MPLS e VPN Referência: Slides extraídos do material dos professores Jim Kurose e Keith Ross relativos ao livro “Redes de Computadores e a Internet – Uma abordagem top-down”, segunda e terceira edições Alterações nos slides, incluindo sequenciamento, textos, figuras e novos slides, foram realizadas conforme necessidade

Multiprotocol label switching (MPLS)  Objetivo inicial: aumentar a velocidade de encaminhamento IP usando labels de tamanho fixo (em vez de endereço IP)  Mesma idéia do método de circuito virtual (VC)  Mas o datagrama IP ainda mantém o endereço IP!  RFC 3031

Multiprotocol label switching (MPLS) Label – Número que identifica o rótulo, ou seja, a FEC que o pacote pertence COS – Class of Service. Implementam as políticas de QOS (queuing , descarte e priorização ) S – Indica o último rótulo de uma pilha. TTL – É o mesmo campo TTL do IP V4.

Roteadores MPLS Roteadores MPLS  Roteador faz a função de comutador de rótulo  Pacotes encaminhados para interface de saída com base apenas no valor do rótulo (não inspeciona o endereço IP)  Tabela de encaminhamento MPLS distinta das tabelas de encaminhamento IP  Protocolo de sinalização necessário para estabelecer o encaminhamento  RSVP-TE  Encaminhamento é possível por caminhos que o IP sozinho não pode usar (ex.: roteamento especificado pela origem, roteamento baseado em QoS)  Uso de MPLS para engenharia de tráfego  Deve coexistir com roteadores unicamente IP

Tabelas de Encaminhamento MPLS

Topologia e Componentes MPLS

Topologia e Componentes MPLS  LER: Label Edge Router  É um nó da rede MPLS que está na borda, fazendo conexão com outras redes MPLS ou com redes não MPLS  Fazem a associação dos pacotes com os Labels, definindo o seu caminho na rede MPLS  Solicitam a criação dos Labels  Labels são inseridos no ingress LER e removidos no egress LER

Topologia e Componentes MPLS  LSR: Label Switching Router  É um nó da rede MPLS que faz a comutação e encaminhamento dos pacotes utilizando Labels  Formam o core de uma rede MPLS  Em geral, tratam-se de roteadores IPs ou switches L3

FEC – Forward Equivalence Class  Classificação e marcação dos pacotes a partir de suas características de encaminhamento  Definida pelo LER na entrada da rede MPLS  Caminho do pacote MPLS é definido pela FEC a qual pertence (usa RSVP-TE)  Um label associado para cada FEC existente  Encaminhamento do pacote definido pela LIB (Label Information Base), composta pelo par FEC-to-Label  LIB define o next-hop e o label do pacote a ser comutado  Cada LSR possui uma LIB

FEC – Forward Equivalence Class  Exemplos:  Todos os pacotes destinados a um mesmo egress LER  Todos os pacotes com um mesmo COS (Class of Service)  Todos os pacotes com uma mesma rede de destino.

Exemplo de LIB – Label Information Base

LSP – Label Switched Path  É o formado pelos Labels e LSR no caminho entre fonte e destino do pacote na rede MPLS  Análogo com um Circuito Virtual para redes IP  Garante os recursos solicitados por uma FEC  São unidirecionais, estabelecidos antes da transmissão dos dados

LSP – Label Switched Path

LDP – Label Distribution Protocol  Faz o anúncio das associações Label/FEC entre os LSR que compõem um LSP  Vários protocolos estão especificados  MPLS-LDP  Mapear IP Unicast em Labels  MPLS-RSVP, MPLS-CR-LDP  TE e QOS  MPLS-BGP  Labels externos (VPN) 

Funcionamento da rede MPLS

VPN: Virtual Private Networks Do Wikipedia: A virtual private network (VPN) is a private communications network often used by companies or organizations, to communicate confidentially over a public network. Rede sobreposta (overlay), criada sobre a Internet e seus protocolos, funcionando como um ambiente de rede local Serviço que pode ser oferecido pelos ISPs com respectivos acordos de SLA (Service Level Agreement) Aplicações mais comuns: Acesso doméstico a ambiente corporativo ou institucional (Extranet) Integração remota de escritórios e labs (Wide-Area Intranet) Confidencialidade na troca de informações em ambiente de rede distribuído

VPN: Virtual Private Networks (2) Diagrama genérico: C – Customer; CE – Customer Edge; P – Provider; PE – Provider Edge

VPN: Tipos Se utiliza de túneis e procedimentos de segurança (autenticação, criptografia) para estabelecer um serviço overlay Análogo a uma rede privada de linhas dedicadas, porém a um custo menor dado que usa uma infra-estrutura física compartilhada Classificação quanto ao serviço: VPNs confiáveis (Trusted VPNs) – o cliente confia ao provedor a confidencialidade de seus dados VPNs seguras (Secure VPNs) – túneis criptografados entre as redes do cliente para garantir a privacidade dos dados VPNs híbridas (Hybrid VPNs) – VPN segura sobre um serviço de VPN (Trusted) do provedor, alguns provedores fornecem a solução completa VPNs móveis (Mobile VPNs) – VPN segura destinada a acesso móvel sem fio, funcionalidades para “roaming”

VPN: Tipos (2) Classificação quanto à camada de serviço: VPNs camada 2 – permite conectividade de camada 2 entre os sites remotos Comunicação baseada em endereçamento de camada 2, como MAC ou Frame Relay DLCI Pode ser do tipo ponto-a-ponto (VPWS - Virtual Private Wire Service) ou multiponto-multiponto (VPLS - Virtual Private LAN Service) VPNs camada 3 – conectividade entre os sites remotos baseada em endereçamento IP (camada 3) Podem ser do tipo PE-based (provedor é responsável pelo encaminhamento) ou CE-based (cliente é responsável pelo encaminhamento)

VPN: Tipos (3) VPN L3 PE-based: MPLS, L2TPv3, IPSec, túneis GRE

VPN: Tipos (4) VPN L3 CE-based: IPSec e túneis GRE

VPN: Tecnologias Tecnologias para VPN segura: IPSec – datagrama IP criptografado (para autenticação e/ou privacidade) mantendo-se informações básicas como IPs origem e destino Túneis SSL – estabelecido entre usuários remotos e um Proxy Web, para autenticação e acesso seguro Ex: OpenVPN PPTP (Point to Point Tunneling Protocol) – RFC 2637, estabelece sessão PPP através de um túnel GRE (Generic Routing Encapsulation) L2TP (Layer 2 Tunneling Protocol) – RFC 2661 e RFC 3931 (L2TPv3), age como protocolo de enlace mas é, de fato, um protocolo de nível de sessão que usa UDP na porta 1701 VLANs (IEEE 802.1Q)

VPN: Tecnologias (2) Exemplo típico usando IPSec: suporta apenas unicast, outros protocolos de nível 3 devem ser encapsulados em túneis GRE

VPN: Tecnologias (3) Exemplo usando túnel SSL: apenas para aplicatvos usando SSL sockets

VPN: Tecnologias (4) Tecnologias para VPN confiável: MPLS MPLS (Multi-Protocol Label Switch), RFC 3031, funciona na chamada “camada 2.5”, emula uma rede de chaveamento de circuitos sobre uma rede de pacotes ao inserir labels nos pacotes IPs de acordo com critérios de encaminhamento Túneis MPLS são estabelecidos via RSVP e podem considerar requisitos de QoS e acordos de SLA Restrito ao Sistema Autônomo uma vez que depende do IGP para seu estabelecimento e funcionamento VPN L2: qualquer protocolo ponto-a-ponto sobre MPLS (Draft Martini) VPN L3: ISP usa MP-BGP (Multiprotocol BGP) para propagar informações de roteamento do cliente da VPN através do backbone (RFC 2547bis), MP-BGP não suporta multicast Solução escalável para o ISP quanto ao número de VPNs

VPN: Tecnologias (5) Exemplo de VPN MPLS L3: se vale de endereços VPN-IPv4 (8 bytes + end. IP) para permitir ambigüidade de endereços IPs em múltiplas VPNs (RFC 2547bis) VRF – VPN Routing ad Forwarding Table LSP – Label Switched Path