226-MPLS Parte 3

Legacy VPNs (2)
MPLS/VPN
Multiprotocol Label Switching/Virtual Private Networks
Surgen las primeras VPNs sobre tecnologas de circuitos: X.25, Frame-Relay, ATM Surgen dos paradigmas:
VPNs OVERLAY: emulacin de lnea dedicada, frecuentemente a travs de un VC (Virtual Circuit), basadas en PVCs o SVCs. Transparencia entre el Service Provider y la red del cliente. Protocolos orientados a conexin para brindar servicios connectionless VPNs Peer-to-Peer: surgen como alternativa para solucionar varios de los problemas de las redes OVERLAY
Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.
Qu es una VPN?
Una estructura de red que permite traficar informacin privada sobre una infraestructura de red pblica El concepto de VPN no es nuevo VPNs basadas en MPLS: diseadas para resolver muchos de los problemas de las que hoy llamaramos legacy VPNs VPNs: uno de los motores para el despliegue de MPLS
VPNs OVERLAY (1)

Service Provider CE 1 Switch Frame-Relay CE 3 VC#1 Switch Frame-Relay
Switch Frame-Relay VC#2
CE 2
Legacy VPNs (1)

Evolucin:
Dial-up lines Enlaces dedicados (enlaces privados con la TELCO o Proveedor de servicios)
VPNs OVERLAY (2)

El Proveedor de Servicios desconoce la estructura interna de red del cliente Ruteo en una VPN del tipo overlay: para el cliente el Proveedor de Servicios es transparente
CE 1
Ventajas:
Buena seguridad
Desventajas:
Mala relacin costo-eficiencia Uso ineficiente de ancho de banda
CE 3
Alternativas: esquemas que permitan multiplexado estadstico. Ms baratos y eficientes en el uso del ancho de banda
CE 2
VPNs OVERLAY (3)

Ventajas:
Simples. Presentan clara separacin entre entre el Service Provider y el cliente Protocolos utilizados no dependen del soporte del proveedor
VPNs Peer-to-Peer (3)

Desventajas:
Un nico espacio de direccionamiento IP, es decir no se pueden duplicar IPs (RFC 1918). El proveedor debe tener un plan de numeracin IP para las VPN de los clientes Las ventajas de seguridad y aislacin que aparecan en las lineas dedicadas o el modelo overlay ahora no aparecen Puede estar limitada la eleccin de protocolos ruteados
Desventajas:
Optimizacin del routing exige full mesh Escalabilidad Complica agregar nuevos sitios a la red VPNs de Layer 2 introducen complejidad adicional y exigen al Service Provider mayores costos operacionales y de administracin
Solucin: VPNs basadas en MPLS

Combina los beneficios y sencillez de las redes Peer-toPeer con las garantas de las redes overlay No exige un nico espacio de direccionamiento IP Veremos las basadas en RFC 2547bis
Alternativas overlay: tneles IP-IP como GRE o IPSec


En este modelo el PE es un router que intercambia informacin de ruteo directamente con el CE Ventajas:
Ahora cada CE intercambia informacin de routing con un nico (o unos pocos) PE Cada PE solo debe conocer informacin de las VPNs conectadas Ruteo ptimo entre CE Ms sencillo de dimensionar en ancho de banda Se hace fcil agregar nuevos sitios a la VPN
Clasificacin de VPNs
Virtual Networks VPNs Virtual Dial-up Networks Peer-to-Peer VPN Layer 3 VPN ATM GRE Legacy p2p MPLS/VPN VLANs
Overlay VPN Layer 2 VPN X.25 Frame-Relay
IPSec

Service Provider CE 1 CE 3 Informacin de ruteo PE Informacin de ruteo Informacin de ruteo Informacin de ruteo PE VPN_A
Ejemplo de SP y sus clientes (1)

VPN_A 10.2.0.0 C-network Sitio_1
Al PE no le importa la estructura interna de C

P
VPN_A CE4
CE1 PE PE
11.5.0.0
10.1.0.0 CE2 CE5 VPN_A
10.3.0.0 PE
Informacin de ruteo
CE 2
Modelo P2P:
VPN_A 11.6.0.0 CE3
Problema: Overlapping de direcciones IPs entre las VPNs
CE2 10.3.0.0
VPN_B
10.1.0.0 CE1
VPN_B
Ejemplo de SP y sus clientes (2)

Paliativos:
Renumeracin Tuneles IP-IP NAT
Terminologa MPLS-VPN (2)

Sitio:
Conjunto de redes parte de una C-network. Un Sitio de una VPN se conecta al backbone a travs de uno o ms links CE/PE
Alternativa ms realista:
VRF: VPN Routing and Forwarding Tables: Cada VPN tendr su propia tabla de ruteo y de forwarding Cada cliente perteneciente a una VPN tendr acceso slo al conjunto de rutas contenidas en esas tablas Cada PE en el esquema MPLS/VPN tendr una tabla de ruteo por VPN, ms la tabla global para alcanzar otros routers de la red del provider Las IPs deben ser nicas por VPN. Hay excepciones!!!
Router P:
Provider (core) router. Los equipos P desconocen completamente la existencia de las VPNs. Simplemente switchean etiquetas en el core MPLS
Problemas a resolver
VRF (virtual routing and forwarding)

Cada enrutador PE debe ser capaz de mantener una tabla de rutas PARA CADA CLIENTE A estas tablas se les llama VRF Por lo tanto, cada router PE tendr tantas tablas de rutas como clientes, ms una tabla global Cada VRF onsiste en una tabla de ruteo, su correspondiente tabla de forwarding y un conjunto de interfases que usan dicha tabla de forwarding
2 problemas a resolver: Mantener (y propagar) informacin de ruteo separada para cada VPN Mantener los paquetes dentro de cada VPN
Terminologa MPLS-VPN (1)

Provider Network (P-Network):
Backbone bajo control del Service Provider
Modelo de conexin MPLS/VPN (1)

Una VPN es una coleccin de Sitios que comparten informacin comn de ruteo. Una VPN debe verse como una comunidad o grupo cerrado de usuarios Un Sitio puede pertenecer a ms de una VPN Cada Sitio estar asociado a una VRF
Customer Network (C-Network):

Red bajo control del cliente
Router PE:
Provider Edge router. Parte de la P-Network. Equipo que se conecta a los routers CE. Todo lo referente a VPNs se procesa en los PE
Router CE:
Customer Edge router. Parte de la C-network. Equipo que conecta el cliente a los routers PE. No precisa conocer MPLS
Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica. Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

VPN-A VPN-B VPN-D
Sitio-1 Sitio-4 Sitio-1

El backbone est compuesto por MPLS LSRs. PEs y Ps corren algn IGP Existe uno o varios IGPs corriendo entre los PEs y los Ces (IP clsico) Los routers PE conectan a los CEs y le distribuyen la informacin de las VPNs a otros PEs travs de MP-BGP Surgen las direcciones VPN-IPv4 y el Extended Community attribute de BGP Los routers P no precisan correr BGP y no conocen de la existencia de las VPNs!! VPNs!!
Sitio-2
Sitio-3
Sitio-2
VPN-C
Intranets, Extranets => puede haber ms de una VRF por VPN. No est atado el concepto de VRF al de VPN Si dos o ms VPNs tienen un sitio en comn, el espacio de direccionamiento S debe ser nico para esas VPNs !!
Interconexin de sitios

VPN_A VPN_A 10.2.0.0 CE 11.5.0.0
Si tuvieramos todos los puntos del cliente conectados al mismo router PE, el problema estara resuelto
No escala
CE
Sesiones iBGP
VPN_B 10.2.0.0 CE VPN_A 11.6.0.0 CE P PE 10.1.0.0 CE VPN_B VPN_B P PE CE 10.3.0.0 PE PE P P 10.1.0.0 CE VPN_A
Distribucin de informacin de ruteo: BGP Separacin de trfico: MPLS


VPN_A 10.2.0.0 C-network Sitio_Central_A CE VPN_A CE4 11.5.0.0 CE 10.1.0.0 CE2 10.3.0.0 VPN_A VPN_C VPN_A 11.6.0.0 CE3 VoIP Gateway VoIP Gateway VPN_B Sitio_Central_B CE2 10.3.0.0 CE5
Ruteo hacia el cliente

Sitio-1
CE1 PE VPN_A
La clave para importar/exportar rutas es la VRF

P PE
PE
EBGP,OSPF, RIPv2,Static
Sitio-2
PE y CE intercambian informacin de ruteo a travs de ruteo clsico:

EBGP, OSPF, RIPv2, rutas estticas
10.1.0.0 CE1
VPN_B
PSTN
CE no sabe que hace trnsito en una red MPLS para alcanzar otros CEs
Separacin de VPNs: Stack de etiquetas
MPLS Forwarding (3)

P routers switchean basados en la IGP label
Para el forwarding, 2 etiquetas MPLS La etiqueta externa nos lleva de un PE a otro La etiqueta interna separa las VPNs IGP Label se obtiene por el protocolo de ruteo interior (p. ej. OSPF + LDP) VPN Label por MP-BGP
Outer Label
CE1
IGP Label VPN Label IP Header

IP packet
PE1
IGP Label(PE2) VPN Label
Penultimate Hop Popping P2 es el penultimate hop para el BGP nexthop P2 quita la top label Esto lo solicita PE2 via LDP
PE2 recibe paquetes con la label correspondiente a la interfase de salida (VRF) Un nico lookup POP de la Label. Paquete IP enviado al CE
CE2
IP packet PE1 recibe paquete IP Bsqueda en la VRF Se halla ruta BGP con Next-Hop y Label. BGP next-hop (PE2) es alcanzable por una ruta IGP asociada con la label
IP packet
P1
IGP Label(PE2) VPN Label
P2
VPN Label
IP packet
IP packet
PE2
CE3
MPLS Forwarding (1)

Los routers PE y P deben tener etiquetas (aprendidas por LDP) correspondientes a los dems routers PE
estrictamente, a la IP del peer BGP
Distribucin de etiquetas y rutas de VPN

Se distribuyen mediante extensiones a BGP (Multiprotocol BGP) Todos los PE deben estar interconectados por iBGP Se pueden utilizar las tcnicas que vimos para escalar BGP (route reflectors, confederaciones)
Stack de etiquetas: usado para forwardear paquetes

Top label: indica el BGP Next-Hop (label exterior) Segundo nivel de label: indica a que VPN/CE se le debe forwardear el paquete (label interior)
MPLS Forwarding (2)

Nodos MPLS (P) hacen el forwarding basados en la top label El enrutador PE de egreso har el POP de la top label, o el penltimo si se pidi PHP va LDP El router PE de egreso forwardear el paquete basado en la segunda etiqueta, la cual indica la interfase de salida y por ende la VPN
Unicidad de las direcciones

BGP siempre anuncia una ruta por destino Qu pasa si dos clientes usan la misma red? BGP anunciar slo una ruta: PROBLEMA !!! Se define un nuevo espacio de direcciones, VPNv4, a partir de un atributo RD:
IPv4 (32 bits)
RD : Route distinguisher (64 bits)
rd se configura para cada VRF en cada PE rd:IP es nico

Atributos usados en BGP para las VPNs

Extended Community:
Atributo BGP, similar a las comunidades, de 64 bits. Usado para identificar el Route-Origin y Route-Target
Agenda:
Introduccin Protocolos Soportados Ejemplo de Tunelizacin: Ethernet Ejemplo de Servicio: VPLS
Route-Origin:
64 bits que identifican los routers donde la ruta se origin
Route-Target:
64 bits que identifican los routers que deben recibir la ruta. Es el color de la ruta
En definitiva: importacin/exportacin de rutas

P PE-1
VPN Backbone IGP
VPNs capa 2: Introduccin

Permite a Proveedores que ofrecen servicios de Capa 2 seguir ofrecindolos sobre un backbone MPLS Consiste bsicamente en una tunelizacin sobre una red MPLS Es la forma de dar una solucin integrada de todos los servicios no ip sobre MPLS Cisco lo llama Any Transport over MPLS Hay alternativas que no utilizan MPLS
VPN-IPv4 update es traducido a IPv4 (Net1). Puesta en la VRF Verde ya que RT=Verde y anunciada a CE-2
PE-2 CE-2
Site-2
P CE-1
Sitio-1
PE-1 recibe de CE-1 un anuncio para Net1,NextHop=CE-1
VPN-IPv4 update: RD:Net1, Next-hop=PE-1 RO=Sitio1, RT=Verde, Label=(intCE1)
PE recibe rutas IPv4 (EBGP, RIPv2, Static), las agrega en la VRF, los traduce a VPN-IPv4, asigna el RO y RT basado en la configuracin, altera el next-hop, asigna un label basado en la VRF y enva un MP-iBGP update a todos sus PE vecinos
L2VPN
VPNs Capa 2
Permite integrar los servicios de L2 con las ventajas de MPLS: TE, QoS. Proceso estndar abierto en el IETF Varios grupos de trabajo Encapsulacin: Pseudo Wire Emulation Edge to Edge (pwe3) Sealizacin: varios
Pseudo cables
En General se utiliza un stack de etiquetas adecuado para mantener multiplexacin y jerarqua de direccionamiento Pueden utilizarse otros transportes para los tneles
Por ejemplo, L2TPv3, tneles sobre IP ....
Ejemplo: Pseudo Cable Ethernet

LSP con stack de etiquetas de profundidad 2:
PSN: Etiqueta del LSP negociada por LDP estndar. PW: identificador del servicio negociada por LDP con un nuevo tipo de FEC
Sealizacin, se da a dos niveles:

Sealizacin en MPLS para la formacin de los LSPs. Se ha adoptado una extensin de LDP (basada en los drafts de Martini), hay propuestas para utilizar BGP-MP (Kompella drafts), Tunelizacin de la sealizacin de los protocolos a transportar
La red MPLS (equipos P) slo ven el pedido del tnel PSN

L2VPN
DLCI FR o VCC/VPC ATM LSP DLCI FR o VCC/VPC ATM
Pseudo Cable Ethernet:
CORE MPLS
L2VPN
Protocolos Soportados:
Ethernet over MPLS ATM AAL5 over MPLS Frame Relay over MPLS ATM Cell Relay over MPLS PPP over MPLS HDLC over MPLS
Pseudo Cable Ethernet:
Definicin FEC-PW
VPLS: Virtual Private LAN Service

Consiste en Emular una LAN sobre un dominio MPLS Problema similar al resuelto por LANE o RFC 1483 Utiliza PW Ethernet sobre MPLS El principal problema a resolver es la traslacin MAC destino <-> PE destino
VPLS:
Accesos Ethernet VPLS A VPLS A VPLS B PE Red IP/MPLS de Proveedor Bridge Lgico PE Ej: AT M /DSL, FR PE
R ed de A cceso
VPLS A
VPLS B

226-MPLS Parte 3

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

226-MPLS Parte 3

Uploaded by

Copyright:

Available Formats

Legacy VPNs (2)

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

VPNs OVERLAY (1)

Switch Frame-Relay VC#2

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

Legacy VPNs (1)

VPNs OVERLAY (2)

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

VPNs OVERLAY (3)

VPNs Peer-to-Peer (3)

Solucin: VPNs basadas en MPLS

Alternativas overlay: tneles IP-IP como GRE o IPSec

VPNs Peer-to-Peer (1)

Overlay VPN Layer 2 VPN X.25 Frame-Relay

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

VPNs Peer-to-Peer (2)

Ejemplo de SP y sus clientes (1)

Al PE no le importa la estructura interna de C

10.1.0.0 CE2 CE5 VPN_A

Problema: Overlapping de direcciones IPs entre las VPNs

Ejemplo de SP y sus clientes (2)

Terminologa MPLS-VPN (2)

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

VRF (virtual routing and forwarding)

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

Terminologa MPLS-VPN (1)

Modelo de conexin MPLS/VPN (1)

Customer Network (C-Network):

Modelo de conexin MPLS/VPN (2)

Modelo de conexin MPLS/VPN (4)

Modelo de conexin MPLS/VPN (5)

Distribucin de informacin de ruteo: BGP Separacin de trfico: MPLS

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

Modelo de conexin MPLS/VPN (3)

Ruteo hacia el cliente

La clave para importar/exportar rutas es la VRF

PE y CE intercambian informacin de ruteo a travs de ruteo clsico:

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

Separacin de VPNs: Stack de etiquetas

MPLS Forwarding (3)

IGP Label VPN Label IP Header

IGP Label(PE2) VPN Label

IGP Label(PE2) VPN Label

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

MPLS Forwarding (1)

Distribucin de etiquetas y rutas de VPN

Stack de etiquetas: usado para forwardear paquetes

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

MPLS Forwarding (2)

Unicidad de las direcciones

RD : Route distinguisher (64 bits)

rd se configura para cada VRF en cada PE rd:IP es nico

Atributos usados en BGP para las VPNs

Introduccin Protocolos Soportados Ejemplo de Tunelizacin: Ethernet Ejemplo de Servicio: VPLS

En definitiva: importacin/exportacin de rutas

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

Modelo de conexin MPLS/VPN (9)

VPNs capa 2: Introduccin

PE-1 recibe de CE-1 un anuncio para Net1,NextHop=CE-1

VPN-IPv4 update: RD:Net1, Next-hop=PE-1 RO=Sitio1, RT=Verde, Label=(intCE1)

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.