乾頤堂安德企業基礎架構CCIE即EI CCIE技術LAB文檔-LISP協議

LISP協議
LISP協議，即Locator/ID Separation Protocol，位置身份分離協議。它將傳統的地址分拆爲代表位置的RLOCs（Routing Locators,路由標識符）和代表身份的EIDs（Endpoint Identifiers,節點標識符），也就是位置和身份分離機制。
傳統園區網的拓撲基於地址和路由，地址就是拓撲或者位置，它基於vlan和子網，或者說一個地址既表明了一個設備的位置，又表明了該設備的身份。如圖12-1所示，位於園區網站點1的10.1.0.1基於vlan，即子網代表了位置和身份，20.1.0.5也如此。

圖12-1 傳統網絡中IP地址集身份和位置於一體
咱們再來認識一下圖12-2中實施完畢LISP協議以後的拓撲圖，讀者能夠看到在站點1和站點2中同時可能同時存在10.1.0.1的設備，可是它們卻具備不一樣的RLOC，這說明其身份沒有變化，可是卻有很好的移動，這徹底符合現代虛擬化的需求。好吧，讀者還不知道什麼是RLOC，不要緊，後邊咱們一一做出解釋，但讀者對比12-1至少會發現站點1用1.1.1.1標識，沒錯1.1.1.1就表明RLOC。正如前文描述，LISP分離標識符和身份符，在圖12-2中，左邊站點1.1.1.1表明了位置符，而10.1.0.1表明了身份符，讀者以爲右邊哪些表明身份符，哪些表明位置符呢？

圖12-2 LISP協議中身份和位置分離-設備10.1.0.1能夠方便的移動

12.1 什麼是LISP協議

在LISP網絡中，不一樣於傳統網絡架構，它的路由基於RLOC，地址主機基於EID，映射EID到RLOC。表12-1解釋了LISP協議中一系列的名稱和術語
簡寫 名稱 簡要做用
ITR Ingress Tunnel Router，入向隧道路由器 從面向站點接口收到報文
ETR Egress Tunnel Router，出向隧道路由器 從面向核心的接口收到報文
MR map resolver 映射解析器 從ITR出收到映射請求
MS map server 映射服務器 LISP站點的ETR在MS註冊它們的EID前綴
EID endpoint ID 終點身份符 通訊終端，現今網絡的主機
RLOC Routing Locator路由位置符 LISP路由器的地址
表12-1 LISP術語解釋
對於LISP的這些術語，讀者能夠參看圖12-3，LISP站點內的設備即EID須要和其餘站點的EID通訊，會把數據包發送到xTR設備（流量是雙向的，因此該設備是ITR或者ETR），在ITR或者ETR設備上進行LISP的封裝或者解封裝，沒錯，是封裝，就是咱們認識的傳統的基於UDP的封裝，EID的IP被封裝到了內層，而RLOC的地址被封裝到了外層，因此只要RLOC地址的能夠經過路由查找找到其餘EID的RLOC便可，但問題在於咱們的最終目的地是其餘的EID，而不是RLOC，因此此時還有一個重要的設備，即MS/MR，映射服務器/映射解析器，不少時候它們兩個角色處於同1個設備，它的做用就如圖中右上角綠色和紅色地址的映射。在圖12-3中還存在非LISP站點，固然LISP站點照樣能夠和他們進行通訊，在該場景下存在PxTR,即代理xTR設備。

圖12-3 LISP總體示意圖
咱們來了解一下LISP系統中的映射系統，該功能很是相似於DNS（域名解析）系統，DNS爲URL解析IP地址，它解決了「誰是」的問題，入圖12-4中DNS服務器解析了lisp.cisco.com的地址是153.16.5.29.
LISP把身份標識符解析爲位置，即回答了在哪裏的問題，如圖12-4所示，LISP路由器請求153.16.5.29在哪裏，LISP映射系統解析：地址符位於128.107.81.169。

圖12-4 LISP映射系統和DNS系統的相似功能
映射系統是LISP協議的控制設備。整個LISP的映射系統（MS）分爲映射服務器（MS）和映射解析器（MR）。
映射解析器MR：從ITR出收到映射請求，轉發映射請求到映射系統MS；對非LISP站點的請求不發送映射回應。
映射服務器MS：LISP站點的ETR在MS註冊它們的EID前綴，請求配置LISP站點策略和認證；經過映射系統收到映射請求，會把它轉發到已經註冊的ETR。圖12-5爲MR/MS的示意圖，注意此時數據流量的方向爲192.168.1.0/24到192.168.2.0/24

圖12-5 映射系統示意圖
LISP協議的數據轉發設備爲ITR和ETR，ITR，從面向站點接口收到報文，會把這些報文封裝轉發到遠程的LISP站點或者發送原始報文轉發到非LISP站點。ETR，從面向核心的接口收到報文，解封裝發送到位於LISP站點的EID。如圖12-6所示，從LISP站點1的EID 192.168.1.0/24網絡到LISP站點2的192.168.2.0/24網絡的數據到達xTR-1，xTR-1封裝數據包，外層IP報文的目標地址爲遠端ETR即，xTR-3；數據到達xTR-3以後，會解封裝，此時內層報文的目標地址爲原始的192.68.2.0/24網絡，故而會到達最終的EID。

圖12-6 LISP中的報文轉發
在剛纔的描述中，咱們提到了LISP的封裝，那麼咱們來看一下LISP的封裝報文，在RPF6830中，定義了LISP的報頭格式，如圖12-7所示，外層報頭的源目地址爲RLOC的地址，而內層地址爲EID的地址。中間部分爲UDP頭部和LISP的頭部。

圖12-7 LISP報文結構
LISP不只僅支持IPv4還能夠支持多種封裝的報文轉發，諸如IPv4上的IPv4，IPv4上的IPv6，IPv6上的IPv6,以及IPv6上的IPv4等。圖12-8描述了IPv6 over IPv4的轉發過程，讀者能夠看到原始的報文爲IPv6地址，在到達RLOC 1.1.1.1以後被LISP封裝了頭部以及外層IPv4的RLOC地址1.1.1.1到2.1.1.1，該報文到達2.1.1.1.以後解封裝爲IPv6報文轉發到最終的EID 2001:10:2:0::1.

圖12-8 IPv6 over IPv4的LISP轉發過程
一個EID可能對應多個RLOCs。每一條EID與不一樣RLOCs的對應關係都帶有優先級（Priority）和權重（Weight）兩個屬性。優先級代表ITR應該優先使用哪一個RLOCs，權重說明了怎樣在多個目的EID相同的RLOCs之間分配流量。若是一個EID對應每一個RLOCs的優先級和權重值都同樣，那麼流量將在通往全部RLOCs的鏈路上被均勻分配。

12.2 LISP實現

圖12-9 LISP協議實現拓撲
咱們在圖12-9實現LISP協議，其中EID設備爲10.1.0.1和10.2.0.1，R3和R6爲xTR，R4爲映射系統。

12.2.1 完成路由層面的基礎工做

xTR設備之間以及同MS之間須要通訊，那麼路由是必須的，咱們在本例中採用Eigrp協議，EID同其餘站點的EID通訊，那麼能夠經過默認路由指向xTR設備便可

R三、R4和R6的基礎路由配置：
R3-SITE1(config)#router eigrp 90
R3-SITE1(config-router)# network 33.0.0.0
R3-SITE1(config-router)# network 34.1.1.3 0.0.0.0
!
R4-MS(config)#router eigrp 90
R4-MS(config-router)# network 0.0.0.0
!
R6-SITE2(config)#router eigrp 90
R6-SITE2(config-router)# network 46.1.1.6 0.0.0.0
R6-SITE2(config-router)# network 66.1.1.1 0.0.0.0
R6-SITE2(config-router)#
驗證基礎的Eigrp鄰居和經過Eigrp獲得的路由
R4-MS#show ip eigrp neighbors 
EIGRP-IPv4 Neighbors for AS(90)
H   Address                 Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                                   (sec)         (ms)       Cnt Num
1   46.1.1.6                Et0/3                    14 00:18:07   10   100  0  4
0   34.1.1.3                Et1/1                    11 00:18:07    5   100  0  4
R6-SITE2#show ip route eigrp 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override

Gateway of last resort is not set

      33.0.0.0/32 is subnetted, 1 subnets
D        33.1.1.1 [90/435200] via 46.1.1.4, 00:17:38, Ethernet0/2
      34.0.0.0/24 is subnetted, 1 subnets
D        34.1.1.0 [90/307200] via 46.1.1.4, 00:17:41, Ethernet0/2
      44.0.0.0/32 is subnetted, 1 subnets
D        44.1.1.1 [90/409600] via 46.1.1.4, 00:17:38, Ethernet0/2
R6-SITE2#ping 34.1.1.3 //驗證數據報文的發送，RLOC之間能夠通訊
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 34.1.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/5 ms
R6-SITE2#ping 44.1.1.1 //驗證數據報文的發送，RLOC能夠和MS通訊
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 44.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
接下來咱們須要完成EID的路由實施
RP/0/0/CPU0:XR1-EID#sh run router static 
Wed Nov 23 12:54:56.583 UTC
router static
 address-family ipv4 unicast
  0.0.0.0/0 10.1.0.254
 !
R5：
R5-EID(config)#ip route 0.0.0.0 0.0.0.0 10.2.0.254
R5-EID(config)#

讀者配置完畢，EID之間並不能通訊，由於此時xTR上並無路由到達EID。只有在完成LISP以後才能夠通訊
12.2.2 實施LISP協議
咱們的配置對象主要涉及R三、R4和R6，各個設備的角色已經在圖12-9中代表。

R3-SITE1(config)#router lisp //啓動LISP協議
R3-SITE1(config-router-lisp)# eid-table default instance-id 0 //設置EID表默認的實例ID爲0，在沒有實施VRF的狀況下，實施0便可
R3-SITE1(config-router-lisp-eid-table)# database-mapping 10.1.0.0/24 34.1.1.3 priority 1 weight 100 //設置EID和RLOC的映射關係，優先級值越小則該RLOC的優先級越高，該值的範圍是0到255，該值爲255時代表不能單播轉發，若是存在多個RLOC，且優先級相同則負載均衡。權重值取值範圍爲0到100，該值表明了RLOC如何實現單播報文的負載比例。    
R3-SITE1(config-router-lisp-eid-table)#  exit
R3-SITE1(config-router-lisp)# !
R3-SITE1(config-router-lisp)# ipv4 itr map-resolver 44.1.1.1 //配置ITR的映射解析器爲44.1.1.1
R3-SITE1(config-router-lisp)# ipv4 itr //本設備爲ITR設備
R3-SITE1(config-router-lisp)# ipv4 etr map-server 44.1.1.1 key ender //配置ETR的映射服務器爲44.1.1.1，認證密碼爲ender
R3-SITE1(config-router-lisp)# ipv4 etr //本設備爲ETR設備
R3-SITE1(config-router-lisp)#
！
R6-SITE2(config)#router lisp
R6-SITE2(config-router-lisp)# eid-table default instance-id 0
R6-SITE2(config-router-lisp-eid-table)# database-mapping 10.2.0.0/24 46.1.1.6 priority 1 weight 100       
R6-SITE2(config-router-lisp-eid-table)#  exit
R6-SITE2(config-router-lisp)# !
R6-SITE2(config-router-lisp)# ipv4 itr map-resolver 44.1.1.1
R6-SITE2(config-router-lisp)# ipv4 itr
R6-SITE2(config-router-lisp)# ipv4 etr map-server 44.1.1.1 key ender
R6-SITE2(config-router-lisp)# ipv4 etr
!
配置映射系統：
R4-MS(config)#router lisp
R4-MS(config-router-lisp)# site SITE1 //設置站點，命名爲SITE1
R4-MS(config-router-lisp-site)#  authentication-key ender //設置認證的密碼
R4-MS(config-router-lisp-site)#  eid-prefix 10.1.0.0/24 //設置該站點的EID前綴
R4-MS(config-router-lisp-site)#  exit
R4-MS(config-router-lisp)# !
R4-MS(config-router-lisp)# site SITE2
R4-MS(config-router-lisp-site)#  authentication-key ender
R4-MS(config-router-lisp-site)#  eid-prefix 10.2.0.0/24
R4-MS(config-router-lisp-site)#  exit
R4-MS(config-router-lisp)# !
R4-MS(config-router-lisp)# ipv4 map-server //該設備爲映射服務器
R4-MS(config-router-lisp)# ipv4 map-resolver //該設備爲映射解析器
R4-MS(config-router-lisp)
驗證LISP的實施和狀態
R3-SITE1#show ip lisp 0 
  Instance ID:                      0 //配置的LISP 實例
  Router-lisp ID:                   0
  Locator table:                    default
  EID table:                        default
  Ingress Tunnel Router (ITR):      enabled //該設備爲ITR
  Egress Tunnel Router (ETR):       enabled //該設備爲ETR
  Proxy-ITR Router (PITR):          disabled
  Proxy-ETR Router (PETR):          disabled
  NAT-traversal Router (NAT-RTR):   disabled
  Mobility First-Hop Router:        disabled
  Map Server (MS):                  disabled
  Map Resolver (MR):                disabled
  Delegated Database Tree (DDT):    disabled
  Map-Request source:               3.3.3.3 
  ITR Map-Resolver(s):              44.1.1.1 //映射解析器爲44.1.1.1
  ETR Map-Server(s):                44.1.1.1 (00:00:48) //映射解析器爲44.1.1.1
  xTR-ID:                           0x679FC9FE-0x397B5F24-0x575124BC-0xC3844226
  site-ID:                          unspecified
  ITR Solicit Map Request (SMR):    accept and process
    Max SMRs per map-cache entry:   8 more specifics
    Multiple SMR suppression time:  20 secs
  ETR accept mapping data:          disabled, verify disabled
  ETR map-cache TTL:                1d00h
  Locator Status Algorithms:
    RLOC-probe algorithm:           disabled
    LSB reports:                    process
    IPv4 RLOC minimum mask length:  /0
    IPv6 RLOC minimum mask length:  /0
  Static mappings configured:       0
  Map-cache size/limit:             1/1000
  Imported route count/limit:       0/1000
  Map-cache activity check period:  60 secs
  Total database mapping size:      1
   static database size/limit:      1/5000
   dynamic database size/limit:     0/1000
  Persistent map-cache:             interval 01:00:00
    Earliest next store:            00:08:12
    Location:                       unix:LISP-MapCache-IPv4-00000000-00003
R3-SITE1#show ip lisp database //驗證LISP的數據庫
LISP ETR IPv4 Mapping Database for EID-table default (IID 0), LSBs: 0x1, 1 entries

10.1.0.0/24
  Locator   Pri/Wgt  Source     State
  34.1.1.3    1/100  cfg-addr   site-self, reachable //針對EID10.1.0.0/24的RLOC爲34.1.1.3，狀態爲可達的
R3-SITE1#show ip lisp forwarding eid local //驗證本地轉發EID
Prefix
10.1.0.0/24
R5-EID#ping 10.1.0.1 //此時經過RLOC封裝以後，數據包能夠到達其餘站點的EID 10.1.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.0.1, timeout is 2 seconds:
..!!!
Success rate is 60 percent (3/5), round-trip min/avg/max = 2/2/3 ms
R3-SITE1#show ip lisp map-cache //查看LISP映射緩存信息
LISP IPv4 Mapping Cache for EID-table default (IID 0), 2 entries

0.0.0.0/0, uptime: 01:05:04, expires: never, via static send map-request
  Negative cache entry, action: send-map-request
10.2.0.0/24, uptime: 00:06:46, expires: 23:53:59, via map-reply, complete
  Locator   Uptime    State      Pri/Wgt
  46.1.1.6  00:06:46  up           1/100 //到達遠端的RLOC 46.1.1.6的信息

此時EID之間已經能夠完成通訊。咱們來看一個真實的經過LISP轉發的報文狀況，如圖12-10所示，讀者能夠從中看到UDP報頭，也能夠看到源端口號爲1283，目的端口號爲標準的4341，UDP報文承載了LISP數據（並無看到和標準的LISP同樣的LISP報頭和IP報頭）。

在作好實驗以後，咱們能夠考慮一下LISP的擴展性問題。
可擴展性是衡量一個網絡協議的基本指標之一，一個能處理好10個節點通訊的網絡不必定可以應對100個節點之間的數據交互，這其中增長的難度每每不止是將處理能力提升10倍這麼簡單。LISP在計算數據包的目的路由時須要找到EID與RLOCs的對應關係，因爲EID和RLOCs是兩個獨立的地址空間，它們之間可能沒有任何規律，所以EID和RLOCs之間是一個近似Full Mesh（全網狀）的對應關係，一個LISP網絡的邊緣路由器即XTR須要知道對應每個站點EID的RLOCs是多少，纔可以正確地轉發數據包。隨着LISP網絡的擴張，這張對應關係表變得愈來愈長，當收到新的數據包時，每次查找所用的時間也愈來愈長。當網絡規模達到必定程度時，在一個路由器"肚子"裏裝下整張大網的拓撲關係就顯得不太現實了，傳統的動態路由協議如OSPF、IS-IS利用了IP地址空間的層級關係，將一個網段內的地址合併爲一條路由，配合鏈路狀態值，大大縮減了路由器須要瞭解的路由表長度。但在LISP中，EID和RLOCs之間沒有層級關係，傳統的方法再也不起做用，須要新思路來解決新問題。
LISP給出的答案是LISP-ALT（LISP-Alternative-Topology LISP替代拓撲），它是一個架構在基礎網絡上的虛擬拓撲，專門用來找出EID與RLOCs的對應關係。凡是LISP的ITR和ETR都加入到LISP-ALT中，它們之間造成EBGP（External BGP--外部邊界網關）鄰居關係，全部的BGP（Border Gateway Protocol--邊界網關路由協議）信令都經過GRE協議封裝，這些ITR和ETR就利用BGP交換EID的可達信息。換句話說，LISP節點之間運行封裝的BGP協議，在現有網絡上造成一個疊加的網絡，ITR和ETR經過這個疊加的網絡學習EID和RLOCs的對應關係。在傳統的路由協議中沒有地方可供LISP傳遞EID和RLOCs的對應關係，有了LISP-ALT以後，LISP的節點就有了一個專用渠道交換EID的可達信息。
新的IP包頭和LISP-ALT構成了LISP協議的精髓，正是這兩個要素保證了一個IP數據包可以經過一種徹底不一樣的方式被安全送到目的地。當一個ITR收到一個節點發送過來的數據包後，它首先查看本身的緩存內是否有目的節點的EID-RLOCs對應關係，若是這個關係存在，則ITR爲數據包加上外層包頭，寫入找到的RLOCs並轉發出去，對應的ETR收到IP包後，發現目的RLOCs正好是本身，因而去掉外層包頭，將原始數據包送給目的站點。
在LISP網絡內能夠配置一組專門用於路由查詢的路由器。若是ITR在緩存內找不到目的EID與RLOCs的對應關係，則會在外層包頭裏寫入目的站點的EID，而後經過LISP- ALT發送給一個指定的LISP路由器，這個路由器被受權完成EID-RLOCs的對應工做，保存有比較完整的EID-RLOCs信息。當指定的路由器收到這個數據包後，發現外層包頭和內層包頭都是一樣的EID，因而它判斷出這是一個查詢報文，因而，它首先將數據包去除外層包頭並送往目的站點，而後向ITR發送一條應答報文，說明目的EID和RLOCs的對應關係，ITR收到這條報文以後會將這個EID-RLOCs關係緩存下來，接下來收到的IP包就能夠直接發送給對應的ETR了。
經過這樣一個過程，在LISP網絡中只須要設置幾個指定的路由器保存比較完整的EID-RLOCs關係，其餘ITR和ETR只須要保存經常使用的對應關係；若是碰到不認識的EID，只須要向指定的路由器發起查詢便可.