基于国产原生网络靶场部署运营商BGP/MPLS/L3VPN骨干网

金歌  金牌会员 | 2024-12-6 01:52:56 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 862|帖子 862|积分 2586


设置篇


技能背景


MPLS L3VPN概述:MPLS L3VPN是服务提供商VPN办理方案中一种基于PE(Provider Edge)的L3VPN技能,它使用BGP(Border Gateway Protocol)在服务提供商骨干网上发布VPN路由,使用MPLS在服务提供商骨干网上转发VPN报文。

MPLS L3VPN架构主要由用户站点(Site)、用户边缘路由器(CE)、骨干网边缘路由器(PE)和骨干网路由器(P)构成。每个客户都有自己的捏造路由转发表(VRF),从而实现了路由信息的隔离,确保了不同客户网络之间的私密性和安全性。

CE(Customer Edge)设:用户网络边缘设备,有接口直接与SP(Service Provider,服务提供商)相连。CE可以是路由器或互换机,也可以是一台主机。CE“感知”不到VPN的存在,也不需要必须支持MPLS。

PE(Provider Edge)路由:服务提供商边缘路由器,是服务提供商网络的边缘设备,与用户的CE直接相连。在MPLS网络中,对VPN的全部处理都发生在PE上。

P(Provider)路由器:服务提供商网络中的骨干路由器,不与CE直接相连。P设备只需要具备根本MPLS转发本领。

RT:MPLS L3VPN使用BGP扩展团体属性——Route Target(也称为VPN Target)来控制VPN路由信息的发布。

RD:RD(Route Distinguisher,路由区分器是用来办理VPN前缀在通过MP-BGP(多协议BGP)在MPLS VPN网络中举行扩散时前缀唯一性问题的一个机制。RD为每一个用户收到的每一个前缀分配一个唯一的标识符,以区分来自不同用户的相同前缀。RD加上IPv4地址形成VPNv4地址。
同时,使用MPLS L3VPN架构在安全性角度上也有诸多好处:
1. 路由隔离与地址空间管理
路由隔离:MPLS L3VPN架构为每个VPN实例设置了独立的VRF(捏造路由转发表),实现了不同VPN之间的路由信息隔离。这种隔离机制防止了路由信息的泄露和干扰,从而低落了网络攻击的风险。
地址空间管理:MPLS L3VPN支持地址重叠功能,但每个VPN实例的路由信息都是独立且唯一的。通过为每个VPN实例设置不同的RD(路由标识)和VRF,MPLS L3VPN能够区分来自不同VPN的路由信息,确保数据包的正确转发和接收。这种地址空间管理机制有助于防止因地址冲突而导致的网络攻击。
2. 标签转发机制
标签封装:在MPLS L3VPN中,数据包在传输过程中被封装在MPLS标签中。这种封装机制增加了数据包的潜伏性,使得黑客难以截获和篡改数据包内容。
标签互换:MPLS标签在MPLS网络中实现快速转发。通过标签互换,数据包可以沿着预设的标签互换路径(LSP)快速、准确地到达目标地。这种转发机制低落了数据包在传输过程中的耽误和抖动,从而提高了网络的安全性和稳定性。
3. 强大的QoS保障
优先级设置:MPLS L3VPN支持MPLS流量工程(TE)和MPLS服务质量(QoS)保障功能。网络管理员可以根据业务需求为不同的数据流设置不同的优先级和转发策略。
资源分配:通过QoS保障功能,MPLS L3VPN可以为关键业务提供高质量的网络服务,确保这些业务在传输过程中得到足够的带宽和低耽误。这种资源分配机制有助于防止恶意流量对网络造成攻击和破坏。
4. 机动的组网方式
跨运营商互连:MPLS L3VPN提供了机动的组网方式,可以实现跨运营商、跨地域的网络互连。这种组网方式有助于低落因单一运营商网络故障而导致的安全风险。
冗余备份:通过设置冗余的PE设备和链路,MPLS L3VPN可以提供高度的网络可用性和故障规复本领。这种冗余备份机制有助于确保网络在遭受攻击或故障时能够迅速规复正常运行。
5. 访问控制与认证机制
访问控制:MPLS L3VPN可以通过设置访问控制列表(ACL)来限定对网络的访问。这种访问控制机制有助于防止未经授权的访问和攻击。
认证机制:MPLS L3VPN可以支持基于数字证书、用户名和密码等认证机制来确保只有授权的用户和设备才能访问网络。这种认证机制有助于防止恶意用户和网络攻击者对网络举行破坏和偷取敏感信息。
6. 安全策略与监控
安全策略:MPLS L3VPN可以设置安全策略来规范网络使用和访问行为。这些安全策略可以包括数据加密、防火墙设置、入侵检测系统等。
监控与响应:MPLS L3VPN可以设置监控和响应系统来及时检测网络中的异常行为和潜伏的安全威胁。一旦发现安全威胁,系统可以立即采取响应步伐来防止攻击和低落损失。
MPLS L3VPN架构通过路由隔离与地址空间管理、标签转发机制、强大的QoS保障、机动的组网方式、访问控制与认证机制以及安全策略与监控等多种技能和机制来预防网络攻击。这些技能和机制共同构成了MPLS L3VPN架构在网络安全方面的强大保障。
组网需求

CE 1、CE 3属于VPN 1,CE 2、CE 4属于VPN 2;
VPN 1使用的Route Target属性为111:1,VPN 2使用的Route Target属性为222:2。不同VPN用户之间不能相互访问;
CE与PE之间设置EBGP互换VPN路由信息;
PE与PE之间设置OSPF实现PE内部的互通、设置MP-IBGP互换VPN路由信息。
拓扑图



地址规划


终端(1)与终端(3)同属于VPN1,可以相互通信,终端(2)与终端(4)同属于VPN2,可以相互通信,VPN1与VPN2内主机无法通信。
网络设置


设置运营商网内部IGP(P,PE1,PE2)
设置P路由器
  1. <P> system-view
  2. [P] interface loopback 0
  4. [P-LoopBack0] ip address 2.2.2.9 32
  6. [P-LoopBack0] quit
  8. [P] interface gigabitethernet 4/0
  10. [P-GigabitEthernet4/0] ip address 172.1.1.2 24
  12. [P-GigabitEthernet4/0] quit
  14. [P] interface gigabitethernet 5/0
  16. [P-GigabitEthernet5/0] ip address 172.2.1.1 24
  18. [P-GigabitEthernet5/0] quit
  20. [P] ospf
  22. [P-ospf-1] area 0
  24. [P-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255
  26. [P-ospf-1-area-0.0.0.0] network 172.2.1.0 0.0.0.255
  28. [P-ospf-1-area-0.0.0.0] network 2.2.2.9 0.0.0.0
复制代码
设置PE1路由器
  1. <PE1> system-view
  3. [PE1] interface loopback 0
  5. [PE1-LoopBack0] ip address 1.1.1.9 32
  7. [PE1-LoopBack0] quit
  9. [PE1] interface gigabitethernet 4/0
  11. [PE1-GigabitEthernet4/0] ip address 172.1.1.1 24
  13. [PE1-GigabitEthernet4/0] quit
  15. [PE1] ospf
  17. [PE1-ospf-1] area 0
  19. [PE1-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255
  21. [PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0
复制代码
设置PE2路由器
  1. <PE2> system-view
  3. [PE2] interface loopback 0
  5. [PE2-LoopBack0] ip address 3.3.3.9 32
  7. [PE2-LoopBack0] quit
  9. [PE2] interface gigabitethernet 4/0
  11. [PE2-GigabitEthernet4/0] ip address 172.2.1.2 24
  13. [PE2-GigabitEthernet4/0] quit
  15. [PE2] ospf
  17. [PE2-ospf-1] area 0
  19. [PE2-ospf-1-area-0.0.0.0] network 172.2.1.0 0.0.0.255
  21. [PE2-ospf-1-area-0.0.0.0] network 3.3.3.9 0.0.0.0
复制代码
查看运营商IGP网络状态,P路由器与PE1,PE2已经建立ospf邻居关系,且学到各自的环回口路由。


设置运营商网内部LDP(P,PE1,PE2)
设置PE 1。
  1. [PE1] mpls lsr-id 1.1.1.9
  3. [PE1] mpls ldp
  5. [PE1-ldp] quit
  7. [PE1] interface gigabitethernet 4/0
  9. [PE1-GigabitEthernet4/0] mpls enable
  11. [PE1-GigabitEthernet4/0] mpls ldp enable
复制代码
设置P。
  1. [P] mpls lsr-id 2.2.2.9
  3. [P] mpls ldp
  5. [P-ldp] quit
  7. [P] interface gigabitethernet 4/0
  9. [P-GigabitEthernet4/0] mpls enable
  11. [P-GigabitEthernet4/0] mpls ldp enable
  13. [P-GigabitEthernet4/0] quit
  15. [P] interface gigabitethernet 5/0
  17. [P-GigabitEthernet5/0] mpls enable
  19. [P-GigabitEthernet5/0] mpls ldp enable
复制代码
设置PE 2。
  1. [PE2] mpls lsr-id 3.3.3.9
  3. [PE2] mpls ldp
  5. [PE2-ldp] quit
  7. [PE2] interface gigabitethernet 4/0
  9. [PE2-GigabitEthernet4/0] mpls enable
  11. [PE2-GigabitEthernet4/0] mpls ldp enable
复制代码
查看LDP 邻居状态

设置VPN实例,将CE路由器接入PE路由器
设置PE 1。
  1. [PE1] ip vpn-instance vpn1
  3. [PE1-vpn-instance-vpn1] route-distinguisher 100:1
  5. [PE1-vpn-instance-vpn1] vpn-target 111:1
  7. [PE1-vpn-instance-vpn1] quit
  9. [PE1] ip vpn-instance vpn2
  11. [PE1-vpn-instance-vpn2] route-distinguisher 100:2
  13. [PE1-vpn-instance-vpn2] vpn-target 222:2
  15. [PE1-vpn-instance-vpn2] quit
  17. [PE1] interface gigabitethernet 1/0
  19. [PE1-GigabitEthernet1/0] ip binding vpn-instance vpn1
  21. [PE1-GigabitEthernet1/0] ip address 10.1.1.2 24
  23. [PE1-GigabitEthernet1/0] quit
  25. [PE1] interface gigabitethernet 2/0
  27. [PE1-GigabitEthernet2/0] ip binding vpn-instance vpn2
  29. [PE1-GigabitEthernet2/0] ip address 10.2.1.2 24
  31. [PE1-GigabitEthernet2/0] quit
复制代码
设置PE 2。
  1. [PE2] ip vpn-instance vpn1
  3. [PE2-vpn-instance-vpn1] route-distinguisher 200:1
  5. [PE2-vpn-instance-vpn1] vpn-target 111:1
  7. [PE2-vpn-instance-vpn1] quit
  9. [PE2] ip vpn-instance vpn2
  11. [PE2-vpn-instance-vpn2] route-distinguisher 200:2
  13. [PE2-vpn-instance-vpn2] vpn-target 222:2
  15. [PE2-vpn-instance-vpn2] quit
  17. [PE2] interface gigabitethernet 1/0
  19. [PE2-GigabitEthernet1/0] ip binding vpn-instance vpn1
  21. [PE2-GigabitEthernet1/0] ip address 10.3.1.2 24
  23. [PE2-GigabitEthernet1/0] quit
  25. [PE2] interface gigabitethernet 2/0
  27. [PE2-GigabitEthernet2/0] ip binding vpn-instance vpn2
  29. [PE2-GigabitEthernet2/0] ip address 10.4.1.2 24
  31. [PE2-GigabitEthernet2/0] quit
复制代码
设置CE
  1. <CE1> system-view
  3. [CE1] interface gigabitethernet 1/0
  5. [CE1-GigabitEthernet1/0] ip address 10.1.1.1 24
  7. [CE1-GigabitEthernet1/0] quit
  9. [CE1] interface gigabitethernet 2/0
  11. [CE1-GigabitEthernet2/0] ip address 192.168.10.1 24
  13. [CE1-GigabitEthernet2/0] quit
复制代码
测试PE1与CE1的联通性

设置PE与CE之间建立EBGP对等体,引入VPN路由。
设置CE 1。
  1. <CE1> system-view
  3. [CE1] bgp 65410
  5. [CE1-bgp-default] peer 10.1.1.2 as-number 100
  7. [CE1-bgp-default] address-family ipv4 unicast
  9. [CE1-bgp-default-ipv4] peer 10.1.1.2 enable
  11. [CE1-bgp-default-ipv4] import-route direct
  13. [CE1-bgp-default-ipv4] quit
  15. [CE1-bgp-default] quit
复制代码
另外3个CE设备设置与CE 1设备设置类似,设置过程省略。
设置PE 1。
  1. [PE1] bgp 100
  3. [PE1-bgp-default] ip vpn-instance vpn1
  5. [PE1-bgp-default-vpn1] peer 10.1.1.1 as-number 65410
  7. [PE1-bgp-default-vpn1] address-family ipv4 unicast
  9. [PE1-bgp-default-ipv4-vpn1] peer 10.1.1.1 enable
  11. [PE1-bgp-default-ipv4-vpn1] quit
  13. [PE1-bgp-default-vpn1] quit
  15. [PE1-bgp-default] ip vpn-instance vpn2
  17. [PE1-bgp-default-vpn2] peer 10.2.1.1 as-number 65420
  19. [PE1-bgp-default-vpn2] address-family ipv4 unicast
  21. [PE1-bgp-default-ipv4-vpn2] peer 10.2.1.1 enable
  23. [PE1-bgp-default-ipv4-vpn2] quit
  25. [PE1-bgp-default-vpn2] quit
  27. [PE1-bgp-default] quit
复制代码
PE 2的设置与PE 1类似,设置过程省略。
查看PE与CE的bgp邻居状态。

设置PE之间建立MP-IBGP对等体。
设置PE 1。
  1. [PE1] bgp 100
  3. [PE1-bgp-default] peer 3.3.3.9 as-number 100
  5. [PE1-bgp-default] peer 3.3.3.9 connect-interface loopback 0
  7. [PE1-bgp-default] address-family vpnv4
  9. [PE1-bgp-default-vpnv4] peer 3.3.3.9 enable
复制代码
设置PE 2。
  1. [PE2] bgp 100
  3. [PE2-bgp-default] peer 1.1.1.9 as-number 100
  5. [PE2-bgp-default] peer 1.1.1.9 connect-interface loopback 0
  7. [PE2-bgp-default] address-family vpnv4
  9. [PE2-bgp-default-vpnv4] peer 1.1.1.9 enable
复制代码
查看PE之间的bgp vpnv4邻居状态。


在PE1上查看到CE3的路由。



分析篇

控制层面分析

通过OSPF协议打通运营商内网路由,使得PE1,PE2通过内网路由学习到各自的环回口ip路由,




PE1与PE2使用各自环回口地址与对方建立MP-bgp邻居关系,




PE与CE建立bgp ipv4 邻居关系,学习到CE侧内部路由,


PE通过mp-bgp vpnv4邻居关系将各自CE路由发送给对端PE。


数据层面分析

以192.168.30.0/24为例,查看此路由的标签分发情况。在PE1上收到PE2宣告的192.168.30.0/24路由,可以看到PE2为该路由分发的bgp 标签 16125。


在PE2上举行查看是此路由标签,PE2从CE3收到该路由后,添加bgp标签 16125,然后发送给PE1。此标签为内层标签。


查询192.168.30.0/24的路由信息,路由下一跳为3.3.3.9,ldp为3.3.3.9分发ldp标签 24127,该标签由P路由器天生发从给PE1,作为192.168.30.0/24的外层标签。PE1根据此标签将数据发送给P路由器。


查询P路由器ldp标签分发情况,P路由器收到24127的外层标签,根据标签转发表,发现出标签为3,3代表为隐式空标签,P路由将该数据出去时,将外层标签弹出,发给PE2, 此时该数据包内只包含内层标签 16125,这个标签是PE2天生发给PE1的标签。


查看PE2标签分发情况,PE2为192.168.30.0/24分发标签16125,下一跳为10.3.1.1,出标签为null,PE2将该数据包发送给CE2时,已经不带任何标签,发送的是正常的ip数据包。


查看CE3路由信息,数据包到达CE3后,发现为直连路由,根据路将数据包发送给终端(3),至此,完成了数据包的转发。

测试连通性

测试终端(1)与终端(3)可以相互访问,无法访问终端(2)终端(4),同理,终端(2)与终端(4)可以相互访问,无法访问终端(1)终端(3)。












免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

金歌

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表