Defineste o noua paradigma de comutare de nivel 2 (legatura de date) si nivel 3 (retea) denumita comutarea cu etichete (mecanism de incapsulare de nivel 2.5).
MPLS aduce in retelele IP neorientate pe conexiune mecanismul de comutare orientat pe conexiune care sa constituie baza contractelor de garantare a serviciilor.
Etichetele MPLS sint rezolvarea : spun unui echipament de retea (ruter, switch) unde sa trimita pachetul si cum sa trimita pachetul. Eticheta MPLS : identificator de dimensiune fixa (20 biti), are semnificatie locala (la nivelul unui nod de retea) ; un pachet poate fi marcat cu mai multe etichete (stiva etichetelor stiva de tip last-in first out); deoarece in cazul retelelor de tip Ethernet nu exista un cimp liber unde sa poata fi introdus discret antetul MPLS, s-a gasit solutia introducerii antetului MPLS intre headerul de nivel legatura de date si headerul de nivel retea.
Clase de echivalenta : subset de pachete care sint comutate in acceasi maniera ; cind un pachet intra intr-un domeniu de retea MPLS, nodul de intrare ii mapeaza o clasa de echivalenta in functie de prefixul adresei IP, identificatorul ruterului de iesire, flux (perechea adresa sursa- adresa destinatie)
O retea MPLS e alcatuita din noduri capabile de comutare pachete pe baza etichetelor asignate ; tipuri de noduri : ingress (de intrare) pe unde intra traficul in 343e44d retea, tranzit in interiorul retelei (max 253), egress (de iesire) pe unde iese traficul din retea.
Nodurile ingress si egress : rutere sau switchuri; ingress- analizeaza pachetele IP, stabilesc clasa de echivalenta si asigneaza o eticheta, egress sterge eticheta, in cazul in care nu a fost stearsa de penultimul ruter din cale si ruteaza pachetul spre destinatie pe baza informatiei oferite de adresa IP destinatie din headerul IP.
Nodurile tranzit: rutere sau switchuri cu Tag Switch Controller; efectueaza operatii de interschimbare a etichetei si transmit pachetul urmatorului nod din cale.
LSP (Label Switched Path) : calea unidirectionala din retea pe care o urmeaza un pachet; poate sa nu fie calea cea mai scurta
Penultimate/ultimate hop pooping: eticheta este stearsa in penultimul/ultimul nod.
Operatii MPLS:
se utilizeaza un protocol de rutare (OSPF, EIGRP, IS-IS) pentru determinarea topologiei domeniului de retea
se utilizeaza un protocol de semnalizare (RSVP, LDP) pentru asignarea si distributia etichetelor
un pachet soseste la nodul ingress, este analizat si i se ataseaza o eticheta ; fiecare nod tranzit receptioneaza un pachet si efectueaza o cautare in tabela de comutare si o operatie de interschimbare a etichetelor. Penultimul nod din cale receptioneaza un pachet si efectueaza o cautare in tabela de comutare. Deoarce nodul egress a semnalizat eticheta 3, penultimul ruter sterge eticheta superioara si transmite pachetul. Daca nodul egress nu a semnalizat pachet cu eticheta 3 atunci nodul penultim transmite pachetul fara sa-i stearga eticheta. Nodul egress primeste un pachet IP nativ (in cazul penultimate hop popping) si executa : o cautare normala in tabela de rutare, transmisia catre ruterul care e indicat ca next hop.
Protocoale de semnalizare: RSPV (Resource Reservation Protocol), LDP (Label Distribution Protocol), CR-LDP (Constrained Routing LDP)
Retea virtuala privata : servicii private de retea utilizind o infrastructura publica
(infrastructura unui Service Provider).
retea virtuala : retelele par a fi separate la nivel fizic, dar de fapt nu sint deoarece se utilizeaza aceeasi infrastructura;
retea privata: fiecare retea VPN mentine tabele de rutare si adresare diferite.
Retelele VPN pot fi construite la nivel 2 (legatura de date) model overlay, la nivel 3 (nivel retea) model peer.
Tipuri de retele VPN :
traditionale : Frame Relay, ATM (nivel 2)
utilizator : L2TP si PPTP (nivel 2), IPSec (nivel 3)
provider : bazate pe MPLS (nivel 2), BGP/MPLS VPN (nivel 3)
Modelele de retele VPN :
overlay
peer
construiesc trunchiuri private peste o infrastructura publica : linii inchiriate/ dial-up, circuite Frame Relay/ATM, tunele IP (GRE)
o modalitate de realizare VPN prin utilizarea unui protocol de nivel legatura de date orientat pe conexiune (ATM, Frame Relay)
fiecare site e conectat la reteaua providerului prin unul sau mai multe circuite virtuale
circuitele virtuale sint comutate in reteaua providerului pentru a oferi conectivitate cu celelalte site-uri utilizator
utilizatorul foloseste protocoale de rutare pentru a stabili adiacenta intre ruterele diverselor site-uri
topologia de rutare e invizibila pentru provider (deoarece reteaua comuta trafic de nivel 2 prin circuitele virtuale)
inteligenta este la nivel utilizator, echipamentele din backbone (reteau utilizator) nu participa la procese de nivel 3
dezavantaje : problema scalabilitatii - adaugarea unui site nou implica construirea a (n-1)/2 conexiuni noi (n = numarul de site-uri conectate) ; construirea unui full-mesh
providerul si utilizatorul folosesc aceleasi protocoale de retea
ruterele utilizatorului mentin adiacenta de rutare cu ruterele de granita ale retelei providerului; ruterele utilizatorului au astfel un singur vecin direct de rutare
ruterele CE si PE utilizeaza protocoale OSPF (Open Shortest Path First), IS-IS ( sau BGP (Border Gateway Protocol) pentru schimbul informatiei de rutare intre ele
inteligenta la nivel utilizator si in backbone provider
dezavantaj : nu este permisa utilizarea adreselor private
Utilizatorii doresc sa cumpere retele nu conexiuni !
MPLS VPN defineste o noua paradigma: retele private la nivel retea, nu la nivel de conexiune, in care pastreaza paradigma de neorientare pe conexiune si pot dezvolta servicii IP (ex : multicast, QoS, suport pentru telefonie, servicii centralizate).
Avantaje
Servicii neorientate pe conexiune. Pentru a realiza componenta privata intr-o retea nebazata pe conexiune, cum este reteaua IP, retelele VPN actuale necesita un model overlay, cu conexiuni punct-la-punct. Chiar daca este dezvoltata peste o retea neorientata pe conexiune nu poate sa beneficieze de avantajele de conectivitate si servicii multiple oferite de aceasta. Daca se defineste un VPN neorientat pe conexiune nu mai am nevoie sa definesc tunele si sa utilizez encriptare pentru asigurarea calitatii de retea privata
Servicii centralizate : contruind retele VPN de nivel 3 pot sa ofer servicii unui grup de utilizatori grupati intr-un VPN. Deoarece retelele VPN bazate pe MPLS sint vazute ca si intraneturi private, pot utiliza servicii IP : multicast, QoS, suport pentru telefonie in VPN, servicii centralizate.
Scalabilitate : cind se definesc retele VPN utilizind servicii orientate pe conexiune (model overlay punct-la-punct) adica circuite virtuale de tip Frame Relay/ATM apare problema scalabilitatii. Astfel, retelele VPN orientate pe conexiune fara un full mesh intre toate site-urile utilizatorilor, nu sint optime. MPLS VPN utilizeaza modelul peer si neorientarea pe conexiune.
Securitatea: acelasi nivel de securitate cu al retelelor VPN orientate pe conexiune. Pachetele dintr-un VPN nu sint rutate in alt VPN. Securitatea se asigura la: intrarea in reteaua provider-ului (pachetele primite de la un utilizator dint plasate in VPN corect); in reteaua providerului traficul VPN este separat.
Usor de creat: pentru a beneficia de avantajele VPN trebuie sa fie usor de configurat si creat. Deoarece MPLS VPN sint neorientate pe conexiune nu imi trebuie harti de conexiune punct-la-punct si topologii.
Adresare flexibila: utilizatorii pot sa-si creeze propriul plan de adrese. Majoritatea utilizatorilor folosesc spatiul de adrese private, definit in RFC 1918, si nu doresc sa converteasca aceste adrese in adrese publice pentru a permite conectivitatea intranet. MPLS VPN permite utilizatorilor sa foloseasca acelasi spatiu de nume fara NAT prin oferirea a doua viziuni: publica si privata asupra spatiului de adrese. NAT se utilizeaza doar daca doua VPN-uri cu acelasi spatiu de adrese doresc sa comunice.
Suport pentru Class of Service (CoS): important pentru predictibilitatea performantei si implementarea politicilor; suport pentru servicii multiple de retea.
Migrarea: MPLS VPN se pot defini pe arhitecturi multiple: IP, ATM, Frame Relay, arhitecturi hibrid.
In contextul MPLS VPN, prin VPN nu mai inteleg modalitatea de a lega un site la alt site printr-un circuit virtual permanent. Aici, prin VPN definesc o colectie de site-uri care impart aceeasi informatie de rutare.
Concepte :
Retea provider (P network): backbone sub controlul unui Service Provider; domeniu de retea MPLS.
Retea utilizator (C network): reteaua utilizatorului.
Ruter CE (Customer Edge Router): ruter din reteaua utilizatorului care are interfata spre ruter PE; stabileste adiancenta cu ruterele PE la care este conectat.
Ruter PE (Provider Edge Router) : ruter din reteaua providerului care are interfata spre un ruter CE.
Legatura CE-PE : link intre ruterele PE si CE, poate fi construit pe orice tehnologie (ATM, Frame Relay, Ethernet, PPP, tunele GRE).
Site: colectie de (sub)retele din reteaua utilizator aflate in acceasi locatie; un site este legat la backbone prin unul sau mai multe linkuri CE-PE.
Ruter P: ruter din interiorul retelei providerului; nu mentine informatii de rutare legate de VPN; nu are legatura directa cu un ruter CE; sint noduri tranzit din reteaua MPLS.
VRF (VPN Routing and Forwarding Instance)
Concept cheie , definit la nivel de ruter PE. Este tabela de rutare si forwardare.
VRF e privat : accesibila doar interfetelor care sint intr-o anumita retea VPN
Fiecare site legat de un ruter PE trebuie sa aiba un VRF asociat. Toata informatia de rutare legata de un VPN se afla in VRF.
Obs1 : VRF asociat unui site (de exemplu siteA), e populat cu rute ce duc spre site-uri care au cel putin un VPN in comun cu siteA
Obs 2: site-urile care au conectivitate IP trebuie sa fie in acelasi site
Avantajele aduse de definirea VRF : utilizarea aceluiasi spatiu de adresare de catre doua sau mai multe VPN-uri, deoarece nu vor avea in comun tabela de rutare (VRF-ul) => membri unui VPN pot utiliza adrese private (RFC 1918) in reteau utilizator si sa schimbe rute private peste infrastructura providrului fara a interfera cu alti utilizatori care folosesc acelasi spatiu de adrese in reteaua lor
Obs3 : la nivel de ruter PE avem : tabela de rutare globala (rute care nu fac parte din VPN-uri) si VRF pentru fiecare site
Obs4 : natura VRF determina imposibilitatea ca un pachet dintr-un VPN sa fie transmis in alt VPN deoarece nu am nici o ruta spre alt VPN in VRF propriu => creste securitatea.
Adresa VPN-Ipv4
rutele utilizator sint idependente si izolate pentru fiecare VPN
utilizatorii din VPN folosesc RFC 1918 pentru spatiul de adrese
daca nu se utilizeaza adrese unice => pot avea utilizatori cu aceeasi adresa => problema la nivel de protocol BGP deoarece se presupune ca fiecare adresa Ipv4 e unica (BGP va trata doua adrese identice la fel si va construi o singura ruta => unul din utilizatori nu va fi disponibil)
solutia : VPN-IPv4 = concatenare de RD si adresa IPv4 ; 96 biti
RD (Route Distinguisher) se configureaza la nivel de ruter PE pentru fiecare VRF ; este un atribut al unei rute care identifica in mod unic VPN-ul (64 biti) utilizat doar pentru realizarea unicitatii adresei; nu exista nici o relatie directa intre RD si VPN
adresa VPN-IPv4 este utilizata doar in ruterele PE si in backbone provider intre ruterele PE
utilizatorii nu cunosc adresa VPN-IPv4.
OBS: VPN-IPv4 e transportata de protocoalele de rutare din backbone nu e transportata de pachetele din traficul VPN.
Route Target
- 64 biti, identifica ruterele care trebuie sa primesca o ruta; identificator transportat in atributele Extended Community al mesajelor de actualizare BGP
- ruterele PE importa/exporta mesaje de actualizare; fiecare VRF de la nivelul unui ruter PE are asociata o politica de import/export
- actualizarea VPN-IPv4 distribuita de PE este marcata cu atributul RT de import/export. Rutele VPN-IPv4 primite de un ruter PE sint verificate, se verifica daca RT face matching pe RT import din VRF => exista matching => ruta e trecuta in VRF.
VPN = colectie de site-uri care impart aceeasi informatie de rutare. Un site poate sa apartina mai multor VPN-uri. Daca doua sau mai multe VPN-uri au un site in comun, spatial de adrese trebuie sa fie unic intre aceste VPN-uri.
Reteaua providerului este o retea MPLS compusa din noduri MPLS, astfel: ruterele PE sint noduri ingress/egress, ruterele P sint noduri tranzit.
1. Ruterele PE si CE utilizeaza protocoale de rutare pentru schimbul informatie de rutare: RIPv2 (fata de RIP transporta si informatie de subnet), OSPF (cel mai utilizat), eBGP (cel mai utilizat cind backbone provider e alcatuit din mai multe sisteme autonome), rutare statica (utilizata daca numarul rutelor e mic si reteaua utilizator are un singur link PE-CE cu reteaua providerului).
Ruterele PE mentin tabele VRF separate. Cind configurez un ruter PE, asociez un VRF cu o subinterfata/interfata a ruterului PE care leaga ruterul PE de ruterul CE.
Obs: daca un site are hosturi care fac parte din mai multe VPN-uri, atunci VRF asociat site va contine rute catre toate VPN-urile in care hosturile respective sint membre.
Cind primeste informatie de rutare de la CE, ruterul PE se uita in tabela VRF asociata (aceasta e determinate de subinterfata pe care a venit informatia). Rutele pe care le primeste de la CE le trece in VRF, rutele pe care le primeste de la alt ruter PE le trece in tabela globala de rutare.
2. Ruterele PE si P utilizeaza acelasi protocol de rutare (OSPF, IS-IS) pentru stabilirea topologiei.
Ruterele PE utilizeaza sesiuni MP-iBGP (Multi Protocol Interior BGP) pentru a schimba informatie de rutare intre ele.
Ruterele PE primesc mesaje de update cu adrese IPv4 de la ruterele CE, translateaza aceasta adresa in adresa VPN-IPv4 (asigneaza RT, rescrie cimpul next-hop, asigneaza o eticheta pe baza VRF si/sau interfata ex: asignez eticheta 1001 rutelor pe care le invat de la CE1 si astfel cind primesc din backbone un pachet cu eticheta 1001 stiu ca trebuie sa-l trimit la CE1 dupa ce am scos eticheta-, trimit mesaj de actualizare celorlalte rutere PE..
Inainte ca PE sa distribuie informatia de rutare la celalalte rutere PE, converteste adresa IPv4 in adresa VPN-IPv4 utilizind RD asociat pentru fiecare VRF. Mesajul pe care-l trimite celorlalte rutere PE contine:
adresa VPN-IPv4
BGP next hop (propria adresa de loopback codata ca adesa VPN-IPv4 cu RD=0, deoarece MP-BGP necesita ca adresa hopului urmator sa fie din aceeasi familie ca a rutei transmise)
eticheta MPLS asociata ruterului PE ingress cind invata o ruta de la CE
atributele Route Target din politicile de export PE.
Obs: eticheta MPLS asociata ruterului PE ingress adresei VPN-IPv4 va fi in headerul MPLS din pachetul transmis spre destinatie.
Cind un ruter PE primeste o ruta VPN-IPv4 de la un ruter PE peer, compara ruta cu politica import VRF pentru toate VPN-urile associate ruterului egress PE (compara RT-urile). Daca am matching, instalez ruta in VRF.
Ruterele PE si P utilizeaza protocoale de rutare pentru construirea topologie. In cadrul backbone-ului providerului se utilizeaza tehnologia MPLS, pachetele sint commutate pe baza etichetelor asignate si distribuite de LDP (Label Distribution Protocol).
Pachetele vor utiliza stiva de etichete:
top label (interior label): eticheta MPLS pentru comutarea in interiorul backbone
bottom label (exterior label): eticheta MPLS pentru transmiterea pachetelor de la PE la CE
Nodurile MPLS comuta pachetele pe baza top label.
Obs: nodurile MPLS (ruterele P) nu au informatii despre VPN, informatii de rutare BGP.
Penultimul hop inainte de PE egress sterge eticheta top label expunind astfel eticheta bottom label si forwardeaza pachetul spre PE egress (penultimate hop popping).
PE egress forwardeaza pachetul la CE pe baza bottom label (identifica interfata/VPN-ul).
Construirea tabelelor de rutare din ruterele arhitecturii.
Utilizare LDP pentru asignarea etichetelor.
Realizarea sesiunilor MB-iBGP intre ruterele PE
Invatarea adresei de la ruterele CE
Schimbul de informatii cu alte rutere PE
Decizia completarii tabelelor VRF
Comutare pachete in backbone utiliznd tehnologie MPLS.
|
