221 MPLS VPN

MPLS/VPN
Multiprotocol Label Switching/Virtual Private Networks
Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.
Qu es una VPN?
En general, una estructura de red que permite traficar informacin privada sobre una infraestructura de red pblica El concepto de VPN no es nuevo VPNs basadas en MPLS: diseadas para resolver muchos de los problemas de las que hoy llamaramos legacy VPNs VPNs: uno de los motores para el despliegue de MPLS
Evolucin de las VPNs (1)

Inicialmente:
Lneas Dial-up Enlaces dedicados (enlaces privados con la TELCO o Proveedor de servicios)
Ventajas:
Buena seguridad
Desventajas:
Mala relacin costo-eficiencia Uso ineficiente de ancho de banda
Alternativas: esquemas que permitan al proveedor realizar multiplexado estadstico. Ms baratos y eficientes
Evolucin de las VPNs (2)

Redes sobre tecnologas de circuitos virtuales: X.25, Frame-Relay, ATM Surgen dos paradigmas:
VPNs OVERLAY: emulacin de lnea dedicada, a travs de un VC (Circuito Virtual)
Tengo dos topologas, la que ve el proveedor (circuitos FR por ejemplo), y la que ve el cliente (por ejemplo IP)
VPNs Peer-to-Peer: intento de solucionar algunos problemas de las redes Overlay

VPNs OVERLAY (1)

Service Provider CE 1 Switch Frame-Relay CE 3 VC#1 Switch Frame-Relay
Switch Frame-Relay VC#2
CE 2
CE: enrutador del cliente

VPNs OVERLAY (2)

El Proveedor de Servicios desconoce la estructura interna de red del cliente Ruteo en una VPN del tipo overlay: lo resuelve el cliente, es transparente para el Proveedor
CE 1
CE 3
CE 2
VPNs OVERLAY (3)

Ventajas:
Simples. Presentan clara separacin entre entre el Proveedor y el cliente Protocolos utilizados no dependen del soporte del proveedor
Desventajas:
Optimizacin del enrutamiento exige full mesh Escalabilidad Complica agregar nuevos sitios a la red Mayores costos y complejidad para el proveedor
Alternativas overlay: tneles IP-IP como GRE o IPSec

VPNs Peer-to-Peer (1)

En este modelo la red del proveedor intercambia informacin de ruteo directamente con los enrutadores del cliente Ventajas:
Ahora cada CE (enrutador del cliente) intercambia informacin con un nico (o unos pocos) PE (enrutador del proveedor) Cada PE solo debe conocer informacin de las VPNs que tiene conectadas Ruteo ptimo entre CE Ms sencillo de dimensionar en ancho de banda Se hace fcil agregar nuevos sitios a la VPN

Service Provider CE 1 CE 3 Informacin de ruteo PE Informacin de ruteo Informacin de ruteo PE Informacin de ruteo PE
Informacin de ruteo
CE 2

Desventajas de las primeras VPNs Peer to peer:
Un nico espacio de direccionamiento IP, es decir no se pueden duplicar IPs (RFC 1918). El proveedor debe tener un plan de numeracin IP para las VPN de los clientes
Perdemos la seguridad y aislacin que apareca en las lineas dedicadas y el modelo overlay Puede estar limitada la eleccin de protocolos enrutados
Solucin: VPNs basadas en MPLS

Combina los beneficios y sencillez de las redes Peer-toPeer con las garantas de las redes overlay No exige un nico espacio de direccionamiento IP
Clasificacin de VPNs
Virtual Networks VPNs Virtual Dial-up Networks Peer-to-Peer VPN Layer 3 VPN ATM GRE Legacy p2p MPLS/VPN VLANs
Overlay VPN Layer 2 VPN X.25 Frame-Relay
IPSec
Ejemplo de SP y sus clientes (1)

VPN_A 10.2.0.0 C-network Sitio_1
Al PE no le importa la estructura interna de C

P
VPN_A CE4
CE1 PE VPN_A CE2 10.3.0.0 PE
11.5.0.0
10.1.0.0 CE5 VPN_A
Modelo P2P:
VPN_A 11.6.0.0 CE3
Problema: Overlapping de direcciones IPs entre las VPNs
CE2 10.3.0.0
VPN_B
10.1.0.0 CE1
VPN_B
Ejemplo de SP y sus clientes (2)

Problemas de las primeras VPNs overlay:
No puedo tener dos clientes que utilicen las mismas direcciones Tengo que impedir que equipos de una VPN puedan enviar paquetes a otras VPNs Tengo que impedir que una VPN conozca rutas de otras VPNs
Estos problemas hicieron que no se popularizaran, para el cliente obligaban a renumerar, para el proveedor implicaba configuraciones complejas
2 problemas a resolver
Mantener (y propagar) informacin de ruteo separada para cada VPN Mantener los paquetes dentro de cada VPN Ambas de forma escalable y sin configuraciones complejas para el proveedor
Solucin con MPLS y BGP

Describiremos la solucin de la RFC 2547 Bis Esta solucin es exclusivamente para IP Tendremos tablas de enrutamiento independientes para cada VPN
Cada cliente perteneciente a una VPN tendr acceso slo al conjunto de rutas contenidas en esas tablas La informacin de estas tablas se propagar utilizando extensiones a BGP
Utilizaremos etiquetas MPLS para separar el trfico de las distintas VPNs

Terminologa MPLS-VPN (1)

Provider Network (P-Network):
Red del proveedor
Customer Network (C-Network):

Red bajo control del cliente
Enrutador PE:
Provider Edge router. Enrutador de borde del proveedor. Equipo del proveedor que tiene clientes conectados. Procesan todo lo referente a VPNs
Enrutador P:
Provider (core) router. Enrutador interno (sin clientes conectados), no conocen las VPNs
Terminologa MPLS-VPN (2)

Enrutador CE:
Customer Edge router. Equipo que conecta el cliente a los routers PE. No precisa conocer MPLS
Sitio:
Conjunto de redes de un cliente que se conecta a la red del proveedor a travs de uno o ms links CE/PE
Ejemplo
VPN_A Sitio 2 VPN_A Sitio 1 CE2 10.3.0.0 PE P PE CE4 11.5.0.0
10.1.0.0 CE5 CE1 P Network VPN_A Sitio 3
VRF (virtual routing and forwarding)

Cada enrutador PE debe ser capaz de mantener una tabla de rutas PARA CADA CLIENTE A estas tablas se les llama VRF(VPN Routing and Forwarding o Virtual Routing and Forwarding) Por lo tanto, cada enrutador PE tendr tantas tablas de rutas como clientes, ms una tabla global Cada VRF consiste en una tabla de ruteo, su correspondiente tabla de forwarding y un conjunto de interfases que usan dicha tabla de forwarding
Ejemplo
VPN_A 10.2.0.0 C-network
CE1
VRF A 10.1.0.0/16 - link 5 10.2.0.0/16 - link 1 10.3.0.0/16 - link 2 ...........

PE
VPN_A CE4 11.5.0.0
link 1 VPN_A CE2 10.3.0.0 link 2 10.1.0.0 CE5 VPN_A link 3 VPN_B
10.1.0.0 CE1
VRF B 10.1.0.0/16 - link 3 10.3.0.0/16 - link 4 ...........
CE2 10.3.0.0
VPN_B
Ruteo hacia el cliente

CE
Sitio-1
PE
EBGP,OSPF, RIPv2,Static
CE
Sitio-2
PE y CE intercambian informacin de ruteo a travs de ruteo clsico:

EBGP, OSPF, RIPv2, rutas estticas
CE no sabe que hace trnsito en una red MPLS para alcanzar otros CEs
Interconexin de sitios
Si tuvieramos todos los puntos del cliente conectados al mismo router PE, el problema estara resuelto
No escala
Distribucin de informacin de ruteo: BGP Separacin de trfico: MPLS

Modelo de conexin MPLS/VPN (1)

Una VPN es una coleccin de Sitios que comparten informacin comn de ruteo. Una VPN debe verse como una comunidad o grupo cerrado de usuarios Un Sitio puede pertenecer a ms de una VPN Cada Sitio estar asociado a una VRF

VPN-A VPN-B VPN-D
Sitio-1 Sitio-4 Sitio-1
Sitio-2
Sitio-3
Sitio-2
VPN-C
Por ejemplo, dos empresas que tienen cada una su VPN, pero desean interconectar algn recurso comn, pueden hacerlo Si dos o ms VPNs tienen un sitio en comn, el espacio de direccionamiento S debe ser nico para esas VPNs !!

VPN_A 10.2.0.0 C-network Sitio_Central_A
BGP: Intercambio de informacin de VRFs

CE1 PE P PE
VPN_A CE4 11.5.0.0
VPN_A CE2 10.3.0.0
10.1.0.0 CE5 VPN_A VPN_C
VPN_A 11.6.0.0 CE3 VoIP Gateway VoIP Gateway
CE2 10.3.0.0
VPN_B Sitio_Central_B
10.1.0.0 CE1
VPN_B
PSTN
Funcionamiento de MPLS/VPN
La red del proveedor debe estar corriendo MPLS entre sus nodos, con algn mtodo de propagacin de etiquetas (ej. LDP)
Como lo que hemos visto hasta ahora
Tendremos algn protocolo de ruteo interno para intercambiar rutas IP entre los nodos de esta red, de forma que todos los enrutadores sean alcanzables Utilizaremos BGP interno para intercambiar las rutas de las distintas VRFs
Lo veremos en un rato
Funcionamiento de MPLS/VPN (2)

VPN_A CE 10.2.0.0
Sesiones iBGP Intercambio de Informacin de VRFs
VPN_A CE 11.5.0.0
VPN_B 10.2.0.0 CE VPN_A 11.6.0.0 CE PE
P 10.1.0.0 PE
VPN_A CE
P PE 10.1.0.0 CE VPN_B
PE CE 10.3.0.0 VPN_B
Separacin de trfico: Stack de etiquetas
Para el forwarding, 2 etiquetas MPLS La etiqueta externa nos lleva de un PE a otro La etiqueta interna separa las VPNs La externa (IGP) se obtiene por el protocolo de ruteo interior (p. ej. OSPF + LDP) VPN Label por MP-BGP
Etiqueta externa IGP Label VPN Label IP Header
MPLS Forwarding (1)

Los routers PE y P deben tener etiquetas (aprendidas por LDP) correspondientes a los dems routers PE
estrictamente, a la IP del peer BGP
Stack de etiquetas: usado para forwardear paquetes

Etiqueta exterior: indica el enrutador PE al que est conectado el destino Etiqueta de segundo nivel: indica al PE destino a que VPN pertenece el paquete
MPLS Forwarding (2)

Enrutador PE de ingreso agrega ambas etiquetas Nodos MPLS (P) hacen el forwarding basados en la etiqueta exterior El router PE de egreso encaminar el paquete basado en la segunda etiqueta, la cual indica la VPN y la interfase de salida
MPLS Forwarding (3)

Enrutadores P switchean basados en la IGP label
CE1 PE1
IP packet
IGP Label(PE2) VPN Label
Penultimate Hop Popping P2 es el penultimate hop para el PE de salida P2 quita la top label Esto lo solicita PE2 via LDP
PE2 recibe paquetes con la label correspondiente a la interfase de salida (VRF) Un nico lookup POP de la Label. Paquete IP enviado al CE
CE2
IP packet PE1 recibe paquete IP Bsqueda en la VRF Se halla ruta indicando PE de salida, y etiqueta de VPN A su vez, la etiqueta externa la obtiene de la tabla MPLS global
IP packet
P1
IGP Label(PE2) VPN Label
P2
VPN Label
IP packet
IP packet
PE2
CE3
Distribucin de etiquetas y rutas de VPN

Se distribuyen mediante extensiones a BGP (BGP Multiprotocolo) Todos los PE deben estar interconectados por iBGP Se pueden utilizar las tcnicas que vimos para escalar BGP (route reflectors, confederaciones)
Unicidad de las direcciones

BGP siempre anuncia una ruta por destino Qu pasa si dos clientes usan la misma red? BGP anunciar slo una ruta: PROBLEMA !!! Se define un nuevo espacio de direcciones, VPNv4, a partir de un atributo RD:
IPv4 (32 bits)
RD : Route distinguisher (64 bits)
Route Distinguisher
RD se configura para cada VRF en cada PE
No tiene por qu ser el mismo en todos los PE, aunque es ms fcil que si lo sea
Lo nico importante es que RD:IP sea nico Se recomienda utilizar el nmero de sistema autnomo como primer parte del RD
AS:Id
Se codifica como una Comunidad extendida
Extensiones de BGP usadas para las VPNs Comunidades extendidas (Extended Community):
Atributo BGP, similar a las comunidades Incluye tipo y largo
Route-Origin: 64 bits que identifican el enrutador que origin la ruta Route-Target: 64 bits que identifican los routers
que deben recibir la ruta
En definitiva: importacin/exportacin de rutas
Route Target
RT (Route Target), es un atributo que indica a qu VRF pertenece la ruta
Es el color de la VPN
Tambin es un valor de 64 bits

Tambin se recomienda poner el nmero de AS en los primeros 16 bits
En el caso ms sencillo, es simplemente un identificador de la VPN

Route Target (cont.)

En general, en cada VRF (en cada PE), indico uno (o ms) route target para importar y uno (o ms) para exportar Al exportar las rutas, se "estampan" con los RT indicados Al recibirlas, se revisa si alguno de los RT coincide con los RT importados por alguna VRF
Ejemplo de funcionamiento Aprendizaje de rutas

PE-1 aprende 10.2.0.0/24 de CE1. La coloca en la VRF amarilla
VPN_A VPN_A 10.2.0.0 CE CE 11.5.0.0
PE-2 PE-1

Le agrega el RD (RD:10.2.0.0/88) Le agrega RT (RT= "amarillo") Lo enva por BGP
VPN_A VPN_A 10.2.0.0 CE
RD:10.2.0.0/88 RT=amarillo Prximo salto: PE-1 Etiqueta 100

PE-2
CE 11.5.0.0
PE-1

PE-2 elige mejor ruta a RD:10.2.0.0/88 Quita el RD (10.2.0.0/24) Verifica el RT, pone ruta en tablas que importen "amarillo" Se la enva a CE-2
VPN_A 10.2.0.0 CE CE-2 11.5.0.0 VPN_A
PE-2 PE-1
VPNs Capa 2
Agenda:
Introduccin Protocolos Soportados Ejemplo de Tunelizacin: Ethernet Ejemplo de Servicio: VPLS
VPNs capa 2: Introduccin

Permite a Proveedores que ofrecen servicios de Capa 2 (o incluso capa 1) seguir ofrecindolos sobre un backbone MPLS Consiste bsicamente en una tunelizacin sobre una red MPLS Es la forma de dar una solucin integrada de todos los servicios no ip sobre MPLS Cisco lo llama Any Transport over MPLS Hay alternativas que no utilizan MPLS
L2VPN
Permite integrar los servicios de L2 con las ventajas de MPLS: Ingeniera de trfico, QoS. Proceso estndar abierto en el IETF Varios grupos de trabajo Encapsulacin: Pseudo Wire Emulation Edge to Edge (pwe3) Sealizacin: varios
Pseudo cables
La idea es emular un "cable" de la tecnologa adecuada En General se utiliza un stack de etiquetas adecuado para mantener multiplexacin y jerarqua de direccionamiento
Tpicamente, una etiqueta para llegar al PE destino, y otra para indicar lo que se transporta y por donde enviarlo
Pueden utilizarse otros transportes para los tneles

Por ejemplo, L2TPv3, tneles sobre IP ....
Sealizacin
Se da a dos niveles:
Sealizacin en MPLS para la formacin de los LSPs. Se ha adoptado una extensin de LDP (basada en los drafts de Martini), hay propuestas para utilizar BGP-MP (Kompella drafts) Tunelizacin de la sealizacin de los protocolos a transportar
Ejemplo de L2VPN
DLCI FR o VCC/VPC ATM LSP DLCI FR o VCC/VPC ATM
CORE MPLS
L2VPN
Protocolos Soportados:
Ethernet over MPLS ATM AAL5 over MPLS Frame Relay over MPLS ATM Cell Relay over MPLS PPP over MPLS HDLC over MPLS
Ejemplo: Pseudo Cable Ethernet

LSP con stack de etiquetas de profundidad 2:
Etiqueta externa (PSN): Etiqueta del LSP negociada por LDP estndar Etiqueta interna (PW): identificador del servicio negociada por LDP con un nuevo tipo de FEC
La red MPLS (equipos P) slo ven el LSP entre el PE de entrada y el de salida (etiqueta externa)
Pseudo Cable Ethernet:
Pseudo Cable Ethernet:
VPLS: Virtual Private LAN Service

Consiste en Emular una LAN sobre un dominio MPLS
La idea es que se parezca a un switch
Problema similar al resuelto por LANE o RFC 1483 Utiliza PW Ethernet sobre MPLS El principal problema a resolver es la traslacin MAC destino <-> PE destino
VPLS:
Accesos Ethernet VPLS A VPLS A VPLS B PE Red IP/MPLS de Proveedor Bridge Lgico PE Ej: ATM/DSL, FR PE
Red de Acceso
VPLS A
VPLS B

221 MPLS VPN

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

221 MPLS VPN

Cargado por

Copyright:

Formatos disponibles

MPLS/VPN

Multiprotocol Label Switching/Virtual Private Networks

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

Evolucin de las VPNs (1)

Evolucin de las VPNs (2)

VPNs Peer-to-Peer: intento de solucionar algunos problemas de las redes Overlay

VPNs OVERLAY (1)

Switch Frame-Relay VC#2

CE: enrutador del cliente

VPNs OVERLAY (2)

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

VPNs OVERLAY (3)

Alternativas overlay: tneles IP-IP como GRE o IPSec

VPNs Peer-to-Peer (1)

VPNs Peer-to-Peer (2)

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

VPNs Peer-to-Peer (3)

Solucin: VPNs basadas en MPLS

Overlay VPN Layer 2 VPN X.25 Frame-Relay

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

Ejemplo de SP y sus clientes (1)

Al PE no le importa la estructura interna de C

CE1 PE VPN_A CE2 10.3.0.0 PE

10.1.0.0 CE5 VPN_A

Problema: Overlapping de direcciones IPs entre las VPNs

Ejemplo de SP y sus clientes (2)

Solucin con MPLS y BGP

Utilizaremos etiquetas MPLS para separar el trfico de las distintas VPNs

Terminologa MPLS-VPN (1)

Customer Network (C-Network):

Terminologa MPLS-VPN (2)

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

10.1.0.0 CE5 CE1 P Network VPN_A Sitio 3

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

VRF (virtual routing and forwarding)

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

VRF A 10.1.0.0/16 - link 5 10.2.0.0/16 - link 1 10.3.0.0/16 - link 2 ...........

VPN_A CE4 11.5.0.0

VRF B 10.1.0.0/16 - link 3 10.3.0.0/16 - link 4 ...........

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

Ruteo hacia el cliente

PE y CE intercambian informacin de ruteo a travs de ruteo clsico:

Distribucin de informacin de ruteo: BGP Separacin de trfico: MPLS

Modelo de conexin MPLS/VPN (1)

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

Modelo de conexin MPLS/VPN (2)

Modelo de conexin MPLS/VPN (3)

BGP: Intercambio de informacin de VRFs

VPN_A CE4 11.5.0.0

VPN_A CE2 10.3.0.0

10.1.0.0 CE5 VPN_A VPN_C

VPN_A 11.6.0.0 CE3 VoIP Gateway VoIP Gateway

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

Funcionamiento de MPLS/VPN (2)

Sesiones iBGP Intercambio de Informacin de VRFs

VPN_B 10.2.0.0 CE VPN_A 11.6.0.0 CE PE

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

Separacin de trfico: Stack de etiquetas

Etiqueta externa IGP Label VPN Label IP Header

MPLS Forwarding (1)

Stack de etiquetas: usado para forwardear paquetes

Ruteo IP y Tecnologas de transporte Instituto de Ingeniera Elctrica, Universidad de la Repblica.

MPLS Forwarding (2)