Šifrování MPLS provozu: Realizace MPLS nad Cisco DM-VPN Bc. Michal Tabaček (tab0012), Bc. Jan Bonczek (bon0010) Abstrakt:Cílem projektu je provést šifrování MPLS provozu. Realizace šifrování bude provedena nad Cisco DM-VPN (Dynamické VPN). Ověření funkčnosti, šifrování a zachycení komunikace bude řešeno nad navrhnutou topologií sítě. Pro projekt budou použity směrovače společnosti Cisco (Cisco 2801, 2811 a Cisco 2901) postavené na platformě IOS. Klíčová slova: MPLS, DM-VPN, Cisco, BGP, EIGRP, IOS, směrovač, Wireshark, značka (label), NHRP.
1
Úvod .......................................................................................................................................... 2
2
Teoretický rozbor ...................................................................................................................... 2 2.1
Dynamické VPN sítě (DM-VPN) ...................................................................................... 2
2.2
Technologie MPLS ............................................................................................................ 3
3
Použitá zařízení pro testování ................................................................................................... 3
4
Realizace dynamické VPN sítě ................................................................................................. 4
5
4.1
Konfigurace ....................................................................................................................... 4
4.2
Ověření funkčnosti............................................................................................................. 7
Zavedení MPLS ........................................................................................................................ 9 5.1
Konfigurace ....................................................................................................................... 9
5.2
Ověření funkčnosti............................................................................................................. 9
6
Návrh řešení na platformě IOS-XR ........................................................................................ 13
7
Závěr ....................................................................................................................................... 15
8
Použitá literatura ..................................................................................................................... 16
9
Přílohy ..................................................................................................................................... 17
prosinec 2014
1/29
Úvod
1
Cílem projektu je provést šifrování MPLS provozu, provoz MPLS bude realizován nad Cisco DM-VPN. Projekt se tedy zabývá problematikou konfigurace Dynamické Multipoint VPN sítě v prostředí Cisco směrovačů a nasazení MPLS technologie. Na úvod budou teoreticky ve stručnosti popsány dynamické VPN sítě a také technologie MPLS. Následně se budeme věnovat zapojení testovací topologie pomocí směrovačů Cisco, jejich konfiguraci, nastavení parametrů, šifrování a odchyt komunikace mezi směrovači pomocí softwareWireshark.
2 2.1
Teoretický rozbor Dynamické VPN sítě (DM-VPN)
Virtuální privátní sítě (VPN) slouží k vybudování zabezpečeného spojení například mezi dvěma sítěmi přes veřejnou či nezabezpečenou síť. VPN umožňuje vytvořit zabezpečený šifrovaný tunel, ve kterém můžeme provozovat například VoIP telefonii. V jednoduchém případě se bude jednat o zabezpečený tunel mezi dvěma pobočkami jedné firmy. Jestliže bychom, ale měli poboček více a měly by jednotlivé pobočky mezi sebou komunikovat zabezpečenou cestou, bylo by nutné vytvořit tunely každý s každým. Vytváření tunelů touto cestou by bylo konfiguračně náročné a usnadňuje ji možnost použití DM-VPN. DM-VPN je technologie, která umožňuje vytvářet VPN dynamicky na vyžádání. U této technologie se vyskytují tzv. HUB směrovače a směrovače v roli SPOKE. Obvykle bývá HUB směrovač umístěn v hlavní pobočce (centrále) a ostatní vzdálené pobočky mají SPOKE směrovače. Na vyžádání jsou poté vytvářeny tunely mezi HUB a SPOKE směrovači nebo i mezi SPOKE a SPOKE směrovači. Jestliže bychom měli vysvětlit využití DM-VPN na praktickém příkladu, lze představit firmu s hlavní centrálou a několika dalšími malými pobočkami. Typicky může nastat situace, kdy budou chtít všechny pobočky komunikovat s hlavní centrálou přes zabezpečený VPN tunel nebo také i situace, kdy budou chtít mezi sebou komunikovat zabezpečenou cestou i jednotlivé pobočky mezi sebou. V případě použití klasické VPN by musela mít každá pobočka nakonfigurovaný VPN tunel do centrály a také s ostatními pobočkami. Díky použití DM-VPN je v centrální pobočce umístěn HUB směrovač na kterém není v případě přidaní dalšího SPOKE směrovače (pobočky) třeba měnit konfiguraci a stačí pouze nakonfigurovat SPOKE směrovač na kterém je nastavena statická cesta k HUB směrovači. V případě, že vznikne požadavek na zabezpečenou komunikaci mezi HUB a SPOKE nebo SPOKE a SPOKE je díky DM-VPN a dalších autentizacích mechanismu a protokolu NHRP vytvořen dynamicky VPN tunel. Výhodou DM-VPN je, že bez změny konfigurace na HUB směrovači umožňuje snadno připojit další SPOKE směrovače a také usnadňuje konfiguraci, jelikož není nutné ručně konfigurovat mesh topologii. DM-VPN ke své činnosti využívá i jiné protokoly jako jsou: IPsec mGRE Dynamické směrovací protokoly NHRP Více teoretického popisu bude zmíněno v praktickém zapojení, které bylo cílem této práce, a také bych odkázal na [1].
prosinec 2014
2/29
2.2
Technologie MPLS
Technologie MPLS (MultiProtocol Label Switching) se používá pro urychlení cesty paketů sítí na principu přepínání značek. Je založený na důsledném oddělení procesu směrování (routing) od vlastního předávání paketů (forwarding). MPLS kombinuje techniku virtuálních kanálů s funkcemi z protokolového modelu TCP/IP. Toho je možné dosáhnout, protože jedno zařízení, označované jako LSR (Label Switch Router), hraje současně roli klasického IP směrovače a přepínače virtuálních kanálů. MPLS dokáže spolupracovat nejen s protokoly TCP/IP, ale i s protokoly z jiných modelů (např. IPX/SPX), také používá směrovací protokoly k zjištění topologie sítě. Směrovač na okraji sítě s podporou MPLS se označuje jako LER (Label Edge Router). LER příchozímu paketu přidělí značku, která se pak dále používá pro jeho předávání mezi směrovači uvnitř MPLS sítě. LSR v síti pak mohou datagram předávat dál výhradně na základě svých individuálních jednoduchých tabulek se značkami, aniž by musely zkoumat své směrovací tabulky. Přepínací tabulky LSR směrovačů se vytvářejí pomocí signalizačního protokolu LDP (Label Distribution Protocol). Pomocí přepínacích tabulek LSR směrovačů LDP protokol vytváří virtuální cestu LSP (Label Switch Path). LSP je jednosměrný virtuální kanál. Pro přenos mezi dvěma LER směrovači je potřeba vytvořit alespoň dvě LSP, jednu pro každý směr. Jako u jiných technologií s virtuálními kanály má značka jen lokální význam. Když je paket přeposlán ze vstupního portu na výstupní, změní se hodnota jeho značky. Výstupní LER odebere značku a pošle IP paket do další sítě obvyklým způsobem. [3] [4]
3
Použitá zařízení pro testování
Pro testování a ověření vzájemné spolupráce byly použity směrovače od firmy Cisco. Konkrétně typy Cisco 2801, Cisco 2811 a Cisco 2901. V tabulce č. 2 můžeme vidět souhrn použitých směrovačů a verze jejich systémů. Typ směrovače
Verze systému IOS
Cisco 2801
Verze 15.1(3)T4
Cisco 2811
Verze 15.1(3)T4
Cisco 2901
Verze 15.3(2)T
Tabulka č. 1: Použitá zařízeni pro testování
prosinec 2014
3/29
4
Realizace dynamické VPN sítě
Nyní se budeme věnovat realizaci (konfiguraci) dynamické VPN sítě nad níže navrženou topologií, která nám bude sloužit pro testování projektu, viz obrázek č. 1. Na topologii můžeme vidět prostřední část sítě, jedná se o veřejnou síť (například Internet). V celé této částí sítě je zprovozněn směrovací protokol BGP s autonomním systémem AS 200. Pomocí směrovacího protokolu BGP jsou propagovány všechny spoje (sítě) mezi směrovači v této části. Využili jsme zde konfigurace směrovačů R9 a R10 jako route reflector. Po konfiguraci jsme ověřili dostupnost v celé této síti. Mezi směrovači R9 a R10 jsme umístili hub a PC pro odchyt komunikace pomocí software Wireshark. Ve firemní sítí je zprovozněn proprietární Cisco směrovací protokol EIGRP. Nahoře v levé části je znázorněna centrální firemní síť, PE směrovač R2 je zde v roli HUB směrovače, od tohoto směrovače vedou dynamické tunely do vzdálených firemních poboček 1, 2 a 3. Směrovače R4, R5 a R7 jsou nakonfigurovány v roli SPOKE. Tyto vzdálené pobočky poté přes nakonfigurované tunely navážou EIGRP sousedství a následně mohou komunikovat s centrální firemní sítí, ale také vzájemně mezi sebou (přes HUB). Nakonec se dostáváme k závěru a požadavku tohoto projektu, v tunelech bude zapnuta technologie MPLS a tunely budou šifrovány pomoci vytvořeného IPSec profilu. Veškerá komunikace (EIGRP zprávy, datový přenos, MPLS) mezi částmi firemní sítě pomocí DM-VPN bude tedy šifrována pomocí IPSec.
Obrázek č. 1: Topologie sítě pro testování DM-VPN
4.1
Konfigurace
V následující podkapitole je popsána základní konfigurace a postup pro zprovoznění naší DM-VPN sítě na navrhnuté topologii z obrázku č. 1. Veškeré konfigurace všech směrovačů a následně také kontrolní výpisy lze nalézt v přílohách na konci dokumentu, na které se bude v průběhu odkazovat. Pro zprovoznění počítáme se základní znalostí konfigurace Cisco směrovačů a znalostí směrovacích protokolů BGP a EIGRP. Pro zopakování zde ale uvádíme základní konfiguraci BGP a EIGRP, která byla použita v naší topologii. prosinec 2014
4/29
Základní konfigurace rozhraní směrovačů a další zde nejsou uvedeny, veškeré příkazy všech směrovačů lze nalézt v příloze A. Nyní popíšeme konfiguraci směrovacích protokolů BGP a EIGRP.
Konfigurace BGP a EIGRP Níže lze vidět příkazy pro konfiguraci směrovacího protokolu BGP na směrovači R2. Prvním příkazem se dostaneme do konfigurace BGP s AS 200, dále zde přidáme síť, kterou chceme propagovat a posledním příkazem udáváme, s kým navážeme vazbu (sousedství) pro výměnu informací. Další směrovače R4, R5 a R7 se konfigurují stejným způsobem s jinými adresami. R2(config)#router bgp 200 R2(config-router)#network 200.0.10.0 mask 255.255.255.0 R2(config-router)#neighbor 200.0.10.2 remote-as 200 Následně je zde uvedena konfigurace BGP pro směrovač R9. V našem autonomním systému pro správnou funkci šíření informací by musela být vytvořena full mesh síť, neboli navázat vztah sousedství každý s každým. Využili jsme možnost konfigurace route reflektoru, tento směrovač propaguje záznamy naučené u iBGP (ale i z eBGP jako každý jiný iBGP router) do ostatních iBGP. Pomocí route reflektoru snižujeme množství sousedských vazeb v našem AS, vytváříme pouze vazby s route reflektorem. Konfiguraci takovéhoto route reflektoru můžeme vidět níže. Další směrovač je poté nakonfigurován klasicky, naváže vazbu na route reflektor. V naší topologii jsme konfigurovali dva route reflektory R9 a R10. Při testování v laboratoři jsme navazovali vazby na fyzická rozhraní, lepší řešení a také v praxi používané je navazovat sousedství pomocí loopback rozhraní. R9(config)#router bgp 200 R9(config-router)#network 200.0.10.0 mask 255.255.255.0 R9(config-router)#network 200.0.20.0 mask 255.255.255.0 R9(config-router)#network 200.0.50.0 mask 255.255.255.0 R9(config-router)#neighbor 200.0.10.1 remote-as 200 R9(config-router)#neighbor 200.0.10.1 route-reflector-client R9(config-router)#neighbor 200.0.20.1 remote-as 200 R9(config-router)#neighbor 200.0.20.1 route-reflector-client R9(config-router)#neighbor 200.0.50.2 remote-as 200 R9(config-router)#neighbor 200.0.50.2 route-reflector-client Níže je uvedena konfigurace směrovacího protokolu EIGRP s autonomním systémem 100, vidíme přidané konkrétní sítě, také je zde přidán náš vytvořený loopback. Ostatní směrovače se konfigurují podobným způsobem, nemůžeme také zapomenout na krajních směrovačích PE, například R2 přidat také síť (rozsah) pro náš vytvářený tunel. Dále nastavíme, že směrovač nemá provádět automatickou sumarizaci. U konfigurace EIGRP protokolu na SPOKE směrovačích můžeme zahrnout konfiguraci tzv. stub směrovače. Stub směrovač poté nebude zaměstnáván dotazy na cestu do neznámých sítí. Další konfigurace lze nalézt v příloze A. [2] R1(config)#router eigrp 100 R1(config-router)#network 192.168.10.0 0.0.0.255 R1(config-router)#network 192.168.1.1 0.0.0.0 R1(config-router)#no auto-summary
Konfigurace IPSec Z důvodu zabezpečení VPN spojení bude na směrovačích HUB a SPOKE provedena konfigurace IPSec s využitím IKE. Pro vzájemnou autentizaci směrovačů v rámci IPSec bude využito předem sdíleného hesla. Konfigurace IPSec bude obsahovat ověření autentičnosti pomocí esp-sha-hmac a zabezpečení provozu pomocí šifrování aes. prosinec 2014
5/29
Níže lze vidět konfiguraci IPSec. Při vytváření IPSec je nejdříve nutné definovat ISAKMP politiku, definovat tedy způsob autentizace a šifrování přenášených dat. Tato politika musí být stejná na obou koncích tunelu. Dále definujeme naše heslo (KEY), které je sdíleno všemi směrovači a použito k vzájemné autentizaci. Také je nutné uvést IP adresu konce tunelu nebo, povolit autentizaci s daným heslem vůči všem ostatním směrovačům (address 0.0.0.0). Pro vytvoření IPSec tunelu je potřeba definovat druh zapouzdření, všechny údaje musí být opět stejné na obou stranách. Jedná se o příkaz transform-set. V rozšířené konfiguraci transform-set je také dobré nastavit mód činnosti na transportní, protože tunel mezi směrovači vytvoří GRE protokol a tunelovací mód IPSec protokolu by jen zbytečně přidával další IP záhlaví, nebude tedy docházet k opakované enkapsulaci. Příkaz pro tento mód je mode transport. Nakonec předposledním příkazem vytvoříme IPSec profil IPSEC_PROFILE, který potom použijeme v konfiguraci tunelu. R2(config)#crypto isakmp policy 1 R2(config-isakmp)#authentication pre-share R2(config-isakmp)#encryption aes R2(config-isakmp)#group 5 R2(config)#crypto isakmp key KLIC address 0.0.0.0 R2(config)#crypto ipsec transform-set AES-SHA esp-aes esp-sha-hmac R2(config)#crypto ipsec profile IPSEC_PROFILE R2(ipsec-profile)#set transform-set AES-SHA
Konfigurace multipoint GRE tunelu Při vytváření zabezpečeného VPN tunelu mezi lokalitami využijeme možnost konfigurace multipoint GRE tunelů. Oproti point-to-point tunelu se zde při konfiguraci uvádí pouze zdrojové rozhraní. Adresa pro cíl bude zprostředkována pomocí NHRP protokolu. Při konfiguraci tunelu konfigurujeme jakoby virtuální tunelovací rozhraní, které ponese vlastní IP adresu (konce virtuálního spojení). Dále zde zadáme typ použité enkapsulace (gre multipoint), způsob zabezpečení procházejícího provozu pomocí vytvořeného IPSec profilu a také tunnel key (ID key tunelu), který identifikuje kdo je součástí stejného multipoint GRE. Vhodné je také upravit hodnotu MTU (Maximum Transfer Unit) na 1400 B, aby se předešlo problémům s nežádoucí fragmentací rámců z důvodu jejich zvětšení po přidání nových záhlaví. Níže můžeme vidět minimální konfiguraci tunelu pro jeho funkčnost na směrovači R4, který je v roli SPOKE. R4(config)#interface tunnel 0 R4(config-if)#ip address 192.168.0.4 255.255.255.0 R4(config-if)#tunnel key 100000 R4(config-if)#tunnel source serial 0/1/0 R4(config-if)#tunnel mode gre multipoint R4(config-if)#tunnel protection ipsec profile IPSEC_PROFILE R4(config-if)#ip nhrp network-id 99 R4(config-if)#ip nhrp nhs 192.168.0.2 R4(config-if)#ip nhrp map 192.168.0.2 200.0.10.1 R4(config-if)#ip nhrp map multicast 200.0.10.1 Nyní si popíšeme konfiguraci NHRP protokolu. Protokol NHRP se bude využívat primárně k mapování VPN IP adres na IP adresy páteřní sítě. Konfigurace se trochu liší v závislosti na roli daného prvku v topologii. Na směrovači R4, tedy SPOKE směrovači konfigurace zajišťuje registraci reálné IP adresy odchozího rozhraní tunelu a IP adresy samotného tunnel rozhraní na HUB směrovač. Nastavíme zde tedy network-id, které má lokální význam pro odlišení různých NHRP procesů. Nakonfigurujeme IP adresu Next Hop Serveru. Dále využijeme dvou statických map mezi VPN a páteřní IP adresou. Nakonfigurování statických map nám umožní zasílat multicast provoz a také nám definuje mapování mezi VPN a IP adresou NHRP serveru. Ostatní SPOKE směrovače se konfigurují podobným způsobem, konfigurace v příloze A. [1] Konfigurace NHRP protokolu na směrovači, který je v roli HUB je trochu rozdílná. Nekonfiguruje se zde statické mapování a IP adresa Next Hop Serveru. Statické mapování (mapa) je zde nahrazeno dynamickým mapováním, které pomocí NHRP protokolu bude automaticky budováno. Dále musíme na směrovači R2 na jeho rozhraní tunelu provést konfiguraci pro vynucení vypnutí funkce split-horizon pro směrovací protokol prosinec 2014
6/29
EIGRP (v případě OSPF by se příkaz nemusel používat). Důvod pro tento příkaz je jasný, stejným rozhraním, jímž bude směrovací informace od ostatních SPOKE směrovačů přijímaná, musí být také odeslána ostatním směrovačům. Tím je dokončena konfigurace tunelů na SPOKE směrovačích a HUB směrovači. Konfiguraci pro zapnutí MPLS technologii se věnuji v další kapitole. Při použití této konfigurace bude veškerá komunikace probíhat přes směrovač R2, komunikace hub-to-spoke. V naší topologii a návrhu nám tato komunikace (veškerá přes Hub směrovač) vyhovuje, neboť návrh je takový, že vzdálené firemní pobočky se připojují do centrální firemní sítě pro potřebné informace atd. Komunikace mezi vzdálenými pobočkami tedy není častá a bude probíhat přes HUB směrovač. R2(config)#interface tunnel 0 R2(config-if)#ip address 192.168.0.2 255.255.255.0 R2(config-if)#ip nhrp network-id 99 R2(config-if)#tunnel key 100000 R2(config-if)#ip nhrp map multicast dynamic R2(config-if)#tunnel source fastEthernet 0/1 R2(config-if)#tunnel mode gre multipoint R2(config-if)#no ip split-horizon eigrp 100 R2(config-if)#tunnel protection ipsec profile IPSEC_PROFILE V případě že bychom chtěli umožnit komunikaci přímo mezi SPOKE směrovači pomocí tunelů, kdy se této konfigurace v praxi také využívá. Musíme na HUB směrovači přidat následující příkaz do konfigurace tunelu, díky kterému zajistíme dynamické přímé tunely mezi SPOKE směrovači při použití EIGRP protokolu. Jak jsme se mohli dočíst v teoretické části, prvotní komunikace proběhne vždy přes HUB směrovač, který následně zajistí pomocí NHRP protokolu, přímou komunikaci mezi SPOKE směrovači. [1] R2(config-if)#no ip next-hop-self eigrp 100 Veškeré nastavené IP adresy virtuálních tunelů končí číslem aktuálního směrovače, tedy pro směrovač R2 to je 192.168.0.2 pro R7 192.168.0.7 atd. Veškeré příkazy pro konfiguraci všech směrovačů lze nalézt v příloze A. Nyní se v další kapitole budeme věnovat ověření funkčnosti, popisu zachycené komunikace a výpisům ze směrovačů.
4.2
Ověření funkčnosti
Pro ověření funkčnosti byla použita již zmiňovaná navrhnutá topologie. Funkčnost jsme ověřovali již během postupu konfigurace pomocí výpisů ze směrovačů a zachycené komunikace ze softwaru Wireshark. Na obrázku č. 2 lze vidět zachycenou komunikaci z rozbočovače mezi směrovači R9 a R10, jedná se o zasílané zprávy EIGRP pomocí vytvořených tunelů. V tomto kroku nebylo v konfiguraci DM-VPN ještě zapnuto (zabezpečení) šifrování pomocí IPSec profilu, abychom mohli odchytávat probíhající komunikaci. Na obrázku č. 2 lze tedy vidět zasílání hello zpráv EIGRP ze směrovačů. Všimněme si, že zdrojové IP adresy jsou VPN adresy konce tunelů (IP adresy konců virtuálního spojení).
prosinec 2014
7/29
Obrázek č.2: Zachycená komunikace z Wireshark Při správném nakonfigurování a zprovoznění DM-VPN jsme mohli na směrovačích ihned jako první věc vidět zprávy o navázání právě nových EIGRP vazeb s odlehlými firemními sítěmi (sousedy) přes vytvořené tunely. Níže můžeme vidět ze směrovače R2 (HUB) výpis příkazu show ip eigrp neighbors. Lze vidět, že navázané vazby se sousedy R4, R5 a R7 proběhly přes vytvořené rozhraní tunel 0. R2#show ip eigrp neighbors EIGRP-IPv4 Neighbors for AS(100) H Address Interface Hold Uptime SRTT (sec) (ms) 1 192.168.0.4 Tu0 12 00:19:32 1050 3 192.168.0.7 Tu0 11 00:23:00 71 2 192.168.0.5 Tu0 12 00:24:35 2 0 192.168.10.2 Fa0/0 11 02:10:45 1
RTO 5000 1428 1428 200
Q Cnt 0 0 0 0
Seq Num 22 15 17 10
V dalším kroku si dostupnost připojení odlehlých firemních poboček pomocí DM-VPN můžeme otestovat pomocí pingu na loopbacky v těchto sítích. Dále si zobrazíme pomocí příkazu show ip route směrovací tabulku se záznamy, kterou lze vidět níže. Jedná se o zkrácený výpis směrovací tabulky, kompletní výpis lze nalézt v příloze B včetně výpisů z ostatních směrovačů. Ve směrovací tabulce lze vidět, že sítě odlehlých firemních poboček včetně loopback rozhraní dorazili a směrovač R2 tedy nemá problém navázat komunikaci do těchto sítí. R2#show ip route 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.0.0/24 is directly connected, Tunnel0 L 192.168.0.2/32 is directly connected, Tunnel0 192.168.1.0/32 is subnetted, 1 subnets D 192.168.1.1 [90/156160] via 192.168.10.2, 01:44:47, FastEth0/0 192.168.3.0/32 is subnetted, 1 subnets D 192.168.3.3 [90/27008256] via 192.168.0.4, 00:18:49, Tunnel0 192.168.6.0/32 is subnetted, 1 subnets D 192.168.6.6 [90/27010560] via 192.168.0.5, 00:23:54, Tunnel0 192.168.8.0/32 is subnetted, 1 subnets D 192.168.8.8 [90/27010560] via 192.168.0.7, 00:22:18, Tunnel0 192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.10.0/24 is directly connected, FastEthernet0/0 L 192.168.10.1/32 is directly connected, FastEthernet0/0 D 192.168.20.0/24 [90/26880256] via 192.168.0.4, 00:18:48, Tunnel0 D 192.168.30.0/24 [90/26882560] via 192.168.0.5, 00:23:54, Tunnel0 D 192.168.40.0/24 [90/26882560] via 192.168.0.7, 00:22:18, Tunnel0 Nyní se podíváme na výpis o informacích DM-VPN pomocí příkazu show dmvpn. Můžeme zde vidět použité rozhraní – tunel 0, že se jedná o směrovač typu HUB a celkový počet NHRP sousedů (peers). U každého souseda lze vidět status UP, který značí, že je vazba (tunel) aktivní a také čas jak dlouho. Dále je zde uveden atribut D (dynamic), což znamená, že se jedná o dynamické spojení. Také jsou zde samozřejmě vidět IP adresy neboli VPN adresy konce tunelů a také IP adresy NBMA. Pro detailnější výpis lze použít příkaz show dmvpn detail, kde ve výpisu můžeme například vidět typ zabezpečení (ipsec profil), použitý protokol pro tunel (mGRE) a další. Tyto výpisy i z dalších směrovačů lze nalézt v příloze B. R2#show dmvpn Interface: Tunnel0, IPv4 NHRP Details Type:Hub, NHRP Peers:3, # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb ----- --------------- --------------- ----- -------- ----1 200.0.20.1 192.168.0.4 UP 00:54:07 D prosinec 2014
8/29
1 200.0.30.1 192.168.0.5 UP 00:53:48 D 1 200.0.40.1 192.168.0.7 UP 00:54:17 D Další z užitečných příkazů je show ip nhrp. Na tomto výpisu můžeme vidět NHRP informace od navázaných vztahů (tunelů) přes rozhraní tunel 0. Lze zde vidět, kdy bylo spojení vytvořeno, kdy vyprší a důležitou informací kterou je zde vidět je vazba (mapování pomocí NHRP) mezi IP adresami konci tunelů a NBMA adresami, například IP adresa 192.168.0.4 na směrovači R4, je k dosažení pod fyzickou adresou 200.0.20.1. Dále také typ spojení, v tomto případě se jedná o dynamické navázání. U směrovačů typu SPOKE bude tento atribut statické (static), taktéž v minulém výpisu by bylo místo atributu D (dynamic) označení S (static). R2#show ip nhrp 192.168.0.4/32 via 192.168.0.4 Tunnel0 created 00:52:49, expire 01:45:20 Type: dynamic, Flags: unique registered NBMA address: 200.0.20.1 192.168.0.5/32 via 192.168.0.5 Tunnel0 created 00:52:30, expire 01:43:54 Type: dynamic, Flags: unique registered NBMA address: 200.0.30.1 192.168.0.7/32 via 192.168.0.7 Tunnel0 created 00:52:59, expire 01:45:02 Type: dynamic, Flags: unique registered NBMA address: 200.0.40.1 Další výpisy ze všech směrovačů lze nalézt v příloze B, kde se nachází například výpisy pro IPSec a další. Nyní se budeme věnovat v naší topologii zprovoznění technologie MPLS.
5
Zavedení MPLS
Po nakonfigurování a ověření funkčnosti DM-VPN jsme se pustili do dalšího cíle projektu. Samotný MPLS provoz není šifrovaný, úkolem je tedy tento provoz šifrovat a to realizací právě nad DM-VPN. MPLS provoz bude tedy zabezpečen (šifrován) pomocí našeho vytvořeného IPSec profilu, který jsme popsali v podkapitole 4.1. Tento IPSec profil nám zabezpečí tunely vytvořené v rámci DM-VPN. MPLS poté zprovozníme a zapneme na rozhraní tunelů směrovače HUB a všech směrovačů SPOKE. MPLS provoz tedy poběží v těchto tunelech.
5.1
Konfigurace
Co se týče konfigurace, jedná se pouze o to, abychom na rozhraní tunelu zapnuli MPLS technologii příkazem mpls ip. Toto provedeme na všech SPOKE směrovačích a HUB směrovači. Ostatní konfigurace pro MPLS jsme neprováděli a vše nechali defaultně nastavené. R2(config)#interface tunnel 0 R2(config-if)#mpls ip
5.2
Ověření funkčnosti
Po zapnutí technologie MPLS na rozhraní tunelů všech směrovačů, můžeme ověřit pomocí výpisů a zachycené komunikace funkčnost. Jako první se podíváme na výpis pomocí příkazu show mpls ldp neighbor. Pomocí toho výpisu můžeme vidět, zda byla navázána nějaká ldp vazba se sousedem. Níže na další stránce můžeme vidět tento výpis ze směrovače R7. Na výpisu lze vidět LDP identitu souseda, v tomto případě 200.0.10.1 (směrovač R2 HUB). Naší lokální identitu, která je 200.0.40.1, dále také čas jak dlouho je spojení aktivní, zdrojové rozhraní a identifikaci přes které byl LDP soused nalezen a také jaké IP adresy jsou vázané na tohoto souseda. Výpis ze směrovače R2 HUB by obsahoval sousedy tři (všechny SPOKE směrovače).
prosinec 2014
9/29
R7#show mpls ldp neighbor Peer LDP Ident: 200.0.10.1:0; Local LDP Ident 200.0.40.1:0 TCP connection: 200.0.10.1.646 - 200.0.40.1.38059 State: Oper; Msgs sent/rcvd: 18/18; Downstream Up time: 00:04:40 LDP discovery sources: Tunnel0, Src IP addr: 192.168.0.2 Addresses bound to peer LDP Ident: 192.168.10.1 200.0.10.1 192.168.0.2 Nyní se můžeme podívat na výpis příkazu show mpls forwarding-table, díky kterému vidíme směrovací tabulku pro MPLS, která se používá pro směrování dle značek (label). Níže lze tedy vidět značky (labely) pro všechny dostupné sítě, jak lokální značky, tak odchozí značky těchto sítí. Vidíme zde také odchozí rozhraní což je tunel 0 a next hop, který je v tomto případě směrovač R2 s virtuální IP adresou konce tunelu 192.168.0.2. R7#show mpls forwarding-table Local Outgoing Prefix Label Label or Tunnel Id 16 16 192.168.1.1/32 17 17 192.168.6.6/32 18 No Label 192.168.8.8/32 19 Pop Label 192.168.10.0/24 20 19 192.168.30.0/24 21 21 192.168.20.0/24 22 22 192.168.3.3/32
Bytes Label Switched 0 0 2736 0 0 0 0
Outgoing Next Hop interface Tu0 192.168.0.2 Tu0 192.168.0.2 Fa0/0 192.168.40.2 Tu0 192.168.0.2 Tu0 192.168.0.2 Tu0 192.168.0.2 Tu0 192.168.0.2
Nyní se podíváme na zachycenou komunikaci, když probíhal ping ze směrovače R8 na směrovač R1. Níže na obrázku č. 3 můžeme vidět požadavek a odpověď protokolu ICMP. Vidíme zde zdrojovou IP adresu ze směrovače R8 a cílovou adresu směrovače R1.
Obrázek č. 3: Zachycený ping z R8 na R1 Níže na obrázku č. 4 vidíme obsah zachycené zprávy ICMP požadavku ze směrovače R8. Vidíme, že MPLS technologie je aktivní a došlo k označení zprávy. Můžeme vidět zachycenou značku s číslem 16. V případě porovnání s výpisem show mpls forwarding-table ze směrovače R7, můžeme vidět, že pro dosažení adresy 192.168.1.1 na kterou byl proveden ping, odpovídá značka 16. Značka z výpisu a zachycené komunikace se shoduje.
Obrázek č. 4: Zachycený obsah zprávy (požadavek)
prosinec 2014
10/29
Na obrázku č. 5 vidíme obsah zachycené odpovědi ICMP ze směrovače R1. Vidíme, že zde již žádná MPLS značka není definována. Je to způsobeno tím, že směrovač R7 vyslal požadavek na odstranění značky (implicit-null) a směrovač R2 již značku odstranil. Kdyby značka nebyla odstraněna měla by hodnotu 18, kterou můžeme dle výpisu show mpls forwarding-table na směrovači R2 zjistit. Odchozí značku pro tuto adresu 192.168.8.8 má R2 jako značku 18. Více ve výpisech v příloze C.
Obrázek č. 5: Zachycený obsah zprávy (odpověď) Jako další ukázku funkčnosti MPLS lze zmínit ping ze směrovače R8 na směrovač R6, která názorně ukazuje komunikaci a označkování pomocí MPLS. Komunikace tedy probíhá mezi dvěma vzdálenými pobočkami. Ovšem komunikace vždy proběhne mezi těmito sítěmi (SPOKE) přes směrovač R2 v roli HUB (viz kapitole konfigurace DM-VPN). Na obrázku č. 6 lze vidět zdrojové a cílové IP adresy při průběhu tohoto pingu. Požadavek musel jít nejprve na směrovač R2, z toho směrovače požadavek na směrovač R6 a odpověď zpět stejným způsobem. V dalších krocích je rozebrána jednotlivá zpráva z obrázku č. 6 samostatně.
Obrázek č. 6: Zachycený ping z R8 na R6 Na obrázku č. 7 lze vidět zdrojovou IP adresu směrovače R7 a jako cílovou IP adresu směrovače R2 – 200.0.10.1, co se týká fyzických IP adres v NBMA síti. Značka byla přiřazena s hodnotou 17, která odpovídá adrese 192.168.6.6 a lze ji také vidět ve výpisu ze směrovače R7 na předchozí straně.
Obrázek č. 7: Zpráva – požadavek na R2 Níže na obrázku č. 8 můžeme vidět zprávu ze směrovače R2 na R7 (200.0.30.1). Značka je zde opět s hodnotou 17, neboť směrovač R2 má pro adresu192.168.6.6 takto značku přiřazenu. V příloze C se lze podívat na výpis show mpls forwarding-table přiřazených značek
prosinec 2014
11/29
Obrázek č. 8: Zpráva- požadavek na R6 Ze směrovače R5 na směrovač R2 se vrací odpověď se značkou 20, kterou má směrovač R5 pro síť 192.168.40.0 přidělenu. Vše lze vidět níže na obrázku č. 9. V příloze C se lze podívat na výpis show mpls forwarding-table na příslušných směrovacích.
Obrázek č. 9: Zpráva- odpověď na R2 Na obrázku č. 10 lze vidět již odpověď ze směrovače R2 na směrovač R7. Zde již není přiřazena MPLS značka. Směrovač totiž zaslal požadavek (implicit-null) na R2, aby již značku ze záhlaví odstranil.
Obrázek č. 10: Zpráva- odpověď na R7 To byla konfigurace a ověření funkčnosti technologie MPLS. Při sledování a zachytávání provozu nebylo zabezpečení (šifrování) pomocí IPSec profilu zapnuto. Na obrázku č. 11 lze vidět již šifrovanou komunikaci, při použitém zabezpečení na tunelech pomocí vytvořeného IPSec profilu. Jsou zde vidět pouze zdrojové a cílové adresy uvnitř NBMA sítě neboli koncové fyzické adresy směrovačů ve veřejné síti. A nakonec také ESP protokol, nevidíme, o jaké typy zpráv se jedná (procházející data, zprávy směrovacích protokolu atd.) pouze zmíněné IP adresy.
Obrázek č. 11: Zachycená šifrovaná komunikace Důležité je ještě připomenout, již zmíněnou věc během konfigurace DM-VPN. A to že veškerá komunikace probíhá přes směrovač R2 v roli HUB směrovače. Jak již bylo popsáno, tato konfigurace nám vyhovuje, neboť vzdálené pobočky se připojují do centrální firemní sítě pomocí DM-VPN. V této konfiguraci bylo vše funkční včetně správné funkce technologie MPLS. Pokud jsme změnili konfiguraci tak, že vzdálené pobočky (SPOKE) mohli komunikovat přímo mezi sebou (prvotní komunikace je navázána přes R2 HUB). Tak se v tomto případě při přímé komunikaci mezi SPOKE technologie MPLS nevyužila a směrovalo se pomocí IP. Důvodem je to že tyto nově vytvořené dynamické tunely mezi SPOKE nemají v sobě nakonfigurováno MPLS a ani se nenaváže žádná ldp sousedská vazba. Technologie MPLS je zapnuta na tunelech při konfiguraci, kdy probíhá veškerá komunikace přes směrovač v roli HUB.
prosinec 2014
12/29
6
Návrh řešení na platformě IOS-XR
V následující kapitole je teoretický popsána ukázka řešení na platformě IOS-XR. Je zde popsán postup konfigurace rozhraní, BGP a EIGRP směrovacích protokolů. Mezi platformou IOS a IOS-XR jsou v některých konfiguracích jisté rozdíly, ovšem jsou zde i totožné příkazy. Asi základní rozdíl je zde v potvrzení změněné konfigurace pomocí příkazu commit (tento příkaz není v postupu konfigurací zmiňován). Níže lze vidět základní konfiguraci IP adresy na rozhraní. R1(config)#interface fastEthernet0/0 R1(config-if)#ipv4 address 192.168.10.2 255.255.255.0 R1(config-if)#no shutdown
Konfigurace EIGRP a BGP Následně lze vidět základní konfiguraci směrovacího protokolu EIGRP. Kdy si vytvoříme eigrp 100. posledním příkazem přiřadíme rozhraní do EIGRP instance neboli na jakém rozhraní bude EIGRP aktivní. R1(config)#router eigrp 100 R1(confi-eigrp)#adress-family ipv4 R1(config-eigrp-af)#interface fastEthernet0/0 Následně lze vidět základní konfiguraci směrovacího protokolu EIGRP. Kdy si vytvoříme eigrp 100. posledním příkazem přiřadíme rozhraní do eigrp instance neboli na jakém rozhraní bude EIGRP aktivní. R1(config)#router eigrp 100 R1(confi-eigrp)#adress-family ipv4 R1(config-eigrp-af)#interface fastEthernet0/0 Způsob konfigurace protokolu BGP na Cisco IOS-XR se trochu odlišuje od konfigurace na IOS. Níže je uvedena ukázka konfigurace BGP protokolu v roli route reflector. Jedná se o konfiguraci s jedním sousedem, v případě více sousedů pouze opakujeme postup od řádku dva. R10(config)# router bgp 200 R10(config-bgp)# neighbor 200.0.40.1 R10(config-bgp-nbr)# remote-as 200 R10(config-bgp-nbr)# address-family ipv4 unicast R10(config-bgp-nbr-af)# network 200.0.40.0/24 R10(config-bgp-nbr-af)# route-reflector-client V případě, že nechceme, aby směrovač vystupoval v roli route reflector pouze vynecháme patřičný (poslední) řádek z konfigurace. Níže lze vidět způsob této konfigurace. R7(config)# router bgp 200 R7(config-bgp)# neighbor 200.0.40.2 R7(config-bgp-nbr)# remote-as 200 R7(config-bgp-nbr)# address-family ipv4 unicast R7(config-bgp-nbr-af)# network 200.0.40.0/24 Výše popsané konfigurace se analogicky aplikují na ostatní směrovače dle potřeby. Více o konfiguraci na jednotlivé směrovače dle původního postupu v projektu se zaměněním těchto konfiguračních příkazů. [5] [6] [7]
prosinec 2014
13/29
Konfigurace IPSec Konfigurace IPSec politiky je oproti IOS platformě již rozdílná více. Konfigurace je více členěna do konfiguračních úrovní (podmenu). Jako první je potřeba povolit isakmp v konfiguračním režimu. R2(config)# crypto isakmp R2(config)# commit Následně vytvoříme crypto isakmp politiku, s požadovanými parametry. R2(config)# crypto R2(config-isakmp)# R2(config-isakmp)# R2(config-isakmp)# R2(config-isakmp)# R2(config-isakmp)#
isakmp policy 1 description PSK_SHA_AES authentication pre-share hash sha group 5 encryption aes
Dále definujeme naše heslo (KEY), které je sdíleno všemi směrovači a použito k vzájemné autentizaci. Také je nutné uvést IP adresu konce tunelu nebo, povolit autentizaci s daným heslem vůči všem ostatním směrovačům (address 0.0.0.0). R2(config)# crypto keyring KEY vrf default R2(config-keyring)# pre-shared-key address 0.0.0.0 key KLIC R2(config-keyring)# commit Nakonec vytvoříme IPSec profil IPSEC PROFILE, který se použije při konfiguraci zabezpečení tunelu. V konfiguraci IPSec profilu provedeme provázání s transform-set. R2(config)# crypto ipsec transform-set AES-SHA R2(config-transform-set AES-SHA)# transform esp-aes esp-sha-hmac R2(config)# crypto ipsec profile IPSECPROFILE R2(config-IPSECPROFILE)# set transform-set AES-SHA
Konfigurace multipoint GRE tunelu Konfigurace DM-VPN při které je využito multipoint GRE (mGRE) tunelu a protokolu NHRP jako na platformě IOS, se zde na IOS-XR nenachází. Ve veškeré dokumentaci Cisco na platformu IOS-XR není žádná konfigurace v této podobě a je zmiňovaná pouze konfigurace GRE tunelu point-to-point. Dokumentace s konfiguračními příkazy zde [7] [8] [9]. Níže lze vidět konfiguraci GRE tunelu point-to-point. R2(config)# interface tunnel-ip 10 R2(config-if)# ipv4 address 192.168.0.2 255.255.255.0 R2(config-if)# tunnel source fastEthernet 0/1 R2(config-if)# tunnel destination 145.12.5.2 R2(config-if)# profile IPSECPROFILE
prosinec 2014
14/29
7
Závěr
Cílem projektu bylo zprovoznit DM-VPN na směrovačích nad navrhnutou topologií sítě a do této topologie také začlenit a šifrovat pomocí DM-VPN provoz MPLS. Ověření vzájemné funkčnosti jsme provedli v laboratoři pomocí směrovačů Cisco 2801, 2811 a 2901. Veškerá konfigurace a odchycená komunikace je podrobně pospána v průběhu projektu. Již z úvodu vyplývá, že výhodou DM-VPN je jednoduší přidání vzdálené pobočky (SPOKE směrovače) bez nutnosti zásahu do konfigurace na HUB směrovači a tunely se poté vytvoří dynamicky. Během testování byla zjištěna správná funkčnost projektu - navázaní DM-VPN, spojení poboček přes tyto tunely a zapnutí technologie MPLS, pouze na konci kapitoly 5 je popsán poznatek (problém) při přímé komunikaci spoke-to-spoke, při kterém není zapnuta (funkční) technologie MPLS. Tato veškerá probíhající komunikace byla následně úspěšně šifrována pomocí IPSec. Podrobný popis konfigurace a testování je popsán v kapitolách 4 a 5.
prosinec 2014
15/29
8
Použitá literatura
[1]CISCO SYSTEMS, INC. Dynamic Multipoint VPN. Dynamic Multipoint VPN Configuration Guide, Cisco IOS XE Release 3S (ASR 1000) [online]. 2014 [cit. 2014-09-25]. Dostupné z: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/xe-3s/asr1000/secconn-dmvpn-xe-3s-asr1000-book/sec-conn-dmvpn-dmvpn.html#GUID-B543B933-18CE-44FB-9C53D5D3C0BBC195 [2]BENJAMIN, Henry. CCNP Practical Studies: Routing: Configuring Route Reflectors. INFORMIT. Informit: CCNP Practical Studies: Routing [online]. [cit. 2014-09-25]. Dostupné z: http://www.informit.com/library/content.aspx?b=CCNP_Studies_Routing&seqNum=89 [3] CISCO SYSTEMS, INC. Multiprotocol Label Switching (MPLS). [online]. [cit. 2014-09-25]. Dostupné z:http://www.cisco.com/c/en/us/products/ios-nx-os-software/multiprotocol-label-switchingmpls/index.html [4]
WIKIPEDIA. Multiprotocol Label Switching. [online]. http://en.wikipedia.org/wiki/Multiprotocol_Label_Switching
[cit.
2014-09-25].
Dostupné
z:
[5] CISCO SYSTEMS, INC. Implementing IPSec Network Security. [online]. [cit. 2014-09-25]. Dostupné z: http://www.cisco.com/c/en/us/td/docs/routers/xr12000/software/xr12k_r40/security/configuration/guide/b_sc40xr12kbook/b_sc40xr12kbook_chapter_0100.html#con_1011543 [6] FRY, Jeffrey. CISCO IOS XR. [online]. [cit. 2014-09-25]. Dostupné z: http://www.fryguy.net/wpcontent/uploads/2013/03/Cisco-IOS-XR-Introduction-Ver-1.pdf [7] CISCO SYSTEMS, INC. Configuration Guides. [online]. [cit. 2014-09-25]. Dostupné z: http://www.cisco.com/c/en/us/support/ios-nx-os-software/ios-xr-software/products-installation-andconfiguration-guides-list.html [8] CISCO SYSTEMS, INC. Implementing Generic Routing Encapsulation. [online]. [cit. 2014-09-25]. Dostupné z: http://www.cisco.com/c/en/us/td/docs/routers/asr9000/software/asr9k_r43/lxvpn/configuration/guide/vcasr9kv343/vcasr9kv3gre.html#pgfId-1004275 [9] CISCO SYSTEMS, INC. Cisco IOS XR Virtual Private Network Configuration Guide for the Cisco CRS Router, Release 5.2.x. [online]. [cit. 2014-09-25]. Dostupné z: http://www.cisco.com/c/en/us/td/docs/routers/crs/software/crs_r52/lxvpn/configuration/guide/b_lxvpn_cg52crs.pdf
prosinec 2014
16/29
9
Přílohy
Příloha A: Konfigurace jednotlivých směrovačů IPSEC: -----------------------------------------------------------------crypto isakmp policy 1 authentication pre-share encryption aes group 5 crypto isakmp key KLIC address 0.0.0.0 crypto ipsec transform-set AES-SHA esp-aes esp-sha-hmac crypto ipsec profile IPSEC_PROFILE set transform-set AES-SHA R2 (HUB): line console 0 logging synchronous exit hostname R2 interface fastEthernet 0/0 ip address 192.168.10.1 255.255.255.0 no shutdown interface fastEthernet 0/1 ip address 200.0.10.1 255.255.255.0 no shutdown interface tunnel 0 ip address 192.168.0.2 255.255.255.0 ip nhrp network-id 99 tunnel key 100000 ip nhrp map multicast dynamic tunnel source fastEthernet 0/1 tunnel mode gre multipoint no ip split-horizon eigrp 100 no ip next-hop-self eigrp 100 tunnel protection ipsec profile IPSEC_PROFILE router eigrp 100 network 192.168.10.0 0.0.0.255 network 192.168.0.0 0.0.0.255 no auto-summary router bgp 200 network 200.0.10.0 mask 255.255.255.0 neighbor 200.0.10.2 remote-as 200
prosinec 2014
17/29
SPOKE: ------------------------------------------------------------------R4: line console 0 logging synchronous exit hostname R4 interface fastEthernet 0/0 ip address 192.168.20.1 255.255.255.0 no shutdown interface serial 0/1/0 ip address 200.0.20.1 255.255.255.0 clock rate 64000 no shutdown interface tunnel 0 ip address 192.168.0.4 255.255.255.0 ip nhrp network-id 99 tunnel key 100000 ip nhrp nhs 192.168.0.2 ip nhrp map 192.168.0.2 200.0.10.1 ip nhrp map multicast 200.0.10.1 tunnel source serial 0/1/0 tunnel mode gre multipoint tunnel protection ipsec profile IPSEC_PROFILE router eigrp 100 network 192.168.20.0 0.0.0.255 network 192.168.0.0 0.0.0.255 no auto-summary router bgp 200 network 200.0.20.0 mask 255.255.255.0 neighbor 200.0.20.2 remote-as 200 R5: line console 0 logging synchronous exit hostname R5 interface GigabitEthernet 0/0 ip address 192.168.30.1 255.255.255.0 no shutdown interface GigabitEthernet 0/1 ip address 200.0.30.1 255.255.255.0 no shutdown interface tunnel 0 ip address 192.168.0.5 255.255.255.0 ip nhrp network-id 99 tunnel key 100000 ip nhrp nhs 192.168.0.2 ip nhrp map 192.168.0.2 200.0.10.1 ip nhrp map multicast 200.0.10.1 tunnel source fastEthernet 0/1 tunnel mode gre multipoint tunnel protection ipsec profile IPSEC_PROFILE prosinec 2014
18/29
router eigrp 100 network 192.168.30.0 0.0.0.255 network 192.168.0.0 0.0.0.255 no auto-summary router bgp 200 network 200.0.30.0 mask 255.255.255.0 neighbor 200.0.30.2 remote-as 200 R7: line console 0 logging synchronous exit hostname R7 interface fastEthernet 0/0 ip address 192.168.40.1 255.255.255.0 no shutdown interface serial 0/1/0 ip address 200.0.40.1 255.255.255.0 clock rate 64000 no shutdown interface tunnel 0 ip address 192.168.0.7 255.255.255.0 ip nhrp network-id 99 tunnel key 100000 ip nhrp nhs 192.168.0.2 ip nhrp map 192.168.0.2 200.0.10.1 ip nhrp map multicast 200.0.10.1 tunnel source serial 0/1/0 tunnel mode gre multipoint tunnel protection ipsec profile IPSEC_PROFILE router eigrp 100 network 192.168.40.0 0.0.0.255 network 192.168.0.0 0.0.0.255 no auto-summary router bgp 200 network 200.0.40.0 mask 255.255.255.0 neighbor 200.0.40.2 remote-as 200 CE: ------------------------------------------------------------------R1: line console 0 logging synchronous exit hostname R1 interface fastEthernet 0/0 ip address 192.168.10.2 255.255.255.0 no shutdown interface loopback 0 ip address 192.168.1.1 255.255.255.255 no shutdown router eigrp 100 prosinec 2014
19/29
network 192.168.10.0 0.0.0.255 network 192.168.1.1 0.0.0.0 no auto-summary R3: line console 0 logging synchronous exit hostname R3 interface fastEthernet 0/0 ip address 192.168.20.2 255.255.255.0 no shutdown interface loopback 0 ip address 192.168.3.3 255.255.255.255 no shutdown router eigrp 100 network 192.168.20.0 0.0.0.255 network 192.168.3.3 0.0.0.0 no auto-summary R6: line console 0 logging synchronous exit hostname R6 interface GigabitEthernet 0/0 ip address 192.168.30.2 255.255.255.0 no shutdown interface loopback 0 ip address 192.168.6.6 255.255.255.255 no shutdown router eigrp 100 network 192.168.30.0 0.0.0.255 network 192.168.6.6 0.0.0.0 no auto-summary R8: line console 0 logging synchronous exit hostname R8 interface fastEthernet 0/0 ip address 192.168.40.2 255.255.255.0 no shutdown interface loopback 0 ip address 192.168.8.8 255.255.255.255 no shutdown router eigrp 100 network 192.168.40.0 0.0.0.255 network 192.168.8.8 0.0.0.0 no auto-summary prosinec 2014
20/29
R9(Reflector): line console 0 logging synchronous exit hostname R9 interface fastEthernet 0/0 ip address 200.0.50.1 255.255.255.0 no shutdown interface fastEthernet 0/1 ip address 200.0.10.2 255.255.255.0 no shutdown interface serial 0/1/0 ip address 200.0.20.2 255.255.255.0 clock rate 64000 no shutdown router bgp 200 network 200.0.10.0 mask 255.255.255.0 network 200.0.20.0 mask 255.255.255.0 network 200.0.50.0 mask 255.255.255.0 neighbor 200.0.10.1 remote-as 200 neighbor 200.0.10.1 route-reflector-client neighbor 200.0.20.1 remote-as 200 neighbor 200.0.20.1 route-reflector-client neighbor 200.0.50.2 remote-as 200 neighbor 200.0.50.2 route-reflector-client
R10(reflector): line console 0 logging synchronous exit hostname R10 interface GigabitEthernet 0/0 ip address 200.0.50.2 255.255.255.0 no shutdown interface GigabitEthernet 0/1 ip address 200.0.30.2 255.255.255.0 no shutdown interface serial 0/1/0 ip address 200.0.40.2 255.255.255.0 clock rate 64000 no shutdown router bgp 200 network 200.0.30.0 mask 255.255.255.0 network 200.0.40.0 mask 255.255.255.0 network 200.0.50.0 mask 255.255.255.0 neighbor 200.0.50.1 remote-as 200 neighbor 200.0.50.1 route-reflector-client neighbor 200.0.30.1 remote-as 200 neighbor 200.0.30.1 route-reflector-client neighbor 200.0.40.1 remote-as 200 neighbor 200.0.40.1 route-reflector-client
prosinec 2014
21/29
Příloha B: Kontrolní výpisy ze směrovačů R2#sh ip route 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.0.0/24 is directly connected, Tunnel0 L 192.168.0.2/32 is directly connected, Tunnel0 192.168.1.0/32 is subnetted, 1 subnets D 192.168.1.1 [90/156160] via 192.168.10.2, 01:44:47, FastEth0/0 192.168.3.0/32 is subnetted, 1 subnets D 192.168.3.3 [90/27008256] via 192.168.0.4, 00:18:49, Tunnel0 192.168.6.0/32 is subnetted, 1 subnets D 192.168.6.6 [90/27010560] via 192.168.0.5, 00:23:54, Tunnel0 192.168.8.0/32 is subnetted, 1 subnets D 192.168.8.8 [90/27010560] via 192.168.0.7, 00:22:18, Tunnel0 192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.10.0/24 is directly connected, FastEthernet0/0 L 192.168.10.1/32 is directly connected, FastEthernet0/0 D 192.168.20.0/24 [90/26880256] via 192.168.0.4, 00:18:48, Tunnel0 D 192.168.30.0/24 [90/26882560] via 192.168.0.5, 00:23:54, Tunnel0 D 192.168.40.0/24 [90/26882560] via 192.168.0.7, 00:22:18, Tunnel0 200.0.10.0/24 is variably subnetted, 2 subnets, 2 masks C 200.0.10.0/24 is directly connected, FastEthernet0/1 L 200.0.10.1/32 is directly connected, FastEthernet0/1 B 200.0.20.0/24 [200/0] via 200.0.10.2, 01:42:59 B 200.0.30.0/24 [200/0] via 200.0.50.2, 01:05:39 B 200.0.40.0/24 [200/0] via 200.0.50.2, 01:05:39 B 200.0.50.0/24 [200/0] via 200.0.10.2, 01:41:20 R2#sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src 200.0.10.1 200.0.40.1 200.0.10.1 200.0.20.1 200.0.10.1 200.0.30.1
state QM_IDLE QM_IDLE QM_IDLE
conn-id 1001 1002 1003
status ACTIVE ACTIVE ACTIVE
R2#show dmvpn detail Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete N - NATed, L - Local, X - No Socket # Ent --> Number of NHRP entries with same NBMA peer NHS Status:E->Expecting Replies,R--> Responding, W --> Waiting UpDn Time --> Up or Down Time for a Tunnel ======================================================================== Interface Tunnel0 is up/up, Addr. is 192.168.0.2, VRF "" Tunnel Src./Dest. addr: 200.0.10.1/MGRE, Tunnel VRF "" Protocol/Transport: "multi-GRE/IP", Protect "IPSEC_PROFILE" Interface State Control: Disabled Type:Hub, Total NBMA Peers (v4/v6): 3 # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb Target Network ----- --------------- --------------- ----- -------- ----- -------------1 200.0.20.1 192.168.0.4 UP 00:54:20 D 192.168.0.4/32 1 200.0.30.1 192.168.0.5 UP 00:54:01 D 192.168.0.5/32 1 200.0.40.1 192.168.0.7 UP 00:54:29 D 192.168.0.7/32
prosinec 2014
22/29
R3#sh ip route D 192.168.0.0/24 [90/26880256] via 192.168.20.1, 00:13:31, GigabitEth0/0 192.168.1.0/32 is subnetted, 1 subnets D 192.168.1.1 [90/27010816] via 192.168.20.1, 00:13:30, GigabitEth0/0 192.168.3.0/32 is subnetted, 1 subnets C 192.168.3.3 is directly connected, Loopback0 192.168.6.0/32 is subnetted, 1 subnets D 192.168.6.6 [90/28290816] via 192.168.20.1, 00:13:30, GigabitEth0/0 192.168.8.0/32 is subnetted, 1 subnets D 192.168.8.8 [90/28290816] via 192.168.20.1, 00:13:30, GigabitEth0/0 D 192.168.10.0/24 [90/26882816] via 192.168.20.1, 00:13:30, GigabitEth0/0 192.168.20.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.20.0/24 is directly connected, GigabitEthernet0/0 L 192.168.20.2/32 is directly connected, GigabitEthernet0/0 D 192.168.30.0/24 [90/28162816] via 192.168.20.1, 00:13:30, GigabitEth0/0 D 192.168.40.0/24 [90/28162816] via 192.168.20.1, 00:13:30, GigabitEth0/0 R3#sh ip eigrp neighbors EIGRP-IPv4 Neighbors for AS(100) H Address Interface (sec) (ms) Cnt Num 0 192.168.20.1 Gi0/0
Hold Uptime 10 00:14:17
SRTT 1
RTO 100
Q 0
Seq 21
R4#sh ip route 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.0.0/24 is directly connected, Tunnel0 L 192.168.0.4/32 is directly connected, Tunnel0 192.168.1.0/32 is subnetted, 1 subnets D 192.168.1.1 [90/27010560] via 192.168.0.2, 00:18:21, Tunnel0 192.168.3.0/32 is subnetted, 1 subnets D 192.168.3.3 [90/130816] via 192.168.20.2, 00:18:21, GigabitEthernet0/0 192.168.6.0/32 is subnetted, 1 subnets D 192.168.6.6 [90/28290560] via 192.168.0.2, 00:18:21, Tunnel0 192.168.8.0/32 is subnetted, 1 subnets D 192.168.8.8 [90/28290560] via 192.168.0.2, 00:18:21, Tunnel0 D 192.168.10.0/24 [90/26882560] via 192.168.0.2, 00:18:21, Tunnel0 192.168.20.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.20.0/24 is directly connected, GigabitEthernet0/0 L 192.168.20.1/32 is directly connected, GigabitEthernet0/0 D 192.168.30.0/24 [90/28162560] via 192.168.0.2, 00:18:21, Tunnel0 D 192.168.40.0/24 [90/28162560] via 192.168.0.2, 00:18:21, Tunnel0 B 200.0.10.0/24 [200/0] via 200.0.20.2, 01:43:56 200.0.20.0/24 is variably subnetted, 2 subnets, 2 masks C 200.0.20.0/24 is directly connected, Serial0/1/0 L 200.0.20.1/32 is directly connected, Serial0/1/0 B 200.0.30.0/24 [200/0] via 200.0.50.2, 01:05:10 B 200.0.40.0/24 [200/0] via 200.0.50.2, 01:05:10 B 200.0.50.0/24 [200/0] via 200.0.20.2, 01:40:51 prosinec 2014
23/29
R4#show ip eigrp neighbors EIGRP-IPv4 Neighbors for AS(100) H Address Interface (sec) (ms) Cnt Num 1 192.168.20.2 Gi0/0 0 192.168.0.2 Tu0
Hold Uptime
SRTT
12 00:18:53 11 00:18:54
1 88
RTO
100 1470
0 0
Q
Seq
9 24
R4#show ip nhrp 192.168.0.2/32 via 192.168.0.2 Tunnel0 created 00:54:40, never expire Type: static, Flags: used NBMA address: 200.0.10.1 R4#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src 200.0.10.1 200.0.20.1
state QM_IDLE
conn-id status 1001 ACTIVE
R4#show dmvpn detail Interface Tunnel0 is up/up, Addr. is 192.168.0.4, VRF "" Tunnel Src./Dest. addr: 200.0.20.1/MGRE, Tunnel VRF "" Protocol/Transport: "multi-GRE/IP", Protect "IPSEC_PROFILE" Interface State Control: Disabled nhrp event-publisher : Disabled IPv4 NHS: 192.168.0.2 RE priority = 0 cluster = 0 Type:Spoke, Total NBMA Peers (v4/v6): 2 # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb Target Network ----- --------------- --------------- ----- -------- ----- -------------1 200.0.10.1 192.168.0.2 UP 00:54:33 S 192.168.0.2/32 R5#sh ip route 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.0.0/24 is directly connected, Tunnel0 L 192.168.0.5/32 is directly connected, Tunnel0 192.168.1.0/32 is subnetted, 1 subnets D 192.168.1.1 [90/27010560] via 192.168.0.2, 00:27:54, Tunnel0 192.168.3.0/32 is subnetted, 1 subnets D 192.168.3.3 [90/28288256] via 192.168.0.2, 00:22:48, Tunnel0 192.168.6.0/32 is subnetted, 1 subnets D 192.168.6.6 [90/156160] via 192.168.30.2, 00:27:53, FastEth0/0 192.168.8.0/32 is subnetted, 1 subnets D 192.168.8.8 [90/28290560] via 192.168.0.2, 00:26:17, Tunnel0 D 192.168.10.0/24 [90/26882560] via 192.168.0.2, 00:27:54, Tunnel0 D 192.168.20.0/24 [90/28160256] via 192.168.0.2, 00:22:47, Tunnel0 192.168.30.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.30.0/24 is directly connected, FastEthernet0/0 L 192.168.30.1/32 is directly connected, FastEthernet0/0 D 192.168.40.0/24 [90/28162560] via 192.168.0.2, 00:26:17, Tunnel0 B 200.0.10.0/24 [200/0] via 200.0.50.1, 01:09:33 B 200.0.20.0/24 [200/0] via 200.0.50.1, 01:09:33 200.0.30.0/24 is variably subnetted, 2 subnets, 2 masks C 200.0.30.0/24 is directly connected, FastEthernet0/1 L 200.0.30.1/32 is directly connected, FastEthernet0/1 B 200.0.40.0/24 [200/0] via 200.0.30.2, 01:09:38 B 200.0.50.0/24 [200/0] via 200.0.30.2, 01:09:38 prosinec 2014
24/29
R5#sh ip eigrp neighbors EIGRP-IPv4 Neighbors for AS(100) H Address Interface (sec) 1 192.168.0.2 Tu0 0 192.168.30.2 Fa0/0
Hold Uptime SRTT (ms) Cnt Num 14 00:28:54 7 10 01:42:08 416
RTO
Q
Seq
1428 2496
0 0
24 8
R5#sh ip nhrp 192.168.0.2/32 via 192.168.0.2 Tunnel0 created 01:00:50, never expire Type: static, Flags: used NBMA address: 200.0.10.1 R5#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src 200.0.10.1 200.0.30.1
state QM_IDLE
conn-id status 1001 ACTIVE
R5#show dmvpn detail Interface Tunnel0 is up/up, Addr. is 192.168.0.5, VRF "" Tunnel Src./Dest. addr: 200.0.30.1/MGRE, Tunnel VRF "" Protocol/Transport: "multi-GRE/IP", Protect "IPSEC_PROFILE" Interface State Control: Disabled IPv4 NHS: 192.168.0.2 RE priority = 0 cluster = 0 Type:Spoke, Total NBMA Peers (v4/v6): 1 # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb Target Network ----- --------------- --------------- ----- -------- ----- -------------1 200.0.10.1 192.168.0.2 UP 00:59:13 S 192.168.0.2/32 R6#sh ip eigrp neighbors EIGRP-IPv4 Neighbors for AS(100) H Address Interface (sec) (ms) Cnt Num 0 192.168.30.1 Fa0/0
Hold Uptime 12 01:52:59
SRTT
RTO
Q
Seq
1
200
0
16
R6#sh ip route D 192.168.0.0/24 [90/26882560] via 192.168.30.1, 00:39:26, FastEth0/0 192.168.1.0/32 is subnetted, 1 subnets D 192.168.1.1 [90/27013120] via 192.168.30.1, 00:39:26, FastEth0/0 192.168.3.0/32 is subnetted, 1 subnets D 192.168.3.3 [90/28290816] via 192.168.30.1, 00:34:21, FastEth0/0 192.168.6.0/32 is subnetted, 1 subnets C 192.168.6.6 is directly connected, Loopback0 192.168.8.0/32 is subnetted, 1 subnets D 192.168.8.8 [90/28293120] via 192.168.30.1, 00:37:49, FastEth0/0 D 192.168.10.0/24 [90/26885120] via 192.168.30.1, 00:39:26, FastEthernet0/0 D 192.168.20.0/24 [90/28162816] via 192.168.30.1, 00:34:20, FastEthernet0/0 192.168.30.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.30.0/24 is directly connected, FastEthernet0/0 L 192.168.30.2/32 is directly connected, FastEthernet0/0 D 192.168.40.0/24 [90/28165120] via 192.168.30.1, 00:37:49, FastEthernet0/0 prosinec 2014
25/29
R7#sho ip route 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.0.0/24 is directly connected, Tunnel0 L 192.168.0.7/32 is directly connected, Tunnel0 192.168.1.0/32 is subnetted, 1 subnets D 192.168.1.1 [90/27010560] via 192.168.0.2, 00:27:06, Tunnel0 192.168.3.0/32 is subnetted, 1 subnets D 192.168.3.3 [90/28288256] via 192.168.0.2, 00:23:38, Tunnel0 192.168.6.0/32 is subnetted, 1 subnets D 192.168.6.6 [90/28290560] via 192.168.0.2, 00:27:06, Tunnel0 192.168.8.0/32 is subnetted, 1 subnets D 192.168.8.8 [90/156160] via 192.168.40.2, 00:27:06, FastEth0/0 D 192.168.10.0/24 [90/26882560] via 192.168.0.2, 00:27:06, Tunnel0 D 192.168.20.0/24 [90/28160256] via 192.168.0.2, 00:23:37, Tunnel0 D 192.168.30.0/24 [90/28162560] via 192.168.0.2, 00:27:06, Tunnel0 192.168.40.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.40.0/24 is directly connected, FastEthernet0/0 L 192.168.40.1/32 is directly connected, FastEthernet0/0 B 200.0.10.0/24 [200/0] via 200.0.50.1, 01:10:22 B 200.0.20.0/24 [200/0] via 200.0.50.1, 01:10:22 B 200.0.30.0/24 [200/0] via 200.0.40.2, 01:10:27 200.0.40.0/24 is variably subnetted, 2 subnets, 2 masks C 200.0.40.0/24 is directly connected, Serial0/1/0 L 200.0.40.1/32 is directly connected, Serial0/1/0 B 200.0.50.0/24 [200/0] via 200.0.40.2, 01:10:27 R7#show ip eigrp neighbors EIGRP-IPv4 Neighbors for AS(100) H Address Interface (sec) (ms) Cnt Num 1 192.168.0.2 Tu0 0 192.168.40.2 Fa0/0
Hold Uptime
SRTT
13 00:27:35 14 01:45:06
691 521
RTO 4146 3126
Q
Seq
0 0
24 7
R7#show ip nhrp 192.168.0.2/32 via 192.168.0.2 Tunnel0 created 01:00:13, never expire Type: static, Flags: used NBMA address: 200.0.10.1 R7#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src 200.0.10.1 200.0.40.1
state QM_IDLE
conn-id status 1001 ACTIVE
R7#show dmvpn detail Interface Tunnel0 is up/up, Addr. is 192.168.0.7, VRF "" Tunnel Src./Dest. addr: 200.0.40.1/MGRE, Tunnel VRF "" Protocol/Transport: "multi-GRE/IP", Protect "IPSEC_PROFILE" Interface State Control: Disabled IPv4 NHS: 192.168.0.2 RE priority = 0 cluster = 0 Type:Spoke, Total NBMA Peers (v4/v6): 3 # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb Target Network ----- --------------- --------------- ----- -------- ----- -------------1 200.0.10.1 192.168.0.2 UP 01:00:16 S 192.168.0.2/32 prosinec 2014
26/29
R8#sh ip route D D D D C D D D C L
192.168.0.0/24 [90/26882560] via 192.168.40.1, 00:47:44, FastEth0/0 192.168.1.0/32 is subnetted, 1 subnets 192.168.1.1 [90/27013120] via 192.168.40.1, 00:47:42, FastEth0/0 192.168.3.0/32 is subnetted, 1 subnets 192.168.3.3 [90/28290816] via 192.168.40.1, 00:44:14, FastEth0/0 192.168.6.0/32 is subnetted, 1 subnets 192.168.6.6 [90/28293120] via 192.168.40.1, 00:47:42, FastEthe0/0 192.168.8.0/32 is subnetted, 1 subnets 192.168.8.8 is directly connected, Loopback0 192.168.10.0/24 [90/26885120] via 192.168.40.1, 00:47:42, FastEthernet0/0 192.168.20.0/24 [90/28162816] via 192.168.40.1, 00:44:13, FastEthernet0/0 192.168.30.0/24 [90/28165120] via 192.168.40.1, 00:47:42, FastEthernet0/0 192.168.40.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.40.0/24 is directly connected, FastEthernet0/0 192.168.40.2/32 is directly connected, FastEthernet0/0
R8#sh ip eigrp neighbors EIGRP-IPv4 Neighbors for AS(100) H Address Interface (sec) (ms) 0 192.168.40.1 Fa0/0
Hold Uptime SRTT Cnt Num 13 02:05:44 1
RTO 200
Q 0
Seq 14
R9#sh ip route 200.0.10.0/24 is variably subnetted, 2 subnets, 2 masks C 200.0.10.0/24 is directly connected, FastEthernet0/1 L 200.0.10.2/32 is directly connected, FastEthernet0/1 200.0.20.0/24 is variably subnetted, 2 subnets, 2 masks C 200.0.20.0/24 is directly connected, Serial0/1/0 L 200.0.20.2/32 is directly connected, Serial0/1/0 B 200.0.30.0/24 [200/0] via 200.0.50.2, 01:19:02 B 200.0.40.0/24 [200/0] via 200.0.50.2, 01:19:02 200.0.50.0/24 is variably subnetted, 2 subnets, 2 masks C 200.0.50.0/24 is directly connected, FastEthernet0/0 L 200.0.50.1/32 is directly connected, FastEthernet0/0 R10#sh ip route B 200.0.10.0/24 [200/0] via 200.0.50.1, 01:17:01 B 200.0.20.0/24 [200/0] via 200.0.50.1, 01:17:01 200.0.30.0/24 is variably subnetted, 2 subnets, 2 masks C 200.0.30.0/24 is directly connected, FastEthernet0/1 L 200.0.30.2/32 is directly connected, FastEthernet0/1 200.0.40.0/24 is variably subnetted, 2 subnets, 2 masks C 200.0.40.0/24 is directly connected, Serial0/1/0 L 200.0.40.2/32 is directly connected, Serial0/1/0 200.0.50.0/24 is variably subnetted, 2 subnets, 2 masks C 200.0.50.0/24 is directly connected, FastEthernet0/0 L 200.0.50.2/32 is directly connected, FastEthernet0/0
prosinec 2014
27/29
Příloha C: Kontrolní výpisy MPLS R2#sh mpls ldp neighbor Peer LDP Ident: 200.0.20.1:0; Local LDP Ident 200.0.10.1:0 TCP connection: 200.0.20.1.41367 - 200.0.10.1.646 State: Oper; Msgs sent/rcvd: 25/25; Downstream Up time: 00:10:47 LDP discovery sources: Tunnel0, Src IP addr: 192.168.0.4 Addresses bound to peer LDP Ident: 192.168.20.1 200.0.20.1 192.168.0.4 Peer LDP Ident: 200.0.30.1:0; Local LDP Ident 200.0.10.1:0 TCP connection: 200.0.30.1.24033 - 200.0.10.1.646 State: Oper; Msgs sent/rcvd: 24/24; Downstream Up time: 00:10:03 LDP discovery sources: Tunnel0, Src IP addr: 192.168.0.5 Addresses bound to peer LDP Ident: 192.168.30.1 200.0.30.1 192.168.0.5 Peer LDP Ident: 200.0.40.1:0; Local LDP Ident 200.0.10.1:0 TCP connection: 200.0.40.1.38059 - 200.0.10.1.646 State: Oper; Msgs sent/rcvd: 23/23; Downstream Up time: 00:09:21 LDP discovery sources: Tunnel0, Src IP addr: 192.168.0.7 Addresses bound to peer LDP Ident: 192.168.40.1 200.0.40.1 192.168.0.7 R2#sh mpls forwarding-table Local Outgoing Prefix Label Label or Tunnel Id 16 No Label 192.168.1.1/32 17 17 192.168.6.6/32 18 18 192.168.8.8/32 19 Pop Label 192.168.30.0/24 20 Pop Label 192.168.40.0/24 21 Pop Label 192.168.20.0/24 22 16 192.168.3.3/32
Bytes Label Outgoing Next Hop Switched interface 4560 Fa0/0 192.168.10.2 0 Tu0 192.168.0.5 0 Tu0 192.168.0.7 0 Tu0 192.168.0.5 0 Tu0 192.168.0.7 0 Tu0 192.168.0.4 0 Tu0 192.168.0.4
R4#sh mpls ldp neighbor Peer LDP Ident: 200.0.10.1:0; Local LDP Ident 200.0.20.1:0 TCP connection: 200.0.10.1.646 - 200.0.20.1.41367 State: Oper; Msgs sent/rcvd: 23/23; Downstream Up time: 00:09:36 LDP discovery sources: Tunnel0, Src IP addr: 192.168.0.2 Addresses bound to peer LDP Ident: 192.168.10.1 200.0.10.1 192.168.0.2
prosinec 2014
28/29
R4#sh mpls forwarding-table Local Outgoing Prefix Label Label or Tunnel Id 16 No Label 192.168.3.3/32 17 Pop Label 192.168.10.0/24 18 16 192.168.1.1/32 19 19 192.168.30.0/24 20 17 192.168.6.6/32 21 20 192.168.40.0/24 22 18 192.168.8.8/32
Bytes Label Outgoing Next Hop Switched interface 2850 Fa0/0 192.168.20.2 0 Tu0 192.168.0.2 0 Tu0 192.168.0.2 0 Tu0 192.168.0.2 0 Tu0 192.168.0.2 0 Tu0 192.168.0.2 0 Tu0 192.168.0.2
R5#sh mpls ldp neighbor Peer LDP Ident: 200.0.10.1:0; Local LDP Ident 200.0.30.1:0 TCP connection: 200.0.10.1.646 - 200.0.30.1.24033 State: Oper; Msgs sent/rcvd: 20/21; Downstream Up time: 00:07:12 LDP discovery sources: Tunnel0, Src IP addr: 192.168.0.2 Addresses bound to peer LDP Ident: 192.168.10.1 200.0.10.1 192.168.0.2 R5#sh mpls forwarding-table Local Outgoing Prefix Label Label or Tunnel Id 16 16 192.168.1.1/32 17 No Label 192.168.6.6/32 18 18 192.168.8.8/32 19 Pop Label 192.168.10.0/24 20 20 192.168.40.0/24 21 21 192.168.20.0/24 22 22 192.168.3.3/32
Bytes Label Outgoing Next Hop Switched interface 0 Tu0 192.168.0.2 3078 Gi0/0 192.168.30.2 0 Tu0 192.168.0.2 0 Tu0 192.168.0.2 0 Tu0 192.168.0.2 0 Tu0 192.168.0.2 0 Tu0 192.168.0.2
R7#sh mpls ldp neighbor Peer LDP Ident: 200.0.10.1:0; Local LDP Ident 200.0.40.1:0 TCP connection: 200.0.10.1.646 - 200.0.40.1.38059 State: Oper; Msgs sent/rcvd: 18/18; Downstream Up time: 00:04:40 LDP discovery sources: Tunnel0, Src IP addr: 192.168.0.2 Addresses bound to peer LDP Ident: 192.168.10.1 200.0.10.1 192.168.0.2 R7#sh mpls forwarding-table Local Outgoing Prefix Label Label or Tunnel Id 16 16 192.168.1.1/32 17 17 192.168.6.6/32 18 No Label 192.168.8.8/32 19 Pop Label 192.168.10.0/24 2019 192.168.30.0/24 0 21 21 192.168.20.0/24 22 22 192.168.3.3/32
prosinec 2014
Bytes Label Outgoing Next Hop Switched interface 0 Tu0 192.168.0.2 0 Tu0 192.168.0.2 2736 Fa0/0 192.168.40.2 0 Tu0 192.168.0.2 Tu0 192.168.0.2 0 Tu0 192.168.0.2 0 Tu0 192.168.0.2
29/29
