Contents

MPLS / L3 MPLS VPN

   Apr 24, 2023     6 min read

용어

  • LSR (Label Switch Router) : MPLS가 동작하는 모든 Router
  • PE (Provider Edge) Router : 고객 Router (CE)와 직접 연결되는 MPLS Router
  • P (Provider) Router : 고객 Router와 직접 연결되지 않는 MPLS Router
  • CE (Customer Edge) : MPLS 망과 직접 연결되는 고객 Router

MPLS 기본 구성

사진첨부

방법

vIOS1)

mpls label protocol ldp
mpls ldp router-id loopback 0

int g0/1
mpls ip



vIOS2)

mpls label protocl ldp
mpls ldp router-id loopback 0

int g0/0
mpls ip

int g0/1
mpls ip



vIOS3)

mpls label protocol ldp
mpls ldp router-id loopback 0

int g0/0
mpls ip

int g0/1
mpls ip



vIOS4)

mpls label protocol ldp
mpls ldp router-id loopback 0

int g0/0
mpls ip



결과

  • MPLS 구성 전)

사진첨부

  • MPLS 구성 후)

사진첨부

설명

  • mpls label protocol ldp : MPLS label binding 정보를 전송할 protocol 지정. LDP, TDP가 있다. 기본값 LDP이므로 PDL 사용시 생략 가능.
  • mpls ldp router-id loopback 0 : LDP router-ID로 사용할 IP address 가 설정된 interface 지정. 미지정시 loopback interface 중 가장 높은 IP address 가 router-ID가 되고 loopback가 없다면 물리적 interface의 IP가 사용된다.

  • mpls ip : MPLS가 동작할 interface 지정. CE-FE 구간의 interface는 지정하지 않는다.

  • LDP neighbor : show mpls ldp neighbor 명령어로 확인.
  • LFIB : show mpls forwarding-table 명령어로 확인.
  • LIB : show mpls ldp bindings 명령어로 확인.

show mpls ldp neighbor

  • show ip eigrp neighbor와 같음.

사진첨부
neighbor가 1개라서 1개만 나왔다.

사진첨부
neighbor가 2개라서 2개 떴다.

vIOS3)

사진첨부
neighbor가 역시 2개라서 2개가 나왔다.

사진첨부
neighbor가 1개라서 1개만 나온 것을 확인할 수 있다.

show mpls ldp bindings

  • show ip eigrp topology와 같음.

사진첨부

사진첨부

사진첨부

사진첨부

show mpls forwarding-table

  • show ip route와 같음

사진첨부

사진첨부

vIOS3)

사진첨부

사진첨부

  • 21은 Label forwarding database이기 때문에 자신에게 직접 접속되어 있는 네트워크 주소는 생성할 필요가 없다.

Ex. MPLS

사진첨부

결과

사진첨부

  • traceroute 192.168.20.1

사진첨부

Label이 3개가 뜨는 것을 확인할 수 있다.

MPLS VPN (MultiProtocol Label Switching)

  • MPLS는 L3(IPv4/IPv6) 패킷 또는 L2 프레임에 라벨(label)을 첨부하여 전송하는 기술을 말한다. MPLS가 설정되어 있는 라우터들이 MPLS 패킷을 수신하면 목적지 IP 주소 대신 라벨을 참조하여 해당 패킷을 스위칭한다.
  • MPLS를 사용하는 가장 큰 이유는 MPLS VPN(Virtual Private Network, 가상 사설망) 구성을 위해서다. ISP 입장에서는 대규모의 VPN을 MPLS를 통해서 쉽게 구축할 수 있어서 MPLS VPN을 선호한다. 고객 입장에서도 ‘인터넷’을 사용하는 VPN과 달리 내부 VPN과 외부 VPN 트래픽이 완전히 분리되어서 비교적 안전한 망을 구성할 수 있다.
  • 예를 들어, 인터넷을 이용한 VPN의 경우 ISP 내부에서는 특정 목적지로 가는 패킷을 차단하지 않아 내부 사용자 뿐만 아니라 공격자의 패킷도 고객 장비에 도달할 수 있으므로 보안에 문제가 발생한다. 그러나 MPLS는 통신회사 내부에서 사전에 설정된 경로 간에만 트래픽 전송을 허용하므로 트래픽이 완전히 분리된다. 고로 MPLS VPN을 사용하면 공격자의 패킷이 목적지에 도달하는 것 자체가 불가능하다.
  • MPLS VPN은 사용자가 MPLS 망 가입자로 제한되어 있으므로 아무나 다른 조직의 망으로 패킷을 전송할 수 없다. 그러나 MPLS VPN 자체는 인증, 암후화, 무결성 확인 기능을 제공하는 IPSec VPN 등을 함께 사용한다.

MPLS VPN

Step 01. EIGRP AS 100 구성

사진첨부

Step 02. BGP AS 100 구성

사진첨부

  • vIOS1)
router bgp 100
neighbor 1.1.4.4 remote-as 100
neighbor 1.1.4.4 update-source loopback 0



  • vIOS4)
router bgp 100
neighbor 1.1.1.1 remote-as 100
neighbor 1.1.1.1 update-source loopback 0



Step 03. MPLS 구성

사진첨부

  • vIOS 1, 2, 3, 4)
mpls label protocol ldp
mpls ldp router-id loopback 0



  • vIOS1)
int g0/2
mpls ip



  • vIOS2)
int g0/0
mpls ip

int g0/1
mpls ip



  • vIOS3)
int g0/0
mpls ip

int g0/1
mpls ip



  • vIOS4)
int g0/2
mpls ip



Step 04. VRF 구성

사진첨부

  • vIOS1)
ip vrf A
rd 1:1
route-target 1:1

int g0/0
ip vrf forwarding A
ip address 2.2.12.2 255.255.255.0

ip vrf C
rd 3:3
route-target 3:3

int g0/1
ip vrf forwarding C
ip address 3.3.12.1 255.255.255.0



  • vIOS4)
ip vrf B
rd 2:2
route-target 2:2

int g0/0
ip vrf forwarding B
ip address 22.2.12.2 255.255.255.0

ip vrf D
rd 4:4
route-target 4:4

int g0/1
ip vrf forwarding D
ip address 33.2.12.1 255.255.255.0



Step 05. BGP를 이용해 VRF간 재분배 구성

  • vIOS1)
ip route vrf A 192.168.10.0 255.255.255.0 2.2.12.1
ip route vrf C 192.168.20.0 255.255.255.0 3.3.12.2

router bgp 100
address-family vpnv4
neighbor 1.1.4.4 activate
neighbor 1.1.4.4 send-community both

address-family ipv4 vrf A
redistribute static

address-family ipv4 vrf C
redistribute static

ip vrf A
route-target impor 2:2

ip vrf C
route-target import 4:4



  • vIOS4)
ip route vrf B 192.168.11.0 255.255.255.0 22.2.12.1
ip route vrf D 192.168.21.0 255.255.255.0 33.2.12.2

router bgp 100
address-family vpnv4
neighbor 1.1.1.1 activate
neighbor 1.1.1.1 send-community both

address-family ipv4 vrf B
redistribute static

address-family ipv4 vrf D
redistribute static

ip vrf B
route-target import 1:1

ip vrf D
route-target import 3:3



결과

사진첨부

사진첨부

사진첨부
삼성전자는 삼성전자끼리 통신이 된다.

사진첨부
LG는 LG끼리만 통신이 된다.

BGP를 이용해 공인 네트워크 구성

사진첨부

  • vIOS13)
router bgp 200
neighbor 5.5.12.2 remote-as 100
network 192.168.30.0 mask 255.255.255.0



  • vIOS14)
router bgp 300
neighbor 6.6.12.1 remote-as 100
network 192.168.31.0 mask 255.255.255.0



  • vIOS1)
router bgp 100
neighbor 5.5.12.1 remote-as 200
neighbor 1.1.4.4 next-hop-self



  • vIOS4)
router bgp 100
neighbor 6.6.12.2 remote-as 300
neighbor 1.1.1.1 next-hop-self



  • 결과)

사진첨부
공인 네트워크끼리 ping이 된다.