Jorge Rodrigues Valente Dia 6 de abril de 2019, 1/8

Compreendendo circuitos virtuais Ethernet (Ethernet Virtual Circuits , EVC)

Os Circuitos Virtuais Ethernet (EVCs) permite aproveitar as tags 802.1q (VLAN) existentes de uma
maneira totalmente nova. Tradicionalmente, a marcação VLAN definia o encaminhamento.
Agora, com os EVC, podemos separar esses conceitos: a etiqueta (marcação) VLAN é usada para
classificação e a instância de serviço define a ação de encaminhamento. Por exemplo,
poderíamos alocar a VLAN 10 para clientes diferentes em cada switchport e encaminhar o
tráfego de cada cliente em diferentes MPLS Pseudowires, mas nunca configuramos a VLAN 10
globalmente!

Como funciona (Entrada)

À medida que um quadro com etiqueta 802.1q entra em uma interface que foi configurada com
um EVC, determinaremos qual EVC ele é classificado de acordo com as tags no quadro. Dentro
do EVC, definimos a ação que queremos fazer com esse quadro. Vejamos uma amostra da
configuração do EVC.

VSI (VFI) no PE
A instância do comutador virtual (virtual switch instance, VSI) especifica o ID VPN
(L2VPN) de um domínio VPLS, os endereços de outros routers PE neste domínio e o tipo
de sinalização de túnel e mecanismo de encapsulamento para cada ponto. VFI e BD são
componentes da VSI.

Associar o circuito de ligação (Attachment Circuit) ao VSI

Depois de definir o VSI, é necessário vinculá-lo a um ou mais circuitos de anexo
(interfaces, subinterfaces ou circuitos virtuais).

Interface Virtual Comutada (Switched Virtual Interface, SVI)

Uma SVI é um comutador virtual e não dispõe de interface físicas, e permite comutação
por encaminhamento. Há mapeamento um-para-um entre uma VLAN e SVI, portanto,
apenas um SVI único pode ser mapeado para uma VLAN. Por padrão, um SVI é criado
para a VLAN padrão, nativa (VLAN1), para permitir a administração remota do
comutador. Um SVI não pode ser ativado a menos que esteja associado a umo porto
física. JRV: ou seja, os pacotes enviados pelo administrador, ou mesmo entre
comutadores, pertencem a VLAN 1.
 Jorge Rodrigues Valente Dia 6 de abril de 2019, 2/8

Os SVI geralmente são configurados para uma VLAN pelas seguintes razões:
Permitir que o tráfego seja encaminhado entre VLAN fornecendo um gateway
padrão para a VLAN;
Fornecer ponte de retorno (se necessário para protocolos não roteáveis);
Fornecer camada 32 conectividade IP para o comutador;
Suporte a configurações de ponte e protocolo de encaminhamento.

As vantagens SVI incluem:

Muito mais rápido que o Router-on-a-stick, porque tudo é comutado por
hardware e encaminhado;
Não há necessidade de ligações externas do comutador para o router para
encaminhamento;
Não há limitação numa ligação. O EtherChannels (camada 2) pode ser usado
entre os comutadores para obter mais largura de banda;
A latência é muito menor, porque não precisa deixar o comutador.

Um SVI também é definido como uma interface de VLAN roteada (RVI) por alguns
fornecedores.

Os vários serviços que chegam na mesma interface, via attachment circuit, tem que ficar
associados a interfaces virtuais (BDI). Qualquer interface tem que ter um IP. Os EFP
(serviços) ao chegarem ao PE devem de ser associados a um BDI. Nos ASR o DBI assume
a função de VLAN (segmentar o tráfego). Depois, esse tráfego é associado ao VRF. E
como o tráfego pode ir para diferentes VPN-L3, ou para outra BDI existente no mesmo
router.
 Jorge Rodrigues Valente Dia 6 de abril de 2019, 3/8

O Controlo Plane anuncia as rotas.

O Data Plane transporta o tráfego.

Não é possível associar vários portos físicos ao mesmo BDI, mas o VRF tem a tabela RIB
que possibilita o encaminhamento. Cabe ao BGP anunciar os prefixos de rede para
ajudar a encontrar a respetiva VPN-L3. O VRF necessita de saber a que PE se destina o
tráfego, daí não haver uma associação virtual por código, mas sim por processamento.
E cabe ao LDP encaminhar os rótulos. A figura de baixo não tem representado os
diferentes “L3” (EFP) existentes no AC. Se fosse só um serviço, não seria necessário o
BDI. O tráfego ia logo para a instancia VRF.

Uma VRF pode ter vários BDI, daí a seta a castanho. Essa seta simboliza as diversas
interfaces, tanto podem ser físicos como virtuais. Para o encaminhamento do tráfego, o
VRF utiliza a RIB para descobrir a localização do PE peer, daí ser necessário o BGP. O
anuncio dos prefixos de rota dependem dos atributos RD e RT, daí não existir uma
ligação. Há sim um processamento para que o router saiba para que VPN-L3 deve de
enviar o tráfego. Se houver uma rutura na ligação do traçado, há a possibilidade de
escolher outro caminho alternativo. Depois de saber qual é o PE peer, cabe ao protocolo
LDP informar o rótulo. Obviamente toda essa informação já está definida no arranque
do router quando carrega as configurações.
 Jorge Rodrigues Valente Dia 6 de abril de 2019, 4/8

As VPN-L3 estão associados às interfaces físicas do lado do core. O tráfego recebe um

rótulo para ser encaminhando pelo core MPLS.

No router ASA não é BDI mas sim subinterface, e os pacotes são marcados por dot1Q. O
tráfego que sai da interface virtual tem que ser marcado com uma VLAN. A BDI pertence
à VRF e tem um BDI interface virtual para encaminhar para um porto EVC. O BDI
interface tem que ter um IPLB.
O router ASA é na realidade um comutador L3, mas aceita os protocolos IGP e EGP.
Na EEM é uma VLAN = 1 serviço = 1 VRF = 1 BDI.

Cuidado com as designações das BDI. A numeração é local e só pode existir uma
interface virtual com esse numero. Para ligar a outra interface virtual, é necessário outro
numero.
 Jorge Rodrigues Valente Dia 6 de abril de 2019, 5/8

O mesmo tráfego pode ter 4 traçados diferentes, pois além dos caminhos alternativos,
também existe datacenter de backup.

O AC se só tiver um serviço já não é uma interface EFP!

EVC = tuneis layer 2.
Na firewall não se pode utilizar o BDI, mas sim VLAN.
Usa-se o LAG (portchannel) para interligar um stack switch aos duas firewalls.

A rede MPLS simula uma rede full mesh, o que garante resiliência.
 Jorge Rodrigues Valente Dia 6 de abril de 2019, 6/8

Os AC trás várias VLAN, e cada uma deve de ser associados aos BD interface. O BDI
pertence ao DB, e utiliza o VFI para escolher a VPN-L3.
A Bridge Domain (DB) é um serviço de gestão de tráfego Ethernet, recorre ao mecanismo
SVI, ou VFI, e permite o MP2MP. O SVI é uma instância de comutação que tem a tabela
ARP.
Os portos virtuais das SVI (ou VFI) podem ter IP para a sua gestão à distância, mas não é
utilizado no serviço, pois o serviço é camada 2. A VFI bloqueia a possibilidade de loop
(*), pois não envia tráfego Ethernet para outro PW, só para portos físicos (AC). A VFI
pertence ao domínio VPLS, ou seja, é o conjunto de todos os VFI associados ao mesmo
tráfego que forma a VPLS. Uma VPLS tem um ID VPN L2 exclusivo, e todos os VFI de cada
PE tem uma associação a essa ID VPN.
Quando o CE não suporta o BD, a ligação é designada poe EoMPLS. Todo o tráfego é
transparente para o BD.

NAT

O NAT, na sua saída utiliza portos lógicos (camada 4), para esconder o número do IP
privado do host da empresa. Assim, teoricamente, cada NAT suporta 65535 solicitações
(seções) abertas para o exterior. Cada host ao ter várias páginas abertas, consome uma
porta lógica. Numa empresa, sempre que houver 300 hosts, com 10 páginas abertas ao
mesmo tempo, o NAT tem que dispor de 3 000 seções abertas ao mesmo tempo. Isso
não significa que tenha que ter 3 000 endereços de IP! Na realidade, cada empresa
 Jorge Rodrigues Valente Dia 6 de abril de 2019, 7/8

dispõe de 6 + 2 IP para o exterior. Os seis IP públicos, um é o IP global, mais cinco para

os diferentes servidores existentes na empresa. O mais dois é IP do porto do router da
operadora e o segundo é da rede. E o número também não é 65535, pois existem portos
reservados a aplicações especificas. As primeiras 1 024 estão reservadas.
No PoP ocorre o mesmo. As solicitações de acesso a determinados servidores (IP de
destino solicitado pelos hosts das empresas) também tem NAT. A operadora solicita a
informação ao servidor e este responde com o número de seção. Assim quando o
operador recebe a resposta solicitada, reconhece o tráfego e envia para o solicitador.

Metroethernet
 Jorge Rodrigues Valente Dia 6 de abril de 2019, 8/8

Cada cliente tem o seu domínio (de rede) segmentado em várias VLAN. E cada VLAN que
entra no comutador ethernet (ME3400) marca cada VLAN do cliente com uma double
TAG. No máximo, cada comutador suporta 4096. Se utilizarmos uma rede SDH para
agregar tráfego, e entregarmos esse tráfego num porto de um comutador ME3600, e
esgotarmos os 4096 double TAG, já não poderemos utilizar os outros portos. Cada rede
que chega do cliente só poderá ter 4096 IP públicos.
Se o cliente pretender utilizar a rede pública do operador, deve ter o cuidado de não
poder existir mais do que 4096 IP PRIVADOS. O ME3400 é COMUTADOR, camada 2.

O router que recebe o uplink, recebe os tráfegos nas suas subinterfaces (BDI dos
ASR903).
O AC do cliente, que utilize 100 redes privadas internas, consome 100 double TAG.
No encaminhamento dos pacotes IP, OBVIAMENTE, não há problemas com as limitações
das 4096 VLAN!
Nos routers não se pode repetir os IP PRIVADOS nos routers, essencialmente de clientes
diferentes.