Mong giải đáp phần nào giúp bạn

1. Vậy khi một LSR nhận một gói tin IP đã được gán nhãn thì bảng FIB có được sử dụng không hay là chỉ dựa vào bảng LFIB để forward?
==> theo mình thì nó phải sử dụng bảng LFIB vì nó mới biết để swap label vì bảng FIB chỉ có nhãn next-hop chứ k chứa nhãn local. (FIB dùng khi packet là IP thì nó gán label thôi)

2. Ví dụ một mô hình PE1--P1--P2--PE2. Truyền gói tin theo thứ tự từ trái qua phải
Nếu PE1 nhận 1 gói tin IP và trong trường hợp quá trình trao đổi, phân phối nhãn trong MPLS domain chưa được thực hiện xong thì PE1 sẽ forward gói tin IP thường đó đi đến router P1. Em không chắc lắm nhưng đã được đọc ở đâu đó rằng router P sẽ không thực hiện chức năng forward gói tin IP thường và chỉ forward 1 gói tin được gán nhãn. Như vậy thì gói tin IP thường đó sẽ bị drop và chưa thể truyền tin trong trường hợp này phải không?
==>có vài dòng trong cuốn CCIP về MPLS mong chia sẻ cùng bạn
The following combinations are possible:
„ A received IP packet is forwarded based on the IP destination address and sent as an IP
packet.
„ A received IP packet is forwarded based on the IP destination address and sent as a labeled
packet.
„ A received labeled packet is forwarded based on the label; the label is changed and the
packet is sent.
The following scenarios are possible if the network is not configured properly:
„ A received labeled packet is dropped if the label is not found in the LFIB table, even if the
IP destination exists in the IP forwarding table—also called the Forwarding Information
Base (FIB).
„ A received IP packet is dropped if the destination is not found in the IP forwarding table
(FIB table), even if there is an MPLS label-switched path toward the destination.

Thân,:D

Thanks bạn. Vậy bạn cho mình hỏi bảo mật trong MPLS VPN như thế nào?Ngoài việc được kế thừa mức bảo mật của mô hình VPN truyền thống ra còn có sự nổi trội nào không?

Mình nghĩ gói tin IP thường vẫn có thể được truyền qua mạng MPLS. Tuy nhiên trong MPLS VPN thì không vì router P không biết gói tin đó thuộc vrf nào, cho nên khi gói tin IP thường đó từ PE ingress đến router P mà không được gán nhãn, nó sẽ bị discard bởi router P ngay thay vì cứ forward nó đi trong mạng cho đến PE egress mới bị discard. Như thế sẽ làm giảm hiệu năng mạng.

MPLS VPN cấu hình bảo mật thì mình chưa đọc đến, nhưng theo mình nghĩ thì trên PE nó tạo VRF thì VRF như là 1 bảng định tuyến ảo dành cho mỗi KH vì vậy các KH hàng này là hoàn toàn cách ly với nhau, và chỉ có interface cấu hình VRF nào thì thuộc VRF đó. Còn hơn VPN truyền thống (mình k biết mô hình ý bạn nói là mô hình nào layer2 hay layer3???) thì mình k rõ.
Còn gói tin không label mà truyền trong MPLS thì vẫn đi được. Còn trong VPN packet thuộc VRF của KH thì nó phải có 2 label, 1 của core IGP dùng để tìm đến peer PE neighbor, 2 là của VPN. Nếu thiếu 1 trong 2 thì k đi được, thiếu 1 thì packet k đi đến PE neighbor được, thiếu 2 thì packet đến PE neighbor nhưng k biết thuộc VRF nào.

Bạn cho minh hỏi : trong sơ đồ PE1--P1--P2--PE2. Mình thực hành cấu hình trên cấu hình MPLS VPN trên dynamips. PE1 nối với 3 site VPN trong đó có 2 site thuộc 2VPN khác nhau có trùng địa chỉ IP với nhau. PE2 nối với 2 site. Sau khi show bảng LFIB thì mình thấy ở cột bytes tag switched lúc thì là 0 lúc thì khác 0. Như thế có nghĩa là sao nhỉ?
PE1#show mpls forwarding-table
Local Outgoing Prefix Bytes tag Outgoing Next Hop
tag tag or VC or Tunnel Id switched interface
16 Pop tag 172.16.0.2/32 0 Se1/2 point2point (0)
17 17 172.16.0.3/32 0 Se1/2 point2point (0)
18 18 172.16.0.4/32 0 Se1/2 point2point (0)
19 Pop tag 192.168.0.4/30 0 Se1/2 point2point (0)
20 19 192.168.0.8/30 0 Se1/2 point2point (0)
21 Untagged 1.1.1.0/24[V] 520 Se1/0 point2point (520)
23 Untagged 3.3.3.0/24[V] 0 Se1/1 point2point (0)
24 Aggregate 10.0.0.0/30[V] 0 (0)
25 Untagged 5.5.5.0/24[V] 520 Se1/3 point2point (520)
26 Aggregate 20.0.0.0/30[V] 0 (0)
27 Aggregate 10.0.0.0/30[V] 0 (0)
Trong đó các mạng 1.1.1.0/24 ; 2.2.2.0/24 ; 3.3.3.0/24 ; 4.4.4.0/24 ; 5.5.5.0/24 là mạng bên trong của khách hàng. (Trông hơi rối rắm nên mình mở ngoặc ra chỉ số bytes tag switched nhé)
PE2#sho mpls forwarding-table
Local Outgoing Prefix Bytes tag Outgoing Next Hop
tag tag or VC or Tunnel Id switched interface
16 16 172.16.0.1/32 0 Se1/2 point2point (0)
17 17 172.16.0.2/32 0 Se1/2 point2point (0)
18 Pop tag 172.16.0.3/32 0 Se1/2 point2point (0)
19 19 192.168.0.0/30 0 Se1/2 point2point (0)
20 Pop tag 192.168.0.4/30 0 Se1/2 point2point (0)
21 Untagged 2.2.2.0/24[V] 0 Se1/0 point2point (0)
22 Aggregate 22.2.0.0/30[V] 1040 (1040)
23 Untagged 4.4.4.0/24[V] 0 Se1/1 point2point (0)
24 Aggregate 33.3.0.0/30[V] 0 (0)

bytes tag switched là số bytes mà nó nhận vào để chuyển mạch đó bạn.(ứng với prefix đó) thông số này thực sự mình k quan tâm lắm bạn hỏi thì mình hỏi cisco thôi ;) http://www.cisco.com/en/US/docs/ios/.../rtr_14st.html

Mọi người giải thích giúp mình nhé :
PE1#show ip bgp vpnv4 rd 10:1
BGP table version is 23, local router ID is 172.16.0.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10:1 (default for vrf VPN_A)
*> 1.1.1.0/24 10.0.0.1 1 32768 ?
*>i2.2.2.0/24 172.16.0.4 1 100 0 ?
*> 10.0.0.0/30 0.0.0.0 0 32768 ?
*>i22.2.0.0/30 172.16.0.4 0 100 0 ?
Đây là trên router PE1, 1 trong 4 router trong MPLS domain của mình. Mạng hoạt động tốt. Ping, Traceroute giữa các site VPN đều được. Nhưng ở lệnh show ở trên, ở cột Path toàn bộ là dấu ? (theo chú thích ở trên là incomplete). Như vậy có nghĩa là sao thế? Có gì giải thích giúp mình các parameter khác như : LocPrf và Weight ở trên lệnh show trên. thanks

Còn một vấn đề nữa minh không hiểu cho lắm : Tại sao trong MPLS domain phải sử dụng router id (thường lấy địa chỉ loopback cao nhất). Mình chỉ biết là nếu không có router id thì quá trình tạo và phân phối nhãn LDP không thành công nhưng không biết tại sao :(. Ngoài ra còn lí do nào nữa không?Các bác giải đáp giúp em với nhé.(cả câu ở trên nữa). thank các pro nhiều

các pro giải đáp giúp mình với

sao không ai giúp mình với :(

Các pro đâu rồi? Giúp mình với

ngoài kế thừa còn có nhiều vấn đề cần khảo sát. Bạn xem slide bên dưới để hiểu những thách thức và cách đặt vấn đề của MPLS Security.

Vâng. Em cảm ơn anh. Anh Minh ơi, cho em hỏi về vấn đề này với
PE1#show ip bgp vpnv4 rd 10:1
BGP table version is 23, local router ID is 172.16.0.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10:1 (default for vrf VPN_A)
*> 1.1.1.0/24 10.0.0.1 1 32768 ?
*>i2.2.2.0/24 172.16.0.4 1 100 0 ?
*> 10.0.0.0/30 0.0.0.0 0 32768 ?
*>i22.2.0.0/30 172.16.0.4 0 100 0 ?
Đây là trên router PE1, 1 trong 4 router trong MPLS domain. Mạng hoạt động tốt. Ping, Traceroute giữa các site VPN đều được. Nhưng ở lệnh show ở trên, ở cột Path toàn bộ là dấu ? (theo chú thích ở trên là incomplete). Như vậy có nghĩa là sao thế? Anh giải thích giúp em các parameter khác như : LocPrf và Weight ở trên lệnh show trên.
còn vấn đề nữa anh giúp em nhé đó là tại sao trong MPLS domain phải sử dụng router id (thường lấy địa chỉ loopback cao nhất). Nếu không có router id thì quá trình tạo và phân phối nhãn LDP không thành công nhưng không biết tại sao ?
Cảm ơn anh nhiều

Các routes đó là routes có nguồn gốc từ bên ngoài redistribute vào. Trong trường hợp của bạn, các routes đó là các routes của khách hàng (router CE) được redistribute vào BGP.