评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
如何为LDP开放安全策略
LDP即Label Distribution Protocol,是MPLS体系中广泛使用的标签发布协议。LSR之间通过LDP会话交换标签映射、释放等消息。LDP会话建立的完整过程包括发现、TCP三次握手、会话建立、消息交换等环节。
其中,LDP发现阶段使用UDP报文发送Hello消息,目的端口是646。LDP发现机制有两种:
表8-9 LDP发现机制对比
发现机制 |
适用场景 |
消息 |
目的地址 |
目的端口 |
主动方 |
|---|---|---|---|---|---|
Basic Discovery |
发现链路上直连的LSR |
Link Hello |
224.0.0.2(组播) |
UDP: 646 |
双向,对称 |
Extended Discovery |
发现链路上的非直连LSR |
Targeted Hello |
指定的对端IP地址(单播) |
UDP: 646 |
主动方发起,非对称 |
此后,主动方发起TCP连接请求,建立TCP连接、LDP会话,交换消息等等,均使用TCP单播报文,目的端口也是646。在基础发现机制下,主动方是传输地址比较大的一方;在扩展发现机制下,主动方由用户指定。本文档以防火墙作为主动方为例。
表8-10 安全策略示例-LDP
序号 |
名称 |
源安全区域 |
目的安全区域 |
源地址/地区 |
目的地址/地区 |
服务 |
动作 |
|---|---|---|---|---|---|---|---|
101 |
Allow ldp basic discovery |
local |
untrust |
10.1.1.10/24 |
10.1.1.1/24 |
ldp-tcp (TCP: 646) |
permit |
102 |
Allow ldp extended discovery |
local |
untrust |
10.1.1.10/24 |
10.1.2.1/24 |
ldp-tcp (TCP: 646) ldp-udp (UDP: 646) |
permit |
如果不确定哪一方是主动方,可以先配置双向安全策略(参照上表,补充反向安全策略),然后查看策略命中统计,删除持续无命中的安全策略。
