Carregar apresentação
A apresentação está carregando. Por favor, espere
2
IC - IP & Applications IP & Applications Virtual Private Networks Leiria, Abril.2001
3
IC - IP & Applications Paulo Valente paulo.valente@lis2.siemens.pt
4
IC - IP & Applications AGENDA Virtual Private Networks (VPNs) Multiprotocol Label Switching (MPLS) VPNs-IP baseadas no paradigma BGP/MPLS Segurança em VPNs BGP/MPLS
5
IC - IP & Applications AGENDA Virtual Private Networks (VPNs) Multiprotocol Label Switching (MPLS) VPNs-IP baseadas no paradigma BGP/MPLS Segurança em VPNs BGP/MPLS
6
IC - IP & Applications AGENDA Virtual Private Networks (VPNs) –Definição –De Full-Meshed a Hub-and-spoke –Intranet vs Extranet –Modelo Overlay vs Modelo Peer
7
IC - IP & Applications AGENDA Virtual Private Networks (VPNs) –Definição –De Full-Meshed a Hub-and-spoke –Intranet vs Extranet –Modelo Overlay vs Modelo Peer
8
IC - IP & Applications Virtual Private Networks Definição I: –Grupo restrito de sites aos quais é permitido comunicar entre si através de uma rede partilhada (i.e., rede pública), sendo aplicadas a esta conectividade politicas administrativas.
9
IC - IP & Applications Virtual Private Networks Definição II: «… informalmente podemos dizer que uma VPN é um grupo de sites que podem comunicar entre si.» in «MPLS - Technology and Applications», 2000 Bruce Davie eYakov Rekhter
10
IC - IP & Applications Virtual Private Networks Definição II: «Mais formalmente, uma VPN é definida por um grupo de políticas administrativas que controlam tanto a conectividade como a QoS entre sites.» in «MPLS - Technology and Applications», 2000 Bruce Davie eYakov Rekhter
11
IC - IP & Applications Virtual Private Networks Definição III: «Uma VPN pode ser modelada como um objecto de conectividade.» in RFC 2764 «A Framework for IP Based Virtual Private Networks», Feb 2000
12
IC - IP & Applications Virtual Private Networks Definição III: «Muitos aspectos do desenho de redes, como endereçamento, mecanismo de encaminhamento, aprendizagem e aviso de conectividade, QoS, segurança, e firewalling, têm soluções comuns em redes físicas e redes virtuais.» in RFC 2764 «A Framework for IP Based Virtual Private Networks», Feb 2000
13
IC - IP & Applications AGENDA Virtual Private Networks (VPNs) –Definição –De Hub-and-spoke a Full-Meshed –Intranet vs Extranet –Modelo Overlay vs Modelo Peer
14
IC - IP & Applications De Hub-and-spoke a Full-Meshed
15
IC - IP & Applications De Hub-and-spoke a Full-Meshed n sites n-1 ligações
16
IC - IP & Applications De Hub-and-spoke a Full-Meshed n sites n(n-1)/2 ligações
17
IC - IP & Applications De Hub-and-spoke a Full-Meshed 20 => 190 100 => 4950!
18
IC - IP & Applications De Hub-and-spoke a Full-Meshed 20 => 190 100 => 4950! NÃO É ESCALÁVEL! DOESN’T SCALE!
19
IC - IP & Applications De Hub-and-spoke a Full-Meshed Full-MeshedHub-and-spoke Partially-Meshed
20
IC - IP & Applications AGENDA Virtual Private Networks (VPNs) –Definição –De Hub-and-spoke a Full-Meshed –Intranet vs Extranet –Modelo Overlay vs Modelo Peer
21
IC - IP & Applications Conectividade e Aplicações flexiveis: –Intranet: VPN baseada na conectividade apenas entre sites da mesma empresa. –Extranet: VPN utilizada na interligação de sites de diferentes empresas. Intranet vs Extranet Numa Extranet as políticas de definição da VPN cabem a um conjunto de empresas.
22
IC - IP & Applications AGENDA Virtual Private Networks (VPNs) –Definição –De Hub-and-spoke a Full-Meshed –Intranet vs Extranet –Modelo Overlay vs Modelo Peer
23
IC - IP & Applications 10.3/16 10.2/16 10.1/16 VPN B 10.1/1610.3/16 10.2/16 VPN A CE CE - Customer Edge Modelo Overlay
24
IC - IP & Applications Conectividade entre sites: –Layer 2 linhas dedicadas, circuitos Frame Relay, circuitos ATM –VPN Tunneling IP/IP, L2TP, GRE, IPSec Modelo Overlay
25
IC - IP & Applications Desenho e operação do “backbone virtual” da VPN pelo cliente o que implica: –Conhecimentos em routing IP. –Conhecimentos em IP QoS e L2 QoS bem como no seu mapeamento. ou como alternativa … outsorcing! Modelo Overlay - Layer 2
26
IC - IP & Applications Definição: –Um túnel IP funciona como um overlay sobre um backbone IP, e o tráfego enviado sobre o túnel é opaco para esse mesmo backbone. Modelo Overlay - VPN Tunneling i.e., o backbone é transparente para a VPN!
27
IC - IP & Applications GRE - RFC 1701, Outubro 1994 IP/IP - RFC 2003, Outubro 1996 IPSec - RFC 2401, Novembro 1998 L2TP - RFC 2661, Agosto 1999 Modelo Overlay - VPN Tunneling
28
IC - IP & Applications Os mesmos problemas que na conectividade L2 + –GRE: data spoofing –IPSec: key management –QoS baseada em IP Diffserv Possibilidade de extender o serviço VPN a qualquer lado com conectividade à Internet. Modelo Overlay - VPN Tunneling
29
IC - IP & Applications Oferta de um serviço VPN escalável –milhares a milhões de VPNs por SP Necessidade de pouco a nenhum conhecimento de routing IP por parte do cliente (point-to-cloud) Flexibilidade em termos de dimensões da VPN –de poucos a milhares de sites por VPN Modelo Peer - MOTIVAÇÕES
30
IC - IP & Applications 10.3/16 10.2/16 10.1/16 VPN B 10.1/1610.3/16 10.2/16 VPN A Modelo Peer CE PE P CE - Customer Edge PE - Provider Edge P - Provider
31
IC - IP & Applications Distribuição de informação de routing condicionada Múltiplas tabelas de forwarding Uso de um novo tipo de endereços, endereços VPN-IPv4 MPLS Modelo Peer - SOLUÇÃO
32
IC - IP & Applications AGENDA Virtual Private Networks (VPNs) Multiprotocol Label Switching (MPLS) VPNs-IP baseadas no paradigma BGP/MPLS Segurança em VPNs BGP/MPLS
33
IC - IP & Applications AGENDA Multiprotocol Label Switching (MPLS) –Contextualização –Caracterização –Terminologia –Componentes
34
IC - IP & Applications AGENDA Multiprotocol Label Switching (MPLS) –Contextualização –Caracterização –Terminologia –Componentes
35
IC - IP & Applications Tecnologias Precursoras (1994-1996) –Cell Switching Router (CSR) TOSHIBA –IP Switching IPSILON –Tag Switching CISCO –Aggregate Route-based IP Switching (ARIS) IBM MPLS - Contextualização
36
IC - IP & Applications Cell Switching Router (CSR) TOSHIBA –Até então: routing feito por routers, ATM switching feito por ATM switches. –Questão: Porque não controlar um ATM switching fabric através de protocolos IP (como routing IP e RSVP) em vez de utilizar sinalização ATM como Q.2931? MPLS - Contextualização
37
IC - IP & Applications IP Switching IPSILON –Permite um equipamento com o desempenho de um comutador ATM comportar-se como um router. –Routers mais rápido é o necessário! –Sinalização ATM complexa demais. Melhor será nem a utilizar... MPLS - Contextualização
38
IC - IP & Applications Tag Switching CISCO –Funciona sobre ATM, PPP, 802.3. –Suporta Multicast. –Suporta alocação de recursos via RSVP. –Objectivo de normalizar o Tag Switching através do IETF. MPLS - Contextualização
39
IC - IP & Applications Aggregate Route-based IP Switching (ARIS) IBM –Filosofia próxima do Tag Switching da Cisco. –Muitas das ideias foram incorporadas nas normas do MPLS. MPLS - Contextualização
40
IC - IP & Applications MPLS Working Group - 1997 –Sessão Birds of a Feather (BOF) em dezembro de 1996 com apresentações feitas pela Toshiba, Cisco e IBM. –Uma das sessões mais concurridas da história do IETF. MPLS
41
IC - IP & Applications AGENDA Multiprotocol Label Switching (MPLS) –Contextualização –Caracterização –Terminologia –Componentes
42
IC - IP & Applications Multiprotocol = IP Baseado no paradigma da label- swaping forwarding MPLS - Caracterização LABEL SWITCHING IP Forwarding IP #L1IP#L2IP#L3 IP IP Forwarding
43
IC - IP & Applications Formato do label: MPLS - Caracterização 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Label | EXP |S| TTL | Cabeçalho = 4 octetos (32 bits) –Label = valor da label a atribuir ao pacote (20 bits-1048576) –EXP = bits experimentais, utilizados para QoS (3 bits) –S = indicador do fim da pilha (1 bit) –TTL = time to live (8 bits)
44
IC - IP & Applications Formato do label: MPLS - Caracterização 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Label | EXP |S| TTL | Colocado entre o cabeçalho da camada 2 (Data Link) e o cabeçalho da camada 3 (Network), do Modelo Referencial OSI.
45
IC - IP & Applications Physical Data Link Network Transport Session Presentation Application Funciona sobre várias tecnologias da camada 2: –ATM –SONET –Ethernet –PPP MPLS - Não é um protocolo L2
46
IC - IP & Applications Physical Data Link Network Transport Session Presentation Application Não tem endereçamento nem funções de encaminhamento per si: –Faz uso do endereçamento IP e o routing IP (com extensões) MPLS - Não é um protocolo L3
47
IC - IP & Applications Physical Data Link Network Transport Session Presentation Application Não existe um formato único para transportar os dados de uma camada superior: –shim - SONET –VPI/VCI - ATM –lambda - OXC –etc... Não é uma camada no Modelo OSI
48
IC - IP & Applications Fast forwarding IP Traffic Engineering –Constraint-based Routing Virtual Private Networks –mecanismo hierárquico de túneis Voz/Video sobre IP –atraso controlado, restrições de QoS MPLS - Aplicações
49
IC - IP & Applications AGENDA Multiprotocol Label Switching (MPLS) –Contextualização –Caracterização –Terminologia –Apresentação Funcional
50
IC - IP & Applications LSR - Label Switching Router envia pacotes IP para o destino com base numa LIB e na troca de labels LER - Label Edge Router inícia (adiciona label) e termina (remove label) um LSP. LSP - Label Switched Path um VC para IP que forma um caminho unidireccional. LDP - Label Distribution Protocol protocolo de sinalização bi- directional que é utilizado entre LDP peers para formar sessões (LDP, CR-LDP, RSVP). FEC - Forwarding Equivalence Class grupo de pacotes IP que é tratado do mesmo modo no que diz respeito ao encaminhamento. MPLS - Terminologia
51
IC - IP & Applications Domínio MPLS LER LSR LDP LSP Ingress Egress LDP Peers MPLS - Terminologia
52
IC - IP & Applications AGENDA Multiprotocol Label Switching (MPLS) –Contextualização –Caracterização –Terminologia –Apresentação Funcional
53
IC - IP & Applications 5.O egress LER remove o label e encaminha o pacote IP 4.Os LSRs processam os pacotes com label MPLS através de label swapping 3.O ingress LER recebe pacotes IP, executa o processamento de L3, e adiciona labels aos pacotes (quadrado vermelho) 1.Protocolos de routing existentes populam a tabela de routing 2a. LDP cria entradas LIB nos LSRs 2b. LDP estabelece LSP
54
IC - IP & Applications Estabelecimento de LSPs –Control Driven, Data driven Distribuição de Labels –Downstream on demand, Downstream unsolicited Mecanismos de Controlo –Ordered control, Independent control Retenção de Labels –Conservativo, Liberal Modos MPLS
55
IC - IP & Applications AGENDA Virtual Private Networks (VPNs) Multiprotocol Label Switching (MPLS) VPNs-IP baseadas no paradigma BGP/MPLS Segurança em VPNs BGP/MPLS
56
IC - IP & Applications AGENDA VPNs-IP baseadas no paradigma BGP/MPLS –Endereços VPN-IPv4 –Múltiplas tabelas de forwarding –Route Target –LSPs Hierárquicos
57
IC - IP & Applications AGENDA VPNs-IP baseadas no paradigma BGP/MPLS –Endereços VPN-IPv4 –Múltiplas tabelas de forwarding –Route Target –LSPs Hierárquicos
58
IC - IP & Applications «Multiprotocol Extensions for BGP-4» RFC 2858, Junho 2000: –BGP passa a suportar outros protocolos de L3 (Network), além do IP. –A identificação de um protocolo de L3 é feita através de um Address Family, como definido na RFC1700. VPN-IPv4 Address Family
59
IC - IP & Applications Estrutura de um Address Family: VPN-IPv4 Address Family +---------------------------------------------------------+ | Address Family Identifier (2 octets) | +---------------------------------------------------------+ | Subsequent Address Family Identifier (1 octeto) | +---------------------------------------------------------+ VPN-IPv4: –AFI = 1 ; SAFI = 128
60
IC - IP & Applications Redes Privadas muitas vezes utilizam endereçamento privado (RFC 1918) => Clientes VPN de um SP podem utilizar a mesma gama de endereços... Endereços VPN-IPv4 Novos endereços únicos: Endereços VPN-IPv4 = RD + IPv4
61
IC - IP & Applications Estrutura: RD - Route Distinguisher +---------------------------------------------------------+ | Type (2 octetos) | +---------------------------------------------------------+ | Autonomous System Number (2 octetos) | +---------------------------------------------------------+ | Assigned Number (4 octetos) | +---------------------------------------------------------+ Exemplo: –RD = 65500:1000
62
IC - IP & Applications AGENDA VPNs-IP baseadas no paradigma BGP/MPLS –Endereços VPN-IPv4 –Múltiplas tabelas de forwarding –Route Target –LSPs Hierárquicos
63
IC - IP & Applications Num mesmo router de edge de um SP são agregados vários clientes de VPNs: Multiplas tabelas de Forwarding 10.2/16 CE Backbone IP PE
64
IC - IP & Applications Cada PE router mantém, não uma mas várias tabelas de forwarding. Cada tabela de forwarding deverá corresponder a uma VPN criada neste PE. Multiplas tabelas de Forwarding
65
IC - IP & Applications 10.1/16 Uma tabela de forwarding num PE pode ser populada por vários CEs da mesma VPN. O contrário é falso. Uma tabela para muitos CEs 10.1/16 CE PE Mesma tabela de forwarding Backbone IP
66
IC - IP & Applications AGENDA VPNs-IP baseadas no paradigma BGP/MPLS –Endereços VPN-IPv4 –Múltiplas tabelas de forwarding –Route Target –LSPs Hierárquicos
67
IC - IP & Applications Problema: Quais as rotas que um PE recebe de outro PE que pertencem à VPN x? Resposta: Através do uso de uma Extended Community no BGP: o route target. Route Target
68
IC - IP & Applications Determina quais as rotas que um PE deve colocar em cada uma das suas tabelas de forwarding. Deve também ser indicado pelo administrador qual o(s) route target a colocar nos updates BGP para os outros PEs. Route Target
69
IC - IP & Applications A parte de controlo (distribuição de rotas pelas várias VPNs) parece assegurado pelas definições anteriores. Mas o resultado final em qualquer tipo de VPN é encaminhar um pacote IP de um CE a outro CE. Problema
70
IC - IP & Applications AGENDA VPNs-IP baseadas no paradigma BGP/MPLS –Endereços VPN-IPv4 –Múltiplas tabelas de forwarding –Route Target –LSPs Hierárquicos
71
IC - IP & Applications PE2 PE1 CE1 CE2 P1 P2 IP Pkt 1040 IP Pkt Distribuição de labels VPN entre PE1 & PE2 IP Pkt1030 IP Pkt1050 Distribuição de labels IGP entre P1, P2, PE1, PE2 Outer (tunnel) label é comutado
72
IC - IP & Applications BGP IPv4 –Prefixo BGP VPN-IPv4 –Label –RD –Prefixo IPv4 NLRI - Network Layer Reachability Information MP-UNREACH-NLRI AFI 1 SAFI 128 Withdrawn Routes Label 0x800000 RD 777:1 IPv4 Prefix 10.1.0.0/16 NLRI empty EXTENDED-COMMUNITIES Allocation By AS (0x00) Type Route target (0x02) Administrator 777 (0x0309) Assigned Nr 1001 (0x03E9)
73
IC - IP & Applications CE A3 CE B3 VPN A/Site 1 VPN A/Site 2 VPN B/Site 3 VPN B/Site 2 VPN B/Site 1 VPN A/Site 3 CE A1 CE B2 CE A2 CE1 B1 CE2 B1 PE 1 PE 2 PE 3 P1P1 P2P2 P3P3 Run BGP To Customer Use Static Routes Multi-homed site
74
IC - IP & Applications AGENDA Virtual Private Networks (VPNs) Multiprotocol Label Switching (MPLS) VPNs-IP baseadas no paradigma BGP/MPLS Segurança em VPNs BGP/MPLS
75
IC - IP & Applications Equivalente à obtida por VPNs baseadas em ATM ou Frame Relay Configuração incorrecta potencia falhas de segurança Confidencialidade não é assegurada: os dados não são encriptados sendo possível a extracção de informação da rede (tapping). Segurança
76
IC - IP & Applications VPN BGP/MPLS Segura: VPN BGP/MPLS IP SEC
77
IC - IP & Applications Obrigado! Paulo Valente paulo.valente@lis2.siemens.pt
Apresentações semelhantes
