IC - IP & Applications IP & Applications Virtual Private Networks Leiria, Abril.2001

IC - IP & Applications Paulo Valente

IC - IP & Applications AGENDA Virtual Private Networks (VPNs) Multiprotocol Label Switching (MPLS) VPNs-IP baseadas no paradigma BGP/MPLS Segurança em VPNs BGP/MPLS

IC - IP & Applications AGENDA Virtual Private Networks (VPNs) Multiprotocol Label Switching (MPLS) VPNs-IP baseadas no paradigma BGP/MPLS Segurança em VPNs BGP/MPLS

IC - IP & Applications AGENDA Virtual Private Networks (VPNs) –Definição –De Full-Meshed a Hub-and-spoke –Intranet vs Extranet –Modelo Overlay vs Modelo Peer

IC - IP & Applications AGENDA Virtual Private Networks (VPNs) –Definição –De Full-Meshed a Hub-and-spoke –Intranet vs Extranet –Modelo Overlay vs Modelo Peer

IC - IP & Applications Virtual Private Networks Definição I: –Grupo restrito de sites aos quais é permitido comunicar entre si através de uma rede partilhada (i.e., rede pública), sendo aplicadas a esta conectividade politicas administrativas.

IC - IP & Applications Virtual Private Networks Definição II: «… informalmente podemos dizer que uma VPN é um grupo de sites que podem comunicar entre si.» in «MPLS - Technology and Applications», 2000 Bruce Davie eYakov Rekhter

IC - IP & Applications Virtual Private Networks Definição II: «Mais formalmente, uma VPN é definida por um grupo de políticas administrativas que controlam tanto a conectividade como a QoS entre sites.» in «MPLS - Technology and Applications», 2000 Bruce Davie eYakov Rekhter

IC - IP & Applications Virtual Private Networks Definição III: «Uma VPN pode ser modelada como um objecto de conectividade.» in RFC 2764 «A Framework for IP Based Virtual Private Networks», Feb 2000

IC - IP & Applications Virtual Private Networks Definição III: «Muitos aspectos do desenho de redes, como endereçamento, mecanismo de encaminhamento, aprendizagem e aviso de conectividade, QoS, segurança, e firewalling, têm soluções comuns em redes físicas e redes virtuais.» in RFC 2764 «A Framework for IP Based Virtual Private Networks», Feb 2000

IC - IP & Applications AGENDA Virtual Private Networks (VPNs) –Definição –De Hub-and-spoke a Full-Meshed –Intranet vs Extranet –Modelo Overlay vs Modelo Peer

IC - IP & Applications De Hub-and-spoke a Full-Meshed

IC - IP & Applications De Hub-and-spoke a Full-Meshed n sites n-1 ligações

IC - IP & Applications De Hub-and-spoke a Full-Meshed n sites n(n-1)/2 ligações

IC - IP & Applications De Hub-and-spoke a Full-Meshed 20 => => 4950!

IC - IP & Applications De Hub-and-spoke a Full-Meshed 20 => => 4950! NÃO É ESCALÁVEL! DOESN’T SCALE!

IC - IP & Applications De Hub-and-spoke a Full-Meshed Full-MeshedHub-and-spoke Partially-Meshed

IC - IP & Applications AGENDA Virtual Private Networks (VPNs) –Definição –De Hub-and-spoke a Full-Meshed –Intranet vs Extranet –Modelo Overlay vs Modelo Peer

IC - IP & Applications Conectividade e Aplicações flexiveis: –Intranet: VPN baseada na conectividade apenas entre sites da mesma empresa. –Extranet: VPN utilizada na interligação de sites de diferentes empresas. Intranet vs Extranet Numa Extranet as políticas de definição da VPN cabem a um conjunto de empresas.

IC - IP & Applications AGENDA Virtual Private Networks (VPNs) –Definição –De Hub-and-spoke a Full-Meshed –Intranet vs Extranet –Modelo Overlay vs Modelo Peer

IC - IP & Applications 10.3/ / /16 VPN B 10.1/1610.3/ /16 VPN A CE CE - Customer Edge Modelo Overlay

IC - IP & Applications Conectividade entre sites: –Layer 2 linhas dedicadas, circuitos Frame Relay, circuitos ATM –VPN Tunneling IP/IP, L2TP, GRE, IPSec Modelo Overlay

IC - IP & Applications Desenho e operação do “backbone virtual” da VPN pelo cliente o que implica: –Conhecimentos em routing IP. –Conhecimentos em IP QoS e L2 QoS bem como no seu mapeamento. ou como alternativa … outsorcing! Modelo Overlay - Layer 2

IC - IP & Applications Definição: –Um túnel IP funciona como um overlay sobre um backbone IP, e o tráfego enviado sobre o túnel é opaco para esse mesmo backbone. Modelo Overlay - VPN Tunneling i.e., o backbone é transparente para a VPN!

IC - IP & Applications GRE - RFC 1701, Outubro 1994 IP/IP - RFC 2003, Outubro 1996 IPSec - RFC 2401, Novembro 1998 L2TP - RFC 2661, Agosto 1999 Modelo Overlay - VPN Tunneling

IC - IP & Applications Os mesmos problemas que na conectividade L2 + –GRE: data spoofing –IPSec: key management –QoS baseada em IP Diffserv Possibilidade de extender o serviço VPN a qualquer lado com conectividade à Internet. Modelo Overlay - VPN Tunneling

IC - IP & Applications Oferta de um serviço VPN escalável –milhares a milhões de VPNs por SP Necessidade de pouco a nenhum conhecimento de routing IP por parte do cliente (point-to-cloud) Flexibilidade em termos de dimensões da VPN –de poucos a milhares de sites por VPN Modelo Peer - MOTIVAÇÕES

IC - IP & Applications 10.3/ / /16 VPN B 10.1/1610.3/ /16 VPN A Modelo Peer CE PE P CE - Customer Edge PE - Provider Edge P - Provider

IC - IP & Applications Distribuição de informação de routing condicionada Múltiplas tabelas de forwarding Uso de um novo tipo de endereços, endereços VPN-IPv4 MPLS Modelo Peer - SOLUÇÃO

IC - IP & Applications AGENDA Virtual Private Networks (VPNs) Multiprotocol Label Switching (MPLS) VPNs-IP baseadas no paradigma BGP/MPLS Segurança em VPNs BGP/MPLS

IC - IP & Applications AGENDA Multiprotocol Label Switching (MPLS) –Contextualização –Caracterização –Terminologia –Componentes

IC - IP & Applications AGENDA Multiprotocol Label Switching (MPLS) –Contextualização –Caracterização –Terminologia –Componentes

IC - IP & Applications Tecnologias Precursoras ( ) –Cell Switching Router (CSR) TOSHIBA –IP Switching IPSILON –Tag Switching CISCO –Aggregate Route-based IP Switching (ARIS) IBM MPLS - Contextualização

IC - IP & Applications Cell Switching Router (CSR) TOSHIBA –Até então: routing feito por routers, ATM switching feito por ATM switches. –Questão: Porque não controlar um ATM switching fabric através de protocolos IP (como routing IP e RSVP) em vez de utilizar sinalização ATM como Q.2931? MPLS - Contextualização

IC - IP & Applications IP Switching IPSILON –Permite um equipamento com o desempenho de um comutador ATM comportar-se como um router. –Routers mais rápido é o necessário! –Sinalização ATM complexa demais. Melhor será nem a utilizar... MPLS - Contextualização

IC - IP & Applications Tag Switching CISCO –Funciona sobre ATM, PPP, –Suporta Multicast. –Suporta alocação de recursos via RSVP. –Objectivo de normalizar o Tag Switching através do IETF. MPLS - Contextualização

IC - IP & Applications Aggregate Route-based IP Switching (ARIS) IBM –Filosofia próxima do Tag Switching da Cisco. –Muitas das ideias foram incorporadas nas normas do MPLS. MPLS - Contextualização

IC - IP & Applications MPLS Working Group –Sessão Birds of a Feather (BOF) em dezembro de 1996 com apresentações feitas pela Toshiba, Cisco e IBM. –Uma das sessões mais concurridas da história do IETF. MPLS

IC - IP & Applications AGENDA Multiprotocol Label Switching (MPLS) –Contextualização –Caracterização –Terminologia –Componentes

IC - IP & Applications Multiprotocol = IP Baseado no paradigma da label- swaping forwarding MPLS - Caracterização LABEL SWITCHING IP Forwarding IP #L1IP#L2IP#L3 IP IP Forwarding

IC - IP & Applications Formato do label: MPLS - Caracterização | Label | EXP |S| TTL | Cabeçalho = 4 octetos (32 bits) –Label = valor da label a atribuir ao pacote (20 bits ) –EXP = bits experimentais, utilizados para QoS (3 bits) –S = indicador do fim da pilha (1 bit) –TTL = time to live (8 bits)

IC - IP & Applications Formato do label: MPLS - Caracterização | Label | EXP |S| TTL | Colocado entre o cabeçalho da camada 2 (Data Link) e o cabeçalho da camada 3 (Network), do Modelo Referencial OSI.

IC - IP & Applications Physical Data Link Network Transport Session Presentation Application Funciona sobre várias tecnologias da camada 2: –ATM –SONET –Ethernet –PPP MPLS - Não é um protocolo L2

IC - IP & Applications Physical Data Link Network Transport Session Presentation Application Não tem endereçamento nem funções de encaminhamento per si: –Faz uso do endereçamento IP e o routing IP (com extensões) MPLS - Não é um protocolo L3

IC - IP & Applications Physical Data Link Network Transport Session Presentation Application Não existe um formato único para transportar os dados de uma camada superior: –shim - SONET –VPI/VCI - ATM –lambda - OXC –etc... Não é uma camada no Modelo OSI

IC - IP & Applications Fast forwarding IP Traffic Engineering –Constraint-based Routing Virtual Private Networks –mecanismo hierárquico de túneis Voz/Video sobre IP –atraso controlado, restrições de QoS MPLS - Aplicações

IC - IP & Applications AGENDA Multiprotocol Label Switching (MPLS) –Contextualização –Caracterização –Terminologia –Apresentação Funcional

IC - IP & Applications LSR - Label Switching Router envia pacotes IP para o destino com base numa LIB e na troca de labels LER - Label Edge Router inícia (adiciona label) e termina (remove label) um LSP. LSP - Label Switched Path um VC para IP que forma um caminho unidireccional. LDP - Label Distribution Protocol protocolo de sinalização bi- directional que é utilizado entre LDP peers para formar sessões (LDP, CR-LDP, RSVP). FEC - Forwarding Equivalence Class grupo de pacotes IP que é tratado do mesmo modo no que diz respeito ao encaminhamento. MPLS - Terminologia

IC - IP & Applications Domínio MPLS LER LSR LDP LSP Ingress Egress LDP Peers MPLS - Terminologia

IC - IP & Applications AGENDA Multiprotocol Label Switching (MPLS) –Contextualização –Caracterização –Terminologia –Apresentação Funcional

IC - IP & Applications 5.O egress LER remove o label e encaminha o pacote IP 4.Os LSRs processam os pacotes com label MPLS através de label swapping 3.O ingress LER recebe pacotes IP, executa o processamento de L3, e adiciona labels aos pacotes (quadrado vermelho) 1.Protocolos de routing existentes populam a tabela de routing 2a. LDP cria entradas LIB nos LSRs 2b. LDP estabelece LSP

IC - IP & Applications Estabelecimento de LSPs –Control Driven, Data driven Distribuição de Labels –Downstream on demand, Downstream unsolicited Mecanismos de Controlo –Ordered control, Independent control Retenção de Labels –Conservativo, Liberal Modos MPLS

IC - IP & Applications AGENDA Virtual Private Networks (VPNs) Multiprotocol Label Switching (MPLS) VPNs-IP baseadas no paradigma BGP/MPLS Segurança em VPNs BGP/MPLS

IC - IP & Applications AGENDA VPNs-IP baseadas no paradigma BGP/MPLS –Endereços VPN-IPv4 –Múltiplas tabelas de forwarding –Route Target –LSPs Hierárquicos

IC - IP & Applications AGENDA VPNs-IP baseadas no paradigma BGP/MPLS –Endereços VPN-IPv4 –Múltiplas tabelas de forwarding –Route Target –LSPs Hierárquicos

IC - IP & Applications «Multiprotocol Extensions for BGP-4» RFC 2858, Junho 2000: –BGP passa a suportar outros protocolos de L3 (Network), além do IP. –A identificação de um protocolo de L3 é feita através de um Address Family, como definido na RFC1700. VPN-IPv4 Address Family

IC - IP & Applications Estrutura de um Address Family: VPN-IPv4 Address Family | Address Family Identifier (2 octets) | | Subsequent Address Family Identifier (1 octeto) | VPN-IPv4: –AFI = 1 ; SAFI = 128

IC - IP & Applications Redes Privadas muitas vezes utilizam endereçamento privado (RFC 1918) => Clientes VPN de um SP podem utilizar a mesma gama de endereços... Endereços VPN-IPv4 Novos endereços únicos: Endereços VPN-IPv4 = RD + IPv4

IC - IP & Applications Estrutura: RD - Route Distinguisher | Type (2 octetos) | | Autonomous System Number (2 octetos) | | Assigned Number (4 octetos) | Exemplo: –RD = 65500:1000

IC - IP & Applications AGENDA VPNs-IP baseadas no paradigma BGP/MPLS –Endereços VPN-IPv4 –Múltiplas tabelas de forwarding –Route Target –LSPs Hierárquicos

IC - IP & Applications Num mesmo router de edge de um SP são agregados vários clientes de VPNs: Multiplas tabelas de Forwarding 10.2/16 CE Backbone IP PE

IC - IP & Applications Cada PE router mantém, não uma mas várias tabelas de forwarding. Cada tabela de forwarding deverá corresponder a uma VPN criada neste PE. Multiplas tabelas de Forwarding

IC - IP & Applications 10.1/16 Uma tabela de forwarding num PE pode ser populada por vários CEs da mesma VPN. O contrário é falso. Uma tabela para muitos CEs 10.1/16 CE PE Mesma tabela de forwarding Backbone IP

IC - IP & Applications AGENDA VPNs-IP baseadas no paradigma BGP/MPLS –Endereços VPN-IPv4 –Múltiplas tabelas de forwarding –Route Target –LSPs Hierárquicos

IC - IP & Applications Problema: Quais as rotas que um PE recebe de outro PE que pertencem à VPN x? Resposta: Através do uso de uma Extended Community no BGP: o route target. Route Target

IC - IP & Applications Determina quais as rotas que um PE deve colocar em cada uma das suas tabelas de forwarding. Deve também ser indicado pelo administrador qual o(s) route target a colocar nos updates BGP para os outros PEs. Route Target

IC - IP & Applications A parte de controlo (distribuição de rotas pelas várias VPNs) parece assegurado pelas definições anteriores. Mas o resultado final em qualquer tipo de VPN é encaminhar um pacote IP de um CE a outro CE. Problema

IC - IP & Applications AGENDA VPNs-IP baseadas no paradigma BGP/MPLS –Endereços VPN-IPv4 –Múltiplas tabelas de forwarding –Route Target –LSPs Hierárquicos

IC - IP & Applications PE2 PE1 CE1 CE2 P1 P2 IP Pkt 1040 IP Pkt Distribuição de labels VPN entre PE1 & PE2 IP Pkt1030 IP Pkt1050 Distribuição de labels IGP entre P1, P2, PE1, PE2 Outer (tunnel) label é comutado

IC - IP & Applications BGP IPv4 –Prefixo BGP VPN-IPv4 –Label –RD –Prefixo IPv4 NLRI - Network Layer Reachability Information MP-UNREACH-NLRI AFI 1 SAFI 128 Withdrawn Routes Label 0x RD 777:1 IPv4 Prefix /16 NLRI empty EXTENDED-COMMUNITIES Allocation By AS (0x00) Type Route target (0x02) Administrator 777 (0x0309) Assigned Nr 1001 (0x03E9)

IC - IP & Applications CE A3 CE B3 VPN A/Site 1 VPN A/Site 2 VPN B/Site 3 VPN B/Site 2 VPN B/Site 1 VPN A/Site 3 CE A1 CE B2 CE A2 CE1 B1 CE2 B1 PE 1 PE 2 PE 3 P1P1 P2P2 P3P3 Run BGP To Customer Use Static Routes Multi-homed site

IC - IP & Applications AGENDA Virtual Private Networks (VPNs) Multiprotocol Label Switching (MPLS) VPNs-IP baseadas no paradigma BGP/MPLS Segurança em VPNs BGP/MPLS

IC - IP & Applications Equivalente à obtida por VPNs baseadas em ATM ou Frame Relay Configuração incorrecta potencia falhas de segurança Confidencialidade não é assegurada: os dados não são encriptados sendo possível a extracção de informação da rede (tapping). Segurança

IC - IP & Applications VPN BGP/MPLS Segura: VPN BGP/MPLS IP SEC

IC - IP & Applications Obrigado! Paulo Valente