MPLS end to end υπηρεσίες Layer-3, Layer-2 VPNs MPLS VPN

MPLS VPN – γενικά Ένα Εικονικό Ιδιωτικό Δίκτυο (Virtual Private Network – VPN) είναι μία τεχνολογία η οποία επιτρέπει στους χρήστες ενός εταιρικού δικτύου να λαμβάνουν και να αποστέλλουν δεδομένα με έναν ασφαλή τρόπο μέσω διαμοιραζόμενων ή δημοσίων δικτύων, σαν να ήταν συνδεδεμένο απευθείας στο εταιρικό δίκτυο. Ένα VPN καθορίζεται από ένα σύνολο διαχειριστικών πολιτικών Οι πολιτικές ορίζουν την διασυνδεσιμότητα και την ποιότητα υπηρεσίας μεταξύ των sites του εταιρικού δικτύου. Οι πολιτικές ορίζονται από τους πελάτες των VPNs. Οι πολιτικές μπορούν να υλοποιηθούν εξ’ ολοκλήρου από τους παρόχους της VPN υπηρεσίας. Χρησιμοποιώντας BGP/MPLS VPN μηχανισμούς Τα sites μπορεί να βρίσκονται είτε στον ίδιο, είτε σε διαφορετικούς οργανισμούς. Δεν χρειάζεται όλα τα sites να συνδέονται στον ίδιο πάροχο υπηρεσιών. MPLS VPN

MPLS VPN – γενικά PE-CE link: διασύνδεση του δικτύου του πελάτη με το δίκτυο του παρόχου της υπηρεσίας (Service Provider - SP) – layer 2 ή layer 3. VPN: Αφιερωμένη ασφαλής διασύνδεση πάνω από μία διαμοιραζόμενη υποδομή MPLS VPN

MPLS VPN – πλεονεκτήματα Από την μεριά του παρόχου της υπηρεσίας Μειωμένα κόστη CAPEX Αξιοποίηση του ίδιου δικτύου για την παροχή πολλαπλών υπηρεσιών σε πολλαπλούς πελάτες. Μειωμένα κόστη OPEX Ευκολότερη παραμετροποίηση της υπηρεσίας (απαιτείται παραμετροποίηση μόνο των άκρων). Από την μεριά της εταιρίας-πελάτη Καθιστά δυνατή την κατάτμηση του δικτύου Επιτρέπει την παροχή αφιερωμένης διασύνδεσης σε χρήστες, εφαρμογές, κτλ. Καθιστά πιο εύκολη τη διασύνδεση σε επίπεδο WAN Ευκολότερη παραμετροποίηση site-to-site WAN διασυνδέσεων MPLS VPN

Επιλογές MPLS-VPN MPLS VPN

MPLS VPN – Επίπεδο 3 Ο δρομολογητής του πελάτη (CE) έχει μία IP peering σύνδεση με τον δρομολογητή άκρου (PE) του παρόχου του MPLS δικτύου. Το MPLS VPN δίκτυο είναι υπεύθυνο για την διανομή της πληροφορίας δρομολόγησης στα απομακρυσμένα VPN sites. Τα MPLS VPNs επιτρέπουν την full mesh ή hub-and-spoke διασύνδεση μεταξύ των συνδεδεμένων CE sites, καθώς και υβριδικές μορφές διασύνδεσης. Η παραμετροποίηση της MPLS VPN υπηρεσίας στο MPLS δίκτυο απαιτεί μόνο την παραμετροποίηση του VPN στους PE MPLS VPN

MPLS VPN – Δομικά Τμήματα PE-CE link Υποστηρίζει οποιουδήποτε τύπου layer 2 διασύνδεση (π.χ. Frame Relay ή Ethernet). To CE είναι παραμετροποιημένο έτσι ώστε να δρομολογεί IP κίνηση από/προς τον γειτονικό PE δρομολογητή. Επιλογές δρομολόγησης: στατική δρομολόγηση, eBGP, OSPF, IS-IS. MPLS L3 VPN επίπεδο ελέγχου Διαχωρισμός της δρομολόγησης της κίνησης του πελάτη μέσω εικονικών VPN πινάκων δρομολόγησης. Μεταξύ των PE δρομολογητών οι διαδρομές που αφορούν δίκτυα του πελάτη ανταλλάσσονται μέσω του BGP. MPLS L3 VPN επίπεδο προώθησης Διαχωρισμός της VPN κίνησης του πελάτη κάνοντας χρήση επιπρόσθετων VPN ετικετών. Η VPN ετικέτα χρησιμοποιείται από το PE του παραλήπτη για τον καθορισμό του VPN πίνακα δρομολόγησης. MPLS VPN

Virtual Routing and Forwarding Virtual Routing and Forwarding (VFR): τεχνολογία η οποία επιτρέπει την ύπαρξη πολλαπλών στιγμιότυπων του πίνακα δρομολόγησης ενός δρομολογητή την ίδια χρονική στιγμή. Για κάθε VPN σύνδεση του πελάτη δημιουργείται ένα στιγμιότυπο VFR στο PE. Το VFR σχετίζεται με μία ή περισσότερες διεπαφές του πελάτη. ο VFR έχει το δικό του στιγμιότυπο του πίνακα δρομολόγησης και του πίνακα προώθησης MPLS VPN

MPLS VPN - VRFs Η αρχιτεκτονική ενός PE δρομολογητή σ’ ένα MPLS VPN χρησιμοποιεί ξεχωριστούς εικονικούς δρομολογητές μέσα σ’ έναν φυσικό δρομολογητή για κάθε πελάτη, οι οποίοι περιέχουν τις διαδρομές των πελατών. Αυτοί οι εικονικοί δρομολογητές ονομάζονται VRFs (Virtual Routing and Forwarding). Διαδρομές με το ίδιο πρόθεμα IP διευθύνσεων, που είναι ουσιαστικά διαδρομές σε διαφορετικά συστήματα, είναι σημαντικό να βεβαιώσουμε ότι το BGP δεν θα τις μπερδέψει σαν ανάλογες. . MPLS VPN

Route Target Route Distinguisher (RD) Route Target (RT) Παράμετρος μεγέθους 8 bytes του VFR Μοναδική τιμή η οποία εκχωρείται από τον πάροχο σε κάθε VPN ώστε να καταστήσει μοναδικές τις διάφορες VPN διαδρομές των πελατών (π.χ. 10 διαφορετικά VPN’s χρησιμοποιούν το prefix 10.0.0.0/24). VPNv4 διεύθυνση: RD + VPN IP prefix Route Target (RT) Χρησιμοποιείται για τον διαμοιρασμό routes μεταξύ διαφορετικών VRFs. Μοναδική τιμή η οποία χρησιμοποιείται για τον καθορισμό των import/export κανόνων για τις VPNv4 διαδρομές. MP-iBGP: διαφημίζει VPNv4 prefixes και ετικέτες MPLS VPN

MPLS VPN – MP-BGP Η BGP MultiProtocol επέκταση, επιτρέπει στο BGP, να μεταφέρει διαδρομές από πολλαπλές “Οικογένειες Διευθύνσεων”. Η VPN-IPv4 (ή απλά VPNv4) είναι μια διεύθυνση 12 byte, που ξεκινάει με 8 byte του Διαχωριστή Διαδρομής (RD) και συνεχίζει με τα 4 byte της IPv4 διεύθυνσης. Aν διαφορετικά VPNs χρησιμοποιούν το ίδιο πρόθεμα IPv4 διεύθυνσης, οι PEs δρομολογητές το μεταφράζουν σαν μοναδικές VPNv4 διευθύνσεις. Επειδή, οι οικογένειες διευθύνσεων IPv4 και VPNv4 είναι διαφορετικές, το BGP δεν πρόκειται ποτέ να τις θεωρήσει ταυτόσημες. Ο διαχωριστής διαδρομής (RD) μπορεί επίσης να χρησιμοποιηθεί για να δημιουργήσει πολλαπλές διαφορετικές διαδρομές στο ίδιο σύστημα. Αυτό μπορεί να επιτευχθεί, δημιουργώντας διαφορετικές VPNv4 διαδρομές, οι οποίες έχουν το ίδιο IPv4 μέρος και διαφορετικό RD. Με αυτόν τον τρόπο, μπορούν να χρησιμοποιηθούν διάφορες πολιτικές χρήσης, για το ποια διαδρομή να ακολουθήσουν διαφορετικού τύπου πακέτα από τον ίδιο πελάτη.    MPLS VPN

VPN – Επεξεργασία στο επίπεδο ελέγχου Το CE1 διαφημίζει στο PE1 ένα IPv4 route μέσω του eBGP Το PE1 προσαρτά ένα RD στο IPv4 prefix που έμαθε από το CE1 για να δημιουργήσει ένα μοναδικό VPNv4 route. To PE1 κάνει redistribute το VPNv4 route στο MP-iBGP, ορίζει τον εαυτό του ως το next hop και διαφημίζει το VPN route στο PE2 με μία συγκεκριμένη ετικέτα. To PE2 λαμβάνει το VPNv4 route και μέσω της επεξεργασίας του VRF κάνει redistribute την αρχική IPv4 διαδρομή στο C MPLS VPN

VPN – Επεξεργασία στο επίπεδο προώθησης To CE2 προωθεί ένα IPv4 πακέτο στο PE2. To PE2 προσαρτά την προκαθορισμένη VPN ετικέτα (που έμαθε μέσω του MP-iBGP) στο IPv4 πακέτο που έλαβε από το CE2. Το PE2 προσαρτά την εξωτερική IGP ετικέτα (που έμαθε μέσω του LDP) και προωθεί το IPv4 πακέτο στον δρομολογητή επόμενου βήματος (τον P2). Οι P δρομολογητές P2 και P1 κάνουν swap την εξωτερική IGP ετικέτα και προωθούν το πακέτο στον PE1. O δρομολογητής PE1 αφαιρεί την VPN ετικέτα και την IGP ετικέτα και προωθεί το IPv4 πακέτο στον CE1 MPLS VPN

Διαχωρισμός κίνησης (MPLS L3 VPN) Απαίτηση: Διαχωρισμός της κίνησης των τμημάτων Cosmetics, Aerospace και Financial services χρησιμοποιώντας μία διαμοιραζόμενη υποδομή. Λύση: Δημιουργία ενός MPLS L3 VPN για κάθε τμήμα MPLS VPN

Απλοποίηση σχεδιασμού διασύνδεσης (MPLS L3 VPN) Απαίτηση: Απλοποίηση και εύκολη κλιμάκωση της πρόσβασης στο κεντρικό site Λύση: Υλοποίηση MPLS L3 VPNs για την μείωση του αριθμού των peers δρομολόγησης του κεντρικού site MPLS VPN

Δίκτυα MPLS L2 VPN Καθιστούν δυνατή τη μεταφορά οποιασδήποτε μορφής layer 2 κίνησης πάνω από ένα MPLS δίκτυο (Δεν θα μας απασχολήσει περισσότερο) MPLS VPN

MPLS VPN – Φινάλε Ι Κάθε VRF συσχετίζεται, μ’ ένα ή παραπάνω RT (Route Target) χαρακτηριστικά. Όταν μια VPN-IPv4 διαδρομή δημιουργείται (από μια IPv4 διαδρομή που ο PE δρομολογητής έμαθε από τον CE δρομολογητή) από έναν PE δρομολογητή, συσχετίζεται μ’ ένα ή παραπάνω RT. Τα χαρακτηριστικά RT μεταφέρονται με το πρωτόκολλο BGP, σαν χαρακτηριστικά του δρομολογητή. Κάθε διαδρομή σχετιζόμενη μ’ ένα RTx, πρέπει να γνωστοποιηθεί σε κάθε PE δρομολογητή, ο οποίος έχει ένα VRF σχετιζόμενο με το RTx. Οι διαδρομές στόχοι (RT – Route Target) χρησιμοποιούνται για να επιτρέψουν κοινόχρηστα ή μη routes μεταξύ των VRFs. MPLS VPN

Βήματα στο configuration Create one VRF for each VPN connected using the ip vrf <VPN routing/forwarding instance name> command. Specify the correct route distinguisher used for that VPN. This is used to extend the IP address so that you can identify which VPN it belongs to. rd <VPN route distinguisher> Set up the import and export properties for the MP−BGP extended communities. These are used for filtering the import and export process. route−target [export|import|both] <target VPN extended community> Configure the forwarding details for the respective interfaces using the ip vrf forwarding <VPN routing/forwarding instance name> command and remember to set up the IP address after doing this. MPLS VPN

Βήματα στο configuration Configuring MP−BGP Configure MP−BGP between the PE routers. There are several ways to configure BGP, such as using the route reflector or confederation methods. The method used here direct neighbor configuration is the simplest and the least scalable. 1. Declare the different neighbors. Enter the address−family ipv4 vrf <VPN routing/forwarding instance name> command for each VPN present at this PE router. Carry out one or more of the following steps, as necessary: Redistribute the static routing, RIP, or OSPF information. Redistribute connected routing information. Activate BGP neighboring with the CE routers. Enter the address−family vpnv4 mode, and complete the following steps: Activate the neighbors. Specify that extended community must be used. This is mandatory. MPLS VPN