1

MPLS e VPN

Referência:

Slides extraídos do material dos professores Jim Kurose e Keith Ross relativos ao livro “Redes de Computadores e a Internet – Uma abordagem top-down”, segunda e terceira edições

Alterações nos slides, incluindo sequenciamento, textos, figuras e novos slides, foram realizadas conforme necessidade

Objetivo inicial: aumentar a velocidade de encaminhamento IP usando labels de tamanho fixo (em vez de endereço IP) Mesma idéia do método de circuito virtual (VC) Mas o datagrama IP ainda mantém o endereço IP!

RFC 3031

Multiprotocol label switching (MPLS)

Multiprotocol Label Switching (MPLS)

LABEL COS TTLS

20 bits 3 bits 1 bit 8 bits

L2H MPLS SHIM L3H PAYLOAD

Multiprotocol label switching (MPLS)

Multiprotocol Label Switching (MPLS)

LABEL COS TTLS

20 bits 3 bits 1 bit 8 bits

Label – Número que identifica o rótulo, ou seja, a FEC que o pacote pertence

COS – Class of Service. Implementam as políticas de QOS (queuing , descarte e priorização )

S – Indica o último rótulo de uma pilha.

TTL – É o mesmo campo TTL do IP V4.

Roteador faz a função de comutador de rótulo Pacotes encaminhados para interface de saída com base apenas no valor do rótulo (não inspeciona o endereço IP) Tabela de encaminhamento MPLS distinta das tabelas de encaminhamento IP

Protocolo de sinalização necessário para estabelecer o encaminhamento RSVP-TE Encaminhamento é possível por caminhos que o IP sozinho não pode usar (ex.: roteamento especificado pela origem, roteamento baseado em QoS) Uso de MPLS para engenharia de tráfego

Deve coexistir com roteadores unicamente IP

Roteadores MPLSRoteadores MPLS

Tabelas de Encaminhamento MPLS

Topologia e Componentes MPLS

REDE MPLS

LER

LSR

LSR

LER

CPE

CPE

Topologia e Componentes MPLS

LER: Label Edge Router

É um nó da rede MPLS que está na borda, fazendo conexão com outras redes MPLS ou com redes não MPLS

Fazem a associação dos pacotes com os Labels, definindo o seu caminho na rede MPLS

Solicitam a criação dos Labels Labels são inseridos no ingress LER e

removidos no egress LER

Topologia e Componentes MPLS

LSR: Label Switching Router

É um nó da rede MPLS que faz a comutação e encaminhamento dos pacotes utilizando Labels

Formam o core de uma rede MPLS

Em geral, tratam-se de roteadores IPs ou switches L3

FEC – Forward Equivalence Class

Classificação e marcação dos pacotes a partir de suas características de encaminhamento

Definida pelo LER na entrada da rede MPLS Caminho do pacote MPLS é definido pela FEC a qual pertence (usa RSVP-TE)

Um label associado para cada FEC existente

Encaminhamento do pacote definido pela LIB (Label Information Base), composta pelo par FEC-to-Label

LIB define o next-hop e o label do pacote a ser comutado

Cada LSR possui uma LIB

FEC – Forward Equivalence Class

Exemplos:

Todos os pacotes destinados a um mesmo egress LER

Todos os pacotes com um mesmo COS (Class of Service)

Todos os pacotes com uma mesma rede de destino.

Exemplo de LIB – Label Information Base

Label de Entrada

FECLabel de

SaídaInterface de

Saída

7D 1 1A 3

05 2 2C 3

165 3 21 4

LSP – Label Switched Path

É o formado pelos Labels e LSR no caminho entre fonte e destino do pacote na rede MPLS

Análogo com um Circuito Virtual para redes IP

Garante os recursos solicitados por uma FEC

São unidirecionais, estabelecidos antes da transmissão dos dados

LSP – Label Switched Path

REDE MPLS

LER

LSR

LSR

LER

CPE

CPE

LSP 1

LSP 2

LDP – Label Distribution Protocol

Faz o anúncio das associações Label/FEC entre os LSR que compõem um LSP

Vários protocolos estão especificados

MPLS-LDP Mapear IP Unicast em Labels

MPLS-RSVP, MPLS-CR-LDP TE e QOS

MPLS-BGP Labels externos (VPN)

Funcionamento da rede MPLS

REDE MPLS

LER

LSR

LSR

LER

CPE

CPE

1- LABEL REQUEST

2- LSP SETUP

3- FLUXO DE DADOS

16

VPN: Virtual Private Networks

Do Wikipedia:

A virtual private network (VPN) is a private communications network often used by companies or organizations, to communicate confidentially over a public network.

Rede sobreposta (overlay), criada sobre a Internet e seus protocolos, funcionando como um ambiente de rede local

Serviço que pode ser oferecido pelos ISPs com respectivos acordos de SLA (Service Level Agreement)

Aplicações mais comuns: Acesso doméstico a ambiente corporativo ou institucional

(Extranet) Integração remota de escritórios e labs (Wide-Area Intranet) Confidencialidade na troca de informações em ambiente de

rede distribuído

17

VPN: Virtual Private Networks (2)

Diagrama genérico:

C – Customer; CE – Customer Edge; P – Provider; PE – Provider Edge

18

VPN: Tipos

Se utiliza de túneis e procedimentos de segurança (autenticação, criptografia) para estabelecer um serviço overlay

Análogo a uma rede privada de linhas dedicadas, porém a um custo menor dado que usa uma infra-estrutura física compartilhada

Classificação quanto ao serviço: VPNs confiáveis (Trusted VPNs) – o cliente confia ao

provedor a confidencialidade de seus dados VPNs seguras (Secure VPNs) – túneis criptografados entre

as redes do cliente para garantir a privacidade dos dados VPNs híbridas (Hybrid VPNs) – VPN segura sobre um

serviço de VPN (Trusted) do provedor, alguns provedores fornecem a solução completa

VPNs móveis (Mobile VPNs) – VPN segura destinada a acesso móvel sem fio, funcionalidades para “roaming”

19

VPN: Tipos (2)

Classificação quanto à camada de serviço:

VPNs camada 2 – permite conectividade de camada 2 entre os sites remotos• Comunicação baseada em endereçamento de camada

2, como MAC ou Frame Relay DLCI

• Pode ser do tipo ponto-a-ponto (VPWS - Virtual Private Wire Service) ou multiponto-multiponto (VPLS - Virtual Private LAN Service)

VPNs camada 3 – conectividade entre os sites remotos baseada em endereçamento IP (camada 3)• Podem ser do tipo PE-based (provedor é responsável

pelo encaminhamento) ou CE-based (cliente é responsável pelo encaminhamento)

20

VPN: Tipos (3)

VPN L3 PE-based: MPLS, L2TPv3, IPSec, túneis GRE

21

VPN: Tipos (4)

VPN L3 CE-based: IPSec e túneis GRE

22

VPN: Tecnologias

Tecnologias para VPN segura:

IPSec – datagrama IP criptografado (para autenticação e/ou privacidade) mantendo-se informações básicas como IPs origem e destino

Túneis SSL – estabelecido entre usuários remotos e um Proxy Web, para autenticação e acesso seguro

• Ex: OpenVPN PPTP (Point to Point Tunneling Protocol) – RFC 2637,

estabelece sessão PPP através de um túnel GRE (Generic Routing Encapsulation)

L2TP (Layer 2 Tunneling Protocol) – RFC 2661 e RFC 3931 (L2TPv3), age como protocolo de enlace mas é, de fato, um protocolo de nível de sessão que usa UDP na porta 1701

VLANs (IEEE 802.1Q)

23

VPN: Tecnologias (2)

Exemplo típico usando IPSec: suporta apenas unicast, outros protocolos de nível 3 devem ser encapsulados em túneis GRE

24

VPN: Tecnologias (3)

Exemplo usando túnel SSL: apenas para aplicatvos usando SSL sockets

25

VPN: Tecnologias (4)

Tecnologias para VPN confiável: MPLS

MPLS (Multi-Protocol Label Switch), RFC 3031, funciona na chamada “camada 2.5”, emula uma rede de chaveamento de circuitos sobre uma rede de pacotes ao inserir labels nos pacotes IPs de acordo com critérios de encaminhamento

Túneis MPLS são estabelecidos via RSVP e podem considerar requisitos de QoS e acordos de SLA

Restrito ao Sistema Autônomo uma vez que depende do IGP para seu estabelecimento e funcionamento

VPN L2: qualquer protocolo ponto-a-ponto sobre MPLS (Draft Martini)

VPN L3: ISP usa MP-BGP (Multiprotocol BGP) para propagar informações de roteamento do cliente da VPN através do backbone (RFC 2547bis), MP-BGP não suporta multicast

Solução escalável para o ISP quanto ao número de VPNs

26

VPN: Tecnologias (5)

Exemplo de VPN MPLS L3: se vale de endereços VPN-IPv4 (8 bytes + end. IP) para permitir ambigüidade de endereços IPs em múltiplas VPNs (RFC 2547bis)

VRF – VPN Routing ad Forwarding TableLSP – Label Switched Path