مثال تكوين MPLS L3VPNs مع ISIS Remote LFA

المقدمة

يصف هذا وثيقة كيف أن يشكل Multiprotocol Label Switching (MPLS) طبقة 3 VPNs مع داعش Remote Loop Free Alternative (LFA) سمة. وهو يعرض سيناريو شبكة عينة وتكوينها ومخرجاتها لفهم أفضل.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند. ومع ذلك، من المؤكد أن الفهم الأساسي للخطة الاستراتيجية المتوسطة الأجل والمعرفة العملية ببروتوكول تنظيم "الدولة الإسلامية" سوف يساعدان.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يتم نشر تنظيم "داعش" على نطاق واسع عبر مزودي خدمة الإنترنت (ISPs) في جميع أنحاء العالم، كما أن الشبكات الخاصة الظاهرية (VPN) من المستوى الثالث الخاصة بالطراز MPLS هي الحل الأكثر شيوعا الذي توفره مزودو خدمة الإنترنت (ISPs). داخل فشل إرتباط بنية أساسية ل ISP يؤثر بشكل مباشر على الأداء، لذلك فإن تقارب الثانية الفرعية مرغوب بشدة. تعمل ميزات مثل حماية إرتباط نفق MPLS وحماية العقد على حل هذه المشكلات ولكنها تتطلب التكوين اليدوي.

يستخدم "الجيش الليبي البعيد" الخاص بتنظيم "الدولة الإسلامية" مفهوم أنه بالنسبة لمنطقة معينة، ستكون جميع موجهات تنظيم "الدولة الإسلامية" مرتبطة بشكل متماثل مع قاعدة بيانات الدولة. إذا كان الموجه A بحاجة إلى تحديد مسار نسخ إحتياطي لوجهة X، عبر الموجه B، فيمكن للموجه A تحديد الموجه B كخطوة إحتياطية تالية شريطة أن لا يستخدم الموجه B الموجه A باعتباره الخطوة التالية للوجهة X. يمكن القيام بذلك لأن جميع الموجهات تحتوي على قاعدة بيانات متطابقة. هذه هي الفكرة الأساسية لميزة LFA. الآن، تتم برمجة مسار النسخ الاحتياطي هذا مباشرة في إدخال إعادة التوجيه السريع من Cisco (CEF) وسيتم إستخدامه على الفور بمجرد فشل المسار الرئيسي. بعد ذلك، يمكن أن يتلاقى بروتوكول التوجيه وفقا لمؤقتات الوقت التقليدية.

ISIS Remote LFA

لفهم كيفية عمل تقنية LFA عن بعد بشكل أفضل، ضع في الاعتبار هذا الرسم التخطيطي:

  

تتدفق حركة المرور من الموجه A إلى F الذي يأخذ المسار A—C-F. إذا أنهار الارتباط بين الموجه A و C. يمكن للموجه A بعد ذلك إرسال الحزم الموجهة إلى F على الفور، إلى الموجه B، ولكن هذا لن يحل المشكلة. وبما أن الارتباط قد انخفض للتو، فإن مخطط تنظيم "الدولة الإسلامية" غير مدرك لهذا التغيير. إذا وصلت الحزم إلى الموجه B، فسيظل الموجه B يحتوي على معلومات توجيه قديمة وسيظل لديه الإدخال للتوجيه إلى F عبر A. وبالتالي سيتم تكرار الحزم بين B و A حتى يتم تجميع مخطط النقطة.

لحل هذه المشكلة، قم بتقسيم الحزم إلى الموجه D من الموجه A. لم يستخدم الموجه D المسار أبدا عبر الموجه A إلى الانتقال إلى F. والآن عند فشل الارتباط بين الموجه A و C، يتم إرسال حركة المرور الموجهة إلى الموجه F إلى الموجه D عبر النفق مباشرة دون أي تقارب. الآن الموجه D غير مدرك لأي تغيير من هذا القبيل في المخطط عندما يحصل على حركة المرور النفقي من الموجه A الموجه إلى الموجه F، فإنه يعيد توجيه الحزم من خلال منطق التوجيه العادي الخاص به. لذلك يبقى تدفق حركة المرور غير متأثر وفي الوقت نفسه يمكن للمخطط أن يتلاقى.

  

التكوين

الرسم التخطيطي للشبكة

طبولوجيا الشبكة الخاصة الظاهرية (VPN) للطبقة 3 من MPLS مع LFA عن بعد:

أكرونيم

CE = موجه حافة العميل

PE = موجه موجه موجه موجه موجه Provider Edger

P = موجه الموفر

الاسترجاع المستخدم هو 192.168.255.x، حيث رقم الموجه X. على سبيل المثال، إذا كان R1 قيد البحث، فعندئذ يكون الاسترجاع 192.168.255.1.

التكوينات

CPE-1-R8

#تكوين CE الأساسي باستخدام مسار افتراضي:

interface Ethernet0/0
ip address 192.168.18.8 255.255.255.0
!
!
ip route 0.0.0.0 0.0.0.0 192.168.18.1
!
!

CPE-2-R8

#تكوين CE الأساسي باستخدام مسار افتراضي.

interface Ethernet0/0
ip address 192.168.79.9 255.255.255.0
!
!
ip route 0.0.0.0 0.0.0.0 192.168.79.7
!
!

PE-1-R1

# تكوين PE 

interface Loopback1
ip address 192.168.255.1 255.255.255.255
ip router isis TAC
!
interface Ethernet0/0
vrf forwarding A
ip address 192.168.18.1 255.255.255.0
!

# يجب أن تكون واجهة ISIS من نقطة إلى نقطة

interface Ethernet0/1
 ip address 192.168.12.1 255.255.255.0
 ip router isis TAC
 mpls ip
 isis circuit-type level-2-only
 isis network point-to-point 
!
!

# تكوين LFA البعيد ل ISIS

router isis TAC
 net 49.0000.0000.0001.00
 is-type level-2-only
 metric-style wide
 fast-reroute per-prefix level-2 all
 fast-reroute remote-lfa level-2 mpls-ldp
 mpls ldp autoconfig level-2
!

# تجليد BGP VPNV4 مع PE-2-R7

router bgp 65000
 bgp log-neighbor-changes
 no bgp default ipv4-unicast
 neighbor 192.168.255.7 remote-as 65000
 neighbor 192.168.255.7 update-source Loopback1
 !
 address-family ipv4
 exit-address-family
 !
 address-family vpnv4
 neighbor 192.168.255.7 activate
 neighbor 192.168.255.7 send-community both
 exit-address-family
 !
 address-family ipv4 vrf A
 redistribute connected
 exit-address-family
!

P1-R2

# تكوين p

interface Loopback1
 ip address 192.168.255.2 255.255.255.255
 ip router isis TAC
!

# يجب أن تكون واجهة ISIS من نقطة إلى نقطة

interface Ethernet0/0
 ip address 192.168.12.2 255.255.255.0
 ip router isis TAC
 mpls ip
 isis circuit-type level-2-only
 isis network point-to-point 
!
interface Ethernet0/1
 ip address 192.168.23.2 255.255.255.0
 ip router isis TAC
 mpls ip
 isis circuit-type level-2-only
 isis network point-to-point 
!
interface Ethernet0/2
 ip address 192.168.26.2 255.255.255.0
 ip router isis TAC
 mpls ip
 isis circuit-type level-2-only
 isis network point-to-point 
!
!

# تكوين LFA البعيد ل ISIS

router isis TAC
 net 49.0000.0000.0002.00
 is-type level-2-only
 metric-style wide
 fast-reroute per-prefix level-2 all
 fast-reroute remote-lfa level-2 mpls-ldp
!

P2-R3

# تكوين p

interface Loopback1
 ip address 192.168.255.3 255.255.255.255
 ip router isis TAC
!

# يجب أن تكون واجهة ISIS من نقطة إلى نقطة

interface Ethernet0/0
 ip address 192.168.23.3 255.255.255.0
 ip router isis TAC
 mpls ip
 isis circuit-type level-2-only
 isis network point-to-point 
!
interface Ethernet0/1
 ip address 192.168.34.3 255.255.255.0
 ip router isis TAC
 mpls ip
 isis circuit-type level-2-only
 isis network point-to-point 
!
!

# تكوين LFA البعيد ل ISIS

router isis TAC
 net 49.0000.0000.0003.00
 is-type level-2-only
 metric-style wide
 fast-reroute per-prefix level-2 all
 fast-reroute remote-lfa level-2 mpls-ldp
!

P3-R4

# تكوين p

interface Loopback1
 ip address 192.168.255.4 255.255.255.255
 ip router isis TAC
!

# يجب أن تكون واجهة ISIS من نقطة إلى نقطة

interface Ethernet0/0
 ip address 192.168.34.4 255.255.255.0
 ip router isis TAC
 mpls ip
 isis circuit-type level-2-only
 isis network point-to-point 
!
interface Ethernet0/1
 ip address 192.168.45.4 255.255.255.0
 ip router isis TAC
 mpls ip
 isis circuit-type level-2-only
 isis network point-to-point 
!
!

# تكوين LFA البعيد ل ISIS

router isis TAC
 net 49.0000.0000.0004.00
 is-type level-2-only
 metric-style wide
 fast-reroute per-prefix level-2 all
 fast-reroute remote-lfa level-2 mpls-ldp

P4-R5

# تكوين p

interface Loopback1
 ip address 192.168.255.5 255.255.255.255
 ip router isis TAC
!

# يجب أن تكون واجهة ISIS من نقطة إلى نقطة

interface Ethernet0/0
 ip address 192.168.45.5 255.255.255.0
 ip router isis TAC
 mpls ip
 isis circuit-type level-2-only
 isis network point-to-point 
!
interface Ethernet0/1
 ip address 192.168.56.5 255.255.255.0
 ip router isis TAC
 mpls ip
 isis circuit-type level-2-only
 isis network point-to-point 
!
!

# تكوين LFA البعيد ل ISIS

router isis TAC
 net 49.0000.0000.0005.00
 is-type level-2-only
 metric-style wide
 fast-reroute per-prefix level-2 all
 fast-reroute remote-lfa level-2 mpls-ldp

P5-R6

# تكوين p  

interface Loopback1
 ip address 192.168.255.6 255.255.255.255
 ip router isis TAC
!

# يجب أن تكون واجهة ISIS من نقطة إلى نقطة

interface Ethernet0/0
 ip address 192.168.56.6 255.255.255.0
 ip router isis TAC
 mpls ip
 isis circuit-type level-2-only
 isis network point-to-point 
!
interface Ethernet0/1
 ip address 192.168.26.6 255.255.255.0
 ip router isis TAC
 mpls ip
 isis circuit-type level-2-only
 isis network point-to-point 
!
interface Ethernet0/2
 ip address 192.168.67.6 255.255.255.0
 ip router isis TAC
 mpls ip
 isis circuit-type level-2-only
 isis network point-to-point 
!
!

# تكوين LFA البعيد ل ISIS

 router isis TAC
  net 49.0000.0000.0006.00
  is-type level-2-only
  metric-style wide
  fast-reroute per-prefix level-2 all
  fast-reroute remote-lfa level-2 mpls-ldp
 !

PE-2-R7

# تكوين PE  

interface Loopback1
 ip address 192.168.255.7 255.255.255.255
 ip router isis TAC
!

# يجب أن تكون واجهة ISIS من نقطة إلى نقطة

interface Ethernet0/0
 ip address 192.168.67.7 255.255.255.0
 ip router isis TAC
 mpls ip
 isis circuit-type level-2-only
 isis network point-to-point 
!
interface Ethernet0/1
 vrf forwarding A
 ip address 192.168.79.7 255.255.255.0
!
!

# تكوين LFA البعيد ل ISIS

router isis TAC
 net 49.0000.0000.0007.00
 is-type level-2-only
 metric-style wide
 fast-reroute per-prefix level-2 all
 fast-reroute remote-lfa level-2 mpls-ldp
!
!

# تجليد BGP VPNV4 مع PE-1-R1

router bgp 65000
 bgp log-neighbor-changes
 no bgp default ipv4-unicast
 neighbor 192.168.255.1 remote-as 65000
 neighbor 192.168.255.1 update-source Loopback1
 ! 
 address-family ipv4
 exit-address-family
 !
 address-family vpnv4
 neighbor 192.168.255.1 activate
 neighbor 192.168.255.1 send-community both
 exit-address-family
 !
 address-family ipv4 vrf A
 redistribute connected
 exit-address-family
!

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

P1-R2

يعرض الأمر show isis fast-reroute remote-lfa tunnel أنفاق LFA البعيدة المبنية على الموجه:

P1-R2#show isis fast-reroute remote-lfa tunnels 
Tag TAC - Fast-Reroute Remote-LFA Tunnels:
MPLS-Remote-Lfa1: use Et0/2, nexthop 192.168.26.6, end point 192.168.255.5
MPLS-Remote-Lfa2: use Et0/1, nexthop 192.168.23.3, end point 192.168.255.4

P2-R3

P2-R3#show isis fast-reroute remote-lfa tunnels 
Tag TAC - Fast-Reroute Remote-LFA Tunnels:
MPLS-Remote-Lfa1: use Et0/1, nexthop 192.168.34.4, end point 192.168.255.5
 MPLS-Remote-Lfa2: use Et0/0, nexthop 192.168.23.2, end point 192.168.255.6

P3-R4

P3-R4#show isis fast-reroute remote-lfa tunnels 
Tag TAC - Fast-Reroute Remote-LFA Tunnels:
MPLS-Remote-Lfa1: use Et0/1, nexthop 192.168.45.5, end point 192.168.255.6
 MPLS-Remote-Lfa2: use Et0/0, nexthop 192.168.34.3, end point 192.168.255.2

P4-R5

  

P4-R5#show isis fast-reroute remote-lfa tunnels 
Tag TAC - Fast-Reroute Remote-LFA Tunnels:
MPLS-Remote-Lfa1: use Et0/0, nexthop 192.168.45.4, end point 192.168.255.3
 MPLS-Remote-Lfa2: use Et0/1, nexthop 192.168.56.6, end point 192.168.255.2

P5-R6

P5-R6#show isis fast-reroute remote-lfa tunnels 
Tag TAC - Fast-Reroute Remote-LFA Tunnels:
MPLS-Remote-Lfa1: use Et0/0, nexthop 192.168.56.5, end point 192.168.255.4
 MPLS-Remote-Lfa2: use Et0/1, nexthop 192.168.26.2, end point 192.168.255.3

  

فشل في السيناريو الرئيسي، تدفق حركة مرور البيانات في المركز عند تكوين LFA.

قبل تشغيل فشل إرتباط، إذا قمت بفحص الشاشة طراز P-1-R2، فسترى بالفعل أن هناك جلسة عمل LDP مستهدفة تم إنشاؤها بين الطرازين P-1-R2 و P-5-R4 كمسار للنسخ الاحتياطي نظرا لاستخدام تقنية RLFA. بدون RLFA، يجب أن يكتشف بروتوكول التوجيه الفشل ويحتاج إلى إعادة التقارب.

P-1-R2#show ip route repair-paths 192.168.255.7 
Routing entry for 192.168.255.7/32
  Known via "isis", distance 115, metric 30, type level-c
  Redistributing via isis TAC
  Last update from 192.168.26.6 on Ethernet0/2, 02:23:31 ago
  Routing Descriptor Blocks:
  * 192.168.26.6, from 192.168.255.7, 02:23:31 ago, via Ethernet0/2
      Route metric is 30, traffic share count is 1
      Repair Path: 192.168.255.4, via MPLS-Remote-Lfa6
    [RPR]192.168.255.4, from 192.168.255.7, 02:23:31 ago, via MPLS-Remote-Lfa6
      Route metric is 20, traffic share count is 1

P-1-R2#show mpls ldp neighbor 192.168.255.4
    Peer LDP Ident: 192.168.255.4:0; Local LDP Ident 192.168.255.2:0
        TCP connection: 192.168.255.4.32391 - 192.168.255.2.646
        State: Oper; Msgs sent/rcvd: 184/183; Downstream
        Up time: 02:26:09
        LDP discovery sources:
          Targeted Hello 192.168.255.2 -> 192.168.255.4, active, passive
        Addresses bound to peer LDP Ident:
          192.168.255.4   192.168.34.4    192.168.45.4     

يمكن ملاحظة أن مسار إصلاح PE2-R7 في جدول التوجيه هنا هو عبر 192.168.255.4 (P3-R4). وكجزء من منطق LFA عن بعد، تم إنشاء نفق مسبقا إلى الإصدار P3-R4. وبالتالي، فعند فشل الارتباط الأساسي، يتم إنشاء قنوات للحزم على الفور للوصول إلى الخادم طراز P3-R4 وهذا يحدث على مستوى بطاقة الخط حيث يتم إنشاء الإدخال مسبقا. لذلك لا يوجد انقطاع في حركة المرور وإعادة التوجيه بسلاسة تامة. ومن ثم يمكن لبروتوكول تنظيم "الدولة الإسلامية" أن يتلاقى بناء على مواعيده المكونة.

لا يحتاج موجه P1-R2 إلى البحث عن مسار النسخ الاحتياطي، حيث يوجد بالفعل إدخال CEF تم تكوينه عبر P2-R3 قبل الفشل.

P1-R2#show ip cef 192.168.255.7 
 nexthop 192.168.26.6 Ethernet0/2 label [25|26] 
repair: attached-nexthop 192.168.255.4 MPLS-Remote-Lfa6

يعمل هذا المخطط على تخفيض السلوك الدقيق الذي تم شرحه مسبقا:

  

P1-R2

للتحقق، يتم إختبار الاتصال بشكل مستمر من CE-1-R8 إلى CE-2-R9 بعد إعادة إنشاء سيناريو فشل من خلال إيقاف تشغيل الارتباط الأساسي (ETH 0/2) بين P1-R2 و P5-R6، ولا يتم ملاحظة أي إسقاط في بيئة الاختبار.

CE-1-R8#ping 192.168.79.9 
 Type escape sequence to abort.
 Sending 5, 100-byte ICMP Echos to 192.168.79.9, timeout is 2 seconds:
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<Ouput Snipped>
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 !!!!!!!!!!
 Success rate is 100 percent (149320/149320), round-trip min/avg/max = 1/1/18 ms

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.