IC - IP & Applications
IP & ApplicationsIP & Applications
Virtual Private NetworksVirtual Private Networks
Leiria, Abril.2001Leiria, Abril.2001
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
• Multiprotocol Label Switching (MPLS)
• VPNs-IP baseadas no paradigma BGP/MPLS
• Segurança em VPNs BGP/MPLS
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
• Multiprotocol Label Switching (MPLS)
• VPNs-IP baseadas no paradigma BGP/MPLS
• Segurança em VPNs BGP/MPLS
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
– Definição
– De Full-Meshed a Hub-and-spoke
– Intranet vs Extranet
– Modelo Overlay vs Modelo Peer
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
– Definição
– De Full-Meshed a Hub-and-spoke
– Intranet vs Extranet
– Modelo Overlay vs Modelo Peer
IC - IP & Applications
Virtual Private Networks
• Definição I:
– Grupo restrito de sites aos quais é permitido comunicar entre si através de uma rede partilhada (i.e., rede pública), sendo aplicadas a esta conectividade politicas administrativas.
IC - IP & Applications
Virtual Private Networks
• Definição II:
«… informalmente podemos dizer que uma VPN é um grupo de sites que podem comunicar entre si.»
in «MPLS - Technology and Applications», 2000
Bruce Davie eYakov Rekhter
IC - IP & Applications
Virtual Private Networks
• Definição II:
«Mais formalmente, uma VPN é definida por um grupo de políticas administrativas que controlam tanto a conectividade como a QoS entre sites.»
in «MPLS - Technology and Applications», 2000
Bruce Davie eYakov Rekhter
IC - IP & Applications
Virtual Private Networks
• Definição III:
«Uma VPN pode ser modelada como um objecto de conectividade.»
in RFC 2764 «A Framework for IP Based Virtual Private Networks», Feb 2000
IC - IP & Applications
Virtual Private Networks
• Definição III:
«Muitos aspectos do desenho de redes, como endereçamento, mecanismo de encaminhamento, aprendizagem e aviso de conectividade, QoS, segurança, e firewalling, têm soluções comuns em
redes físicas e redes virtuais.»
in RFC 2764 «A Framework for IP Based Virtual Private Networks», Feb 2000
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
– Definição
– De Hub-and-spoke a Full-Meshed
– Intranet vs Extranet
– Modelo Overlay vs Modelo Peer
IC - IP & Applications
De Hub-and-spoke a Full-Meshed
IC - IP & Applications
De Hub-and-spoke a Full-Meshed
n sitesn-1 ligações
IC - IP & Applications
De Hub-and-spoke a Full-Meshed
n sitesn(n-1)/2 ligações
IC - IP & Applications
020406080
100120140160180200
nº
de
lig
açõ
es
2 4 6 8 10 12 14 16 18 20
nº de sites
De Hub-and-spoke a Full-Meshed
20 => 190100 => 4950!
IC - IP & Applications
020406080
100120140160180200
nº
de
lig
açõ
es
2 4 6 8 10 12 14 16 18 20
nº de sites
De Hub-and-spoke a Full-Meshed
20 => 190100 => 4950!
NÃO É ESCALÁVEL!
DOESN’T SCALE!
IC - IP & Applications
De Hub-and-spoke a Full-Meshed
Full-Meshed Hub-and-spoke
Partially-Meshed
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
– Definição
– De Hub-and-spoke a Full-Meshed
– Intranet vs Extranet
– Modelo Overlay vs Modelo Peer
IC - IP & Applications
• Conectividade e Aplicações flexiveis:– Intranet: VPN baseada na conectividade
apenas entre sites da mesma empresa.– Extranet: VPN utilizada na interligação de
sites de diferentes empresas.
Intranet vs Extranet
Numa Extranet as políticas de definição da VPN cabem a um conjunto de empresas.
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
– Definição
– De Hub-and-spoke a Full-Meshed
– Intranet vs Extranet
– Modelo Overlay vs Modelo Peer
IC - IP & Applications
10.3/16
10.2/1610.1/16
VPN B
10.1/16 10.3/16
10.2/16
VPN A
CE
CE
CE
CE
CE
CE
CE
CE - Customer Edge
Modelo Overlay
IC - IP & Applications
• Conectividade entre sites:– Layer 2
• linhas dedicadas, circuitos Frame Relay, circuitos ATM
– VPN Tunneling• IP/IP, L2TP, GRE, IPSec
Modelo Overlay
IC - IP & Applications
• Desenho e operação do “backbone virtual” da VPN pelo cliente o que implica:– Conhecimentos em routing IP.– Conhecimentos em IP QoS e L2 QoS bem
como no seu mapeamento.
ou como alternativa … outsorcing!
Modelo Overlay - Layer 2
IC - IP & Applications
• Definição:– Um túnel IP funciona como um overlay
sobre um backbone IP, e o tráfego enviado sobre o túnel é opaco para esse mesmo backbone.
Modelo Overlay - VPN Tunneling
i.e., o backbone é transparente para a VPN!
IC - IP & Applications
• GRE - RFC 1701, Outubro 1994
• IP/IP - RFC 2003, Outubro 1996
• IPSec - RFC 2401, Novembro 1998
• L2TP - RFC 2661, Agosto 1999
Modelo Overlay - VPN Tunneling
IC - IP & Applications
• Os mesmos problemas que na conectividade L2 + – GRE: data spoofing– IPSec: key management– QoS baseada em IP Diffserv
• Possibilidade de extender o serviço VPN a qualquer lado com conectividade à Internet.
Modelo Overlay - VPN Tunneling
IC - IP & Applications
• Oferta de um serviço VPN escalável– milhares a milhões de VPNs por SP
• Necessidade de pouco a nenhum conhecimento de routing IP por parte do cliente (point-to-cloud)
• Flexibilidade em termos de dimensões da VPN– de poucos a milhares de sites por VPN
Modelo Peer - MOTIVAÇÕES
IC - IP & Applications
10.3/16
10.2/1610.1/16
VPN B
10.1/16 10.3/16
10.2/16
VPN A
Modelo Peer
CE
CE
CE
CE
CE
CE
CE
PE
PE
PE
P
CE - Customer EdgePE - Provider EdgeP - Provider
IC - IP & Applications
• Distribuição de informação de routing condicionada
• Múltiplas tabelas de forwarding
• Uso de um novo tipo de endereços, endereços VPN-IPv4
• MPLS
Modelo Peer - SOLUÇÃO
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
• Multiprotocol Label Switching (MPLS)
• VPNs-IP baseadas no paradigma BGP/MPLS
• Segurança em VPNs BGP/MPLS
IC - IP & Applications
AGENDA
• Multiprotocol Label Switching (MPLS)
– Contextualização
– Caracterização
– Terminologia
– Componentes
IC - IP & Applications
AGENDA
• Multiprotocol Label Switching (MPLS)
– Contextualização
– Caracterização
– Terminologia
– Componentes
IC - IP & Applications
• Tecnologias Precursoras (1994-1996)
– Cell Switching Router (CSR) TOSHIBA
– IP Switching IPSILON
– Tag Switching CISCO
– Aggregate Route-based IP Switching (ARIS) IBM
MPLS - Contextualização
IC - IP & Applications
• Cell Switching Router (CSR) TOSHIBA
– Até então: routing feito por routers, ATM switching feito por ATM switches.
– Questão: Porque não controlar um ATM switching fabric através de protocolos IP (como routing IP e RSVP) em vez de utilizar sinalização ATM como Q.2931?
MPLS - Contextualização
IC - IP & Applications
• IP Switching IPSILON
– Permite um equipamento com o desempenho de um comutador ATM comportar-se como um router.
– Routers mais rápido é o necessário!
– Sinalização ATM complexa demais. Melhor será nem a utilizar...
MPLS - Contextualização
IC - IP & Applications
• Tag Switching CISCO
– Funciona sobre ATM, PPP, 802.3.
– Suporta Multicast.
– Suporta alocação de recursos via RSVP.
– Objectivo de normalizar o Tag Switching através do IETF.
MPLS - Contextualização
IC - IP & Applications
• Aggregate Route-based IP Switching (ARIS) IBM
– Filosofia próxima do Tag Switching da Cisco.
– Muitas das ideias foram incorporadas nas normas do MPLS.
MPLS - Contextualização
IC - IP & Applications
• MPLS Working Group - 1997
– Sessão Birds of a Feather (BOF) em dezembro de 1996 com apresentações feitas pela Toshiba, Cisco e IBM.
– Uma das sessões mais concurridas da história do IETF.
MPLS
IC - IP & Applications
AGENDA
• Multiprotocol Label Switching (MPLS)
– Contextualização
– Caracterização
– Terminologia
– Componentes
IC - IP & Applications
• Multiprotocol = IP
• Baseado no paradigma da label-swaping forwarding
MPLS - Caracterização
LABEL SWITCHINGIP Forwarding
IP IP #L1 IP #L2 IP #L3 IP
IP Forwarding
IC - IP & Applications
• Formato do label:
MPLS - Caracterização
0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Label | EXP |S| TTL |
• Cabeçalho = 4 octetos (32 bits)– Label = valor da label a atribuir ao pacote (20 bits-1048576)– EXP = bits experimentais, utilizados para QoS (3 bits)– S = indicador do fim da pilha (1 bit)– TTL = time to live (8 bits)
IC - IP & Applications
• Formato do label:
MPLS - Caracterização
0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Label | EXP |S| TTL |
• Colocado entre o cabeçalho da camada 2 (Data Link) e o cabeçalho da camada 3 (Network), do Modelo Referencial OSI.
IC - IP & Applications
Physical
Data Link
Network
Transport
Session
Presentation
Application • Funciona sobre várias tecnologias da camada 2:– ATM– SONET– Ethernet– PPP
MPLS - Não é um protocolo L2
IC - IP & Applications
Physical
Data Link
Network
Transport
Session
Presentation
Application • Não tem endereçamento nem funções de encaminhamento per si:– Faz uso do
endereçamento IP e o routing IP (com extensões)
MPLS - Não é um protocolo L3
IC - IP & Applications
Physical
Data Link
Network
Transport
Session
Presentation
Application • Não existe um formato único para transportar os dados de uma camada superior:– shim - SONET– VPI/VCI - ATM– lambda - OXC– etc...
Não é uma camada no Modelo OSI
IC - IP & Applications
• Fast forwarding
• IP Traffic Engineering– Constraint-based Routing
• Virtual Private Networks– mecanismo hierárquico de túneis
• Voz/Video sobre IP– atraso controlado, restrições de QoS
MPLS - Aplicações
IC - IP & Applications
AGENDA
• Multiprotocol Label Switching (MPLS)
– Contextualização
– Caracterização
– Terminologia
– Apresentação Funcional
IC - IP & Applications
• LSR - Label Switching Routerenvia pacotes IP para o destino com base numa LIB e na troca de labels
• LER - Label Edge Routerinícia (adiciona label) e termina (remove label) um LSP.
• LSP - Label Switched Pathum VC para IP que forma um caminho unidireccional.
• LDP - Label Distribution Protocolprotocolo de sinalização bi-directional que é utilizado entre LDP peers para formar sessões (LDP, CR-LDP, RSVP).
• FEC - Forwarding Equivalence Classgrupo de pacotes IP que é tratado do mesmo modo no que diz respeito ao encaminhamento.
MPLS - Terminologia
IC - IP & Applications
Domínio MPLS
LER
LER
LER
LER
LER
LER
LSR
LSR LSR
LDP
LDP
LDP
LSPIngress
Egress
LDP Peers
MPLS - Terminologia
IC - IP & Applications
AGENDA
• Multiprotocol Label Switching (MPLS)
– Contextualização
– Caracterização
– Terminologia
– Apresentação Funcional
IC - IP & Applications
5.O egress LER remove o label e encaminha o pacote IP
4.Os LSRs processam os pacotes com label MPLS através de label swapping
3.O ingress LER recebe pacotes IP, executa o processamento de L3, e adiciona labels aos pacotes (quadrado vermelho)
1. Protocolos de routing existentes populam a tabela de routing
2a. LDP cria entradas LIB nos LSRs
2b. LDP estabelece LSP
IC - IP & Applications
• Estabelecimento de LSPs– Control Driven, Data driven
• Distribuição de Labels– Downstream on demand, Downstream unsolicited
• Mecanismos de Controlo– Ordered control, Independent control
• Retenção de Labels– Conservativo, Liberal
Modos MPLS
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
• Multiprotocol Label Switching (MPLS)
• VPNs-IP baseadas no paradigma BGP/MPLS
• Segurança em VPNs BGP/MPLS
IC - IP & Applications
AGENDA
• VPNs-IP baseadas no paradigma BGP/MPLS
– Endereços VPN-IPv4
– Múltiplas tabelas de forwarding
– Route Target
– LSPs Hierárquicos
IC - IP & Applications
AGENDA
• VPNs-IP baseadas no paradigma BGP/MPLS
– Endereços VPN-IPv4
– Múltiplas tabelas de forwarding
– Route Target
– LSPs Hierárquicos
IC - IP & Applications
• «Multiprotocol Extensions for BGP-4» RFC 2858, Junho 2000:
– BGP passa a suportar outros protocolos de L3 (Network), além do IP.
– A identificação de um protocolo de L3 é feita através de um Address Family, como definido na RFC1700.
VPN-IPv4 Address Family
IC - IP & Applications
• Estrutura de um Address Family:
VPN-IPv4 Address Family
+---------------------------------------------------------+ | Address Family Identifier (2 octets) | +---------------------------------------------------------+ | Subsequent Address Family Identifier (1 octeto) | +---------------------------------------------------------+
• VPN-IPv4:
– AFI = 1 ; SAFI = 128
IC - IP & Applications
• Redes Privadas muitas vezes utilizam endereçamento privado (RFC 1918) => Clientes VPN de um SP podem utilizar a mesma gama de endereços...
Endereços VPN-IPv4
Novos endereços únicos:Endereços VPN-IPv4 = RD + IPv4
IC - IP & Applications
• Estrutura:
RD - Route Distinguisher
+---------------------------------------------------------+ | Type (2 octetos) | +---------------------------------------------------------+ | Autonomous System Number (2 octetos) | +---------------------------------------------------------+ | Assigned Number (4 octetos) | +---------------------------------------------------------+
• Exemplo:
– RD = 65500:1000
IC - IP & Applications
AGENDA
• VPNs-IP baseadas no paradigma BGP/MPLS
– Endereços VPN-IPv4
– Múltiplas tabelas de forwarding
– Route Target
– LSPs Hierárquicos
IC - IP & Applications
• Num mesmo router de edge de um SP são agregados vários clientes de VPNs:
Multiplas tabelas de Forwarding
10.2/16
10.2/16
CE
CE
Backbone IP
PE
IC - IP & Applications
• Cada PE router mantém, não uma mas várias tabelas de forwarding.
• Cada tabela de forwarding deverá corresponder a uma VPN criada neste PE.
Multiplas tabelas de Forwarding
IC - IP & Applications
10.1/16
• Uma tabela de forwarding num PE pode ser populada por vários CEs da mesma VPN. O contrário é falso.
Uma tabela para muitos CEs
10.1/16
CE
CE
CE
PEMesma tabela de forwardingBackbone IP
IC - IP & Applications
AGENDA
• VPNs-IP baseadas no paradigma BGP/MPLS
– Endereços VPN-IPv4
– Múltiplas tabelas de forwarding
– Route Target
– LSPs Hierárquicos
IC - IP & Applications
• Problema: Quais as rotas que um PE recebe de outro PE que pertencem à VPN x?
• Resposta: Através do uso de uma Extended Community no BGP: o route target.
Route Target
IC - IP & Applications
• Determina quais as rotas que um PE deve colocar em cada uma das suas tabelas de forwarding.
• Deve também ser indicado pelo administrador qual o(s) route target a colocar nos updates BGP para os outros PEs.
Route Target
IC - IP & Applications
• A parte de controlo (distribuição de rotas pelas várias VPNs) parece assegurado pelas definições anteriores.
• Mas o resultado final em qualquer tipo de VPN é encaminhar um pacote IP de um CE a outro CE.
Problema
IC - IP & Applications
AGENDA
• VPNs-IP baseadas no paradigma BGP/MPLS
– Endereços VPN-IPv4
– Múltiplas tabelas de forwarding
– Route Target
– LSPs Hierárquicos
IC - IP & Applications
PE2PE1
CE1CE2
P1 P2
IP Pkt
IP Pkt1040
IP Pkt
Distribuição de labels VPNentre PE1 & PE2
IP Pkt1030
IP Pkt1050
Distribuição de labels IGPentre P1, P2, PE1, PE2
Outer (tunnel) labelé comutado
IC - IP & Applications
• BGP IPv4– Prefixo
• BGP VPN-IPv4– Label– RD– Prefixo IPv4
NLRI - Network Layer Reachability Information
MP - UNREACH - NLRI AFI 1
SAFI 128
Withdrawn Routes
Label 0x800000 RD 777:1 IPv4 Prefix 10.1.0.0/16
NLRI empty
EXTENDED - COMMUNITIES
Allocation By AS (0x00) Type Route target (0x02) Administrator 777 (0x0309) Assigned Nr 1001 (0x03E9)
IC - IP & Applications
CEA3
CEB3
VPN A/Site 1
VPN A/Site 2
VPN B/Site 3
VPN B/Site 2VPN B/Site 1
VPN A/Site 3
CEA1
CEB2
CEA2CE1B1
CE2B1
PE1
PE2
PE3
P1
P2
P3
Run BGPTo Customer
Use Static RoutesMulti-homed site
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
• Multiprotocol Label Switching (MPLS)
• VPNs-IP baseadas no paradigma BGP/MPLS
• Segurança em VPNs BGP/MPLS
IC - IP & Applications
• Equivalente à obtida por VPNs baseadas em ATM ou Frame Relay
• Configuração incorrecta potencia falhas de segurança
• Confidencialidade não é assegurada: os dados não são encriptados sendo possível a extracção de informação da rede (tapping).
Segurança
IC - IP & Applications
VPN BGP/MPLS Segura:
VPN BGP/MPLS
IP SEC