Technologie MPLS ALEF NULA, a.s.
Obsah • Úvod MPLS • Architektura MPLS • Topologie MPLS sítí • MPLS VPN • Bezpečnost v MPLS • L2 VPN
|2
Úvod
|3
Proč MPLS? • Ekonomické řešení podporující množství aplikací • •
Eliminuje nutnost nadbytečných/dedikovaných přístupových linek Integruje separátní sítě do jedné konvergované infrastruktury
• Škálovatelné členění podporující bezpečnou síťovou infrastrukturu •
VPNs pro organizace, organizační složky, oddělení, kritické aplikace, extranet, staré protocoly, replikace mezi datacentry, guest Internet access, bezpečný přístup externím správcům, služby IT
• Řízení kapacit (Bandwidth Management) •
Unequal cost load balancing, záložní linky, rychlejší obnova po výpadku, Virtual Leased Lines pro speciální aplikace
• Zjednodušené provozování • •
Zjednodušená konfigurace WAN spojení, managementu a troubleshooting Zmenšení počtu spojení, IP adres atd.
• Univerzální konektivita •
Podporuje tradiční i nové IP služby přes sjednocenou infrastrukturu
|4
MPLS... Co to je ? • MPLS = Multiprotocol Label Switching • MPLS je forwarding mechanismus při kterém síťové prvky přepínají pakety (switching) podle značek (labels) které si paket nese s sebou • Značky mohou odpovídat cílovým IP sítím (stejně jako tradiční IP forwarding) • Značky ale také mohou korespondovat s jinými parametry (VPN, QoS, zdrojová adresa atd.) • MPLS bylo navrženo ne jen pro IP, ale také s podporou forwardingu jiných protokolů nebo L2 technologií (multiprotocol) • MPLS pakety mohou být přenášeny různými přenosovými technologiemi jako ATM, FR, PPP, POS, Ethernet
|5
MPLS: Nový průmyslový standard pro Service Providers & Enterprise • Kde se to vzalo? • IETF průmyslový standard • Založen na technologii tag switching-u fy Cisco Systems
• Jak to funguje? • MPLS forwarduje pakety podle značek (labels) • Pakety jsou přepínané - NEjsou směrované!!! • Značky reprezentují destinaci a atributy služeb (CoS, Privacy – VPNs, Traffic Engineering) • MPLS má různé mechanismy pro přidělování a distribuci značek • Tag Distribution Protocol / Label Distribution Protocol (LDP) • Resource Reservation Protocol (RSVP-TE) • Border Gateway Protocol Version 4 (MP-BGP) |6
Jak chápat MPLS • MPLS je z pohledu zákazníka potřeba chápat jako transportní infrastruktura (např. Frame Relay, ATM). • MPLS techlologie je určená pro velké sítě, především pro Service Providery a velké podnikové sítě pracující s vlastní IP infrastrukturou. • MPLS umožňuje jednoduchou integraci s instalovanou strukturou ATM. • MPLS poskytuje další aplikace jako: • • • •
MPLS VPN MPLS Traffic Engeneering MPLS QoS MPLS AToM, SAToP (Structure-Agnostic TDM over Packet)
• MPLS umožňuje rychlejší a jednodušší aplikaci nových služeb.
|7
MPLS komponenty - MPLS core, MPLS Edge, Customer Edge 1. Ingress Edge:
2. Core:
• Label imposition Klasifikace & značkování paketů
• Label swapping nebo switching Posílání na základě značek (ne IP adres); značka identifikuje třídu služby a cíl P
PE
PE P
Edge Label Switch Router (LER) nebo Provider Edge- PE (Router/ATM Switch)
3. Egress Edge: • Label disposition Odstranění značky a poslání paketu
PE Customer A
Customer B CE
Label Switch Router (LSR) nebo P (Provider) router • Router nebo ATM switch + label switch controller
LSR = Label Switch Router |8
Princip MPLS – příklad 10.1.1.1
Odstranění značky a routing lookup L=30
10.1.1.1
Routing lookup a přiřazení značky 10.0.0.0/8 L=50
Label Swapping L=50 L=30
• Routing (L3) lookup vykonávají pouze edge routery. • Core routery přepínají pakety podle jednoduchých label (L2) lookupů a prohazují značky (label swap).
|9
MPLS – nic nového?? • „Nový“ přístup který přebírá to nejlepší z obou světů síťových technologií: • Privátnost a QoS u ATM a Frame Relay • Flexibilitu a škálovatelnost IP
• Základ pro “IP business“ služby: • Flexibilní grouping uživatelů a value-added služby
• Levně spravované IP služby: • Škálovatelnost – od malých po velké privátní sítě
| 10
MPLS: První kompletní řešení pro IP Any-to-Any Connectivity
QoS Privacy
User
Network
Leased Lines
N2
N2
OK
OK
Frame-Relay – ATM
N2
N2
OK
OK
IP
N
N
MPLS
N
N
OK
OK
Low-Cost Managed Services
OK
MPLS je řešení, které splňuje všechny požadavky na “New World“ privátní IP sítě.
| 11
Proč MPLS v síti? • Integruje to nejlepší z Layer 2 a Layer 3 • • • •
drží krok s růstem sítě redukuje operační náklady zvyšuje spolehlivost vytváří základ pro nové výnosy (advanced IP služby)
| 12
Switching – technické výhody • Výhody switchingu proti routingu • výkonnost • • • •
Faster transit time Less jitter (delay) Packet prioritization Flexible routing
IP IP Address
• škálovatelnost a jednoduchost • snadnější management
MPLS Label
Data Link IP IP
MPLS
DLC DLC
| 13
Výkonnost Rychlejší transit než IP routing • • • •
Vyžaduje méně CPU a paměti Forw. table index lookup oproti best fit IP address lookup Jednoduchý protokol – jednoduchá implementace v ASIC Menší forwarding table – obsahuje pouze známé LSRs oproti všem známým IP sítím • směrovací tabulka Internetu obsahuje více než 450.000 položek
Forwarding Table
IP MPLS
IP Forwarding Table
Data Link Routed Packet
MPLS Data Link
Switched Packet
| 14
Výkonnost • Traffic engineering umožňuje flexibilní routing • Úspory • Poruchové scénáře • Neočekávaný provoz
Link Failure
300 Mbps Traffic Flow
155 Mbps Fiber Link | 15
MPLS a škálovatelnost směrování • Škálovatelnost int. směrování • méně adjacencies
• Škálovatelnost ext. směrování • plná podpora BGP4 | 16
Jiný/Nový přístup pro správu sítí Odděleně budované zákaznické privátní IP sítě
Build once, sell once
Vs.
Jediná přenosová síť pro vícero zákaznických IP VPNs
MPLS Network
Build once, sell many
| 17
VPN VPN B VPN A VPN C
VPN C
Multicast VPN B
Hosting Intranet
VPN A
VoIP
Extranet
VPN A VPN B
VPN C
VPN A VPN B
VPN C
Overlay VPN ACLs, ATM/FR, IP tunnels, IPsec, etc. requiring n*(n-1) peering points Transport dependent Groups endpoints, not groups Pushes content outside the network Costs scale exponentially NAT necessary for overlapping address space Limited scaling QoS complexity
MPLS-Based VPNs Point to cloud single point of connectivity Transport independent Easy grouping of users and services Enables content hosting inside the network
“Flat” cost curve Supports private overlapping IP addresses Scalable to over millions of VPNs Per VPN QoS
| 18
Nižší operační náklady Overlay VPN
MPLS-Based VPN LSR
1.Aktualizace traffic matrix 2.Add (N – 1) PVCs pro nové CPE 3.Resize full PVC mesh 4.Update OSPF design 5.Rekonfigurace každého CPE pro novou Layer 3 topologii
CPE
1. Konfigurace nového CPE 2. Aktualizace Edge LSR
| 19
Vývoj MPLS
MPLS Group formally chartered by IETF Cisco calls a BOF at IETF to standardize tag switching
1996
1997
MPLS VPN deployed
Cisco ships MPLS (tag switching)
1998
Large scale deployment AToM services
Cisco ships MPLS TE
TE deployed
1999
2000
2001
2002/3
Interprovider capabilities Layer 2 GMPLS Interworking HA Bandwidth Security Protection VPLS mVPNs Services MPLS OAM VPLS
2004/5
2006+
Time
| 20
MPLS je základ pro služby s přidanou hodnotou
VPN
Traffic Engineering
IP+ATM
IP+Optical GMPLS
Any Transport over MPLS (AToM)
MPLS
Network Infrastructure
| 21
MPLS Technologie s plně integrovanými síťovými službami L3 směrovací protokoly mezi PE-CE – Static, RIP, OSPF, EIGRP, eBGP
IP služby - NAT, DHCP, HSRP, VRRP pro VPN na PE směrovačích
CE
Traffic Engineering pro zajištění šířky pásma (bandwidth protection) a obnovu
Internet Gateway
PE
Internet
IP/MPLS Backbone
CE PE
CE Legend QoS mechanismy jako queuing a policing konfigurované na CE a PE směrovačích
Layer 3 VPN Layer 2 VPN Traffic Engineering
Podpora L2 okruhů – Ethernet, ATM, Frame Relay, PPP, HDLC
CE
Layer 3 VPNs & Layer 2 VPNs, Traffic Engineering + QoS + IP Services | 22
Podpora MPLS na Cisco produktech Podporovaná zařízení • • • • • • •
2900, 3900 7200 ASR 1000 7600 ASR 9000 12000 CRS-1, CRS-3
• • • • •
ME-3750 ME 3600, ME3800 ASR 901, ASR 903 6500 ME6500
Poznámka
•
Zařízení jsou odvozena od podpory MPLS-VPN a LDP.
•
Některé nižší zařízení podporují nějaké základní MPLS CE vlastnosti Multi-VRF CE (VRF-Lite). Například: •3560 (Vyžaduje IP Services) •ME3400
Důležité: Některé vlastnosti jsou závislé na modelu, rozhraní (to jest Line Cards & Port Adapters), a/nebo vyžadují specielní software licenci. | 23
MPLS architektura
| 24
MPLS architektura • Architektura MPLS uzlu je rozčleněna na dvě základní komponenty: • Control komponenta (Control plane) • vyměňuje layer-3 směrovací informace a značky • Forwarding komponenta (Data plane) • forwarduje pakety podle značek
• Poskytuje oddělení forwardovací & control roviny • forwardování by nemělo být přerušováno změnou hodnot přidělených značek
| 25
MPLS architektura (pok.) Control Plane OSPF: 10.0.0.0/8
LDP: 10.0.0.0/8 Label 17
OSPF
LDP
OSPF: 10.0.0.0/8
LDP: 10.0.0.0/8 Label 40
Data Plane Labeled Packet Label 17
LFIB 4017
Labeled Packet Label 40
• Funkčně je router rozdělen do dvou hlavních částí: • control plane • data plane. | 26
Řídící komponenta MPLS • uvádí se jako MPLS Control Plane • obsahuje komplexní mechanismy pro výměnu směrovacích informací (OSPF, EIGRP, IS-IS, RIP, BGP, atd.) a značek (TDP, LDP, BGP, RSVP, atd.). • odpovědná za vytváření a údržbu label forwarding informace (známé jako label bindings) • údržba obsahu label switching table (label forwarding information base, neboli LFIB).
• forwarding informace je získána z FIB • forwarding tabulka odkazuje na next-hop informace pro správný výběr značek • mapování značek je distribuováno label distribučním protokolem | 27
MPLS Control Plane • Na každém MPLS uzlu (LSR) musí běžet: 1.IGP (nebo statické směrování) •pro výměnu IP prefix informace s jinými MPLS uzly •může být libovolný směrovací protokol •doporučen link-state kvůli TE •každý MPLS uzel má IP router uvnitř control plane •včetně ATM přepínačů v cell-mode MPLS
2.label distribution protocol •pro výměnu label binding informace •určuje značku do MPLS forwardovací tabulky •může mít několik sousedů •next-hop z IP forwardovací tabulky vybírá značky do MPLS forwardovací tabulky
| 28
Forwarding komponenta MPLS • • • •
uvádí se jako MPLS Data Plane odpovědná za forwarding paketů/buněk podle značek používá label forwarding databázi udržovanou LSR uzlem používá jednoduchý forwarding engine.
| 29
Frame mode MPLS Frame Header Layer 2
IP Header
Payload
Layer 3
Vyhodnocení směrování a přiřazení značky
Frame Header Layer 2
Label
IP Header
Layer 2½
Layer 3
LABEL 0
Payload
EXP 19 20
S
22 23 24
TTL 31
| 30
Technologie MPLS/VPN
| 31
VPN sítě
| 32
Virtuální privátní sítě - VPN Virtual Circuit (VC) #1
PE device Customer site
Customer Premises router (CPE)
Provider core device Provider edge device (Frame Relay switch)
PE device
CPE router
Other customer CPE router routers Large customer site
Virtual Circuit (VC) #2
Service Provider Network
• Virtuální privátní sítě nahradily dedikované point-to-point linky emulovanými point-to-point linkami sdílejícími běžnou infrastrukturu • Zákazníci používají VPNs primárně pro sníženi svých operačních nákladů | 33
VPN – implementační technologie • Nabízené VPN služby mohou být založeny na dvou hlavních principech: • Overlay VPN • Service Provide poskytuje virtuální point-to-point linky mezi lokalitami zákazníka
• Peer-to-Peer VPN • Service Provider se podílí na směrování VPN sítí zákazníka
| 34
Overlay VPN – implementace (příklad pro Frame Relay)
Virtual Circuit (VC) #2
Customer Site
Router A Customer Site
Customer Site
Router C (VC) #1
Provider Edge Device (Frame Relay Switch)
Frame Relay Edge Switch
Router B
Customer Site
Router D Frame Relay Edge Switch
Frame Relay Edge Switch
Virtual Circuit (VC) #3
Service Provider Network
| 35
Koncept Peer-to-Peer VPN Směrovací informace je vyměněna mezi routerem zákazníka a service-providera Customer Site
Service Provider Network
Router C
Router A Customer Site
Customer Site
Provider Edge (PE) Router
(PE) Router
Customer Site
Router D
Router B (PE) Router
(PE) Router
Routery service-providera vyměňují routy zákazníka přes core network Nakonec jsou routy zákazníka propagované přes síť service-providera poslány k ostatním routerům zákazníka
| 36
Systematika VPN Virtual Networks Virtual Private Networks
Virtual Dialup Networks
Overlay VPN Layer 2 VPN
Virtual LANs
Peer-to-Peer VPN Layer 3 VPN
Access Lists (Shared Router)
X.25 GRE Split Routing (Dedicated Router)
F/R IPSec ATM
MPLS VPN
| 37
Výhody různých implementací VPN • Overlay VPN • Známé a jednoduše implementovatelné • Service-provider se nepodílí na routování zákazníka • Síť zákazníka a síť service-providera jsou dobře oddělené
• Peer-to-Peer VPN • Garance optimálního routování mezi lokalitami zákazníka • Jednodušší poskytování dalších VPN • Zaopatřovány jsou pouze lokality zákazníka a ne linky mezi nimi
| 38
Nevýhody různých implementací VPN • Overlay VPN • Implementace optimálního směrování vyžaduje full-mesh virtuálních okruhů • Virtuální okruhy musí být poskytnuty manuálně • Šířka pásma je přidělována na site-to-site bázi • Vzniká encapsulation overhead
• Peer-to-Peer VPN • • • •
Service-provider se účastní na směrování zákazníka SP se stává odpovědným za konvergence zákazníka PE směrovače přenášejí všechny routy od všech zákazníků SP potřebuje detailnější znalosti IP směrování
| 39
VPN Topologie
| 40
Kategorie VPN topologií • Overlay VPN jsou roztříděné na základě topologie virtuálních okruhů: • • • •
Hub-and-spoke topologie (Redundant) Partial-mesh topologie Full-mesh topologie Multi-level topologie – kombinuje několik úrovní Overlay VPN topologií
| 41
Overlay VPN Redundant Hub-And-Spoke
Remote site (spoke)
Central site (HUB)
Redundant Central site router
Redundant Central site router
Service Provider Network
Remote site (spoke)
Remote site (spoke)
Remote site (spoke)
| 42
Overlay VPN Partial Mesh
Guam
Moscow
New York
Virtual circuits (Frame Relay DLCI)
Berlin
Hong Kong
Sydney
| 43
Overlay VPN Multi-Level Hub-and-Spoke
Distribution site Remote site (spoke) Distribution-layer router
Central site (hub)
Redundant central site router
Remote site (spoke)
Service Provider Network
Remote site (spoke)
Redundant central site router
Distribution-layer router
Remote site (spoke)
Distribution site | 44
Kategorie “Business“ VPN • Rozdělení VPN podle “business needs“: • Intranet VPN – spojují lokality uvnitř organizace • Extranet VPN – spojují různé organizace se zabezpečením • Access VPN – Virtual Private Dialup Network (VPDN) poskytují dial-up přístup do sítě zákazníka
| 45
Extranet VPN: Implementace Overlay VPN
Frame Relay Virtual Circuits (DLCI)
GlobalMotors Firewall
Provider IP backbone BoltsAndNuts Frame Relay switch
Firewall
Frame Relay switch
AirFilters Inc.
Firewall
Firewall
SuperBrakes Inc.
Frame Relay switch
Frame Relay switch
Firewall
| 46
Extranet VPN: Implementace Peer-to-Peer VPN
GlobalMotors
Provider IP backbone
Firewall
Provider edge (PE) router
Firewall
Provider edge (PE) router
BoltsAndNuts
Provider edge (PE) router
AirFilters Inc.
Firewall
Firewall
SuperBrakes Inc.
Provider edge (PE) router
Provider edge (PE) router
Firewall
| 47
Kategorie VPN konektivit • VPNs mohou být tříděny podle požadavků na konektivitu mezi lokalitami: • Simple VPN – každá lokalita může komunikovat s ostatními v rámci své VPN • Overlapping VPN – některé lokality jsou zapojeny ve více než jen v jedné VPN • Central Services VPN – všechny lokality mohou komunikovat s centrálními servery, ale ne mezi sebou navzájem • Managed Network – dedikovaná VPN vytvořená pro management CE směrovačů
| 48
Central Services Extranet
Amsterdam
Service provider Extranet Infrastructure
Customer A
VoIP GW
Customer B
London
VoIP GW
Paris
Customer C
VoIP GW
Service Provider Network
| 49
Central Services Extranet—Hybrid (Overlay + P2P) Implementation
Amsterdam
VoIP GW
Service provider Extranet Infrastructure
London Provider Edge Router
Frame Relay Edge switch
Service Provider Network
Customer B
Frame Relay Edge switch
Provider Edge Router
Paris
VoIP GW
Customer A
Provider Edge Router Provider Edge Router
VoIP GW
Frame Relay Infrastructure
Provider Edge Router
Customer C Frame Relay Edge switch
Frame Relay Virtual Circuit
| 50
Architektura MPLS VPN
| 51
Architektura MPLS VPN • MPLS VPN kombinují nejlepší rysy overlay VPN a peer-to-peer VPN • PE směrovače se podílejí na směrování zákazníka, garantují optimální směrování mezi lokalitami a snadný provisioning • PE směrovače přenášejí separátní množiny cest každého zákazníka • Zákazníci mohou používat překryv adres
| 52
Výhody MPLS VPN • Technologie MPLS VPN má všechny výhody peer-to-peer VPN • Jednoduchý provisioning • Optimální směrování
• Také obchází většinu nevýhod tradičních peer-to-peer VPNs • Route Distinguishers umožňují překrývání zákaznických adresních prostorů • Route targets umožňují topologie které byly těžko implementovatelné jinými VPN technologiemi
| 53
Route Distinguisher • Route Distinguisher (RD) je a 64-bitové rozšíření IPv4 adresy pro zajištění její jedinečnosti • Výsledná 96-bit adresa je zvaná VPNv4 adresa • VPNv4 adresy jsou vyměňovány pomocí BGP jenom mezi PE směrovači • BGP které podporuje jiné rodiny adres než jen IPv4 adresy je zvané jako multi-protocol BGP
| 54
Použití Route Distinguisher-u v MPLS VPN K IPv4 prefixu zákazníka je přidán 64bitový Route Distinguisher pro zajištění globální jedinečnosti, výsledek: 96-bitový VPNv4 prefix
P-network
96-bitový VPNv4 prefix je šířen pomocí BGP k dalšímu PE routeru
Customer-A
Customer-A
PE-1
PE-2 Customer-B
Customer-B
CE-router pošle IPv4 směrovací update pro PE-router
| 55
Použití Route Distinguisher-u v MPLS VPN Route Distinguisher je odstraněn z VPNv4 prefixu, výsledkem je opět 32-bitový IPv4 prefix
P-network Customer-A
Customer-A
PE-1 Customer-B
PE-2 Customer-B
PE router pošle výsledný IPv4 prefix dále k CE routeru
| 56
Route Targets • Některé lokality se musí učastnit ve více než jedné VPN – route distinguisher nemůže identifikovat účastnictví ve VPN • Je potřeba jiné metody kde soubor identifikátorů může být připojen k route • Route Targets byly zavedeny v architektuře MPLS VPN pro podporu komplexních VPN topologií
| 57
Co jsou Route Targets? • Route Targets jsou dodatečné atributy připojené ke VPNv4 BGP routám pro indikaci VPN členství • Extended BGP communities jsou použity pro zakódování těchto atributů • Extended communities nesou význam atributu společně se svou hodnotou
• K jedné routě může být připojen libovolný počet “route targets“
| 58
Požadavky MPLS VPN směrování • Zákaznické směrovače (CE-routers) musí mít spuštěn standardní IP směrovací software • Provider core směrovače (P-routers) nepřenáší VPN cesty • Provider edge směrovače (PE-routers) musí podporovat MPLS VPN a Internet routing
| 59
MPLS VPN Routing: Pohled CE-Routeru
MPLS VPN Backbone CE-router PE-router CE-router
• Zákaznické směrovače používají standardní IP směrovací software a vyměňují směrovací updaty s PE-routerem • Jsou podporovány EBGP, OSPF, RIPv2, EIGRP, IS-IS nebo statické cesty • PE-router se jeví jako jiný směrovač v síti zákazníka | 60
MPLS VPN Routing: Celkový pohled zákazníků
BGP backbone PE-router
PE-router
CE-router
Site IGP
Site IGP
Site IGP
• PE-routery se jeví jako páteřní směrovače připojené přes BGP páteř k zákazníkovi • Platí obvyklá pravidla designu BGP/IGP • P-routery jsou pro zákazníka skryté | 61
MPLS VPN Routing: Pohled P-Routeru
MPLS VPN Backbone
PE-router
P-router
PE-router
• P-routery se neúčastní na MPLS VPN směrování ani nepřenáší VPN cesty • P-routery používají backbone IGP s PE-routery a vyměňují si informace o globálních subnetách (linky a loopbacky v core)
| 62
MPLS VPN Routing: Pohled PE-Routeru
MPLS VPN Backbone MP-BGP
CE-router VPN routing
PE-router Core IGP
CE-router
CE-router
P-router
PE-router
VPN routing
Core IGP
CE-router
• PE-routery: • Vyměňují VPN cesty s CE-routery pomocí per-VPN směrovacích protokolů • Vyměňují core cesty s P-routery a PE-routery přes core IGP • Vyměňují VPNv4 cesty s ostatními PE-routery přes multi-protocol IBGP sessions | 63
Směrovací tabulky na PE-Routerech MPLS VPN Backbone CE-router VPN routing
MP-BGP
PE-router
P-router
Core IGP
CE-router
VPN routing
CE-router
PE-router
Core IGP
IPv4 BGP for Internet
CE-router
• PE-routery obsahují několik směrovacích tabulek: • Globální směrovací tabulky které obsahují core cesty (vyplňované od core IGP) a Internetové cesty (vyplňované od IPv4 BGP) • Virtual Routing and Forwarding (VRF) tabulky pro množiny lokalit se stejnými směrovacími požadavky • VRFs jsou plněny informacemi z CE-routerů a MP-BGP informacemi z PE-routerů
| 64
MPLS VPN End-to-End Routing Information Flow (1/3) MPLS VPN Backbone CE-router
CE-router
IPv4 update PE-router
CE-router
P-router
PE-router
CE-router
• PE-routery obdrží IPv4 směrovací updaty od CE-routerů a instalují je do odpovídajících Virtual Routing and Forwarding (VRF) tabulek
| 65
MPLS VPN End-to-End Routing Information Flow (2/3) MPLS VPN Backbone CE-router
CE-router
MP-BGP update
IPv4 update PE-router
CE-router
P-router
PE-router
CE-router
• PE-routery exportují VPN cesty z VRF do MP-IBGP a propagují je jako VPNv4 cesty k jiným PErouterům • Mezi PE-routery je třeba full mesh IBGP sessions | 66
MPLS VPN End-to-End Routing Information Flow (3/3) MPLS VPN Backbone CE-router
CE-router
MP-BGP update
IPv4 update PE-router
CE-router
P-router
IPv4 update PE-router
CE-router
• Přijímací PE-router importuje přicházející VPNv4 cesty do odpovídajících VRF na základě route targets připojených k cestám • Cesty instalované do VRF jsou propagovány k CE-routerům | 67
VPN Packet Forwarding přes MPLS VPN Backbone MPLS VPN Backbone IP
CE-router IP
CE-router
V
L1
IP
V
L2
IP
V
L3
CE-router IP
Ingress-PE
P-router
P-router
Egress-PE CE-router
• Jak PE routery forwardují VPN pakety přes MPLS VPN backbone? • Přidávají do VPN paketů label stack. LDP značka je pro egress PE-router jako top label, VPN značka je přidělena egress PErouterem jako second label ve stacku pro identifikaci příslušnosti do VRF. | 68
Příklad MPLS VPN
| 69
MPLS VPN mechanismy Site-4
logický pohled
Site-1
VPN-C
VPN-A Site-3
Site-2
VPN-B
Multihop MP-iBGP P
P
PE
VRF for site-1 Site-1 routes Site-2 routes
Site-1
routing pohled
PE
VRF for site-2 Site-1 routes Site-2 routes Site-3 routes
Site-2
VRF for site-3 Site-2 routes Site-3 routes Site-4 routes
Site-3
VRF for site-4 Site-3 routes Site-4 routes
Site-4
| 70
CLI – VRF konfigurace Site-4 Site-1 ip vrf site1 rd 100:1 route-target route-target ip vrf site2 rd 100:2 route-target route-target route-target route-target
VPN-C
VPN-A Site-2
export 100:1 import 100:1
export import import export
100:2 100:2 100:1 100:1
Site-1
Site-3
VPN-B
Multihop MP-iBGP PE1
VRF for site-1 (100:1) Site-1 routes Site-2 routes
ip vrf site3 rd 100:3 route-target route-target route-target route-target ip vrf site-4 rd 100:4 route-target route-target
P
P
export 100:2 import 100:2 import 100:3 export 100:3
export 100:3 import 100:3
PE2
VRF for site-2 (100:2) Site-1 routes Site-2 routes Site-3 routes
Site-2
VRF for site-3 (100:3) Site-2 routes Site-3 routes Site-4 routes
Site-3
VRF for site-4 (100:4) Site-3 routes Site-4 routes
Site-4
| 71
MPLS VPN – konfigurace PE/CE směrovací protokoly ip vrf site1 rd 100:1 route-target export route-target import ip vrf site2 rd 100:2 route-target export route-target import route-target import route-target export ! interface Serial3/6 ip vrf forwarding site1 ip address 192.168.61.6 encapsulation ppp ! interface Serial3/7 ip vrf forwarding site2 ip address 192.168.62.6 encapsulation ppp
Site-4 Site-1
100:12 100:12
ip vrf site3 rd 100:3 route-target export route-target import route-target import route-target export ip vrf site-4 rd 100:4 route-target export route-target import ! interface Serial4/6 ip vrf forwarding site3 ip address 192.168.73.7 encapsulation ppp ! interface Serial4/7 ip vrf forwarding site4 ip address 192.168.74.7 encapsulation ppp
VPN-C
VPN-A Site-2
100:12 100:12 100:23 100:23
Site-3
VPN-B
Multihop MP-iBGP 255.255.255.0
P
P
255.255.255.0
PE2
PE1 VRF for site-1 (100:1) Site-1 routes Site-2 routes
Site-1
VRF for site-2 (100:2) Site-1 routes Site-2 routes Site-3 routes
Site-2
VRF for site-3 (100:3) Site-2 routes Site-3 routes Site-4 routes
Site-3
100:23 100:23 100:34 100:34
100:34 100:34
255.255.255.0
255.255.255.0
VRF for site-4 (100:4) Site-3 routes Site-4 routes
Site-4
| 72
MPLS VPN – konfigurace PE/CE směrovací protokoly Site-4 router bgp 100 no bgp default ipv4-unicast neighbor 7.7.7.7 remote-as 100 neighbor 7.7.7.7 update-source Loop0 ! address-family ipv4 vrf site2 neighbor 192.168.62.2 remote-as 65502 neighbor 192.168.62.2 activate exit-address-family ! address-family ipv4 vrf site1 neighbor 192.168.61.1 remote-as 65501 neighbor 192.168.61.1 activate exit-address-family ! address-family vpnv4 neighbor 7.7.7.7 activate neighbor 7.7.7.7 next-hop-self exit-address-family
Site-1
router bgp 100 no bgp default ipv4-unicast neighbor 6.6.6.6 remote-as 100 neighbor 6.6.6.6 update-source Loop0 ! address-family ipv4 vrf site4 neighbor 192.168.74.4 remote-as 65504 neighbor 192.168.74.4 activate exit-address-family ! address-family ipv4 vrf site3 neighbor 192.168.73.3 remote-as 65503 neighbor 192.168.73.3 activate exit-address-family ! address-family vpnv4 neighbor 6.6.6.6 activate neighbor 6.6.6.6 next-hop-self exit-address-family
VPN-C
VPN-A Site-3
Site-2
VPN-B Multihop MP-iBGP
P
P
PE2
PE1 VRF for site-1 (100:1) Site-1 routes Site-2 routes
Site-1
VRF for site-2 (100:2) Site-1 routes Site-2 routes Site-3 routes
Site-2
VRF for site-3 (100:2) Site-2 routes Site-3 routes Site-4 routes
Site-3
VRF for site-4 (100:3) Site-3 routes Site-4 routes
Site-4
| 73
MPLS Security
| 74
MPLS Security (1) • MPLS VPN bezpečnost je srovnatelná s bezpečností na FR/ATM VPN-kách bez šifrování dat • Zákazník stále může použít IPSec mechanismy: CE-CE IPsec šifrování ATM/FR
MPLS
Adresní prostor
ANO
ANO
Oddělení směrování
ANO
ANO
Odolnost proti útokům
ANO
ANO
Odolnost proti podvržení značky
ANO
ANO
“CISCO MPLS-BASED VPNS: EQUIVALENT TO THE SECURITY OF FRAME RELAY AND ATM” MIERCOM STUDY | 75
MPLS Security (2) Co může být napadeno? VPN A
X
Label
VPN B Jen vstupní část
VPN A
IP
MPLS SP Core
VPN C MP-iBGP • •
VPN C
Již je vestavěná bezpečnost v „control“ a „forwarding plane“ takže neakceptuje provoz z neautorizovaných zdrojů do MPLS, stále ale může být mezera v bezpečnosti z IP sítě Kde může být útočeno? • •
•
VPN B
Na adresy a směrování: Jen jedno místo pro útok: peering PE
Jak? • •
- Průniky (telnet, SNMP, …, směrovací protokol) - DoS | 76
MPLS Security (3) Doporučení • Zabezpečit VPN proti vlastním uživatelům • •
Zabezpečit CE použitím privilege levels, ACL, enable hesla, atd. Používat AAA pro authentication uživatelů
• Zabezpečit směrovací protokoly mezi CE a PE • • • • •
Pokud je to možné použít statické směrování Použít Route mapy Použít MD5 authentication s LDP, MP-BGP a ostatní CE-PE směrovací protokoly Použít BGP dampening, filtering, maximum-prefix Skrýt MPLS síť před zákazníky ttl-propagation
• Zabezpečit zdroje na PE • Omezit počet routes ve VRF • Zakázat Telnet přístup do VPN, privilege levels, ACL, enable hesla, atd. • Použít Class Based Policing pro omezení (rate limiting) režijního provozu (specielně UDP)
| 77
MPLS Security (4) Bezpečný MPLS core
| 78
MPLS Security (5) Další doporučení • Bezpečnější „Internet connectivity design“ • • • •
Oddělit linky pro Internet a VPN provoz Oddělit PE pro Internet a VPN služby Oddělit Internet služby od MPLS VPN sítě Používat distribuované nebo centralizované virtuální Firewall pro VPN • Cisco 7600 s FWSM modulem • Ostatní Cisco IOS Software s VRF a FW nebo ASA
• Použít šifrování tam kde je potřeba • CE-CE IPsec tunely přes MPLS VPN síť • VRF aware IPsec: per VRF/VPN IPsec Tunnel
| 79
MPLS Security (6) VRF Aware IPsec Branch Office
Access/ Peering PoPs
A Local or DirectDial ISP
Leased Line/ Frame Relay/ATM/ DSL Dedicated Access
MPLS Core
PE1
PE2 MPLS
Internet
IP
IPsec session
B MPLS VPNs
Cable/DSL/ ISDN ISP Remote Users/ Telecommuters Cisco VPN client software je začátkem tunelu pro přístup do VPN; router zahájí site-to-site tunel s VPN koncentrátorem
Corporate Intranet
VLANs Bi-Directional IPSec Session
Cisco router ukončí IPsec tunely a mapuje spojení do MPLS VPN 21223*228
MPLS VPNs
VLANs
IP | 80
L2 MPLS VPNs
| 81
Layer 2 VPNs • • • • •
Přiřadí label pro L2 „okruh“ Vyměňují si labely s ostatními PE Encapsulují příchozí provoz (Layer 2 frames) Přidají label (naučený z komunikace s PE) Forward jako MPLS packet (L2 zabalený do MPLS posílaný přes LSP) • Na výstupu • Podívá se na label • Přepošle paket na příslušný L2 „okruh“ Podobné L3 VPN | 82
AToM Deployment Example
Customer A Datacenter1
Customer A Datacenter2
Ethernet o MPLS Tunnel Cells/frames with labelsc
CE1 Metro Ethernet
CE2
Ethernet o MPLS Tunnel CE1
PE1
MPLS Backbone
PE
PE2
Metro Ethernet
CE2
PE
ATM o MPLS Tunnel Virtual Leased Line
ATM
ATM o MPLS Tunnel
ATM Virtual Circuits
CPE Routers
CPE Routers
| 83
Virtual Private LAN Services (VPLS) Attachment VCs are Port Mode or VLAN ID
CE1
102 PE1
MAC 1
Root Bridge
PE3
Data PE2
MPLS Core Forms Tunnel LSPs
MAC 1 Common VC ID between PEs creates a Virtual Switching Instance
MAC 2
201
MAC 1
E0/0
MAC x
xxx
Root Bridge
MAC Address Adj MAC 2 E0/1
• •
CE3 Data
MAC 1
MAC 2
CE2 MAC 2
Full mesh of directed LDP sessions exchange VC labels
MAC Address Adj MAC 2
Root Bridge
201
MAC 1
102
MAC x
xxx
VPLS defines an architecture that delivers Ethernet Multipoint Services (EMS) over an MPLS network VPLS operation emulates an IEEE Ethernet bridge. Two VPLS drafts in existence • Draft-ietf-l2vpn-vpls-ldp-01 Cisco’s implementation • Draft-ietf-l2vpn-vpls-bgp-01 | 84
VPLS and H-VPLS H-VPLS VPLS 192.168.11.1/24
192.168.11.11/24
192.168.11.25/24
u-PE PE-CLE MTU-s
GE
n-PE PE-POP PE-rs
Ethernet Edge Point-to-Point or Ring 192.168.11.2/24
PW
MPLS Core
n-PE PE-POP PE-rs
u-PE PE-CLE MTU-s
MPLS Edge
192.168.11.12/24
VPLS Direct Attachment • Single flat hierarchy • MPLS to the edge
| 85
Příklady MPLS sítí
| 86
Příklad I: Service Provider poskytující MPLS služby CustomerA
VPN A PE1
VM
HQ VPN A
MPLS Service P1 Provider P2
FR/ATM
VM
PE2
Branch Office Local or Direct Dial ISP
Provider Networks
MPLS to IPsec/PE
Customer A VPN B
Internet
Remote Users/ Telecommuters
PE3
VM
VM
VPN B
Customer B
Business Partner VPN C
Služby zahrnují MAN a WAN oblasti: MPLS Intranet a Extranet L3 VPN, Multicast VPN, Internet VPN, Encryption & Firewall Services, Remote Access k MPLS službám atd.
| 87
Příklad II:
Podniková síť s SP C1-Hub Site
Egress PE
MPLS Service Provider
Ingress PE
L2
Připojení MPLS VPN lokalit do podnikové VPN sítě se samostatným přenosem přes SP MPLS VPN síť
v
CE
VLAN1-VPN Green VLAN2-Blue
VPN Blue Site C1
v Notice, Multi-VRF not necessary at remote sites
Multi-VRF VPNRed VPNGreen 802.1Q
v
v
v
v
v
L2
VPN Green Site C1
Each SubInterface associated with different VPN
v
Layer 3
VLAN3-Red
VPN Red Site C1
v
| 88
Příklad III: Celá MPLS VPN podniková síť
P
Layer 3
CE (multi-VRF) L2 Access Multi-VRF-CE v Distribution BGP/MPLS VPN v Core Multi-VRF mezi Core a Distribution
L2
• • • •
PE w/VRF
MP-iBGP VPN2
L2
VPN1 802.1Q BGP/MPLS VPN
| 89
Kde se dozvědět více o MPLS A0
Základy
A2
A1
Základy přepínače
Základy směrovače
X1
MNG
RS1
Rozšíření přepínače
RS2 OSPF
RS3 BGP
RS4 ISIS
RS5 ATM
RS6 IPv6
RS9 QoS
RS12 Základy MCAST
X2 CSS
X3
RS8
Rozšíření MPLS
RS7
Základy MPLS
RS13
SCE
Rozšíření MCAST
Nebo na Cisco školení Implementace MPLS
| 90
KONEC
www.alef.com
PRAHA | BRATISLAVA | BUDAPEST