Уровень доступа предназначен для формирования сетевого трафика и контроля за доступом к сети. Маршрутизаторы уровня доступа служат для подключения отдельных пользователей (серверы доступа) или отдельных локальных сетей к глобальной вычислительной сети.

2.1 Анализ структуры организации

Управление Федеральной налоговой службы (УФНС) по городу Омску представляет собой сеть из пяти филиалов и одно центральное управление. Филиалами являются инспекции Федеральной налоговой службы по административным округам Омска (ИФНС).

ИФНС распределены по административным округам(АО) города Омска, для обслуживания налогоплательщиков, зарегистрированных данном административном округе. Центральный офис УФНС по Омску выполняет функции единого управления сетью филиалов, в пределах Омска, а также является структурной единицей единой сети УФНС в субъектах Российской Федерации (РФ).

Все структурные подразделения логически связаны в одну корпоративную информационную систему. Каждый филиал имеет собственную базу данных и ряд специальных программных продуктов для работы, но филиалы связаны с омским управлением (через него с московским) единой базой данных по налогоплательщикам, что обеспечивает целостное функционирование всей системы.

Приведем в таблице 2.1 ориентировочные сводные данные о количестве служащих налоговой службы, а также о минимальном числе запланированных точек подключения по технологии FTTH.

Таблица 2.1 - Сводные данные организации

Филиал	Число служащих	Количество АРМ	Количество точек подключения FTTH клиентов
ИФНС по Кировскому АО	131	125	140
ИФНС по Советскому АО	123	95	110
ИФНС по Центральному АО	110	100	125
ИФНС по Ленинскому АО	125	120	135
ИФНС по Октябрьскому АО	150	132	147
УФНС по Омску (Центральный офис)с	242	229	240

2.2 Описание разрабатываемой сети

В настоящее время в каждом филиале УФНС по городу Омску используются локальные вычислительные сети построенные по технологии Fast Ethernet. Если рассматривать существующую сетевую архитектуру, то она представляет собой совокупность разрозненных сетей масштаба одной инспекции. Взаимодействие инспекций осуществляется посредством сети Internet (корпоративный сайт, корпоративный почтовый сервер), с использованием ADSL канала шириной 216 Кбит/с .

Существующая организация сети не отвечает современным требования безопасности IP трафика, также не считается возможным создание видеоконференций, работы в WEB приложениях, снижена общая производительность корпоративной сети.

Необходимо разработать вариант корпоративной информационной сети, отвечающей следующим требованиям:

- безопасность и конфиденциальность трафика;

- возможность легкой масштабируемости сети;

- объединение разнородного трафика;

- обеспечение высокой скорости передачи данных.

В качестве линий связи между филиалами организации в пределах города используем транспортную сеть одного из субпровайдеров. Условная схема корпоративной сети филиалов в городе Омске изображена на рисунке 2.1.

Корпоративная сеть основывается на трехуровневой иерархической модели (верхний уровень - ядро (core), середний - уровень распределения(distribution), нижний - уровень доступа (access)).

На уровне ядра располагается центральный офис организации. Центральные офисы организации являются узлами ядра глобальной корпоративной сети. Центральные маршрутизаторы узлов (соединены между собой (каждый - с каждым) по одной из технологий для глобальных вычислительных сетей, образуя кольцевое ядро сети с избыточными путями. К узловому маршрутизатору ядра подключаются маршрутизаторы филиалов.

В каждом филиале к маршрутизатору уровня распределения подключаются коммутаторы уровня доступа. В соответствии с технологией FTTH на каждом участке сети в пределах города используются оптоволоконные линии связи, вплоть до конечного пользователя.

Рисунок 2.1 - Схема организации сети

Маршрутизатор уровня ядра оснащается двумя типами интерфейсов. Для объединения центрального офиса с центральными офисами других субъектов РФ используется сеть DWDM SDH магистрального провайдера.

Для объединения филиалов в пределах Омска, находящихся под единым административным подчинением, через публичную сеть оператора будет применено построение VPN на базе MPLS.

Определим следующие понятия:

– CE - маршрутизатор со стороны узла клиента, который непосредственно подключается к маршрутизатору оператора;

– PE - граничный маршрутизатор со стороны оператора (MPLS домена), к которому подключаются устройства CE. Устройства PE выполняют функции E-LSR;

– P - маршрутизатор внутри сети оператора (MPLS домена). P устройства выполняют функции LSR.

Сеть оператора использует технологию MPLS/VPN. Маршрутизаторы сети оператора образуют MPLS домен. К сети оператора подключены несколько филиалов. Каждому филиалу организован его личный VPN. Список узлов филиалов представлен в таблице 2.2, схема их подключения на рисунке 2.2. Для организации корпоративной сети УФНС провайдером транспортной сети MPLS было предложена схема реализации сети как объединение нескольких VPN.Формирование VPN сетей будут осуществляться по принципу «центр - периферия» (hub-and-spoke). Данная схема подразумевает объединение нескольких узлов, один или несколько из которых объявляется центральным, а остальные периферийными. Центральные узлы могут обмениваться IP трафиком друг с другом. Периферийные узлы могут обмениваться трафиком с центральными. Периферийные узлы не могут обмениваться трафиком друг с другом.

Таблица2.2 - Описание распределения VPN

Филиал	Обозначение VPN	Тип VPN
ИФНС по Кировскому АО	VPN_4	Периферийная сеть
ИФНС по Советскому АО	VPN_3	Периферийная сеть
ИФНС по Центральному АО	VPN_1	Периферийная сеть
ИФНС по Ленинскому АО	VPN_2	Периферийная сеть
ИФНС по Октябрьскому АО	VPN_5	Периферийная сеть
УФНС по Омску (Центральный офис)	VPN_6	Центральная сеть

Рисунок 2.2 - Схема MPLS домена и подключенных узлов клиента

В нашем случае центральным узлом VPN будет являться - управлением Федеральной налоговой службы в г.Омске, периферийными VPN (spokes) - инспекции налоговой службы в административных округах города.

2.3 Разработка адресного пространства сети

Для создания адресного пространства корпоративной сети будем использовать адреса, рекомендованные провайдером для использования - 192.168.000.000 /26. При этом для возможного расширения сети и сохранения уникальности адресного пространства разделим сети головного офиса и филиалов на подсети, используя третий и четвертый октеты.

Адресное пространство является единым для территориального подразделения УФНС. Для города Омска количество филиалов равно шести. Таким образом, для определения филиала достаточно 3 битов в третьем октете (число адресуемых узлов составляет 8), весь четвертый октет выделяем под адресацию хостов, если число адресуемых хостов превышает максимально возможное, то используют дополнительный резерв из третьего октета. В таблице 2.3 указано разбиение всего адресного пространства.

Таблица 2.3 - Принцип разбиения адресного пространства

Тип адресуемого пространства	Количество адресуемых элементов	Диапазон IP-адресов	Примечание
ИФНС по Кировскому АО	140	192.168.4.0/26
ИФНС по Советскому АО	110	192.168.8.0/26
ИФНС по Центральному АО	125	192.168.12.0/26
ИФНС по Ленинскому АО	135	192.168.16.0/26
ИФНС по Октябрьскому АО	147	192.168.20.0/26
УФНС по Омску (Центральный офис)	240	192.168.24.0/26 - 192.168.25.0/26

Рассмотрим принцип распределения адресов в пределах одной ИФНС на примере ИФНС по Кировскому АО, который приведен в таблице 2.4.

Таблица 2.4 - Принцип назначения IP-адресов

Филиал	Символ	Диапазон адресов	Число устройств	Назначение диапазона
ИФНС по Кировскому АО Омска	B (begin)	192.168.4.0/26	0	Не применяется для устройства сети
	R (routers)	192.168.4.1 /26 - 192.168.4.11 /26	10	Устройства взаимодействия
	S (servers)	192.168.4.12 /26 - 192.168.4.32 /26	20	Адреса серверов
	F (fixed)	192.168.4.33 /26-192.168.4.142 /26	140	Адреса компьютеров с фиксированными IP - адресами
	D (dynamic)	192.168.4.142 /26 - 192.168.4.254 /26	113	Резервный запас адресов
	E (end)	192.168.42.255 /24		Не применяется для устройства сети

2.4 Выбор активного оборудования сети

2.4.1 Магистральный маршрутизатор сети

Магистральные маршрутизаторы располагаются в центре сети. Они предназначены для быстрой маршрутизации всех потоков данных, приходящих с нижних уровней иерархии сети.

Маршрутизаторы серии Cisco 7600 реализуют надежные и высокопроизводительные функции IP/MPLS и предназначены для использования в качестве граничного маршрутизатора в сетях провайдеров услуг, а также в сетях MAN/WAN крупных предприятий. Поддерживая различные интерфейсы и технологию адаптивной обработки сетевого трафика, маршрутизаторы серии Cisco 7600 предлагают интегрированные услуги Ethernet, частных линий и агрегации абонентских подключений.

Маршрутизаторы серии Cisco 7600, которые приходят на смену существующим маршрутизаторам серии Cisco 7500, обладают таким же набором функций программного обеспечения Cisco IOS и поддерживают имеющиеся адаптеры портов для маршрутизаторов Cisco 7200/7500 (технология FlexWAN). Кроме того, маршрутизаторы серии Cisco 7600 обеспечивают производительность на уровне нескольких Гбит/с в расчете на слот, выпускаются в различных форм-факторах и поддерживают улучшенные модули оптических интерфейсов для предоставления высокопроизводительных услуг.

Мультипроцессорный модуль WAN-приложений обеспечивает интеллектуальное агрегирование широкополосных Ethernet-соединений и позволяет использовать маршрутизатор серии Cisco 7600 в качестве концентратора доступа Ethernet L2TP или в качестве сетевого сервера L2TP с высокой плотностью абонентских подключений. Сравнительная характеристика маршрутизаторов сети Cisco 7600 представлена в таблице 2.5.

Таблица 2.5 - Общие характеристики серии маршрутизаторов Cisco 7600

Модель	Cisco 7603	Cisco 7606	Cisco 7609	Cisco 7613
Высота шасси	4RU	7RU	20RU	18RU
Слоты для модулей	3 (гориз.)	6 (гориз.)	9 (вертик.)	13 (гориз.)
Резервирование блоков питания	Да	Да	Да	Да
Резервирование системного модуля	Да	Да	Да	Да
Макс. производительность, Гбит/с	240	480	720	720
Макс. производительность, млн. пакетов/с	30

Основываясь на сравнении характеристик линейки маршрутизатров Cisco 7600, было решено выбрать в качестве маршрутизатора уровня ядра предприятия модель Cisco 7609. Данный маршрутизатор наиболее полно отвечает требованиям создаваемой сети

Возможные варианты использования маршрутизатора Cisco 7609 в сетях IP/MPLS:

- городские сети Metro Ethernet;

- агрегирование каналов Ethernet;

- многоточечные услуги Ethernet VPLS;

- услуги 10 Gigabit Ethernet высокой плотности (IPv4 и IPv6);

- агрегирование частных линий ;

- высокоскоростные и низкоскоростные интерфейсы (от OC-48/STM-16 до DS0);

- витая пара или оптоволокно;

- виртуальные частные сети уровня 3 на базе MPLS;

- транспорт Ethernet/Frame Relay/ATM по сети MPLS на схеме «точка-точка»;

- агрегирование абонентов Ethernet;

- протокол PPPoE;

- сетевой сервер L2TP;

- шлюз абонентских услуг;

- агрегирование распределенных сетей;

- опорный маршрутизатор сети головного офиса.

Рассмотрим некоторые технические характеристики маршрутизатора Cisco 7609 (таблица 2.6).



Таблица 2.6 - Технические характеристики модели Cisco 7609

Характеристики	Значения
Размер шасси	20 RU
Слоты для модулей	9 вертикально
Резервный блок питания	Есть
Резервный процессорный модуль	Возможно
Производительность шины	256 Гбит/с
Производительность коммутации	30 Mpps
Flash PCMCIA Memory	16 Mb / 24 Mb
System DRAM Memory	128 MB / 512 MB
Minimum Cisco IOS	12.1.8AEX

Маршрутизатор Cisco7609 необходимо оснастить слотами, представленными в таблице 2.7.

Таблица 2.7 - Модули расширения для маршрутизатора уровня ядра

Модуль	Описание	Примечание	Количество
WS-G6483=	1550nm Extended Reach 10 Gigabit Ethernet (For WS-X6502-1OGE)	IOS12.1(11)EX	1
CWDM-GBIC-1490=	1000BASE-CWDM 1490 nm GBIC	single mode	1

2.4.2 Маршрутизатор филиала

Маршрутизатор филиала должен поддерживать высокую скорость коммутации пакетов, обеспечивать поддержку сервисов мультимедийного трафика.

Архитектура маршрутизаторов с интегрированными услугами семейства Cisco 3800 базируется на архитектуре мощных мультисервисных маршрутизаторов доступа серии Cisco 3700.

Серия Cisco 3800, благодаря Cisco IOS Software Advanced Security Feature Set, может выполнять функции по обеспечению сетевой безопасности, среди которых стоит отметить firewall, intrusion prevention, IPSec VPN, Secure Shell (SSH) 2.0 и SNMP v3, network admissions control (NAC), Voice and Video Enabled VPN (V3PN), Dynamic Multipoint VPN (DMVPN) и Easy VPN.

Маршрутизаторы серии Cisco 3800 может легко интегрироваться в корпоративные сети крупного уровня для обеспечения сервисов IP на базе одной платформы.

Рассмотрим две модели маршрутизаторов серии Cisco 3800, их основные технические характеристики представлены в таблице 2.8.

Таблица 2.8 - Технические характеристики

Свойства Cisco 3800 Series	Cisco 3825	Cisco 3845
Разъемы для подключения сетевых карт Разъемы поддерживают подключения стандартных сетевых модулей (NM), расширенных сетевых модулей (NME, NME-X), расширенных модулей высокой концентрации (EVM-HD), double-wide сетевые модули (NMD, NME-XD).	NM NME NME-X NMD NME-XD EVM-HD	NM NME NME-X NMD NME-XD EVM-HD
Максимальное количество подключаемых карт NM, NME, NME-X	2	4
Максимальное количество NMD/NME-XD	1	2
Максимальное количество EVM-HD	1	2
HWIC-разъемы с поддержкой VIC, VWIC, и WIC-карт.	4	4
Порты LAN (RJ-45)	2 Gigabit Ethernet (10/100/1000)	2 Gigabit Ethernet (10/100/1000)
SFP-разъемы	1	1
AIM-разъемы	2	2
PVDM разъемы	4	4
Порты USB 1.1	2	2
Аппаратное ускорение VPN шифрования	Да	Да
Консольный порт	1	1
Дополнительный порт AUX	1	1
Память - внешняя флэш-память Compact Flash и внутренняя ОЗУ DDR SDRAM	64-512 Мб Compact Flash; 256 Mб-1Гб DDR SDRAM	64-512 Мб Compact Flash; 512 Mб-1Гб DDR SDRAM

2.4.3 Выбор коммутатора уровня доступа

В качестве коммутаторов уровня доступа наиболее подходящими можно считать коммутаторы Cisco серии ME-6500. Коммутаторы этой серии применяются для реализации уровня доступа компаний среднего размера. Характеристики моделей коммутаторов данной серии представлены в таблице 2.9.

Таблица 2.9 Сравнительные технические характеристики коммутаторов

Основные характеристики	ME-C6524GS-8S	ME-C6524GT-8S
Количество портов Gigabit Ethernet 10/100/1000 TX	нет	24
Количество портов Gigabit Ethernet SFP	32	8
Пропускная способность, Гбит/с	32
Производительность маршрутизации, млн. пакетов/с	15
Объем flash-памяти for the route (for the switch), Мб	64(128)
Объем ОЗУ for the route (for the switch), Мб	512(256)
Источник питания	400W DC
Размеры (В х Ш х Г), см	6,7 x 44,3 x 48,3 (1,5 RU)
Вес, кг	13,21
Время наработки на отказ (MTBF), час	58481	59172

Исходя из особенности построения сети на основе технологии FTTH, моделью, применяемой в нашем случае, будет коммутатор Cisco MEC6524GS-8S.

2.3.4 Выбор коммутатора здания

Для уровня распределения сети филиала необходим высокопроизводительный оптический коммутатор, отвечающий требованиям качественной передачи мультимедийного трафика.

Таким коммутатором может служить коммутатор Cisco ME 4924-10GE это агрегирующий коммутатор уровня Layer 2-4 для высокопроизводительных сетей оптических сетей. Коммутаторы серии ME4900 основаны на технологии серии Catalyst 4900 и обеспечивает производительность, необходимую линиям связи организаций крупных и средних размеров, предоставляющим пользователям услуги triple play (голос, видео и данные).

Технические характеристики коммутатора Cisco ME-4924-10GE представлены в таблице 2.10.

Таблица 2.10

Основные характеристики коммутатора Cisco ME-4924-10GE

Основные характеристики	ME-4924-10GE
Количество портов SFP Gigabit Ethernet 10/100/1000	24
Количество портов 10 Gigabit Ethernet XENPAK	2
Пропускная способность, Гбит/с	48
Производительность маршрутизации, млн. пакетов/с	71
Тип транков VLAN	802.1x
Объем flash-памяти, Мб	164
Объем ОЗУ, Мб	256
CPU, МГц	266
Размеры (В x Ш x Г), см	4,45 x 44,5 x 40,9
Вес, кг	7,48

2.4.5 Выбор оборудования CPE

В силу специфики работы инспекции Федеральной налоговой службы, филиал в АО, представляет собой объединение большого числа подразделений с небольшим числом сотрудников (3-4 служащих). Учитывая данную особенность структурной организации ИФНС, наиболее подходящим представляется установка в кабинетах организации устройств CPE с несколькими совмещенными портами RJ-45, RJ-11, что позволит сократить расходы, связанные с приобретением и обслуживанием активного оборудования уровня распределения.

В качестве устройства CPE, для рассматриваемого случая, наиболее подходит модель фирмы Nateks Networks - NetXpert 3016 (Triple Service). Технические характеристики модели представлены в таблице 2.11.



Таблица 2.11 - Технические характеристики NetXpert 3016 (Triple Service)

Основные характеристики	NetXpert 3016 (Triple Service
Наименование интерфейсов	1x1000Base-LX 4x100Base-Tx 2xRJ-11
Спецификации	IEEE 802.3 10Base-T IEEE 802.3z 1000Base-X/LX IEEE 802.3x Flow Control (Full Duplex), Back pressure (Half Duplex) Фильтрация широковещательного шторма OAM (Operation, Administration and Management)
Спецификации VOIP	Протокол VoIP: H.323 V2/V3 Обработка голоса: - кодеки: G.711, G.723.1 G.729; - определение тона; - подавление эха; - DTMF Tone Generation/Detection; - Channel Cross-switch, конференция; - Gain Control; - Dynamic Jitter Buffer; - VAD (Voice Activity Detection); - G.168 & Embedded GIPS TM; - PLC (Packet Loss Compensation).
Тип питания	Внешний адаптер питания (5V / 4A) , 90 ~240 VAC
Габариты	250(W) Ч 40 (H) Ч 190 (D)

2.5 Проектирование структурированной кабельной системы сети

2.5.1 Внешняя кабельная система

В соответствии с возможными применениями оптические волокна собираются в кабели, в которых обеспечивается более надежная защита от механических повреждений, а также от воздействий окружающей среды таких как влага, пыль и высокие температуры. Кроме того, в кабеле не может быть таких сильных изгибов волокон, которые привели бы к их разрыву и, следовательно, к утере сигнала.

Волоконно-оптический кабель состоит из оптических волокон, силовых элементов (арматуры) и защитных оболочек. В большинстве случаев используются обычные оптические волокна. Волокна могут собираться в жгуты, которые могут быть обмотаны арамидной пряжей и заключены в оболочки. Несколько таких жгутов объединяются в одну или несколько свивок и покрываются одной общей оболочкой и, таким образом, получается кабель. Световоды в жгуте могут различаются по цвету оболочки или по ее цветовой маркировке, что позволяет легко находить нужный, особенно при большой длине кабеля, и избежать ошибки при соединении.

Упрочняющие элементы могут быть в виде жил или прутков цилиндрического или специального профиля, изготовленных в основном из кевлара, хотя могут использоваться и другие полимерные материалы, а также сталь или стекловолокно, которые располагаются или в центре или по периферии кабеля. Все эти материалы применяются также для изготовления брони. Защитные наружные оболочки кабеля изготавливаются преимущественно из полимерных материалов, таких как полиэтилен, поливинилхлорид, фторопласт.

При конструировании оптических кабелей учитываются величины внешних воздействий, особенно механических нагрузок, которые возникают при прокладке и эксплуатации, износоустойчивость, долговечность, гибкость, размеры, температурный диапазон и внешний вид.

Следует обратить внимание на прочность волокнно-оптического кабеля, которая определяется максимально допустимыми механическими нагрузками. Прежде всего, это - кратковременные нагрузки, которые могут возникать в ходе прокладки кабеля, например, тяговое усилие при протягивании кабеля в трубах, изгибах и т.п. Их значения определяются длиной кабеля и условиями его прокладки. Механические нагрузки, которые возникает в ходе эксплуатации кабеля, - не менее важны, их величина будет, конечно же, намного меньше, чем максимальные тяговые нагрузки при прокладке. Поэтому, в ряде случаев их можно не учитывать.

Поскольку возможно множество применений в различных условиях, имеется множество конструкций кабелей. Как и обычные медные кабели, могут быть волоконно-оптические кабели для прокладки непосредственно в грунте и в канализации, кабели общего назначения, кабели для воздушной прокладки (подвески), многожильные кабели с одним или несколькими жгутами, бронированные и много других. На одном объекте, как правило, возникает необходимость прокладки кабелей нескольких типов. Например, для нескольких зданий необходимы магистральные кабели для наружной прокладки (причем, кабель можно проложить по коммуникациям, непосредственно в земле или по воздуху), внутри здания - вертикальные для разводки по этажам и для разводки непосредственно по рабочим местам. Поэтому важное значение приобретает правильный выбор кабеля для реализации конкретнго участка проводки в конкретном месте.

Для прокладки вне помещений преимущественно используются кабели со свободным буфером различных конструкций в т.ч.: для воздушной прокладки (или подвески) - такие кабели проводятся между строениями или подвешиваются на опорах; для прокладки непосредственно в грунте, такие кабели укладываются в предварительно выкопанных канавах и, затем, засыпаются землей; подземные, которые прокладываются в трубах или кабелепроводах и подводные, включая трансокеанские. Для обеспечения необходимой прочности в них могут использоваться мощные силовые элементы нескольких типов, что позволяет избежать повреждений при протяжке в канализации, а также различная броня, которая служит надежной защитой кабеля при непосредственном вкапывании или подвеске. Поскольку стоимость таких кабелей - выше, экономия достигается за счет простоты прокладки.

Для прокладки в помещениях применяются волоконно-оптические кабели с плотным буфером следующих типов: симплексные, дуплексные, многожильные и другие.

Создание структурированной кабельной системы рассмотрено на примере ИФНС Кировского АО (приложение Б).

2.5.2 Выбор ВОК для наружной прокладки

Наружная прокладка волоконно-оптического кабеля ведется воздушным способом от магистральной линии провайдера по опорам до здания ИФНС.

Для наружной прокладки ВОК предполагается использовать кабель марки ИК/Д2-Т-А4-1.2, производства компании «Интегра-Кабель». Данный кабель соответствует декларации о соответствии требованиям Минсвязи РФ кабеля марки ИК/Д за номером №Д-КБ-0851.

Оптические кабели марки ИК/Д предназначены для подвески на опорах линий связи, между зданиями и сооружениями. Допускается подвешивать кабель на контактной сети железных дорог, опорах линий электропередач в точках с максимальной величиной потенциала электрического поля до 12 кВ, а также с максимальной величиной потенциала электрического поля до 25 кВ (ИКТ/Д). Внешний вид кабеля представлен на рисунке 2.3.

1 - внешний несущий элемент кабеля; 2 - оптические волокна; 3 - оптический модуль; 4 - внутримодульный гидрофобный заполнитель; 5 - защитная оболочка. Рисунок 2.3 - Внешний вид кабеля ИК/Д2-Т-А4-1.2

2.5.3 Внутренняя кабельная система

Внутренняя кабельная система состоит и двух основных частей: горизонтальной подсистемы и вертикальной подсистемы. Так как создаваемая мультисервисная сеть не является вновь создаваемой, а строится на основе существовавшей вычислительной сети, то внутренняя кабельная система не требует какой-либо серьезной модернизации.

Таким образом, для организации внутренней кабельной системы необходимо демонтировать из кабель-каналов кабель UTP и уложить в кабель-каналы волоконно-оптический кабель для прокладки.

2.5.4 Выбор ВОК для внутренней прокладки

В качестве ВОК для прокладки от коммутатора рабочей группы до абонентского устройства CPE будем применять ВОК компании «Интегра-Кабель» марки ИКВА-ПО1-0.05, рисунок 2.4.

1 - оптическое волокно; 2 - плотное полимерное покрытие ОВ не распространяющее горение; 3 - защитный покров из арамидных или иных упрочняющих нитей; 4 - защитная оболочка

Рисунок 2.4 - Структура кабеля марки ИКВА-ПО1-0.05

2.6 Настройка активного сетевого оборудования

Конфигурации для оборудования одного функционального типа аналогичны и отличаются только названиями устройств, адресами и паролями. Поэтому для описания настроек всего оборудования достаточно указать шаблоны для каждого типа.

2.6.1 Базовые настройки

Одинаковым для всех устройств является настройка служебных параметров и сетевых интерфейсов.

Для всех устройств необходимо настроить следующие служебные параметры:

- имя устройства;

- пароль на вход с консоли;

- пароль на вход по сети;

- пароль на вход в привилегированный режим.

Настройка сетевых интерфейсов зависит не от типа и функций сетевого устройства, а от технологий физического и канального уровня интерфейса. В простейшем случае (например, при использовании технологии Ethernet) интерфейс будет работать с установками по умолчанию. В более сложных случаях (характерных для технологий глобальных вычислительных сетей) требуется настройка.

После физического подключения через консольный порт маршрутизатора или коммутатора к компьютеру для настройки запускается программа эмуляции терминала (Hyper Terminal) и настраиваются параметры соединения (9600-8N1). Затем включается само устройство. На маршрутизаторе (коммутаторе) начинает выполняться загрузочное программное обеспечение, которое находит загрузочное устройство (обычно это флэш-память), в котором содержится образ ОС Cisco IOS. После этого ОС запускает программу пошаговой настройки устройства: System Configuration Dialog. Программа пошаговой настройки предлагает варианты ответов по умолчанию в квадратных скобках.

В процессе настройки предлагается изменить имя устройства:

Enter host name [Router]: ИМЯ (вводим имя устройства, оно не должно содержать более 63 символов и начинаться с цифры).

После ввода будет предложено ввести пароли:

- на вход с консоли: Enter: ПАРОЛЬ;

- на вход по сети: Enter virtual terminal password: ПАРОЛЬ;

- на вход в привилегированный режим: Enter enable secret: ПАРОЛЬ, Enter enable password: ПАРОЛЬ.

Система именования оборудования также стандартизирована и формируется по следующему принципу: [модель]-[Код ИФНС]-[порядковый номер], например С6524-A-5.

Далее программа пошаговой настройки дает возможность задать параметры интерфейсов.

2.6.2 Настройка PE-маршрутизаторов MPLS домена

Р-маршрутизаторы подключаются к другим Р-маршрутизаторам и к РЕ-маршрутизаторам. Р-маршрутизаторы выполняют функции коммутации по меткам. При этом пакеты передаются только по меткам MPLS. В сетях MPLS-VPN для Р-маршрутизаторов используется двухуровневый стек меток, с помощью которого пакеты передаются по магистрали из одного сайта VPN в другой. Обычно Р-маршрутизаторы связываются друг с другом с помощью IGP-протокола маршрутизации (например, IS-IS или OSPF) и не имеют никакой информации о других маршрутах, кроме маршрутов, ведущих к РЕ-маршрутизаторам.

РЕ-маршрутизаторы вводят префиксы своих IР-адресов/32 в магистральные таблицы маршрутизации IGP. Это позволяет MPLS на каждом узле магистральной сети присваивать метки, указывающие на маршрут, ведущий к тому или иному РЕ-маршрутизатору.

Когда устройство РЕ получает пакет от устройства СЕ, оно выбирает определенную таблицу VRF для поиска адреса назначения для этого пакета. Если такой адрес найден и если пакет предназначен для устройства СЕ, подключенного к данному РЕ-маршрутизатору, пакет направляется прямо на устройство СЕ и не передается в магистраль.

Если же пакет не предназначен для устройства СЕ, подключенного к данному устройству РЕ, для него находится следующий узел (BGP Next Hop), а также метка, которую этот узел BGP next-hop присвоил адресу назначения. Эта метка записывается в стек меток данного пакета и становится его внутренней меткой.

Если следующий узел IGP (IBGP или OSPF) отличается от следующего узла BGP, в стек записывается дополнительная метка. Эта метка, указывающая на следующий узел BGP, становится Внешней меткой. (Если следующий узел BGP совпадает со следующим узлом IGP, вторая метка может не присваиваться).

После этого MPLS доставляет пакет по магистрали до соответствующего устройства СЕ в соответствии с Внешней меткой MPLS. Это значит, что все решения Р-маршрутизаторов и РЕ-маршрутизаторов принимаются на основе данных MPLS, a IP-заголовок пакета не рассматривается, пока пакет не поступит на оконечный РЕ-маршрутизатор.

Р-маршрутизатор (или РЕ-маршрутизатор), находящийся перед оконечным РЕ-маршрутизатором, удаляет Внешнюю метку из стека MPLS и направляет пакет оконечному РЕ-маршрутизатору. Оконечный РЕ-маршрутизатор просматривает Внутреннюю метку и отправляет пакет соответствующему устройству СЕ. Таким образом, до устройства СЕ доходит обычный IP-пакет, который не несет на себе никаких следов MPLS.

Чтобы изолировать сети VPN друг от друга, нужно сделать так, чтобы ни один магистральный маршрутизатор не принимал никаких пакетов с метками от соседних немагистральных устройств, кроме следующих случаев:

– когда внешняя метка в стеке меток была сообщена Р-маршрутизатором (магистральным маршрутизатором) немагистральному устройству;

– когда Р-маршрутизатор (магистральный маршрутизатор) определяет, что в результате использования данной метки пакет покинет магистраль до считывания Внутренней метки в сетке и до считывания заголовка IP.

Эти ограничения необходимы для того, чтобы исключить передачу в VPN пакетов, которые для нее не предназначены.

После настройки параметров, общих для всех устройств выполняем настройку сетевых интерфейсов в режиме конфигурации и серверов демилитаризованной зоны.

Схема разрабатываемой сети представлена в приложении В.

В качестве внутреннего протокола маршрутизации MPLS домена был выбран протокол EIGRP. Данный протокол маршрутизации является гибридным протоколом маршрутизации. Создание EIGRP есть попытка соединить в одном протоколе достоинства «дистанционно-векторных» (distance-vector) протоколов маршрутизации и протоколов «состояния канала» (link-state) без недостатков присущих этим протоколам. Протокол EIGRP комбинирует простоту и надежность «дистанционно-векторных» протоколов, а также быструю сходимость протоколов «состояния канала». Так же протокол EIGRP поддерживает маршрутизацию протоколов IP, IPX, Aplletalk. С версии IOS 12.3 поддерживает VPN/MPLS с использованием EIGRP

В качестве протокола распространения меток был выбран протокол TDP.

Настройка EIGRP и CEF.

Для начала необходимо запустить на всех маршрутизаторах входящих в MPLS домен протокол маршрутизации (в нашем случае EIGRP) и включить на этих маршрутизаторах коммутации Cisco Express Forwarding (CEF).

(config)# router eigrp 1.

Запускаем процесс маршрутизации EIGRP 1.

(config)# network 192.168.0.0.

Данной командой указываем устройствам маршрутизировать все сети, подключенные к этому маршрутизатору с адресами, попадающими в диапазон 192.168.0.0/16.

Следующим шагом необходимо отключить автоматическую суммаризацию. ip cef:

(config)# no auto-summary.

Включена коммутация Cisco Express Forwarding. Проверить функционирование протокола EIGRP можно командой show ip protocols (команда также покажет основные параметры протокола EIGRP на маршрутизаторе) и командой show ip eigrp neighbors убедится в создание соседских отношений между маршрутизаторами. Проверить работу CEF можно выполнив команду - show ip cef summary.

Настройка TDP.

По умолчанию Cisco IOS использует протокол TDP, но можно выбрать LDP командой mpls label protocol ldp. Можно также этой командой включить или выключить на отдельном интерфейсе любой из протоколов. При выполнении команды mpls label protocol both на интерфейсах соседей маршрутизаторов маршрутизаторы будут использовать протокол LDP.

Так как настройка протокола LDP является типовым процессом, для упрощения рассмотрим настройку только маршрутизатора PE Router_A, предполагая, что на остальных маршрутизаторах MPLS домена протокол LDP уже функционирует. Изначально маршрутизатор Router_A имеет следующую конфигурацию.

Current configuration : 1122 bytes

!

version 12.3

!

hostname Router_A

!

ip cef

no tag-switching ip

!

interface Loopback0

ip address 192.168.254.45 255.255.255.255

!

interface GE0/0

ip address 192.168.24.1 255.255.255.0

!

interface GE0/0:0

description Router_B

p address 192.1688.253.190 255.255.255.252

!

interface GE0/1:0

description Router_C

ip address 192.168.253.201 255.255.255.252

!

router eigrp 1

network 192.168.0.0

no auto-summary

!

end

На маршрутизаторе Router_B поднят Loopback0 с сетью 192.168.254.39/32, на маршрутизаторе Router_C поднят Loopback0 с сетью 192.168.254.40/32.

Запускаем поддержку MPLS используя команду mpls ip.

Router_A(config)# mpls ip

Создание Label Information Base и запуск TDP/LDP произойдет только после запуска MPLS на одном из интерфейсов. Предварительно запустим на маршрутизаторе команду debug.

Router_A#show debug

MPLS:

MPLS events debugging is on

LFIB data structure changes debugging is on

LFIB enable/disable state debugging is on

MPLS adjacency debugging is on

MPLS ldp:

LDP Label Information Base (LIB) changes debugging is on

LDP received messages, excluding periodic Keep Alives debugging is on

LDP sent PDUs, excluding periodic Keep Alives debugging is on

LDP transport events debugging is on

LDP transport connection events debugging is on

LDP session state machine (low level) debugging is on

Далее производим запускаем MPLS на интерфейсе:

Router_А(config)#interface GE0/0:0.

Router_Аconfig-if)#tag-switching ip.

01:32:07: mpls: Add mpls app; GE0/0:0

01:32:07: mpls: Add mpls app; GE0/0:0

01:32:07: mpls: Add mpls app; i/f status change; GE0/0:0

01:32:07: ldp: enabling ldp on GE0/0:0

Произведена подготовка к запуску MPLS на интерфейсе.

01:32:07: LFIB: enable entered, table does not exist,enabler type=0x1

01:32:07: LFIB: enable, TFIB allocated, size 6032 bytes, maxtag = 500

Произведено создание базы LFIB.

01:32:07: tib: find route tags: 192.168.1.0/24, GE0/0, nh 0.0.0.0, res nh 0.0.0.0

01:32:07: tagcon: tibent(192.168.24.0/26): created; find route tags request

01:32:07: tagcon: tibent(10.168.25.0/26): label 1 (#2) assigned

01:32:07: tagcon: announce labels for: 192.168.24.0/26; nh 0.0.0.0, GE0/0,inlabel imp-null, outlabel unknown (from 0.0.0.0:0), find route tags

01:32:07: tib: find route tags: 192.168.253.188/30, GE0/0:1, nh 0.0.0.0, res nh 0.0.0.0

01:32:07: tagcon: tibent(192.168.253.188/30): created; find route tags request

01:32:07: tagcon: tibent(192.168.253.188/30): label 1 (#4) assigned

01:32:07: tagcon: announce labels for: 192.168.253.188/30; nh 0.0.0.0, GE0/0:0, inlabel imp-null outlabel unknown (from 0.0.0.0:0), find route tags

01:32:07: tib: find route tags: 192.168.253.200/30, GE0/1:0, nh 0.0.0.0, res nh 0.0.0.0

01:32:07: tagcon: tibent(192.168.253.200/30): created; find route tags request

01:32:07: tagcon: tibent(192.168.253.200/30): label 1 (#6) assigned

01:32:07: tagcon: announce labels for: 192.168.253.200/30; nh 0.0.0.0, GE0/1:0, inlabel imp-null, outlabel unknown (from 0.0.0.0:0), find route tags

01:32:07: tib: find route tags: 192.168.254.40/32, GE0/0:0, nh 192.168.253.189, res nh 192.1688.253.189

01:32:07: tagcon: tibent(10.108.254.40/32): created; find route tags request

01:32:07: tagcon: tibent(10.108.254.40/32): label 16 (#8) assigned

Далее маршрутизатор начинает расставлять локальные метки на маршруты находящиеся в таблице маршрутизации

01:32:07: mpls: Enable MPLS forwarding on GE1 0/0:0

01:32:07: ldp: enabling ldp on GE0/0:0

После привязки меток маршрутизатор готов к работе по MPLS на интерфейсе GE0/0:0. Стартует LDP/TDP.

01:32:07: ldp: Got LDP Id, ctx 0

01:32:07: ldp: LDP Hello process inited

01:32:07: ldp: Start MPLS discovery Hellos for GE0/0:0

01:32:07: ldp: Got TDP UDP socket for port 711

01:32:07: ldp: Got LDP UDP socket for port 646

Видно из сообщений, что IOS открывает порты для обоих протоколов распространения меток, внезависимости от значения команды mpls label protocol. Для установления соседских отношений маршрутизатры обмениваются сообщениями Hello.

01:32:07: ldp: Send tdp hello; GE 0/0:0, src/dst 192.168.253.190 /255.255.255.255, inst_id 0

01:32:08: ldp: Ignore Hello from 192.108.253.202, GE0/1:0; no intf

На интерфейсе GE0/1:0 нет разрешения для MPLS, поэтому пакеты LDP/TDP игнорируются. После установки разрешающей команды для данного интерфейса, маршрутизаторы обмениваются пакетами Hello.

01:32:09: ldp: Rcvd tdp hello; GE0/1:0, from 192.168.253.189 (192.168.254.40:0), intf_id 0, opt 0x4

01:32:09: ldp: tdp Hello from 192.168.253.189 (192.168.254.40:0) to 255.255.255.255, opt 0x4

01:32:09: ldp: New adj 0x82EA0510 for 192.168.254.40:0, GEl0/0:0

01:32:09: ldp: adj_addr/xport_addr 192.168.253.189/192.168.254.40

01:32:09: ldp: local idb = GE0/1:0, holdtime = 15000, peer 192.168.253.189 holdtime = 15000

01:32:09: ldp: Link intvl min cnt = 2, intvl = 5000, idb = GE0/0:0

01:32:09: ldp: Opening tdp conn; adj 0x82EA0510, 192.168.254.45 <-> 192.168.254.40; with normal priority

Произведен обмен IDмежду маршрутизаторами, после чего осуществляется установление соединение по TDP.

01:32:09: ldp: ptcl_adj:192.168.253.189(0x82EA0A60): Non-existent -> Opening Xport

01:32:09: ldp: create ptcl_adj: tp = 0x82EA0A60, ipaddr = 192.168.253.189

01:32:09: ldp: ptcl_adj:10.108.253.189(0x82EA0A60): Event: Xport opened

Opening Xport -> Init sent

01:32:09: ldp: tdp conn is up; adj 0x82EA0510, 192.168.254.45:11000 <-> 192.168.254.40:711

01:32:09: ldp: Sent open PIE to 192.1688.254.40 (pp 0x0)

01:32:09: ldp: Rcvd open PIE from 192.168.254.40 (pp 0x0)

01:32:09: ldp: ptcl_adj:10.108.253.189(0x82EA0A60): Event: Rcv Init;

nit sent -> Init rcvd actv

01:32:09: ldp: Rcvd keep_alive PIE from 10.108.254.40:0 (pp 0x0)

01:32:09: ldp: ptcl_adj:10.108.253.189(0x82EA0A60): Event: Rcv KA;

Init rcvd actv -> Oper

01:32:09: tagcon: Assign peer id; 192.168.254.40:0: id 0

01:32:09: %LDP-5-NBRCHG: TDP Neighbor 192.168.254.40:0 is UP

Маршрутизаторы договорились между собой, установили соседские отношения, и теперь информацию о соседе можно получить, выполнив команду show mpls ldp neighbor.

01:32:09: ldp: Sent address PIE to 192.168.254.40:0 (pp 0x82EA0C10)

01:32:09: ldp: Sent bind PIE to 192.168.254.40:0 (pp 0x82EA0C10)

01:32:09: ldp: Rcvd address PIE from 192.168.254.40:0 (pp 0x82EA0C10)

01:32:09: tagcon: 192.168.254.40:0: 192.1688.254.40 added to addr<->ldp ident map

01:32:09: tagcon: 192.168.254.40:0: 192.168.253.189 added to addr<->ldp ident map

01:32:09: ldp: Rcvd bind PIE from 192.168.254.40:0 (pp 0x82EA0C10)

01:32:09: tagcon: tibent(192.168.253.188/30): label imp-null from 192.168.254.40:0 added

В следующем шаге получаем метки от соседа и передаем их в LFIB

01:32:09: tib: Not OK to announce label; nh 0.0.0.0 not bound to 192.168.254.40:0

01:32:09: tagcon: omit announce labels for: 192.168.253.188/30; nh 0.0.0.0, GE0/0:0, from 192.168.254.40:0: add rem binding: connected route

01:32:09: tagcon: tibent(192.168.254.40/32): label imp-null from 192.168.254.40:0 added

01:32:09: tagcon: announce labels for: 192.168.254.40/32; nh 192.168.253.189, GE0/0:0, inlabel 16, outlabel imp-null (from 192.168.254.40:0), add rem binding

01:32:09: LFIB: set loadinfo,tag=16,no old loadinfo,no new loadinfo

01:32:09: LFIB: delete tag rew, incoming tag 16

01:32:09: LFIB: create tag rewrite: inc 16,outg Imp_null

-------------------------------------------------

01:32:09: tagcon: tibent(192.168.254.39/32): label 19 from 192.168.254.40:0 added

01:32:09: tib: Not OK to announce label; nh 192.168.253.202 not bound to 192.168.254.40:0

01:32:09: tagcon: omit announce labels for: 192.168.254.39/32; nh 192.168.253.202, GE0/1:0, from 192.168.254.40:0: add rem binding: next hop = 192.168.253.202

01:32:11: ldp: Send tdp hello; GE0/0:0, src/dst 192.168.253.190/255.255.255.255, inst_id 0

01:32:13: ldp: Rcvd tdp hello; GE0/0:0, from 192.168.253.189 (192.168.254.40:0), intf_id 0, opt 0x4

01:32:15: ldp: Send tdp hello; GE0/0:0, src/dst 192.108.253.190/255.255.255.255, inst_id 0

01:32:17: ldp: Rcvd tdp hello; GE0/0:0, from 192.168.253.189 (192.168.254.40:0), intf_id 0, opt 0x4g

Процесс установления соседских отношений завершен, обмен необходимой информацией закончен и маршрутизаторы обмениваются пакетами Hello.

В качестве идентификатора выбирается наибольший IP адрес из интерфейсов Loopback. Если интерфейсы Loopback отсутствуют, то в качестве идентификатора выбирается наибольший IP адрес с любого интерфейса. Можно установить идентификатор вручную, используя команду mpls ldp router-id interface с необязательным параметром force. Только с параметром force ID будет изменен для существующих сессий и повлечет за собой переустановление соседских отношений.

Для пакетной MPLS (MPLS/VPN) сети параметр сходимости сети является особо важным, так как он может повлечь увеличение задержки распространения меток. В пакетных сетях при использовании режима обмена информацией о метках без запроса (Downstream Unsolicited), независимого контроля над распространением меток (Independent Label Distribution Control) и свободного режима сохранения меток (Liberal Label Retention Mode) время сходимости сведено до минимума, позволяя находить метки после завершения процесса сходимости IGP без опрашивания соседа. Но это быстро и хорошо работает при падении канала, но не при более глубоких изменениях сети. Необходимо, чтобы сначала завершалась работа по поиску маршрутов IGP, и только после завершения данной работы происходило начало работы по поиску меток MPLS.

Выполним еще раз команду show mpls forwarding-table на маршрутизаторе Router_A.

Router_B#show mpls forwarding-table

Local Outgoing Prefix Bytes tag Outgoing Next Hop

tag tag or VC or Tunnel Id switched interface

16 Pop tag 192.168.254.40/32 214 GE0/0:0 point2point

17 Pop tag 192.168.254.39/32 170 GE0/1:0 point2point

2.6.3 Создание VRF таблицы на PE - маршрутизаторе

Введем следующее различие определений.

Каждый РЕ-маршрутизатор поддерживает одну или несколько таблиц маршрутов и передачи (route/forwarding tables - VRF). Такая таблица поддерживается для каждого сайта, подключенного к РЕ-маршрутизатору. Если IP-адрес пакета указывает на то, что его нужно передать в сайт А, его ищут в таблице (forwarding table) сайта А только в том случае, когда пакет прибывает из сайта, ассоциированного с таблицей (forwarding table) сайта А.

Если сайт связан с несколькими сетями VPN, его таблица VRF может включать данные о маршрутах всех этих сетей. К примеру, сайт СЕ1 принадлежит к сетям VPNA и VPNB. В этом случае таблица VRF устройства РЕ1 будет содержать информацию о маршрутах сети VPNA и VPNB. Другими словами, на устройстве РЕ1 не будет двух отдельных таблиц VRF. Обычно на устройстве РЕ поддерживается по одной таблице VRF на сайт, даже если с этим сайтом у данного устройства имеется несколько соединений. Кроме того, если разные сайты пользуются одним и тем же набором маршрутов, они также будут объединяться в одну таблицу VRF.

Таблицы VRF на устройствах РЕ используются только для пакетов, поступающих из сайта, напрямую подключенного к данному устройству РЕ. Они не используются для маршрутизации пакетов, поступающих с других маршрутизаторов, установленных в магистрали сервис-провайдера. В результате к одному и тому же адресу в сети могут вести несколько маршрутов, потому что маршрут для передачи каждого пакета определяется в точке, через которую пакет попадает в магистраль. Так, например, один маршрут может использоваться для передачи пакетов из сети экстранет (где установлен межсетевой экран), а другой маршрут - для передачи пакетов по тому же адресу из сети интранет.

В состав VRF, как объекта, входят:

- множество интерфейсов PE, к которым подключаются CE из одного VPN;

- VRF-таблица;

- атрибуты и правила распространения маршрутной информации.

VRF локален для каждого устройства PE. Понятие VPN распространяется на всю сеть. Таким образом, VPN не равно VRF, VRF это, скорее, описание VPN в рамках одного устройства PE. Потому, сколько различных узлов VPN подключено к PE, столько и VRF необходимо создать.

Настроим маршрутизатор Router_С для работы в MPLS сети с VPN vpn_4.

Для определения VPN комплекса маршрутизации на маршрутизаторе Router_С для VPN vpn_4 выполним следующие действия: Назначим имя vrf.

Router_С(config)# ip vrf vpn_4.

Назначим Route Distinguisher.

Router_С(config-vrf)# rd 1:1.

Указываем какие сообщества маршрутов должен импортировать и экспортировать vrf.

Router_С(config-vrf)# route-target export 1:1.

Router_С(config-vrf)# route-target import 1:1.

Подход к формированию значения RT такой же, как и к RD. Возможно использование различных правил обработки для импортируемых маршрутов с помощью команды import map route-map. Параметры VRF локальны и распространяются только на конфигурируемый маршрутизатор.

Указываем интерфейсы, входящие в vrf комплекс, используя команду ip vrf forwarding vrf-name.

Router_С(config)# interface Ge0/1

Router_С(config-interface)# ip vrf forwarding vpn_4

Так как при связывание интерфейса с vrf удаляется адрес интерфейса, назначаем интерфейсу адрес.

Router_С(config-interface)# ip address 192.168.12.1 255.255.252.0

Для того что бы просмотреть результат настройки таблицы для текущего VPN, введем команду show ip route vrf vpn_4.

Router_С# show ip route vrf vpn_4

Routing Table: vpn_4

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

192.168.0.0/16 is variably subnetted, 9 subnets, 4 masks

C 192.168.12.0/26 is directly connected, Ge0/1

Для создания всех VRF таблиц, на других интерфейсах необходимо провести аналогичные настройки.

2.6.4 Настройка MP-BGP

Для работы сети необходимо, что бы был сконфигурирован обмен маршрутной информацией VRF между всеми PE маршрутизаторами. Для этого требуется настроить протокол маршрутизации MP-BGP.

Первым шагом назначаем номер автономной системы:

Router_B(config)#router bgp 1.

Назначаем идентификатор для BGP. Обычно это, как в нашем случае, адрес интерфейса Loopback0:

Router_B(config-router)# bgp router-id 192.168.254.39.

Отключаем одноадресатные аносы префиксов протокола IP v4. Теперь BGP будет переносить только информацию о VRF:

Router_A(config-router)# no bgp default ipv4-unicast.

Описываем соседа по протоколу BGP. IP адрес 192.168.254.40 принадлежит маршрутизатору Router_B, на котором будет настроен рефлектор маршрутной информации. Настройка рефлектора маршрутной информации будет рассмотрена ниже, а на этом этапе рассмотрим вариант точка-точка:

Router_B(config-router)# neighbor 192.168.254.40 remote-as 1.

Посылать пакеты будем от имени Loopback0:

Router_B(config-router)# neighbor 192.168.254.40 update-source Loopback0.

Поднимаемся в режим конфигурирования VPN:

Router_B(config-router)# address-family vpnv4.

Разрешаем обмен информацией с соседом 192.168.254.40:

Router_B(config-router-af)# neighbor 192.168.254.40 activate.

Разрешаем рассылку только расширенных атрибутов BGP:

Router_B(config-router-af)# neighbor 192.168.254.40 send-community extended.

При настройке маршрутизатора Router_C мы получим следующую конфигурацию.

Router_C#show running-config

ip vrf vpn_1

rd 1:1

route-target export 1:1

route-target import 1:1

ip cef

interface Loopback0

ip address 192.168.254.40 255.255.255.255

interface GE0/0

ip vrf forwarding vpn_4

ip address 192.1168.12.1 255.254.255.0

interface Ge0/0:1

description Router_B

ip address 192.168.253.185 255.255.255.252

tag-switching ip

interface GE0/1:0

description Router_B

ip address 192.168.253.189 255.255.255.252

tag-switching ip

router eigrp 1

network 192.168.0.0

no auto-summary

address-family ipv4 vrf vpn_1

redistribute bgp 1 metric 1000 1000 1 255 1500

network 192.168.0.0

no auto-summary

autonomous-system 3

exit-address-family

router bgp 1

bgp router-id 192.168.254.40

no bgp default ipv4-unicast

bgp log-neighbor-changes

neighbor 192.168.254.39 remote-as 1

neighbor 192.168.254.39 update-source Loopback0

address-family vpnv4

neighbor 192.168.254.39 activate

neighbor 192.168.254.39 send-community extended

exit-address-family

address-family ipv4 vrf vpn_1

redistribute eigrp 3

no auto-summary

no synchronization

exit-address-family

end

После ввода команды neighbor 192.168.254.39 send-community extended возможно отсутствие каких либо изменений в таблице маршрутизации vrf vpn_1. Протокол BGP отличается некоторой инертностью, возможна временная задержка обмена маршрутной информацией. Обмен маршрутной информацией между PE осуществляется через протокол MP-BGP. Самый простой вариант настроить соединения точка-точка между маршрутизаторами PE.За простоту приходится платить сложностью администрирования. Второй вариант заключается в настройке двух(редко более) маршрутизаторов как рефлекторов маршрутной информации. Режим рефлектора включается для каждого соседа BGP командой neighbor x.x.x.x peer-group route-reflector-client. Так как настройки для большинства соседей BGP однотипны, рекомендовано объединять соседей в группы, а уже группам присваивать необходимые настройки. В нашем случае в качестве рефлектора настроен маршрутизатор Router_C. Рассмотрим настройку протокола BGP на маршрутизаторе Router_C

router bgp 1.

Далее запускаем процесс маршрутизации BGP для автономной системы 1.

bgp router-id 192.168.254.40.

Назначаем идентификатор маршрутизатора для протокола BGP:

no bgp default ipv4-unicast.

Отключаем передачу одноадресатных анонсов протокола IPv4. Сейчас BGP будет переносить информацию только о VPN.

bgp log-neighbor-changes

neighbor clients peer-group

Объявляем группу соседей clients:

neighbor clients remote-as 1.

Объявляем, что члены группы clients принадлежат автономной системе 1:

neighbor clients update-source Loopback0.

Весь обмен с членами группы clients будет происходить от адреса интерфейса Loopback0:

neighbor 192.168.253.252 peer-group clients.

Адрес 192.168.253.252 объявляется членом группы clients.

neighbor 192.168.254.39 peer-group clients

neighbor 192.168.254.45 peer-group clients

neighbor 192.168.254.254 peer-group clients

!

address-family vpnv4

neighbor clients activate

Объявляется группа clients:

neighbor clients route-reflector-client

Для всех членов группы clients маршрутизатор Roгter_C является отражателем маршрутной информации:

neighbor clients send-community extended.