CCIE理论第三篇-LISP技术

CCIE理论第三篇-LISP技术

LISP

LISP(locator identity separation protocol)位置身份分离协议
这个是个啥呢?为什么需要这个东东呢?
首先呢,我们知道,在VXLAN里面,MAC in udp(在tunnel 的概念下)

环境

在这里插入图片描述

首先,假设现在某公司,需要把左边的设备迁移到右边,中间是运营商,但是这个是个服务器,需要对外提供服务
那么迁移会带来什么问题呢?
传统架构中,

>首先,迁移,你不能换IP吧
>因为IP这个东西,在大公司大企业里面,他是都有备案以及记录,有规范的
>不是你想改就能随便改的,而且改了也很麻烦,会带来一系列的问题
>比如,最基本的,路由咋办?你一改全局都得用,很不显示
>其次,在没有vpn的情况下,运营商难道要给你改路由吗,很麻烦的,哪怕是BGP
>再者,NAT,他们的NAT都是端口有规范的,对应IP,难道一个一个去改吗,很明显很不现实

在很多公司中现在都有负载均衡设备,会联动上面的DNS
有人要问了,这个时候关DNS什么事?

DNS是域名解析
一般服务器嘛,对外提供的肯定是网址不可能是IP呀
但是一改了,原本的就解析不到了
那么这个时候,负载均衡设备上会有一个生命检测周期的功能
不管你是什么,只要是个ip,就会检测,有点像SLA,BFD这个东西
然后如果原本那个死亡了,那么新的上来了,负载均衡设备会告诉DNS
解析的跑来这边了
(这里的DNS是自己内部搭建的DNS,不是公网的DNS)
不够一般来讲,负载均衡是作为DNS的下一跳存在的
就是当下面的客户端和外部的user发送了请求
那么DNS会先发给负载均衡设备然后再由这个设备发送下去给需求的设备
但是这个过程,负载均衡设备会进行重新封装,并不是纯转发

其中,比较出名的负载均衡厂家是A10,F5这些,当然很多安全公司也有,奇安信深信服这些

小总结

首先讲一下小总结
1.首先,现在面临的都是异地化的
2.当一个服务器没了,新启了一个服务器,那么,怎么找到这个新的服务器
3. 现在来说,VXLAN是可以解决的
4. 但是局限的环境是,纯内网的环境下
5. 但是如果是面向公网环境的,那么会需要用到DNS+负载均衡设备

讲正题了

那么既然说了那么多,那么这个LISP有什么用呢?
因为这种环境使用VXLAN是可以解决的
LISP最主要的核心是什么呢?

他是帮助用户去定位迁移后的地址的位置

首先LISP使用场景是在内网的哈!!!(也就是underlay网络)
LISP呢是非常类似于DNS的,但是他又有VXLAN的感觉,但是又不能说他是DNS+VXLAN的结合

它是通过一个第三方的服务器,叫mapping DB serve

这个是自己搭建的哈!!!

 然后他分成两个部分.	mapping resolver-用来服务客户的,查询者.  mapping sever-用来服务请求端的但是实际上这是同一个东西,因为查询的都是一个人呀不过呢在mapping db server里面,他有这个概念的存在

这个东西呢,有点点像NAT
那他主要是做啥的呢?
他是通过外网映射到内网的主机做实时监控然后查询路径

这个外网叫做RLOC,叫做路由定位routing-locator
这个内网叫做EID,end-poiont identifler
只是叫法哈,RLOC就是对应的出接口,EID就是对应终端设备
然后Mapping DB serve就是做这个事情的,是不是有点像NAT

>这个东东是思科开发的,有点私有的感觉
>但是呢很多高端的技术,在很多厂家其实都通用的
>就例如华三,他的配置跟思科完全一模一样

说了半天,mapping db serve是用来帮你做查询的

场景

在这里插入图片描述
首先呢,DC-A迁移到DC-B这边
中间这个设备,我们称之为ITR设备
其他的都成为ETR设备
什么是ITR设备呢?

然后LISP呢,会先在mapping server上注册
首先发送一个mapping request-这个类似与hello包这样的东西
注册啥呢?

一个是我的RLOC,一个是我的EID

然后呢,这其中还有热备份的功能,因为ETR设备是每一分钟像ITR设备发送一次注册的
如果收不到回复会认为邻居死亡,是不是有点路由协议hello包哪个味道了

这个时候问题来了,哪这个网络中,什么时候查询mapping-db,什么时候走默认路由呢?
毕竟,他还要正常上网,跑其他业务不只是LISP的存在呀
这个是这样的
当LISP设备,没有明细的路由条目的时候,就会去查询mapping-db
但是其实有个尴尬的问题,就你上网,最简单的www,baidu.com
在没查询之前,难道她知道百度的明细路由嘛?
所以这个时候还是会查询mapping-db,所以这个东东又有点DNS的那个感觉
but,他不是dns呀,所以对于他来说,是不存在的地址
那这个时候,mapping会回复不存在的信息,那么这个时候设备就会走默认路由出去了
这里来一波小总结
1.有明细路由条目走明细
2.没有的时候全部查询mapping-db
3.如果有就直接走mapping-db
4.当mapping-db到不了的时候,就会返回信息然后走默认路由

工作流程

因为我们一直在讲的是内部迁移的问题
那么这个时候来说一下LISP的工作流程
首先,mapping resolver简称MR设备 因为这样方便说
然后,mapping server简称MS设备

他是这样的

当上面的user发送了请求,到了网关
那么会先去找MR,这没错吧,前面已经说过了
然后呢,MR设备会把这条请求告诉MS设备
然后MS设备,会把这个需求发送给最后一次注册的设备
如果没有则MR不会通告给MS,也不会有查询
但是由于注册信息是每60一次,所以这样相当于一个备份
然后这个时候,ETR会给ITR(GW)回复信息

一般呢,这个MR+MS设备,是部署在ETR设备情况下的
当然如果请求量大的话可以单独弄一个硬件给他

但是记得有一点哈!!
前面已经提过了
MR+MS是同一个设备
mapping db server
只不过他们两个模块
一个服务ITR
一个服务ETR

抓包

在这里插入图片描述
可以看到短偶库4789哈,这个是vxlan的端口号
还有VNI的编号之类的
往下也有详细的地址
下面的都是LISP的
其中第一个红圈是rloc地址
下面的是eid地址
在这里插入图片描述
这个4342端口是随机的哈,并不是固定的
通过抓包发现,其实这个LISP又和VXLAN差不多

配置参考

思科
在这里插入图片描述

指向eid rloc地址,优先级,权重
指定itr
指定ert
手动指定map-resolover
手动指定ert的map-server,至于后面这个key就是一个认证而已
在这里插入图片描述
在这里插入图片描述
mapping db server设备
跟谁注册,就得写谁

华三
在这里插入图片描述
基本上跟思科一模一样

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/n
x-os/lisp/configuration/guide/b_NX
OS_LISP_Configuration_Guide/b_NX
OS_LISP_Configuration_Guide_chapter_01000.html
https://www.cisco.com/c/en/us/td/docs/ios
xml/ios/iproute_lisp/configuration/xe-3s/irl-xe-3s-book/irl-cfg
l
i
sp.html#GUID-5CFF5491-8045-43C8-80F8-73C16C6E185E
http://www.h3c.com/cn/d_201612/965115_30005_0.htm

这些均为LSP的文档文献

好的本次到这里就结束了,欢迎观看我的文章。我是CCIE-Yasuo,喜欢就关注我吧,下一期见。
欢迎新盟教育的同学一起来交流,我是41期的疾风剑豪
同时我也是一名18岁来自大专的学生在学校写的,如有写的不对或侵权请及时联系删除。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/439055.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【转】TFS自动签出解决方案sln或者项目文件csproj的解决办法

问题: 最近公司一个项目组的源代码解决方案打开时总是出现解决方案或者部分项目被自动签出的情况,但签入又提示没有变更。事情虽小,导致几个程序员要用项目文件时总是要找其他人签入。浪费不少时间。出现时间有几个月了,也一直没有…

CCIE理论-第四篇-SDA-1

CCIE理论-第四篇-SDA-1 SDA-software defied Access SDA-软件定义接入 SDA是被包含在SDN范畴里面的一个架构体系SDA核心-通过一系列的技术合租,组织到一个平面上 载体:DNA Center 在华为的载体是AC Agile Contro(不是无线AP哈!) 对比传统 传统三层网络 1.要备份,设备多,容…

CCIE理论-第五篇-SDA-2

CCIE理论-第五篇-SDA-2 DNA Center 展示一下web的界面哈 其实就类似平时弄的web的防火墙呀,其他设备等 弹性子网 这一章来讲讲弹性子网 stretched subnets allow an ip subnet to be :stretched:vla the overlay 拉伸子网允许通过覆盖“拉伸”IP子网1基于主机IP的流量…

CCIE理论-第七篇-SD-WAN网络(二)

CCIE理论-第七篇-SD-WAN网络(二) 首先回顾一波SD-WAN里面的几个主要角色 1.Vmanage 2.vsmart 3.vbond 4.vedge 其中,vbond和vedge实际上是一个东西 这次主要演示的是命令的版本 因为无论怎么升级,更新换代,底层是不会变的 web界面变来变去那是肯定的其中.SD-WAN里面会携带两个…

TFS命令tf:undo(强制签入签出文件)

由于修改计算机名称或不同电脑上操作忘记签入,则需要强制签入文件 具体步骤如下: 1.在命令行中输入"cd C:\Program Files\Microsoft Visual Studio 14.0\Common7\IDE"(tf程序在文件夹),进入tf程序所在目录…

CCIE理论-第八篇-SD-WAN(三)+DAI(动态ARP检测)

CCIE理论-第八篇-SD-WAN(三) 首先来说上一章的问题, vbound和vsmart还没出来 . 指定域和vbound 初始化搞完了,那么需要去添加vsmart和vbound了 添加设备 添加设备 延续前面的环境继续说 vbound 注意CSR这里是不需要做的了,因为前面已经做了 vsmart 连接成功,来看看监测图 …

关于VSCode中工作区的讲解与使用工作区还你一个轻量 的VSCode

VSCode的使用率在逐渐提高,但安装太多的插件会使得VSCode变得臃肿,甚至运行变慢,占用太多内存,此文章介绍了工作区,并如何来使用工作区更好地体验VSCode。 初次使用VSCode,肯定有很多人好奇,这…

CCIE-LAB-SDN-第一篇-修改交换机管理IP

CCIE-LAB-SDN-第一篇-修改交换机管理IP 之前讲到CCIE-LAB呢是分三个部分的 那么第一个模块1,传统路由交换已经全部发出来了 到了这个模块2呢,就是SDN了,开始搞了实际中,思科只会给你5个小时去做下面的全部配置 这个是CCIE-LAB的拓扑图

CCIE-LAB-SDN-第二篇-DNAC中完成VN配置

CCIE-LAB-SDN-第二篇-DNAC中完成VN配置 实际中,思科只会给你5个小时去做下面的全部配置 这个是CCIE-LAB的拓扑图 题目 第2.2节:在DNA中心完成VN配置 使用DNA中心GUl,根据以下步骤执行配置任务 要求 1.在网络上为物联网添加新的虚拟网络名称批次 分支机构#1和#2。 2.为名…

CCIE-LAB-SDN-第三篇-SD-WAN

CCIE-LAB-SDN-第三篇-SD-WAN 实际中,思科只会给你5个小时去做下面的全部配置 这个是CCIE-LAB的拓扑图 题目 SECTION 2.3: Mapping SDA VNs to SD-WAN VPNS(4 Points) Using vManage GUI, perform configuration tasks according to these requirements. Use any host, such…

SharePoint 2013 搭建负载均衡(NLB)详解

服务器架构(三台虚机:AD和Sql在一台,前端两台) DC、Sql Server,其中包括:AD、DNS、DHCP服务(非必须); SPWeb01,其中包括:IIS、SharePoint&#…

CCIE-LAB-SDN-第四篇-SD-WAN-2

CCIE-LAB-SDN-第四篇-SD-WAN-2 实际中,思科只会给你5个小时去做下面的全部配置 这个是CCIE-LAB的拓扑图 题目 SECTION 2.3: Mapping SDA VNs to SD-WAN VPNS(4 Points) Using vManage GUI, perform configuration tasks according to these requirements. Use any host, su…

【转】sharepoint foundation 2013升级sp1补丁后无法使用搜索功能

直接安装了sharepoint foundation 2013 with sp1后,发现新建的站点都没有默认的搜索框。 具体报错特征: 1、添加搜索框 web part,保存页面后报错“公共语言运行时检测到无效的程序” 2、当时想了另外一种方法,在网站集下新建搜索…

CCIE-LAB-第五篇-SDN-SD-WAN-BGP-OMP(sdwan版的路由协议)

CCIE-LAB-第五篇-SDN-SD-WAN-BGP-OMP(sdwan版的路由协议) 实际中,思科只会给你5个小时去做下面的全部配置 这个是CCIE-LAB的拓扑图 题目 SECTION 2.3: Mapping SDA VNs to SD-WAN VPNS(4 Points) Using vManage GUI, perform configuration tasks according to these requi…

【转】SOAR从概念到落地

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读 今年2月,国际知名的大数据公司Splunk公司正式对外公布了收购Phantom公司的最终协议。Phantom是安全编排、自动化和响应(Security Orchestration,Automation and Response, SOAR)领域的…

CCIE-LAB-SDN-第六篇-SDWAN-Branch2-vEdge-51-vEdge-52

CCIE-LAB-SDN-第六篇-SDWAN-Branch2-vEdge-51-vEdge-52 实际中,思科只会给你5个小时去做下面的全部配置 这个是CCIE-LAB的拓扑图 题目 SECTION 2.3: Mapping SDA VNs to SD-WAN VPNS(4 Points) Using vManage GUI, perform configuration tasks according to these require…

CCIE-LAB-第七篇-SDN-SDWAN-路由泄露

CCIE-LAB-第七篇-SDN-SDWAN-路由泄露 实际中,思科只会给你5个小时去做下面的全部配置 这个是CCIE-LAB的拓扑图 题目: Section 2: Implementing Proof of Concept SDX Branches SECTION 2.4: Configuring SD-WAN VPN Route Leaking (3 points) To allow the traditional part…

Azure Sentinel -- 云原生企业安全信息和事件管理平台(SIEM)初探系列一

SIEM,一个已经存在20多年的安全产品领域,一个很多企业所必须的安全事件监控和管理平台,但现在它所承载的功能和价值也随着现在企业办公环境的变化而面临巨大的挑战。 首先,最大的一点的不同在于,企业的安全边界已经改…

CCNP-防火墙-上一代防火墙-下一代防火墙

CCNP-防火墙-上一代防火墙-下一代防火墙 上一代防火墙 这玩意应该是十几年前的东西了 现在我们都叫下一代防火墙(NGFW) 上一代防火墙呢 基本上都是把功能集成到一个盒子里面 <上一代防火墙是这样处理数据的> >来了一个数据包,他首先经过IP,路由,可达了 >然后就经…

Azure Sentinel -- 初探系列二 案件调查及追踪

在上一篇文章中&#xff0c;我们看到了如何对案件通过相关性迅速找到事件发生的根源&#xff0c;但查找到威胁仅仅只是个开端&#xff0c;后续如何流程化的解决这个威胁&#xff0c;实现安全编排和自动相应。也是安全团队所需要去完成的工作&#xff0c;而这个过程&#xff0c;…