前言
CSC是BGP/MPLS IP VPN中的一种组网方案。在该方案中,运营商的用户本身也是运营商,一级运营商CE只把二级运营商内部的路由发布给一级运营商的PE,不发布二级运营商客户的路由。
CSC一方面可以减少一级运营商网络中需要维护的路由数量,简化自身操作;另一方面可以通过一级运营商对二级运营商提供统一的配置、管理和维护,减轻二级运营商的操作负担。
01
**为什么需要CSC?**
MPLS(Multi-Protocol Label Switching,多协议标签交换)作为一种在全球网络中大规模部署的隧道技术,需要适应各种复杂的业务场景。其中,运营商的不同城域网之间,或相互协作的运营商骨干网之间经常存在着跨域的情况,面对路由信息需要在不同域间传递而带来的信息交互复杂的问题,诞生了跨域(Inter-AS)VPN和CSC两种解决方案。其中,CSC是一种分层VPN模型,如下图所示,它允许网络中的服务提供商的用户本身也是一个服务提供商,前者称为提供商运营商或一级运营商,后者称为客户运营商或二级运营商。一级运营商允许二级运营商是ISP(Internet Service Provider,Internet服务提供商)或二级运营商是BGP/MPLS IP VPN服务提供商,二级运营商可以通过MPLS骨干网实现互联,有利于一级、二级运营商的运维。
CSC组网图
1.1 对一级运营商的好处
通过实现CSC,一级运营商可以获得如下好处:
-
一级运营商允许多个二级运营商接入同个骨干网,不需要为二级运营商单独创建和维护骨干网,在降低维护成本的同时实现管理操作的简化以及管理效率的提升。
-
一级运营商使用一个骨干网就可以为多个二级运营商提供VPN服务和Internet服务,可以增加一级运营商的收益。
1.2 对二级运营商的好处
通过实现CSC,二级运营商可以获得如下好处:
-
二级运营商可以通过将配置、管理和维护操作交由一级运营商来承担减轻自身负担。
-
二级运营商使用的地址独立于其客户及一级运营商,便于二级运营商的地址规划。
-
二级运营商可以是ISP或BGP/MPLS IP VPN服务提供商,对安全性和带宽有不同要求的二级运营商都可以被满足。
02
CSC有哪些解决方案?
为了保持良好的可扩展性,二级运营商采用类似stub VPN的工作方式,即一级运营商CE只把二级运营商内部的路由发布给一级运营商的PE,不发布二级运营商客户的路由。下面我们将分别介绍二级运营商为ISP和BGP/MPLS IP VPN服务提供商时的两类CSC解决方案,在这里我们遵循:
-
二级运营商内部的路由称为内部路由,二级运营商客户的路由称为外部路由。
-
一级运营商CE设备是指二级运营商接入一级运营商时所用的设备,对一级运营商来说是CE设备,对二级运营商来说则是PE设备;同时将用户接入二级运营商的设备称为用户CE设备。
2.1 二级运营商是ISP
当二级运营商是ISP时,相当于将IP网络叠加到BGP/MPLS IP VPN网络上,其PE不需要运行MPLS功能,只需要和一级运营商CE之间运行IGP。此时,二级运营商PE(CE1和CE2)之间通过BGP会话交换内部路由,如下图所示。
二级运营商是ISP
在该场景中,如果CE1和CE2在同一个AS区域内,需要在CE1和CE2之间建立IBGP邻居,同时可以将CE1和CE2配置为RR(Route Reflector,路由反射器);如果CE1和CE2属于不同的AS域,则需要在CE1和CE2之间建立EBGP邻居。
2.2 二级运营商是BGP/MPLS IP VPN服务提供商
当二级运营商是BGP/MPLS IP VPN服务提供商时,其PE需要运行MPLS功能,并且需要和一级运营商CE之间运行IGP和LDP。二级运营商PE(PE3和PE4)之间通过MP-BGP会话交换外部路由,如下图所示。
二级运营商是BGP/MPLS IP VPN服务提供商
在该场景中,由于PE3和PE4需要提供VPN服务,所以它们之间需要建立LSP;同时,一级运营商和二级运营商网络内部一般运行LDP。一级运营商CE接入一级运营商PE又可以进一步区分为两种方案:
-
采用LDP多实例方式建立LDP LSP。
-
采用BGP标签路由方式建立BGP LSP。
03
CSC是如何工作的?
由于二级运营商是ISP的使用场景较少且配置方案相对简单,而二级运营商是BGP/MPLS IP VPN服务提供商的场景在现网中更加普遍,下面我们将对二级运营商是BGP/MPLS IP VPN服务提供商场景中的两种一级运营商CE接入一级运营商PE方案的工作过程作详细描述。
3.1 基于LDP多实例的CSC方案
当一级运营商CE采用LDP多实例方式建立LDP LSP接入到一级运营商PE时,路由信息交互过程如下图所示。其中,D表示路由的目的地址;N表示下一跳;L表示标签。
基于LDP多实例的路由信息交互过程
以PE4发布VPN路由10.1.1.1/32到PE3为例,二级运营商PE之间的路由信息交互过程如下:
-
PE4通过二级运营商的IGP将到自己的路由信息发布给CE2,同时分配标签L’'1,并在PE4和CE2之间建立一条公网LSP。
-
CE2通过和PE2之间的IGP将到PE4的路由信息发布给PE2,同时通过LDP为该路由分配标签L1。其中,PE2上连接CE2的接口需要配置LDP多实例。
-
PE2为到PE4的路由分配标签L2,并通过MP-IBGP将该路由信息和标签发布给PE1。在此之前,PE2已经通过一级运营商骨干网的IGP将到自己的路由信息发布给PE1,同时为到自己的路由分配公网标签L’,并在PE2和PE1之间建立一条公网LSP。
-
PE1通过和CE1之间的LDP多实例邻居关系为到PE4的路由分配标签L3,并将该路由信息和标签L3发布给CE1。
-
CE1通过IGP将到PE4的路由信息发布给PE3。在此之前,CE1已通过二级运营商骨干网的IGP将到自己的路由发布给PE3,同时为到自己的路由分配公网标签L’'2,并在CE1和PE3之间建立一条二级运营商的公网LSP。
-
至此,就完成了将到PE4的路由信息发布给PE3的操作。通过类似的方法将PE3的路由信息也发布给PE4后,PE3和PE4之间就可以成功建立MP-IBGP连接。
-
PE4通过该MP-IBGP连接为VPN路由10.1.1.1/32分配私网标签I-L给PE3。
VPN报文在运营商网络中的传输过程如下图所示。其中,I-L表示MP-BGP分配的私网标签;L’表示一级运营商公网标签;L’‘1和L’'2表示二级运营商公网标签;L1、L2和L3表示到PE4的标签。
基于LDP多实例的报文转发过程
以目的地址为10.1.1.1/32的VPN报文从PE3转发到CE4的过程为例,VPN报文在运营商网络中的转发过程如下:
-
PE3收到目的地址为10.1.1.1/32的VPN报文后,为其打上私网标签I-L,打上公网标签L’‘2,并通过二级运营商公网LSP将VPN报文透明传输给CE1。将报文传给CE1之前,公网标签L’'2在CE1的上一跳LSR上被弹出。
-
CE1为该报文打上标签L3,并将报文转发给PE1。
-
PE1进行标签交换,弹出标签L3,打上标签L2,打上公网标签L’,并通过一级运营商公网LSP将报文转发给PE2。将报文传给PE2之前,公网标签L’在PE2的上一跳LSR上被弹出。
-
PE2也进行标签交换,弹出标签L2,打上标签L1,并将报文转发给CE2。
-
CE2弹出标签L1,打上公网标签L’‘1,并通过二级运营商公网LSP将VPN报文透明传输给PE4。将报文传给PE4之前,公网标签L’'1在PE4的上一跳LSR上被弹出。
-
PE4弹出私网标签I-L,并根据I-L将报文转发给CE4。
3.2 基于BGP标签路由的CSC方案
当一级运营商CE采用BGP标签路由方式建立BGP LSP接入到一级运营商PE时,路由信息交互过程如下图所示。其中,D表示路由的目的地址;N表示下一跳;L表示标签。
基于BGP标签路由的路由信息交互过程
以PE4发布VPN路由10.1.1.1/32到PE3为例,二级运营商PE之间的路由信息交互过程如下:
-
PE4通过二级运营商的IGP将到自己的路由信息发布给CE2,同时分配标签L’'1,并在PE4和CE2之间建立一条公网LSP。
-
CE2通过和PE2之间的MP-BGP邻居关系为到PE4的路由分配标签L1,并将该路由信息和标签发布给PE2。
-
PE2为到PE4的路由分配标签L2,并通过MP-IBGP将该路由信息和标签发布给PE1。在此之前,PE2已经通过一级运营商骨干网的IGP将到自己的路由信息发布给PE1,同时为到自己的路由分配公网标签L’,并在PE2和PE1之间建立一条公网LSP。
-
PE1通过和CE1之间的MP-BGP邻居关系为到PE4的路由分配标签L3,并将该路由信息和标签L3发布给CE1。
-
CE1为到PE4的路由分配标签L4,并通过和PE3之间的MP-IBGP邻居关系将该路由信息和标签L4发布给PE3。在此之前,CE1已经通过二级运营商骨干网的IGP将到自己的路由发布给PE3,同时为到自己的路由分配公网标签L’'2,并在CE1和PE3之间建立一条二级运营商的公网LSP。
-
至此,就完成了将到PE4的路由信息发布给PE3的操作,在CE2和PE3之间形成了一条BGP LSP。通过类似的方法将PE3的路由信息也发布给PE4后,PE3和PE4之间就可以成功建立MP-IBGP连接。
-
PE4通过该MP-EBGP连接为VPN路由10.1.1.1/32分配私网标签I-L给PE3。
VPN报文在运营商网络中的传输过程如下图所示。其中,I-L表示MP-BGP分配的私网标签;L’表示一级运营商公网标签;L’‘1和L’'2表示二级运营商公网标签;L1、L2、L3和L4表示到PE4的标签。
基于BGP标签路由的报文转发过程
以目的地址为10.1.1.1/32的VPN报文从PE3转发到CE4的过程为例,VPN报文在运营商网络中的转发过程如下:
-
PE3收到目的地址为10.1.1.1/32的VPN报文后,为其打上私网标签I-L、BGP LSP的隧道标签L4以及公网标签L’‘2,并通过二级运营商公网LSP将VPN报文透明传输给CE1。将报文传给CE1之前,公网标签L’'2在CE1的上一跳LSR上被弹出。
-
CE1进行标签交换,弹出标签L4,打上标签L3,并将报文转发给PE1。
-
剩余过程与基于LDP多实例的报文转发过程类似。
-
内网用户可以正常访问Internet。
-
外网用户可以通过公网IP访问内网服务器。
-
eLog可以获取防火墙会话日志。
-
在主防火墙的接口GigabitEthernet 1/0/1上执行shutdown命令,模拟链路故障,发现主备正常倒换,业务不会中断。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
786
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
