Technologie MPLS. ALEF NULA, a.s.

Transkript

1 Technologie MPLS ALEF NULA, a.s.

2 Obsah Úvod MPLS Architektura MPLS Topologie MPLS sítí MPLS VPN Bezpečnost v MPLS L2 VPN 2

3 Úvod 3

4 Proč MPLS? Ekonomické řešení podporující množství aplikací Eliminuje nutnost nadbytečných/dedikovaných přístupových linek Integruje separátní sítě do jedné konvergované infrastruktury Škálovatelné členění podporující bezpečnou síťovou infrastrukturu VPNs pro organizace, organizační složky, oddělení, kritické aplikace, extranet, staré protocoly, replikace mezi datacentry, guest Internet access, bezpečný přístup externím správcům, služby IT Řízení kapacit (Bandwidth Management) Unequal cost load balancing, záložní linky, rychlejší obnova po výpadku, Virtual Leased Lines pro speciální aplikace Zjednodušené provozování Zjednodušená konfigurace WAN spojení, managementu a troubleshooting Zmenšení počtu spojení, IP adres atd. Univerzální konektivita Podporuje tradiční i nové IP služby přes sjednocenou infrastrukturu 4

5 MPLS... Co to je? MPLS = Multiprotocol Label Switching MPLS je forwarding mechanismus při kterém síťové prvky přepínají pakety (switching) podle značek (labels) které si paket nese s sebou Značky mohou odpovídat cílovým IP sítím (stejně jako tradiční IP forwarding) Značky ale také mohou korespondovat s jinými parametry (VPN, QoS, zdrojová adresa atd.) MPLS bylo navrženo ne jen pro IP, ale také s podporou forwardingu jiných protokolů nebo L2 technologií (multiprotocol) MPLS pakety mohou být přenášeny různými přenosovými technologiemi jako ATM, FR, PPP, POS, Ethernet 5

6 MPLS: Nový průmyslový standard pro Service Providers & Enterprise Kde se to vzalo? IETF průmyslový standard Založen na technologii tag switching-u fy Cisco Systems Jak to funguje? MPLS forwarduje pakety podle značek (labels) Pakety jsou přepínané - NEjsou směrované!!! Značky reprezentují destinaci a atributy služeb (CoS, Privacy VPNs, Traffic Engineering) MPLS má různé mechanismy pro přidělování a distribuci značek Tag Distribution Protocol / Label Distribution Protocol (LDP) Resource Reservation Protocol (RSVP-TE) Border Gateway Protocol Version 4 (MP-BGP) 6

7 Jak chápat MPLS MPLS je z pohledu zákazníka potřeba chápat jako transportní infrastruktura (např. Frame Relay, ATM). MPLS techlologie je určená pro velké sítě, především pro Service Providery a velké podnikové sítě pracující s vlastní IP infrastrukturou. MPLS umožňuje jednoduchou integraci s instalovanou strukturou ATM. MPLS poskytuje další aplikace jako: MPLS VPN MPLS Traffic Engeneering MPLS QoS MPLS AToM, SAToP (Structure-Agnostic TDM over Packet) MPLS umožňuje rychlejší a jednodušší aplikaci nových služeb. 7

8 MPLS komponenty - MPLS core, MPLS Edge, Customer Edge 1. Ingress Edge: Label imposition Klasifikace & značkování paketů 2. Core: Label swapping nebo switching Posílání na základě značek (ne IP adres); značka identifikuje třídu služby a cíl PE P Edge Label Switch Router (LER) nebo Provider Edge- PE (Router/ATM Switch) P PE 3. Egress Edge: Label disposition Odstranění značky a poslání paketu PE Customer A Customer B CE LSR = Label Switch Router Label Switch Router (LSR) nebo P (Provider) router Router nebo ATM switch + label switch controller 8

9 Princip MPLS příklad Odstranění značky a routing lookup L=30 Label Swapping L=50 L=30 Routing lookup a přiřazení značky /8 L=50 Routing (L3) lookup vykonávají pouze edge routery. Core routery přepínají pakety podle jednoduchých label (L2) lookupů a prohazují značky (label swap). 9

10 MPLS nic nového?? Nový přístup který přebírá to nejlepší z obou světů síťových technologií: Privátnost a QoS u ATM a Frame Relay Flexibilitu a škálovatelnost IP Základ pro IP business služby: Flexibilní grouping uživatelů a value-added služby Levně spravované IP služby: Škálovatelnost od malých po velké privátní sítě 10

11 MPLS: První kompletní řešení pro IP Any-to-Any Connectivity QoS Privacy Low-Cost User Network Managed Services Leased Lines N 2 N 2 OK OK Frame-Relay ATM N 2 N 2 OK OK IP N N MPLS N N OK OK OK MPLS je řešení, které splňuje všechny požadavky na New World privátní IP sítě. 11

12 Proč MPLS v síti? Integruje to nejlepší z Layer 2 a Layer 3 drží krok s růstem sítě redukuje operační náklady zvyšuje spolehlivost vytváří základ pro nové výnosy (advanced IP služby) 12

13 Switching technické výhody Výhody switchingu proti routingu výkonnost Faster transit time Less jitter (delay) Packet prioritization Flexible routing škálovatelnost a jednoduchost snadnější management IP IP Address MPLS Label Data Link IP DLC IP MPLS DLC 13

14 Výkonnost Rychlejší transit než IP routing Vyžaduje méně CPU a paměti Forw. table index lookup oproti best fit IP address lookup Jednoduchý protokol jednoduchá implementace v ASIC Menší forwarding table obsahuje pouze známé LSRs oproti všem známým IP sítím směrovací tabulka Internetu obsahuje více než položek Forwarding Table IP MPLS Forwarding Table IP MPLS Routed Packet Data Link Switched Packet Data Link 14

15 Výkonnost Traffic engineering umožňuje flexibilní routing Úspory Poruchové scénáře Neočekávaný provoz Link Failure 300 Mbps Traffic Flow 155 Mbps Fiber Link 15

16 MPLS a škálovatelnost směrování Škálovatelnost int. směrování méně adjacencies Škálovatelnost ext. směrování plná podpora BGP4 16

17 Jiný/Nový přístup pro správu sítí Odděleně budované zákaznické privátní IP sítě Vs. Jediná přenosová síť pro vícero zákaznických IP VPNs Build once, sell once Build once, sell many MPLS Network 17

18 VPN VPN C VPN B VPN A VPN C Multicast VPN B Hosting Intranet VPN A VPN A VoIP Extranet VPN B VPN C VPN A VPN B VPN C Overlay VPN ACLs, ATM/FR, IP tunnels, IPsec, etc. requiring n*(n-1) peering points Transport dependent Groups endpoints, not groups Pushes content outside the network Costs scale exponentially NAT necessary for overlapping address space Limited scaling QoS complexity MPLS-Based VPNs Point to cloud single point of connectivity Transport independent Easy grouping of users and services Enables content hosting inside the network Flat cost curve Supports private overlapping IP addresses Scalable to over millions of VPNs Per VPN QoS 18

19 Nižší operační náklady Overlay VPN MPLS-Based VPN LSR CPE 1.Aktualizace traffic matrix 2.Add (N 1) PVCs pro nové CPE 3.Resize full PVC mesh 4.Update OSPF design 5.Rekonfigurace každého CPE pro novou Layer 3 topologii 1. Konfigurace nového CPE 2. Aktualizace Edge LSR 19

20 Vývoj MPLS Cisco calls a BOF at IETF to standardize tag switching MPLS Group formally chartered by IETF Cisco ships MPLS (tag switching) MPLS VPN deployed Cisco ships MPLS TE TE deployed Large scale deployment AToM services Layer 2 Interworking Bandwidth Protection mvpns MPLS OAM VPLS Interprovider capabilities GMPLS HA Security VPLS Services /3 2004/ Time 20

21 MPLS je základ pro služby s přidanou hodnotou VPN Traffic Engineering IP+ATM IP+Optical GMPLS Any Transport over MPLS (AToM) MPLS Network Infrastructure 21

22 MPLS Technologie s plně integrovanými síťovými službami L3 směrovací protokoly mezi PE-CE Static, RIP, OSPF, EIGRP, ebgp IP služby - NAT, DHCP, HSRP, VRRP pro VPN na PE směrovačích Traffic Engineering pro zajištění šířky pásma (bandwidth protection) a obnovu CE PE IP/MPLS Backbone Internet Gateway Internet CE PE CE QoS mechanismy jako queuing a policing konfigurované na CE a PE směrovačích Legend Layer 3 VPN Layer 2 VPN Traffic Engineering Podpora L2 okruhů Ethernet, ATM, Frame Relay, PPP, HDLC CE Layer 3 VPNs & Layer 2 VPNs, Traffic Engineering + QoS + IP Services 22

23 Podpora MPLS na Cisco produktech Podporovaná zařízení 2900, ASR ASR CRS-1, CRS-3 ME-3750 ME 3600, ME3800 ASR 901, ASR ME6500 Poznámka Zařízení jsou odvozena od podpory MPLS-VPN a LDP. Některé nižší zařízení podporují nějaké základní MPLS CE vlastnosti Multi-VRF CE (VRF-Lite). Například: 3560 (Vyžaduje IP Services) ME3400 Důležité: Některé vlastnosti jsou závislé na modelu, rozhraní (to jest Line Cards & Port Adapters), a/nebo vyžadují specielní software licenci. 23

24 MPLS architektura 24

25 MPLS architektura Architektura MPLS uzlu je rozčleněna na dvě základní komponenty: Control komponenta (Control plane) vyměňuje layer-3 směrovací informace a značky Forwarding komponenta (Data plane) forwarduje pakety podle značek Poskytuje oddělení forwardovací & control roviny forwardování by nemělo být přerušováno změnou hodnot přidělených značek 25

26 MPLS architektura (pok.) OSPF: /8 Control Plane OSPF OSPF: /8 LDP: /8 Label 17 LDP LDP: /8 Label 40 Labeled Packet Label 17 Data Plane LFIB Labeled Packet Label 40 Funkčně je router rozdělen do dvou hlavních částí: control plane data plane. 26

27 Řídící komponenta MPLS uvádí se jako MPLS Control Plane obsahuje komplexní mechanismy pro výměnu směrovacích informací (OSPF, EIGRP, IS-IS, RIP, BGP, atd.) a značek (TDP, LDP, BGP, RSVP, atd.). odpovědná za vytváření a údržbu label forwarding informace (známé jako label bindings) údržba obsahu label switching table (label forwarding information base, neboli LFIB). forwarding informace je získána z FIB forwarding tabulka odkazuje na next-hop informace pro správný výběr značek mapování značek je distribuováno label distribučním protokolem 27

28 MPLS Control Plane Na každém MPLS uzlu (LSR) musí běžet: 1.IGP (nebo statické směrování) pro výměnu IP prefix informace s jinými MPLS uzly může být libovolný směrovací protokol doporučen link-state kvůli TE každý MPLS uzel má IP router uvnitř control plane včetně ATM přepínačů v cell-mode MPLS 2.label distribution protocol pro výměnu label binding informace určuje značku do MPLS forwardovací tabulky může mít několik sousedů next-hop z IP forwardovací tabulky vybírá značky do MPLS forwardovací tabulky 28

29 Forwarding komponenta MPLS uvádí se jako MPLS Data Plane odpovědná za forwarding paketů/buněk podle značek používá label forwarding databázi udržovanou LSR uzlem používá jednoduchý forwarding engine. 29

30 Frame mode MPLS Frame Header IP Header Layer 2 Layer 3 Payload Vyhodnocení směrování a přiřazení značky Frame Header Label IP Header Payload Layer 2 Layer 2½ Layer 3 LABEL EXP S TTL

31 Technologie MPLS/VPN 31

32 VPN sítě 32

33 Virtuální privátní sítě - VPN Virtual Circuit (VC) #1 Customer site Customer Premises router (CPE) Provider edge device (Frame Relay switch) Provider core device PE device PE device CPE router Other CPE router customer routers Large customer site Virtual Circuit (VC) #2 Service Provider Network Virtuální privátní sítě nahradily dedikované point-to-point linky emulovanými point-to-point linkami sdílejícími běžnou infrastrukturu Zákazníci používají VPNs primárně pro sníženi svých operačních nákladů 33

34 VPN implementační technologie Nabízené VPN služby mohou být založeny na dvou hlavních principech: Overlay VPN Service Provide poskytuje virtuální point-to-point linky mezi lokalitami zákazníka Peer-to-Peer VPN Service Provider se podílí na směrování VPN sítí zákazníka 34

35 Overlay VPN implementace (příklad pro Frame Relay) Customer Site Virtual Circuit (VC) #2 Customer Site Router A Customer Site (VC) #1 Provider Edge Device (Frame Relay Switch) Frame Relay Edge Switch Router C Customer Site Router B Frame Relay Edge Switch Virtual Circuit (VC) #3 Frame Relay Edge Switch Service Provider Network Router D 35

36 Koncept Peer-to-Peer VPN Customer Site Směrovací informace je vyměněna mezi routerem zákazníka a service-providera Service Provider Network Customer Site Router A Customer Site Provider Edge (PE) Router (PE) Router Router C Customer Site Router B Router D (PE) Router (PE) Router Routery service-providera vyměňují routy zákazníka přes core network Nakonec jsou routy zákazníka propagované přes síť service-providera poslány k ostatním routerům zákazníka 36

37 Systematika VPN Virtual Private Networks Virtual Networks Virtual Dialup Networks Virtual LANs Overlay VPN Peer-to-Peer VPN Layer 2 VPN X.25 F/R ATM Layer 3 VPN GRE IPSec Access Lists (Shared Router) Split Routing (Dedicated Router) MPLS VPN 37

38 Výhody různých implementací VPN Overlay VPN Známé a jednoduše implementovatelné Service-provider se nepodílí na routování zákazníka Síť zákazníka a síť service-providera jsou dobře oddělené Peer-to-Peer VPN Garance optimálního routování mezi lokalitami zákazníka Jednodušší poskytování dalších VPN Zaopatřovány jsou pouze lokality zákazníka a ne linky mezi nimi 38

39 Nevýhody různých implementací VPN Overlay VPN Implementace optimálního směrování vyžaduje full-mesh virtuálních okruhů Virtuální okruhy musí být poskytnuty manuálně Šířka pásma je přidělována na site-to-site bázi Vzniká encapsulation overhead Peer-to-Peer VPN Service-provider se účastní na směrování zákazníka SP se stává odpovědným za konvergence zákazníka PE směrovače přenášejí všechny routy od všech zákazníků SP potřebuje detailnější znalosti IP směrování 39

40 VPN Topologie 40

41 Kategorie VPN topologií Overlay VPN jsou roztříděné na základě topologie virtuálních okruhů: Hub-and-spoke topologie (Redundant) Partial-mesh topologie Full-mesh topologie Multi-level topologie kombinuje několik úrovní Overlay VPN topologií 41

42 Overlay VPN Redundant Hub-And-Spoke Remote site (spoke) Central site (HUB) Service Provider Network Remote site (spoke) Redundant Central site router Remote site (spoke) Redundant Central site router Remote site (spoke) 42

43 Overlay VPN Partial Mesh Guam New York Moscow Virtual circuits (Frame Relay DLCI) Hong Kong Berlin Sydney 43

44 Overlay VPN Multi-Level Hub-and-Spoke Distribution site Distribution-layer router Remote site (spoke) Central site (hub) Remote site (spoke) Redundant central site router Service Provider Network Remote site (spoke) Redundant central site router Distribution-layer router Distribution site Remote site (spoke) 44

45 Kategorie Business VPN Rozdělení VPN podle business needs : Intranet VPN spojují lokality uvnitř organizace Extranet VPN spojují různé organizace se zabezpečením Access VPN Virtual Private Dialup Network (VPDN) poskytují dial-up přístup do sítě zákazníka 45

46 Extranet VPN: Implementace Overlay VPN Frame Relay Virtual Circuits (DLCI) GlobalMotors Firewall Firewall Provider IP backbone Frame Relay switch Frame Relay switch BoltsAndNuts Firewall AirFilters Inc. SuperBrakes Inc. Firewall Frame Relay switch Frame Relay switch Firewall 46

47 Extranet VPN: Implementace Peer-to-Peer VPN GlobalMotors Firewall Provider IP backbone Provider edge (PE) router BoltsAndNuts Firewall Provider edge (PE) router Provider edge (PE) router Firewall AirFilters Inc. SuperBrakes Inc. Firewall Provider edge (PE) router Provider edge (PE) router Firewall 47

48 Kategorie VPN konektivit VPNs mohou být tříděny podle požadavků na konektivitu mezi lokalitami: Simple VPN každá lokalita může komunikovat s ostatními v rámci své VPN Overlapping VPN některé lokality jsou zapojeny ve více než jen v jedné VPN Central Services VPN všechny lokality mohou komunikovat s centrálními servery, ale ne mezi sebou navzájem Managed Network dedikovaná VPN vytvořená pro management CE směrovačů 48

49 Central Services Extranet Amsterdam Service provider Extranet Infrastructure Customer A VoIP GW London Customer B VoIP GW Paris Customer C VoIP GW Service Provider Network 49

50 Central Services Extranet Hybrid (Overlay + P2P) Implementation Amsterdam VoIP GW Service provider Extranet Infrastructure Provider Edge Router Frame Relay Infrastructure Customer A London Provider Edge Router Frame Relay Edge switch Customer B VoIP GW Provider Edge Router Frame Relay Edge switch Paris Provider Edge Router Customer C VoIP GW Provider Edge Router Frame Relay Edge switch Service Provider Network Frame Relay Virtual Circuit 50

51 Architektura MPLS VPN 51

52 Architektura MPLS VPN MPLS VPN kombinují nejlepší rysy overlay VPN a peer-to-peer VPN PE směrovače se podílejí na směrování zákazníka, garantují optimální směrování mezi lokalitami a snadný provisioning PE směrovače přenášejí separátní množiny cest každého zákazníka Zákazníci mohou používat překryv adres 52

53 Výhody MPLS VPN Technologie MPLS VPN má všechny výhody peer-to-peer VPN Jednoduchý provisioning Optimální směrování Také obchází většinu nevýhod tradičních peer-to-peer VPNs Route Distinguishers umožňují překrývání zákaznických adresních prostorů Route targets umožňují topologie které byly těžko implementovatelné jinými VPN technologiemi 53

54 Route Distinguisher Route Distinguisher (RD) je a 64-bitové rozšíření IPv4 adresy pro zajištění její jedinečnosti Výsledná 96-bit adresa je zvaná VPNv4 adresa VPNv4 adresy jsou vyměňovány pomocí BGP jenom mezi PE směrovači BGP které podporuje jiné rodiny adres než jen IPv4 adresy je zvané jako multi-protocol BGP 54

55 Použití Route Distinguisher-u v MPLS VPN K IPv4 prefixu zákazníka je přidán 64- bitový Route Distinguisher pro zajištění globální jedinečnosti, výsledek: 96-bitový VPNv4 prefix P-network 96-bitový VPNv4 prefix je šířen pomocí BGP k dalšímu PE routeru Customer-A Customer-A Customer-B PE-1 PE-2 CE-router pošle IPv4 směrovací update pro PE-router Customer-B 55

56 Použití Route Distinguisher-u v MPLS VPN Route Distinguisher je odstraněn z VPNv4 prefixu, výsledkem je opět 32-bitový IPv4 prefix P-network Customer-A Customer-A Customer-B PE-1 PE-2 Customer-B PE router pošle výsledný IPv4 prefix dále k CE routeru 56

57 Route Targets Některé lokality se musí učastnit ve více než jedné VPN route distinguisher nemůže identifikovat účastnictví ve VPN Je potřeba jiné metody kde soubor identifikátorů může být připojen k route Route Targets byly zavedeny v architektuře MPLS VPN pro podporu komplexních VPN topologií 57

58 Co jsou Route Targets? Route Targets jsou dodatečné atributy připojené ke VPNv4 BGP routám pro indikaci VPN členství Extended BGP communities jsou použity pro zakódování těchto atributů Extended communities nesou význam atributu společně se svou hodnotou K jedné routě může být připojen libovolný počet route targets 58

59 Požadavky MPLS VPN směrování Zákaznické směrovače (CE-routers) musí mít spuštěn standardní IP směrovací software Provider core směrovače (P-routers) nepřenáší VPN cesty Provider edge směrovače (PE-routers) musí podporovat MPLS VPN a Internet routing 59

60 MPLS VPN Routing: Pohled CE-Routeru CE-router MPLS VPN Backbone CE-router PE-router Zákaznické směrovače používají standardní IP směrovací software a vyměňují směrovací updaty s PE-routerem Jsou podporovány EBGP, OSPF, RIPv2, EIGRP, IS-IS nebo statické cesty PE-router se jeví jako jiný směrovač v síti zákazníka 60

61 MPLS VPN Routing: Celkový pohled zákazníků BGP backbone PE-router PE-router CE-router Site IGP Site IGP Site IGP PE-routery se jeví jako páteřní směrovače připojené přes BGP páteř k zákazníkovi Platí obvyklá pravidla designu BGP/IGP P-routery jsou pro zákazníka skryté 61

62 MPLS VPN Routing: Pohled P-Routeru MPLS VPN Backbone PE-router P-router PE-router P-routery se neúčastní na MPLS VPN směrování ani nepřenáší VPN cesty P-routery používají backbone IGP s PE-routery a vyměňují si informace o globálních subnetách (linky a loopbacky v core) 62

63 MPLS VPN Routing: Pohled PE-Routeru CE-router MPLS VPN Backbone MP-BGP CE-router VPN routing CE-router PE-routery: PE-router Core IGP P-router Core IGP PE-router VPN routing Vyměňují VPN cesty s CE-routery pomocí per-vpn směrovacích protokolů Vyměňují core cesty s P-routery a PE-routery přes core IGP CE-router Vyměňují VPNv4 cesty s ostatními PE-routery přes multi-protocol IBGP sessions 63

64 Směrovací tabulky na PE-Routerech MPLS VPN Backbone CE-router VPN routing MP-BGP VPN routing CE-router CE-router PE-router Core IGP P-router Core IGP IPv4 BGP for Internet PE-router CE-router PE-routery obsahují několik směrovacích tabulek: Globální směrovací tabulky které obsahují core cesty (vyplňované od core IGP) a Internetové cesty (vyplňované od IPv4 BGP) Virtual Routing and Forwarding (VRF) tabulky pro množiny lokalit se stejnými směrovacími požadavky VRFs jsou plněny informacemi z CE-routerů a MP-BGP informacemi z PE-routerů 64

65 MPLS VPN End-to-End Routing Information Flow (1/3) MPLS VPN Backbone CE-router CE-router IPv4 update PE-router P-router PE-router CE-router CE-router PE-routery obdrží IPv4 směrovací updaty od CE-routerů a instalují je do odpovídajících Virtual Routing and Forwarding (VRF) tabulek 65

66 MPLS VPN End-to-End Routing Information Flow (2/3) MPLS VPN Backbone CE-router CE-router IPv4 update PE-router MP-BGP update P-router PE-router CE-router CE-router PE-routery exportují VPN cesty z VRF do MP-IBGP a propagují je jako VPNv4 cesty k jiným PErouterům Mezi PE-routery je třeba full mesh IBGP sessions 66

67 MPLS VPN End-to-End Routing Information Flow (3/3) MPLS VPN Backbone CE-router CE-router IPv4 update MP-BGP update IPv4 update PE-router P-router PE-router CE-router CE-router Přijímací PE-router importuje přicházející VPNv4 cesty do odpovídajících VRF na základě route targets připojených k cestám Cesty instalované do VRF jsou propagovány k CE-routerům 67

68 VPN Packet Forwarding přes MPLS VPN Backbone CE-router MPLS VPN Backbone IP V L1 IP V L2 IP V L3 CE-router IP Ingress-PE P-router P-router Egress-PE IP CE-router CE-router Jak PE routery forwardují VPN pakety přes MPLS VPN backbone? Přidávají do VPN paketů label stack. LDP značka je pro egress PE-router jako top label, VPN značka je přidělena egress PErouterem jako second label ve stacku pro identifikaci příslušnosti do VRF. 68

69 Příklad MPLS VPN 69

70 MPLS VPN mechanismy logický pohled Site-1 VPN-A Site-4 VPN-C Multihop MP-iBGP Site-2 VPN-B Site-3 P P PE PE routing pohled VRF for site-1 Site-1 routes Site-2 routes VRF for site-2 Site-1 routes Site-2 routes Site-3 routes VRF for site-3 Site-2 routes Site-3 routes Site-4 routes VRF for site-4 Site-3 routes Site-4 routes Site-1 Site-2 Site-3 Site-4 70

71 CLI VRF konfigurace Site-4 ip vrf site1 rd 100:1 route-target export 100:1 route-target import 100:1 ip vrf site2 rd 100:2 route-target export 100:2 route-target import 100:2 route-target import 100:1 route-target export 100:1 PE1 Site-1 VPN-A Site-2 P VPN-B VPN-C Site-3 Multihop MP-iBGP P PE2 ip vrf site3 rd 100:3 route-target export 100:2 route-target import 100:2 route-target import 100:3 route-target export 100:3 ip vrf site-4 rd 100:4 route-target export 100:3 route-target import 100:3 VRF for site-1 (100:1) Site-1 routes Site-2 routes VRF for site-2 (100:2) Site-1 routes Site-2 routes Site-3 routes VRF for site-3 (100:3) Site-2 routes Site-3 routes Site-4 routes VRF for site-4 (100:4) Site-3 routes Site-4 routes Site-1 Site-2 Site-3 Site-4 71

72 MPLS VPN konfigurace PE/CE směrovací protokoly ip vrf site1 rd 100:1 route-target export 100:12 route-target import 100:12 ip vrf site2 rd 100:2 route-target export 100:12 route-target import 100:12 route-target import 100:23 route-target export 100:23! interface Serial3/6 ip vrf forwarding site1 ip address encapsulation ppp! interface Serial3/7 ip vrf forwarding site2 ip address encapsulation ppp Site-1 VPN-A Site-2 P PE1 VPN-B Site-3 Site-4 VPN-C Multihop MP-iBGP P PE2 ip vrf site3 rd 100:3 route-target export 100:23 route-target import 100:23 route-target import 100:34 route-target export 100:34 ip vrf site-4 rd 100:4 route-target export 100:34 route-target import 100:34! interface Serial4/6 ip vrf forwarding site3 ip address encapsulation ppp! interface Serial4/7 ip vrf forwarding site4 ip address encapsulation ppp VRF for site-1 (100:1) Site-1 routes Site-2 routes VRF for site-2 (100:2) Site-1 routes Site-2 routes Site-3 routes VRF for site-3 (100:3) Site-2 routes Site-3 routes Site-4 routes VRF for site-4 (100:4) Site-3 routes Site-4 routes Site-1 Site-2 Site-3 Site-4 72

73 MPLS VPN konfigurace PE/CE směrovací protokoly router bgp 100 no bgp default ipv4-unicast neighbor remote-as 100 neighbor update-source Loop0! address-family ipv4 vrf site2 neighbor remote-as neighbor activate exit-address-family! address-family ipv4 vrf site1 neighbor remote-as neighbor activate exit-address-family! address-family vpnv4 neighbor activate neighbor next-hop-self exit-address-family Site-1 VPN-A PE1 Site-2 P VPN-B Site-3 Site-4 VPN-C Multihop MP-iBGP P PE2 router bgp 100 no bgp default ipv4-unicast neighbor remote-as 100 neighbor update-source Loop0! address-family ipv4 vrf site4 neighbor remote-as neighbor activate exit-address-family! address-family ipv4 vrf site3 neighbor remote-as neighbor activate exit-address-family! address-family vpnv4 neighbor activate neighbor next-hop-self exit-address-family VRF for site-1 (100:1) Site-1 routes Site-2 routes VRF for site-2 (100:2) Site-1 routes Site-2 routes Site-3 routes VRF for site-3 (100:2) Site-2 routes Site-3 routes Site-4 routes VRF for site-4 (100:3) Site-3 routes Site-4 routes Site-1 Site-2 Site-3 Site-4 73

74 MPLS Security 74

75 MPLS Security (1) MPLS VPN bezpečnost je srovnatelná s bezpečností na FR/ATM VPN-kách bez šifrování dat Zákazník stále může použít IPSec mechanismy: CE-CE IPsec šifrování ATM/FR MPLS Adresní prostor ANO ANO Oddělení směrování Odolnost proti útokům Odolnost proti podvržení značky ANO ANO ANO ANO ANO ANO CISCO MPLS-BASED VPNS: EQUIVALENT TO THE SECURITY OF FRAME RELAY AND ATM MIERCOM STUDY 75

76 MPLS Security (2) Co může být napadeno? VPN A X Label IP VPN A VPN B Jen vstupní část MPLS SP Core VPN B VPN C MP-iBGP VPN C Již je vestavěná bezpečnost v control a forwarding plane takže neakceptuje provoz z neautorizovaných zdrojů do MPLS, stále ale může být mezera v bezpečnosti z IP sítě Kde může být útočeno? Na adresy a směrování: Jen jedno místo pro útok: peering PE Jak? - Průniky (telnet, SNMP,, směrovací protokol) - DoS 76

77 MPLS Security (3) Doporučení Zabezpečit VPN proti vlastním uživatelům Zabezpečit CE použitím privilege levels, ACL, enable hesla, atd. Používat AAA pro authentication uživatelů Zabezpečit směrovací protokoly mezi CE a PE Pokud je to možné použít statické směrování Použít Route mapy Použít MD5 authentication s LDP, MP-BGP a ostatní CE-PE směrovací protokoly Použít BGP dampening, filtering, maximum-prefix Skrýt MPLS síť před zákazníky ttl-propagation Zabezpečit zdroje na PE Omezit počet routes ve VRF Zakázat Telnet přístup do VPN, privilege levels, ACL, enable hesla, atd. Použít Class Based Policing pro omezení (rate limiting) režijního provozu (specielně UDP) 77

78 MPLS Security (4) Bezpečný MPLS core 78

79 MPLS Security (5) Další doporučení Bezpečnější Internet connectivity design Oddělit linky pro Internet a VPN provoz Oddělit PE pro Internet a VPN služby Oddělit Internet služby od MPLS VPN sítě Používat distribuované nebo centralizované virtuální Firewall pro VPN Cisco 7600 s FWSM modulem Ostatní Cisco IOS Software s VRF a FW nebo ASA Použít šifrování tam kde je potřeba CE-CE IPsec tunely přes MPLS VPN síť VRF aware IPsec: per VRF/VPN IPsec Tunnel 79

80 MPLS Security (6) VRF Aware IPsec Branch Office Local or Direct- Dial ISP A Access/ Peering PoPs Leased Line/ Frame Relay/ATM/ DSL Dedicated Access PE1 MPLS Core MPLS PE2 Corporate Intranet B Cable/DSL/ ISDN ISP Internet Remote Users/ Telecommuters Cisco VPN client software je začátkem tunelu pro přístup do VPN; router zahájí site-to-site tunel s VPN koncentrátorem Cisco router ukončí IPsec tunely a mapuje spojení do MPLS VPN MPLS VPNs VLANs Bi-Directional IPSec Session IP IPsec session 21223*228 MPLS VPNs VLANs IP 80

81 L2 MPLS VPNs 81

82 Layer 2 VPNs Přiřadí label pro L2 okruh Vyměňují si labely s ostatními PE Encapsulují příchozí provoz (Layer 2 frames) Přidají label (naučený z komunikace s PE) Forward jako MPLS packet (L2 zabalený do MPLS posílaný přes LSP) Na výstupu Podívá se na label Přepošle paket na příslušný L2 okruh Podobné L3 VPN 82

83 AToM Deployment Example Customer A Datacenter1 CE1 CE2 ATM o MPLS Tunnel Ethernet o MPLS Tunnel Metro Ethernet PE PE1 MPLS Backbone Virtual Leased Line Cells/frames with labelsc PE2 PE Ethernet o MPLS Tunnel Metro Ethernet ATM o MPLS Tunnel Customer A Datacenter2 CE1 CE2 ATM ATM Virtual Circuits CPE Routers CPE Routers 83

84 Virtual Private LAN Services (VPLS) Attachment VCs are Port Mode or VLAN ID CE1 MAC 1 PE1 Root Bridge Common VC ID between PEs creates a Virtual Switching Instance MAC Address Adj MAC MAC 1 E0/0 MAC x xxx 102 PE3 MAC 1 MAC 2 MPLS Core Forms Tunnel LSPs Root Bridge VPLS defines an architecture that delivers Ethernet Multipoint Services (EMS) over an MPLS network VPLS operation emulates an IEEE Ethernet bridge. Two VPLS drafts in existence Draft-ietf-l2vpn-vpls-ldp-01 Cisco s implementation Draft-ietf-l2vpn-vpls-bgp-01 CE3 Data Data MAC 1 MAC PE2 Root Bridge CE2 Full mesh of directed LDP sessions exchange VC labels MAC Address Adj MAC 2 E0/1 MAC MAC x xxx MAC 2 84

85 VPLS and H-VPLS /24 VPLS / /24 u-pe PE-CLE MTU-s GE n-pe PE-POP PE-rs H-VPLS PW n-pe PE-POP PE-rs u-pe PE-CLE MTU-s Ethernet Edge Point-to-Point or Ring / /24 MPLS Core MPLS Edge VPLS Direct Attachment Single flat hierarchy MPLS to the edge 85

86 Příklady MPLS sítí 86

87 Příklad I: Service Provider poskytující MPLS služby CustomerA VM VPN A FR/ATM PE1 MPLS Service P1 Provider P2 PE2 HQ VM VPN A Branch Office Local or Direct Dial ISP Provider Networks Internet MPLS to IPsec/PE Customer A VPN B Remote Users/ Telecommuters PE3 VM VM VPN B Customer B Business Partner VPN C Služby zahrnují MAN a WAN oblasti: MPLS Intranet a Extranet L3 VPN, Multicast VPN, Internet VPN, Encryption & Firewall Services, Remote Access k MPLS službám atd. 87

88 Příklad II: Podniková síť s SP Připojení MPLS VPN lokalit do podnikové VPN sítě se samostatným přenosem přes SP MPLS VPN síť C1-Hub Site L2 Egress PE MPLS Service Provider Ingress PE CE VLAN1-VPN Green VLAN2-Blue v v VPN Green Site C1 VPN Blue Site C1 VPN Red Site C1 Notice, Multi-VRF not necessary at remote sites Each SubInterface associated with different VPN v VLAN3-Red Multi-VRF VPNRed VPNGreen 802.1Q v v v v v v Layer 3 L2 88

89 Příklad III: Celá MPLS VPN podniková síť L2 Access Multi-VRF-CE v Distribution BGP/MPLS VPN v Core Multi-VRF mezi Core a Distribution CE (multi-vrf) PE w/vrf MP-iBGP VPN1 VPN Q BGP/MPLS VPN P L2 Layer 3 L2 89

90 Kde se dozvědět více o MPLS A2 Základy přepínače A0 Základy A1 Základy směrovače X1 MNG RS1 Rozšíření přepínače RS2 OSPF RS3 BGP RS4 ISIS RS5 ATM RS6 IPv6 RS9 QoS RS12 Základy MCAST X2 CSS RS8 Rozšíření MPLS RS7 Základy MPLS RS13 Rozšíření MCAST X3 SCE Nebo na Cisco školení Implementace MPLS 90

91 KONEC PRAHA BRATISLAVA BUDAPEST