mpls ldp lsp建立過程 Vecloud

預設情況下，網路的路由改變時，如果有乙個邊緣節點(egress)發現自己的路由表**現了新的主機路由，並且這一路由不屬於任何現有的fec，則該邊緣節點需要為這一路由建立乙個新的fec。

如果mpls網路的egress有可供分配的標籤，則為fec分配標籤，並主動向上游發出標籤對映訊息，標籤對映訊息中包含分配的標籤和繫結的fec等資訊。

transit收到標籤對映訊息後，判斷標籤對映的傳送者(egress)是否為該fec的下一跳。若是，則在其標籤**表中增加相應的條目，然後主動向上游lsr傳送對於指定fec的標籤對映訊息。

ingress收到標籤對映訊息後，判斷標籤對映的傳送者(transit)是否為該fec的下一跳。若是，則在標籤**表中增加相應的條目。這時，就完成了lsp的建立，接下來就可以對該fec對應的資料報文進行標籤**。

上面介紹的是普通ldp lsp的建立，還有一種**egress lsp。**egress(proxy egress)是能夠針對非本地路由觸發建立lsp的egress節點，當路由器使能倒數第二跳彈出時，倒數第二跳節點實際上就是一種特殊的**egress。一般情況下，**egress由配置產生。**egress可以應用於網路中有不支援mpls特性的路由器場景，也可用於解決bgp路由負載分擔問題。

為了提高ldp報文的安全性，mpls提供了三種保護機制：ldp md5認證、ldp keychain認證和ldp gtsm。

ldp keychain認證是比ldp md5認證更安全的加密認證，對於同一鄰居，只能選擇其中乙個加密認證;而ldp gtsm用來防止裝置受到非法ldp報文的攻擊，其可以與前面兩個配合使用。

md5(message-digest algorithm 5)是rfc1321定義的國際標準摘要密碼演算法。md5的典型應用是針對一段資訊計算出對應的資訊摘要，從而防止資訊被篡改。md5資訊摘要是通過不可逆的字串變換演算法產生的，結果唯一。因此，不管資訊內容在傳輸過程中發生任何形式的改變，只要重新計算就會產生不同的資訊摘要，接收端就可以由此判定收到的是乙個不正確的報文。

ldp md5應用其對同一資訊段產生唯一摘要資訊的特點來實現ldp報文防篡改校驗，比一般意義上tcp校驗和更為嚴格。其實現過程如下：

ldp會話訊息在經tcp發出前，會在tcp頭後面填充乙個唯一的資訊摘要再發出。而這個資訊摘要就是把tcp頭、ldp會話訊息以及使用者設定的密碼一起作為原始資訊，通過md5演算法計算出的。

當接收端收到這個tcp報文時，首先會取得報文的tcp頭、資訊摘要、ldp會話訊息，並結合tcp頭、ldp會話訊息以及本地儲存的密碼，利用md5計算出資訊摘要，然後與報文攜帶的資訊摘要進行比較，從而檢驗報文是否被篡改過。

keychain是一種增強型加密演算法，類似於md5，keychain也是針對同一段資訊計算出對應的資訊摘要，實現ldp報文防篡改校驗。

keychain允許使用者定義一組密碼，形成乙個密碼串，並且分別為每個密碼指定加解密演算法(包括md5，sha-1等)及密碼使用的有效時間。在收發報文時，系統會按照使用者的配置選出乙個當前有效的密碼，並按照與此密碼相匹配的加密解密演算法以及密碼的有效時間，進行傳送時加密和接收時解密報文。此外，系統可以依據密碼使用的有效時間，自動完成有效密碼的切換，避免了長時間不更改密碼導致的密碼易破解問題。

keychain的密碼、所使用的加解密演算法以及密碼使用的有效時間可以單獨配置，形成乙個keychain配置節點，每個keychain配置節點至少需要配置乙個密碼，並指定加解密演算法。

通用ttl安全保護機制gtsm(generalized ttl security mechanism)是一種通過檢查ip報文頭中的ttl值是否在乙個預先定義好的範圍內來實現對ip業務進行保護的機制。使用gtsm的兩個前提：

裝置之間正常報文的ttl值確定

報文的ttl值很難被修改

ldp gtsm是gtsm在ldp方面的具體應用。

gtsm通過判定報文的ttl值，確定報文是否有效，從而保護裝置免受攻擊。ldp gtsm是對相鄰或相近(基於只要跳數確定的原則)裝置間的ldp訊息報文應用此種機制。使用者預先在各裝置上設定好針對其他裝置報文的有效範圍，使能gtsm，這樣當相應裝置之間應用ldp時，如果ldp訊息報文的ttl不符合之前設定的範圍要求，裝置就認為此報文為非法攻擊報文予以丟棄，進而實現對上層協議的保護。

ldp跨域擴充套件通過使能ldp按最長匹配原則查詢路由，使ldp能夠依據聚合後的路由建立起跨越多個igp區域的ldp lsp。

當網路規模比較大時，通常需要部署多個igp區域來達到靈活部署和快速收斂的目的。在這種情況下，igp區域間進行路由通告時，為了避免路由數量多而引起的對資源的過多占用，區域邊界路由器(abr)需要將區域內路由聚合，再通告給相鄰的igp區域。然而，ldp在建立lsp的時候，會在路由表中查詢與收到的標籤對映訊息中攜帶的fec精確匹配的路由，對於聚合路由，ldp只能建立liberal lsp，無法建立跨越igp區域的ldp lsp。因此，引入ldp跨域擴充套件來解決這個問題。

注：已經被分配標籤，但是沒有建立成功的lsp叫做liberal lsp。

存在area10和area20兩個igp區域。在area10區域邊緣的lsr_2的路由表中，存在到lsr_3和lsr_4的兩條主機路由，為了避免路由數量多而引起的對資源的過多占用，在lsr_2上通過isis路由協議將這兩條路由聚合為1.3.0.0/24傳送到area20區域。

ldp在建立lsp的時候，會在路由表中查詢與收到的標籤對映訊息中攜帶的fec精確匹配的路由，lsr_1的路由表中只有這條聚合後的路由，而沒有32位的主機路由。

對於聚合路由，ldp只能建立liberal lsp，無法建立跨越igp區域的ldp lsp，以至於無法提供必要的骨幹網隧道。

因此，在lsr_1上需要按照最長匹配方式查詢路由建立lsp。在lsr_1的路由表中，已經存在聚合路由1.3.0.0/24。當lsr_1收到area10區域的標籤對映訊息時(例如攜帶的fec為1.3.0.1/32)，按照最長匹配的查詢方式，lsr_1能夠找到聚合路由1.3.0.0/24的資訊，把該路由的出介面和下一跳作為到fec 1.3.0.1/32的出介面和下一跳。這樣，ldp就可以建立跨越igp區域的ldp lsp。

ldp是用來在lsr之間建立ldp session並交換label/fec對映資訊的協議。

ldp用udp(協議id=17)發現鄰居，用tcp(協議id=6)建立鄰接(ldp協議的目的埠號：646)

ldp協議將hello報文發往224.0.0.2(所有開啟組播功能的路由器)的組播組，用於發現直連鏈路上的ldp鄰居。

ldp的hello報文傳送間隔是5s，hold time是3倍的hello時間15s。

ldp的keepalive報文的傳送間隔是15s，old timer是3倍的keepalive時間45s。

ldp的環路檢測機制：

距離向量法：每個lsr在傳送標籤請求訊息(標籤對映訊息)中，包含乙個path vector tlv，並且入口(出口)lsr產生的路由長度值為1，並且把自己的lsr id加入到tlv的列表中，標籤請求訊息(標籤對映訊息)每經過一跳長度值加1，接收端lsr如果收到標籤請求訊息(標籤對映訊息)，發現長度值達到預先設定的最大值或者發現lsr id列表中有自己的lsr id，認為發生環路，發出通告訊息，拒絕lsp的建立。

ldp：可以為直連、靜態和igp路由分配標籤。

rsvr-te：為te預留資源和分配標籤。

mpbgp：可以為私網路由分配標籤。

bgp：可以為bgp路由分配標籤。

**等價類fec(forwarding equivalence class)是一組具有某些共性的資料流的集合。這些資料流在**過程中被lsr以相同的方式出。

fec可以根據地質、業務型別、qos等要素進行劃分。例如，在傳統的採用最常匹配演算法的ip**中，到同一條路由的所有報文就是乙個**等價類。

mpls ldp lsp建立過程 Vecloud

V型開發過程

v5 11 建立AIR應用

會話建立過程建立Transaction

mpls ldp lsp建立過程 Vecloud

V型開發過程

v5 11 建立AIR應用

會話建立過程 建立Transaction

相關推薦

會話建立過程建立Transaction