Network Education
КаталогГлоссарийПрогресс
MPLS
  1. 1Структура курса и MPLS основы
  2. 2Метки MPLS и механизм propagation
  3. 3Конфигурация LDP в MPLS
  4. 4Фильтрация меток MPLS LDP
  5. 5MPLS LDP IGP Sync
  6. 6Аутентификация MPLS LDP
  7. 7Передача меток через BGP
  8. 8Компоненты MPLS L3 VPN
  9. 9Настройка MPLS L3 VPN: часть 1
  10. 10Настройка MPLS L3 VPN: часть 2
  11. 11PE-CE OSPF в L3 VPN: часть 1
  12. 12PE-CE OSPF в L3 VPN: часть 2
  13. 13PE-CE OSPF в L3 VPN: часть 3
  14. 14PE-CE OSPF в L3 VPN: часть 4
  15. 15PE-CE BGP в L3 VPN
  16. 16PE-CE EIGRP в L3 VPN
  17. 17MPLS Inter-AS L3 VPN Option A: часть 1
  18. 18MPLS Inter-AS L3 VPN Option A: часть 2
  19. 19MPLS Inter-AS L3 VPN Option A: часть 3
  20. 20MPLS Inter-AS L3 VPN Option B: часть 1
  21. 21MPLS Inter-AS L3 VPN Option B: часть 2
  22. 22MPLS Inter-AS L3 VPN Option C: часть 1
  23. 23MPLS Inter-AS L3 VPN Option C: часть 2
  24. 24MPLS Traffic Engineering: часть 1
  25. 25MPLS Traffic Engineering: часть 2
Каталог/Экспертный уровень: BGP и MPLS/MPLS/Аутентификация MPLS LDP

Аутентификация MPLS LDP

6Урок 6 из 25

О чём этот урок

Аутентификация LDP-сессий: настройка паролей, режимы безопасности и таймеры протокола.

Ключевые выводы

  • Аутентификация LDP реализуется средствами TCP MD5 и не является частью самого протокола LDP.
  • При добавлении пароля на одной стороне сессия не падает немедленно — необходимо выполнить реинициализацию LDP-сессии.
  • Режим mpls ldp password required запрещает установление сессий без пароля — без настроенного пароля на обеих сторонах сессия не поднимется.
  • Стандартные таймеры LDP: Hello time — 5 секунд, Hold time — 15 секунд.
  • Функция fallback-пароля позволяет задать пароль по умолчанию для соседей, у которых не указан индивидуальный пароль.

Проверьте себя

Вопрос 1 из 5

Что происходит при добавлении пароля аутентификации только на одной стороне LDP-сессии?

Вопрос 2 из 5

Каковы стандартные таймеры LDP (Link Hello)?

Вопрос 3 из 5

Что делает режим mpls ldp password required?

Вопрос 4 из 5

Какой механизм обеспечивает аутентификацию LDP-сессий?

Вопрос 5 из 5

Для чего используется функция fallback-пароля в LDP?

🔗Связанные уроки

⏩Продолжение темы

Конфигурация LDP в MPLSMPLS
→

ldp-authentication — расширение темы LDP: добавляет MD5-аутентификацию к базовой настройке LDP-сессий

MPLS LDP IGP SyncПередача меток через BGP

Транскрипция

Окей. Из следующих фич, чем я хотел рассказать, это LDP-алтентификация. Единственное, я прямо уж не буду сильно останавливаться на этой теме, поскольку не так часто включают, особенно если вы будете настраиваться MPLS-энтерпрайзе. У вас есть команда MPLS-LDP-нейбор, например, 150-555, и вы здесь можете задать ему паспорт. Можете ему задать паспорт Cisco R1-R5, например. Cisco R1-R5. Обратите внимание, что я задал пароль на маршрутизатор R1 в сторону маршрутизатора R5, при этом моя сессия не дропается.

Почему? Я на самом деле говорил вам на прошлом занятии, что аутентификация – это просто один из… По сути, к самому LDP отношения никакого не имеет. Аутентификация используется посредством CCP протокола. Соответственно, если у вас LDP-сессия уже установлена, то для того, чтобы эти пароли заработали, вам нужно эту сессию реинициализировать. А у меня сразу вопрос. Ты сказал на прошлом занятии, что у тебя был случай, когда ты включил аутентификацию в LDP через ASU, и с этим были проблемы. Потому что мы ASU подключали, там линк флапнул, но новая сессия уже не установилась. Это как минимум означает, что кто-то использует эту фичу. Знаешь ли ты, зачем вообще говоря, использовать аутентификацию для MPLS LDP?

Да, нет, на самом деле, я как бы не могу придумать какого-то жизненного важной необходимости. Так, то есть только на безопасность совсем помешаю. Может быть, это нужно для некоторых аудитов. Вероятно. Ну, соответственно, видите, то есть на MRSA 3.1 вы сразу видите no-mdp5-digits. Соответственно, давайте просто сконфигурируем этот пароль. MPLS LDP neighbor 150111 пассворд CISK R1. А, по идее, сейчас все должно будет подняться. LDP neighbor. Соответственно, для верификации show MPLS LDP neighbor 15055 молодок. Наверное, нам нужно будет

выкладка detail. Detail, пассворд, not required. Обратите внимание, ребят, очень интересная запись. Password not required, but in use. То есть, дело в том, что у LDP есть различные варианты установления, скажем так, настройки аутентификации. Я их сам на память уже все не помню. Но суть в том, что, условно говоря, вы можете настроить, условно говоря, пароль на некую группу, да, на некую группу. И, например, использовать этот пароль только, условно говоря, если он настроен с двух сторон. Например, если пароль не настроен с двух сторон, да, сессия может с ним подняться. Если можно выставить этот параметр в required, в required, то есть, в том, что если вы пароль для этой сессии не зададите, то сессия сама по себе не поднимется.

То есть, not required просто говорит нам о том, что эту сессию можно поднять как с паролем, так и без пароля. А я бы еще хотел обратить внимание на таймеры, которые тут можно увидеть, как раз 5000 миллисекунд hello time и 15000 миллисекунд hold time. Очень характерные цисковские таймеры, нет, чуть выше. Да, очень характерные цисковские таймеры, которые хорошо подчеркивают природу протокола LDP, потому что когда-то в деличестве это был другой протокол, который назывался TDP, Tag Distribution Protocol, и он был фирменный цисковский. Потом просто его немножечко допилили на пикник, а мы сделали стандартно. Да, все это растет из TDP, конечно. У меня, в принципе, в принципе, так, шаринг экрана не пропал, нет? Пропал. Сорян, я случайно не твантыкнул. Тесты, но

есть у меня примеры конфигурации через пергруппы. Я, к сожалению, вам честно скажу, на памяти их не помню. Да, и не нужно их помнить. Но, если в том, что, условно говоря, можно сказать, что использовать один пароль, скажем, не на конкретного нейбора, а прямо на группу нейбора. Я вам просто покажу, покажу пару выводов. Я уже не буду себя в лабе это показывать, поскольку принципиально оно ничего не меняет. Может быть, только немножко усложнить конфигурацию некоторых случаев. Так, это, наверное, должно быть все распроводить. Multiple certification. Суть в том, что, видите, некоторый пароль на некоторый пароль

можно применить на целую группу мусортизаторов. То есть, в данном случае 333, 444, 466, это есть не что иное, просто как LDP router ID с мусортизаторов R3, R4, R6. И мы ко всем к этому аксесс-листу привязываем вот такой пароль. Честно говоря, я не знаю других примеров, когда аксесс-листом можно было бы обрабатывать не IP-адреса, а просто какие-то произвольные числа, потому что router ID это, по сути, число, а не IP-адрес. Собственно говоря, такую конструкцию в принципе сделать можно. Если кому-то хочется, видите, есть команда MPLS LDP password required, то есть, обратите внимание, что, если я, например, ее введу, скажем, на мусортизаторе R5, LDP is down, то есть, видите, у меня падает сессия с мусортизатором R3, да, и видите,

MD5 protection is required for pair. То есть, и в том, что у меня эта сессия никогда не поднимется до тех пор, пока пароль не будет явно сконфигурирован. Надеюсь, с этим появилась некоторая ясность. Скажите, можем ли мы идти дальше? Ну, в принципе, авторизатор, аутентификация LDP функция, ну, может быть, конечно, и полезная в сценарии, если у вас есть требования по аудиту, но сказать, что прямо повсеместно используется эта фича, мне кажется, нельзя. Ну, согласен, да, согласен. Игорь 까ck, это Vistaresser, в finds Goodness, это Evangelмат Supervisor, который Spl UWC 광 Plaza, в том числе,

это не может быть тот сув thereafter, который в том числе и в т washes it может быть друг MYC К

Network Education

Бесплатная онлайн-академия сетевых технологий. Видеоуроки, транскрипции и структурированные треки обучения — от основ до продвинутого уровня.

ТрекиКаталогО проекте
© 2026 Network Education