesajului Open
Tabelul 3.3.2.1 Formatul mesajului Update
Tabelul 3.3.3.1 Formatul mesajului Notification
Tabelul 3.5.1 Atributele protocolului BGP
Tabelul 3.5.2 Diferențierea atributelelor protocolului BGP
Tabel 5.2.1 Alocarea adreselor IP
Lista acronimelor
ACL Acces List AS -Autonomous System
BGP Border Gateway Protocol
CMTS Cable Modem Termination System
DHCP Dynamic Host Configuration Protocol
DR Designated Router
DSL Digital Subscriber Line
DSLAM Digital Subscriber Line access multiplexer
EIGRP Enhanced Interior Gateway Routing Protocol
EGP Exterior Gateway Protocol
FTP File Transfer Protocol
HSRP Hot Standby Router Protocol
IEEE Institute of Electrical and Electronic s Engineers
IANA Internet Assigned Numbers Authority
ICMP Internet Control Message Protocol
IGP Interior Gateway Protocol
IP Internet Protocol
IPv4 Internet Protocol version 4
IS-IS Intermediate System to Intermediate System
ISP Internet Service Provider
LAN Local Area Network –
MAC Media Acces Control
MED Multi Exit Discriminator
NAP Network Acces Point
NAT Network Address Translation
OSPF Open Shortest Path First
PAT Port Address Translation
PE Provider Edge
RD Route Distinguisher
RIP Routing Information Protocol
RT Route Target
TCP Transmission Control Protocol
UDP User Datagram Protocol
VLAN Vitrual Local Area Network
VRF Virtual Routing and Forwarding
VPN Virtual Private Network
15
Introducere
În această lucrare am supus unei analize capabilitățile protocolului de rutare BGP – Border
Gateway Protocol. Acesta este singurul protocol exterior de rut are folosit în Internet, utilizat pentru
abilitățile sale precum controlul avansat al politicilor de rutare și scalabilitate extrem de bună. Controlul
avansa t al politicilor de rutare este datorat în primul rând metricii complexe folosite, bazată pe un număr
mare de atribute. Aceste atribute pot fi manipulate într -un număr infinit de moduri datorită hărților de
rute și a altor mecanisme utilizate.
În prima parte a lucrării, a m prezentat pe scurt câteva noțiuni teoretice, precum ce este un
furnizor de servicii de internet, cunoștințe generale de rutare și switching , o descriere a caracteristicilor
protocolul ui BGP și mediul vast în care se folosește aceasta .
Ultima parte a lucrării o reprezintă implementarea practică , care este realizată folosind
programul GN S3, un soft care simulează rețele reale și complexe . Partea practică a constat în
realizareaaa unei rețele care va conține un nucleu de rutere, exemplif icarea de locații în țară, una fiind a
sediului central ( Head Quarter), celelalte fiind ale clienților, care se vor conecta la nucleu, realizând
astfel ISP, crearea unei redundanțe pentru legatura dintre sediul central și nucleu, exemplu de acces la
Inter net a locațiilor, precum și o modalitate de asigurare a mentenanței întregii rețele.
Protocolul BGP este important pentru furnizorii de servicii de internet. Acesta este responsabil
cu transportarea informațiilo r legate de rutarea traficului î ntre domeniil e BGP. Este un protocol care
oferă libertate în configurarea traseului optim având diverse atribute prin care poate fi influențat o rută
în favoarea alteia. Totodată acest protocol are timpi de convergența care pot fi modificați, astfel rețeaua
poate fi mo dificată încât timpul în care serviciile oferite să fie nefuncționale să fie cât mai mic.
Motivul principal pentru care am ales această temă a fost din dorința de a dobândii cât mai multe
cunoștințe despre rețelistică, deoarece o mare parte din tehnologia telecomunicațiilor se bazează pe
rețelistică , pe protocolul IP și pe protocoale de rutare.
16
17
1. Descrierea conceptelor de routing și switching
1.1 Switching
Switchurile sunt folosite pentru a diviza domeniul de coliziunii în domenii de coliziuni mai mici.
Un domeniu de coliziuni este un segment de rețea cu două sau mai multe dispozitive care împart aceeași
largime de bandă. Acest lucrul înseamnă că dacă un dispozitiv tramsite un mesaj de broadcast , mesajul
este recepționat de fiecare dispozitiv din LAN -ul respectiv. Fiecare port al unui switch este un domeniu
de coliziune.
Când un switch este pornit pentru prima oară , memoria lui este goală. Când un dispozitiv
,conectat într -unul din porturile switchului, transm ite un pachet , respectivul pachet conține adresa MAC
(Media Access Control) a dispozitivului conectat, și switchul corelează adresa MAC cu portul în care
este dispozitivul conectat, se scrie în memorie, realizându -se astfel o corespondență intre dispozitiv și
portul în care este conectat. Urmează ca switchul să trimită pachetul în toate porturile , în afară de portul
de pe care a venit, deoarece switchul nu știe unde se află destinatarul. Dacă un dispozitiv răspun de, și
trimite un pachet înapoi , switchul va realiza legătura între adresa MAC ș i portul în care este conectat
dispozitivul care răspunde.
1.1.1 VLAN
VLAN (Vitrual Local Area Network) asigură o împarțire logică a unui LAN în mai multe
domenii de bro adcast. Este o împărțire logică , nu una fizică , deoarece pe un switch pot exista mai multe
VLAN -uri , fiecare VLAN având anumite porturi.
VLAN -urile sunt folosite deoarece reduc traficul format din mesaje de broadcast. De exemplu,
într-un domeniu de broadcast format din 20 de dispozitive, dacă traficul de broadcast este necesar doar
pentru 10 din dispozitive atunci plasând acele 10 dispozitive într -un VLAN reduce traficul total.
Figura 1 .1.1.1 VLAN
18
VLAN -urile sunt identificate prin numere de la 1 l a 4094, iar VLAN -urile 0, 4095 ș i cele de la
1002 la 1 005 sunt rezervate. Fiecare VLAN este o subrețea diferită.
Într-un VLAN , dispozitivele pot fi conecta te in 3 moduri:
1. Modul trunk
Toate pachetele dintr -un link trunk trebuie sa aibă atașate un un câmp de identificare a VLAN –
ului. Aceste câmpuri se numesc trunk.
2. Modul acces
Toate pachetele dintr -un link acces sunt implicit marcate.
3. Modul hibrid
Este o combinație a celor două moduri.
Figura 1 .1.1.2 Conectarea VLAN -urilor [9]
Exemplificarea porturilor având ca exemplu figura 1.1.1.2 :
Primul calculator din partea stângă trimite un pachet primului dispozitiv din partea dreaptă .
Aceste dispozitive se află în același VLAN 10. Când calculatorul din stânga trimite un pachet , acesta nu
are asignat un VLAN. Ac est lucru îl realizează switch -ul la care este conectat , care asociază mesajul ca
făcând parte din VLAN 10. Înainte ca switchul din stânga să trimită mesajul către celalalt switch , acesta
trebuie să -l înștiinteze pe celălalt , din ce VLAN face parte p achetul. Astfel, cand switchul din stânga
trimi te mesajul printr -un port trunk , va adăuga la mesaj un câmp de identificare a VLAN -ului. Astf el ,
swtich -ul din dreapta trimite mesajul că tre VLAN 10.
1.1.2 Configurare VLAN
Pentru a confi gura un VLAN pe un switch se rulează urmatoarele linii de coman dă:
1. Switch# configure terminal
2. Switch(config)# vlan 10
3. Switch(config -vlan)# name test10
19
Explicarea comenzilor rulate:
1. Modul de configurare globală ;
2. Introducerea unui VLAN, pentru crearea lui , sau introducerea unui VLAN existent pentru
modificarea lui
3. Optional se poate introduce un nume pentru VLAN -ul creat.
Pentru configurarea unei interfețe a unui switch în modul acces:
1. Switch# configure terminal – Enter configuration commands, one per line. End with
CNTL/Z.
2. Switch(config)# interface fastethernet0/0
3. Switch(config -if)# switchport mode access(trunk)
4. Switch(config -if)# switchport access vlan 20
Explicarea comenzilor rulate:
1. Modul de configurare globală
2. Accesarea interfeței dorite pentru a o edita
3. Stabilirea modului de conectarea
4. Asignarea interfeței, a VLAN -ului dorit
1.2 Routing
Rutarea este procesul transmiterii pachetelor IP prin rețeaua INTERNET de la dispozitivul care a
format pachetul IP către dispozitivul care trebuie sa primească acest pachet . Acest proces se bazează pe
logica de structurar e layer din rețea , pe rutere, pe switchuri și pe gazde. Dispozitivul care trimite
pachetul se bazeză pe conceptul de Layer 3 pentru crearea pachetului IP.
1.2.1 P rotocoale de rutare
1.2.1.1 Rute direct conectate și rutare statice
Rețele direct conectate la interfața unui ruter sunt adăugate în tabela de rutare a ruterului.
Interfeța are o adresa IP configurată și ambele capete ale linkului trebuie să fie în starea ”up”. Un ruter
poate sa ruteze toate pachetele destinate acelei rețele direct cone ctate.
Rutarea statică poat fi configurată pe un ruter , acesta urmând sa învețe calea catre o rețea , fără
ca ruterul să fie direct conectat la aceasta rețea. Rutele statice sunt adaugate manual setând rețeaua
destinației , masca rețelei, si următorul pas . Următorul pas este adresa IP a vecinului conectat la ruterul
pe care se configurează ruta statică.
20
1.2.1.2 Rutare dinamică
Un ruter poate învăța rute dinamice doar dacă un protocol este activat. Un protocol de rutare
dinamic este folosit pentru a sc himba rute cu alte rutere. Spre deosebire de rutarea statică, pentru rutarea
dinamică nu este necesară configurarea manuală a altor rute. Trebuie aleasă doar rețeaua direct
conectată pe care un utilizator dorește ca alte rețele să o învețe, urmând ca proto colul de rutare să se
ocupe de restul procedurii de înștiințare.
Protocoalele de rutare dinamică sunt:
a) RIP (Routing Information Protocol)
b) EIGRP (Enhanced Interior Gateway Routing Protocol)
c) OSPF (Open Shortest Path First)
d) IS-IS(Intermediate System to Intermediate System)
e) BGP (Border Gateway Protocol)
Rutarea statică Rutarea dimanică
Avantaje Dezavantaje Avantaje Dezavantaje
Ușor de implementat
în rețele mici Folosit în topologii
simple Potrivit în toate tipurile
de topologii Poate fi foarte
complex și greu de
implementat
Securizat, nu sunt
trimise mesaje de
anunțare Complexitatea
configurării crește pe
măsură ce rețeaua
crește Independent de
dimensiunea rețelei Mai puțin securizat
din cauza mesajelor
de update trimise în
rețea
Predictibil, traseul de
la sursă la destinație
este mereu același Dacă se întâmplă ca o
conexiune să pice,
traficul nu este rerutat
și astfel comunicația
este întreruptă. Rerutează automat
traficul în cazul în care
o conexiune este
întreruptă fizic Traseele depind de
topologia rețelei
Tabelul 1.2.1.1 Compararație între rutarea statică si rutarea dimanică
1.2.2 Metrica
Metrica are ca scop determinarea unei rute mai bune atunci când un ruter are de ales între două
sau mai multe căi prin care un pachet ajunge de la sursă la destinație.Fiecare protocol de rutare
folosește propri metrică.
Parametrii care pot fi utilizați în metrică sunt:
➢ Numărul de rutere : se ține cont de numărul de rutere prin care un pachet trebuie să treacă
de la sursă la destinație.
➢ Lărgimea de bandă : se ține cont de dimensiunea linkului prin care pachetul trece.
➢ Întârzierea : se ține cont de timpul necesar ca un pachet să traverseze linkul
➢ Încărcarea : se ține cont de utilizarea traficului pentru un link
➢ Fiabilitatea : se ține cont de probabilitatea unui link de a se defecta
➢ Costul : se ține cont de preferința administratorului de rețea.
21
Fiecare protocol de rutare are propria lui metrică.
➢ RIP : ține cont de numărul de hopuri. Este aleasă calea cu număr ul cel mai mic de hopuri.
➢ EIGRP : ține cont de lățimea de bandă , întârzierea, încărcarea și fiabilitate.
➢ OSPF și IS -IS : ține cont de cost. Este aleasă ruta având costul cel mai mic.
1.2.3 ACL – Access Control Lists
ACL(Acces Control Lists) sunt folosite pentru a filtra traficul de intrare sau de ieșire dintr -un
ruter. Este compus dintr -un set de comenzi, grupate într -un număr sau nume. ACL este creat în modul
global de configurare. Dupa creare este activat pe o interfață, acesta necesitând o spec ificare a tipului de
filtrare: de intrare (traficul ce vine pe o interfață de la o sursă externă) sau de ieșire( traficul ce urmează
să părăseasca ruterul ).
ACL pot fi : standard sau extinse. ACL standard sunt cuprinse între 1 -99, 1300 -1999 iar cele
extinse între 100 -199, 2000 -2699. ACL standard pot filtra pachetele doar după adresa IP sursă a
pachetului, în timp ce ACL extinse pot filtra pachetele dupa adresa IP sursă, informații despre protocol,
a adresei sursă sau destinație (TCP sau UDP) sau în funcți e de numărul portului.
Restricțiile ACL -ului sunt parcurse de sus în jos. Un pachet este comparat cu prima restricție a
ACL -ului și daca este găsită o potrivire va fi executată una din cele două acțiuni incluse in restricție :
acțiune de permitere sau res pingere. Dacă nu este găsita nici o potrivire , se va parcurge toată lista de
restricții până cand este găsită o potrivire, iar dacă nu este găsită o potrivire până la finalul listei,
pachetul este respins.
În parcurgerea listei de restricții a ACL -ului e xista următoarele regului:
➢ Când este găsită o potrivire, parcurgerea listei se oprește
➢ Ordinea restricțiilor este importantă, deoarece după prima potrivire restul listei nu mai
contează
➢ Dacă nu este găsită nici o potrivire, pachetul este respins automat.
Exemple de ACL :
access-list 1 deny host 192.168.0 .1 – acest IP este respins, restul IP -urilor fiind permise access –
list 1 permit any
access -list 10 permit ip 192.168.100 .0 0.0.0.255 192.168.200.0 0.0.0.255 – toate pachetele
având sursă IP 192.168.1 00.0/24 și destinația 192.168.200.0/24 sunt permise, restul fiind respinse
1.2.4 Route -map
Route -map sunt folosite atunci când se redistribuie rute pentru protocoalele de ruta re OSPF ,
RIP sau EIGRP. Există multe asemănări cu ACL -urile:
22
➢ Includ liste ordonate de condițiii, fiecare având o concluzie finala, permitere sau respingere.
Lista se oprește din parcurs atunci când se îndeplinește prima restricție impusă.
➢ Modul în care sunt îndeplinite restricțiile ține cont de felul în care sunt aplicate pe interfețe.
Există și alte diferențe î ntre route -map și ACL:
➢ Route -map folosește ca și criteriu pentru restricții ACL -urile.
➢ ACL au ca rezultat permiterea sau respingerea traficului, iar dacă este aplicat ca o restricție a
unei redistribuiri, ACL determină dacă o rută e ste, sau nu este redistribuită.
➢ Route -map nu doar permite redistribuirea traficului, dar și modifică informații legate de ruta
redistribuită.
➢ ACL este creat pentru a avea ca ultimă restricție o respingere, în timp ce route -map nu
include această restricție.
Comanda pentru a crea un route -map:
route -map nume (permit | deny)
match metric 100 – condiția acestui route -map este ca metrica unei căi sa fie de 100
set metric 300 – dacă se respectă condiția de mai sus => se schimbă metrica căi cu noua valoare
de 250
1.2.5 VRF – Virtual Routing and Forwarding
VRF este o tehnologie care permite divizarea virtuală a tabelei de rutare a unui ruter în mai
multe instanțe separate. Tabelele de rutare fiind diferite, se pot folosi aceleași adrese IP fară a exista un
confli ct între acestea. Traficul fiind separat , crește securitatea și po t fi eliminate autentificările ș i
codările. ISP profită de VR F-uri pentru a crea VPN -uri (Virtual Private Network) separate pentru
utilizatori.
VRF se comportă ca un ruter logic dar , în timp ce un ruter include mai multe tabele de rutare,
VRF folosește o singură tabelă de rutare.
Într-o implementare obișnui tă, rut erul final al clientului , CE(Customer Edge) direcționează
traficul către ruterul de la ma rginea rețelei al furnizorului, PE (Provider Edge), acolo unde tabelele de
rutare sunt virtualizate. Ruterul PE, încapsulează traficul, îl asociază unui anu mit tabel d e rutare virtual
VRF , și trasmite traficul către nucleu rețelei furnizorul ui. Ruterul PE de la destinație , decapsulează
traficul și îl trimite către ruterul de la destinația clientului CE.
Exemplu de configurație :
ip vrf internet
rd 100:500
interface FastEthernet1/0.100
encapsulation dot1Q 100
ip vrf forwarding internet
ip address 62.100.100.1 255.255.255.252
23
2 ISP – Furnizor ii de servicii de Internet
2.1 Noțiuni introductive
Creșterea rapida a rețelei de Internet si apariția furnizorilor de servicii de Internet a fost posibilă
datorită progreselor științifice care au avut loc in secolul trecut. Un factor important a fost introducerea
calculatorului person al la începutul anilor 1980 , o dezvoltarea care a fost posibilă datorită dezvoltărilor
tehnologice în domeniul circuitelor integrate și o scădere rapidă a prețurilor pentru calculatoare. Un alt
factor important a fost apariția Ethernet -ului fiind standardizat de către IEEE(Institute of Electrical and
Electronics Engineers) în seria de stand arde IEEE 802.3, care se definește ca fiind un standard pentru
cablare și semnalizare electrică aparținând primelor două nivele din stiva OSI( Open Systems
Interconnection ) și ca urmare apariția LAN -urilor ( Local Area Network ).
La început ,Internetul era folosit strict pentru știință ,educație și în scopuri militare. În 1991
,regulamentul s -a schimbat pentru a permitet întreprinderilor și consumatorilor conectarea la Internet.
The World este primul furnizor de internet apărut in anul 1989 în Australia, urm ând ca apoi în
anul 1990 să apară peste 10.000 de ISP în toată lumea, jumătate din acestea aflându -se în Statele Unite
ale Americii.
2.2 ISP – prezentare generală
Furnizori de servicii de Internet ( ISP), sunt întreprinderi si organizații care oferă uti lizatorilor
acces la Internet.Acești furnizori conectază clienții la clienții altor furnizori de servicii prin intermediul
rețele lor. Furnizorii de servicii de I nternet sunt companii care oferă servicii de telecomunicații, inclusiv
acces de comunicații de date si legătura telefonică.ISP oferă o punte de legătură între dispozitive care
sunt abonate la un ISP și toate celelalte dispozitive din lume, toate fiind o parte a Internetului.
Un abonat al ISP -ului poate fi o întreprindere, un client individual, o in stituție publică, sau chiar
un alt ISP. Computere individuale și toate celelalte rețele se conectează la ISP la un punct de graniță
(PE- Provider Edge ).Clienții se pot conecta la ISP în mai multe moduri.
Cele mai importante moduri de conectare sunt: dialup , DSL( Digital Subscriber Line), cablu,sau
conexiune prin satelit. O difertență importantă între aceste moduri de conectare constă in viteza pe care
o pot asigura, dialup având viteza cea mai mică, de aproximativ 56kbps, DSL si cablu având viteze de
pâna la 512kbps.
PE sunt localizate la marginea rețelei ISP -ului și deservește o anumită zonă geografică. Ele
asigură un punct de conectare si înregistrare pentru multiplii utilizatori. Un ISP poate avea mai multe Pe
in funcție de aria geografică pe care o deser vește. În cadrul rețelei ISP, ruterele de mare viteză și switch –
urile transportă datele între diferitele PE. Link -uri multiple interconectază PE pentru a oferi rute
alternative în cazul în care unul din link -urile devine supraîncărcat cu trafic sau cade.
2.3 Nivele de clasificare
Internetul are o structură ierarhică. În varful acestei ierarhii sunt organizațiile ISP. Pentru a
schimba date între ele ISP -urile se interconectează prin internediul NAP( Network Acces Point ).
24
Conectarea marilor metropole ale lumii se realizează în punctele NAP prin intermediul unei rețele
principale care în engleză poartă numele de backbone.
În funcție de modul în care un ISP este conectat la acest backbone al Internetului se poate realiza
o clasificare a lor :
1. ISP de nivelul 1 care se află in vârful ierarhiei. Aceștia formează backbone -ul Internetului.
2. ISP de nivelul 2 pentru a furniza abonaților acces la Internet aceștia plătesc ISP de nivel 1
pentru a purta traficul prin echipamentele lor.
3. ISP de nivelul 3 la rândul lor pl ătesc ISP de nivel 2 pentru a purta traficul prin echipamentele
lor.
2.4 Arhitect ura ISP
ISP trebuie să asigure o conexiune sigură la Internet, aceasta necesitând o conexiune cu alți
furnizori de internet. ISP trebuie să fie capabil să gestioneze volu me mari de trafic.
Legătura intre ISP -uri se mai numește și interconectare. Există multe tipuri de interconectare și
multe moduri de interconectare. Acest amestec intre tipul și modul de interconectare influențează
puternic cantitatea de trafic pe care un furnizor de servicii o poate purta ,dar și costul este influențat.
Furnizorul de servicii, ISP , în mod constat trebuie să iși managerize propria rețea. Acesta
trebuie să utilizeze metode de ingineria traficului pentru a evita blocarea rețelei,un lucru de nedorit
atunci când abonații platesc pentru serviciile oferite.
Figura 2 .1 Arhitectura ISP
Câteva din echipamentele necesare pentru a oferii servicii cilenților așa cum se observă în figura
2.1 sunt :
➢ Echipamente de acces, care permit clienților să se conecteze la rețea , cum ar fi
DSLAM( Digital Subscriber Line access multiplexer ) pentru conexiunea DSL,
CMTS( Cable Modem Termination System ) pentru conexiune prin cablu;
25
➢ Rutere de graniță pentru a permite ISP să se conecteze și să transfere date cu alți ISP;
➢ Servere pentru aplicații ca e -mail, transferul de date( FTP – File Transfer Protocol ),
DHCP(Dynamic Host Configuration Protocol) pentru a asocia o adresă IP unui client,
DNS( Domain Name System ) pentru a realiza asocierea între n umele unei adrese web și
adresa IP( Internet Protocol );
În plus frunizorul de servicii trebuie să asigure funcționarea neîntreruptă a echipamentelor și din
punct de vedere energetic și să elimine cantitățile mari de căldură pe care echipamentele le genere ază.
2.5 Protocoale de rutare utilizate
În Internet traseul unui pachet este ales dintr -un ruter în alt ruter. Politica de rutare influențează
traseul urmat de pachet. Atunci când un ruter alege un traseu , acesta trebuie să evite liniile
nefuncționale. Atunci când există mai multe căi de transfer disponibile, funcționale politica de rutare v -a
determina calea de transfer a datelor spre destinație.
Deoarece un furnizor de servicii este întotdeauna conectat cu alți furnizori de servicii , aceștia
trebuie să schimbe între ei informații cu privire la adresele IP pentru a se putea realiza transferul datelor
între emițător și receptor. Protocolul folosit la granița AS( Autonomous Systems ) este BGP( Border
Gateway Protocol ). Ruterele de la granița AS -ului, folose sc BGP exterior ( eBGP ) pentru a schimba
rute. Rutele învațate din exterior sunt distribuite în interiorul AS -ului folosind BGP interior ( iBGP ).
AS(Autonomous Systems ) reprezintă una sau mai multe rețele, acestea la rândul lor fiind formate
din subrețele, toate acestea fiind sub autoritatea aceleiași entități. Chiar dacă un furnizor de servicii
poate folosii mai multe numere AS ,furnizorul este văzut in Internet cu un singur numar AS alocat de
IANA( Internet Assigned Numbers Authority ). Până in 2007,numerele AS erau definite pe 16 biți ,prin
care se puteau aloca 65536 de numere AS. Din anul 2007 , numerele AS au fost definite pe 32 biți.
Există numere AS private între 64,512 – 65,534 dintre cele definite pe 16 biți și între 4,200,000,000 –
4,294,967,294 dintr e cele definite pe 32 de biți acestea putând fi utilizate doar în interiorul rețelei , făra
să fie anunțate în Internet. Primul și ultimul numar AS dintre cele definite pe 16 biți ,0 și 65535, și
ultimul numar AS dintre cele definite pe 32 biți ,4,294,967, 295, sunt rezervate și nu pot fi folosite de
către operatori.
Ideea din spatele AS este aceea că rețeaua nu vede detaliile altei rețele , BGP -ul grupând toate
elementele unei rețele sub un AS, asa cum se observă în figura următoare:
26
Figura 2.2 Perspectivele protocoalelor de rutare IGP vs EGP [10]
BGP,în primul rând, este un protocol de rutare prin incrementare, care după o schimbarea
completă a tabelei de rutare între vecini, nu v -a mai schimba toată tabela de rutare ci doar modificări
apărute i n tabela de rutare. În al doilea rand , BGP este un protocol vector -cale ( path vector ) ,în care
anunțurile conțin o listă de numere AS folosite pentru a ajunge la destinație.În al treilea rând, mesajele
de actualizare ale BGP -ului conțin o lista de atribut e, care descriu caracteristici diferite pentru fiecare
rută anunțată.
Alte protocoale de rutare folosite de un furnizor de servicii pot fi:
➢ RIP( Routing Information Protocol),
➢ OSPF( Open Shortest Path First ),
➢ IS-IS(Intermediate System to Intermediate Sys tem),
➢ EIGRP( Enhanced Interior Gateway Routing Protocol ).
27
3. BGP – Border Gateway Protocol
3.1 Introducere
BGP este un protocol de rutare robust și scalabil, demonstrat de faptul că este protocolul de
rutare folosit în Internet. Furnizorii de servicii de Internet și rețelele de clienți, ca universități și
corporații, folosesc în mod uzual un IGP ( Interior Gateway Protocol) ca RIP Routing Information
Protocol), OSPF( Open Shortest Path First ), sau EIGRP( Enhanced Interior Gateway R outing
Protocol ) pentru schimbul de informații de rutare înă untrul rețelelor lor. Orice comunicație între
aceste IGP și Internet sau între furnizorii de servicii va fi realizată prin intermediul BGP.
Border Gateway Protocol (BGP) înștiințează, învață, și a lege cele mai bune căi din interiorul
internetului la nivel mondial. Când doi ISP se conectează, ei folosesc de obicei BGP pentru a face
schimb de informații de rutare. Împreună, furnizorii de servicii de Internet din lume schimbă tabela de
rutare de Inter net folosind BGP. Și companiile folosesc uneori BGP pentru a face schimb de informații
de rutare cu unul sau mai multe ISP -uri, permițând ruterelor companiilor de a afla rute spre Internet.
Routere care rulează protocolul de rutare BGP sunt denumite speake rs. O pereche de routere
configurate cu protocolul BGP care schimbă informații de rutare între ele sunt numite vecinii BGP.
Deoarece există mai multe căi pentru o anumită destinație, ruterele BGP folosesc o tabelă de rutare
pentru a stoca toate informațiil e cunoscut din topologie despre rețea. Bazat pe tabela de rutare , fiecare
ruter BGP selectează cea mai bună cale pentru fiecare destinație din rețea. Informațiile sunt stocate într –
o tabelă de expediere împreună cu interfața de ieșire pentru a selecta cel mai bun traseu.
O diferență esențiala atunci când se compară BGP cu protocoalele obișnuite de rutare este
algoritmul de alegere a celei mai bune căi . BGP folosește un algoritm pentru a alege cea mai bună cale,
utilizând reguli care se extind dincolo de a legerea doar a traseului cu cea mai mică metrică. Acest
algoritm mai complex de a alege cel mai bun traseu oferă BGP -ului puterea de a permite inginerilor
configurarea mai multe setări diferite, care influențează cel mai bine selecție căii, permițând o mar e
flexibilitate în modul în care ruterele aleg cele mai bune rute.
BGP , în special BGP Versiunea 4, este un protocol de rutare foarte des folosit în zilele noastre,
fiind creat ca un protocol de rutare pentru exterior ( Exterior Gateway Protocol (EGP) ), nu ca un
protocol de rutare pentru interior ( Interior Gateway Protocol (IGP) ). Ca urmare, câte unele scopuri ale
BGP difere de cele ale unui IGP cum ar fi OSPF sau EIGRP, dar unele din scopuri răman aceleași.
În primul rând , dacă privim asemănarile între ac este protocoale de rutare , putem observa că
BGP , la fel ca și OSFP sau EIGRP trebuie să anunțe prefixe IP. BGP trebuie să anunțe si alte informații
pentru ca ruterele să aleagă calea cea mai bună de a trimite pachetele. Ca și mecanism al protocolului,
BGP-ul stabilește o legătura cu vecinii, înainte de a schimba informații despre topologie cu ruterele
vecine.
În ceea ce privește diferențele BGP nu necesită ca vecinii să faca parte din aceeși subrețea. În
schimb, ruterele BGP utilizeză o conexiune TCP (por t 179) între rutere pentru a transmite mesajele
BGP, permițând ruterelor învecinate să fie în aceeași subrețea, sau să fie separate de mai multe rutere. O
altă diferență constă în modul în care protocoalele de rutare aleg cel mai bun traseu. În loc de a al ege cel
mai bun traseu doar prin utilizarea unui număr întreg ,metrica, BGP -ul folosește un proces mult mai
complex, folosind o varietate de informații, numite atribute, care sunt schimbate în actualizările de
rutare ale BGP -ului la fel cum sunt schimbate informațiile metrice ale protocoalelor IGP.
28
3.2 Internal BGP (i BGP ) și External BGP (eBGP)
BGP definește două tipuride vecini : BGP intern (iBGP) și BGP extern (eBGP). Acești termeni
folosesc perspectiva unui singur ruter. Dacă vecinul BGP se află sub același număr AS vorbim despre
iBGP, iar dacă se afla sub numere AS diferite vorbim despre eBGP.
Un ruter se comportă diferit față de vecinul său BGP, dacă acesta e ste un vecin iBGP sau un
vecin eBGP. Câteva diferențe ar fi : reguli diferite în alegerea celei mai bune căi BGP, reguli diferite
privind modul în care ruterele își actualizeză calea de atribute a BGP -ului.
Un ruter actualizează calea AS a BGP -ului când aceasta provine de la un vecin eBGP , dar nu
actualizeză calea AS a BGP -ului când aceasta provine de la un vecin iBGP.
Figura 3.2.1 eBGP și iBGP exemplu [11]
3.3 Formatul mesajelor BGP
Când vecinii BGP stabili o sesiune TCP, ei încep schimbul de infor mații BGP sub formă de
mesaje. Fiecare mesaj începe cu un antet, așa cum se arată în tabelul urmator:
Marker Lungime Tip
16 octeți 2 octeți 1 octet
Tabelul 3.3.1 Antetul mesajului BGP
➢ câmpul marker este utilizat pentru sincronizare și autentificare;
➢ câmpul lungime indică lungimea totală a mesajului în octeți;
➢ câmpul tip specifică tipul mesajului : Open , Update, Notification, Keep -alive;
3.3.1 Mesajul de tip Open
Ambele părți trimit un mesaj de tip Open imediat după ce sesiunea TCP a fost stabil ită.
Mesajul de tip Open transmite informații importante privind configurarea și abilitățile BGP -ului.
29
Formatul mesajului Open este prezentat în tabelul următor :
Versiune AS Timpul de
așteptare Identificator Dimensiunea
parametrilor Parametrii
opționali
1 octet 2 octeți 2 octeți 4 octeți 1 octet 0-255 octeți
Tabelul 3.3.1.1 Formatul mesajului Open
➢ Versiune oferă numărul versiunii BGP -ului astfel încât destinatarul poate stabili dacă execută
aceeași versiune ca emițatorul.
➢ AS oferă numărul AS al emițatorulului.
➢ Timpul de așteptare indică numărul maxim de secunde care poate trece fără primirea unui
mesaj înainte ca emițatorul sa fie presupus a fi nefuncțional.
➢ Identificator oferă identificatorul BGP al expeditorului (adresa IP).
➢ Dimensiunea p arametrilor indică lungimea câmpului parametrilor opționali (dacă sunt
prezenti).
➢ Parametrii opționali conține o listă de parametri opționali (dacă este cazul). Doar un singur
parametru opțional este definit în prezent: informații de autentificare.
Informatiile de autentificare sunt formate din următoarele două câmpuri:
➢ Cod de autentificare: indică tipul de autentificare utilizat.
➢ Date de autentificare: conține datele folosite de mecanismul de autentificare.
3.3.2 Mesajul de tip Update
Mesajele de tip Update șterg sau adaugă rute noi. Ambele sunt opționale, astfel încât un mesaj
update poate șterge rute vechi, poate lista rute noi, sau poate face ambele acțiuni. Următorul tabel
arată formatul mesajului:
Lungime
nefezabilă a
traseelor Trasee șterse Lungimea
atributelor
rutelor Atributele
rutelor Informații de
accesibilitate
a rețelei
2 octeți variabil 2 octeți variabil variabil
Tabelul 3.3.2.1 Formatul mesajului Update
➢ Lungime nefezabilă a traseelor specifică lungimea totală a rutelor retrase; zero înseamnă că
acest câmp este absent.
➢ Trasee șterse conține o lista de prefixe IP a rutelor șterse.
➢ Lungimea atributelor rutelor indică lungimea totală a atributelor rutelor.
➢ Atributele rutelor descrie caracteristicile căii anunțate, având următorul format: 1 octet care
conține indicatorul atribului și 1 octet care conține tipul atribului.
30
Indicatorii atribului sunt următorii:
➢ Bit opțional (bitul 0,cel mai semnificativ bit) :
0 : Atributul este bine cunoscut (toate ruterele BGP trebuie să îl recunoască)
1 : Atributul este optional
➢ Bit tranzitiv (bitul 1)
0 : Atributul nu este tranzitiv
1 : Atributul este tranzitiv sau bine cunoscut
➢ Bit parțial ( bitul 2)
0 : Atributul este comple t, intranzitiv sau bine cunoscut
1 : Informația din atributul tranzitiv opțional este parțială
Atunci când un atribut tranzitiv opțional este transmis de un ruter care nu înțelege opțiunea,
acesta setează bitul parțial astfel încât ruterele urmatoare știu că atributul nu a fost prelucrat după cum
s-a dorit la toate ruterele anterioare.
➢ Bitul de lungime extinsă (bitul 3)
0 : Lungimea atributului este de 1 octet
1 : Lungimea atributului este de 2 octeți
Biții rămași din octetul indicatorului atribului nu sunt folosiți.
Tipul atributului :
➢ Origin este un atribut obligatoriu ,bine -cunoscut care definește originea
informațiilor.Octetul de date poate avea următoarele valori :
0 : IGP(Interior Gateway Protocol) – Informații de accesibilitate a rețelei învățate din
interiorul rețelei
1 : EGP(Exterior Gateway Protocol) – Informații de accesibilitate a rețelei învățate prin
protocolul EGP
2 : Incomplet – Informații de accesibilitate a rețelei învățate prin alte metode
➢ AS_Path este un atribut obligatoriu bine -cunoscut, care este compus dintr -o secvență
de segmente de cale AS. Fiecare segment de cale AS este reprezentat prin următorul
forma t <tipul de segment de cale ; lungimea segmentului de cale ; valoarea
segmentului de cale >
o Tipul de segment de cale este un câmp având dimensiunea de 1 octet cu
următoarele valori :
1 : AS_SET – un set necomandat de căi AS pe care un mesaj de tip Update le -a
traversat
2 : AS_SEQUENCE – un set comandat de căi AS pe care un mesaj de tip
Update le -a traversat
o Lungimea segmentului de cale este un câmp având dimensiunea de 1 octet care
conține numarul de căi AS(nu numărul de octeți) din câmpul tipul de segment
de cale
31
o Valoarea segmentului de cale conține unul sau mai multe numere AS fiecare
fiind codificat într -un câmp având lungimea de 2 octeți
➢ Next_Hop acesta este un atribut obligatoriu bine -cunoscut care definește adresa IP a
ruterului care ar trebui utilizat ca următor pas spre destinația din informația de
accesibilitate a rețelei
➢ Multi_Exit_Disc acesta este un atribut intranzitiv ,opțional ,făra semn, format din 4
octeți. Valoarea acestui atribut poate fi folosită de catre un ruter BGP pentru a alege
între multiplele căi de acces către un alt ruter vecin.
➢ Local_Pref acest a este un atribut bine -cunoscut , făra semn, format din 4 octeți. Un
ruter BGP folosește acest atribut pentru a informa alte rutere cu privire la preferințele
pe care le are cu privire la anumite căi.
Câmpul de informații de accesibilitate a rețelei este de lungime variabilă, dar nu este nevoie
să se includă un câmp de lun gime pentru aceasta, pentru că acesta ocupă spațiul rămas în mesajul
BGP după câmpul atributele rutelor. Conține o listă de prefixe IP pentru rutele anunțate.
3.3.3 Mesajul de tip Notification
Acest pachet este folosit pentru a semnaliza erorile apăru te. Următorul tabel arată formatul
mesajului:
Codul erorii Sub-codul erorii Datele erorii
1 octet 1 octet variabil
Tabelul 3.3.3.1 Formatul mesajului Notification
Codul erorii indică tipul erorii apărute. Tipuri de erori posibile :
➢ Eroare de antet a mesajului – indică o problemă apărută la antetul mesajului ,privind
lungimea, valoare câmpului sau un tip de mesaj neacceptat.Subcoduri ale mesajului de eroare:
1. Conexiune nesincronizată
2. Lungime a mesajului necorespunzătoare
3. Tipul mesajului necorespunzător
➢ Eroare pentru mesajul de tip Open – indică o problemă apărută la un mesaj de tip Open cum ar
fi: versiune nesuportată , număr AS neacceptat, adresă IP neacceptată sau cod de autentificare
neacceptat. Subcoduri ale mesajulu i de eroare:
1. Numarul versiunii neacceptat
2. Numarul AS al vecinului necorespunzător
3. Cod de autentificare nesuportat
4. Eșuarea autentificării
32
➢ Eroare pentru mesajul de tip Update – indică o problemă apărută la un mesaj de tip Update cum
ar fi o eroare apăruta in lista atributelor , o eroare a atributului Next_Hop sau oricare din
celelalte atribute prezentate. Subcoduri ale mesajului de eroare:
1. Lista atributelor incorectă
2. Atribut nerecunoscut
3. Lipsa atributulelor
4. Lungimea atributul ui necorespunzătoare
5. Atribului Origin necorespunzător
6. Atributul Next_Hop necorespunzător
➢ Eroare a timpului de așteptare – indică faptul că timpul de așteptare a expirat , timp după care
un nod BGP va fi considerat nefuncțional.
Sub-codul erorii spefică mai multe informții privind natura erorii raportate.
Datele erorii acest câmp este folosit pentru a diagnostica motivul mesajului de eroare.
3.3.4 Mesajul de tip Keep_Alive
Acest pachet este folosit pentru a determina dacă ruterele vecine sunt accesibile. Un mesaj de tip
Keep_Alive constă doar dintr -un antet și are o dimensiune de 19 octeți.
3.4 Stările BGP -ului
Când BGP este configurat, aceasta trece printr -o serie de etape înainte de a ajunge în starea
dorită, stabilit, în care BGP negociază toți parametrii necesari și este dispus să facă schimb de rute BGP.
Dacă în timpul acestui proces de trecere prin etapele enumărate mai jos eșuează în orice moment,starea
BGP -ului revine la inactiv si procesul începe de la început. Mereu când o c onexiune pică, toate rutele
provenite de la vecinul inactiv vor fi șterse din tabela de rutare.
Stările posibile ale BGP -ului sunt următoarele :
➢ Inactiv
➢ Conectat
➢ Activ
➢ Deschis -trimis
➢ Deschis -confirmat
➢ Stabilit
Fiecare din stările enumerate, sunt însoțite de evenimente BGP. Aceste evenimente apar în
timpul formării unei sesiuni BGP.
33
Evenimentele BGP :
1. Începutul BGP -ului – apare la începutul stării inactiv, și semnalizează începutul sesiunii BGP.
Acest eveniment are loc doar în starea inactiv. Daca un ruter primește un eveniment de început
al BGP -ului și acesta nu se afla în starea inactiv , evenimentul este ignorat.
2. Sfârșitul BGP -ului – semnalizează sfârșitul sesiunii BGP.
3. Deschiderea conex iunii de transport a BGP -ului – semnalizează ruterului că sesiunea TCP este
deschisă și inițializarea resurselor BGP se termină.
4. Închiderea conexiunii de transport a BGP -ului – semnealizează ruterului că sesiunea TCP este
închisă. Acest eveniment declanșează eliberarea resurselor BGP -ului și provoacă BGP -ul
ruterului să revină in starea inactivă.
5. Eșuarea conexiunii de transport a BGP -ului – semnealizează ruterului că sesiunea TCP către
ruter BGP vecin a eșuat. Acest e veniment declanșează eliberarea resurselor BGP -ului și
provoacă BGP -ul ruterului să revină in starea inactivă.
6. Eroare de transport a BGP -ului – semnalizează BGP -ul ruterului că sesiunea TCP cu BGP -ul
vecin are o eroare. Acest eveniment declanșează elibera rea resurselor BGP -ului și provoacă
BGP -ul ruterului să revină in starea inactivă.
7. Expirarea timpului de reconectare – apare când timpul de reconectare a expirat.
8. Expirarea timpului de menținere a conexiunii – apare când timpul de menținere a conexiunii a
expirat. Apare în situația în care vecinul conexiunii BGP nu mai răspunde la mesaje.
9. Expirarea timpului de Keep_Alive – apare când timpul de Keep_Alive a expirat, semnalând că
un mesaj de tipul Keep_Alive nu a fost recepționat de la vecinul conexiunii B GP în timpul
prestabilit.
10. Recepționarea unui mesaj de tip Open – semnalizeză sistemul local ca un mesaj BGP de tip
Open a fost recepționat și sesiunea BGP poate trece în starea deschis -confirmat.
11. Recepționarea unui mesaj de tip Keep_Alive – semnalizeză s istemul local ca un mesaj BGP de
tip Keep_Alive și sesiunea BGP poate trece în starea stabilit.
12. Receptionarea unui mesaj de tip Update – semnalizeză sistemul local ca un mesaj BGP de tip
Update.
13. Receptionarea unui mesaj de tip Notification – semnalizeză sistemul local ca un mesaj BGP de
tip Notification și sesiunea BGP ar trebui închisă.
3.5 Atributele BGP
Atributele se împart în urmatoarele categori:
1. Well -know mandatory
2. Well -know discretionary
3. Optional transitive
4. Optional non -transitive
34
Atributele well -known trebuie să fie recunoscute de toate implementările de BGP.
Unele din aceste atribute sunt mandatory și trebuie să fie incluse in fiecare mesaj de UPDATE.
Altele sunt discretionary și pot fi trimise în mesaje de tip UPDATE , nefiind o bligatoriu, după cum se
poate observa in tabelul 3.5.1.
Atributele Optional nu trebuie sa fie recunoscute de toate implementările de BGP.
Numele atributului Categoria
Origin well-known,mandatory
AS_Path Well -known,mandatory
Next_Hop Well -known,mandatory
Unreachable Well -known,discretionary
Inter -As Metric Optional,non -transitive
Tabelul 3.5.1 Atributele protocolului BGP
Pentru a putea face față întruperilor din internet , cele mai multe rețele de internet care
folosesc BGP se conectează la cel putin două rețele , pentru a asigura o redundanța. Asta înseamnă ca
mai multe destinații sunt accesibile prin mai multe căi posibile. De aceea BGP are nevoie de un
mecanism pentru a selecta cele mai bune căi dintre cele disponibile. Pentru aceasta există mai mul te
atribute prin care se realizează această diferențiere.
Acestea sunt:
Weight este o valoare, aplicată pe ruterul configurat , valorile mari fiind preferate. Are
semnificație locală acesta nefiind transmis altor vecini.
Local Preference este o valoare locală pentru un AS, folosit pentru a indica ruta preferată
atunci când se trece într -un domeniu AS diferit. BGP preferă întotodeauna ruta cu cea mai mare
valoare a Local Preference.
AS_Path este o listă în care sunt incluse toate numere AS prin care a tre cut pachetul de la
sursă la destinație. Acesta este folosit penrtu a preveni apariția unor bucle : un ruter ignoră orice rută pe
care o primește și care conține propriul număr AS. De asemenea , acesta este folosit și pentru a decide
ce cale să fie folosită . Rutele cu AS_Path mic sunt preferante în locul celor cu AS_Path mare.
Multi Exit Discriminator(MED ) acest atribut este folosit pentru a influența traficul către o
rețea destinție , pe o rută către un alt domeniu AS. Rutele cu cel mai mic MED sunt prefera nte.
Next hop conține adresa IP a ruterului care urmează pe cale către destinație.
Origin acest atribut specifică originea update -ului. În functie de sursă acest atribut poate fi:
IGP (”i”) , EGP(”e”) si Necunoscut (”?”).
Communities nu sunt direct folosi te in procesul de selectie al unei căi. Un ruter conține una sau
mai multe comunități. O comunitate este o valoare pe 32 de biți , scirsă sub forma 100:200 unde, 100
este numărul AS, iar 200 este o valoare care are semnificație doar în interiorul domeniulu i AS.
Unreachable acest atribuit este folosit pentru a notifica un vecin BGP , cu privire la unele căi
anunțate anterior , care au devenit inactive.
Inter_As metric acest atribut poate fi folosit pentru căi exterioare, între domenii AS, pentru a
distinge căile de intrare sau ieșire pentru acelasi vecin AS.
35
Atribut Calea este preferată dacă atributul este mai:
Weight Mare
Local Prefence Mare
AS_Path Mic
MED Mic
Origin i > e > ?
Tabelul 3.5.2 Diferențierea atributelelor protocolului BGP
3.6 Algoritmul de selecție a rutelor
Când un ruter are doua sau mai multe căi către o destinație , acesta elimină rutele pe
baza următoarelor criterii de decizie :
1. Alege calea care are configurat cea mai mare valoare pentru atributul Weight.
2. Dacă atributul Weight este egal pentru două rute diferite, urmează ca ruterul sa compare
atributul Local Preference și să aleagă ruta cu valoarea cea mai mare a atribului Local
Preference.
3. Dacă Weight și Local Preference sunt egale, ruterul alege ruta care a fost generată de ruterul
local.
4. Dacă Weight și Local Preference sunt egale , ruterul compară următorul atribut și alege ruta cu
valoarea cea mai mică a atribului AS Path.
5. Dacă toate atributele anterioare sunt egale , ruterul alege calea de origine (i > e > ?)
6. Dacă atributele anterioare sunt egale și sunt mai multe rute către destinație , ruterul preferă
ruta cu valoarea cea mai mica pentru atributul MED.
7. Daca atributul MED este egal pentru rutele disponibile către destinație sau nu este folosit,
atunci ruterul preferă eBGP față de iBGP.
8. Dacă acele rute rămase sunt eBGP , ruterul preferă ruta cu cea mai mică valoare pentru IGP.
9. Dacă rutele sunt externe , ruterul alege ruta cea mai veche.
10. Dacă rutele au fost recepționate în același timp , ruterul alege ruta care provine de la vecinul cu
cel mai mic ID de BGP.
11. Dacă ID sunt identice , atunci ruterul preferă ruta care a venit de la vecinul cu cea mai mica
adresă IP.
36
Figura 3.6.1 Exemplificarea atributului weight [12]
3.7 Indicatorii de timp folosiți în BGP
Timpii pe care protocolul BGP îi foloște sunt keepalive și hold -down. Timpii prestabiliți pentru
protocolul BGP sunt keepalive : 60 de secunde, iar hold -down : 3*keepalive=180 de secunde. După ce a
fost realizată o legătură BGP , ruterul pornește timpul de hold-down de la 0 secunde. Fiecare mesaj de
keepalive este recepționat de la ruterul vecin , resetând timpul de hold -down la 0 secunde. Dacă timp de
180 de secunde nu se recepționează acest mesaj de keepalive, ruterul vecin este considerat nefuncțional
iar rutele primite de la acest ruter sunt eliminate. Acești timpi pot fi modificați prin următoarea comandă
: neighbor x.x.x.x timers keepalive holdown.
37
4. Exemplu de c onfigurare a protocolului de rutare BGP
După ce avem un domeniu AS , un domeniu de adrese IP și o topologie a modului în care ruterele
vor fi conectate, urmează configurarea ruterelor.Acest proces este realizat în urmatoarii pași pentru
topologia urmatoare :
Figura 4 .1 Topologia pentru exemplificarea configurării protocolului BGP
1. Primul pas este trecerea ruterului în modul configurare și pornirea BGP
R1(config)#router bgp 10
R2(config)#router bgp 20
R3(config)#router bgp 30
2. Urmează adăugarea unei adrese IP și a numărului AS a vecinului cu care se dorește reali zarea
legăturii de BGP
R1(config -router)#neighbor 10.100.0.2 remote -as 20
R1(config -router)#neighbor 10.100.1.2 remote -as 30
R3(config -router)#ne ighbor 10.100.1.1 remote -as 10
R2(config -router)#ne ighbor 10.100.0.1 remote -as 10
R1(config -router)#redistribute connected – pentru a distribui rutele conectate
Se observă că ruterul R2 învață calea către ruterul R3 prin BGP prin comanda :
R2#sh ip route
Codes: C – connected, S – static, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
38
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, su – IS-IS summary, L1 – IS-IS level -1, L2 – IS-IS level -2
ia – IS-IS inter area, * – candidate default, U – per-user static route
o – ODR, P – periodic downloaded static route
Gateway of last resort is not set
10.0.0 .0/30 is subnetted, 2 subnets
C 10.100.0.0 is directly connected, FastEthernet0/0
B 10.100.1.0 [20/1] via 10.100.0.1, 00:00:32
Respectiv pentru R3:
R3# sh ip route
Codes: C – connected, S – static, R – RIP, M – mobile, B – BGP
D – EIGR P, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, su – IS-IS summary, L1 – IS-IS level -1, L2 – IS-IS level-2
ia – IS-IS inter area, * – candidate default, U – per-user static route
o – ODR, P – periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/30 is subnetted, 2 subnets
B 10.100.0.0 [20/1] via 10.100.1.1, 00:00:02
C 10.100.1.0 is directly connected, FastEthernet0/0
Ridicarea adiagențelor :
R2-R1: *Jun 23 17:37:22.795: %BGP -5-ADJCHANGE: neighbor 10.100.0.1 Up
R3-R1: *Jun 23 17:40:04.087: %BGP -5-ADJCHANGE: neighbor 10.100.1.1 Up
R1-R2: *Jun 23 17:38:22.495: %BGP -5-ADJCHANGE: neighbor 10.100.0.2 Up
R1-R3: *Jun 23 17:39:23.887: %BGP -5-ADJCHANGE: neighbor 10.100.1.2 Up
Pentru a monitoriza o sesiune de BGP se folosește comanda : show ip bgp summary care va
returna următorul text:
R2#sh ip bgp summary
BGP router identifier 10.100.0.2, local AS number 20
BGP table version is 4, main routing table version 4
2 network entries using 234 bytes of memory
2 path entries using 104 bytes of memory
2/1 BGP path/bestpath attribute entries using 248 bytes o f memory
1 BGP AS -PATH entries using 24 bytes of memory
0 BGP route -map cache entries using 0 bytes of memory
39
0 BGP filter -list cache entries using 0 bytes of memory
BGP using 610 total bytes of memory
BGP activity 2/0 prefixes, 2/0 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.100.0.1 4 10 44 42 4 0 0 00:38:53 2
Din aceast text , ne interesează State/PfxRcd care ne arată star ea si numărul de prefixe
recepționate de la vecin. Dacă ar fi fost trecută starea Idle ar fi fost o problemă ,cel mai probabil
interfața folosită pentru a ajunge la vecin ar fi fost picată. Dacă starea ar fi fost Active, ruteru Dacă
starea ar fi fost Activ e, ruterul încerca să inițieze o sesiune BGP ,dar vecinul nu răspundea.
40
41
5. Implementarea practic ă folosind mediul de simulare GNS3
Mediul de simulare folosit este GNS3 (Graphical Network Simulator). Acesta este un program
ce simulează rețele complexe într -un mod cât mai apropiat de modul în care se comportă rețelele reale.
GNS3 permite rularea virtuala a imaginilor CISCO IOS. Nucleu programului prin care se permite
rularea imaginilor este numit Dynamips.
5.1 Topologia de implementare
Va fi prezentat scenariul de bază pentru o mai bună înțelegere a topologiei de implementare. În
figura de mai jos se poate observa că în topologie există un singur client, având conecta te pe langă
sediul său principal aflat în București (Buc), alte două locații din țară, una în Cluj (CL) , cealaltă fiind la
Constanța (CT). Clientul este conectat la rețea, simbolizată prin cele 3 rutere: DR_CL, DR_CT și
DR_Buc (care constinuie de altfel C ORE -ul rețelei), prin ruterele sale de graniță CPE_CL, CPE_CT,
CPE1_Buc și CPE2_Buc. Accesul în Internet, simbolizat în acest caz prin ruterul
INTERNET_ACCESS, este realizat prin intermediul ruterelor DR_Buc și DR_CT, conectate prin două
căi pentru a asigu ra redundanța rețelei în cazul în care o cale este nefuncțională. Tot traficul clientului
va trece prin sediul central numit HQ (HeadQuarter), concept ce poartă numele de hub(butuc) și
spoke(spițe), acesta oferind următoarele avantaje : tot traficul este supravegheat și securizat de către
sediul central. Pentru managementul și mentenața rețelei a fost introdus routerul MNG, de unde
inginerii se pot conecta pe oricare dintre rutere pentru a verifica echipamentele și pentru a rezolva
problemele apărute.
Figura 5.1.1 Topologia de bază
42
Figura 5.1.2 Topologia rețelei exemplificată
5.2 Configurarea rețelei
Pentru configurarea ruterelor au fost folosite adresele IP din tabelul 5.2.1. Sunt folosite 3
VRF -uri, tabele de rutare separate : VPN , INTERNET și MANAGEMENT .
➢ VRF -ul VPN este folosit pentru a conecta locațiile clientului între ele;
➢ VRF -ul internet este folosit pentru accesul la Internet;
➢ VRF -ul mng este folosit pentru a permite conectarea de la distanța pe echipamente din
rețea în cazul î n care a par probleme sau aspecte legate de reconfigurarea anumitor
echipamente , strict pentru management .
43
VPN INTERNET MANAGEMENT
LAN WAN
10.0.1.0/24 – CL 192.168.1.0/30 -CL 150.1.1.0/30 Buc -main 10.100.1.8/30
10.0.2.0/24 – CT 192.168.2.0/30 -CT 160.1.1.0/30 Buc -bkp 10.100.1.16/30
10.0.100.0/24 – HQ 192.168.3.0/30 -Buc 81.12.1.0/30 Buc -main 10.100.1.24/30
192.168.4.0/30 -Buc 81.12.2.0/30 Buc -bkp 10.100.1.28/30
10.0.199.0/29 -Buc 109.100.1.0/30 Internet bkp 10.100.1.32/30
172.16.1.0/30 -Core 109.100.2.0/3 0 Internet main 10.100.1.36/30
172.16.20.0/30 -Core 62.100.100.0/30 Internet core 10.100.1.40/29
172.16.200.0/30 -Core 10.100.1.48/29
10.100.1.56/30
10.100.1.64/29
Tabelul 5.2.1 Alocarea adreselor IP
Locațiile din rețea sunt conectate la nucleul rețelei astfel:
➢ pentru Constanța este folosit protocolul de rutare OSPF;
➢ pentru Cluj a fost aleasă o rutare statică;
➢ pentru HQ este folosit protocolul BGP.
Locația din sediul central – HQ, este conectată la nucleul rețelei prin două căi, pentru a se
asigura astfel redundanța conexiunii în cazul unei defecțiuni ce poate aparea pe una din cele două trasee
– Head Quarte -ul având o importanță mai mare decât celelalte două locații
Clientul este conectat la un singur furnizor de servicii, ISP, printr -o conectivitate dual -homed,
acesta fiind conectat prin două rutere CPE1_Buc și CPE2_Buc la propriul ruter CPE_HQ .
La rândul lor , cele două rutere CPE , sunt conectate la nucleu rețelei prin BGP .
5.2.1 Configurația ruterului de graniță din Cluj: CPE_CL
Pentru locația din Cluj a fost folosită rețeaua 192.168.1.0/30 pentru conectarea la
nucleu. Adresa IP 192.168.1.1 este atribuită ruterului DR_CL, iar adresa pereche din rețeaua
respectivă 192.168.1.2 este atribuită CPE_CL, pe sub -interfața Fa stEthernet0/0.30. La crearea
unei sub -interfețe, aceasta devine asociată unui VLAN, în cazul de față VLAN 30. Pentru
configurarea interfeței au fost folosite următoarele comenzi :
CPE_CL#conf t
CPE_CL(config)#interface FastEthernet0/0.30
CPE_CL(config -subif)# encapsulation dot1Q 30
CPE_CL(config -subif)# ip address 192.168.1.2 255.255.255.252
A fost folosită o sub -interfață pentru a putea realiza două conexiuni virtuale pe aceeași
conexiune fizică FastEthernet0/0. A doua conexiune fiind a ceea de management. Pentru acestă
conexiune a fost folosită rețeaua 10.100.1.40/29 , adresa IP asociată interfeței
FastEthernet0/0.500 fiind 10.100.1.43 . Se observă ca pentru această conexiune a fost creat
VLAN 500.
CPE_CL#conf t
44
CPE_CL(config)# interface F astEthernet0/0.500
CPE_CL(config -subif)# description mng to DR_CL
CPE_CL(config -subif)# encapsulation dot1Q 500
CPE_CL(config -subif)# ip add ress 10.100.1.43 255.255.255.24
Pentru legătura de WAN, ruterul CPE_CL este conectat la interfața FastEthernet0/0 switchul
SW1_CL prin interfața Fa0/0, responsabil cu transportarea VLAN -urilor către ruterele din nucleu, acest
lucru fiind evidențiat de modul trunk.
interface FastEthernet0/0
description VPN to CPE_CL
switchport trunk allowed vlan 1,2,30 ,500,1002 -1005
switchport mode trunk
Rutarea traficului din această locație spre nucleu se realizează printr -o rută statică, astfel orice
trafic având o adresa IP destinație care nu se află intre cele direct conectate la ruter, este redirecționată
catre ruterul DR_CL, care se va ocupa de rutarea corespunzătoare a traficului.
Cele 2 rute configurate sunt:
ip route 0.0.0.0 0.0.0.0 192.168.1.1 – pentru VPN
ip route vrf mng 0.0.0.0 0.0.0.0 10.100.1.41 – pentru management
CPE_CL#show ip route
Codes: C – connected, S – static, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF ex ternal type 2
i – IS-IS, su – IS-IS summary, L1 – IS-IS level -1, L2 – IS-IS level -2
ia – IS-IS inter area, * – candidate default, U – per-user static route
o – ODR, P – periodic downloaded static route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
C 10.199.199.2/32 is directly connected, Loopback300
C 10.0.1.0/24 is directly connected, FastEthernet1/0
C 10.100.1 .40/29 is directly connected, FastEthernet0/0.500
192.168.1.0/30 is subnetted, 1 subnets
C 192.168.1.0 is directly connected, FastEthernet0/0.30
S* 0.0.0.0/0 [1/0] via 192.168.1.1
Pentru legatura de LAN a fost alocată rețeaua 10.0.1.0/24 , adresa IP asociată interfeței
FastEthernet1/0 fiind 10.0.1.1 . Aceasta reprezintă poarta de ieșire spre nucleul rețelei a clienților
conectați în această locație.
45
5.2.2 Configurația ruterului de graniță din Constanța: CPE_CT
Pentru locația din Constanța a fost folosită rețeaua 192.168.2.0/30 pentru conectarea la nucleu.
Adresa 192.168.2.1 este atribuită ruterului DR_CT, iar adresa pereche din rețeaua respectivă
192.168.2.2 este atribuită ruterului CPE_CT, pe sub -interfața Fast Ethernet0/0.30.
interface FastEthernet0/0.30
description VPN to SW1_CT
encapsulation dot1Q 30
ip address 192.168.2.2 255.255.255.252
Pentru legătura de WAN , este conectat la interfața FastEthernet0/0 switchul SW1_CT prin
interfața Fa0/1, responsabil cu transportarea VLAN -urilor către ruterele din nucleu, ca și la CPE_CL,
acest lucru este evidențiat de modul trunk.
interface FastEthernet0/1
description VPN to CPE_CT
switchport trunk allowed vlan 1,2,30,500,1002 -1005
switchport mode trunk
Rutare a traficului din această locație spre nucleu se realizează prin protocolul OSPF:
router ospf 1
log-adjacency -changes – folosit pentru a trimite mesaje syslog când vecinul își schimbă starea
redistribute connected
redistribute static subnets
network 10.0.2.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.3 area 0
Pe ruterul DR_CT este configurat protocolul OSPF folosit pentru conectarea cu ruterul de
graniță CPE_CT:
router ospf 1
log-adjacency -changes
redistribute connected metric 1 subnets
redistribute static metric 1 subnets
redistribute bgp 500 metric 1 subnets – folosit penrtu a redistribui rutele din BGP
network 10.100.1.32 0.0.0.3 area 0
network 172.16.20.0 0.0.0.3 area 0
network 172.16.200.0 0.0.0.3 area 0
network 192.168.2.0 0. 0.0.3 area 0
network 192.168.3.0 0.0.0.3 area 0
default -information originate always – folosită pentru a injecta ruta default
Pentru redistribuirea rutei default în OSPF este necesară executarea comenzii default –
information originate always , în modul de configurare al OSPF.
Pentru redistribuirea rutelor de către DR_CT învățate prin BGP este nevoie de următoarea
comandă, executată în modul de configurare a BGP – bgp redistribute -internal , iar pentru a redistribui
BGP, rutele învățate prin OSPF este nece sară următoarea comandă, executată tot în modul de
46
configurare a BGP – redistribute ospf 1 :
router bgp 500
no synchronization
bgp log -neighbor -changes
bgp redistribute -internal
redistribute connected metric 1
redistribute static metric 1
redistribute ospf 1
neighbor 172.16.20.2 remote -as 500
neighbor 172.16.200.2 remote -as 500
neighbor 192.168.3.2 remote -as 800
neighbor 192.168.3.2 route -map localpref150 in
no auto -summary
Pentru legatura de LAN a fost alocată rețeaua 10.0.2.0/24 , adresa IP asociată interfeței
FastEthernet1/0 fiind 10.0.2.1 . Aceasta reprezintă poarta de ieșire a clienților conectați în această locație
spre nucleul rețelei. După ruterul de graniță din locație este conectat un switch prin care se pot conecta
mai mul te echipamente din locație la rețea.
Este asigurată astfel conexiunea dintre cele două locații din țară CLUJ -CONSTANȚA; cu un
ping din CPE_CT cu sursă LAN în locația din CL cu destinația LAN se poate evidenția funcționarea
acestei conexiuni:
CPE_CT#ping 10.0.1.1 source FastEthernet1/0
Type escape sequence to abort.
Sending 5, 100 -byte ICMP Echos to 10.0.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.0.2.1
!!!!!
Success rate is 100 percent (5/5), round -trip min/avg/max = 36/61/76 ms
CPE_CL#ping 10.0.2.1 source fastEthernet1/0
Type escape sequence to abort.
Sending 5, 100 -byte ICMP Echos to 10.0.2.1, timeout is 2 seconds:
Packet sent with a source address of 10.0.1.1
!!!!!
Success rate is 100 percent (5/5), round -trip min/avg/max = 44/62/88 ms
5.2.3 Configurația ruterului de graniță de backup din București : CPE 1_Buc
Se configurează o conexiune eBGP ( Extenal BGP) cu ruterul DR_Buc:
router bgp 800 – se activeză protocolul BGP
no synchronization
bgp router -id 3.3.3.3
bgp log -neighbor -changes
redistribute connected – redistribuirea rutelor direct conectate(VPN)
neighbor 192.168.4.1 remote -as 500 – adresa IP a ruterului DR_Buc aflat in AS 500 (VPN)
neighbor 192.168.4.1 timers 5 20 – timpii de actualizare a B GP (VPN)
47
no auto -summary
address -family ipv4 vrf internet – configurarea VRF -ului internet
redistribute connected metric 1
neighbor 160.1.1.1 remote -as 500 – adresa IP a ruterului DR_Buc aflat in AS 500 (internet)
neighbor 160.1.1.1 timers 5 20 – timpii de actualizare a BGP(internet)
neighbor 160.1.1.1 activate
no synchronization
exit-address -family
Timpii de actualizare ai eBGP au fost micșorați , pentru a micșora timpul de stabiliare a
conexiunii, standard aceștia fiind timers 60 180 . În figura 5 .2.1 este un exemplu extras de pe ruterul
CPE1_Buc în care se observă timpul de stabilire a con exiunii BGP cu ruterul DR_Buc . Din momentul
în care interfața s -a ridic at, au mai trecut aproximativ 27 de secunde până când conexiunea BGP s -a
ridicat :
Figura 5 .2.1 Mesajele de ridicare ale protocolului BGP
Se configurează o conexiune eBGP cu ruterul clientului CPE_HQ:
router bgp 800 – se activeză protocolul BGP
no synchronization
bgp router -id 3.3.3.3
bgp log -neighbor -changes
redistribute connected – redistribuirea rutelor direct conectate(VPN)
neighbor 10.0.199.3 remote -as 65500 – adresa IP a ruterului CPE_HQ aflat in AS 65500 (VPN)
neighbor 10.0.199.3 timers 5 20 – timpii de actualizare a BGP (VPN)
no auto -summary
address -family ipv4 vrf internet – configurarea VRF -ului internet
redistribute connected metric 1
neighbor 81.12.2.2 remote -as 65500 – adresa IP a ruterului CPE_HQ aflat in AS 65500
(internet)
neighbor 81.12.2.2 timers 5 20 – timpii de actualizare a BGP (VPN)
neighbor 81.12.2.2 activate
no synchronization
exit-address -family
În figura 5.2.2 se observă legăturile BGP create intre ruter și celelalte două rutere vecine
CPE_HQ și DR_Buc, verificare realizată cu comanda : sh ip bgp vpnv4 vrf internet summary de unde
se observă că se vor afisa doar rutele din ta bela internet .
Figura 5. 2.2 Rutele învățat e prin BGP de ruterul CPE1_Buc în VRF internet
Se observă că dinspre CPE_HQ (82.12.2.2) nu se invață nici o rută deoarece acesta nu conține
48
tabele de rutare separate, în schimb se învață 3 rute dispre DR_Buc după cum se poate vedea în figura
5.2.3 , cele 3 rute fiind 8.8.8.8, 109.100.1 .0 și 109.100.2.0 reprezentând legăturil e între ruterele din
nucleu și INTERNET.
Figura 5.2.3 Tabela de rutare internet a ruterului CPE1_Buc
În figura 5 .2.4 se observă rutele învățate de ruter din tabela de rutare globală, informație obținută
prin comanda : sh ip bgp summary .
Figura 5 .2.4 Rutele învățat e prin BGP de ruterul CPE1_Buc în tabela globală
5.2.4 Configurația ruterului de graniță de backup din București: CPE1_Buc
Asemănător cu CPE1_Buc, se configurează o conexiune eBGP ( Extenal BGP) cu ruterul
DR_Buc:
49
router bgp 800
no synchronization
bgp router -id 2.2.2.2
bgp log -neighbor -changes
redistribute connected metric 1
redistribute static metric 1
neighbor 192.168.3.1 remote -as 500
neighbor 192.168.3.1 timers 5 20
default -information originate
no auto -summary
address -family ipv4 vrf internet
redistribute connected metric 1
neighbor 150.1.1.1 remote -as 500
neighbor 150.1.1.1 timers 5 20
neighbor 150.1.1.1 activate
no synchronization
exit-address -family
Se configurează o conexiune eBGP cu ruterul clientului CPE_HQ:
router bgp 800
no synchronization
bgp router -id 2.2.2.2
bgp log -neighbor -changes
redistribute connected metric 1
redistribute static metric 1
neighbor 10.0.199.3 remote -as 65500
neighbor 10.0.199.3 timers 5 20
neighbor 10.0.199.3 soft -reconfiguration inbound
default -information originate
no auto -summary
address -family ipv4 vrf internet
redistribute connected metric 1
neighbor 81.12.1.2 remote -as 65500
neighbor 81.12.1.2 timers 5 20
neighbor 81.12.1.2 activate
no synchronization
exit-address -family
Figura 5.2.5 Tabela de rutar e internet a ruterului CPE2 _Buc
50
Figura 5.2.6 Tabela de rutar e internet a ruterului CPE2 _Buc
Figura 5.2.7 Rutele învățat e prin BGP de ruterul CPE1_Buc în tabela globală
5.2.5 Configurația ruterului Head Quarter: HQ
Este configurată o conexiune eBGP cu cele două rutere CPE astfel încât tot traficul est e
direcționt pe ruta principala, prin ruterul DR_CT . Acestă influențare a traficului este realizată prin
atributul weight setat în configurarea BGP cu valoarea 500 care este mai mare decât valoarea standard
de 100 și astfel tot traficul va fi direcționat prin vecinul cu weight 500.
Tot pe acest ruter este configurată și ruta default: neighbor 10.0.199.1 default -originate / neighbo r
10.0.199.2 default -originate. Astfel prin protocolul BGP se transmite vecinilor ruta default. Toti ceilal ți
51
vecini vor șt i să trimită pachetele care au ca destinație INTERNET către ruterul HQ deoarece acesta
deține informațiile de rutare corespunzătoare.
router bgp 65500
no synchronization
bgp log -neighbor -changes
redistribute static metric 1
neighbor 10.0.199.1 remote -as 800
neighbor 10.0.199.1 timers 5 20
neighbor 10.0.199.1 default -originate
neighbor 10.0.199.1 route -map ACL_to_VPN out
neighbo r 10.0.199.2 remote -as 800
neighbor 10.0.199.2 timers 5 20
neighbor 10.0.199.2 default -originate
neighbor 10.0.199.2 soft -reconfiguration inbound
neighbor 10.0.199.2 weight 500
neighbor 10.0.199.2 route -map ACL_to_VPN out
neighbor 81.12.1.1 remote -as 800
neighbor 81.12.1.1 description main INTERNET
neighbor 81.12.1.1 timers 5 20
neighbor 81.12.1.1 weight 500
neighbor 81.12.2.1 remote -as 800
neighbor 81.12.2.1 description backup INTERNET
neighbor 81.12.2.1 timers 5 20
no auto -summary
În figura 5.2.8 se observă vecinii BGP, domeniul AS din care face parte fiecare vecin, timpul de
când sesiunea este activă, numărul de a drese IP învățate de la fiecare vecin .
Figura 5.2.8 Vecinii învățați prin BGP de ruterul CPE_HQ
Fiind sediul central se observă că numărul de rute pe care ruterul le învață de la vecini este mare.
52
Figura 5.2.9 Tabela de rutare a CPE_HQ
Tot pe acest ruter se realizează ș i NA T (Network Address Translation) , adresele IP de LAN fiind
translatat e în adrese IP de WAN (adresele private 10.0.0.0/8 și 192.168.0.0/16 fiind translatate în adrese
publice 81.12.1.2 sau 81.12.2.2 pe porturi diferite , translatare cunoscută ș i sub numele de PAT – Port
Address Translation).
interface FastEthernet1/0
description to LAN HQ
ip address 10.0.100.1 255.255.255.0
ip nat inside – interfața fiind conectată cu LAN este definit nat inside ip
ip virtual -reassembly
duplex half
!
53
interface FastEthernet2/0.400
description INTERNET bkp to switch HQ
encapsula tion dot1Q 400
ip address 81.12.2.2 255.255.255.252
ip nat outside – interfața fiind conectată cu WAN este definit nat outside ip
ip virtual -reassembly
!
interface FastEthernet3/0.300
description INTERNET main to switch HQ
encapsulation dot1Q 300
ip address 81.12.1.2 255.255.255.252
ip nat outside
ip virtual -reassembly
!
După cum se poate observa din output -ul de mai jos, din locația CL și din locația CT se tri mit
pachete ICMP către INTERNET, iar în ruterul CPE_HQ se realizeză translația adresei IP, astfel adresa
IP 192.168.1.2 se translateză în adresa 81.12.1.2 pe porturile 49449 – 49451 , iar adresa IP 192.168.2.2
se translatează în adresa 81.12 .1.2 pe porturile 49201 – 49203 .
CPE_HQ#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
udp 81.12.1.2:49449 192.168.1.2:49449 8.8.8.8:33446 8.8.8.8:33446
udp 81.12.1.2:49450 192.168.1.2:49450 8.8.8.8:33447 8.8.8.8:33447
udp 81.12.1.2:49451 192.168.1.2:49451 8.8.8.8:33448 8.8.8.8:33448
udp 81.12.1.2:49201 192.168.2.2:49201 8.8.8.8:33443 8.8.8.8:33443
udp 81.12.1.2:49202 192.168.2.2:49202 8.8.8.8:33444 8.8.8.8:33444
udp 81.12.1.2:49203 192.168.2.2:49203 8.8.8.8:3 3445 8.8.8.8:33445
Pentru configurare NAT , sunt folosite două route -map NAT1 și NAT2 :
ip nat inside source route -map NAT1 interface FastEthernet3/0.300 overload
ip nat inside source route -map NAT2 interface FastEthernet2/0.400 overload
ip access -list extended NAT
permit ip 10.0.0.0 0.0.255.255 any
permit ip 192.168.0.0 0.0.255.255 any
route -map NAT2 permit 10
match ip address NAT
match interface FastEthernet2/0.400
route -map NAT1 permit 10
match ip address NAT
match interface FastEt hernet3/0.300
Route -map-urile NAT1 și NAT2 conțin acces -list-ul NAT prin care se selectează doar adresele
IP de la CPE clientului, pentru a le putea translata în adrese publice de pe interfețele
54
FastEthernet3 /0.30 0, respectiv FastEthernet2/0.400 , interfețe pe care sunt configurate adrese le
IP de WAN și anume 81.12.1.2, respectiv 81.12.2.2.
5.2.6 Configurația ruterului care asigură accesul la internet: INTERNET_ACCESS
Frunizorul de servicii trebuie să asigure în permanență o conexiune la Internet clienților, de
aceea pentru conexiunea la Internet a fost folosită o legătura redundantă din cele două rutere din nucleul
rețelei. Deoarece tabelele de rutare care se transmit între doi funizori de servicii conțin multe rute, se
folosește protocolul de rut are BGP. Astfel pentru conexiunea la internet este configurat protocolul BGP
între aceste rutere astfel :
router bgp 100
no synchronization
bgp log -neighbor -changes
redistribute connected metric 1
redistribute static metric 1
neighbor 109.100.1.2 rem ote-as 500
neighbor 109.100.2.2 remote -as 500
no auto -summary
Se observă ca este folosit un domeniu BGP nou, AS 100, iar vecinii cu care se fac legăturile
BGP sunt: neighbor 109.100.1.2 remote -as 500 care reprezintă legătura de backup către ruterul DR_B uc
și neighbor 109.100.2.2 remote -as 500 care reprezintă legătura principală către ruterul DR_CT.
Este configurată o înterfață virtuală, interfața de loopback, cu adresa IP 8.8.8.8 reprezentând
DNS GOOGLE.
Determinarea căii de transmisie a pachetelor, calea principala sau de backup, este determinată de
către ruterele din nucleu, nu de ruterul INTERNET, deoarece alegerea transmisiei a pachetelor pe o
anumită cale ține cont de politica internă a rețelei.
Se poate observa în figura 5.2.10 căile învățate de ruter prin protocolul BGP.Această informație
este obținută prin comanda: sh ip bgp . Se observă cum ruta principală este favorizată având o metrică
mai mică, întrucât, ruta cu metrica mai mică este aleasă de protocolul BGP. Această infuențare este
realizată pe ruterele din nucl eu prin atribulul MED. Totodată , cele două căi au același traseu prin
domeniile AS.
55
Figura 5.2.10 Rutele învățate prin BGP de ruterul INTE RNET _ACCESS
5.2.7 Configurația ruterului de management și mentenanță: MNG
Face parte din nucleul rețelei, deoarece este inclus în acelasi domeniu AS (AS 500), dar acest
ruter nu este responsabil cu transportarea informației sau cu direcționarea rutelor, rolul său fiind strict
acela de a permite conexiunea pe alte rutere în vederea as igurării controlului și verificărilor unei rețele
de comunicații (mentenanță și management).
router bgp 500
no synchronization
bgp router -id 10.100.1.37
bgp log -neighbor -changes
no auto -summary
!
address -family ipv4 vrf mng
neighbor 10.100.1.38 remote -as 500
neighbor 10.100.1.38 activate
no synchronization
exit-address -family
Conectivitatea pe orice alt echipament de pe acest ruter se face via telnet , fiind necesare un user
și o parolă configurate pe fiecare ruter dupa c um se observă în figura 5.2.11. În figura 5.2.12 este
exemplificată aceasta conexiune. Pentru aceasta e ste utilizată tabela de rutare mng.
Figura 5.2.11 Username și parolă pentru Telnet
Figura 5.2.12 Telnet din ruterul MNG
5.2.8 Configurația nucleului rețelei – CORE
Nucleul aceste rețele este format din cele trei rutere DR_CL, DR_Buc, DR_CT. Acestea sunt
configurate cu protocolul BGP în domeniul AS 500. Toate căile dintre două locații trec prin aceste
rutere, de aceea trebuie ca timpul de nefuncționare al acestora să fie cât mai mic. O problemă apărută pe
oricare din aceste rutere poate afecta întrega rețea, un lucru de nedorit.
56
Între toate cele trei rutere se configurează protocolul BGP astfel :
5.2.8.1 Ruterul DR_CL
Acest ruter nu poate influența calea principală sau de backup, rolul său fiind doar acela de a
asigura conexiunea locației din Cluj cu restul rețelei.
router bgp 500
no synchronization
bgp log -neighbor -changes
redistribute connected
redistribute static
redistribute rip
neighbor 172.16.1.1 remote -as 500
neighbor 172.16.20.1 remote -as 500
no auto -summary
!
address -family ipv4 vrf mng
redistribute connected
redistribute static
neighbor 10.100.1.29 remote -as 500
neighbor 10.100 .1.29 activate
neighbor 10.100.1.34 remote -as 500
neighbor 10.100.1.34 activate
neighbor 10.100.1.37 remote -as 500
neighbor 10.100.1.37 activate
neighbor 10.100.1.37 route -reflector -client
no synchronization
exit-address -family
5.2.8.2 Ruterul DR_CT
Acesta este ruterul de pe ruta principală. Pentru a influența traficul să urmeze acest ruter, au fost
folosite route -map-uri. Astfel pentru a influența traficul să folosească aceast ruter spre rute rul din sediul
central CPE_HQ , este folosit route -map-ul localpref150 , după cum se observă în figura 5.2.13 . Acest
route -map are rolul de a modifica local -prefence de la valoarea standard de 1 00, la o valoare mai mare ,
150 pentru a înfluența traficul. Local -preference cu valoarea mai mare este ales de către ruter. Route –
map –ul este aplicat vecinului 192.168.3.2, car e reprezintă ruterul CPE2_Buc .
Figura 5.2.13 Route -map-ul localpref150 de pe ruterul DR_CT
Pentru a influența traficul către INTERNET este folosit route -map setMED dupa cum se observă
în figura 5.2.14. Acesta , schimbă metrica din 1 ( setată manual default -metric 1 ) în 100.
Pe ruta de backup este folosit route -map setMED, dar acela schimbă metrica în 200. Route -map
–ul este aplicat vecinului 109.100.2.1 care reprez intă ruterul INTERNET.
57
Figura 5.2.14 Route -map-ul setMED de pe ruterul DR_CT
Pentru a influnța traficul către INTERNET este folosit același route -map localpref150 , aplicat de
această dată pe vecinul cu ruterul DR_Buc (62.100.100.1 ).
router bgp 500
no synchronization
bgp log -neighbor -changes
bgp redistribute -internal
redistribute connected metric 1
redistribute static metric 1
redistribute ospf 1
neighbor 172.16.20.2 remote -as 500
neighbor 172.16.200.2 remote -as 500
neighbor 192.168.3.2 remo te-as 800
neighbor 192.168.3.2 route -map localpref150 in
no auto -summary
!
address -family ipv4 vrf mng
redistribute connected
redistribute static
neighbor 10.100.1.26 remote -as 500
neighbor 10.100.1.26 activate
neighbor 10.100.1.33 remote -as 500
neighbor 10.100.1.33 activate
no synchronization
exit-address -family
!
address -family ipv4 vrf internet
neighbor 62.100.100.1 remote -as 500
neighbor 62.100.100.1 activate
neighbor 62.100.100.1 route -map localpref150 out
neighbor 109.100.2.1 remote -as 100
neighbor 109.100.2.1 activate
neighbor 109.100.2.1 route -map setMED out
neighbor 150.1.1.2 remote -as 800
neighbor 150.1.1.2 activate
default -metric 1
no synchronization
exit-address -family
5.2.8.3 Ruterul DR_Buc
Este ruterul de pe calea de backup. Acesta are rolul de a prelua tot traficul în cazul în care apare
o problemă pe ruta principală. Asemănător ca la DR_CT, sunt folosite și aici route -map-uri pentru a
înfluența traficul, cu deosebirea că în acest caz route -map localpref50 modifică valoarea local
preference în 50, astfel ruterul nu preferă această cale ca și cale principală, iar pentru route -map
setMED se modifică metrica la 200.
58
router bgp 500
no synchronization
bgp log -neighbor -changes
redistribute con nected
redistribute static
neighbor 172.16.1.2 remote -as 500
neighbor 172.16.200.1 remote -as 500
neighbor 192.168.4.2 remote -as 800
neighbor 192.168.4.2 route -map localpref50 in
no auto -summary
!
address -family ipv4 vrf mng
redistribute connected
redistribute static
neighbor 10.100.1.25 remote -as 500
neighbor 10.100.1.25 activate
neighbor 10.100.1.30 remote -as 500
neighbor 10.100.1.30 activate
no synchronization
exit-address -family
!
address -family ipv4 vrf internet
redistribute connected
redistribute static
neighbor 62.100.100.2 remote -as 500
neighbor 62.100.100.2 activate
neighbor 62.100.100.2 route -map localpref50 out
neighbor 109.100.1.1 remote -as 100
neighbor 109.100.1.1 activate
neighbor 109.100.1.1 route -map setMED out
neigh bor 160.1.1.2 remote -as 800
neighbor 160.1.1.2 activate
default -metric 1
no synchronization
exit-address -family
5.3 Moduri de funcționare
Există două moduri de funcționare posibile datorită căii redundante. Va funcționa o singură
legătura pe rând, ruta principală sau ruta secundară, niciodată amândouă în același timp.
5.3.1 Modul normal de funcționare
Modul normal presupune funcționarea legăturii principale dintre ruterul din nucleul rețelei și
ruterul din sediul principal, respectiv funcționarea legăturii principale dintre ruterul din nucleu și ruterul
din internet.
Pentru verificarea funcționării normale se face o urmărire a nodurilor prin care trece un pachet
ICMP din ruterul CPE_CT ,respectiv din ruterul CPE_CL, prin comanda tracer oute 8.8.8.8 . După cum
se observă în figurile 5.2.15a și figura 5.2.15b traseul urmat de pachet este prin ruta principală.
59
Figura 5.2.15a Traceroute rută principală din locația CT
Figura 5.2.15 b Traceroute rută pr incipală din locația CL
5.3.1 Modul de funcționare prin backup
Funcționarea prin backup presupune nefuncționalitatea legăturii principale și comutarea
automată pe legătura de backup. Rețeaua are legătura de backup atât pentru conexiunea cu sediul central
,cât și pentru conexiune a la internet.
Pentru verificarea funcț ionalității prin backup este opr ită interfața de pe ruta principală dintre
nucleu și sediul central. După cum se observă în figurile 5.2.16a și 5.2.16 b traficul a fost comutat de pe
192.168.3.2 – 81.12.1.1 -150.1.1.1 pe 192.168.4.2 – 81.12.2.1 -160.1.1.1 – 62.100.100.2 ( reprezentând
legătura principală cu ruterul INTERNET _ACCESS ).
Figura 5.2.16a Traceroute backup din locația CT
60
Figura 5.2.16 b Traceroute backup din locația CL
Se observă în figurile 5.2.17a și 5.2.17b că funcționarea prin legătura de backup nu afectează
traseul pe care traficul îl are între cele două locații CL și CT. Traficul trece prin fără probleme prin
nucleul rețelei.
Figura 5.2.17a Traceroute locații VPN CT – CL
Figura 5.2.17b Traceroute locații VPN CL – CT
O altă functionare de backup o reprezintă funcționarea pe calea către INTERNET. Atunci când
linia principală este nefuncțională și anume linia între DR_CT și INTERNET_ACCESS, traficul este
rerutat către DR_Buc, după cum se observă în figura 5.2.18. Din 150 .1.1.1 nu se duce direct în
109.100.1.1 ci trece prin 62.100.100.1 care reprezintă ruterul DR_Buc:
Figura 5.2.18 Traceroute backup Internet
61
6. Concluzii
Proiectarea rețelelor și practicile din rețelele de furnizor de servicii de Internet au o influență
semnificativă asupra traficului în Internet. Cum protocoalele de rutare sunt folosite în practică și cum
evenimentele din rețea duc la schimbări în rutare și schimbări în trafic este un concept crucial pentru
crearea unui model de rutare al Inter netului precis.
BGP este un protocol extrem de scalabil, în esență foarte simplu, dar în același timp complex
datorită tuturor modalităților prin care il putem manipula și cum putem controla informațiile prin
atributele prezentate în capitolele anterioare , o cerință de dorit într -o rețea care dispune de mai multe
tipuri de linii de transport.
Un neajuns al BGP este faptul că în rețele timpul de convergență este foarte mare. Acest
dezavantaj nu este neapărat din vina protocolului î n sine sau din vina prot ocolului său de transport, ci
este legat de faptul cum sunt tratate pachetele într -o rețea.
BGP este protocolul prin care se schimbă informații de rutare în Internet între furnizori diferiți și
cu clienți. Așa cum a fost prezentat în capitolele anterioare acest protocol poate fi configurat pentru a
asigura o legătură redundantă eficientă și necesară pentru a asigura un procent al disponibilității rețelei
spre 99,99%.
Topologia propusă pentru implementare reprezintă doar un mic exemplu prin care s -au
evide nțiat câteva din multele utilizări ale protocolului, precum și a atributelor sale.
BGP este o componentă de bază a Internetului, conectand practic toate domeniile AS de pe tot
globul. Acest protocol s -a impus datorită adaptării sale continue la diferite cerințe și continuă să fie
protocol ul standard de rutare între domenii.
62
63
7. Bibliografie
[1] http://www.cisco.com/c/en/us/td/docs/ios/12_2/ip/configuration/guide/fipr_c/1cf
bgp.html
[2] https://www.gns3.com/
[3] https://en.wikipedia.org/wiki/Border_Gateway_Protocol
[4] CNP Route – Official Certification Guide Printed in the United States of
America First Print ing January 2010
[5] Reliable Networks with the Border Gateway Protocol – Published by O'Reilly & Associates,
Inc., 1005 Gravenstein Highway North, Sebastopol, CA
[6] A Border Gateway Protocol 4 (BGP -4) – https://tools.ietf.org/html/rfc4271#section -4.3
[7] Border G ateway Protocol (BGP) – http://en.wikipedia.org/wiki/Border_Gateway_Protocol
[8] CCNP Practical Studies: Routing – https://www.informit.com/library
[9] https://networklessons.com/cisco/ccna -routing -switching -icnd1 -100-105/802 -1q-encapsulation –
explained/
[10] http://www.learncisco.net/courses/icnd -2/implementing -an-eigrp -based -solution/dynamic –
routing -protocols.html
[11] http://www.cisco.com/c/en/us/support/docs/ip/border -gateway -protocol -bgp/26634 -bgp-
toc.html
[12] https://networklessons.com/bgp/how -to-configure -bgp-weight -attribute/
64
65
ANEX Ă
1.CPE_CL
CPE_CL#show running -config
Building configuration…
Current configuration : 1315 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname CPE_CL
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate-limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf mng
rd 100:300
username elena password 0 disertatie
!
!
ip tcp synwait -time 5
!
interface Loopback300
description mng
ip address 10.199.199.2 255.255.255.255
!
interface FastEthernet0/0
no ip address
duplex half
!
interface FastEthernet0/0.30
description VPN to SW1_CL
encapsulation dot1Q 30
ip address 192.168.1.2 255.255.255.252
!
interface FastEthernet0/0.500
description mng to DR_CL
encapsulation dot1Q 500
ip address 10.100.1.43 255.255.255.248
!
interface FastEthernet1/0
description to LAN
ip address 10.0.1.1 255.255.255.0
duplex half
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
ip route vrf mng 0.0.0.0 0.0.0.0 10.100.1.41
!
no ip http server
no ip http secur e-server
!
!
no cdp log mismatch duplex
!
!
!
!
control -plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end
1. SW1_CL SW1_CL#show running -config
66
Building configuration…
Current configuration : 1580 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname SW1_CL
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
memory -size iomem 5
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf mng
rd 100:300
!
!
username elena password 0 disertatie
!
!
ip tcp synwait -time 5
!
!
interface FastEthernet0/0
description VPN to CPE_CL
switchport trunk allowed vlan
1,2,30,500,1002 -1005
switchport mode trunk
!
interface FastEthernet0/1
description VPN to DR_CL
switch port trunk allowed vlan
1,2,30,500,1002 -1005
switchport mode trunk
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4 !
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface Vlan1
no ip address
!
interface Vlan500
description mng to DR_CL
ip address 10.100.1.42 255.255.255.248
!
ip default -gateway 10.100.1.41
no ip http server
no ip http secure -server
!
ip route 10.0.0.0 255.0.0.0 10.100.1.41
!
!
no cdp log mismatch duplex
!
!
!
control -plane
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
67
login local
! !
end
2. DR_CL
DR_CL#show running -config
Building configuration…
Current configuration : 2761 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname DR_CL
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf mng
rd 100:300
!
!
username elena password 0 disertatie
!
!
ip tcp synwait -time 5
!
!
interface Loopback300
ip address 10.199.199.1 255.255.255.255
!
interface FastEthernet0/0
description to DR_Buc
no ip address
duplex half
!
interface FastEthernet0/0.30
description to DR_Buc
encapsulation dot1Q 30
ip address 172.16.1.2 255.255.255.252 !
interface FastEthernet0/0.500
description to DR_Buc
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.30 255.255.255.252
!
interface FastEthernet1/0
description to DR_CT
no ip address
duplex half
!
interface FastEthernet1/0.30
description to DR_CT
encapsulation dot1Q 30
ip address 1 72.16.20.2 255.255.255.252
!
interface FastEthernet1/0.500
description mng to DR_CT
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.33 255.255.255.252
!
interface FastEthernet2/0
no ip address
duplex half
!
interface FastEthernet2/0 .30
description VPN to CPE_CL
encapsulation dot1Q 30
ip address 192.168.1.1 255.255.255.252
!
interface FastEthernet2/0.500
description mng to CPE_CL
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.41 255.255.255.248
!
interface FastEthernet3/0
no ip address
duplex half
!
interface FastEthernet3/0.500
description mng to MNG
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.38 255.255.255.252
!
router bgp 500
no synchronization
68
bgp log -neighbor -changes
redistribute connected
redistribute static
redistribute rip
neighbor 172.16.1.1 remote -as 500
neighbor 172.16.20.1 remote -as 500
no auto -summary
!
address -family ipv4 vrf mng
redistribute connected
redistribute static
neighbor 10.100.1.29 remote -as 500
neighbor 10.100.1.29 activate
neighbor 10.100.1.34 remote -as 500
neighbor 10.100.1.34 activate
neighbor 10.100.1.37 remote -as 500
neighbor 10.100.1.37 activate
neighbor 10.100.1.37 route -reflector -client
no synchr onization
exit-address -family
!
ip route 10.0.1.0 255.255.255.0 192.168.1.2
ip route vrf mng 10.199.199.2
255.255.255.255 10.100.1.43
ip route vrf mng 10.199.199.2
255.255.255.255 10.100.1.42
!
no ip http server
no ip http secure -server !
!
no cdp log mis match duplex
!
!
control -plane
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end
3. MNG
MNG#sh run
Building configuration…
Current configuration : 1193 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname MNG
!
boot-start-marker
boot-end-marker
!
!
no aaa new -model
no ip icmp rate -limit unreachable
!
! ip cef
no ip domain lookup
!
!
ip vrf mng
description MNG to DR_CL
rd 100:300
!
!
ip tcp synwait -time 5
!
!
interface FastEthernet0/0
no ip address
duplex half
!
interface FastEthernet0/0.500
description MNG to DR_CL
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.37 255.255.255.252
!
69
router bgp 500
no synchronization
bgp router -id 10.100.1.37
bgp log -neighbor -changes
no auto -summary
!
address -family ipv4 vrf mng
neighbor 10.100.1.38 remote -as 500
neighbor 10.100.1.38 activate
no synchronization
exit-address -family
!
ip route 0.0.0.0 0.0.0.0 10.100.1.38
!
no ip http server
no ip http secure -server
!
!
no cdp log mismatch duplex
!
!
! !
control -plane
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
en
5. DR_Buc
DR_Buc#sh running -config
Building configuration…
Current configuration : 4052 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname DR_Buc
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf internet
rd 100:500 !
ip vrf mng
rd 100:300
!
!
username elena password 0 disertatie
!
!
ip tcp synwait -time 5
!
!
interface Loopback300
description mng
ip address 10.199.199.6 255.255.255.255
!
interface FastEthernet0/0
description to DR_CL
no ip address
duplex half
!
interface FastEthernet0/0.30
description to DR_CL
encapsulation dot1Q 30
ip address 172.16.1.1 255.255.255.252
!
interface FastEthernet0/0.500
description mng to DR_CL
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.29 255.255.255.252
70
!
interface FastEthernet1/0
description to DR_CT
no ip address
duplex half
!
interface FastEthernet1/0.30
description to DR_CT
encapsulation dot1Q 30
ip address 172.16.200.2 255.255.255.252
!
interface FastEthernet1/0.100
encapsulation dot1Q 100
ip vrf forwarding internet
ip address 62.100.100.1 255.255.255.252
!
interface FastEthernet1/0.500
description mng to DR_CT
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.26 255.255.255.252
!
interface FastEthernet2/0
description link to INTERNET
ip vrf forwarding internet
ip address 109.100.1.2 255.255.255.252
duplex half
!
interface FastEthernet3/0
description bkp to CPE_Buc
no ip address
duplex half
!
interface FastEthernet3/0.30
description VPN bkp to CPE_Buc
encapsulation dot1Q 30
ip address 192.168.4.1 255.255.255.252
!
interface FastEthernet3/0.500
description mng bkp to CPE_Buc
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.57 255.255.255.252
!
interface FastEthernet4/0
no ip addre ss
duplex half
!
interface FastEthernet4/0.400
description INTERNET backup to
CPE1_Buc
encapsulation dot1Q 400 ip vrf forwarding internet
ip address 160.1.1.1 255.255.255.252
!
interface FastEthernet5/0
no ip address
shutdown
duplex half
!
router bgp 500
no synchronization
bgp log -neighbor -changes
redistribute connected
redistribute static
neighbor 172.16.1.2 remote -as 500
neighbor 172.16.200.1 remote -as 500
neighbor 192.168.4.2 remote -as 800
neighbor 192.168.4.2 route -map localpref50
in
no auto -summary
!
address -family ipv4 vrf mng
redistribute connected
redistribute static
neighbor 10.100.1.25 remote -as 500
neighbor 10.100.1.25 activate
neighbor 10.100.1.30 remote -as 500
neighbor 10.100.1.30 activate
no synchronization
exit-address-family
!
address -family ipv4 vrf internet
redistribute connected
redistribute static
neighbor 62.100.100.2 remote -as 500
neighbor 62.100.100.2 activate
neighbor 62.100.100.2 route -map localpref50
out
neighbor 109.100.1.1 remote -as 100
neighbor 109.100.1.1 activate
neighbor 109.100.1.1 route -map setMED out
neighbor 160.1.1.2 remote -as 800
neighbor 160.1.1.2 activate
default -metric 1
no synchronization
exit-address -family
!
ip route vrf mng 10.100.1.20 255.255.255.252
10.100.1.14
ip route vrf mng 10.100.1.64 255.255.255.248
10.100.1.58
ip route vrf mng 10.199.199.7
255.255.255.255 10.100.1.14
71
ip route vrf mng 10.199.199.7
255.255.255.255 10.100.1.58
!
no ip http server
no ip http secure -server
!
!
!
ip access -list extended ACL_inter net
deny ip host 8.8.8.8 any
permit ip any any
access -list 2 permit any
access -list 100 permit ip any any
no cdp log mismatch duplex
!
route -map ACL_internet permit 10
match ip address ACL_internet
!
route -map setMED permit 10
match ip address 2
set metric 200
!
route -map localpref50 permit 10
description local pref 50 backup link match ip address 100
set local -preference 50
!
control -plane
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbi ts 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end
6. DR_CT
DR_CT#sh run
Building configuration…
Current configuration : 4697 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname DR_CT
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf internet rd 100:500
!
ip vrf mng
rd 100:300
!
!
username elena password 0 disertatie
!
!
ip tcp synwait -time 5
!
!
interface Loopback300
description mng
ip address 10.199.199.3 255.255.255.255
!
interface FastEthernet0/0
description to DR_Buc
no ip address
duplex half
!
interface FastEthernet0/0.30
description to DR_Buc
encapsulation dot1Q 30
ip address 172.16.200.1 255.255.255.252
!
interface FastEthernet0/0.100
encapsulation dot1Q 100
72
ip vrf forwarding internet
ip address 62.100.100.2 255.255.255.252
!
interface FastEthernet0/0.500
description mng to DR_Buc
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.25 255.255.255.252
!
interface FastEthernet1/0
description INTERNET main to internet
ip vrf forwarding internet
ip address 109.100.2.2 255.255.255.252
duplex half
!
interface FastEthernet2/0
description to DR_CL
no ip address
duplex half
!
interface FastEthernet2/0.30
description to DR_CL
encapsulation dot1Q 30
ip address 172.16.20.1 255.255.255.252
!
interface FastEthernet2/0.500
description mng to DR_CL
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.34 255.255.255.252
!
interface FastEthernet3/0
description VPN to CPE_CT
no ip address
duplex half
!
interface FastEthernet3/0.30
description VPN to CPE_CT
encapsulation dot1Q 30
ip address 192.168.2.1 255.255.255.252
!
interface FastEthernet3/0.500
description mng to CPE_CT
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.49 255.255.255.248
!
interface FastEthernet4/0
description main to CPE2_Buc
no ip address
duplex half
! interface FastEthernet4/0.40
description VPN main to CPE2_Buc
encapsulation dot1Q 40
ip address 192.168.3.1 255.255.255.252
!
interface FastEthernet4/0.500
description mng to CPE2_Buc_main
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.9 255.255.255.252
!
interface FastEthernet5/0
no ip address
duplex half
!
interface FastEthernet5/0.300
description INTERNET main to CPE2_Buc
encapsulation dot1Q 300
ip vrf forwarding internet
ip address 150.1.1.1 255.255.255.252
!
router ospf 1
log-adjacency -changes
redistribute connected metric 1 subnets
redistribute static metric 1 subnets
redistr ibute bgp 500 metric 1 subnets
network 10.100.1.32 0.0.0.3 area 0
network 172.16.20.0 0.0.0.3 area 0
network 172.16.200.0 0.0.0.3 area 0
network 192.168.2.0 0.0.0.3 area 0
network 192.168.3.0 0.0.0.3 area 0
default -information originate always
!
router bgp 500
no synchronization
bgp log -neighbor -changes
bgp redistribute -internal
redistribute connected metric 1
redistribute static metric 1
redistribute ospf 1
neighbor 172.16.20.2 remote -as 500
neighbor 172.16.200.2 remote -as 500
neighbor 192.168.3.2 remote -as 800
neighbor 192.168.3.2 route -map localpref150
in
no auto -summary
!
address -family ipv4 vrf mng
redistribute connected
redistribute static
neighbor 10.100.1.26 remote -as 500
neighbor 10.100.1.26 activate
73
neighbor 1 0.100.1.33 remote -as 500
neighbor 10.100.1.33 activate
no synchronization
exit-address -family
!
address -family ipv4 vrf internet
neighbor 62.100.100.1 remote -as 500
neighbor 62.100.100.1 activate
neighbor 62.100.100.1 route -map
localpref150 out
neighbor 109.100.2.1 remote -as 100
neighbor 109.100.2.1 activate
neighbor 109.100.2.1 route -map setMED out
neighbor 150.1.1.2 remote -as 800
neighbor 150.1.1.2 activate
default -metric 1
no synchronization
exit-address -family
!
ip route vrf mng 10.100.1.16 255.255.255.252
10.100.1.10
ip route vrf mng 10.199.199.4
255.255.255.255 10.100.1.51
ip route vrf mng 10.199.199.5
255.255.255.255 10.100.1.10
!
no ip http server
no ip http secure -server
!
!
!
ip access -list extended ACL_internet
deny ip h ost 8.8.8.8 any
permit ip any any
access -list 1 permit any
access -list 100 permit ip any any
no cdp log mismatch duplex
!
route -map ACL_internet permit 10
match ip address ACL_internet
!
route -map setMED permit 20
match ip address 1
set metric 100
!
route-map localpref150 permit 10
description local pref 150 main link
match ip address 100
set local -preference 150
!
!
control -plane !
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end
7. SW1_CT
SW1_CT#sh running -config
Building configuration…
Current configuration : 1513 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname SW1_CT
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
memory -size iomem 5
no ip routing
no ip icmp rate -limit unreachable
!
!
no ip cef
no ip domain lookup
!
username elena password 0 disertatie
74
!
!
ip tcp synwait -time 5
!
!
interface FastEthernet0/0
description VPN to DR_CT
switchport trunk allowed vlan
1,2,30,500,1002 -1005
switchport mode trunk
!
interface FastEthernet0/1
description VPN to CPE_CT
switchport trunk allowed vlan
1,2,30,500,1002 -1005
switchport mode trunk
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interfac e Vlan1
no ip address
no ip route -cache
!
interface Vlan500
ip address 10.100.1.50 255.255.255.248
no ip route -cache !
no ip http server
no ip http secure -server
!
!
no cdp log mismatch duplex
!
!
control -plane
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
login local
!
!
end
8.CPE_CT
CPE_CT#sh running -config
Building configuration…
Current configuration : 1770 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname CPE_CT
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
ip cef
no ip domain lookup
!
!
ip vrf mng
75
rd 100:300
!
username elena password 0 disertatie
!
!
ip tcp synwait -time 5
!
interface Loopback300
description mng
ip address 10.199.199.4 255.255.255.255
!
interface FastEthernet0/0
no ip address
duplex half
!
interface FastEthernet0/0.30
description VPN to SW1_CT
encapsulation dot1Q 30
ip address 192.168.2.2 255.255.255.252
!
interface FastEthernet0/0.500
description mng to SW1_CT
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.51 255.2 55.255.248
!
interface FastEthernet1/0
description to LAN
ip address 10.0.2.1 255.255.255.0
ip access -group ACL_internet in
duplex half
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
router ospf 1
log-adjacency -changes
redistribute connected
redistribute static subnets
network 10.0.2.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.3 area 0
!
ip route 0.0.0.0 0.0.0.0 192.168.2.1
ip route vrf mng 0.0.0.0 0.0.0.0 10.100.1.49
!
no ip http server
no ip http secure -server
!
ip access -list extended ACL_internet
deny ip host 10.0.2.3 host 8.8.8.8 deny ip host 10.0.2.4 host 8.8.8.8
permit ip any any
no cdp log mismatch duplex
!
control -plane
!
!
gateway
timer receive -rtp 1200
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end
9. CPE1_Buc
CPE1_Buc#sh run
Building configuration…
Current configuration : 2587 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname CPE1_Buc
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
76
!
ip cef
no ip domain lookup
!
!
ip vrf internet
rd 100:500
!
ip vrf mng
rd 100:300
!
!
!
ip tcp synwait -time 5
!
!
interface Loopback100
ip address 3.3.3.3 255.255.255.255
!
interface Loopback300
description mng
ip address 10.199.199.7 255.255.255.255
!
interface FastEthernet0/0
no ip address
duplex half
!
interface FastEthernet0/0.30
description VPN to DR_Buc
encapsulation dot1Q 30
ip address 192.168.4.2 255.255.255.252
!
interface FastEthernet0/0.500
description mng to DR_Buc
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.58 255.255.255.252
!
interface FastEthernet1/0
description VPN to HQ
ip address 10.0.199.1 255.255.255.248
duplex half
!
interface FastEthernet2/0
no ip add ress
duplex half
!
interface FastEthernet2/0.400
description INTERNET backup to HQ
encapsulation dot1Q 400
ip vrf forwarding internet
ip address 81.12.2.1 255.255.255.252 !
interface FastEthernet2/0.500
description mng to SW1_Buc
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.69 255.255.255.248
!
interface FastEthernet3/0
no ip address
duplex half
!
interface FastEthernet3/0.400
description INTERNET backup to DR_Buc
encapsulation dot1Q 400
ip vrf forwarding internet
ip address 160.1.1.2 255.255.255.252
!
router bgp 800
no synchronization
bgp router -id 3.3.3.3
bgp log -neighbor -changes
redistribute connected
neighbor 10.0.199.3 remote -as 65500
neighbor 10.0.199.3 timers 5 20
neighbor 192.168.4.1 remote -as 500
neighbor 192.168.4.1 timers 5 20
no auto -summary
!
address -family ipv4 vrf mng
no synchronization
exit-address -family
!
address -family ipv4 vrf internet
redistribute connected metric 1
neighbor 81.12.2.2 remote -as 65500
neighbor 81.12.2.2 timers 5 20
neighbor 81.12.2.2 activate
neighbor 160.1.1.1 remote -as 500
neighbor 160.1.1.1 timers 5 20
neighbor 160.1.1.1 activate
no synchronization
exit-address -family
!
ip route vrf mng 0.0.0.0 0.0.0.0 10.100.1.57
!
no ip http server
no ip http secure -server
!
!
no cdp log mismatch duplex
!
!
77
control -plane
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end CPE1_Buc#sh run
Building configuration…
Current configuration : 2587 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname CPE1_Buc
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf internet
rd 100:500
!
ip vrf mng
rd 100:300 !
!
ip tcp synwait -time 5
!
!
interface Loopback100
ip address 3.3.3.3 255.255.255.255
!
interface Loopback300
description mng
ip address 10.199.199.7 255.255.255.255
!
interface FastEthernet0/0
no ip address
duplex half
!
interface FastEthernet0/0.30
description VPN to DR_Buc
encapsulation dot1Q 30
ip address 192.168.4.2 255.255.255.252
!
interface FastEthernet0/0.500
description mng to DR_Buc
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.58 255.255.255.252
!
interface FastEt hernet1/0
description VPN to HQ
ip address 10.0.199.1 255.255.255.248
duplex half
!
interface FastEthernet2/0
no ip address
duplex half
!
interface FastEthernet2/0.400
description INTERNET backup to HQ
encapsulation dot1Q 400
ip vrf forwarding internet
ip address 81.12.2.1 255.255.255.252
!
interface FastEthernet2/0.500
description mng to SW1_Buc
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.69 255.255.255.248
!
interface FastEthernet3/0
no ip address
duplex half
!
78
interface FastEthernet3/0.400
description INTERNET backup to DR_Buc
encapsulation dot1Q 400
ip vrf forwarding internet
ip address 160.1.1.2 255.255.255.252
!
router bgp 800
no synchronization
bgp router -id 3.3.3.3
bgp log -neighbor -changes
redistribute connected
neighbor 10.0.199.3 remote -as 65500
neighbor 10.0.199.3 timers 5 20
neighbor 192.168.4.1 remote -as 500
neighbor 192.168.4.1 timers 5 20
no auto -summary
!
address -family ipv4 vrf mng
no synchronization
exit-address -family
!
address -family ipv4 vrf internet
redistribute connected metric 1
neighbor 81.12.2.2 remote -as 65500
neighbor 81.12.2.2 timers 5 20
neighbor 81.12.2.2 activate
neighbor 160.1.1.1 remote -as 500
neighbor 160.1.1.1 timers 5 20
neighbor 160.1.1.1 activate
no synchronization
exit-address -family
!
ip route vrf mng 0.0.0.0 0.0.0.0 10.100.1.57
!
no ip http server
no ip http secure -server
!
!
no cdp log mismatch duplex
!
!
!
!
control -plane
!
!
!
!
!
!
gatekeeper
shutdown !
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end
10. CPE2_Buc
CPE2_Buc#sh running -config
Building configuration…
Current configuration : 2763 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname CPE2_Buc
!
boot-start-marker
boot-end-marker
!
enable password diserta tie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf internet
rd 100:500
!
ip vrf mng
rd 100:300
!
!
username elena password 0 disertatie
!
79
!
ip tcp synwait -time 5
!
!
!
!
!
interface Loopback100
ip address 2.2.2.2 255.255.255.255
!
interface Loopback300
description mng
ip address 10.199.199.5 255.255.255.255
!
interface FastEthernet0/0
no ip address
duplex half
!
interface FastEthernet0/0.40
description VPN to DR_CT
encapsulation dot1Q 40
ip address 192.168.3.2 255.255.255.252
!
interface FastEthernet0/0.500
description mng to DR_CT
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.10 255.255.255.252
!
interface FastEthernet1/0
description VPN to HQ
ip address 10.0.19 9.2 255.255.255.248
duplex half
!
interface FastEthernet2/0
no ip address
duplex half
!
interface FastEthernet2/0.300
description INTERNET main to HQ
encapsulation dot1Q 300
ip vrf forwarding internet
ip address 81.12.1.1 255.255.255.252
!
interface FastEthernet2/0.500
description mng to HQ
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.18 255.255.255.252
!
interface FastEthernet3/0
no ip address
duplex half
!
interface FastEthernet3/0.300
description INTERNET main to DR_CT
encapsulation dot1Q 300 ip vrf forwarding internet
ip address 150.1.1.2 255.255.255.252
!
interface FastEthernet3/0.400
!
router bgp 800
no synchronization
bgp router -id 2.2.2.2
bgp log -neighbor -changes
redistribute connected metric 1
redistribute static metric 1
neighbor 10.0.199.3 remote -as 65500
neighbor 10.0.199.3 timers 5 20
neighbor 10.0.199.3 soft -reconfiguration
inbound
neighbor 192.168.3.1 remote -as 500
neighbor 192.168.3.1 timers 5 20
default -information originate
no auto-summary
!
address -family ipv4 vrf mng
no synchronization
exit-address -family
!
address -family ipv4 vrf internet
redistribute connected metric 1
neighbor 81.12.1.2 remote -as 65500
neighbor 81.12.1.2 timers 5 20
neighbor 81.12.1.2 activate
neighbor 150.1.1.1 remote -as 500
neighbor 150.1.1.1 timers 5 20
neighbor 150.1.1.1 activate
no synchronization
exit-address -family
!
ip route vrf mng 0.0.0.0 0.0.0.0 10.100.1.9
!
no ip http server
no ip http secure -server
!
no cdp log mismatch duplex
!
!
control -plane
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
80
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login local
!
!
end
11. SW1_Buc
SW1_Buc#sh run
Building configuration…
Current configuration : 2030 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname SW1_Buc
!
boot-start-marker
boot-end-marker
!
!
no aaa new -model
memory -size iomem 5
no ip routing
no ip icmp rate -limit unreachable
!
!
no ip cef
no ip domain lookup
!
!
ip tcp synwait -time 5
!
!
interface FastEthernet0/0
description VPN bkp to CPE1_Buc
switchport trunk allowed vlan
1,2,30,400,500,1002 -1005
switchport mode trunk
!
interface FastEthernet0/1
description VPN bkp to CPE2_Buc
switchport trunk allowed vlan
1,2,40,300,500,1002 -1005
switchport mode trunk
!
interface FastEthernet0/2
descript ion internet to HQ
switchport trunk allowed vlan 1,2,30,300,1002 –
1005
switchport mode trunk !
interface FastEthernet0/3
description INTERNET main to HQ
switchport trunk allowed vlan 1,2,30,300,1002 –
1005
switchport mode trunk
!
interface FastEthernet0/4
description INTERNET bkp to HQ
switchport trunk allowed vlan 1,2,30,400,1002 –
1005
switchport mode trunk
!
interface FastEthernet0/5
description INTERNET main to CPE2_Buc
switchport trunk allowed vlan 1,2,300,1002 –
1005
switchport mode trunk
!
interface FastEthernet0/6
description INTERNET backup to CPE1_Buc
switchport trunk allowed vlan 1,2,400,1002 –
1005
switchport mode trunk
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface Vlan1
no ip address
no ip route -cache
!
interface Vlan500
description mng
ip address 10.100.1.70 255.255.255.248
no ip route -cache
!
no ip http server
no ip http secure -server
!
!
no cdp log mismatch duplex
81
!
!
!
control -plane
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
login local
!
!
end
12. CPE_HQ
CPE_HQ#sh running -config
Building configuration…
Current configuration : 3227 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname CPE_HQ
!
boot-start-marker
boot-end-marker
!
enable password disertatie
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip vrf internet
rd 100:500
!
ip vrf mng
rd 100:300
!
username elena password 0 disertatie
!
! ip tcp synwait -time 5
!
!
interface Loopback0
description mng
ip address 10.199.199.8 255.255.255.255
!
interface FastEthernet0/0
description VPN to switch HQ
ip address 10.0.199.3 255.255.255.248
ip nat inside
ip virtual -reassembly
duplex half
!
interface FastEthernet1/0
description to LAN HQ
ip address 10.0.100.1 255.255.255.0
ip nat inside
ip virtual -reassembly
duplex half
!
interface FastEthernet2/0
no ip address
duplex half
!
interface FastEthernet2/0.400
description INTERNET bkp to switch HQ
encapsulation dot1Q 400
ip address 81.12.2.2 255.255.255.252
ip nat outside
ip virtual -reassembly
!
interface FastEthernet2/0.500
description mng to CPE1_Buc_bkp
encapsulation dot1Q 500
ip vrf forwarding mng
ip address 10.100.1.68 255.255.255.248
!
interface FastEthernet3/0
no ip address
duplex half
!
interface FastEthernet3/0.300
description INTERNET main to switch HQ
encapsulation dot1Q 300
ip address 81.12.1.2 255.255.255.2 52
ip nat outside
ip virtual -reassembly
!
router bgp 65500
no synchronization
bgp log -neighbor -changes
redistribute static metric 1
neighbor 10.0.199.1 remote -as 800
neighbor 10.0.199.1 timers 5 20
neighbor 10.0.199.1 default -originate
neighbor 10.0.199.1 route -map ACL_to_VPN out
82
neighbor 10.0.199.2 remote -as 800
neighbor 10.0.199.2 timers 5 20
neighbor 10.0.199.2 default -originate
neighbor 10.0.199.2 soft -reconfiguration inbound
neighbor 10.0.199.2 weight 500
neighbor 10.0.199.2 route -map ACL_to_VPN out
neighbor 81.12.1.1 remote -as 800
neighbor 81.12.1.1 description main INTERNET
neighbor 81.12.1.1 timers 5 20
neighbor 81.12.1.1 weight 500
neighbor 81.12.2.1 remote -as 800
neighbor 81.12.2.1 description backup
INTERNET
neigh bor 81.12.2.1 timers 5 20
no auto -summary
!
ip route vrf mng 0.0.0.0 0.0.0.0 10.100.1.69
!
no ip http server
no ip http secure -server
!
ip nat inside source route -map NAT1 interface
FastEthernet3/0.300 overload
ip nat inside source route -map NAT2 interface
FastEthernet2/0.400 overload
!
!
ip prefix -list 100 description ACL spre VPN
ip prefix -list 100 seq 5 permit 81.12.1.0/30
ip prefix -list 100 seq 10 permit 81.12.2.0/30
!
ip access -list extended NAT
permit ip 10.0.0.0 0.0.255.255 any
permit ip 1 92.168.0.0 0.0.255.255 any
no cdp log mismatch duplex
!
route -map ACL_to_VPN deny 10
match ip address prefix -list 100
!
route -map ACL_to_VPN permit 20
!
route -map NAT2 permit 10
match ip address NAT
match interface FastEthernet2/0.400
!
route -map NAT1 p ermit 10
match ip address NAT
match interface FastEthernet3/0.300
!
!
control -plane
!
!
gatekeeper
shutdown
!
! line con 0
13. INTERNET_ACCESS
INTERNET_ACCESS#sh running -config
Building configuration…
Current configuration : 1325 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password -encryption
!
hostname INTERNET_ACCESS
!
boot-start-marker
boot-end-marker
!
!
no aaa new -model
no ip icmp rate -limit unreachable
!
!
ip cef
no ip domain lookup
!
ip tcp synwait -time 5
!
!
interface Loopback100
description DNS GOOGLE
ip address 8.8.8.8 255.255.255.255
!
interface FastEthernet0/0
description bkp link to DR_Buc
ip address 109.100.1.1 255.255.255.252
duplex half
!
interface FastEthernet1/ 0
description main link to DR_CT
ip address 109.100.2.1 255.255.255.252
duplex half
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
interface FastEthernet3/0
no ip address
shutdown
duplex half
!
router bgp 100
83
no synchronization
bgp log -neighbor -changes
redistribute connected metric 1
redistribute static metric 1
neighbor 109.100.1.2 remote -as 500
neighbor 109.100.2.2 remote -as 500
no auto -summary
!
!
no ip http server
no ip http secure -server
!
!
no cdp log mismatch duplex
!
!
control -plane
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
84
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: BGP în soluții convergente rețeaua ISP [602485] (ID: 602485)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.