WIXLIB

MPLS VPNTemas Avanzados de Redes de OrdenadoresJorge FerreiroIndice VPN. ModelosRepaso de MPLSRepaso de BGPMPLS VPNAplicaciones, AToMConclusiones1

Redes virtualesVirtual NetworksVirtual Private NetworksVirtual Dialup NetworksOverlay VPNLayer-2 VPNX.25FRATMVirtual LANsPeer-to- Peer VPNLayer-3 VPNIPSecGREListas de accesoSplit routing(MPLS VPN)L2TPModelos de VPN – Overlay (I) Enlaces a través de la infraestructura delproveedor– Líneas dedicadas– Circuitos virtuales FR/ATM.– Túneles IPSec, GRE. Solución punto a punto entre sedes de laVPN2

Modelos de VPN – Overlay (II)Circuito VirtualAdyacencia nivel 3DispositivoCPE sitivoCPE (CE)VPNRed del proveedor de serviciosModelos de VPN – Peer-to-peer (I) El dispositivo frontera del proveedor deservicios intercambia información derouting con el dispositivo del cliente No es posible tener direccionamientoprivado La adición de nuevas sedes es simple3

Modelos de VPN – Peer-to-peer (II)Adyacencia nivel eraDispositivoVPNCPEVPNRed del proveedor de serviciosModelos de VPN – MPLS VPN Combina las ventajas de los modelosoverlay y peer-to-peer.– Overlay: seguridad, aislamiento– Peer-to-peer: simplicidad Los dispositivos frontera solo mantienenrutas de las VPN conectadas Utiliza MPLS para la conmutación depaquetes4

Beneficios para el proveedor deservicios de las MPLS/VPNVPN CVPN BVPN AVPN CMulticastHostingVPN BIntranetVPN AVoIPVPN AExtranetVPN BVPN CVPN A VPN BVPN C VPN basadas en MPLS VPN modelo overlay–Llevael contenidofuera de la lmentepara tener una red–Dependiente del transportecompletamentemallada–No hay grupos, sino parejas de sedes–Topología compleja–Permite servicios de contenidos dentroNoes necesario mallar lade la redredpara–Curva decostesplanatener–Independientedel transporteencaminamientoóptimo–Fácil agrupamiento de usuarios yservicios–Topología simpleÍndice VPN. ModelosRepaso de MPLSRepaso de BGPMPLS VPNAplicaciones, AToMConclusiones5

Revisión de MPLS Se basa en el paradigma de la sustitución deetiquetas (ATM, FR.) A la llegada de un paquete a la red, se le asignauna etiqueta de acuerdo con la FEC (ForwardingEquivalence Class) a la que pertenece– Se determina en la frontera de la red Las FEC son conjuntos de paquetes que seencaminan en el mismo LSPRevisión de MPLS Se separa la información de forwarding (etiqueta)del contenido de la cabecera IP Jerarquía mediante pilas de etiquetas (labelstacking) Diferentes realizaciones del paradigma de lasetiquetas (VPI/VCI, “shim”, λ.) Flexibilidad en la formación de FEC Permite la existencia de direcciones IP que no sonúnicas.6

Dispositivos MPLSCEPEELSRPLSRPELSRELSRELSRELSRLSRC Network(Customer Control)CELSRP Network(Control de proveedor)C Network(Customer Control)MPLS ELSR o LSE (Edge Label Switched Routerso Label Switched Edge)– Etiquetan paquetes (que no estén etiquetados) Comienzo de un Label Switched Path (LSP)– Quita etiquetas de paquetes etiquetados Al final de cada LSP LSR (Label Switched Router)– Encamina paquetes etiquetados basándoseúnicamente en las etiquetas7

Label Distribution Protocol Se define en RFC 3035 y 3036 Se usa para la distribución de etiquetas en una redMPLS Forwarding Equivalence Class (FEC) Cómo los paquetes se corresponden con LSP (Label SwitchedPaths) Anuncia etiquetas por FEC Alcanza el destino a.b.c.d con la etiqueta x Descubrimiento de vecinosLFIB y forwarding Label Forwarding Information Base– Cada entrada consiste en: Etiqueta de entrada, etiqueta de salida, interfaz de salida,dirección MAC de salida– Se indexa por etiqueta de entrada Algoritmo de forwarding– Extrae la etiqueta del paquete– Encuentra una entrada en la LFIB correspondiente a laetiqueta de entrada– Sustituye la etiqueta de entrada en el paquete con laetiqueta de salida encontrada– Envía el paquete por el interfaz de salida encontrado8

LFIB en un LSRPlano de controlIntercambio deinformación de routingcon otros routersIP routingprotocolsIP routingtableLIBPaquetes de entradaetiquetadosIntercambio deinformación deetiquetas con otrosroutersMPLS IProutingPaquetes de salidaetiquetadosPlano de datosLFIBOperación de MPLS1a. Los protocolos de routing existentes (e.g. OSPF, IS-IS)establecen la “ alcanzabilidad” a las redes de destino1b. LDP (Label Distribution Protocol)establece la etiqueta para las redes de destino2. El LSE de entrada (IngressLSE) recibe el paquete, realizatodas las funciones de valorañadido de nivel 3 y etiqueta lospaquetes.4. El LSE de salida(egress) quita laetiqueta y envía elpaquete.3. Los LSR conmutan lospaquetes mediante “labelswapping”9

Distribución de la información derouting en una red 171.691I/F128.890.128.89001Se puede alcanzar 128.89por aquí1Se puede alcanzar 128.89 y171.69 por aquí171.69Actiualizaciones de routing(OSPF, EIGRP, )Se puede alcanzar 171.69por aquíEncaminamiento en una red IP 171.691171.691.I/FI/F128.890.128.890128.89.25.4 Datos10128.89.25.4 Datos1128.89.25.4 Datos128.89.25.4 Datos171.69Paquetes encaminados deacuerdo con su dirección IP10

Encaminamiento en una red MPLSInLblPrefijoOut OutI’face 8.89001Se alcanza 128.89por aquíSe alcanzan 128.89 y171.69 por aquí1171.69Se alcanza 171.69por aquíActiualizaciones de routing(OSPF, EIGRP, )Distribución de etiquetas en 4128.89099128.890--171.69155171.6917.0128.8901Use et. 9 para 128.89Use et. 4 para 128.89 yUse et. 5 para 171.691171.69Label DistributionProtocol (LDP)Use et. 7 para 171.6911

Indice VPN. ModelosRepaso de MPLSRepaso de BGPMPLS VPNAplicaciones, AToMConclusionesBGP (RFC1771) EGP (protocolo de encaminamiento exterior)Path-vectorSesión TCP entre puertos TCP 179Intercambia información sobre cómo llegar adistintos prefijos (NLRI) Algunos atributos:– AS PATH: lista de sistemas autónomos por los que sepasa– NEXT HOP: dirección IP del router al que ir paraalcanzar el prefijo.– COMMUNITY: etiqueta que califica el prefijo12

Vecinos internos – IBGP Vecinos en el mismo SA Puede estar a variossaltos Complementa lainformación difundidapor IGPBAVecinos externos – EBGP Vecinos de distintosistema autónomo Generalmente están aun solo salto Intercambia informaciónde rutas entre EBGP13

Ejemplo de tamaño de tabla derutasroute-views.oregon-ix.net show ip bgp summaryBGP router identifier 198.32.162.100, local AS number 6447BGP table version is 12912491, main routing table version 129124 91109056 network entries and 4156075 paths using 159760908 bytes o f memory663891 BGP path attribute entries using 34522332 bytes of memory509609 BGP AS-PATH entries using 12617946 bytes of memory388 BGP community entries using 9812 bytes of memory26262 BGP filter -list cache entries using 420192 bytes of memoryDampening enabled. 4968 history paths, 8664 dampened pathsBGP activity 533508/419486 prefixes, 80293270/76107026 pathsNeighborV4.0.0.24AS MsgRcvd MsgSent1 241413355473 12912488TblVerInQ OutQ Up/Down00 3w4dState/ PfxRcd10162612.127.0.24947018 276491755476 1291248800 2d06h10006862.164.11.104878213652354281 1291248800 2d15h1998129.250.0.642914 336589955497 1291248800 5d02h87057129.250.0.1142914 206810655503 1291248800 5d02h134.24.127.3041740 223915755461 1291248800 1w6d101681134.55.20.2294293 489407655376 1291248800 05:40 :45101405144.228.241.8141239 337036855439 1291248800 2w4d10010387058Multiprotocol BGP RFC2283 Nuevos atributos:– MP REACH NLRI: lleva información de losdestinos alcanzables junto con el next hop paraalcanzar el destino– MP UNREACH NLRI:lleva información de losdestinos que dejan de ser alcanzables Complementan a los atributos de BGP que llevaninformación IPv4. La capacidad multiprotocolo se negocia en elestablecimiento de sesión.14

Comunidades extendidas (BGP) Draft: draft-ramachandra-bgp-ext-communities-09.txt Nuevo atributo Extensiones para MPLS VPN (definidasmás adelante)Indice VPN. ModelosRepaso de MPLSRepaso de BGPMPLS VPNAplicaciones, AToMConclusiones15

Categorías de MPLS VPN BGP MPLS VPNs – RFC 2547 Virtual Routers – RFC2917– Propuesta alternativa – se basa en el particionamiento delrouter físico.– Necesita el uso de multicast/broadcast internamente paraconvergencia.MPLS VPN RFC2547 (BGP MPLS VPN) Quizá la recomendación más difundida. Muchos fabricantes la soportan Muy flexible16

Problemática VPN con direcciones posiblementerepetidas Gran número de direcciones que mantener ypublicarModelo de conexión MPLS VPNVPN A10.2.0.0CEVPN B10.2.0.0 CEVPN A11.6.0.0CEVPN B10.1.0.0 CE sesiones iBGPCEPEPPPPPEPEPEVPN A11.5.0.0CECEVPN A10.1.0.0VPN B10.3.0.0Routers P (LSRs) en el core de la nube MPLSLos routers PE usan MPLS con el core e IP con los routers CELos routers P y PE hablan un IGP comúnLos router PE están completamente interconectados MP-iBGP(fully meshed) O se usan reflectores de rutas17

Familia de direcciones VPNv4 Extensión de las direcciones IP parahacerlas únicas en un entorno con VPN 96 bits:64 bits32 bitsRoute Distinguisher (RD)IPv4Se consigue la unicidadde direcciones.Red MPLS VPNProtocolo encaminamiento PE- CEestáticas ,RIPv2,EBGP,OSPFVPN A10.2.0.0Interfaz VRFVPN A11.5.0.0Core MPLSCECEVPN B10.2.0.0PCEVPN A10.1.0.0PPEPECELDPVPN A11.6.0.0PPCEPEVPN B10.1.0.0CEVPN B10.3.0.0PECESesiones MPBGPCustomer EdgeProvider EdgeRouter del proveedor18

Anuncio de tablas MPLS/VPN La tabla de rutas global se anucia por losprotocolos IGP Pueden contener rutas de BGP4 (IPv4) NO contienen rutas de VPN Las tablas de routing VRF contienen rutasespecíficas de VPN Las rutas MP-iBGP se importan en las VRFEscalable: sólo mantienen rutas de VPN losPE que tienen algún interfaz en la VRFAnuncio de VRF por MP-iBGP(I)VPN- ACEPEPEParisVPN- ACEMP-iBGPTabla BGPLondonVPN- BRutas de VPN-ARutas de VPN-BCEMadridVRF VPN-A VRF VPN-BRedistribución de VRF en MP-iBGP para intercambio de información19

Anuncio de VRF por MP-iBGP(II) El PE que recibe las rutas debe entender:–Donde se ha originado la rutas–En qué VRF debe instalarse–Cómo distinguir entre direcciones publicadas La unicidad de los prefijos IPv4 se consigue con eluso del Route DistinguisherAtributo de comunidadesextendidas El site de origen y la información para saber dónde seinstala una ruta se consigue con el uso de comunidadesextendidas de BGP (draft-ramachandra-bgp-extcommunities-09.txt)– SOO (Site of Origin) Se usa para identificar la sede que originó una determinada ruta– Route Target Se usa para identificar el conjunto de sites a los que se debe exportaruna determinada ruta– VPN of Origin Ambiguo. Uso muy dependiente de la implementación20

Anuncio de ruta de VPN (I)MP-iBGPPEPEVPN-v4 update:RD:1:27:149.27.2.0/24,Nexthop PE-1SOO Paris, RT VPN-A,Label (28)BGP, OSPF, RIPv2 update para149.27.2.0/24,NH CE-1CE-2CE-1ParisLondon Los routers PE traducen a rutas VPN-V4 Asignan un RD, SOO y RT de acuerdo con la configuración.Reescriben el atributo de next-hop para poner su direcciónAsignan una etiqueta de acuerdo con la VRF (será una 2ª etiqueta)Envían un update MP-iBGPSend MP-iBGP a todos los vecinos PEAnuncio de ruta de VPN (II)MP-iBGPPEVPN-v4 update:RD:1:27:149.27.2.0/24, Nexthop PE-1SOO Paris, RT VPN-A,Label (28)PEEL update VPN-v4se traduce adirecciones IPv4 y se ponen en la VRFVPN-A ya queRT VPN-A yopcionalmente se propagan a CE-2CE-1ParisCE-2London Los router PE que la reciben la traducen a IPv4 Insertan la ruta en la VRF identificada por el RT La etiqueta asociada a la dirección VPN-IPv4 se usará para lospaquetes que se tengan que encaminar hacia el destino21