UNIVERSITATEA POLITEHNIC BUCURETI FACULTATEA DE ELECTRONIC TELECOMUNICAII I TEHNOLOGIA INFORMAIEI

PROIECT DE DIPLOM(an V)

Conducator Proiect:

Absolvent:

sl. Ing. SERBAN OBREJA

IONICA

CUCLEA

Bucuresti 2009 Cuprins: Acronime.......................................................................................................................pg.4 Lista tabele.....................................................................................................................pg.6 Lista figuri....................................................................................................................pg. 6 1.Introducere.................................................................................................................pg.7 2. Tehnologii folosite n reelele de mare capacitate actuale.................................... ...pg.8 2.1. Evolutia acestor retele de mare capacitate................................................pg.8 2.2. Tehnologiile folosite n reelele actuale....................................................pg.9 2.2.1 Tehnologia IP................................................. .....................................pg.9 2.2.1.1. Rutarea n reelele IP.........................................................pg.10 2.2.1.2 Protocoale de rutare IP........................................................pg.12 2.2.1.2.a.Protocolul RIP (Routing Information Protocol)pg.12 2.2.1.2.b. OSPF (Open Shortest Path First) ...............................pg.13 2.2.1.2.c. EIGRP(Enhanced Interior Gateway Routing Protoc.pg.14 2.2.1.2.d.Protocolul BGP (Border Gateway Protocol) .........pg.15 2.2.1.3. Limitrile tehnologie IP..................................................pg 15 2.3.Tehnologia MPLS..................................................................................pg.16 2.3.1.Ce este MPLS......................................................................................pg.16 2.3.2. Cum funcioneaz MPLS...................................................................pg.17 2.3.3.Etichetele MPLS....................................................................................pg.20 2.3.4. Planul de control.........................................................................pg.23 2.3.5. Elementele MPLS...........................................................................pg.24 2.3.5.1. Comutator de Etichete (Label Switch Router) - LSR...pg...25 2.3.5.2.Cale cu comutaie de etichete (Label Switched Path)- LSP...26 2.3.5.3.Protocoale de distributie a etichetelor.............................pg.28 2.3.5.3.a. LDP(Label Distribution Protocol) .................................pg.28 2.3.5.3.b. CR-LDP(Constraint Route Label Distribution Protocol) ......................................................................................................................................pg. 31 2.3.5.3.c.RSVP-TE(ResourceReservationProtocol....... ..............pg.31 2.3.5.3.d. BGP( Border Gateway Protocol ) ..................................pg.31 2.3.6. Calitatea serviciilor cu MPLS..............................................................pg.32 2.3.6.1.ServiciiDiferentiate...................................................................pg.33 2.3.6.2.Alteprocedee pentru a asigura QoS n retelele MPLS...............pg.38 2.3.7. Avantaje si dezavantaje ale tehnologiei MPLS...................................pg.39

3. Virtual Private Networks (VPN) .........................................................................pg.40 3.1. Tehnologii care ofera suport pentru VPN...................................................pg.41 3.2. Tipuri de VPN-uri.......................................................................................pg.42 3.3.Cerintele VPN-urilor.....................................................................................pg.42

4. VPN-uri peste MPLS............................................................................................pg.44 4.1. VPN-uri de nivel 2.......................................................................................pg.45 4.1.1. AToM...................................................................................................pg.47 4.1.2.Considerente de calitatea serviciilor pentru VPN-uri de nivel2.............pg.49 4.1.3. Extensie a VPN-urilor de nivel 2: VPLS..............................................pg.50 4.2. VPN-uri de nivel 3........................................................................................pg.51 4.2.1.Mod de functionare................................................................................pg.51 4.2.2. Cmpuri speciale BGP..........................................................................pg.52 4.2.3. Distributia etichetei prin BGP..............................................................pg.54 4.3. Comparatie ntre VPN-uri de nivel 2 si 3.....................................................pg.54 4.4. Tipuri de trafic suportate...............................................................................pg.55 4.5. Moduri de conectivitate suportate.................................................................pg.55 4.6. Securitatea VPN-urilor MPLS.......................................................................pg.56 4.7. Scalabilitate............................pg.58

5. Studiu de caz...........................................................................................................pg.60 5.1 Introducere........................................................................................................pg.60 5.2 Implementare de VPN de nivel 2......................................................................pg.61 5.2.1.Cum functioneaza platforma experimentala...............................................pg.61 5.2.2 Pasii de configurare ai platformei...............................................................pg.62 5.2.3 Verificarea functionalitatii platformei implementate..................................pg.65 5.2.4. Conclulzii...................................................................................................pg.65 5.3. Implementare de VPN de nivel 3.......................................................................pg.66 5.3.1. Modul de functionare al platformei de simulare ........................................pg.67 5.3.2. Pasii de configurare ai platformei...............................................................pg.68 5.3.3. Verificarea functionalitatii platformei implementate..................................pg.71 5.3.4. Concluzii.....................................................................................................pg.73 Bibliografie...............................................................................................................pg.74 Anexe........................................................................................................................pg.76

Lista de acronime
AF ARP - Assured Forwarding -Address Resolution Protocol

AS ATM
BA

- Autonomous System - Asyncronous Transfer Mode

-Behavior Aggregate

BGP CE

- Border Gateway Protocol - Customer Edge

CR-LDP -Constraint-based Routing Label Distribution Protocol DSCP -Differentiated Services Code Point

DWDM - Dense Wavelength division multiplexing

EF - Expedited Forwarding

E-LSP EXP -inferred-PSC LSP EXP -Experimental bits

EIGRP
IETF ILM

- Enhanced Interior Gateway Routing Protocol

-Internet Engineering Task Force -Incoming Label Map

FEC FR ICMP IP IS-IS IGRP LAN LSR LDP LSP MAC MPLS

- Forwarding Equivalence Class - Frame Relay - Internet Control Message Protocol - Internet Protocol - Intermediate System -to-Intermediate System - Interior Gateway Routing Protocol - Local Area Network - Label Sitched Router - Label Distribution Protocol - Label Switched Path - Media Access Control - Multi-Protocol Label Switching
4

L-LSP Label-only-inferred-PSC LSP

NGN
NHLFE

- Next Generation Network

-Next Hop Label Forwarding Entry

OSPF OSI Qos RFC PSTN PVC PPP PE

PHB PHP

- Open Shortest Path First - Open System Interconection - Quality of Service - Request for comments - Public Switched Telephone Network - Permanent Virtual Connection - Point to Point Protocol - Provider Edge
-Per-Hop Behavior -Penultimate Hop Popping

PSC PHB -scheduling class

RIP
QoS

- Routing Information Protocol

-Quality of Service

RD RT
RSVP

- Route Distinghuiser - Route Target

-Reservation Protocol

SDH SVC SPVC SAR

TE TLV TTL

- Synchronous Digital Hierarchy - Switched Virtual Circuit - Soft Permanent Virtual Connection - Segmentation and Reassembly
-Traffic Engineering -Type-Length-Value -Time to Live

TTL TDM VCI VPI VRF VPN

- Time to Live - Time Division Multiplexing - Virtual Channel Identifier - Virtual Path Identifier - VPN Routing and Forwarding - Virtual Private Network
5

VLAN -Virtual LAN

VPLS - Virtual Private LAN Services WDM - Wavelength division multiplexing

Lista de tabele: Tabelul 1. Actiunile care pot fi intreprinse de un LSR............................................................pg.26 Tabelul 2. Clase de trafic folosite in Diffserv................pg36 Lista de figuri: Figura 2.1. Arhitectura unei reele complexe de comunicaii actuale......................pg.8 Figura 2.2.1. Corespondena nivel OSI protocoale de reea....................................pg.9 Figura 2.2.1.2. Protocoalele de rutare IGP i BGP ntr-o reea larg......................pg.12 Figura 2.2.1.2.b. Topologia OSPF.....................................................................................pg.13 Figura 2.3.2(1). Dirijarea pachetelor n interiorul unui domeniu MPLS.......................pg. 17 Figura 2.3.2.(2). Stiva de protocoale si tabelele folosite n nodurile MPLS.....................pg.19 Figura 2.3.2.(3). Arhitecura unui nod MPLS..............................................................pg.19 Figura 2.3.3.(1) Structura antetului MPLS.............pg.20 Figura 2.3.3.(2) Aezarea etichetei n celula ATM i n pachetul Ethernetpg........pg.20 Figura 2.3.3.(3). Structura LFIB............................................................... ......pg.22 Figura 2.3.5.1.(1) Operatii de baza LSR...................................................................pg.26 Figura 3.5.5.2.(1) Stabilirea unui LSP...........................................................................pg.27 Figura 2.3.5.3.a.(1) Stabilirea sesiunilor LDP ntre vecini...............................................pg.29 Figura 2.3.5.3.a.(2) Modul de lucru Downstream on Demand........pg.30 Figura 2.3.6.1.. Arhitectura DiffServ.................................................................................pg.34 Figura 3.1. Comparatie ntre interconectarea printr-o retea de tip comutatie de circuite si una de tip trimitere de pachete..................pg.41 Figura 3.3. Terminologia folosita......................................................................................pg.44 Figura 4.1(1). Etichetele corespunztoare tunelului LSP i VC-ului........................pg.46 Figura 4.1(2). Tunel LSR ce transporta VC-uri cu trafic client..................................pg.46 Figura 4.1.1.. ncapsularea AToM si structura cuvntului de control...........................pg.48 Figura 4.1.2. Corespondenta ntre cmpul Prioritate (802.1p) si cmpul EXP...pg.49 Figura 4.1.3. a) Interconectarea a 3 site-uri ntr-un Layer 2 VPN b) Interconectarea a 3 site-uri n VPLS.................................................................pg.50 Figura4.2.1. ncapsularea folosita pentru Layer 3 VPN................................................pg.52 Figura 4.2.2. Schimbul de mesaje Multiprotocol BGP....................................................pg.53 Figura 5.2. VPN-uri de nivel 2 implementat in lucrare...................................................pg.61 Figura 5.3. VPN-uri de nivel 3 implementate in lucrare................................................pg.66

Cap.1 Introducere Aceasta lucrare descrie funtionarea tehnologiei de comutatie de etichete multiprotocol(MPLSMulti Protocol Label Switching ). Aspectul principal al lucrarii il reprezinta retelele private virtuale si implementatrea lor cu ajutorul tehnologiei MPLS. In final,cercetarea teoretica se concretizeaza intr-un studiu de caz, exemplificand configurarea echipamentelor pentru furnizarea de servicii VPN pentru clienti. In ulrima perioada,retelele de calculatoare au devenit o necesitate, atat in viata noastra de zi cu zi dar mai ales in aceea a marilor companii. Astfel, acestea din urma si-au construit si isi construiesc in continuare propriile retele, pe care le utilizeaza in sediile lor pentru a pune in comun informatia. Unele companii sunt insa foarte mari si pot dispune de mai multe sedii, pot dori sa interactioneze foarte intens cu clientii si furnizorii lor, sau pot avea angajati care lucreaza de la distanta. In aceste cazuri, companiile necesita retele private care sa asigure integritatea si securitatea datelor transmise intre 2 sedii distante, catre clienti sau catre furnizori. Cerintele clientilor legate de aceste servicii au evoluat. Daca initial cerintele clientilor se limitau la fiabilitate , securitatea si calitatea serviciilor mai nou, acestia necesita posibilitatea furnizarii mai multe clase de servicii , mai multor tipuri de VPN , a unui cost redus de administrare, conectivitate ANY-to-ANY sau HUB and SPOKE, etc. Toate aceste cerinte pot fi satisfacute numai prin intermediul tehnologiilor traditioanale, precum : circuite virtuale ATM sau Frame-Relay , tunelare ip ,criptare, traslatarea adreselor de retea( NAT- Network Address Translation). Acest lucru se datoreaza costului ridicat , complexitatii si degradarii serviciilor bazate pe tehnologiile traditionale. Avem o solutie la aceste noi cerinte . Este o tehnologie noua care se numeste: MPLS-Multi Protocol Label Switching . Aceasta tehnologie are proprietatea de a combina securitatea si calitatea serviciilor oferite de ATM sau Frame-Relay cu flexibilitatea si scalabilitatea retelelor IP. Astfel se creeaza infrastructura pentru serviciile IP Business deoarece gruparea utilizatorilor se face in mod flexibil, prin configurarea unui numar mic de echiapamente. De asemenea , se inregistreaza costuri scazute de administrare a serviciilor IP , aproape independent de dimensiunile retelei virtuale. Astfel implementarea unui VPN bazata pe MPLS in cadrul unei companii poate duce la scaderea considerabila a costurilor acesteia prin reducerea complexitatii operationale si prin dezvoltarea unei infrastructuri mai simple a retei. Avantajele legate de usurinta in administrare si de costurile reduse oferite de tehnologia MPLS , o fac sa fie foarte atragatoare pentru cei ce doresc sa implementeze o infrastructura performanta, fiabila si cu costuri reduse. Din ce in ce mai multe companii mari si furnizori de servicii internet isi bazeaza infrastructura pe aceasta tehnologie . Retele private (VPN) reprezinta unul din serviciile cele mai solicitate in ceea ce priveste tehnologia MPLS.

Cap.2. Tehnologii folosite n reelele de mare capacitate actuale 2.1. Evolutia acestor retele de mare capacitate Noile reele de date trebuie s asigure, pe lng viteza de transmisie ridicat, banda larg, managementul resurselor, scalabilitate i integrarea diverselor tehnologii de access (LAN, HDSL, ADSL, TDM etc.).De aceea au aprut noi cerine de performan i de funcionalitate pentru reelele de date actuale. Datorit faptului c resursele reelelor de date sunt limitate, acestea trebuie gestionate cu grij pentru a obine performane i randamente ridicate. Arhitecturile actuale in seama de necesitile de integrare a diferitelor tehnologii de access i de interoperabilitatea cu alte reele de date. Arhitectura unei reea de date de mare vitez este structurat pe mai multe nivele.Modelul actual al reelelor este reprezentat n figura de mai jos :
N e lOt iv lu pic

C R -u OE l Rt le ee i

IN E N T TRE

N e lCr iv lu oe

N e l d D t ib t iv lu e isr uie

N e l d Ac s iv lu e c e
` `

Figura 2.1. Arhitectura unei reele complexe de comunicaii actuale. Dup cum se observ, arhitectura reelei este mprit pe patru nivele: Optic - este partea de reea ce se situeaz la nivelul fizic al nivelului OSI. Acest nivel este implementat prin diferite tehnologii de transmisie pe fibra optic, cum ar fi: SONET, SDH, WDM, DWDM etc. Core (Nucleu) - se mai numete i backbone i este partea de reea care se ocup n principal cu transmisia date de mare vitez, fr a ndeplini alte funcii de reea (access, agregare etc.). Distribuie - este partea de reea n care se face agregarea (concentrarea) de trafic. Acces - acest nivel cuprinde echipamentele de reea care se ocup cu partea de acces a diferitelor tehnologii de access (HDSL, ADSL, TDM, ATM, IP, etc.).
8

Aceast mprire pe nivele face mai uoar gestionarea i proiectarea arhitecturilor reelelor de date, precum i migrarea ctre noi tehnologii prin etape de integrare pe nivele funcionale. Principalele caracteristici arhitecturale i de funcionalitate ale unei reele moderne sunt: Structurare pe nivele arhitecturale. Funcionaliti mprite pe nivele structurale ( ex. n punctul de access se face autorizarea, stabilire QoS, n distribution se face agregare, n core se face transport etc.). Management centralizat. Ingineria traficului (stabilirea cilor de rutare) care se face prin managementul centralizat. Integrarea a ct mai multe tehnologii de access. Conexiune cu reeaua PSTN (Public Switched Telephone Network). Migrarea ctre o reea de date universale (Date, voce, video, video-on-demand etc.). Migrarea traficului de voce ctre reelele NGN (Next Generation Networks) , centralele digitale actuale sunt nlocuite cu echipamente de date hardware i software perfect integrate n reea. Scalabilitate, performan, disponibilitate total (99%). 2.2. Tehnologiile folosite n reelele actuale n reelele de date actuale sunt folosite ca principale tehnologii de transport: tehnologia IP, tehnologia ATM i, mai nou, tehnologia MPLS: 2.2.1 Tehnologia IP Tehnologia IP este tehnologia cea mai rspndit la ora actual n reelele LAN. Ea este o tehnologie de Layer 3 bazat pe protocolul IP (Internet Protocol) care face adresare i controlul informaiei ce permite pachetelor de date s fie rutate. Protocolul IP este un protocol bazat pe transmisia de pachete ntre diferite calculatoare din reea. Protocolul suport adresare, fragmentarea, reasamblarea i multiplexarea de protocol. Este protocolul pe baza cruia s-au construit celelalte protocoale IP, aa- numita suit de protocoale TCP/IP. (TCP, UDP, ICMP, ARP, RARP, etc.). n desenul urmtor este reprezentat corespondena diferitelor protocoale i nivelul OSI:

Figura 2.2.1. Corespondena nivel OSI protocoale de reea 2.2.1.1. Rutarea n reelele IP . Rutarea poate fi static sau dinamic. Ea implic determinarea cii de rutare, care se poate face dup anumite valori metrice (ntrzieri, costuri, utilizarea cii, etc.).Rutarea se face dup o tabel de rutare care specific interfeele i adresele ctre care terbuie trimise pachetele. Router-ele sunt echipamente ce lucreaz la nivelul 3 OSI. Ele sunt folosite pentru schimbul de informaie dintr-ul grup de reele ce aparin aceleiai autoriti de control i administrative. (AS - Autonomous Systems), ct i pentru schimbul de informaie ntre AS-uri Regula general de trimitere a pachetelor este alegerea rutei care se potrivete ct mai exact. De exemplu: Destinaie 10. 1. 4. 0 10. 1. 0. 0 Masca 255.255.255. 0 255.255. 0. 0 Ruter de ieire R2 R3

Destinaia 10.1.4.30 se potrivete n ambele cazuri, dar gateway-ul R2 are masc de reea mai restrictiv, deci va fi aleas aceast cale. [18] Rutarea cu vectori-distan Rutarea se poate baza pe algoritmi cu vectori-distan (numii i algoritmi Bellman-Ford), care car ca ruterele s paseze periodic copii ale tabelelor de rutare vecinilor cei mai apropiai din reea. Fiecare destinatar adaug la tabel un vector-distan (propria "valoare" distan) i o expediaz vecionilor si cei mai apropiai. Acest proces se desfoar n toate direciile ntre routerele aflate n imediat vecintate. Acest proces pas-cu-pas face ca fiecare router sa afle informaii despre celelalte routere i s-i dezvolte o perspectiv cumulativ asupra "distaelor" reelei. De exemplu, un protocol timpuriu de rutare este Routing Information Protocol (protocol de rutare a informaiilor), sau RIP . Acesta utilizeaz dou uniti de msur pentru distane ca s determine cea mai bun cale urmtoare pentru orice pachet. Aceste uniti de msur pentru distan, tacturile i hopurile, sunt dependente de timp.
10

Tabela cumulativ este apoi utilizat pentru actualizarea tabelelor de rutare ale fiecrui router. La finalul procesului, fiecare router a aflat niste informaii vagi despre distanele pn la resursele din reea. El nu a aflat nimic specific despre alte routere sau despre topologia real a reelei. Aceast abordare poate, n anumite circumstane, s creeze probleme de rutare pentru protocoalele bazate pe vectori-distan. De exemplu, n urma unei cderi n reea eset necesar ceva timp pentru ca routerele s convearg spre o nou nelegere a topologiei reelei. n timpul acestui proces, reeaua ar putea fi vulnerabil la rutri contradictorii i chiar la bucle infinite. Anumite msuri de siguran ar putea s micoreze aceste riscuri, dar rmne faptul c performana reelei este expus riscurilor n timpul procesului de convergen. Prin urmare, este posibil ca protocoalele mai vechi care converg lent s nu fie potrivite pentru WAN-urile extinse, complexe.

Rutarea cu starea legturilor Algoritmii de rutare folosind starea legturilor (link-state routing algorithm), cunoscui collectiv ca protocoale cu preferarea drumului minim (SPF), menin o baz de date complex a topologiei reelei. Spre deosebire de protocoalele cu vectori-distan, cele folosind starea legturilor dezvolt i ntrein o cunoatere complet a routerelor de reea, ca i a felului cum sunt interconectate acestea. Aceast cunotere este realizat prin schimbarea de pachete cu starea legturilor (LSP) cu alte routere conectate direct. Fiecare router care a schimbat LSP-uri construiete apoi o baz de date logic utiliznd toate LSP-urile primite. Este utilizat apoi un algoritm "cu preferarea drumului liber", pentru a calcula ct de accesibile sunt destinaiile legate de reea. Aceast informaie este utilizat pentru a actualiza tabela de rutare. Acvest proces este capabil s descopere modificrile topologiei reelei, care ar putea fi cauzate de cderea unei componente sau de mrirea reelei. De fapt, schimbul de LSP-uri este declanat de un eveniment din reea, nu este realizat periodic. Rutarea cu starea legturilor are dou zone pariale de risc. Mai ni, n timpul procesului iniial de descoperire, rutarea cu starea legturilor poate acapara mediile de transmisie ale reelei, reducnd astfel n mod semnificativ capacitatea reelei de a transporta date. Acveast degradare a performanei este temporar, dar foarte evident. A doua problem potenial etse c rutarea cu starea legturilor solicit intens memoria i procesorul. Din aceast cauz, routerele configurate pentru rutare cu starea legtulilor sunt n general mai scumpe.

Rutarea hibrid Ultima form de rutare dinamic este hibridizarea. Dei exist prtocoale hibride deshise, echilibrate, aceast form este asociat aproape exclusiv creaiei brevetate a unei singure companii, Cisco Systems Inc. Acest protocol, EIGRP, a fost proiectat combinnd cele ami bune aspecte ale protocoalelor cu vectori-distan i cu starea legturilor, fr limitrile de performan sau dezavantajele lor. Protocoalele de rutare hibride echilibrate, utilizeaz uniti de msur vectori-ditan, dar realizeaz msurtori mult mai precise dect protocoalele cu vectori-distan convenionale. De asemenea, ele converg mult mai rapid dect acestea din urm, dar evit suprasarcinile i actualizrile
11

cu starea legturilor. Hibrizii echilibrai nu sunt periodici, ci condui de evenimente, conservnd astfel lrgimea de band pentru aplicaii reale.

2.2.1.2 Protocoale de rutare IP Algoritmii de rutare pot fi mprii n dou grupe: Interior Gateway Protocol (IGP) - folosit la rutarea n interiorul unei organizaii. Din aceast categorie fac parte urmtoarele protocoale de rutare: RIP (Routing Information Protocol) - folosit n special n reelele mici, OSPF (Open Shortest Path First) cel mai des folosit protocol n reelele mari, EIGRP (Enhanced Interior Gateway Routing Protocol), IGRP (Interior Gateway Routing Protocol) protocoale proprietare CISCO, folosite numai pentru echipamente CISCO. Border Gateway Protocols (BGP) - este folosit la rutarea ntre diferite organizaii sau Sisteme Autonome (AS). n figura urmtoare este reprezentat situarea celor dou tipuri de protocoale de rutare ntr-o reea larg:

AS 3
IGP BGP

AS 1
BGP IGP IGP

AS 2

F Figura 2.2.1.2. Protocoalele de rutare IGP i BGP ntr-o reea larg

2.2.1.2.a.Protocolul RIP (Routing Information Protocol) RIP este un protocol de rutare intra-domeniu bazat pe distana vectorial dintre hopuri. Este folosi n toate router-ele actuale. Folosete trei tipuri de temporizri n alctuirea tabelei de rutare: Actualizarea rutelor (se face automat la un interval de 30 de secunde ) Expirarea validitii rutei Curirea tabelei de rutare Exist doua versiuni ale protocolului RIP: RIPvl si RIPv2.
12

 Principalele probleme ale protocolului RIP sunt: limitarea numrului maxim de hopuri la 15 propagarea informaiei n reelele mari este lenta Traficul RIP crete rapid odat cu mrirea reelei Protocolul RIP poate opera n 3 moduri:

Activ - trimite i recepioneaz informaii de rutare Silent - doar ascult i primete informaii de rutare (nu trimite nimic) Deaf - doar trimite informaii de rutare (nu primete).

2.2.1.2.b. OSPF (Open Shortest Path First) OSPF este un protocol bazat pe verificarea strii link-urilor, ruterele trimit informaii despre starea link-ului n locul informaiilor despre propriile tabele de rutare. Acest protocol mparte reeaua n zone pentru a putea lucra n reele mari.

Aria 0 (backbone area)

BGP

Aria 0 (backbone area)

AS 1

OSPF OSPF IGP

Routere de backbone Router border (de arie)

AS 2

Aria 1

Aria 1

Aria 2

Routere interioare

OSPF este folosit in interiorul sistemelor autonome

Figura 2.2.1.2.b. Topologia OSPF Router-ele interne trebuie s tie doar rutele ctre reelele din aria lor i ctre aria de backbone. Ele schimb ntre ele informaii de despre starea link-urilor. Fiecare router cunoate topologia i costul pentru comunicaia cu reelele din aria lui.[18] Border Router-ele de arie schimb informaii de spre starea link-urilor cu toate routerele de aria cu care sunt conectate. Routerele de backbone se afl n aria 0" i pot fi routere interioare, border routere sau routere de grani pentru sisteme autonome. Routerele de backbone schimb informaii cu alte routere de backbone din aria 0" i calculeaz ultimul cost al rutei dintre arii sau alt
13

sistem autonom. Protocolul OSPF folosete cinci tipuri de mesaje: Hello - folosit pentru a descoperi vecinii i pentru a delega un router dedicat precum i pentru a verifica starea link-ului Database Description - descrie baza de date a topologiei link-ului Link State Request - cerere de pri din topologia routerelor adiacente Link State Update - trimite date despre starea link-urilor ctre routerele vecine Link State ACK - confirmarea recepionrii update-ului Folosind mesajele Hello" un router principal i un router de backup principal sunt alese pentru fiecare arie. Routerele principale de arie calculeaz o matrice a routerelor din ntreaga arie (care nu este aceeai cu matricea de routere vecine). Fiecare router schimb date despre starea link-urilor doar cu router-ele adiacente, ceea ce limiteaz traficul generat de OSPF. n cele din urm toate router-ele vor obine informaii identice despre topologie. Fiecare revizuire de informaie n legtur cu starea link-urilor are un numr de ordine pentru a se putea determina dac revizuirea este nou. n OSPF routerele pot schimba ntre ele pe lng informaia despre starea linkurilor i informaii despre: ntrziere Banda disponibil Sigurana link-ului Aceste informaii sunt folosite de routere n momentul n care trimit pachete cu cmpul ToS setat la o anumit valoare. [18] 2.2.1.2.c. EIGRP(Enhanced Interior Gateway Routing Protocol)

EIGRP a fost dezvoltat de ctre Cisco (eliberat n 1988) cu scopul de a mbunti protocolul RIP pe vremea cnd IETF nc lucra la dezvoltarea OSPF -ului. EIGRP este un protocol brevetat. Acest protocol elimin unele dintre defectele protocolului RIP , i are mbuntiri ca folorirea de metrici compuse, rutarea pe ci multiple, i mnuirea rutelor implicite. Evoluia protocolului EIGRP furnizeaz compatibilitate i operaii precise cu rutere EIGRP . Capaciti cheie care dinting EIGRP de alte protocoale de rutare includ convergena rapid, support pentru masc de subreea variable-length , suport pentru update, i support pentru multiple network layer protocols. EIGRP are toate avantajele flexibilitii i ale configurrii simple n timp ce mbuntete viteza i consumarea resurselor. Dealtfel, este capabil a fi un protocol unic att pentru IP ct i pentru protocoale non- IP , eliminnd nevoia de a folosi multiple protocoale de rutare ntr-o reea multiprotocol. Acest protocol de rutare este unul dintre cele mai diversificate i robuste protocoale de rutare. Combinaia sa unic[ de caracteristici mbin cele mai bune atribute ale protocoalelor de vectordistan cu cele mai bune atribute ale protocoalelor cu starea legturilor. Rezulatul este un protocol de rutare hibrid care sfideaz mprirea pe categorii a protocoalelor convenionale.
14

Poate fi folosit mpreunp cu IPv4, AppleTalk, i IPX. Mai important, arhitectura sa modulara va permite ca Cisco s adauge suport pentru alte protocoale de rutare importante care vor aprea n viitor. Spre deosebire de alte protocoale de rutare bazate pe vectoridistanta, EIGRP nu mandateaz o revizuire periodic al tabelelor de rutare ntre rutere vecine. n schimb, folosete un mechanism de descoperire/recuperare pentru a asigura c vecinii sunt contieni de accesibilatea fiecaruia in parte.

2.2.1.2.d.Protocolul BGP (Border Gateway Protocol) BGP ul este singurul protocol de rutare ntre Sisteme Autonome, n principal este folosit n ruterele de backbone pentru a schimba informaia ntre AS-uri, dar poate fi folosit i n interiorul AS-ului pentru a schimba informaie de rutare ( IBGP). A fost proiectat s detecteze buclele i s foloseasc informaia metric pentru a lua decizii de rutare inteligente. . Traficul dintr-un AS trebuie s treac printr-un gateway router, AS selecteaz care router va ndeplini aceast funcie. [18] 1.2.1.3. Limitrile tehnologiei IP Principalele limitri ale tehnologiei IP sunt: Nu asigur un QoS pur deoarece este o tehnologie bazat pe principiul de mprire a mediului fizic media sharing", aplicndu-se conceptul Best Effort" n politica de trafic. Mecanismul de rutare este un mecanism care se bazeaz pe conceptul cea mai mare potrivire" i acest lucru duce la ntrzieri n mecanismul de rutare i trimitere de pachete. Lungimea pachetelor este variabil ceea ce duce la echipament hardware complex cu mare putere de calcul. Acest lucru duce la limitri n puterea de procesare a backbone-urilor Header-ul pachetului IP este mare i complex, ceea ce duce la o proast utilizare a benzii de date disponibile Datorit mecanismului de adresare apar foarte multe adrese care sunt greu de gestionat de rutere care posed tabele de rutare mari implicit hardware complex.

15

2.3.Tehnologia MPLS

2.3.1.Ce este MPLS Multiprotocol Label Switching (MPLS) este o tehnologie bazata pe comutatia de etichete ce si propune sa simplifice rutarea IP n retelele core . Arhitectura MPLS a fost gndita sa poata oferi un serviciu de transport de date unificat pentru multe tipuri de trafic, cum ar fi pachete IP, celule ATM, cadre SDH sau Ethernet. Din punct de vedere arhitectural MPLS se afla ntre nivelul 2 OSI (Legatura de Date) si nivelul 3 (Retea), fiind considerata de multi o tehnologie de nivel 2,5. Ideea de baza a acestei tehnologii este sa clasifice fluxurile de intrare ntr-o retea MPLS n clase de echivalenta care sa fie tratate la fel de catre nodurile retelei. O clasa de echivalenta intra n corespondenta cu un set de etichete de lungime fixa ce vor fi comutate n nodurile retelei, pna la destinatie. Nodurile de intrare vor face clasificare fluxurilor, iar nodurile intermediare au de facut mai putine prelucrari, deoarece este suficient sa comute etichete. [Wiki-MPLS] Multi-Protocol Label Switching (MPLS) definete un mecanism pentru ndrumarea pachetelor n ruterele (nodurile) reelei. Iniial a fost dezvoltat pentru a realiza o ndrumare mai rapid a pachetelor dect n rutarea IP tradiional, dei imbuntirile ce in de partea hardware a ruterelor au rezolvat problema vitezei n cadrul rutrii. n orice caz, flexibilitatea oferit de MPLS a fcut ca aceasta s devina cea mai bun metod prin care reelele moderne s poat realiza Quality of Service (QoS), servicii VPN (Virtual Private Network) de ultim generaie sau semnalizare optic. MultiProtocol Label Switching (MPLS) d posibilitatea firmelor i furnizorilor de servicii Internet (ISP =Internet Service Provider) s construiasc reele inteligente de ultim generaie care s ofere o gam larg de servicii avansate, cu valoare adugat, peste o infrastuctur unic. Aceast soluie economic poate fi integrat cu success n arhitecturile existente, cum ar fi cea IP, Frame Relay, ATM, sau Ethernet. Abonaii cu linii de acces diferite pot fi grupai MPLS far a li se schimba mediul curent, deoarece MPLS este independent de tehnologiile de acces. Reelele IP tradiionale sunt fr conexiune: atunci cnd este primit un pachet, ruterul determin urmtorul nod de parcurs, folosind adresa IP destinaie mpreun cu informaia din propriul su tabel de rutare. Tabelul de rutare din ruter conine informaie despre topologia reelei. Se folosesc protocoale IP de rutare, ca OSPF, IS-IS, BGP, RIP sau configurare static, pentru a menine sincronizat informaia din aceste tabele cu schimbrile ce au loc n reea.
16

Integrarea componentelor aplicaiei MPLS, incluznd VPN de nivel 2, VPN de nivel 3, Traffic Engineering, QoS, GMPLS sau IPv6, dau posibilitatea dezvoltrii unor reele sigure i foarte eficiente, ce garanteaz SLA (Service Level Agreements). MPLS ofer servicii IP cap-la-cap, cu un nalt grad de scalabilitate i de difereniere, cu configurare i management foarte simple, att pentru furnizori ct i pentru abonai. Aceast soluie este suportat de o gam foarte larg de platforme, lucru esenial nu numai pentru furnizorii de servicii, dar i pentru reelele private. MPLS folosete de asemenea adrese IP, versiunea 4 sau versiunea 6, pentru a identifica punctele terminale ale reelei sau switch-urile ori ruterele intermediare. Aceasta face ca reelele MPLS s fie compatibile IP i uor integrabile cu reele IP tradiionale. n orice caz, spre deosebire de IP-ul tradiional, fluxurile MPLS sunt orientate spre conexiune (connection-oriented = CO) i pachetele sunt rutate pe ci preconfigurate, numite LSP (Label Switched Paths). 2.3.2. Cum funcioneaz MPLS MPLS lucreaz prin etichetarea pachetelor cu un identificator (etichet) pentru a fi identificat o cale numit LSP (Label Switching Path). Atunci cnd este primit un pachet, ruterul folosete aceast etichet pentru a identifica un LSP. Dup aceasta el va cuta n propriul tabel de ndrumare pentru a determina calea prin care s ndrume pachetul i eticheta care va fi folosit n cadrul urmtorului nod. Vechea etichet este nlocuit cu cea nou i pachetul este trimis ctre urmtoarea destinaie. n reelele MPLS etichetele fac regulile de trimitere a pachetelor Se folosete o etichet diferit pentru fiecare nod, i aceast etichet este aleas de ctre ruterul sau switch-ul care realizeaz operaia de ndrumare a pachetului. Acest lucru ne permite s folosim motoare de rutare foarte simple i rapide, deoarece ruterul poate selecta eticheta astfel nct s minimizeze procesarea. Ruterele de intrare (marginale) ale reelei MPLS folosesc adresa de destinaie a pachetelor pentru a determina care va fi LSP-ul folosit. n interiorul reelei, ruterele MPLS folosesc numai etichetele LSP pentru a ndruma pachetele ctre ruterul de ieire.

17

Figura 2.3.2(1). Dirijarea pachetelor n interiorul unui domeniu MPLS ER (Edge Router) -ruter de frontiera al domeniului MPLS LSR (Label Switch Router) - comutator de etichete/ruter intern domeniului MPLS LSP - Label Switched Path)- cale cu comutatie de etichete MPLS

. Exist astfel o serie de avantaje fa de mecanismele din reelele obinuite: Trimiterea pachetelor poate fi executat de switch, care face verificarea etichetei i nlocuirea ei, dar nu face analiza pachetelor pe nivele OSI superioare. Switch-urile ATM fac funcii asemntoare prin comutarea de celule bazate pe valorile VCI/VPI gsite n header-ele celulelor ATM. Dac valoarea VCI/VPI este nlocuit cu etichete, atunci switch-urile ATM pot trimite celule n reeaua ATM folosindu-se de valoarea etichetelor. Switch-ul ATM trebuie s fie controlat de un element de control bazat pe tehnologia IP, numit LSC (Label Switch Controller) i care este elementul principal n integrarea tehnologiei IP cu tehnologia ATM folosind tehnologia MPLS. Asignarea pachet-etichet se face la intrarea pachetului n reeaua MPLS. Router-ul de intrare poate folosi orice informaie pe care o are despre pachet, cu ar fi portul sau interfaa de intrare, chiar dac informaia nu poate fi obinut din header-ul care descrie nivelul reea. Acelai pachet este marcat diferit dac el intr n reea prin routere diferite. Astfel deciziile de trimitere a pachetelor care depind de routerul de intrare se fac mai uor. Acest lucru nu poate fi fcut n reelele obinuite deoarece informaia care descrie routerul care a trimis pachetul nu este cuprins n pachet. Pachetele care sosesc pe interfee diferite vor avea etichete diferite. Acest mecanism de etichetare st la baza funcionalitii reelelor MPLS.
18

Reelele cu control de trafic foreaz pachetele s urmeze o anumit cale, alegandu-se calea cea mai liber. De obicei aceast cale este prestabilit cnd pachetele intra n reea, i mai rar aceste ci sunt stabilite de algoritmi de rutare dinamici. In tehnologia MPLS etichetele pot fi folosite ca reprezentri pentru diferite route, astfel nu este nevoie de informaie de rutare suplimentar n pachet. Clasa de servicii pentru un pachet este determinat de de nodul MPLS prin care intr pachetul. Astfel acest nod poate aplica pachetelor diferite politici de prioritizare a pachetelor. Nodurile urmtoare pot aplica pachetelor diferite politici specifice nodului respectiv numite PHBs (per-hop behaviors). [12] Noduri in retelele MPLS n retelele MPLS exista 3 tipuri de noduri: -Noduri de intrare (Ingress Label Edge Router) au rolul de a clasifica fiecare pachet n clase de echivalenta (FEC). Pentru fiecare clasa de echivalenta se face o asociere catre un NHLFE. Acest NHLFE contine informatii despre ce trebuie facut cu aceste pachete, care este eticheta de iesire, si care este urmatorul nod. Corespondenta ntre FEC si NHLFE se numeste FTN (FEC to NHLFE). - Noduri intermediare (Label Switch Router) Au de facut comutatia etichetelor. Pentru o eticheta de intrare se consulta tabelul ILM si se afla ce NHLFE trebuie folosit. Se consulta apoi NHLFE-ul indicat si se obtine urmatoarea eticheta si urmatorul nod din cale - Noduri de iesire (Egress Label Edge Router) Elimina eticheta din vrful stivei si dirijeaza pachetul conform informatiilor ramase (de regula conform tabelului de rutare IP). Si acest nod contine un LIB, dar mai contine si o tabela de rutare IP valida. [RFC3031] Prelucrarile facute n aceste noduri sunt prezentate n figura urmatoare.

Fig. 2.3.2.(2). Stiva de protocoale si tabelele folosite n nodurile MPLS Nodurile MPLS, pe lang comutarea de pachete bazate pe etichete, mai pot realiza i rutare Layer 3 sau switch-ing Layer 2. n figura urmtoare ste reprezentat arhitectura unui nod MPLS din punctul de vedere al celor dou plane:
19

Fig 2.3.2.(3). Arhitecura unui nod MPLS Planul de trimitere pachete Planul de trimitere de pachete (Forwarding Plane) este responsabil de trimiterea de pachete bazat pe informaia din etichetele ataate pachetelor. Acest plan folosete LFIB (Label Forwarding Information Base), o baz de date folosit pentru trimiterea pachetelor. Algoritmul folosit de comutarea de pachete folosete informaia coninut n LFIB, precum i informaia coninut n eticheta.Fiecare nod MPLS are dou tabele importante: LIB ( Label Information Base) i LFIB. LIB conine toate etichetele asignate de nodul MPLS local i legtura acestor etichete cu etichetele recepionate de la nodurile MPLS vecine. LFIB folosete un subset de etichete din LIB pentru trimiterea pachetelor. 2.3.3.Etichetele MPLS Pentru a putea face comutatie de etichete, pachetele MPLS trebuiesc sa poarte anumite etichete. Pentru aceasta, protocolul MPLS introduce un antet suplimentar n pachetele de date, antet numit si antet MPLS, antet 'fsie' sau shim header . n continuare este prezentata structura acestui antet, precum si cmpurile sale. .
20

Figura 2.3.3.(1) Structura antetului MPLS O etichet este un identificator de lungine fix de 32 bii, care este folosit pentru a identifica un FEC (Forwarding Equivalence Class) care de regula are semnificaie local. Eticheta care este ataat unui anumit pachet reprezint FEC-ul cu care este asociat pachetul respectiv. n cazul ATM, eticheta este plasat n unul din cmpurile VCI sau VPI din header-ul celulei ATM. Tehnologiile de Layer 2, cum ar fi Ethernet, Token-Ring, FDDI i legaturile punct-la-punct, nu pot folosi cmpurile din adresele de Layer 2 pentru a transporta etichete. Aceste tehnologii transport etichetele ntr-un cmp plasat ntre cmpurile corespunztoare nivelului de legtura de date i cel al nivelului reea. Aceast metod permite tuturor tehnologiilor de Layer 2 s suporte tehnologia MPLS. Mai jos este reprezentat aezarea etichetei n celula ATM i n pachetul Ethernet:

21

Figura 2.3.3.(2) Aezarea etichetei n celula ATM i n pachetul Ethernet Pentru a putea funciona acest mecanism n tehnologiile de Layer 2 este necesar ca router-ul care trimite pachetul s indice printr-o metod router-ului care recepionez pachetul c acest pachet conine o eticheta MPLS. n tehnologia Ethernet se folosete valoarea 0x8847 i 0x8848 pentru cmpul ethertype pentru a indica prezena unei etichete. Valoarea ethertype 0x8847 este folosit pentru a indica prezena unui pachet MPLS unicast, iar valoarea 0x8848 este folosit pentru indicarea unui pachet MPLS multicast. Eticheta MPLS conine urmtoarele cmpuri: - Cmpul etichet (20 bii) - Transport valoarea etichetei MPLS. - Cmpul Exp (3 bii) - rol n implementarea cozilor de ateptare a pachetelor i n algoritmii de rejectare a pachetelor. - Cmpul Stiva (1 bit) - suport o etichet de stiv ierarhic. - Cmpul TTL (Time-to-Live) (8 bii) - furnizeaz funcionalitatea obinuit a cmpului TTL. Eticheta Stiva Bitul de stiv implementeaz stiva de etichete MPLS, n cazul n care unui pachet IP i se ataeaz mai mult de o etichet. Bitul de stiv este setat la "1" pentru a indica stiva goala i la "0" pentru celelalte situaii. n eticheta MPLS, vrful stivei apare chiar dup header-ul nivelului Legtura de date, iar sfritul stivei chiar nainte de header-ul nivelului Reea. Trimiterea de pachete este fcut innd seama de eticheta din vrful stivei. Rutarea IP unicast nu folosete etichete stivuite, dar MPLS VPN (Virtual Private Network) i controlul i managementul traficului folosesc etichetele stivuite. TTL Cmpul TTL este similar cu cmpul Time-to-Live transportat n header-ul IP. Nodul MPLS proceseaz doar cmpul TTL situat n vrful stivei de etichete.
22

LFIB (Label Forwarding Information Base) Aceast baz de date coninut n nodul MPLS const ntr-o secvena de intrri, aa cum este ilustrat n figura de mai jos.

Figura 2.3.3.(3). Structura LFIB Aa cum se observ n figur, fiecare intrare este alctuita dintr-o etichet de intrare i una sau mai multe subintrri. LFIB este indexat de valoarea coninut n eticheta de intrare. Fiecare subintrare este alctuit din o etichet de ieire, o interfaa de ieire, i adresa nodului urmtor. Trimiterea de pachete multicast necesit subintrri cu multiple etichete de ieire, deoarece un pachet ce intr pe o interfaa trebuie s ias pe mai multe interfee de ieire. Pe lang eticheta de ieire, interfaa de ieire, i informaia despre nodul urmtor, o intrare n tabela de trimitere a pachetelor poate cuprinde informaii referitoare la resursele ce pot fi folosite de pachet, cum ar fi coada de ieire n care ar trebui plasat pachetul. Un nod MPLS poate avea o singura tabel de trimitere a pachetelor, o tabel pe fiecare interfaa, sau o combinaie dintre cele doua. [12] Algoritmul de trimitere a etichetelor Switch-urile de etichete folosesc un algoritm de trimitere bazat pe nlocuirea de etichete. Nodurile MPLS care folosesc tabele LFIB, extrag valorile etichetei din cmpul de eticheta al pachetelor care au sosit i folosesc aceasta valoare ca index n LFIB. Dup ce a gsit o intrare n tabel nodul MPLS nlocuiete eticheta din pachet cu eticheta de ieire din subintrarea corespunztoare, trimite pachetul prin interfaa specificata ctre nodul urmtor specificat n subintrare. Dac subintrarea specific i o coad de ieire, atunci nodul MPLS plaseaz pachetul n coada specificat. Dac nodul MPLS folosete multiple tabele LFIB pentru fiecare interfaa a sa, el va folosi interfaa pe care vine pachetul pentru a selecta un LFIB
23

care va fi folosit pentru trimiterea pachetului mai departe. n reelele convenionale pentru trimiterea pachetelor se folosesc mai multe tipuri de algoritmi n funcie de tipul pachetelor, unicast, multicast i pachete unicast cu biii de Type of Service(ToS) setai. n tehnologia MPLS se folosete o singura metod de trimitere a pachetelor, i anume cea bazat pe nlocuirea de etichete. Un nod MPLS poate obine toat informaia de care are nevoie pentru a trimite un pachet precum i rezervarea de resurse necesare pentru el folosind o singur memorie de acces. Acest lucru duce la o mrire a vitezei de trimitere a pachetelor. MPLS poate de asemenea s transporte alte protocoale de nivel 3, cum ar fi: Ipv6, IPX sau AppleTalk. 2.3.4. Planul de control Planul de control MPLS este responsabil de popularea i meninerea informaiei din LFIB. Toate nodurile MPLS trebuie s ruleze un protocol de rutare IP pentru a schimba informaie IP de rutare cu toate celelalte noduri MPLS din reea. Nodurile ATM ce pot trimite pachete MPLS lucreaz cu un LSC (Label Switch Controller) pentru a putea participa la acest schimb de informaie. Protocoalele de rutare OSPF (Open Shortest Path First) sau IS-IS ( Intermediate System to Intermediate System), pot fi o alegere pentru protocoale de distribuire. n routerele convenionale, tabela de rutare IP este folosit pentru a construi FSC (Fast Switching Cache) sau FIB (Forwarding Information Base). n reelele MPLS, tabele de rutare IP furnizeaz infomaie n reeaua destinaie pentru atribuirea etichetelor. Informaia despre distribuirea etichetelor poate fi transportat n reea folosind protocolul LDP (Label Distribution Protocol). Protocolul de rutare OSPF inund cu informaie rutere care nu sunt neaprat adiacente, n timp ce distribuirea de etichete cu ajutorul protocolului LDP se face doar la routerele adiacente. Acest lucru face evident alegerea unui protocol special de distribuie a informaiilor despre etichete. Etichetele schimbate cu nodurile MPLS adiacente sunt folosite la construirea LFIB. MPLS folosete o metoda de trimitere a pachetelor bazat pe schimbarea etichetelor care poate fi combinat cu o serie de diferite module de control. Fiecare modul de control este responsabil pentru distribuirea i asignarea de etichete, precum i de meninerea altor informaii.[12]

Module de control MPLS Modulele de control MPLS includ: Modulul de rutare Unicast Modulul de rutare Multicast Modulul de control al traficului
24

 Modulul de VPN (Virtual Private Network) Modulul de QoS (Quality of Service) Modulul de rutare Unicast Acest modul construiete tabela FEC folosind IGP (Interior Gateway Protocol). Tabela de rutare IP este folosit pentru a schimba informaia despre etichete cu nodurile adiacente. Aceasta schimbare de informaie se face cu ajutorul protocolului LDP. Modulul de rutare Multicast Acest modul construiete tabela FEC folosind un protocol de rutare numit PIM (Protocol Independent Multicast). Tabela de rutare multicast este folosit pentru a schimba informaii despre etichete cu nodurile alturate pentru subreelele din tabela de rutare multicast. Modulul de control al traficului Modulul de control al traficului las explicit ca anumite LSP (Label Switched Path) s fie create n reea din motive de control al traficului. Folosete definiia de tunel MPLS i folosete o extensie a protocolului de rutare OSPF pentru a construi tabela FEC. Schimbul de etichete este fcut cu ajutorul protocolului RSVP (Resource Reservation Protocol) sau CRLDP(Constraint-based Routing LDP) care este o extensie a protocolului LD. Modului VPN (Virtual Private Network) Acest modul este folosit pentru tabelele VPN de rutare si pentru asocierile FEC, in cazul VPN-urilor implementate prin etichete stivuite. Modulul de QoS Acest modul construiete tabela FEC folosing protocoale de rutare IGP cum ar fi: OSPF, ISIS, etc. Tabela de rutare IP este folosit pentru schimbul de etichete ntre nodurile MPLS adiacente. 2.3.5. Elementele MPLS Principalele elemente MPLS sunt: Comutator de Etichete (Label Switched Router ) -LSR Cale cu comutaie de etichete (Label Switched Path ) -LSP Protocol pentru distribuia etichetelor (Label Distribution LDP,RSVP,BGP.

Protocol)

LDP,CR-

2.3.5.1. Comutator de Etichete (Label Switch Router) - LSR LSR este un echipament care implementeaz componentele de trimitere i control MPLS. LSR-ul trimite un pachet bazndu-se pe valoarea unei etichete ncapsulate n pachet. De asemenea, LSR-ul poate trimite pachete de Layer 3. LSR-urile sunt routere ce pot prelucra
25

pachete MPLS sau switch-uri ATM care folosesc etichete pentru a trimite trafic. LSR-urile bazate pe pachete, pot fi uor construite prin ncrcarea unui modul software ntr-un router obinuit. LSR-urile ATM/MPLS sunt construite folosind switch-urile ATM, cu software MPLS integrat sau prin adugarea facilitaii MPLS folosind un LSC (Label Switch Controler) extern. Un pas important n comutarea de etichete, este comunicarea ntre LSR-uri pentru stabilirea etichetelor pe care le vor folosi pentru a trimite pachete. Ele cad de acord folosind protocolul Label Distribution Protocol (LDP) sau extensii ale lui cum ar fi: PIM, BGP, RSVP, sau CR-LDP. LSR-urile de nod de reea MPLS, sunt localizate n locaiile de prezenta POP (Point of Presence) sau la grania reelei MPLS i aplic etichete sau stive de etichete pachetelor. Atribuirea de pachete sau pregtirea etichetelor pentru pachete este denumit aciune push". LSR-urile de nod de asemenea fac nlturarea etichetelor n punctele de ieire din reeaua MPLS, aciune care se mai numete aciune pop". LSR-urile de nod de reea pot de asemenea trimite pachete IP normale. Aciunile care pot fi ntreprinse de un LSR sunt enumerate n continuare. Aciunea asupra etichetelor Pop Descriere nltura eticheta din vrful stivei si trimite cmpul de da date rmas ca un pachet IP neetichetat

eti

Push Swap

nlocuiete eticheta din vrful stivei cu un set de etichete nlocuiete eticheta din vrful stivei cu alta valoare

Tabelul 1. Actiunile care pot fi intreprinse de un LSR

Operaiile LSR bazate pe pachete

26

MPLS folosete noiunea de trimitere de pachete bazate pe etichete pentru a transporta pachete de Layer 3 peste o reea bazat pe rutare.Operaiile de baza ale unui LSR sunt figurate n desenul urmtor:
LSR 3 R2 R1
0

LSR 1
1 0

LSR 2 1 LSR 4
2

In I/F 0 ...

In Address Lab Prefix 171.68/16 ...

Out Out I/F Lab 1 7 ...

In I/F 0 ...

In Address Lab Prefix 7 171.68/16 ...

Out Out I/F Lab 2 8 ...

R3

Next-Hop Next... ...

Next-Hop Next... ...

171.68.0.1/16

Figura 2.3.5.1.(1) Operatii de baza LSR LSR1 funcioneaz ca un router LSR de nod de reea. El aplic etichete iniiale pachetului dup ce face o verificare convenional a header-ului IP i determin FEC-ul pentru acel pachet. Parametrii cum ar fi: interfaa de intrare, n cazul unei VPN (Virtual Private Network) sau o cale predeterminat de trimitere a pachetului, pot de asemenea determina alegerea unui anume FEC. Aceast alegere a FEC-ului este realizat o singur dat la intrarea n reeaua MPLS. Dup ce pachetul este etichetat, LSR-ul urmtor trimite pachetul folosind doar eticheta. LSR-urile, de regul, nlocuiesc eticheta unui pachet venit cu o nou valoare pe care o trimit mai departe. La ieirea din reea, LSR4 face o cutare n tabela lui intern, extrage eticheta, i face o cutare de Layer 3 pentru a gsi urmtoarea destinaie trimind pachetul ctre aceasta. [19]

3.5.5.2.Cale cu comutaie de etichete (Label Switched Path)- LSP LSP-ul este o conexiune configurat ntre dou LSR-uri n care tehnica de comutare de etichete este folosit pentru a trimite pachetele. Un LSP este o cale specific de trafic printr-o reea MPLS. LSP-urile sunt furnizate folosind LDP-ul, RSVP-TE (Resource Reservation Protocol with Traffic Engineering), CR-LDP (Constraint-Based Routed LDP) sau extensii ale protocoalelor de rutare cum ar fi BGP. RSVP-TE ruleaz peste protocolul UDP, i CR-LDP ruleaz peste protocolul TCP. ntre cele dou protocoale nu exist mare diferen, totui protocolul RSVP-TE este mai indicat pentru interoperabilitatea cu reelele IP. LSP-ul poate fi considerat ca o cale printre mai multe LSR-uri n care pachetele aparin unui anumit FEC. Este posibil ca ntr-o reea MPLS s avem diferite LSP-uri la diferite nivele ale etichetelor pentru un pachet care i atinge destinaia. LSP-urile sunt unidirecionale. Aceasta nseamna c un pachet se poate ntoarce pe ci diferite. n figura urmtoare, LSR1 i LSR6 sunt LSR-uri de nod, i LSR2, LSR3, LSR4 i LSR5 sunt LSR-uri de backbone. Pentru a putea trimite
27

etichetele, LSR1 i LSR6 lucreaz la nivel de border gateway" i LSR2, LSR3, LSR4 i LSR5 lucreaz la nivel de interior gateway". Acest desen figureaz dou LSP-uri: un LSP de nivel 1 capt la capt de la LSR1 la LSR6, i un LSP de nivel 2 ntre LSR4 i LSR5. Pentru a putea construi un LSP, LSR-ul folosete protocoale de rutare i rutele nvate de la aceste protocoale.

Figura 3.5.5.2.(1) Stabilirea unui LSP Un LSP se poate stabili prin una din cele dou posibiliti: Controlul independent Controlul ordonat Controlul ordonat i controlul independent pentru stabilirea uni LSP, pot coexista n aceeai reea fr nici un fel de problem din punct de vedere al arhitecturii sau interoperabilitii. Metoda independent furnizeaz o convergent i stabilire a LSP-ului mai rapida, deoarece, LSR-ul poate stabili i trimite etichete oricnd, fr ntrziere sau ateptare pentru mesajele ce urmeaz a fi propagate dintr-o parte a reelei n alta. Stabilirea LSP-ului depinde foarte mult de protocolul de rutare. n metoda controlului ordonat, legturile sunt propagate de-a lungul reelei nainte ca LSP-ul s fie stabilit. Aceast metod furnizeaz o mai bun prevenire i evitare a buclelor. [12]

28

Distributia de etichete 2.3.5.3.Protocoale de distributie a etichetelor 2.3.5.3.a. LDP(Label Distribution Protocol) Label Distribution Protocol este un protocol definit n RFC 3036. n acest document sunt specificate mesajele communicate ntre noduri, precum si formatul acestor mesaje. O sesiune LDP ncepe prin descoperirea vecinilor. Astfel toate nodurile trimit pachete de tip Hello la o adresa multicast. Doar vecinii directi vor raspunde si astfel se va stabili o sesiune TCP ntre 2 vecini. Prin intermediul acestei sesiuni, cei doi vecini si comunica parametrii doriti. Dupa initierea sesiunii, partenerii trimit un mesaj de tip Initialization prin care stabilesc modul de functionare (cum ar fi daca se foloseste detectia buclelor, sau distributia etichetelor nesolicitata). Daca parametrii sunt acceptati ncepe distributia etichetelor prin mesaje care fac o corespondenta de genul: pentru a ajunge la destinatia X foloseste eticheta Y . Nodurile si comunica pe rnd destinatiile cunoscute si etichetele ce vor trebui folosite pentru a ajunge la destinatie. Daca o eticheta propusa nu este acceptata (cel mai probabil deoarece este deja folosita si nodul nu suporta modul de lucru cu spatiu de etichete pe interfata), se raspunde cu un mesaj Notification. Astfel, cei doi vecini negociaza ce etichete vor folosi pentru anumite destinatii si la finalul negocierii si completeaza tabela de dirijare.

29

Fig 2.3.5.3.a.(1) Stabilirea sesiunilor LDP ntre vecini Conexiunea TCP ntre cei 2 vecini este mentinuta permanent si periodic se trimit mesaje de tipul KeepAlive. Mesajele initiale de tip Hello sunt trimise prin UDP si au un rol similar cu mesajele KeepAlive. Diferenta este ca mesajele Hello indica faptul ca un link ntre vecini este activ, pe cnd mesajele KeepAlive indica faptul ca un vecin este activ. Acest lucru este evident cnd exista mai multe linkuri ntre 2 vecini; astfel se vor primi mai multe pachete Hello, dar un singur KeepAlive. Solutia aceasta ajuta LDP sa fie mai scalabil n retelele mari. [RIBL] [RFC3036] [MPLSTE] Distributia etichetelor se poate face n doua moduri: -Downstream on Demand. -Downstream Unsolicited. Modul Downstream on Demand presupune construirea caii LSP cnd apare necesitatea de a trimite trafic prin acel LSP. Nodul de intrare n reteaua MPLS primeste trafic corespunzator unui FEC nou. Entitatea LDP va cere o eticheta nodului din aval. Nodul din aval face si el o cerere de eticheta urmatorului nod si nu trimite nimic napoi nodului de intrare pna nu primeste un raspuns. Procesul continua pna cnd penultimul nod cere o eticheta nodului de iesire. Dupa ce se ntmpla acest lucru, etichetele sunt alocate ncepnd de la nodul de iesire pna la nodul de intrare, de unde si numele downstream-on-demand .

30

Fig 2.3.5.3.a.(2) Modul de lucru Downstream on Demand n modul de lucru Downstream Unsolicited un ruter propune etichete pentru toate prefixele IP cunoscute, catre toti vecinii, fie ca au cerut etichete, fie ca nu. Deoarece etichetele propuse nu sunt folosite efectiv n dirijarea pachetelor n mod implicit, nu este gresit sa se trimita etichete tuturor vecinilor, chiar daca acei vecini nu folosesc acest ruter ca urmatorul nod. LDP nu este un protocol de rutare; el depinde de un protocol de rutare pentru a elimina buclele (desi are si mecanisme de detectie si prevenire a buclelor, folosibile n retele ATM). Modul de lucru Downstream Unsolicited presupune faptul ca un nod poate primi etichete de care nu are nevoie. Se pune problema daca nodul va stoca acele etichete n cazul n care va fi nevoie de ele, sau daca le va ignora. Modul de lucru conservator implica ca ruterul va arunca etichetele de care nu are nevoie, ceea ce duce la eliberarea de spatiu n tabela de dirijare, dar n acelasi timp duce la stabilirea mai lenta a cailor. Modul liberal implica stocarea tuturor etichetelor primite si introducerea lor n tabela de dirijare, lucru care mareste spatiul ocupat, dar reduce timpul de stabilire a cailor. Alocarea etichetelor nu este singurul lucru pe care l face LDP. n anumite cazuri etichetele sunt retrase (daca se defecteaza un link catre o destinatie), astfel nct trebuie sa existe mesaje pentru a face acest lucru. Ca o particularitate LDP preia o parte din functiile MPLS n anumite cazuri. De exemplu, n retelele ATM, celulele MPLS nu au cmpul TTL. La intrarea n domeniul MPLS-ATM nodul de intrare decrementeaza TTL-ul pachetelor cu mai multe unitati conform cu numarul de noduri pe care trebuie sa le traverseze. Semnalizarea legata de numarul de noduri se face prin pachete LDP. De asemenea, pentru evitarea buclelor n retelele ATM se folosesc cmpuri speciale din pachetele LDP pentru a stoca lista de noduri traversate. Daca un nod apare de doua ori, nseamna ca exista o bucla pe acea cale. [RFC3036] [MPLS-TE]
31

2.3.5.3.b. CR-LDP(Constraint Route Label Distribution Protocol) Constraint-based Routing Label Distribution Protocol este o extensie a LDP si introduce capabilitati de constructie a cailor comutate bazndu-se si pe alte informatii dect pe informatiile oferite de protocolul de rutare. Astfel se pot construi cai cu constrngeri explicite ale rutei (de exemplu se impune ca ruta sa treaca prin anumite noduri) sau cu constrngeri de calitate a serviciilor. De regula, CR-LDP afla informatiile necesare despre capabilitatiile linkurilor (banda disponibila, delay, jitter, etc) de la un protocol de rutare cu astfel de capabilitati. Un exemplu de astfel de protocol este OSPF-TE. CR-LDP a fost gndit sa fie utilizat n Traffic Engineering, dar poate fi folosit si n construirea VPN-urilor bazate pe MPLS. [RFC3213] 2.3.5.3.c. RSVP-TE(Resource Reservation Protocol) RSVP-TE reprezinta o propunere de a adauga functionalitate unui protocol deja consacrat, care sa-i permita sa distribuie si etichete. Ideea a apartinut companiei Cisco si astfel protocolul RSVPTE a adoptat conceptele de QoS din IP n detrimentul conceptelor QoS din ATM. Aceasta alegere a avut ca scop principal interconectarea mai usoara ntre provideri. Desi initial RSVP nu a fost folosit n retelele core deoarece nu era scalabil, folosirea sa mpreuna cu MPLS i creste considerabil scalabilitatea. n acest scenariu clasele de echivalenta MPLS nu mai sunt la fel de rigide ca fluxurile RSVP, iar garantiile oferite nu mai sunt capat la capat. RSVP-TE este folosit pentru a stabili cai cu garantii numai n interiorul domeniului MPLS. n mod curent exista o concurenta ntre RSVP-TE si CR-LDP, dar se pare ca RSVP-TE este mai larg raspndit, deoarece a fost implementat timpuriu n echipamentele Cisco. [RFC3210] 2.3.5.3.d. BGP( Border Gateway Protocol ) Distributia de etichete MPLS prin BGP implica o extensie a protocolului BGP. Dorinta a fost sa se poata interconecta domenii autonome MPLS, fara a fi nevoie sa se ajunga la IP. n plus, BGP este larg raspndit n domeniile ce ofera VPN-uri, avnd un rol important n realizarea VPNurilor MPLS. Totusi, ntre nodurile vorbitoare de BGP trebuie sa se stabileasca cai MPLS folosind alt protocol de distributie de etichete.

32

2.3.6. Calitatea serviciilor cu MPLS Introducere Din punct de vedere al suportului pentru calitatea serviciilor (QoS), telul MPLS a fost sa ofere ceea ce ofera IP-ul, adica Servicii Diferentiate (Diffserv). Cnd au aparut primele drafturi despre MPLS, au fost rezervati 3 biti pentru a transporta informatii despre clasele de servicii. n final IETF a botezat acesti biti ca fiind Experimentali, desi majoritatea constructorilor i folosesc ca pe bitii Precedenta din IP. Bitii EXP sunt analogi (si cel mai adesea o copie) a bitilor Precedenta din IP.Arhitectura MPLS si-a dorit sa se integreze bine cu protocolul IP si sa fie ct mai independenta de protocolul de nivel 2. Astfel s-a ales sa se ofere suport pentru Diffserv, n detrimentul suportului QoS oferit de ATM. Aceasta decizie a dus la o simplificare majora a implementarii MPLS, obtinnd performante care sunt competitive desi sunt inferioare celor oferite de ATM. Calitatea serviciilor nseamna diverse lucruri pentru diverse persoane. La nivelu retea, QoS e compus din doua lucruri: -sa se gaseasca o cale prin retea care sa ndeplineasca cerintele impuse -sa se respecte restrictiile impuse Gasirea celei mai bune cai prin retea poate fi o actiune de genul alegerii caii cu cost minim furnizate de IGP. Respectarea restrictiilor impuse se poate rezolva prin dimensionarea retelei cu att de multa banda nct sa se elimine problema. Aceasta abordare mai este numita si cantitatea serviciilor, dar la baza este o solutie temporara pentru a asigura calitatea serviciilor. Totusi, lucrurile pot fi rezolvate si altfel. O cale disponibila prin retea poate fi construita printr-un LSP TE, similar cu un ATM PVC, fara a tine cont de metrica protocolului de rutare. Respectarea restrictiilor impuse se poate face folosind mecanismele Diffserv, cum ar fi policing, marcare, repartizare n cozi si aruncare. MPLS este doar o unealta care poate fi folosita mpreuna cu mecanismele Diffserv pentru a oferi calitatea serviciilor. Tehnologia IP ofera doua arhitecturi QoS: -Servicii Integrate (IntServ) -Servicii Diferentiate (DiffServ) IntServ si propunea sa faca rezervari capat la capat pe fiecare flux, motiv pentru care nu este scalabil n Internet. Totusi, poate fi folosit cu succes n retele micisi medii, n cazul n care este suportat de echipamentele de retea. Semnalizarile IntServ folosesc protocolul RSVP pentru a comunica tuturor nodurilor din cale cerintele de trafic dorite de host-uri. Nodurile din retea creau stari si alocau resursele hosturilor care solicitau anumite garantii. n cazul n care negocierea avea succes, garantiile oferite de IntServ sunt deterministe. Din celalalt punct de vedere, DiffServ a fost vazut ca o tehnologie scalabila, care nu mpovareaza nodurile din centrul retelei, obligndu-le sa faca multe prelucrari. El foloseste clasificarea pachetelor pe marginea domeniului si un sistem de cozi cu prioritati n centrul retelei. [RTC]

33

2.3.6.1.Servicii Diferentiate Arhitectura DiffServ Arhitectura DiffServ este definita n RFC 2475 mpreuna cu modul de folosire al Diffserv Code Point (DSCP) si mecanismele QoS ce trebuiesc implementate ntr-o retea pentru a oferi diferite calitati ale serviciului. Diffserv are doua componente majore: -Conditionarea traficului Include elemente precum policing, colorare si shaping. Aceasta prelucrare e facuta doar la marginea domeniului -Comportamentul n fiecare nod (Per-hop behaviour) Consista din mecanismele de repartizare n cozi, planificare si aruncare. Asa cum i spune si numele, actiunile sunt facute de fiecare nod din retea. Functiile suplimentare necesare pentru a implementa Diffserv includ clasificarea pachetelor si conditionarea traficului, cum ar fi masurarea, marcarea, formarea si aplicarea politicilor asupra traficului. Serviciul Diffserv este oferit doar n interiorul unui domeniu Diffserv, care consta dintr-un set continuu de noduri caracterizate de anumite tipuri de comportament (PHB) si pot aplica anumite reguli asupra traficului. Astfel, nodul de intrare din domeniul Diffserv verifica daca traficul de intrare respecta specificatiile tehnice mentionate n contract (SLA), altfel va marca traficul ca fiind neconform. Tot nodul de intrare va asocia traficul ntr-un Agregat de Comportament (BA-Behaviour Aggregate) pe baza unuia sau mai multor cmpuri din antetul de nivel 3. Dupa aceasta actiune fiecare pachet este marcat cu un anumit cod DSCP. Nodurile de intrare vor face formatarea si conditionarea traficului pe baza clasificatorului. Nodurile din interiorul domeniului nu mai trebuie sa faca reclasificari, ci doar sa aplice un set de reguli traficului de intrare (Per Hop Behaviour). Acest PHB specifica cte resurse vor fi alocate pentru un BA. Traficul de tip Best-Effort este si el clasificat, si de regula are o banda minima specificata. [RTC] [OPALSOFT-DS]

34

Fig 2.3.6.1.. Arhitectura DiffServ

35

Clasificarea pachetelor Primul lucru necesar pentru a aplica arhitectura DiffServ este abilitatea de a clasifica pachetele. Clasificarea este actiunea de a examina un pachet pentru a hotar ce fel de reguli trebuie sa urmeze, si ulterior, ce marcaj DSCP sau EXP trebuie sa primeasca. n mod uzual clasificarea se poate face dupa codul DSCP existent (n acest caz se foloseste clasificatorul Behaviour Aggregate) sau dupa mai multe cmpuri, folosindu-se un clasificator multicmp. Clasificarea pachetelor IP Pachetele IP pot fi clasificate usor. Se pot face comparatii dupa orice cmp IP, dar n general se foloseste adresa IP destinatie, adresa IP sursa sau valoarea DSCP. n plus se mai poate face si analiza de nivel 4, dupa tipul de protocol sau dupa portul folosit, pentru a se face o separare mai fina. Totusi o clasificare complexa implica un timp mai mare petrecut n nodul de intrare si astfel, o reducere a performantelor de calitate. [MPLS-TE] [OPALSOFT-DS] Clasificarea pachetelor MPLS Pachetele MPLS care intra ntr-un domeniu cu suport pentru Diffserv pot fi clasificate n principiu doar dupa valoarea bitilor EXP din eticheta din vrful stivei. Nodurile de intrare nu vor analiza celelalte etichete si nici informatiile de nivel 3 deoarece ar fi nevoie sa se elimine antetul de nivel 2 n prealabil. Acest lucru nu este dorit la granita care leaga domenii MPLS. Policing Functia de policing implica masurarea traficului utilizatorului si compararea masuratorii cu un contract de servicii ncheiat cu furnizorul. Ideea principala n Diffserv este ca nu se permite traficul excedentar sa intre n retea daca se depaseste capacitatea cozilor instalate. Acest lucru este facut prin policing, desi poate fi facut si prin mecanismul de shaping (formare). Functia de policing este facuta la granita retelei. Astfel, majoritatea pachetelor care vor intra n retea sunt de tip IP. Totusi, sunt cteva cazuri n care traficul de intrare poate fi MPLS. Un exemplu n acest caz este arhitectura Carrier Supporting Carrier, prin care reteaua furnizorului ofera servicii de transport pentru alt furnizor, care i este client. Cei doi furnizori se pot pune de acord sa foloseasca trafic MPLS pentru comunicarea ntre ei. Marcarea Regulile de marcare sunt adesea strns legate de regulile de policing. Astfel, traficul care iese din policer poate fi marcat ca fiind conform sau neconform. Ulterior aceste doua tipuri de trafic vor fi servite diferentiat.
36

Totusi, nu e nevoie de un policer pentru a face marcarea. De exemplu se poate face un mapping ntre valoarea DSCP a pachetului IP si valoarea EXP pe care o va lua pachetul etichetat. Alta varianta este sa se marcheze traficul care intra pe o interfata, indiferent de rata acestuia. Acest lucru e util atunci cnd furnizorul taxeaza n plus unii clienti pentru QoS extra. Cnd nu se doreste un serviciu cu o anumita calitate, se pot seta bitii EXP la valoarea 0. Prin faptul ca marcarea se face n antetul de nivel 2,5 nodurile MPLS nu trebuie sa analizeze cmpul Precedenta din IP pentru a hotar tipul de tratament ce trebuie aplicat pachetului. n plus, analiza de nivel 3 nu este dorita si din urmatorul motiv: operatorul retelei MPLS poate decide sa aloce pachetul ntr-o anumita clasa de servicii, fara a modifica clasa de servicii marcata initial n DSCP. Astfel, la iesirea din domeniul MPLS, pachetul clientului poate beneficia din nou de privilegiile cerute. Marcarea pachetelor IP Antetul IP a evoluat continuu de-a lungul timpului din punct de vedere al marcarii calitatii serviciilor. Initial exista un cmp Type of Service (ToS) compus din 3 biti de precedenta plus 4 biti ce marcau tipul de serviciu dorit. Bitii de precedenta erau folositi pentru a alege un tip de tratament ce i va fi aplicat pachetului. Valorile ntre 0 si 5 erau destinate datelor utilizatorului, iar valorile 6 si 7 marcau traficul de control din retea. Diffserv a redefinit cmpul ToS folosind 6 biti pentru marcarea tratamentului dorit pentru pachet, (acest lucru formnd cmpul DSCP) iar doi biti folositi ulterior pentru ECN. Desi Diffserv pune la dispozitie 64 de clase de trafic, numai 15 au fost definite si n practica, un furnizor poate implementa mai putine. Nume Best effort AF11 AF12 AF13 AF21 AF22 AF23 AF31 AF32 AF33 AF41 AF42 AF43 EF DSCP (zecimal) 0 10 12 14 18 20 22 26 28 30 34 36 38 46 DSCP (binar) 000000 001010 001100 001110 010010 010100 010110 011010 011100 011110 100010 100100 100110 101110

Tabelul 2. Clase de trafic folosite in Diffserv

37

Au fost definite 12 valori AF, n formatul Af xy , unde x e numarul clasei, iar y este prioritatea de aruncare. Aceste patru clase (AF1x-AF4y) furnizeaza o metoda de a oferi o pierdere de pachete mica ntr-o anumita banda de trafic, dar face garantii minimale asupra ntrzierii. EF a fost definit pentru a servi trafic care cere o ntrziere minima, un jitter minim si o pierdere minima de pachete. Nu este nevoie de mai multe clase de tip EF deoarece acestea ar concura pentru aceleasi resurse. [RTC] [MPLS-TE] Marcarea pachetelor MPLS Problema care poate aparea atunci cnd se doreste stabilirea unei corespondente de la DSCP la EXP este faptul ca DSCP este stocat pe 6 biti, pe cnd EXP ocupa doar 3 biti. n retelele n care MPLS functioneaza n modul cadru (spre deosebire de retelele n care functioneaza n modul celula peste linkuri ATM) se folosesc cei 3 biti EXP pentru codificare. Astfel, este nevoie ca mai multe coduri DSCP sa corespunda aceluiasi marcaj EXP. n practica acest lucru nu e o problema, deoarece putini furnizori ofera mai mult de 8 clase de serviciu.Totusi, se pot oferi mai multe clase de serviciu, daca este nevoie, n special pe linkurile ATM folosind bitii EXP n combinatie cu nsasi eticheta folosita. Acest mod de lucru se numeste L-LSP (Label Only Inferred LSP). [OPALSOFT-DS] Repartizarea n cozi Repartizarea n cozi si selectarea planificatorului care sa serveasca acele cozi pot fi diferite n functie de platforma. Aceleasi tehnici de planificare care sunt aplicate asupra traficului Diffserv IP pot fi aplicate si pentru traficul MPLS. Tipurile de cozi uzuale si planificatoarele asociate au la baza coada FIFO si planificatorul Weighted Fair Queueing. Coada FIFO poate fi mbunatatita cu un algoritm de tip Random Early Detection. Aruncarea pachetelor Mecanismul de aruncare al pachetelor nu este important doar pentru a tine sub control dimensiunea cozilor folosite, dar si pentru a reduce debitul surselor TCP. Astfel, cnd o sursa TCP pierde pachete, ea va reduce rata de transmisie. De aceea se doreste ca n caz de congestie cozile sa arunce din pachete, n loc sa le piarda pe cele care nu mai au loc sa intre. n acest scop se poate folosi Weighted Random Early Detection.

38

2.3.6.3. Alte procedee pentru a asigura QoS n retelele MPLS Mecanismul Diffserv nu este singurul mecanism conceput pentru a asigura calitatea serviciilor n retelele IP. Un rol important n asigurarea garantiilor pentru anumite tipuri de trafic l are si tehnologia IntServ. Astfel se foloseste o semnalizare capat la capat ntre entitatiile comunicante prin care se cere rezervarea resurselor necesare n nodurile din retea.Pentru a face acest lucru s-a folosit traditional protocolul RSVP pentru a transporta semnalizarile si pentru a instala starile de rezervare n noduri. Principalele dezavantaje ale RSVP sunt necesitatea acestuia de a rula capat la capat (astfel trecnd prin retele care pot sa nu suporte rezervarea de resurse) si nevoia de a folosi semnalizari per flux ntre doua entitati. Al doilea dezavantaj a avut un rol important n determinarea scalabilitatii solutiei, deoarece ntr-o retea mare pot exista zeci sau sute de mii de stari ntr-un nod, iar traficul periodic de mentinere a rezervarii poate ocupa o parte importanta din capacitatea linkului. MPLS poate folosi RSVP pentru distributia de etichete, folosind anumite extensii ale acestuia. Diferenta fata de primul caz consta n rularea RSVP doar n reteaua core, avnd nodurile de granita ca si capete. Acest lucru reduce mult numarul de entitati comunicante, crescnd scalabilitatea solutiei. Al doilea avantaj consta n faptul ca rezervarea se face acum pe clase de echivalenta, si nu pe fluxuri individuale, reducnd mai mult numarul de semnalizari si stari ce trebuiesc folosite. n functie de ct de fine sunt clasele de echivalenta se poate extinde scalabilitatea protocolului. n cazul RSVP-TE odata cu cererile de eticheta se transmit si parametrii de trafic doriti n obiecte de tip TSpec si RSpec. Nodurile intermediare ajusteaza informatiile din TSpec n functie de ct pot rezerva n momentul respectiv. Nodul destinatie aloca eticheta, dar face si cererea de rezervare a resurselor. Calea este mentinuta atta timp ct se primesc periodic mesaje de tipul PATH. Daca se doreste cresterea sau scaderea resurselor folosite n mod curent pentru cale, se pot trimite noii parametrii n mesajele PATH. Astfel, calea ar primi o noua rezervare n timp ce este folosita. Totusi, daca din diverse motive, rezervarea nu se poate face, calea va fi stearsa si traficul de date va fi ntrerupt.Pentru a remedia aceasta problema posibila, mai exista un mod n care se pot cere resurse suplimentare. Calea initiala este mentinuta, dar n acelasi timp este realizata alta cale cu anumiti parametrii de trafic doriti. n momentul n care calea secundara este gata, traficul este dirijat prin ea si calea originala este stearsa. n acest caz, daca calea secundara nu poate fi construita, calea principala ramne n folosinta si nu apar ntreruperi n trafic. RSVP-TE nu este singurul protocol capabil sa faca alocari de banda. CR-LDP permite crearea de cai cu comutatie a etichetelor care sa aiba o anumita banda garantata. De asemenea, parametrii acestor cai pot fi modificati pe timpul functionarii caii, fara a fi nevoie sa se stearga calea principala. CR-LDP beneficiaza de avantajul de a fi un protocol de tip Hard State, astfel neavnd nevoie de semnalizari permanente pentru a mentine o cale, asa cum are nevoie RSVP-TE. Din acest motiv CR-LDP este preferat n retele MPLS foarte mari, unde RSVP-TE poate sa nu fie foarte scalabil. [Cisco-DS]

39

2.3.7. Avantaje si dezavantaje ale tehnologiei MPLS Tehnologia MPLS a fost definitivata n 2001, cnd specificatiile sale au fost ridicate la rangul de standard. Totusi, de atunci implementarile MPLS nu au crescut n ritmul asteptat. Acest lucru s-a datorat mai multor factori, cum ar fi recesiunea economica din 2001, care a dus la scaderea volumului de afaceri purtate prin Internet. n ultimii ani, retelele MPLS au nceput sa se dezvolte, n principal prin beneficiile pe care le aduc furnizorilor de servicii. n continuare sunt argumentate cteva idei ce sustin folosirea MPLS n retelele core , dar si cteva idei care neaga importanta acestuia: Avantaje -Ruterele care nu au circuite specializate pentru procesul de rutare, sau alte metode pentru cautari rapide vor beneficia de o crestere de viteza n cazulfolosirii unei implementari software MPLS - Este flexibil deoarece se poate baza pe informatiile de rutare furnizate de protocoalele de rutare traditionale folosite si de IP - Este usor de integrat treptat n retele mari bazate pe IP, deoarece ruterele MPLS pot comunica cu ruterele traditionale IP -Permite realizarea de retele virtuale private (VPN) cu un overhead mai mic dect n cazul IP-ului -Permite realizarea mai usor a unor functii de Traffic Engineering. -MPLS se poate integra usor n spectrul de servicii IP QoS Dezavantaje/Critici -MPLS are o dinamicitate mai mica fata de IP, deoarece lucreaza cu conexiune, si stabileste cai nainte de a transmite datele. Daca o cale se ntrerupe, protocolul de distributie de etichete va sesiza acest lucru dupa protocolul de rutare si va construi noua cale nainte de a trimite trafic pe ea. -Comutatia MPLS nu este mai rapida dect rutarea IP. Ruterele noi folosesc memorii cache n care stocheaza rutele cele mai des folosite. Astfel cautarea n tabelul de rutare se reduce considerabil. ntr-un domeniu MPLS, ruterul de intrare si cel de iesire trebuie sa aiba si functionare IP. Prin faptul ca au de facut si prelucrari specifice MPLS, timpul lor de prelucrare e mai mare dect un pentru un ruter IP. --Celelalte rutere au, ntr-adevar un timp de prelucrare mai mic, dar aceasta performanta se vede doar pentru cai cu mai mult de 5 noduri; daca sunt mai putine noduri, performanta ruterelor IP e mai buna. n plus, ruterele MPLS pot consuma mai multa memorie dect ruterele IP (deoarece trebuie sa tina si un tabel de rutare si tabel de dirijare). -MPLS nu are suport nativ pentru QoS acest lucru a fost adaugat ulterior prin folosirea bitilor EXP. n anumite situatii clasele de servicii diferentiabile prin 3 biti pot sa fie insuficiente pentru anumite retele. De asemenea, pot aparea probleme la implementari diferite; unii constructori pot sa nu tina cont de bitii EXP. [MPLS-Myths] [RIBL] [L3vsL2]

40

Cap 3. Virtual Private Networks (VPN) Introducere O retea privata virtuala (VPN) este o retea de comunicatii folosita de o companie pentru a lega mai multe sedii separate de distante geografice permitndu-le sa comunice peste o retea publica de date. Traficul generat de VPN-uri este transportat peste o infrastructura publica (de exemplu, peste Internet) folosind protocoale standard sau poate fi transportat prin retelele furnizorului de servicii, caz n care se stabilesc contracte Service Level Agreement (SLA) ntre client si furnizor. Din punct de vedere al clientului, un VPN este un mecanism de a interconecta doua sau mai multe locatii distante, permitnd traficul ntre acestea, dar n acelasi timp ascunznd structura retelei publice de transport. Clientul doreste doar sa acceseze resursele sale aflate n celelalte site-uri, folosind reteaua de transport, dar nu doreste sa interactioneze cu aceasta, sau sa acceseze alte resurse, care nu-i apartin, dar sunt legate la reteaua de transport. Din punct de vedere al furnizorului, construirea si administrarea unui VPN poate fi dificila. Acest lucru depinde n primul rnd de cerintele clientului, dar si de infrastructura retelei de transport.Ideea de baza care a dat nastere VPN-urilor a fost interconectarea site-urilor clientului prin linii telefonice nchiriate. Astfel, clientul nchiria linii fizice care legau site-urile sale de la un operator telecom, platind o taxa lunara pentru acest serviciu. Clientul obtinea astfel garantii de banda (n functie de capacitatea liniei), dar si garantii de securitate (linia nchiriata are la capete doar domeniile clientului, restul trecnd prin reteaua telecom cu comutatie de circuite). Folosirea liniilor nchiriate pentru a interconecta mai multe site-uri ale clientului are doua probleme principale. Prima problema este costul ridicat al folosirii acestei tehnologii clientul este taxat chiar daca nu trimite trafic pe linia nchiriata. A doua problema o prezinta complexitatea interconectarii mai multor site-uri. Acest lucru se poate face construind o topologie mesh de linii nchiriate, astfel nct, pentru a interconecta n site-uri e nevoie de n(n-1)/2 linii nchiriate. Acest aspect duce la probleme mari de scalabilitate si cost ridicat n implementare. Solutia propusa a fost folosirea retelelor publice de pachete pentru a transporta traficul ntre site-uri. n acest mod fiecare site ar avea o conexiune la reteaua de pachete, si numarul de legaturi ar fi doar n , iar costul de operare ar fi redus, deoarece se poate aplica o taxare conform volumului de trafic .

41

Fig 3.1. Comparatie ntre interconectarea printr-o retea de tip comutatie de circuite si una de tip trimitere de pachete Totusi, VPN-urile peste retele de pachete aveau cteva neajunsuri fata de cele peste retele cu comutatie de circuite. n special, n functie de tehnologia folosita de reteaua publica, aceasta nu oferea ntotdeauna garantii de banda sau de securitate. [VPN-Security] [Wiki-VPN] 3.1. Tehnologii care ofera suport pentru VPN Operatorii de retele publice de transport pot oferi servicii VPN folosind diferite tehnologii. Diferentele dintre tehnologii, precum si modul lor de folosire catalogheaza VPN-urile oferite n diferite clase: VPN-uri peste Frame Relay au fost printre primele tipuri de VPN-uri realizate peste retele publice de date si constau din interconectarea la nivel 2 a site-urilor utilizatorului prin circuite virtuale. n esenta se creea un mesh de circuite virtuale peste aceeasi retea publica de date ntre site-urile abonatului. Tehnologia avea avantajul de a nu fi foarte scumpa, dar nu putea oferi garantii de banda, asa cum ofereau liniile nchiriate. VPN-uri peste ATM ATM permite construirea de VPN-uri ce ofera o interconectare de nivel 2 folosind circuite virtuale permanente (PVC), construind un mesh ntre site-urile clientului. Diferenta fata de Frame-Relay este ca ATM poate fi configurat sa ofere calitatea serviciilor, astfel serviciul oferit clientului fiind foarte similar cu cel oferit de o linie nchiriata. Dezavantajul tehnologiei ATM l constituie costul ridicat de dezvoltare si operare, dar ofera si cele mai bune servicii VPN. VPN-uri peste IP Mai multi operatori au ncercat sa ofere VPN-uri desi nu aveau tehnologii ATM sau Frame Relay. Ei au creeat tunele peste IP prin care trimiteau traficul clientului catre destinatie. Acest lucru le-a permis sa foloseasca retelele existente pentru acest serviciu, aducnd ca beneficiu faptul ca site-urile clientului pot fi conectate la orice retea IP. Totusi, aceste VPN-uri nu ofera (nativ) garantii de securitate si nici garantii
42

de banda. Pentru a remedia aceste dezavantaje, s-a propus folosirea criptarii la nivel retea (IPSec) asigurnd astfel securitate, iar domeniile care ofera VPN-uri au mecanisme de QoS cum ar fi Diffserv. Totusi, desi costul acestor VPN-uri este mai scazut, apar probleme de eficienta, prin folosirea de overhead-uri mari n transmisie. VPN-uri peste MPLS ncearca sa ofere avantajele VPN-urilor peste ATM renuntnd la complexitatea si costul ATM-ului. Aceste VPN-uri creeaza cai virtuale ntre site-urile clientului putnd oferi si suport pentru QoS. Avantajul cel mai mare l au operatorii de retele IP deoarece trecerea la MPLS se poate face gradat si se poate calitatea serviciilor VPN oferite. [VPN-Security] [VPNC]. 3.2. Tipuri de VPN-uri Aspectul securitatii datelor utilizatorului a dus la clasificarea VPN-urilor n mai multe categorii: VPN-urile de ncredere se bazeaza pe onestitatea furnizorului de servicii pentru a garanta securitatea si integritatea mesajelor trimise. Acesta are n principiu acces la toate informatiile care tranziteaza reteaua lui si ar putea sa le captureze sau sa le modifice. Clientul are ncredere n furnizorul de servicii ca acesta si va folosi reteaua corect si nu va urmari continutul traficului clientului. Daca anumite comunicatii ce traverseaza VPN-ul trebuie sa fie cu adevarat private, atunci se poate folosi criptarea la cele doua capete care comunica. VPN-uri de ncredere se pot construi uzual folosind tehnologii de nivel 2 (Frame Relay, ATM) sau mai nou folosind MPLS. VPN-urile securizate utilizeaza criptarea pentru a oferi securitate clientilor. Trecerea la astfel de VPN-uri a fost accelerata de necesitatiile pietelor concurentiale deoarece toate corporatiile doresc sa-si protejeze traficul. Pentru a comunica securizat se folosesc protocoale speciale sau extensii ale protocoalelor existente ce pot face criptarea traficului. n plus, se mai pot oferi servicii de tipul autentificare, autorizare si protectie la atacuri de tip replay . VPN-urile securizate se pot construi folosind protocoale de nivel 3 sau mai mare, n specia utiliznd IPSec pentru a adauga suport de criptare peste nivelul 3 sau folosind IPSec n combinatie cu L2TP pentru acces de tip client-server ori folosind SSL sau TLS la nivel 4. VPN-urile hibride sunt n esenta VPN-uri de ncredere peste care poate circula si trafic criptat controlat de client. Astfel criptarea se poate face doar atunci cnd este nevoie, reducnd overheadul si nevoia de prelucrare pentru criptarea tuturor mesajelor ce strabat VPN-ul. [VPNC] [VPN-Security] 3.3.Cerintele VPN-urilor Toate VPN-urile au o cerinta majora: aceea ca administratorul sa stie care sunt retelele tranzitate de acel VPN. Oricare ar fi tipul de VPN folosit, orice VPN are anumite caracteristici pe care nu le ntlnim la o retea normala. Astfel administratorul trebuie sa stie care informatii vor circula prin VPN si care nu. n plus, tipurile diferite de VPN au si cerinte diferite. Astfel, VPN-urile securizate au urmatoarele cerinte:
43

Tot traficul care va strabate VPN-ul securizat va fi criptat si autentificat. Astfel chiar daca un atacator reuseste sa obtina traficul din VPN, el nu l va putea descifra. Proprietatiile de securitate trebuie sa fie aceleasi pentru toti participantii la comunicatie prin VPN. Tunelurile securizate au cte doua capete, iar acesteau sunt de regula administrate separat. Administratorii acestor capete trebuie sa formuleze n comun o politica de acces si anumite proprietati de securitate asupra tunelului. Nimeni din afara VPN-ului nu poate afecta politicile de securitate. Acest lucru e necesar pentru ca un atacator sa nu reuseasca sa slabeasca cheile de criptare folosite sau sa ocoleasca complet acest proces. VPN-urile de ncredere au urmatoarele cerinte: -Nimeni n afara de furnizorul serviciului nu are dreptul sa modifice sau sa creeze o noua cale n VPN. --Valoarea ncrederii pe care o are clientul n furnizor depinde de capacitatea acestuia de asi proteja reteaua. Astfel doar furnizorul trebuie sa aiba acces administrativ asupra VPN-urilor si sa nu permita modificari ale unor persoane terte. Daca VPN-ul se ntinde pe mai multe retele, clientul trebuie sa aiba ncredere n toti furnizorii ai caror retele sunt folosite. Furnizorul serviciului VPN nu are dreptul sa modifice sau sa injecteze date n VPN-ul respectiv. Acest lucru ntareste ideea de ncredere. Totusi, furnizorul are dreptul de a arunca datele clientului n cazul n care profilul de trafic al acestuia nu mai corespunde cu profilul de trafic negociat. Adresarea folosita n VPN trebuie sa fie stabilita nainte de creearea VPN-ului. Acest pas este necesar pentru a avea o imagine clara a topologiei folosite, precum si a pachetelor ce vor strabate VPN-ul. VPN-urile hibride au o singura cerinta suplimentara: Adresele pentru care se va oferi un serviciu securizat trebuiesc delimitate clar de adresele ce ofera un serviciu de ncredere. [VPNC]

44

Cap 4. VPN-uri peste MPLS Terminologia folosita Conceptul de VPN introduce o separare administrativa ntre echipamentele furnizorului de servicii si cele ale clientului. Din acest punct de vedere apar anumiti termeni folositi n continuare ce vor fi definiti aici: Furnizor de servicii Organizatia care ofera un VPN peste MPLS clientului Client Organizatia care beneficiaza de un VPN peste MPLS. Aceasta organizatie poate fi la rndul ei un furnizor de servicii, sau o alta entitate organizationala. Retea core Reteaua furnizorului de servicii la care se leaga clientii. Ruter Customer Edge (CE) Este un dispozitiv (de nivel 2 sau 3) folosit de client pentru a se conecta la reteaua furnizorului. n mod uzual este n locatia clientului si este administrat de acesta. Ruter Provider Edge (PE) Este dispozitivul la care se conecteaza unul sau mai multe CE-uri. PE face parte din reteaua core, dar este un element de granita si este administrat de furnizor. Ruter Provider (P) este un nod din interiorul retelei core, furniznd conectivitate ntre PE-uri. ntr-o retea MPLS, nodurile P nu au informatii despre VPN-uri si nu sunt folosite dect pentru a face comutatie de etichete.

Fig. 3.3. Terminologia folosita

45

Obiective Descrierea soluiilor i arhitecturii de realizare a VPN-urilor (Virtual Private Network) peste o reea MPLS. Comparaie ntre metodele de obinere a VPN-urilor n tehnologia MPLS. Diferenele ntre implementrile VPN de Layer 2 i VPN de Layer 3. Situaia n care este indicat implementarea uneia dintre cele dou soluii.

Introducere Reelele MPLS au devenit foarte interesante pentru furnizorii de servicii de transport n ultimii ani. Ele au o importan foarte mare n cazul n care se dorete o reea care s suporte i metode de inginerie a traficului. Una dintre ultimele aplicaii ale tehnologiei MPLS este furnizarea de servicii VPN. Implementarea VPN-urilor ntr-o reea MPLS se face prin una din metodele: soluie de implementare Layer 2, soluie de implementare Layer 3 sau prin una din metodele de tunelare obinuite folosite n implementarea VPN-urilor. Cnd un furnizor de servicii se hotrte s implementeze VPN-uri peste o reea IP/MPLS el are dou soluii: - O abordare a problemei Layer 3 - O abordare a problemei Layer 2 Evaluarea oportunitii uneia sau alteia dintre soluii ar trebui s in cont de urmtoarele aspecte: Tipul de trafic suportat Tipul de conectivitate VPN care ar trebui oferit clientului Scalabilitate Complexitatea serviciului oferit Complexitatea managementului i al rezolvrii problemelor aprute Costurile de management i intretinere

4.1. VPN-uri de nivel 2 . Abordarea Layer 2 este o abordare nou n implementarea VPN-urilor MPLS, i ea ofer o soluie de comutare Layer 2. Aceast soluie furnizeaz separare complet ntre reeaua furnizorului de serviciu i reeaua clientului, deoarece nu exist schimb de rute ntre echipamentele PE i CE. Aceast separare ntre reele furnizeaz simplitate. VPN-urile Layer 2 MPLS furnizeaz posibilitatea de emulare de servicii n transportul cadrelor Layer 2 de la un site la altul. Acest lucru e fcut ntr-o maniera total transparent echipamentului CE. Furnizarea acestui tip de VPN ofer furnizorului de servicii posibilitatea de a transporta servicii care sunt independente de protocoalele Layer 3, furnizorul putnd astfel s transporte IPv4, IPv6, IPX, DECNet, OSI, etc. Abordarea Layer 2 implic dou probleme de conectivitate:
46

Furnizarea de conexiuni punct la punct Furnizarea de conexiuni punct la multipunct

Conexiuni punct la punct Pentru a putea transporta cadre tip Layer 2 de-alungul unei reele MPLS s-a introdus conceptul de circuite virtuale (VC). Un LSP funcioneaz ca un tunel care transport mai multe VC-uri, n timp ce VC-urile transport cadre Layer 2. Un VC, de fapt, este doar un alt LSP n interiorul tunelului LSP. Tunelul LSP furnizeaz un tunel ntre dou routere PE, n timp ce VC-urile transport cadre ale unui singur client. VC-urile sunt unidirecionale exact ca i LSP-urile. De aceea, pentru o comunicare bidirecional este nevoie de o pereche de VC-uri, cte una pentru fiecare direcie. Pentru a putea crea aceast ierarhie, un cadru ncapsulat al unui client care traverseaz reeaua MPLS are dou etichete ataate: eticheta care aparine tunelului LSP, pentru a ajunge la PE-ul destinat. Aceasta este numit eticheta de tunel. eticheta ce aparine VC-ului care transport cadre i conduc ctre un anumit site ataat la PE-ul destinaiei. Aceasta este numit eticheta VC.
Pentru adresa destinatie Pentru LSP Header L2 Eticheta 1 Eticheta 2 Datagrama IP

Figura 4.1(1). Etichetele corespunztoare tunelului LSP i VC-ului Tunelul LSP dintre router-ele PE poate fi creat folosind unul din protocoalele RSVP/TE sau LDP. Router-ele PE schimba etichete VC prin ptotocolul LDP n modul fr cerere". La nodul reelei, router-ul PE ncapsuleaz cadrul Layer 2, ataeaz o eticheta VC i o etichet de tunel i apoi trimite cadrul ctre tunelul LSP. La cellalt capt al tunelului router-ul PE extrage eticheta de tunel, determin pe care port trebuie s trimit pachetul examinnd eticheta VC, extrage cadrul original Layer 2 i trimite cadrul ctre portul determinat.

47

Frame L2 Eticheta de Circuit Virtual Eticheta de Tunel Circuit Virtual

PE-1 MPLS Backbone

VC LSP
+

PE-2
+

CE-1

Figura 4.1(2). Tunel LSR ce transporta VC-uri cu trafic client

Folosind acest concept, un furnizor de servicii poate oferi un serviciu care simuleaz liniile nchiriate, sau PVC-urile din Frame Relay, folosind infrastructur ieftin cum ar fi: IP, Ethernet, etc. [14] VPN-urile oferite de furnizorii de servicii pot transporta doua tipuri de trafic: trafic de nivel 2 sau trafic de nivel 3. VPN-urile care transporta trafic de nivel 2 sunt mai apropiate ca si caracteristici de liniile nchiriate, deoarece echipamentele clientului se vad ca si cum ar fi direct conectate. Acest avantaj permite clientului sa ruleze orice protocol de nivel 3 n reteaua sa. De asemenea, ntr-o astfel de configuratie clientul este responsabil pentru configurarea si mentinerea informatiilor proprii de rutare. Pentru a construi si opera VPN-uri de nivel 2 operatorii de retele publice folosesc o retea de nivel 2 bazata pe Frame-Relay sau ATM n paralel cu o retea core bazata pe IP, prin care furnizeaza celelalte servicii. Acest mod de lucru este ineficient si costisitor astfel nct trecerea la MPLS poate reduce costurile operarii VPN-urilor de nivel 2. Ideea este ca operatorul sa foloseasca aceeasi retea core pentru toate serviciile, inclusiv pentru VPN-uri de nivel 2. Reteaua core ar fi bazata n acest caz pe IP si MPLS. Pentru a putea implementa VPN-uri de nivel 2, operatorul are nevoie de o metoda de ncapsulare pentru cadrele VPN-ului. Metodele de ncapsulare utlizabile cu MPLS sunt AToM si L2TPv3. De asemenea, exista doua draft-uri IETF care specifica modul de ncapsulare si semnalizarea necesara pentru a construi VPN-uri de nivel 2. Acestea se mai numesc Martini drafts si Kompella. Drafturile Martini propun folosirea
48

LDP pentru construirea VPN-urilor si ofera solutii mai scalabile dect varianta Kompella. n continuare ne vom axa pe ideile specificate n drafturile Martini.

4.1.1. AToM AToM este abrevierea de la Any Transport over MPLS si reprezinta o metoda de ncapsulare a diferitelor tipuri de trafic pentru a fi transportate peste retele MPLS. AToM ofera conectivitate punct la punct pentru mai multe tehnologii de nivel 2, cum ar fi Ethernet, Frame Relay si ATM. Scopul AToM este sa permita dezvoltarea serviciilor noi peste MPLS cu costuri si complexitate reduse, ncercnd pe ct posibil sa nu transmita ca payload tot cadrul de nivel 2 dect acolo unde este nevoie; astfel se folosesc mecanisme de reconstructie a cadrelor de nivel 2 la iesirea din reteaua MPLS pe baza unor informatii transmise sau semnalizate anterior. AToM se foloseste de protocolul de distributie de etichete LDP pentru a stabili o sesiune ntre nodurile de granita ale furnizorului (PE) prin care stabileste si ntretine conexiunea. Dirijarea este facuta prin comutatia etichetei de catre nodurile din cale. Pachetele MPLS folosite de AToM au o stiva cu doua etichete (n general) pentru a mari scalabilitatea si pentru a simplifica prelucrarile. Eticheta din vrful stivei se mai numeste si eticheta tunel si este folosita de reteaua core n comutatie. A doua eticheta are alt rol: acela de a determina interfata de iesire si circuitul pe nodul de iesire. Aceasta eticheta se mai numeste si eticheta de circuit virtual. Toate etichetele de circuit virtual sunt schimbate peste aceeasi sesiune LDP ntre doua rutere de granita ale furnizorului. n plus fata de aceste doua etichete, un pachet ncapsulat conform AToM mai poate contine un cuvnt de control de 32 de biti, care este optional. Structura acestui cuvnt este reprezentata n figura urmatoare.

49

Fig 4.1.1.. ncapsularea AToM si structura cuvntului de control

Cuvntul de control a aparut ca o necesitate pentru a putea satisface cerintele protocoalelor de nivel 2: - n anumite cazuri trebuie sa se pastreze secventialitatea (important pentru celulele ATM unele pachete mici trebuiesc completate cu zero pentru a respecta cererile de pachet minim acceptat de un mediu de transmisie; n acest caz e nevoie sa se stie de unde ncepe zona completata - unii biti de control din antetul de nivel 2 trebuiesc transportati. Valorile cmpului Flags difera n functie de protocolul de nivel 2 transportat. Pentru Frame Relay se copiaza bitii FECN, BECN, DE si C/R, pe cnd pentru Ethernet cmpul Flags nu are nici o nsemnatate si trebuie sa fie 0. Ca mod de ncapsulare, AToM propune ncapsularea cadrelor Ethernet integral, dar fara a include preambulul si cmpul de verificare a integritatii (FCS). Nodul de intrare are obligatia de a verifica daca cadrul Ethernet este corect, elimina cmpul FCS si preambulul si apoi ncapsuleaza cadrul n AToM. La iesirea din reteaua MPLS nodul de iesire presupune ca payload-ul transportat este corect si i calculeaza noul FCS si apoi l trimite spre destinatie. Acest lucru aduce un cstig de 4 octeti n fiecare pachet transportat. AToM permite si transportarea cadrelor Ethernet cu marcaje VLAN n acelasi mod n care transporta cadre Ethernet. Diferenta apare n faptul ca nodul de iesire poate face modificari n cmpul identificatorului de VLAN, facnd astfel o comutatie de VLAN-uri. Acest lucru este permis, dar introduce probleme n cadrul protocolului Spanning Tree, astfel nct nu este recomandat sa se ruleze Spanning Tree peste 'linkuri' AToM. Pentru a suporta AToM, LDP are cteva cmpuri speciale folosite n stabilirea etichetelor de circuit virtual. Astfel, cnd se semnalizeaza un FEC, entitatiile LDP folosesc un element de tipul Virtual Circuit Forwarding Equivalence Class pentru a semnaliza nsemnatatea acestei etichete. A doua eticheta este creata dinamic si transmisa ntre nodurile de capat n modul de lucru downstream unsolicited. Un element Virtual Circuit FEC contine informatii despre tipul cadrelor de nivel 2 (avnd optiuni pentru Frame Relay, ATM AAL5, ATM generic, Ethernet, Ethernet cu suport pentru VLAN, HDLC, PPP sau MPLS), semnaleaza existenta unui cuvnt de control, transporta parametrii interfetelor (MTU, numar maxim de celule ATM concatenate), etc. [CiscoAToM], [Martini-encap], [Martini-trans] 4.1.2. Considerente de calitate a serviciilor pentru VPN-uri de nivel 2 Liniile nchiriate traditionale aveau marele avantaj de a oferi garantii de banda clientului. Reteaua MPLS n sine poate oferi garantii de banda deterministe daca se folosesc protocoalele de semnalizare adecvate. Totusi, furnizorul trebuie sa poata oferi o anumita calitate de servicii pentru VPN-ul clientului sau. Acest lucru poate fi facut n doua moduri: -furnizorul aloca o banda fixa pentru tot traficul clientului, indiferent de tipul traficului furnizorul tine cont de prioritatea traficului clientului si i furnizeaza servicii diferentiate.
50

Prima solutie se poate aplica usor adaugnd limite de banda pentru LSP-ul care se va construi pentru a uni cele doua site-uri ale clientului. Totusi, furnizorul poate oferi un serviciu mai bun clientului prin oferirea de servicii diferentiate. Astfel, se poate face un mapping de la anumite marcaje de prioritate din cadrele de nivel 2 ale clientului la un set de marcaje de prioritate folosite n reteaua MPLS (spre exemplu, se pot marca bitii EXP). AToM pune la dispozitie marcarea bitilor EXP n nodul de intrare pe baza bitilor de prioritate din antetul VLAN 802.1p. IETF nu a reglementat un mod de a face acest mapping, lasnd la latitudinea operatorului modul n care bitii de prioritate vor fi interpretati. [Cisco-AToM] [Martini-encap]

Fig 4.1.2. Corespondenta ntre cmpul Prioritate (802.1p) si cmpul EXP

4.1.3. Extensie a VPN-urilor de nivel 2: VPLS Deoarece majoritatea site-urilor operate de clienti folosesc ca tehnologie de nivel 2 Ethernet, majoritatea VPN-urilor de nivel 2 trebuie sa transporte cadre Ethernet. Problema principala este ca Ethernet este un mediu difuzant si astfel e nevoie de duplicarea unei parti din trafic catre toate destinatiile.

51

Fig 4.1.3. a) Interconectarea a 3 site-uri ntr-un Layer 2 VPN b) Interconectarea a 3 site-uri n VPLS Din aceste considerente s-a dorit sa se implementeze o forma speciala de VPN-uri de nivel 2 care sa transporte Ethernet si sa emuleze difuzia ntlnita pe Ethernet. Solutia a fost trecerea la VPLS. VPLS este acronimul de la Virtual Private LAN Services si reprezinta o tehnica de a furniza un LAN virtual peste o retea publica de date pornind de la o interconectare de tip mesh, dar propunndu-si sa foloseasca si facilitatiile oferite de MPLS multicast pentru a interconecta site-urile comunicante. VPLS nu este o tehnologie care depinde direct de MPLS, dar exista implementari VPLS folosind MPLS. VPLS propune adaugarea nodurilor de intrare n reteaua MPLS si rol de bridge Ethernet, construind astfel o tabela de adrese MAC corespunzatoare destinatiilor, pentru a dirija traficul direct catre destinatie, fara a mai folosi inundari. Totusi traficul de broadcast (cum ar fi cererile ARP) trebuie sa ajunga n toate site-urile si astfel pachetele trebuiesc duplicate si trimise pe mai multe tunele. Fara a folosi tehnici speciale, se pot genera usor furtuni de broadcast peste reteaua core, iar folosirea Spanning Tree peste MPLS nu este recomandata astfel nct este nevoie sa se foloseasca alte mecanisme (cum ar fi monitorizarea adreselor MAC) pentru a evita buclele. Tehnica principala pentru evitarea buclelor ntr-o astfel de implementare implica folosirea unui mecanism de tip split-horizon. Un nod PE care primeste trafic printr-un circuit virtual transportat peste MPLS nu va face difuzare dect n interiorul site-urilor ce tin de acelasi VPN si sunt direct conectate la acest nod. Difuzarea nu se va face pe linkurile care leaga PE de alt PE din acelasi VPN, pentru ca topologia presupune un mesh complet. VPLS este nca o tehnica n dezvoltare, dar n final si propune sa foloseasca si suportul pentru multicast oferit de MPLS pentru a reduce traficul prin reteaua publica. Totusi, implementarea multicast implica cresterea complexitatii n nodurile retelei MPLS, deoarece noduri care faceau doar comutatia de etichete, trebuie acum sa faca si operatii de multicast.
52

Varianta initiala propune folosirea multicast doar la intrarea n reteaua MPLS, pentru a nu ngreuna operatiile din interiorul retelei. Pe parcurs se doreste totusi optimizarea procesului de multicast prin monitorizarea mesajelor PIM din pachetele utilizatorului si construirea de arbori de multicast mai eficienti. Aceasta functionalitate va introduce o complexitate marita n reteaua MPLS, de aceea VPLS nu este nca agreeat de toti operatorii. [VPLS] [Wiki-VPLS] 4.2. VPN-uri de nivel 3 Modul de construire si operare al VPN-urilor de nivel 3 folosind MPLS se bazeaza pe solutia prezentata n RFC 2547bis numit si BGP/MPLS VPNs. 4.2.1.Mod de functionare Din punct de vedere al prelucrarilor facute pe pachetele de date ale clientului, acestea cnd ajung la echipamentul de granita al furnizorului consulta o tabela de rutare si apoi sunt dirijate catre destinatie folosind un LSP. Pentru ca furnizorul sa aiba informatii despre o destinatie din reteaua clientului, echipamentele de granita (PE) schimba informatii de rutare cu echipamentele de granita ale clientului (CE). Astfel, modelul de lucru al VPN-urilor ce folosesc BGP/MPLS urmeaza modelul de lucru peer-to-peer al VPN-urilor traditionale. Informatiile de rutare obtinute de la client sunt transportate catre ruterele de granita folosind BGP. Totusi, aceste informatii nu ajung si la nodurile din reteaua core (ruterele P) asa cum se ntmpla n cazul VPN-urilor peste IP. Nodurile P nu au nevoie de aceste informatii de rutare deoarece folosesc cai LSP si nu fac dect comutatia de etichete, fara a face analize de nivel 3. Un nod PE care primeste rute propagate prin BGP de la alt nod PE conectat la un VPN va propaga aceste rute numai catre ruterul CE conectat la acelasi VPN pentru ca acesta sa nvete de existenta unei retele n celalta parte a VPN-ului. Desi aceste mecanisme au fost folosite si de VPN-urile de nivel 3 peste IP, implementarea lor peste MPLS ncearca sa rezolve cteva limitari ale acestora. Cteva din scopurile VPN-urilor de nivel 3 sunt: - sa suporte orice adrese IP ale clientului, private sau unice, rezolvnd problema suprapunerii adreselor. - sa suporte VPN-uri suprapuse, unde un site poate apartine mai multor VPN-uri. Faptul ca aceste VPN-uri se bazeaza pe rutare reprezinta si un avantaj fata de VPN-urile de nivel 2, dar si o problema. Pentru a rezolva problema adreselor IP duplicat n VPNurile transportate, e nevoie sa se foloseasca mai multe tabele de rutare si dirijare (numite si tabele VRF Virtual Routing and Forwarding) instalate pe ruterele PE pentru a diferentia rutele ce apartin diferitelor VPN-uri conectate la acelasi ruter PE. Cte un tabel VRF este creeat pentru fiecare site conectat la un PE, totusi daca sunt mai multe site-uri conectate la acelasi PE, acestea pot partaja acelasi VRF (deoarece acelasi VPN nu va avea adrese IP duplicat ntr-o functionare normala). Un site care apartine mai multor VPN-uri nu poate partaja un VRF cu alte site-uri care nu apartin exact acelorasi VPN-uri, pentru a nu aparea ncurcaturi. Un astfel de site va trebui sa aiba propriul sau tabel VRF, care va include rute de la toate VPN-urile la care este membru. [RFC2547bis]
53

[Wiki-VPN]

Fig4.2.1. ncapsularea folosita pentru Layer 3 VPN 4.2.2. Cmpuri speciale BGP O alta implicare a spatiilor de adrese suprapuse este ca atunci cnd un ruter PE primeste update-uri BGP de la vecini poate primi prefixuri de adresa ce se suprapun (partial sau complet) peste adresele IP pe care nodul le are deja n tabelele de rutare. Diferenta este ca acum adresele IP fac parte din VPN-uri diferite. Pentru a identifica ca rutele semnalizate fac parte din VPN-uri diferite, si deci pentru a preveni ca BGP-ul sa ignore mesajele ulterioare (considernd ca are deja informatiile de rutare cele mai bune), s-a introdus folosirea unui cmp Route Distinguisher (RD) de 8 octeti care este trimis mpreuna cu prefixele semnalizate. Acesta este folosit pentru a distinge rutele ce apartin diferitelor VPN-uri negociate prin BGP. Rezultatul folosirii RD este un identificator de 12 octeti (8 octeti RD si 4 octeti adresa IP) pentru care s-a definit o familie de adrese speciale, numita familia VPN-IPv4. Astfel, varianta de BGP multiprotocol folosita n VPN-uri de nivel 3 peste MPLS transporta astfel de adrese. Fig. 4.2.2.. Schimbul de mesaje Multiprotocol BGP Cmpul Route Distinguisher furnizeaza un mecanism de a diferentia rute, dar nu are nici un rol n controlul distributiei rutelor. Un RD este asociat cu un VRF atfel nct prefixele semnalizate din acel VPN vor avea cmpul RD asociat. n mod tipic acelasi RD va fi asociat tuturor VRF-urilor ce apartin aceluiasi VPN, astfel nct toate rutele sa aiba acelasi identificator. Astfel, se poate spune ca un VPN va avea acelasi RD. Totusi, acest lucru nu nseamna ca VRF-urile site-urilor care apartin de mai multe VPN-uri au mai multe RD-uri. Pentru astfel de site-uri se aloca tot un singur RD. Un pas important n construirea VPN-urilor de nivel 3 l reprezinta controlarea modului de distributie a RD-ului pentru VPN-uri. Astfel, pentru a mpiedica ruterele PE sa accepte rute ale VPNurilor la care nu sunt direct conectate (si astfel sa iroseasca resurse proprii pe aceste tabele),
54

extensiile BGP-ului sunt folosite pentru a controla distributia rutelor n reteaua furnizorului. Atributul extins Route Target e inclus n rutele semnalate pentru a indica VPN-ul (sau grupul de site-uri dintr-o topologie) caruia i apartine o ruta. O valoare unica a acestui parametru i este furnizata fiecarui VPN al clientului. Un nod PE tine cont de aceste valori Route Target si de asocierea lor cu VPN-urile pe care le transporta. Cnd primeste o ruta de la un vecin, procesul BGP verifica daca cmpul Route Target primit este egal n valoare cu cmpul Route Target al unuia dintre VPN-urile la care e conectat. n cazul n care acest lucru e adevarat, ruta e acceptata; daca nu, ruta este ignorata. Aceasta solutie creste dramatic scalabilitatea implementarii deoarece evita ca toate ruterele PE sa tina informatiile de rutare ale tuturor VPN-urilor din retea, chiar daca nu le-ar fi folosit (asa cum se ntmpla n VPN-urile peste IP). [RFC2547bis].

4.2.3. Distributia etichetei prin BGP Cnd se semnalizeaza o noua ruta VPN-IPV4, nodul PE include ntotdeauna si o eticheta MPLS reprezentnd ruta din mesajul BGP si seteaza cmpul BGP NEXT_HOP la adresa sa. Reteaua furnizorului foloseste MPLS, astfel nct nodul PE trebuie sa fie capabil sa ajunga la oricare alt nod PE prin cai LSP. Aceste cai poti fi create de un protocol de distributie de etichete cum ar fi LDP sau RSVP-TE. Cnd un nod PE primeste un pachet care are ca destinatie un site distant, el va adauga doua etichete MPLS pe pachet pentru a-l dirija catre destinatie. Eticheta exterioara este folosita n comutatie pe LSP-ul care duce catre BGP NEXT_HOP. Eticheta interioara este eticheta asociata cu destinatia, nvatata anterior dintr-un update BGP primit de la un vecin. Nodul PE trimite apoi pachetul MPLS pe portul de iesire
55

asociat cu acel LSP. Eticheta din vrful stivei este comutata pe parcurs pna la ultimul nod din cale. Acesta o elimina si consulta eticheta ramasa. Eticheta ramasa identifica destinatia n majoritatea cazurilor si este eliminata nainte ca pachetul sa fie dirijat catre destinatie. n cazul n care se foloseste tehnica route summarization n PE, atunci la destinatie eticheta secundara este folosita pentru a determina tabelul VRF care va trebui consultat pentru a stii unde sa trimita pachetele.

4.3. Comparatie ntre VPN-uri de nivel 2 si 3 Comparaia ntre cele dou tipuri de VPN-uri se poate face n funcie de mai multe criterii de clasificare: Funcie de tipul de trafic transportat - studiind metodele de obinere acelor dou tipuri de VPN-uri, se observa c VPN-urile Layer 3 pot transporta doar trafic IP n timp ce VPN-urile Layer 2 pot transporta orice fel de tip de trafic Layer 3. De aici rezult un avantaj net la acest capitol al VPN-urilor Layer 2. Tipurile de conexiuni care pot fi realizate - ambele tipuri de VPN-uri pot implementa arhitecturi cum ar fi: punct la punct, pnza parial, pnz total, multiple VPNuri. Scalabilitate - din punct de vedere al scalabilitii, un factor de limitare pentru ambele soluii este numrul maxim de LSP-uri sau/i VC-uri care pot fi suportate de un LSR. Un alt factor limitator este mrimea maxim a fiierului de configurare care poate fi memorat n router-ul PE. n soluia Layer 3 fiierul de configurare conine definiii pentru VRF-uri, RDuri, i politici de filtrare i rutare. n cazul soluiei Layer 2 fiierul de configurare conine definiii pentru VPN-urile care aparin PE-ului si porturile asociate cu VPN-urile client. Folosirea funciei de autodescoperire mpreun cu soluia Layer 2 evit configurarea explicit a VPN-urilor ce aparin PE-ului, i implicit micorarea impactului introdus de mrimea fiierelor de configurare. Complexitate - soluia tip Layer 3 necesit n nodurile PE LSR-uri performante care s poat s menin multiple tabele de rutare i trimitere de pachete. Este de asemenea necesar ca ntre routere s avem protocolul BGP. Soluia Layer 2 necesit de regul routere mai simple i nu necesit protocolul BGP. Management i ntreinere - din moment ce n VPN-urile tip Layer 3 avem nevoie i de protocolul BGP este clar c aceste VPN-uri necesit munc i resurse suplimentare pentru management i ntreinere. Costuri - VPN-urile Layer 2 sunt puin mai ieftine deoarece nu necesit n noduri routere LSR performante. [14] 4.4.Tipuri de trafic suportate Din cele relatate mai sus, este clar ca VPN-urile de nivel 3 pot transporta doar trafic de tip IP. VPN-urile de nivel 2 permit transportarea oricarui protocol de nivel 3 al clientului, inclusiv IPv4, IPv6, IPX, DECNet. n mod curent, multe firme folosesc infrastructuri care nu se bazeaza pe IP, astfel nct VPN-urile de nivel 2 reprezinta o solutie mai putin restrictiva. De asemenea, multe firme au nceput sa foloseasca experimental IPv6 si se estimeaza ca n
56

termen lung vor migra la el. Pentru a putea sa ofere servicii de VPN de nivel 3 catre astfel de firme, furnizorul ar trebui sa faca unele modificari standardului curent: cum ar fi sa defineasca o extensie BGP pentru familia de adrese VPN-IPv6, ceea ce ar implica rularea unor upgrade-uri pe echipamentele furnizorului. O solutie VPN de nivel 2 poate oferi conectivitate n continuare clientilor, chiar daca reteaua furnizorului nu foloseste IPv6 intern. 4.5. Moduri de conectivitate suportate

Folosind ambele tipuri de conectivitate: -conectivitate punct la punct(any to any)

VPN-uri

se

pot

realiza

mai

multe

scenarii

de

-conectivitate spoke and hub (topologie de stea virtuala) -mesh partial -mesh complet -VPN-uri suprapuse VPN-urile de nivel 2 sunt mai potrivite pentru a implementa conectivitatea punct la punct, mesh complet si VPN-uri suprapuse. Totusi VPN-urile de nivel 3 se descurca mai bine la implementarea conectivitatii spoke and hub si a mesh-urilor partiale.

4.6. Securitatea VPN-urilor MPLS Pe masura ce MPLS devine o tehnologie preferata pentru a oferi servicii VPN, securitatea arhitecturii MPLS e din ce n ce mai importanta pentru furnizorii de servicii si pentru clientii VPN. Conceptele de securitate considera ca reteaua core este securizata, ca nu sunt erori n configuratii, ca nu sunt atacuri interne si ca elementele de retea sunt protejate mpotriva accesului nepermis. ncalcarea oricarei din aceste presupuneri poate duce la compromiterea serviciului oferit, deoarece reteaua core are control asupra datelor clientului si le poate modifica sau nregistra, deoarece aceastea nu sunt criptate. De asemenea, un atacator din interiorul retelei core poate patrunde n oricare VPN prin injectarea de pachete special construite. Considernd reteaua core ca fiind de ncredere, mai ramn 4 atribute ce trebuiesc analizate pentru a determina gradul de securitate pe care l ofera reteaua. Separarea spatiului de adrese
57

de procesul de rutare. Din punct de vedere al securitatii, cerinta de baza ntr-o retea este sa se evite situatia n care pachete care au ca destinatie host-ul x.y.z.t din VPN1 sa ajunga la un alt host din alt VPN sau sa ajunga chiar n reteaua core. ntre doua VPN-uri din reteaua MPLS care nu au nici un element comun (si nici nu doresc sa comunice ntre ele) se presupune ca spatiile de adrese IP sunt complet independente. Din punct de vedere al rutarii asta nseamna ca orice VPN poate folosi aceleasi adrese ca alte VPN-uri sau chiar ca reteaua core. MPLS adauga un element numit Route Distinguisher de 8 octeti pentru a identifica fiecare informatie de rutare IPv4, facnd astfel adresarea n VPN-uri unica si separnd-o de adresarea retelei core. Singura exceptie este adresa IP a nodului furnizorului (PE) la care se leaga un nod CE. Aceasta adresa trebuie sa fie unica din punctul de vedere al nodului CE. Fiecare nod PE mentine cte o tabela VRF pentru fiecare VPN conectat. Acest lucru asigura separarea informatiilor de rutare ntre VPN-uri. Separarea ntre reteaua core si celelalte rutere PE se face folosind identificatorii unici de VPN din multiprotocol BGP. Aceste informatii furnizate de BGP nu se propaga si pe nodurile din reteaua core, ci doar ntre nodurile PE. Astfel se face o separare si nu este posibil sa patrunzi n alt VPN sau n reteaua core, dect daca a aparut o eroare de configuratie. Ascunderea structurii retelei core Topologia si structura interna a retelei core (formata din ruterele PE si P ale furnizorului de servicii) trebuie nu fie disponibile n exteriorul acesteia. Un atac de tipul denial-of-service este mai usor de facut daca atacatorul stie topologia si adresele retelei core. MPLS nu furnizeaza multe informatii catre exterior, nici chiar catre clientul VPN-ului. Singurele informatii care sunt facute publice sunt adresa IP a nodului PE catre care trebuie sa se lege un CE pentru a face parte dintr-un VPN, ca parte a semnalizarilor BGP. Daca acest lucru nu se doreste, se poate folosi rutare statica ntre PE si CE (desi nu mai este la fel de flexibila). De asemenea, si clientii trebuie sa semnalizeze catre reteaua MPLS doar acele adrese care vor fi folosite pentru VPN, nu si adresele nerelevante. ntr-un serviciu VPN cu acces partajat la internet, reteaua core va furniza informatii de rutare pentru a iesi n internet, dar acest lucru trebuie sa se faca printr-un element de retea care sa furnizeze functii NAT pentru a ascunde informatii despre sistemul de adresare din reteaua clientului. Rezistenta la atacuri. n practica cel mai des se ntlneste atacul de tip DoS. Prin acesta se urmareste blocarea resurselor astfel nct clientii sa nu mai poata beneficia de ele. Singurul mod prin care operatorul se poate asigura ca reteaua este protejata, este sa se asigure ca masinile nu pot fi accesate din exterior, folosind filtre de pachete si tehnici de ascundere a adreselor. Pentru atacurile care ofera acces neautorizat la anumite resurse, se pot lua urmatoarele masuri: n primul rnd trebuie sa se ntareasca protocoalele vulnerabile si sa se ncerce restrictionarea accesului la echipament. ntr-o configuratie normala, este imposibil sa se patrunda dintr-un VPN n altul. Totusi se pot exploata vulnerabilitati ale protocoalelor de rutare si se pot executa atacuri de tip DoS asupra ruterelor PE. Astfel, ruterele PE trebuie sa fie bine securizate, pornind de la premisa ca clientul nu este de ncredere. De asemenea, trebuie sa se foloseasca liste de acces si autentificari cu MD5 n toate comunicatiile ntre echipamentele PE-CE.
58

Falsificarea etichetelor. Un alt tip de atac implica inserarea de etichete MPLS false n traficul clientului pentru a determina comutarea traficului pe alta cale si astfel, pentru a patrunde n reteaua core. Astfel, din considerente de securitate se impune ca nodul PE sa nu accepte trafic etichetat de la CE. Mai exista posibilitate falsificarii adresei IP a pachetului care este trimis catre PE, dar din cauza separarii spatiului de adrese de informatia de rutare, pachetul falsificat nu va ajunge n reteaua core, cel mult putnd cauza sticaciuni doar n VPN-ul din care origineaza. [L3vsL2] [VPNSecurity] Din punct de vedere al clientului, este imposibil sa controlezi toata reteaua. Daca reteaua MPLS core nu este corect configurata, atunci VPN-urile transportate pot fi vulnerabile la anumite forme de atacuri. IPSec ofera cteva beneficii din punct de vedere al securitatii daca este rulat peste MPLS. Pentru a avea aceste beneficii, IPSec trebuie sa ruleze pe ruterele CE sau dispozitivele clientului, si e recomandat sa fie folosit daca exista urmatoarele necesitati: -se cere criptarea partiala sau totala a traficului care strabate reteaua MPLS -se cere autentificarea capetelor -se cere garantarea integritatii traficului -se cere detectia atacurilor de tip replay

4.7. Scalabilitate Cnd se considera scalabilitatea solutiilor de nivel 3 fata de cele ale VPN-urilor de nivel 2 se pot lua n considerare mai multi factori. Un factor limitator n ambele solutii este numarul maxim de LSP-uri si/sau de circuite virtuale suportate de un LSR. Un alt factor comun este dimensiunea maxima a fisierelor de configurare ce vor fi salvate, n special n ruterele PE. Acest lucru depinde de faptul ca fisierele de configuratie contin toate informatiile necesare legate de VPN-urile clientilor. Pentru un VPN de nivel 3, fisierul de configurare va contine definitiile pentru VRF-uri, RD-uri si politicile de filtrare ale rutelor. Pentru solutia de nivel 2, fisierul de configurare contine identitatea nodului PE vecin si porturile folosite de VPNul clientului. Folosirea auto-descoperirii mpreuna cu o solutie de VPN de nivel 2 limiteaza necesitatea configurarii explicite pe nodurile PE si astfel reduce mult dimensiunea fisierului de configurare, eliminnd problema scalabilitatii. Pentru solutiile de nivel 3 numarul maxim de rute ce pot fi stocate ntr-un nod PE este de asemenea o limitare. Acest lucru apare datorita faptului ca nodul PE stocheaza rutele tuturor VPN-urilor la care e conectat. Pentru a reduce impactul acestui factor asupra scalabilitatii, este indicat sa se foloseasca procedeul de route summarization unde este posibil. Pentru solutiile de nivel 2, numarul maxim de nregistrari din tabela de dirijare de nivel 2 de pe un ruter PE este de asemenea o constrngere. Nodul PE trebuie sa completeze acel
59

tabel pentru a putea functiona ca un switch de nivel 2. Impactul acestui factor asupra scalabilitatii poate fi redus impunnd ca echipametele CE sa fie rutere si/sau sa se aplice limite asupra numarului de nregistrari MAC disponibile fiecarui VPN (pentru ca un VPN sa nu monopolizeze resursele PE folosind o gama larga de adrese MAC).

Dimensionarea retelei Pentru o solutie de nivel 3, dimensionarea retelei implica proiectarea rutarii conform cu topologia VPN ceruta de client. Acest lucru implica proiectarea de VRF-uri ce vor contine rutele clientului si alocarea de RD-uri si Route Target pentru un VPN.Furnizorul de servicii trebuie sa decida daca un VRF va fi partajat de mai multe interfete catre un client sau daca un VRF trebuie sa accepte adrese de la VPN-uri suprapuse. De asemenea, entitatiile RD si Route Target trebuiesc alocate unic pentru VPN-ul ce va fi construit. n plus, trebuie realizata o conexiune BGP ntre ruterele PE pentru a putea schimba informatii de rutare. Dimensionarea retelei pentru VPN-uri de nivel 2 tinde sa fie mai simpla, deoarece fiecare PE care e conectat la un VPN trebuie sa stie doar care este vecinul sau de la celalalt capat pentru a putea face o conexiune. Apoi porturile PE conectate la site-urile VPN-ului sunt puse n corespondenta cu acel VPN. Ideea de auto descoperire a eliminat nevoia de a configura explicit fiecare PE. n momentul actual IETF analizeaza cteva idei pentru a standardiza procesul de auto-descoperire

Management si ntretinere Pentru un VPN de nivel 3 modificarea configuratiei sau depanarea problemelor implica n special lucrul cu sesiunile BGP ntre nodurile PE sau sesiunile BGP ntre PE si CE. Ca n orice retea IP mare, folosirea nodurilor pentru reflectarea rutelor sau intercomunicarea cu alte domenii autonome pot contribui la cresterea complexitatii. De asemenea, operatorii trebuie sa analizeze continutul mai multor tabele de rutare, pe lnga continutul unei tabele de rutare principale. n cele din urma, operatorii trebuie sa analizeze fisiere de configurare mai mari pentru a detecta probleme de configurare. O solutie de nivel 2 este mai simpla deoarece furnizorul nu se bazeaza pe rute oferite de client si nici nu creeaza o sesiune cu echipamentul CE al acestuia. De asemenea, de vreme ce BGP-ul nu este necesar e mai usor sa depanezi problemele (cu exceptia cazului n care furnizorul foloseste BGP pentru semnalizari VPLS). Din punct de vedere al managementului, operatorii folosesc doar conceptele simple de circuite virtuale care alcatuiesc VPN-ul si porturi asociate acestuia. Pe un PE exista doar o tabela de rutare si mai multe tabele care contin nregistrari MAC populate dinamic.

60

Costuri Din punct de vedere al costului e posibil ca o solutie de nivel 3 sa fie mai costisitoare dect o solutie de nivel 2 datorita faptului ca o solutie de nivel 3 se bazeaza pe o functionalitate mai sofisticata a ruterelor. Costurile de management si ntretinere depind de complexitatea solutiei adoptate. Un VPN de nivel 3 va costa mai mult datorita complexitatii crescute, si poate necesita personal de ntretinere cu o calificare superioara.

61

Cap5. Studiu de caz 5.1. Introducere Implementarea VPN-urilor de nivel 3 implica de regula echipamente puternice capabile sa administreze mai multe tabele de rutare si dirijare amplasate la granita cu reteaua MPLS. De asemenea, este nevoie de folosirea BGP pentru a semnaliza ntre aceste echipamente. Daca furnizorul de servicii foloseste deja BGP n reteaua sa core (asa cum este cazul n retelele ISP-urilor sau n retelele IP mari), atunci ei vor prefera sa implementeze VPN-uri de nivel 3 deoarece au deja interconectivitate BGP. Apoi, binenteles, trebuiesc create cai LSP ntre nodurile PE pentru a transporta traficul efectiv. Totusi, reteaua furnizorului trebuie sa sufere niste modificari n nodurile care fac reflectarea rutei pentru ca aceste noduri sa nu fie gtuite de numarul mare de rute care sosesc de la multe VPNuri. O solutie de nivel 2 implica folosirea de noduri PE mai simple, fara a necesita rularea BGP ntre PE-uri. Pentru ISP-urile care nu folosesc BGP si nu doresc sa treaca la BGP pentru a evita complexitatea acestuia, solutiile de nivel 2 par mai atractive. Totusi, nodurile PE trebuie sa ruleze LDP pentru distributia de etichete, si este nevoie de construirea de LSP-uri ntre PE-uri pentru a transporta traficul efectiv. n lucrarea curenta nu ne vom concentra asupra experimentelor de baza (cum ar fi comutatia de etichete), ci vom implementa un domeniu MPLS ce va putea oferi VPN-uri de nivel 2 si 3. Pentru a putea face aceste lucruri, va trebui sa clarificam nti cteva concepte teoretice. Experimentele propuse sunt: -Construirea de VPN de nivel 2 pentru doi clienti si verifcarea functionalitatii lor . -Construirea de VPN de nivel 3 pentru doi clienti si verifcarea functionalitatii lor . Experimentele prezentate n aceasta platforma au la baza implementarea a planului de dirijare MPLS. Contributia personala consta n proiectarea si realizarea de experimente folosind emulatorul GNS3 pentru o platforma experimentala. Experimentele arata rolul MPLS n proiectarea si implementarea de VPN-uri de nivel 2 si 3. De asemnea se implementeaza protocoale de distributie de etichete pentru domeniul MPLS si protooale de rutare folosite pentru dirijarea rutelor in comunicatie.

62

5.2.Implementare de VPN de nivel 2

Fig 5.2. VPN-uri de nivel 2 implementat in lucrare 5.2.1.Cum functioneaza platforma experimentala : Terminalele CPE1 si CPE2, respectiv CPE3 si CPE4 fac parte din VPN-uri diferite. Ele trebuie sa poata comunica ntre ele (CPE1 cu CPE2 si CPE3 cu CPE4), dar nu pot comunica daca sunt n VPN-uri diferite (ex:CPE1 cu CPE 3). 1. CPE1 trimite un pachet de tipul Echo Request catre CPE3, n VPN Petrom. Asemanator, CPE3 trimite un pachet de tipul Echo Request catre CPE4 n VPN BCR. 2. Nodurile de intrare (PE1,PE2) clasifica pachetele conform interfetei de intrare si adauga o eticheta care va identifica VPN-ul de destinatie (100 pentru VPN Petrom si 200 pentru VPN BCR) . Apoi mai adauga o eticheta care va fi folosita n comutatie. 3. Nodul P comuta consultant eticheta de comutie(16) 4. PE1,PE2 elimina acum eticheta de comutatie si consulta a doua eticheta. Daca a doua eticheta este 100 (VPN Petrom) PE1 va sti sa scoata pachetul pe interfata catre VPN Petrom. Daca eticheta este 200, pachetul va fi scos pe interfata catre BCR. Nodul PE1 nu mai consulta tabelul
63

de rutare cnd face aceste prelucrari, deoarece payload-ul pachetelor MPLS nu mai este IP pachetele sunt de nivel 2. 5. Destinatiile raspund cu pachete Echo Reply 6. PE1 stie ca daca primeste pachete pe interfata dispre Petrom, ele trebuiesc capturate si ncapsulate n MPLS, primind eticheta VPN-ului 100 si o eticheta de comutatie adecvata. Analog pentru VPN BCR. Etichetele de comutatie sunt diferite n acest caz deoarece pachetele au destinatii diferite. 7. Nodul P comuta eticheta din vrful stivei fara a analiza alte informatii. 8. Nodurile de iesire elimina eticheta de comutatie, si pe baza identificatorului VPN-ului aleg interfata pe care vor scoate cadrul de nivel 2. Configuratia rulata plaseaza plaseaza terminalele CPE1 si CPE2 n acelasi subnet (192.168.1.0/29) si pe CPE3 si CPE4 de asemenae acelasi subnet dar diferit de primul(192.168.2.0/29). Nodurile PE1 si PE2 vor avea interfetele dinspre client configurate n modul bridge. Astfel, desi mai au adrese IP, aceste interfete nu vor mai dirija pachetele primite catre nivelul 3, ci vor face doar prelucari de nivel 2. Scopul lor este sa capteze traficul de nivel 2 si sa l trimita mai departe catre modulul MPLS pentru a fi ncapsulat si trimis prin reteaua core. Deoarece aceste interfete lucreaza n mod bridge, ele nu mai sunt accesibile prin retea. Astfel tot traficul ce porneste din CPE1 cu destinatia CPE2 va fi ncapsulat n MPLS si dirijat prin MPLS fara sa fie interpretat la nivel 3. Din punct de vedere al transportului peste MPLS, nodurile intermediare trebuie sa faca doar comutatia etichetei din vrful stivei. Astfel eticheta din vrful stivei este folosita doar pentru comutatie, iar eticheta urmatoare este folosita pentru a identifica VPN-ul caruia i este destinat pachetul. Nodul PE2, cnd va primi un pachet etichetat, va elimina eticheta din vrful stivei si va consulta a doua eticheta. Aceasta i spune care este VPN-ul destinatie (eticheta 100 e folosita pentru VPN1, iar 200 e folosita pentru VPN2). Pe baza acestei etichete, nodul PE2 alege portul de iesire pe care va dirija pachetul. Nodul PE2 nu mai face alta analiza (nu consulta tabelul de rutare) deoarece are deja un cadru primit, iar acesta trebuie difuzat pe linkul de iesire. Pe partea de ntoarcere, nodul PE2 stie care interfata este conectata direct la VPN1, si astfel se asteapta ca pachetele de pe aceasta interfata sa tina n continuare de VPN1 (si astfel adauga eticheta 100, iar apoi eticheta de comutatie). PE2 nu analizeaza nici o informatie din pachetele clientului reducnd timpul de prelucrare. 1.2.2 Pasii de configurare ai platformei

Mai jos voi prezenta pasii de configurarii pe care am realizat-o: 1) Configurarea adresarii: Am configurat interfetele loopbak si pe cele de interconectare ale echipamentelor furnizorului de servicii cu adresele IP corespunzatoare.Am atasat in continuare un output al comezii: show ip interface brief de pe routerul din Core de unde putem trege concluzia ca interfetele sun configurate cu IP-urile corecte si sunt ridicate:

64

2) Configurarea MPLS in domeniul furnizorului de servicii mai exact in reteua Core: Pe toate routerele furnizorului vom forta interfata loopback0 sa fie folosita ca router-id pentru adiancentele LDP(Label Distridution Protocol).Interfata loopback ar fi oricum aleasa in mod automat dar este de preferat ca aceasta sa fie configurata fortat pentru o configuratie persistenta prin comanda: mpls ldp router-id loopback0 force.

Am verificat faptul ca routerele pe care s-a activat MPLS au devenit adiacente unul cu celalalt via LDP.Se poate observa ca routerul P are 2 adiacente de LDP: una cu routerul cu adresa de loopback 20.0.3.1 si una cu routerul cu adresa 20.0.2.1. 3) Construirea circuitelor virtuale care alcatuiesc VPN-urile 1 si 2 : acestea au id-urile: 100 respectiv 200. Pe un PE exista doar o tabela de rutare si mai multe tabele care contin nregistrari MAC populate dinamic. Verificarea ca aceste circuite sunt ridicate:

65

Si detalii despre ele:

In acest caz nu mai avem nevoie de adresare pentru VPN pe PE-uri: ele nu vor mai tine tabele de routere ci vom configura in acelasi subnet locatiile aceluiasi VPN pentru comunicare.

66

4) CEF rezolva cautarea si ne da urmatorul hop pentru circuitul virtual. Pentru a vedea etichetele pe care le trimite CEF catre PE2 via LDP :

5.2.3.Verificari ale functionalitatii platformei simulate Pentru primul client(VPN 1):

Pentru al 2-lea client(VPN 2):

5.2.4. Conclulzii -traficul de nivel 2 este transportat peste MPLS -se foloseste o stiva de etichete cu doua nregistrari (overhead 8 octeti comparativ overhead de 40 de octeti cnd se foloseste ncapsulare GRE/IP) - utilizatorul poate folosi orice protocol de rutare sau de nivel 3 cu un

67

5.3. Implementare de VPN de nivel 3 Introducere VPN-urile de nivel 3 ofera o conectivitate netransparenta pentru client, catre un alt domeniu al clientului, transportnd pachete de nivel 3. Interconectarea se face de regula ncapsulnd pachetele utilizatorului n pachete IP (cu posibilitatea de a folosi IPSec pentru criptare) si rutnd aceste pachete prin reteaua core. La destinatie pachetele sunt decapsulate si rutate catre destinatie. Diferenta fata de exemplul anterior consta n necesitatea de a consulta tabelele de rutare n nodul de intrare si cel de iesire. Aceste noduri trebuie sa aiba informatii de rutare despre reteaua clientului. De asemenea, clientul trebuie sa aiba ca gateway ruterele de intrare ale operatorului. Rulnd VPN-uri de nivel 3 peste MPLS se reduce considerabil overheadul tunelarii pachetelor IP peste IP (se folosesc 8 octeti pentru tunel n comparatie cu 50 de octeti pentru IP peste IPSec). Totusi, solutia implicita nu asigura criptarea datelor ntre nodurile participante astfel nu se poate realiza dect un trusted VPN doar cu MPLS.

Fig 5.3.. VPN-uri de nivel 3 implementate in lucrare

68

5.3.1. Modul de functionare al platformei de simulare : Pentru a nu folosi mai multe echipamente n retelele clientului am simulat pe interfetele catre clienti adrese IP din familia 192.168. Se porneste un flux ping din CPE1 intra n nodul PE1 unde este clasificat pe baza adresei sale destinatie. Conform destinatiei nodul PE1 stie ca trebuie sa ncapsuleze pachetul n MPLS si sa-l ataseze VPN-ului 1 sai 2. Pachetul pleaca mai departe etichetat cu doua etichete. Eticheta din vrful stivei e folosita n comutatie, iar cealalta eticheta identifica VPN-ul destinatie. Cnd pachetul MPLS ajunge n nodul PE2, eticheta de comutatie este nlaturata si este consultata cea de-a doua eticheta. A doua eticheta este folosita pentru a selecta tabelul de rutare ce va fi consultat ulterior. Dupa ce este nlaturata si aceasta eticheta, nodul PE2 face rutare IP pentru a determina portul de iesire pentru pachet. Pentru aceasta, se consulta doar tabelul de rutare indicat. Cnd CPE2 trimite un pachet, pasii realizati sunt similari. PE2 stie ca pachetele care sosesc pe o interfata trebuie sa consulte tabelul de rutare pentru VPN1 sau 2. Conform informatiilor din acest tabel, pachetul este ncapsulat n MPLS si dirijat catre destinatia CPE1 sau CPE3. 1. CPE1 trimite un pachet de tipul Echo Request catre CPE2, n VPN Petrom. Asemanator, CPE3 trimite un pachet de tipul Echo Request catre CPE4 n VPN BCR. 2. Nodurile de intrare (PE1 si PE2) clasifica pachetele conform interfetei de intrare si adresei destinatie si adauga o eticheta care va identifica VPN-ul de destinatie (100 pentru VPN Petrom si 200 pentru VPN BCR). Apoi mai adauga o eticheta care va fi folosita n comutatie. 3. Nodul P comuta doar eticheta din vrful stivei, agregnd cele doua fluxuri deoarece merg catre aceeasi destinatie (PE2). 4. PE2 elimina eticheta de comutatie si consulta a doua eticheta. Daca a doua eticheta este 100 (VPN Petrom) PE2 va analiza tabelul de rutare 1 pentru a afla urmatorul nod si interfata de iesire. Daca eticheta este 200, PE2 va analiza tabelul 2. 5. Destinatiile raspund cu pachete Echo Reply. 6. PE2 stie ca daca primeste pachete pe o anumita interfata, va trebui sa consulte tabela de rutare 1sau 2 pentru a afla ce e de facut cu ele. Informatiile de rutare impun ncapsularea n MPLS si adaugarea etichetelor corespunzatoare. Etichetele de comutatie sunt diferite n acest caz deoarece pachetele au destinatii diferite. 7. Nodul P comuta eticheta din vrful stivei fara a analiza alte informatii. 8. Nodurile de iesire elimina eticheta de comutatie, si pe baza identificatorului VPN-ului aleg tabelul de rutare ce va fi consultat pentru a determina urmatorul nod din ruta si interfata de iesire.

69

5.3.2. Pasii de configurare ai platformei Mai jos voi prezenta pasii de configurarii pe care am realizat-o: 2) Configurarea adresarii: Am configurat interfetele loopbak si pe cele de interconectare ale echipamentelor furnizorului de servicii cu adresele IP corespunzatoare.Am atasat in continuare un output al comezii: show ip interface brief de pe routerul din Core de unde putem trege concluzia ca interfetele sun configurate cu IP-rle corecte si sunt ridicate:

3) Configurarea protocolului de rutare in domeniul furnizorului de servicii: Furnizorul foloseste ca protocol de rutare OSPF(Open Shortest Path First) in domeniul Core peste care ulterior se va configura MPLS si un protocol de rutare pentru MPLS:

Dupa cum se vede mai sus observam ca primim prin OSPF 2 rute : cele 2 interfete loopback ale PEurilor

Acesta comanda arata vecinii OSPF ai routerului Core ,deci adiacentele care s-au format.

70

4)Configurarea MPLS in domeniul furnizorului de servicii mai exact in reteua Core: Pe toate routerele furnizorului vom forta interfata loopback0 sa fie folosita ca router-id pentru adiancentele LDP(Label Distridution Protocol).Interfata loopback ar fi oricum aleasa in mod automat dar este de preferat ca aceasta sa fie configurata fortat pentru o configuratie persistenta prin comanda: mpls ldp router-id loopback0 force.

#sh mpls ldp neighbor

Am verificat faptul ca routerele pe care s-a activat MPLS au devenit adiacente unul cu celalalt via LDP.Se poate observa ca routerul P are 2 adiacente de LDP: una cu routerul cu adresa de loopback 20.0.3.1 si una cu routerul cu adresa 20.0.2.1. 4)Configurarea unui vrf pentru VPN-uri: Se configureaza in modul global 2 instante VRF: Client si Client2 folosind comanda: ip vrf nume pe routerele de frontiera: PE1 si PE2. Fiecare instanta de VRF va avea nevoie de un RD si cel un RT. # sh ip vrf

Am configurat valoarea RD si RT 200:1 (acelasi pentru import si pentru export ceea ce face ca VPN urile noastre sa fie oricare la oricare). Dupa ce am configurat VRF-ul am adaugat interfetele catre clienti la aceste VRF-uri cu comanda: ip vrf forwarding nume .
71

5)Configurarea protocolului de rutare PE-CPE: Pe routerul clientului am configurat protocolul EIGRP. Pe routerele PE configuratie e un pic mai complexa.Fiecare IGP are o metoda diferita de a fi configurat VRF-ul. Se porneste procesul EIGRP prin comanda stiuta. Pe urma folosim comanda: address-family ipv4 vrf nume , unde nume este numele instantei VRF. Familia aceasta de adrese creeaza un segment logic a unui protocol de rutare si a rutelor si adiacentelor sale pentru a il separa de alte rute si adiacente. #sh ip route

Pentru a putea vedea tabela de rutare in VRF-ul nostru,vom introduce urmatoarea comanda: #sh ip route vrf Client

Dat fiind faptul ca acum routerele PE ruteaza catre routerele CPE prin tabele VRF, putem configura routerele PE pentru a schimba rute intre ele prin BGP. Mai intai configuram BGP intre PE1 si PE2

72

5.3.3.Verificari ale functionalitatii platformei simulate: 1)Vom verifca daca rutele s-au propagat catre PE-uri : #sh ip route vrf Client

Am putea sa ne intrebam de ce clasa 100.0.0.0/29 pe PE2 este via 20.0.2.1.Trebuie sa consideram ca in cazul in care avem o ruta generate intern si aceasta este trimisa catre un vecin iBGP ,BGP-ul stabileste atributul next-hop ca fiind chiar routerul care avertizeaza ruta. In cazul de fata ,PE2 genereaza ruta in BGP prin redistribuire. Vecinii de BGP comunica intre interfete de loopback ,astfel incat atributul next-hop este chiar adresa IP a vecinului BGP.Asadar, tabela de rutare din VRF trimite catre o interfata care trebuie sa fie accesibila prin tabela globala de rutare. 2)In continuare voi verifica si tabelele de rutare ale CPE-urilor(am luat exemplul CPE2-) #sh ip route

73

3) Pentru a verifica rutele BGP VPNv4 pe PE2 va trebui sa introducem comanda show bgp vpnv4 unicast all:

MPLS are 2 tabele ,LIB(Label Information Base) si LFIB(Label Foewarding Information Base). Etichetele alocate prin LDP sunt anuntate catre vecinii LDP. Etichetele alocate prin BGP sunt anuntate catre vecinii BGP ca o eticheta pentru pachetele destinate retelelor prin VPN. Aceste etichete sunt semnificative doar pentru routerele de intrare si iesire. Routerele P care nu sunt vecini de BGP cu routerele PE nu vor vedea eticheta VPN pentru retelele cunoscute prin BGP. Toate pachetele vor trebui sa fie comutate prin etichete la fiecare hop, pentru a traversa o retea MPLS. Pentru a se asigura ca pachetele VPN care ajung la PE-ul de iesire au eticheta necesara comutarii corecte. 4)CEF rezolva cautarea si ne da urmatorul hop pentru BGP. Pentru a vedea eticheteleinuse pe care le trimite CEF catre PE2 via LDP :

74

Si in final pentru a verifica functionalitatea VPN-urilor implementat de mine: 5)Verificarea conectivitatii de pe PE2 in lanul clientului:

6)Verificarea conectivitatii a doua locatii aflate in judete diferite ale aceluiasi client( ping din Pitesti in Ploiesti):

5.3.4. Concluzii -VPN-urile de nivel 3 peste MPLS au un overhead mai mic, dar nu ofera criptare. -VPN-urile de nivel 3 nu pot transporta dect IP. -VPN-urile de nivel 3 sunt mai scalabile, dar introduc o complexitate mai mare n noduri.

75

Bibliografie

1. 2. 3.

M. Aissaoui et al. ATM/MPLS Mediation : A Basic Interworking Grenville Armitage : MPLS: The Magic Behind the Myths Banica Ion , Note de Curs : Comunicaii ntre Calculatoare 4. Eugen Borcoci , Note de Curs: Comunicaii de Band Larg, Reele de

Function

Telecomunicaii 5. 6. 7. 8. 9. 10. Braden, Ed., et. Al., Resource Reservation Protocol (RSVP) Cuchiara, J Sjostrand , H Luciani , J.V., Definitions of Managed Objects for Davie, Bruce et al , Mpls using LDP and ATM VC switching Willibald Doeringer, Giinter Karjoth, Mehdi Nassehi, Routing on longest Hideaki Takagi, Queueing A Fondation of Performance Evaluation George Swallow , MPLS Advantage for trafiic Engineering the

Multiprotocol Label Switching , Label Distribution Protocol

matching prefixes

11. ITU Telecomunication Standardization Sector, OAM and Survivability Functionality for MPLS Networks 12 . 14 . 15. 16. 17 . 18. 19. 20. 21. Request for Comments 3031 , Multiprotocol Label Switching Arhitecture Request for Comments 2917, A Core MPLS IP VPN Arhitecture Request for Comments 3035, MPLS using LDP and ATM VC Switching Request for Comments 3063, MPLS Loop Prevention Mechanism Request for Comments 1932 , IP over ATM Site-ul Academiei Cisco http://cisco.netacad.net Site-ul companiei Cisco www.cisco.com Site-ul companiei Juniper www.juniper.net Site-ul www.wikipedia.org 13. Request for Comments 2684 , Multiprotocol Encapsulation over ATM Adaptation Layer 5

76

22. [RFC3031] E. Rosen, A. Viswanathan, R. Callon - Multiprotocol Label Switching Architecture ,2001 http://rfc.net/rfc3031.html 23. [RFC3036] L. Andersson, P. Doolan, N. Feldman, A. Fredette - LDP Specification, 2001 http://rfc.net/rfc3036.html 24. [RFC3213] J. Ash, M. Girish, E. Gray - Applicability Statement for CR-LDP, 2002 http://www.rfc-archive.org/getrfc.php?rfc=3213 25. [RTC] Eugen Borcoci - Reele de Telecomunicaii, 2005

26. [OPALSOFT-DS] Leonardo Balliache - Differentiated Service on Linux HOWTO, 2003 http://opalsoft.net/qos/DS.htm 27. [OPALSOFT] Leonardo Balliache - MPLS related notes, 2006 http://opalsoft.net/qos/MPLS.htm[Martini-encap] Luca Martini, Daniel Tappan, Steve Vogelsang Encapsulation Methods for Transport of Layer 2 Frames Over MPLS, http://www.ieee802.org/1/files/public/docs2001/draft-martini-l2circuit-encap-mpls-01.txt 28. [RFC3270] F. Le Faucheur, L. Wu, B. Davie, S. Davari - MPLS Support of Differentiated Services, 2002 http://rfc.net/rfc3270.html 29. [MPLS-Myths] 30. [VPN-Security] Wikimedia - MPLS Myths, http://www.answers.com/topic/mpls- myths M. Behringer, M. Morrow - MPLS VPN Security, 2005

31. [VPNC] VPN Consortium - VPN Technologies: Definitions and Requirements, 2006http://www.vpnc.org/vpn-technologies.html 32. [Martini-encap] Luca Martini, Daniel Tappan, Steve Vogelsang - Encapsulation Methods for Transport of Layer 2 Frames Over MPLS, http://www.ieee802.org/1/files/public/docs2001/draftmartini-l2circuit-encap-mpls-01.txt 33. [Martini-trans] Luca Martini, Daniel Tappan, Steve Vogelsang - Transport of Layer 2 Frames Over MPLS, 2001 http://www.ieee802.org/1/files/public/docs2001/draft-martinil2circuit-trans-mpls01.txt 34. [VPLS] Riverstone Networks - MPLS/VPLS Evolution, http://www.riverstonenet.com/pdf/mpls_vpls_evolution.pdf 35. [RFC2547bis] C. Semeria - BGP/MPLS VPN Fundamentals, http://www.juniper.net/solutions/literature/white_papers/200012.pdf
77

ANEXE:

1) Prezentarea simulatorului in care am implementat configuratiile pentru pentru platforma mea lucru:

GNS3 este un simulator graphic de retea pe care se pot emula retele de mare complexitate. Acest program poate rula pe orice csistem de operare :Windows sau Linux. De asemenea in emulare foloseste aceleasui tipuri de IOS(sisteme de operare interetele) care se pun pe echipamentele din retea. Se ruleza un IOS pe niste routere virtuale. GNS3 este o interfata grafica a programului Dynagen.. Dynamips este programul principal pe care se incarca IOS-ul pentru emulare. Dynagen ruleaza peste Dynamips pentru a putea fi folosit mai usor . Astfel se poate creea o topologie in Dynagen peste Dynamips iar GNS3 ne da interfata grafica a topologiei. GNS3 permite emularea pe calculatoarele noastre a mai multor IOS-uri Cisco. Astfel putem emula o intreaga lista de echipamente Cisco: routere, switch-uri, etc. Aceasta arata ca simulatorul GNS3 este foarte potrivit pentru ptregatirea unor certificari in scopuri didactice. De obicei un simulator nu ne lasa sa studiem o topologie cu o configuratie complexa. Nu este insa si cazul GNS3 deoarece putem avea o gama de comenzi accesibile pe un echipament in functie de IOS-ul pe care il incarcam. Acesta este principalul avantaj. Ca dezavantaj: deoarece pe acelasi calculator de emuleaza mai multe instante IOS in modul real care necesita resurse, atunci nu vom putea dezvlota o topologie intinsa.

78

2)Mai jos voi prezenta output-urile configuratiilor pe fiecare din routerele din reteaua implementata de mine. Practic pe aceeasi topologie am implementat doua tipuri de VPN: unul de nivel 2 in care am folosit circuite virtuale si unul de nivel 3 in care am folosit adresare. a)Configuratiile pentru VPN-ul de nivel 2: -pentru routerele CPE catre clienti: CPE1 si CPE2 sunt din VPN 1: Petrom CPE3 si CPE4 sunt din VPN 2: BCR. CPE1: ! ! version 12.2 ! hostname CPE1 ! ip cef

! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.248 duplex half ! interface FastEthernet1/0 no ip address shutdown speed auto duplex auto ! interface FastEthernet1/1 no ip address shutdown speed auto duplex auto ! interface FastEthernet2/0 no ip address shutdown speed auto duplex auto
79

! interface FastEthernet2/1 no ip address shutdown speed auto duplex auto ! ! end

CPE2: ! version 12.2 ! hostname CPE2 ! ip cef ! ! interface FastEthernet0/0 ip address 192.168.1.2 255.255.255.248 duplex half ! interface FastEthernet1/0 no ip address shutdown speed auto duplex auto ! interface FastEthernet1/1 no ip address shutdown speed auto
80

duplex auto ! interface FastEthernet2/0 no ip address shutdown speed auto duplex auto ! interface FastEthernet2/1 no ip address shutdown speed auto duplex auto ! control-plane ! ! ! End

81

CPE3: ! hostname CPE3 ! ip cef ! ! interface FastEthernet0/0 ip address 192.168.2.1 255.255.255.248 speed auto duplex auto ! interface FastEthernet0/1 no ip address shutdown speed auto duplex auto ! interface FastEthernet1/0 no ip address shutdown speed auto duplex auto ! interface FastEthernet1/1 no ip address shutdown speed auto duplex auto ! interface FastEthernet2/0 no ip address shutdown speed auto duplex auto ! interface FastEthernet2/1 no ip address shutdown speed auto duplex auto ! End
82

CPE4:

version 12.2 no service password-encryption ! hostname CPE4 ! ip cef ! ! interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.248 speed auto duplex auto ! interface FastEthernet0/1 no ip address shutdown speed auto duplex auto ! interface FastEthernet1/0 no ip address shutdown speed auto duplex auto ! interface FastEthernet1/1 no ip address shutdown speed auto duplex auto ! interface FastEthernet2/0 no ip address shutdown speed auto duplex auto ! interface FastEthernet2/1 no ip address shutdown speed auto duplex auto ! End
83

-pe routerele de granita dispre client cu domeniul MPLS: PE1: ! version 12.2 no service password-encryption ! hostname PE1 ! ip cef ! ! interface Loopback0 ip address 20.0.2.1 255.255.255.255 ip ospf 1 area 0 ! interface FastEthernet0/0 ip address 20.0.0.1 255.255.255.248 ip ospf 1 area 0 speed auto duplex half mpls label protocol ldp mpls ip ! interface FastEthernet0/1 no ip address shutdown speed auto duplex auto ! interface FastEthernet1/0 no ip address speed auto duplex auto xconnect 20.0.3.1 100 encapsulation mpls ! interface FastEthernet1/1 no ip address shutdown speed auto duplex auto ! interface FastEthernet2/0 no ip address speed auto duplex auto
84

xconnect 20.0.3.1 200 encapsulation mpls ! interface FastEthernet2/1 no ip address shutdown speed auto duplex auto ! router ospf 1 log-adjacency-changes ! ! mpls ldp router-id Loopback0 force ! ! End

85

PE2: ! version 12.2 no service password-encryption ! hostname PE2 ! ip cef ! mpls label protocol ldp ! interface Loopback0 ip address 20.0.3.1 255.255.255.255 ip ospf 1 area 0 ! interface FastEthernet0/0 ip address 20.0.0.10 255.255.255.248 ip ospf 1 area 0 speed auto duplex half mpls label protocol ldp mpls ip ! interface FastEthernet0/1 no ip address shutdown speed auto duplex auto ! interface FastEthernet1/0 no ip address speed auto duplex auto xconnect 20.0.2.1 100 encapsulation mpls ! interface FastEthernet1/1 no ip address shutdown speed auto duplex auto ! interface FastEthernet2/0 no ip address speed auto duplex auto
86

xconnect 20.0.2.1 200 encapsulation mpls ! interface FastEthernet2/1 no ip address shutdown speed auto duplex auto ! router ospf 1 log-adjacency-changes ! mpls ldp router-id Loopback0 force ! ! End

87

-pentru routerul din Core : P: ! version 12.2 no service password-encryption ! hostname P ! ip cef ! mpls label protocol ldp ! interface Loopback0 ip address 20.0.1.1 255.255.255.255 ip ospf 1 area 0 ! interface FastEthernet0/0 no ip address shutdown duplex half ! interface FastEthernet1/0 ip address 20.0.0.2 255.255.255.248 ip ospf 1 area 0 speed auto duplex auto mpls label protocol ldp mpls ip ! interface FastEthernet1/1 no ip address shutdown speed auto duplex auto ! interface FastEthernet2/0 ip address 20.0.0.9 255.255.255.248 ip ospf 1 area 0 speed auto duplex auto mpls label protocol ldp mpls ip ! interface FastEthernet2/1
88

no ip address shutdown speed auto duplex auto ! router ospf 1 log-adjacency-changes ! ! ! ! mpls ldp router-id Loopback0 force ! control-plane ! ! End

89

b)Configuratiile pentru VPN-ul de nivel 3: -pentru routerele CPE catre clienti: CPE1 si CPE2 sunt din VPN 1: Petrom CPE3 si CPE4 sunt din VPN 2: BCR

CPE1:

version 12.3 no service password-encryption ! hostname CPE1 ! ip cef ! interface Loopback0 ip address 192.168.3.1 255.255.255.0 ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 duplex half ! interface FastEthernet1/0 ip address 100.0.0.1 255.255.255.248 duplex auto speed auto ! interface FastEthernet1/1 no ip address shutdown duplex auto speed auto ! interface FastEthernet2/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet2/1 no ip address shutdown duplex auto speed auto
90

! router eigrp 1 network 100.0.0.0 network 192.168.1.0 no auto-summary ! ! End

91

CPE2: ! version 12.3 no service password-encryption ! hostname CPE2 ! ip cef ! ! interface Loopback0 ip address 192.168.4.1 255.255.255.0 ! interface FastEthernet0/0 ip address 192.168.2.1 255.255.255.0 duplex half ! interface FastEthernet1/0 ip address 100.0.0.9 255.255.255.248 duplex auto speed auto ! interface FastEthernet1/1 no ip address shutdown duplex auto speed auto ! interface FastEthernet2/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet2/1 no ip address shutdown duplex auto speed auto ! router eigrp 1 network 100.0.0.0 network 192.168.2.0 no auto-summary ! End
92

CPE3:

version 12.4 no service password-encryption ! hostname CP3 ! ip cef ! interface Loopback0 ip address 192.168.7.1 255.255.255.0 ! interface FastEthernet0/0 ip address 192.168.8.1 255.255.255.0 duplex half ! interface FastEthernet1/0 ip address 100.0.0.25 255.255.255.248 duplex auto speed auto ! interface FastEthernet1/1 no ip address shutdown duplex auto speed auto ! interface FastEthernet2/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet2/1 no ip address shutdown duplex auto speed auto ! router eigrp 1 network 100.0.0.0 network 192.168.8.0 no auto-summary ! End
93

CPE4:

! version 12.4 no service password-encryption ! hostname CP4 ip cef interface Loopback0 ip address 192.168.5.1 255.255.255.0 ! interface FastEthernet0/0 ip address 192.168.6.1 255.255.255.0 duplex half ! interface FastEthernet1/0 ip address 100.0.0.17 255.255.255.248 duplex auto speed auto ! interface FastEthernet1/1 no ip address shutdown duplex auto speed auto ! interface FastEthernet2/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet2/1 no ip address shutdown duplex auto speed auto ! router eigrp 1 network 100.0.0.0 network 192.168.6.0 no auto-summary ! End
94

-pe routerele de granita dispre client cu domeniul MPLS: PE1: version 12.4 no service password-encryption ! hostname PE1 ! ip cef ! ip vrf Client rd 200:1 route-target export 200:1 route-target import 200:1 ! ip vrf Client2 rd 200:2 route-target export 200:2 route-target import 200:2 ! ! interface Loopback0 ip address 20.0.2.1 255.255.255.255 ! interface FastEthernet0/0 no ip address shutdown duplex half ! interface FastEthernet1/0 ip vrf forwarding Client ip address 100.0.0.2 255.255.255.248 duplex auto speed auto ! interface FastEthernet1/1 ip address 20.0.0.1 255.255.255.248 duplex auto speed auto mpls ip ! interface FastEthernet2/0 ip vrf forwarding Client2 ip address 100.0.0.26 255.255.255.248 duplex auto
95

speed auto ! interface FastEthernet2/1 no ip address shutdown duplex auto speed auto ! router eigrp 1 no auto-summary ! address-family ipv4 vrf Client2 redistribute bgp 200 metric 64 1000 255 1 1500 network 100.0.0.0 no auto-summary autonomous-system 1 exit-address-family ! address-family ipv4 vrf Client redistribute bgp 200 metric 64 1000 255 1 1500 network 100.0.0.0 no auto-summary autonomous-system 1 exit-address-family ! router eigrp 100 auto-summary ! router ospf 1 log-adjacency-changes network 20.0.0.0 0.255.255.255 area 0 ! router bgp 200 no synchronization bgp log-neighbor-changes neighbor 20.0.3.1 remote-as 200 neighbor 20.0.3.1 update-source Loopback0 no auto-summary ! address-family vpnv4 neighbor 20.0.3.1 activate neighbor 20.0.3.1 send-community both exit-address-family ! address-family ipv4 vrf Client2 redistribute connected redistribute eigrp 1 no synchronization
96

exit-address-family ! address-family ipv4 vrf Client redistribute connected redistribute eigrp 1 no synchronization exit-address-family ! ! ! mpls ldp router-id Loopback0 ! ! ! ! End

97

PE2: version 12.4 no service password-encryption ! hostname PE2 ! ip cef ! ! ip vrf Client rd 200:1 route-target export 200:1 route-target import 200:1 ! ip vrf Client2 rd 200:2 route-target export 200:2 route-target import 200:2 ! interface Loopback0 ip address 20.0.3.1 255.255.255.255 ! interface FastEthernet0/0 no ip address shutdown duplex half ! interface FastEthernet1/0 ip vrf forwarding Client ip address 100.0.0.10 255.255.255.248 duplex auto speed auto ! interface FastEthernet1/1 ip address 20.0.0.10 255.255.255.248 duplex auto speed auto mpls ip ! interface FastEthernet2/0 ip vrf forwarding Client2 ip address 100.0.0.18 255.255.255.248 duplex auto speed auto
98

! interface FastEthernet2/1 no ip address shutdown duplex auto speed auto ! router eigrp 1 no auto-summary ! address-family ipv4 vrf Client2 redistribute connected redistribute bgp 200 metric 64 1000 255 1 1500 network 100.0.0.0 no auto-summary autonomous-system 1 exit-address-family ! address-family ipv4 vrf Client redistribute bgp 200 metric 64 1000 255 1 1500 network 100.0.0.0 no auto-summary autonomous-system 1 exit-address-family ! router eigrp 100 auto-summary ! router ospf 1 log-adjacency-changes network 20.0.0.0 0.255.255.255 area 0 ! router bgp 200 no synchronization bgp log-neighbor-changes neighbor 20.0.2.1 remote-as 200 neighbor 20.0.2.1 update-source Loopback0 no auto-summary ! address-family vpnv4 neighbor 20.0.2.1 activate neighbor 20.0.2.1 send-community both exit-address-family ! address-family ipv4 vrf Client2 redistribute connected redistribute eigrp 1 no synchronization
99

exit-address-family ! address-family ipv4 vrf Client redistribute connected redistribute eigrp 1 no synchronization exit-address-family ! ! mpls ldp router-id Loopback0 ! End

100

-pe routerul Core: P version 12.3 no service password-encryption ! hostname P ! ip cef tag-switching tdp router-id Loopback0 ! interface Loopback0 ip address 20.0.1.1 255.255.255.255 ! interface FastEthernet0/0 no ip address shutdown duplex half ! interface FastEthernet1/0 ip address 20.0.0.2 255.255.255.248 duplex auto speed auto tag-switching ip ! interface FastEthernet1/1 ip address 20.0.0.9 255.255.255.248 duplex auto speed auto tag-switching ip ! interface FastEthernet2/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet2/1 no ip address shutdown duplex auto speed auto ! router ospf 1
101

log-adjacency-changes network 20.0.0.0 0.255.255.255 area 0 ! ! End

102