本期作者/Ra8er
MPLS L3VPN架构主要由用户站点(Site)、用户边缘路由器(CE)、骨干网边缘路由器(PE)和骨干网路由器(P)组成。每个客户都有自己的虚拟路由转发表(VRF),从而实现了路由信息的隔离,确保了不同客户网络之间的私密性和安全性。
CE(Customer Edge)设备:用户网络边缘设备,有接口直接与SP(Service Provider,服务提供商)相连。CE可以是路由器或交换机,也可以是一台主机。CE“感知”不到VPN的存在,也不需要必须支持MPLS。
PE(Provider Edge)路由器:服务提供商边缘路由器,是服务提供商网络的边缘设备,与用户的CE直接相连。在MPLS网络中,对VPN的所有处理都发生在PE上。
P(Provider)路由器:服务提供商网络中的骨干路由器,不与CE直接相连。P设备只需要具备基本MPLS转发能力。
RT:MPLS L3VPN使用BGP扩展团体属性——Route Target(也称为VPN Target)来控制VPN路由信息的发布。
RD:RD(Route Distinguisher,路由区分器是用来解决VPN前缀在通过MP-BGP(多协议BGP)在MPLS VPN网络中进行扩散时前缀唯一性问题的一个机制。RD为每一个用户收到的每一个前缀分配一个唯一的标识符,以区分来自不同用户的相同前缀。RD加上IPv4地址形成VPNv4地址。
同时,使用MPLS L3VPN架构在安全性角度上也有诸多好处:
1. 路由隔离与地址空间管理
路由隔离:MPLS L3VPN架构为每个VPN实例配置了独立的VRF(虚拟路由转发表),实现了不同VPN之间的路由信息隔离。这种隔离机制防止了路由信息的泄露和干扰,从而降低了网络攻击的风险。
地址空间管理:MPLS L3VPN支持地址重叠功能,但每个VPN实例的路由信息都是独立且唯一的。通过为每个VPN实例配置不同的RD(路由标识)和VRF,MPLS L3VPN能够区分来自不同VPN的路由信息,确保数据包的正确转发和接收。这种地址空间管理机制有助于防止因地址冲突而导致的网络攻击。
2. 标签转发机制
标签封装:在MPLS L3VPN中,数据包在传输过程中被封装在MPLS标签中。这种封装机制增加了数据包的隐蔽性,使得黑客难以截获和篡改数据包内容。
标签交换:MPLS标签在MPLS网络中实现快速转发。通过标签交换,数据包可以沿着预设的标签交换路径(LSP)快速、准确地到达目的地。这种转发机制降低了数据包在传输过程中的延迟和抖动,从而提高了网络的安全性和稳定性。
3. 强大的QoS保障
优先级设置:MPLS L3VPN支持MPLS流量工程(TE)和MPLS服务质量(QoS)保障功能。网络管理员可以根据业务需求为不同的数据流设置不同的优先级和转发策略。
资源分配:通过QoS保障功能,MPLS L3VPN可以为关键业务提供高质量的网络服务,确保这些业务在传输过程中获得足够的带宽和低延迟。这种资源分配机制有助于防止恶意流量对网络造成攻击和破坏。
4. 灵活的组网方式
跨运营商互连:MPLS L3VPN提供了灵活的组网方式,可以实现跨运营商、跨地域的网络互连。这种组网方式有助于降低因单一运营商网络故障而导致的安全风险。
冗余备份:通过配置冗余的PE设备和链路,MPLS L3VPN可以提供高度的网络可用性和故障恢复能力。这种冗余备份机制有助于确保网络在遭受攻击或故障时能够迅速恢复正常运行。
5. 访问控制与认证机制
访问控制:MPLS L3VPN可以通过配置访问控制列表(ACL)来限制对网络的访问。这种访问控制机制有助于防止未经授权的访问和攻击。
认证机制:MPLS L3VPN可以支持基于数字证书、用户名和密码等认证机制来确保只有授权的用户和设备才能访问网络。这种认证机制有助于防止恶意用户和网络攻击者对网络进行破坏和窃取敏感信息。
6. 安全策略与监控
安全策略:MPLS L3VPN可以配置安全策略来规范网络使用和访问行为。这些安全策略可以包括数据加密、防火墙配置、入侵检测系统等。
监控与响应:MPLS L3VPN可以配置监控和响应系统来实时检测网络中的异常行为和潜在的安全威胁。一旦发现安全威胁,系统可以立即采取响应措施来防止攻击和降低损失。
MPLS L3VPN架构通过路由隔离与地址空间管理、标签转发机制、强大的QoS保障、灵活的组网方式、访问控制与认证机制以及安全策略与监控等多种技术和机制来预防网络攻击。这些技术和机制共同构成了MPLS L3VPN架构在网络安全方面的强大保障。
VPN 1使用的Route Target属性为111:1,VPN 2使用的Route Target属性为222:2。不同VPN用户之间不能互相访问;
CE与PE之间配置EBGP交换VPN路由信息;
PE与PE之间配置OSPF实现PE内部的互通、配置MP-IBGP交换VPN路由信息。
配置P路由器
<P> system-view
[P] interface loopback 0
[P-LoopBack0] ip address 2.2.2.9 32
[P-LoopBack0] quit
[P] interface gigabitethernet 4/0
[P-GigabitEthernet4/0] ip address 172.1.1.2 24
[P-GigabitEthernet4/0] quit
[P] interface gigabitethernet 5/0
[P-GigabitEthernet5/0] ip address 172.2.1.1 24
[P-GigabitEthernet5/0] quit
[P] ospf
[P-ospf-1] area 0
[P-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255
[P-ospf-1-area-0.0.0.0] network 172.2.1.0 0.0.0.255
[P-ospf-1-area-0.0.0.0] network 2.2.2.9 0.0.0.0配置PE1路由器
<PE1> system-view
[PE1] interface loopback 0
[PE1-LoopBack0] ip address 1.1.1.9 32
[PE1-LoopBack0] quit
[PE1] interface gigabitethernet 4/0
[PE1-GigabitEthernet4/0] ip address 172.1.1.1 24
[PE1-GigabitEthernet4/0] quit
[PE1] ospf
[PE1-ospf-1] area 0
[PE1-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255
[PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0配置PE2路由器
<PE2> system-view
[PE2] interface loopback 0
[PE2-LoopBack0] ip address 3.3.3.9 32
[PE2-LoopBack0] quit
[PE2] interface gigabitethernet 4/0
[PE2-GigabitEthernet4/0] ip address 172.2.1.2 24
[PE2-GigabitEthernet4/0] quit
[PE2] ospf
[PE2-ospf-1] area 0
[PE2-ospf-1-area-0.0.0.0] network 172.2.1.0 0.0.0.255
[PE2-ospf-1-area-0.0.0.0] network 3.3.3.9 0.0.0.0查看运营商IGP网络状态,P路由器与PE1,PE2已经建立ospf邻居关系,且学到各自的环回口路由。
配置PE 1。
[PE1] mpls lsr-id 1.1.1.9
[PE1] mpls ldp
[PE1-ldp] quit
[PE1] interface gigabitethernet 4/0
[PE1-GigabitEthernet4/0] mpls enable
[PE1-GigabitEthernet4/0] mpls ldp enable配置P。
[P] mpls lsr-id 2.2.2.9
[P] mpls ldp
[P-ldp] quit
[P] interface gigabitethernet 4/0
[P-GigabitEthernet4/0] mpls enable
[P-GigabitEthernet4/0] mpls ldp enable
[P-GigabitEthernet4/0] quit
[P] interface gigabitethernet 5/0
[P-GigabitEthernet5/0] mpls enable
[P-GigabitEthernet5/0] mpls ldp enable配置PE 2。
[PE2] mpls lsr-id 3.3.3.9
[PE2] mpls ldp
[PE2-ldp] quit
[PE2] interface gigabitethernet 4/0
[PE2-GigabitEthernet4/0] mpls enable
[PE2-GigabitEthernet4/0] mpls ldp enable查看LDP 邻居状态
配置PE 1。
[PE1] ip vpn-instance
vpn1
[PE1-vpn-instance-vpn1] route-distinguisher 100:1
[PE1-vpn-instance-vpn1] vpn-target 111:1
[PE1-vpn-instance-vpn1] quit
[PE1] ip vpn-instance vpn2
[PE1-vpn-instance-vpn2] route-distinguisher 100:2
[PE1-vpn-instance-vpn2] vpn-target 222:2
[PE1-vpn-instance-vpn2] quit
[PE1] interface gigabitethernet 1/0
[PE1-GigabitEthernet1/0] ip binding vpn-instance vpn1
[PE1-GigabitEthernet1/0] ip address 10.1.1.2 24
[PE1-GigabitEthernet1/0] quit
[PE1] interface gigabitethernet 2/0
[PE1-GigabitEthernet2/0] ip binding vpn-instance vpn2
[PE1-GigabitEthernet2/0] ip address 10.2.1.2 24
[PE1-GigabitEthernet2/0] quit配置PE 2。
[PE2] ip vpn-instance vpn1
[PE2-vpn-instance-vpn1] route-distinguisher 200:1
[PE2-vpn-instance-vpn1] vpn-target 111:1
[PE2-vpn-instance-vpn1] quit
[PE2] ip vpn-instance vpn2
[PE2-vpn-instance-vpn2] route-distinguisher 200:2
[PE2-vpn-instance-vpn2] vpn-target 222:2
[PE2-vpn-instance-vpn2] quit
[PE2] interface gigabitethernet 1/0
[PE2-GigabitEthernet1/0] ip binding vpn-instance vpn1
[PE2-GigabitEthernet1/0] ip address 10.3.1.2 24
[PE2-GigabitEthernet1/0] quit
[PE2] interface gigabitethernet 2/0
[PE2-GigabitEthernet2/0] ip binding vpn-instance vpn2
[PE2-GigabitEthernet2/0] ip address 10.4.1.2 24
[PE2-GigabitEthernet2/0] quit配置CE。
<CE1> system-view
[CE1] interface gigabitethernet 1/0
[CE1-GigabitEthernet1/0] ip address 10.1.1.1 24
[CE1-GigabitEthernet1/0] quit
[CE1] interface gigabitethernet 2/0
[CE1-GigabitEthernet2/0] ip address 192.168.10.1 24
[CE1-GigabitEthernet2/0] quit测试PE1与CE1的联通性
配置CE 1。
<CE1> system-view
[CE1] bgp 65410
[CE1-bgp-default] peer 10.1.1.2 as-number 100
[CE1-bgp-default] address-family ipv4 unicast
[CE1-bgp-default-ipv4] peer 10.1.1.2 enable
[CE1-bgp-default-ipv4] import-route direct
[CE1-bgp-default-ipv4] quit
[CE1-bgp-default] quit另外3个CE设备配置与CE 1设备配置类似,配置过程省略。
配置PE 1。
[PE1] bgp 100
[PE1-bgp-default] ip vpn-instance vpn1
[PE1-bgp-default-vpn1] peer 10.1.1.1 as-number 65410
[PE1-bgp-default-vpn1] address-family ipv4 unicast
[PE1-bgp-default-ipv4-vpn1] peer 10.1.1.1 enable
[PE1-bgp-default-ipv4-vpn1] quit
[PE1-bgp-default-vpn1] quit
[PE1-bgp-default] ip vpn-instance vpn2
[PE1-bgp-default-vpn2] peer 10.2.1.1 as-number 65420
[PE1-bgp-default-vpn2] address-family ipv4 unicast
[PE1-bgp-default-ipv4-vpn2] peer 10.2.1.1 enable
[PE1-bgp-default-ipv4-vpn2] quit
[PE1-bgp-default-vpn2] quit
[PE1-bgp-default] quitPE 2的配置与PE 1类似,配置过程省略。
查看PE与CE的bgp邻居状态。
配置PE 1。
[PE1] bgp 100
[PE1-bgp-default] peer 3.3.3.9 as-number 100
[PE1-bgp-default] peer 3.3.3.9 connect-interface loopback 0
[PE1-bgp-default] address-family vpnv4
[PE1-bgp-default-vpnv4] peer 3.3.3.9 enable配置PE 2。
[PE2] bgp 100
[PE2-bgp-default] peer 1.1.1.9 as-number 100
[PE2-bgp-default] peer 1.1.1.9 connect-interface loopback 0
[PE2-bgp-default] address-family vpnv4
[PE2-bgp-default-vpnv4] peer 1.1.1.9 enable查看PE之间的bgp vpnv4邻居状态。
在PE1上查看到CE3的路由。
原文始发于微信公众号(蛇矛实验室):基于国产原生网络靶场【火天网境】部署运营商BGP/MPLS/L3VPN骨干网
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论