IC - IP & Applications IP & Applications Virtual Private Networks Leiria, Abril.2001.

IC - IP & Applications

IP & ApplicationsIP & Applications

Virtual Private NetworksVirtual Private Networks

Leiria, Abril.2001Leiria, Abril.2001


Paulo Valente

[email protected]


AGENDA

• Virtual Private Networks (VPNs)

• Multiprotocol Label Switching (MPLS)

• VPNs-IP baseadas no paradigma BGP/MPLS

• Segurança em VPNs BGP/MPLS


AGENDA


– Definição

– De Full-Meshed a Hub-and-spoke

– Intranet vs Extranet

– Modelo Overlay vs Modelo Peer


Virtual Private Networks

• Definição I:

– Grupo restrito de sites aos quais é permitido comunicar entre si através de uma rede partilhada (i.e., rede pública), sendo aplicadas a esta conectividade politicas administrativas.



• Definição II:

«… informalmente podemos dizer que uma VPN é um grupo de sites que podem comunicar entre si.»

in «MPLS - Technology and Applications», 2000

Bruce Davie eYakov Rekhter



• Definição II:

«Mais formalmente, uma VPN é definida por um grupo de políticas administrativas que controlam tanto a conectividade como a QoS entre sites.»

in «MPLS - Technology and Applications», 2000

Bruce Davie eYakov Rekhter



• Definição III:

«Uma VPN pode ser modelada como um objecto de conectividade.»

in RFC 2764 «A Framework for IP Based Virtual Private Networks», Feb 2000



• Definição III:

«Muitos aspectos do desenho de redes, como endereçamento, mecanismo de encaminhamento, aprendizagem e aviso de conectividade, QoS, segurança, e firewalling, têm soluções comuns em

redes físicas e redes virtuais.»

in RFC 2764 «A Framework for IP Based Virtual Private Networks», Feb 2000


AGENDA


– Definição

– De Hub-and-spoke a Full-Meshed




De Hub-and-spoke a Full-Meshed



n sitesn-1 ligações



n sitesn(n-1)/2 ligações


020406080

100120140160180200

nº

de

lig

açõ

es

2 4 6 8 10 12 14 16 18 20

nº de sites


20 => 190100 => 4950!


020406080

100120140160180200

nº

de

lig

açõ

es

2 4 6 8 10 12 14 16 18 20

nº de sites


20 => 190100 => 4950!

NÃO É ESCALÁVEL!

DOESN’T SCALE!



Full-Meshed Hub-and-spoke

Partially-Meshed


AGENDA


– Definição





• Conectividade e Aplicações flexiveis:– Intranet: VPN baseada na conectividade

apenas entre sites da mesma empresa.– Extranet: VPN utilizada na interligação de

sites de diferentes empresas.

Intranet vs Extranet

Numa Extranet as políticas de definição da VPN cabem a um conjunto de empresas.


AGENDA


– Definição





10.3/16

10.2/1610.1/16

VPN B

10.1/16 10.3/16

10.2/16

VPN A

CE

CE

CE

CE

CE

CE

CE

CE - Customer Edge

Modelo Overlay


• Conectividade entre sites:– Layer 2

• linhas dedicadas, circuitos Frame Relay, circuitos ATM

– VPN Tunneling• IP/IP, L2TP, GRE, IPSec

Modelo Overlay


• Desenho e operação do “backbone virtual” da VPN pelo cliente o que implica:– Conhecimentos em routing IP.– Conhecimentos em IP QoS e L2 QoS bem

como no seu mapeamento.

ou como alternativa … outsorcing!

Modelo Overlay - Layer 2


• Definição:– Um túnel IP funciona como um overlay

sobre um backbone IP, e o tráfego enviado sobre o túnel é opaco para esse mesmo backbone.

Modelo Overlay - VPN Tunneling

i.e., o backbone é transparente para a VPN!


• GRE - RFC 1701, Outubro 1994

• IP/IP - RFC 2003, Outubro 1996

• IPSec - RFC 2401, Novembro 1998

• L2TP - RFC 2661, Agosto 1999



• Os mesmos problemas que na conectividade L2 + – GRE: data spoofing– IPSec: key management– QoS baseada em IP Diffserv

• Possibilidade de extender o serviço VPN a qualquer lado com conectividade à Internet.



• Oferta de um serviço VPN escalável– milhares a milhões de VPNs por SP

• Necessidade de pouco a nenhum conhecimento de routing IP por parte do cliente (point-to-cloud)

• Flexibilidade em termos de dimensões da VPN– de poucos a milhares de sites por VPN

Modelo Peer - MOTIVAÇÕES


10.3/16

10.2/1610.1/16

VPN B

10.1/16 10.3/16

10.2/16

VPN A

Modelo Peer

CE

CE

CE

CE

CE

CE

CE

PE

PE

PE

P

CE - Customer EdgePE - Provider EdgeP - Provider


• Distribuição de informação de routing condicionada

• Múltiplas tabelas de forwarding

• Uso de um novo tipo de endereços, endereços VPN-IPv4

• MPLS

Modelo Peer - SOLUÇÃO


AGENDA






AGENDA


– Contextualização

– Caracterização

– Terminologia

– Componentes


• Tecnologias Precursoras (1994-1996)

– Cell Switching Router (CSR) TOSHIBA

– IP Switching IPSILON

– Tag Switching CISCO

– Aggregate Route-based IP Switching (ARIS) IBM

MPLS - Contextualização


• Cell Switching Router (CSR) TOSHIBA

– Até então: routing feito por routers, ATM switching feito por ATM switches.

– Questão: Porque não controlar um ATM switching fabric através de protocolos IP (como routing IP e RSVP) em vez de utilizar sinalização ATM como Q.2931?



• IP Switching IPSILON

– Permite um equipamento com o desempenho de um comutador ATM comportar-se como um router.

– Routers mais rápido é o necessário!

– Sinalização ATM complexa demais. Melhor será nem a utilizar...



• Tag Switching CISCO

– Funciona sobre ATM, PPP, 802.3.

– Suporta Multicast.

– Suporta alocação de recursos via RSVP.

– Objectivo de normalizar o Tag Switching através do IETF.



• Aggregate Route-based IP Switching (ARIS) IBM

– Filosofia próxima do Tag Switching da Cisco.

– Muitas das ideias foram incorporadas nas normas do MPLS.



• MPLS Working Group - 1997

– Sessão Birds of a Feather (BOF) em dezembro de 1996 com apresentações feitas pela Toshiba, Cisco e IBM.

– Uma das sessões mais concurridas da história do IETF.

MPLS


AGENDA




– Terminologia

– Componentes


• Multiprotocol = IP

• Baseado no paradigma da label-swaping forwarding

MPLS - Caracterização

LABEL SWITCHINGIP Forwarding

IP IP #L1 IP #L2 IP #L3 IP

IP Forwarding


• Formato do label:


0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Label | EXP |S| TTL |

• Cabeçalho = 4 octetos (32 bits)– Label = valor da label a atribuir ao pacote (20 bits-1048576)– EXP = bits experimentais, utilizados para QoS (3 bits)– S = indicador do fim da pilha (1 bit)– TTL = time to live (8 bits)


• Formato do label:


0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Label | EXP |S| TTL |

• Colocado entre o cabeçalho da camada 2 (Data Link) e o cabeçalho da camada 3 (Network), do Modelo Referencial OSI.


Physical

Data Link

Network

Transport

Session

Presentation

Application • Funciona sobre várias tecnologias da camada 2:– ATM– SONET– Ethernet– PPP

MPLS - Não é um protocolo L2


Physical

Data Link

Network

Transport

Session

Presentation

Application • Não tem endereçamento nem funções de encaminhamento per si:– Faz uso do

endereçamento IP e o routing IP (com extensões)

MPLS - Não é um protocolo L3


Physical

Data Link

Network

Transport

Session

Presentation

Application • Não existe um formato único para transportar os dados de uma camada superior:– shim - SONET– VPI/VCI - ATM– lambda - OXC– etc...

Não é uma camada no Modelo OSI


• Fast forwarding

• IP Traffic Engineering– Constraint-based Routing

• Virtual Private Networks– mecanismo hierárquico de túneis

• Voz/Video sobre IP– atraso controlado, restrições de QoS

MPLS - Aplicações


AGENDA




– Terminologia

– Apresentação Funcional


• LSR - Label Switching Routerenvia pacotes IP para o destino com base numa LIB e na troca de labels

• LER - Label Edge Routerinícia (adiciona label) e termina (remove label) um LSP.

• LSP - Label Switched Pathum VC para IP que forma um caminho unidireccional.

• LDP - Label Distribution Protocolprotocolo de sinalização bi-directional que é utilizado entre LDP peers para formar sessões (LDP, CR-LDP, RSVP).

• FEC - Forwarding Equivalence Classgrupo de pacotes IP que é tratado do mesmo modo no que diz respeito ao encaminhamento.

MPLS - Terminologia


Domínio MPLS

LER

LER

LER

LER

LER

LER

LSR

LSR LSR

LDP

LDP

LDP

LSPIngress

Egress

LDP Peers

MPLS - Terminologia


AGENDA




– Terminologia

– Apresentação Funcional


5.O egress LER remove o label e encaminha o pacote IP

4.Os LSRs processam os pacotes com label MPLS através de label swapping

3.O ingress LER recebe pacotes IP, executa o processamento de L3, e adiciona labels aos pacotes (quadrado vermelho)

1. Protocolos de routing existentes populam a tabela de routing

2a. LDP cria entradas LIB nos LSRs

2b. LDP estabelece LSP


• Estabelecimento de LSPs– Control Driven, Data driven

• Distribuição de Labels– Downstream on demand, Downstream unsolicited

• Mecanismos de Controlo– Ordered control, Independent control

• Retenção de Labels– Conservativo, Liberal

Modos MPLS


AGENDA






AGENDA


– Endereços VPN-IPv4

– Múltiplas tabelas de forwarding

– Route Target

– LSPs Hierárquicos


• «Multiprotocol Extensions for BGP-4» RFC 2858, Junho 2000:

– BGP passa a suportar outros protocolos de L3 (Network), além do IP.

– A identificação de um protocolo de L3 é feita através de um Address Family, como definido na RFC1700.

VPN-IPv4 Address Family


• Estrutura de um Address Family:

VPN-IPv4 Address Family

+---------------------------------------------------------+ | Address Family Identifier (2 octets) | +---------------------------------------------------------+ | Subsequent Address Family Identifier (1 octeto) | +---------------------------------------------------------+

• VPN-IPv4:

– AFI = 1 ; SAFI = 128


• Redes Privadas muitas vezes utilizam endereçamento privado (RFC 1918) => Clientes VPN de um SP podem utilizar a mesma gama de endereços...

Endereços VPN-IPv4

Novos endereços únicos:Endereços VPN-IPv4 = RD + IPv4


• Estrutura:

RD - Route Distinguisher

+---------------------------------------------------------+ | Type (2 octetos) | +---------------------------------------------------------+ | Autonomous System Number (2 octetos) | +---------------------------------------------------------+ | Assigned Number (4 octetos) | +---------------------------------------------------------+

• Exemplo:

– RD = 65500:1000


AGENDA




– Route Target



• Num mesmo router de edge de um SP são agregados vários clientes de VPNs:

Multiplas tabelas de Forwarding

10.2/16

10.2/16

CE

CE

Backbone IP

PE


• Cada PE router mantém, não uma mas várias tabelas de forwarding.

• Cada tabela de forwarding deverá corresponder a uma VPN criada neste PE.

Multiplas tabelas de Forwarding


10.1/16

• Uma tabela de forwarding num PE pode ser populada por vários CEs da mesma VPN. O contrário é falso.

Uma tabela para muitos CEs

10.1/16

CE

CE

CE

PEMesma tabela de forwardingBackbone IP


AGENDA




– Route Target



• Problema: Quais as rotas que um PE recebe de outro PE que pertencem à VPN x?

• Resposta: Através do uso de uma Extended Community no BGP: o route target.

Route Target


• Determina quais as rotas que um PE deve colocar em cada uma das suas tabelas de forwarding.

• Deve também ser indicado pelo administrador qual o(s) route target a colocar nos updates BGP para os outros PEs.

Route Target


• A parte de controlo (distribuição de rotas pelas várias VPNs) parece assegurado pelas definições anteriores.

• Mas o resultado final em qualquer tipo de VPN é encaminhar um pacote IP de um CE a outro CE.

Problema


AGENDA




– Route Target



PE2PE1

CE1CE2

P1 P2

IP Pkt

IP Pkt1040

IP Pkt

Distribuição de labels VPNentre PE1 & PE2

IP Pkt1030

IP Pkt1050

Distribuição de labels IGPentre P1, P2, PE1, PE2

Outer (tunnel) labelé comutado


• BGP IPv4– Prefixo

• BGP VPN-IPv4– Label– RD– Prefixo IPv4

NLRI - Network Layer Reachability Information

MP - UNREACH - NLRI AFI 1

SAFI 128

Withdrawn Routes

Label 0x800000 RD 777:1 IPv4 Prefix 10.1.0.0/16

NLRI empty

EXTENDED - COMMUNITIES

Allocation By AS (0x00) Type Route target (0x02) Administrator 777 (0x0309) Assigned Nr 1001 (0x03E9)


CEA3

CEB3

VPN A/Site 1

VPN A/Site 2

VPN B/Site 3

VPN B/Site 2VPN B/Site 1

VPN A/Site 3

CEA1

CEB2

CEA2CE1B1

CE2B1

PE1

PE2

PE3

P1

P2

P3

Run BGPTo Customer

Use Static RoutesMulti-homed site


AGENDA






• Equivalente à obtida por VPNs baseadas em ATM ou Frame Relay

• Configuração incorrecta potencia falhas de segurança

• Confidencialidade não é assegurada: os dados não são encriptados sendo possível a extracção de informação da rede (tapping).

Segurança


VPN BGP/MPLS Segura:

VPN BGP/MPLS

IP SEC


Obrigado!

Paulo [email protected]

IC - IP & Applications IP & Applications Virtual Private Networks Leiria, Abril.2001.

Documents

Transcript of IC - IP & Applications IP & Applications Virtual Private Networks Leiria, Abril.2001.