JNCIS读书笔记.docx

1、JNCIS读书笔记JNCIS 读书笔记第八章 高级MPLSConstrained shortest path first (cspf)是改进的SPF算法用OSPF 和IS-IS database,叫做TED，是被RSVP用来选择LSP的。TED里存放着RSVP的拓扑信息包括设备的运行MPLS能力信息，带宽可用性，优先级和可管理名字等。CSPF算法在构造TED之前，先把用户定义的标准除去，在用此算法计算最短路径。这样就形成了 strict-hop Explict Router object (ERO)，也就是我们可以自己定义LSP.OSPF 用类型为10的LSA 来声明 TE 信息，每个area

2、一个TED. （lsa 格式见教材）IS-IS 用Extended is reachablility TLV 声明TE信息，type 22,在所有IS-IS interface and level 执行。（详细的格式和配置见教材）CSPF算法过程 1.当LSP要求带宽预留是，除去没有可用带宽的所有链路，再执行算法2 当LSP 要求网络路径包含和不包含管理组时，除去不包含和包含管理组的链路再执行算法3.用剩下信息执行最短路径算法，当存在外在要求路由时执行单独的算法，从进口路由到第一跳，再由第一跳到下一跳直到达出口路由。4当存在等价路径时，选择最后一跳是出口路由地址，最短跳数和配置了load-ba

3、lancing 的LSP （random, most-fill, least-fill）5 算法产生的ERO包含节点的物理接口地址。管理组用途：能够控制不同类型的数据流用不同的链路。每个接口可配置一个or 多个组值，并通过igp传播最后放到TED中。（该值只有本地意义，并可有管理员自己命名，ex: admin-group gold 2 silver 15 bronze 28 interface at-0/1/0.0 admin-group silver ）我们可以用组名关联到LSP 用 inchude 命令 (admin-group include silver )然而命令 exclude 要

4、求LSP 不能用包含改组的任何组名 ，用时要小心。LSP 的优先级和抢占每个LSP 有两个独特的值 ：setup and hold prioritySetup priority 用来决定是否有足够的带宽可用在0-7优先级层。 Hold priorty 被LSP用来预留带宽资源。每个接口都宣告可用带宽值在8个级别上（0-7）0级别最好，默认下所有LSP收到setup 值为7，确保新的LSP 不消耗掉所有带宽。然而当CSPF 找到的路径是strict-hop ERO，当resv信息到达上游进口路由器时，每个接口保留他的实际带宽用hold priority 0,也就是说LSP不会保留带宽给新启用的L

5、SP.然后由TED 宣告在LSP之间。然而JUNOS 可以让我们指定一些LSP比其它手动配置的优先级更重要，用命令priority. 也就是说新的LSP 可以抢占已经启用的LSP 的资源。比如哈：已经在以太网启用的LSP 预留了90M带宽，在默认优先级下，新的LSP如果要求带宽大于10M，那么对不起，没有那么多，新的LSP就不会起来。现在假设启用90M的LSP 的hold priority 是3，新的LSP setup priority 是2 这时候，他就会被高的优先级的LSP 给抢了，那么他就挂了！（session preempted)LSP 的数据保护管理员呢当然不希望LSP 挂掉，如果挂

6、了的话，只能用 ipv4 lookup,这是我们不愿看到的，不过世事难料，我们可以用三种方法搞定：primary path ,secondary path, fast reroute,OK lets have a rest! Primary LSP path 是用户定义ERO的方法，大多都用这条链路传输，path包含 带宽预留，优先级，和用户定义的ERO,管理组。LSP 可以没有或一个主路径，主路径有恢复能力。两个要素：retry-timer控制进口路由器等待时间的长度当他要重新启用primary path（默认30秒） retry-limit 控制进口路由器尝试重启主路径的次数。（默认，ju

7、nos set retry-limit 是0，意思是总是尝试启用主链路） Ok ! 第二链路就是说一个LSP 可以有一个或多个链路可用当主路径挂了时候，它们是平等的，没有歧视哦，不管有无优先级，当主链路active 时，他处于Dn的状态。主路径恢复时也要等待一段时间，防止主路径很短时间内挂掉。Standby secondary paths 用standby 命令当主路径down 掉时候第二链路马上启用，当主链路稳定时候，进口路由选择主链路，第二链路被取消，但他还是起作用。如果你不希望看到回退机制，那么你可以只配置多个第二路径，不用配置主链路，ingress router 按顺序用多个第二路径

8、，当第一个第二路径挂了的时候，ingress 启用第二个第二路径，然而当第一个第二路径恢复能力了，但不会重新启用它。Fast Reroute 以上讨论的方法都有潜在的丢包，在链路切换过程中，这种方法可解决此问题。每个路由器都创建一个detour 保护失效的下游邻居或链路。当有节点失效时，上游路由从失效点马上用可绕道的路径转发，很小的丢包！两种模式：node protection and link protection 节点保护，每个启用LSP的路由器创建一个可绕道路径从它自己到出口路由，用TED信息和strict-hop ERO。这条路径继承了管理组，带宽限制等属性。主要是保护下游失效。用命令

9、 fast-reroute 链路保护：我们创建bypass LSP从路由器到他的邻居 RLR（point of local repair）执行标签交换，把下游节点宣告的标签放在MPLS头的底部，然后push标签到bypassLSP 并转发。详见教材控制LSP 行为Adaptive mode Fixed filter (FE) 可以为每个发送者（LSP id）和接受者（tunnel id ）预留带宽，然而 shared explicit (SE)为每个RSVP session ,配置用关键字 adaptive 在你的LSP. 两种用法 ：1.在 standby secondary path 环境

10、中。2 当一个启用的LSP 试图reroute 它自己到新的链路上时候。Explicit null advertisements出口路由器宣告标签值为0，到倒数第二跳路由器，出口路由器能够把数据包分类沿用进口路由器的配置。控制 time-to-live用 no-decrement-ttl 命令隐藏LSP 的细节，no-propagate-ttl 隐藏LSP 细节。LSP 和路由协议的交互Igp 通过LSP 转发数据，作为点对点链路放到链路状态数据库中，LSP access to just the ingress router 我们可以把 inet.3 路由表放到inet.0中 命令 bgp-i

11、gp 路由器把inet.3路由表放到inet.0中。命令 traffic-engineering bgp-igp-both-ribs copy 出口路由器地址到inet.0 路由表中，能够支持VPN,命令 traffic-engineering mpls-forwarding 拷贝出口路由器地址到inet.0中，但只是标记他是active 的用来转发数据。第九章二层和三层VPN网络先看几个术语Customer edge router (ce) 通常是位于用户端的设备，用二层拓扑连接到ISP，通过FR ATM 或以太网。在三层VPN里，CE和提供商之间交换路由信息，或其它的CE交换信息。Prov

12、ider edge router (PE)是在服务商并和CE直接交互的路由器，并和其它PE之间运行MPLS 。Provider router (p)路由器位于运营商网络里，他不会维护任何的用户VPN 信息，只是转发MPLS数据包从PE到PE之间。VPN routing and forwarding table 在三层vpn中每个PE为每个单独的用户维护一个VPN转发表，叫VRF表。VPN forwarding table (VFT) 用在二层VPN环境，每个PE创建一个单独的VFT为每个用户。VPN connection table 用在二层环境，他被包含在VFT中，是用来为pe把收到的二层f

13、rames 转发到正确的远端pe上接下来看三层当两个不同的客户同时宣告同一个网络时候，为了区分客户，让看做是单独的进程我们可以用routerdistinguisher (RD)来区分 NLRL信息包含Mask mpls label rd and ipv4 prefix 等信息当然在PE之间必须启用MBGP，pe 之间转发vpn-ipv4 NLRI 信息会出现在bgp.l3vpn.0表中。讨论下Router Distinguishers 共8个字节，当RD用2字节Administrator field 时，把global 自治系统号放到这里，当4字节长时，放如起源PE的router id 两种方

14、法分配RD 自动和手动，当用命令route-distinguisher-id 时，PE自动产生RD为每个VRF，用的是router id 在Administrator field 中，并产生号码。手动的时候呢是AS-based RD 让我们讨论下两个平台控制平台 在三层VPN中，我们在PE之间通常用的是full mesh of bgp ,和路由策略来控制哪个路由接收每个客户的VRF表，路由策略的控制用route target 来区分那个路由属于哪个VRF表。具体过程当PE路由器收到CE宣告的路由(来自直连或静态或动态协议)放到路由表中PE路由器通过比较应用到VRF表上的出口策略来决定那些路由改

15、宣告给其它的PE，这些策略也应用到route target 上当其它PE检查进口策略，如果匹配包含相同的RT时，则放到bgp.l3vpn.0中。收到信息的PE开始检查下一跳可达性，在Inet.3中，确保MPLS LSP 已经启用，并下一跳可达。PE开始push标签，这个VPN label 也关联到 bgp.l3vpn.0表中。PE把VRF表放到BGP路由中，然后转发给和他运行路由协议的CE数据转发平面当CE收到适当的路由了，那么他就可以转发数据了，具体过程，检查本地路由表，发送到PE该pe收到后查看VRF表，然后用LSP转发给P路由器，这时候该PE路由器执行两次标签注入，VPN标签放入协议栈的

16、底部，LSP标签放到上面。P路由器收到MPLS,检查上面的标签值，执行交换，并跳出上层标签，将剩下的信息转发给下一跳，收到信息的PE跳出标签转发剩下的数据给CE,CE执行本地查找那么OK ping 结束 在PE-CE间启用BGPJUNOS让我们在CE-PE之间用RIP,OSPF 和 BGP具体的应用见教材实例当CE-PE运行ospf 时需要重分发 ok 先休息下Domain ID默认情况下是32bit （0.0.0.0）用来让PE路由器宣告类型3或类型5 LSA（在pe-ce运行ospf）Ospf route type attribute 是BGP extended community 自动被

17、PE路由器包含当他宣告ospf 时PE用route type 和domain id 值来决定是宣告sunmmary 和As external lsa1当收到1，2，3LSA，但不含domain id 属性，宣告Type 3 summary lsa2当收到的路由是内部类型和domain id 和本地配置domain id 相同时宣告类型3，不同时宣告类型53当本地没有配置ID值即为默认值时，宣告类型5LSA4当收到5或7的LSA时，宣告5的LSAVPN Route tag在ospf 中LSA5是在domain泛洪的，这在三层VPN中会带来问题。在上面我们讨论的情况如果CE接收到类型5的LSA ，

18、他就会在domain泛红，这样他连接的CE也会收到这个LSA,连接该ce的PE也会转发到他的邻居PE,存在潜在的环路。Vpn route tag value 是存在类型5LSA中，当PE从CE那收到和他本地同样的值，就不会转发到他的邻居了，在ospf进程中自动估算VPN路由tag,我们可以用命令 domain-vpn-tag 来为每个客户配置接下来 internet access for vpn customers先来看 independent internet access 是指CE直接转发数据到internet 或用PE作为二层来转发，这时候运行商就不会有收入了呵呵，他们只是提供了二层的电

19、路分布式internet 访问在这种模式下，运行商的每个PE都连接到internet上为他的CE，第一个可选是在CE和PE上建立两个电路，一个给VPN，一个可提供Internet连接第二个是CE PE建立两个电路，CE 发送vpn和internet 到PE用相同的电路，从internet返回的数据用第二个非VRF 电路，从ce上看他们有相同的下一跳第三可选是PE CE 只用一条电路，ce 发送数据到pe,pe查看VRF表，要求在VRF表中有个默认静态路由到达到inet.0，数据才能到达internet,用命令 next-table 那么数据返回到CE时呢，只能是vrf表拷贝到inet.0 了

20、集中式internet 访问与分布式访问区别在中心CE路由宣告一个0.0.0.0 的默认路由给其它CE在Vpn 环境中。 二层VPN二层vpn 和三层vpn用相同的基础设施，PE 路由之间用MBGP来宣告路由信息，包含vpn connection table (VCT)描述标签信息 需要在PE CE之间特殊的封装PE-CE 帧中继连接 在CE端 配置封装和dlci值，在PE上配置封装 frame-relay-ccc dlci 值 这种封装让PE路由器直接把二层数据帧放到MPLS 标签交换路径上传输。配置 站点标识在二层VPN中，NLRI 宣告不包含外在的VPN标签提供给远端PE。让远端PE自动

21、计算标签用他的本地配置，本地配置用site identifier ，每个用户站点都分配一个站点id.命令 remote-site-id 声明远端PE的站点id,是为了不让PE执行默认的行为，默认为每接口增加1 ，造成与对端不匹配的情况 PE CE 用ATM连接与帧中继类似 PE-CE 用以太网 vlan 连接 详见配置命令 其它的封装方法见教材补充：Kireeti kompella 是在PE和客户用BGP交互;第二个vpn 形式是Luca martini 用的是LDP在pe之间；（什么是CCC）最后看下二层电路二层电路与二层VPN区别在控制平台和虚拟连接的设置上。在PE间启用LDP，宣告虚电路

22、信息，让PE之间执行MPLS转发二层vpn用的是MBGP 而二层虚电路用的是 LDP第七章 MPLS这一章我们详细讨论RSVP 和LDP先看动态信令的第一种，RSVP 支持流量工程Path message 当路由器确定LSP时，他产生path 信息，并转发到他的下游到出口路由器，这些message包含了 session RSVP-Hop,time-values session attribute 等信息，逐跳传递直到出口路由器。如果是新的信息，建立一个新的RSVP soft-state ，上游的接口地址被保存，为了resv 信息到达上游路由器Resv message 是由出口路由器产生的，并传

23、递到上游，这个信息收集rsvp-hop，用来转发，这时候为resv state block,并存储出口地址，并根据path state block 信息来定位下一个上游路由器，当path state block 匹配，就会宣告他从下游收到的标签值，标签包含在 label object 中 Patherr message 是一跳一跳的送到进口路由器的错误信息Resverr message 是逐跳发送到出口路由器的错误信息和patherr 一样，他们不会破坏网络的soft statePathtear massage 当我们想把已经启用的LSP 中断的时候，这个信息顺下到出口路由器，除去path s

24、tate block 和resv state block Resvtear message 是逐跳传递到进口路由器的信息，也是除去LSP 状态RSVP object l.LSP-tunnel-ipv4 session object 是在每个RSVP message 都存在，并且是标识LSP 唯一性的关键 2. ipv4 rsvp-hop object 是用来标识邻居RSVP 的接口地址，他让每个设备保存path and resv state的信息3.time-values object 包含在path 和Resv 信息中，用来评估PSVP soft-state 信息的生存时间，包含更新的值Ip

25、v4 error-spec object 包含在patherr or resverr 信息中，包含了出错路由器的地址Style object 是包含在resv信息中，决定怎样预留资源，默认每个session 都创建独特的预留 叫做fixed filter (FF) 第二个叫 shared explicit (SE)多个发送者可共享预留资源。Integrated services flowspec object 出现在 resv 信息中，与带宽的平均值和峰值有关LSP-tunnel-ipv4 filter-spec object 包含在resv信息中，用来表识 LSP的发送者。这些信息在多个发送

26、者共享一个预留资源有用途LSP-tunnel-ipv4 sender template object 包含在path 信息中用来表识LSP的发送者，用来区分发送源，或LSP ID 在RSVP session 中Integrated services sender-tspec object 包含在path 信息中，包含带宽请求为LSP 带宽平均值和峰值Label object 包含在resv 信息中，并向他的上游邻居宣告MPLS 标签Laber requset object 包含在path 信息中，有三种方式，第一种不要求特殊的标签范围，让下游路由器分配任意值，其它两种在ATM or frame

27、 relay 范围 Explicit route object (ERO) 包含在 path 信息中，让进口路由器表示特殊路径，JUNOS只形成ipv4 前缀，当路由器收到path 信息时候，先检查ERO是否第一个节点被 strictly or loosely ,本地路由器决定第一个节点地址和ERO是否相同，第一种情况，当第一个节点在ERO 是loosely 并且本地地址不是ERO列出的地址，本地路由器会转发到ERO列出的地址第二种情况 第一个ERO地址是strictly设置，本地地址必须匹配ERO要求的地址，本地地址不匹配的话就产生patherr信息Record rout object (R

28、RO)包含在path or resv 信息中，描述那些信息通过了该节点，标签值也包含,节点地址为IPV4，也用来排错，和检测环路Detour object 包含在path 信息中，用来启用快速detour （绕道）用来保护链路Fast rerout object 包含在path 信息中，改变所有下游路由为保护LSP链路，每个LSP路由器除了egress，都创建一个detour path 到下游节点，用detour object.这些信息包含 带宽预留，跳数，管理组等信息LSP-tunnel session attribute object 包含在path信息中，被进口路由器用来声明LSP的优先

29、级值RSVP session 当LSP 启用的时候，他分配了确定的资源，标签值和带宽预留，并且fast reroute 的创建，所有这些信息连接在一起叫做一个rsvp session OK 好多啊 have a rest ! 接下来看 LDP 两个邻居通过hello信息建立LDPsession, 来宣告ipv4接口地址，标签和可达前缀，并且通过TCP 连接，用LDP well known 端口646，有高路由ID 的发起，叫active node .这个路由器呢用initalization message 到他的邻居（passive node）包含了keepalive time and LDP

30、 ID 信息还包含TLV 支持graceful restart 通过session 交换信息一旦LDP启用，他们就可以交换信息了通过会话，每个信息包含自己的格式，让我们详细看看 接口地址：LDP address message 宣告下一跳地址，这个地址与标签值关联宣告标签值：LSP 呢是MPLS用来转发数据的路径，那么LDP是怎么宣告标签的呢? 先来看个概念 Forwarding equivalence class (FEC) 转发等价类，他是一个前缀被出口路由器映射到LSP,他描绘了数据的流动路径。并且每个LDP路由器都用同样的方式宣告标签，在默认下只宣告环回口地址作为FEC，让所有的LDP

31、路由器用loopback 启用LSP，这些MPLS可达地址放入到inet.3表中，给BGP提供查找每个被FEC宣告的前缀都关联一个标签值，让出口路由器宣告标签到他的上游，这些是用LDP label mapping message 来完成的，最终可看到 标签值和环回口地址的对应，防止路由环路的方法是LDP用igp 来选择下一跳LDP label withdraw message 用来去除label 和FEC因为LDP不支持流量工程，我们可以用LDP tunneling 方式，通过rsvp上启用LDP第六章 组播在PIM的稀疏模式下，每个组播组需要选择一个RP,静态配置rp到组的映像，auto-r

32、p 和bootstrap 1.静态配置我们先选择一个路由器作为RP，并且将他的地址宣告给每个路由器，缺点是单点故障，如果没有指定组的范围，RP将为所有组播组服务。Establishing RPT当路由器知道RP后，就发送join和prune信息给RP,并且安装（*，G）状态，因为源还不确定，当逐跳到达RP时候，RPT启用，此时PR作为组播的源让pim路由器把信息转发给他自己Establishing STP当组播源开始发送数据到第一跳路由器时，这个路由器封装数据报为PIM register message并单播到RP。当RP收到后，执行解封装，并沿着RPT转发给最后一跳路由器，PR并开始计算通过register messages收到的组播数据包，当数值超过设定的阀值，默认为0，RP开始产生PIM