MPLS VPN

Temas Avanzados de Redes de Ordenadores

Jorge Ferreiro

Indice
• VPN. Modelos
• Repaso de MPLS
• Repaso de BGP
• MPLS VPN
• Aplicaciones, AToM
• Conclusiones

1
 Redes virtuales
Virtual Networks

Virtual Private Networks Virtual Dialup Networks Virtual LANs

Overlay VPN Peer-to- Peer VPN

Layer-2 VPN Layer-3 VPN Listas de acceso Split routing

( MPLS VPN
)
X.25 FR ATM IPSec GRE L2TP

Modelos de VPN – Overlay (I)

• Enlaces a través de la infraestructura del
proveedor
– Líneas dedicadas
– Circuitos virtuales FR/ATM...
– Túneles IPSec, GRE...
• Solución punto a punto entre sedes de la
VPN

2
 Modelos de VPN – Overlay (II)
Circuito Virtual

Adyacencia nivel 3

Dispositivo Dispositivo
Dispositivo Dispositivo
CPE (CE) CPE (CE)
Frontera Frontera
VPN VPN

Red del proveedor de servicios

Modelos de VPN – Peer-to-peer (I)

• El dispositivo frontera del proveedor de

servicios intercambia información de
routing con el dispositivo del cliente
• No es posible tener direccionamiento
privado
• La adición de nuevas sedes es simple

3
Modelos de VPN – Peer-to-peer (II)
Adyacencia nivel 3

Dispositivo Dispositivo
Dispositivo Dispositivo
CPE CPE
Frontera Frontera
VPN VPN

Red del proveedor de servicios

Modelos de VPN – MPLS VPN

• Combina las ventajas de los modelos
overlay y peer-to-peer.
– Overlay: seguridad, aislamiento
– Peer-to-peer: simplicidad
• Los dispositivos frontera solo mantienen
rutas de las VPN conectadas
• Utiliza MPLS para la conmutación de
paquetes

4
 Beneficios para el proveedor de
servicios de las MPLS/VPN
Multicast
VPN BVPN A
VPN C VPN C VPN B Hosting
Intranet
VPN A
VoIP
Extranet
VPN A

VPN B

VPN C VPN C
VPN A VPN B

• VPN modelo overlay • VPN basadas en MPLS

N*(N-1)/2
–Lleva conexiones
el contenido fuera de la red –Permite servicios de contenidos dentro
No es necesario mallar la
–Los costes crecen exponencialmente de la red
para tener una red –Curva dered para
costes planatener
–Dependiente del transporte
completamente mallada
–No hay grupos, sino parejas de sedes encaminamiento
–Independiente óptimo
del transporte
–Topología compleja –Fácil agrupamiento de usuarios y
servicios
–Topología simple

Índice

• VPN. Modelos
• Repaso de MPLS
• Repaso de BGP
• MPLS VPN
• Aplicaciones, AToM
• Conclusiones

5
 Revisión de MPLS
• Se basa en el paradigma de la sustitución de
etiquetas (ATM, FR...)
• A la llegada de un paquete a la red, se le asigna
una etiqueta de acuerdo con la FEC (Forwarding
Equivalence Class) a la que pertenece
– Se determina en la frontera de la red
• Las FEC son conjuntos de paquetes que se
encaminan en el mismo LSP

Revisión de MPLS
• Se separa la información de forwarding (etiqueta)
del contenido de la cabecera IP
• Jerarquía mediante pilas de etiquetas (label
stacking)
• Diferentes realizaciones del paradigma de las
etiquetas (VPI/VCI, “shim”, λ...)
• Flexibilidad en la formación de FEC
• Permite la existencia de direcciones IP que no son
únicas.

6
 Dispositivos MPLS
CE PE P PE CE

LSR LSR
ELSR ELSR

ELSR ELSR

LSR LSR

C Network P Network C Network

(Customer Control) (Control de proveedor) (Customer Control)

MPLS
• ELSR o LSE (Edge Label Switched Routers
o Label Switched Edge)
– Etiquetan paquetes (que no estén etiquetados)
• Comienzo de un Label Switched Path (LSP)
– Quita etiquetas de paquetes etiquetados
• Al final de cada LSP
• LSR (Label Switched Router)
– Encamina paquetes etiquetados basándose
únicamente en las etiquetas

7
 Label Distribution Protocol

• Se define en RFC 3035 y 3036

• Se usa para la distribución de etiquetas en una red
MPLS
• Forwarding Equivalence Class (FEC)
• Cómo los paquetes se corresponden con LSP (Label Switched
Paths)
• Anuncia etiquetas por FEC
• Alcanza el destino a.b.c.d con la etiqueta x
• Descubrimiento de vecinos

LFIB y forwarding
• Label Forwarding Information Base
– Cada entrada consiste en:
• Etiqueta de entrada, etiqueta de salida, interfaz de salida,
dirección MAC de salida
– Se indexa por etiqueta de entrada
• Algoritmo de forwarding
– Extrae la etiqueta del paquete
– Encuentra una entrada en la LFIB correspondiente a la
etiqueta de entrada
– Sustituye la etiqueta de entrada en el paquete con la
etiqueta de salida encontrada
– Envía el paquete por el interfaz de salida encontrado

8
 LFIB en un LSR
Intercambio de
Plano de control información de routing
IP routing con otros routers

protocols

IP routing
table Intercambio de
información de
etiquetas con otros
MPLS IP routers
LIB
routing
Paquetes de entrada Paquetes de salida
etiquetados Plano de datos etiquetados
LFIB

Operación de MPLS
1a. Los protocolos de routing existentes (e.g. OSPF, IS-IS) 4. El LSE de salida
establecen la “ alcanzabilidad” a las redes de destino (egress) quita la
etiqueta y envía el
1b. LDP (Label Distribution Protocol)
paquete.
establece la etiqueta para las redes de destino

2. El LSE de entrada (Ingress

LSE) recibe el paquete, realiza 3. Los LSR conmutan los
todas las funciones de valor paquetes mediante “label
añadido de nivel 3 y etiqueta los swapping”
paquetes.

9
 Distribución de la información de
routing en una red IP Prefijo
I/F

Prefijo Prefijo
I/F I/F 128.89 0

128.89 1 128.89 0

171.69 1 171.69 1 ...

... ...

128.89
0

0 Se puede alcanzar 128.89

1
por aquí
1
Se puede alcanzar 128.89 y
171.69 por aquí
171.69

Se puede alcanzar 171.69

Actiualizaciones de routing por aquí
(OSPF, EIGRP, …)

Encaminamiento en una red IP “no

MPLS” Prefijo
I/F

Prefijo Prefijo 128.89

I/F I/F 0

128.89 1 128.89 0

171.69 1 171.69 1 ...

... ...

128.89
0 0
128.89.25.4 Datos
1 128.89.25.4 Datos
1
128.89.25.4 Datos 128.89.25.4 Datos
171.69

Paquetes encaminados de
acuerdo con su dirección IP

10
 Encaminamiento en una red MPLS
In Out Out In Out Out In Out Out
Prefijo Prefijo Prefijo
Lbl I’face Lbl Lbl I’face Lbl Lbl I’face Lbl

128.89 1 128.89 0 128.89 0

171.69 1 171.69 1
... ... ... ... ... ...

0 128.89
1 0

Se alcanza 128.89
por aquí
Se alcanzan 128.89 y 1
171.69 por aquí

171.69

Se alcanza 171.69
Actiualizaciones de routing por aquí
(OSPF, EIGRP, …)

Distribución de etiquetas en MPLS

In Out Out In Out Out In Out Out
Prefijo Prefijo Prefijo
Lbl I’face Lbl Lbl I’face Lbl Lbl I’face Lbl

- 128.89 1 4 4 128.89 0 9 9 128.89 0 -

- 171.69 1 5 5 171.69 1 7
... ... ... ... ... ...

0 128.89
0
1

Use et. 9 para 128.89

Use et. 4 para 128.89 y 1
Use et. 5 para 171.69

171.69

Label Distribution Use et. 7 para 171.69

Protocol (LDP)

11
 Indice

• VPN. Modelos
• Repaso de MPLS
• Repaso de BGP
• MPLS VPN
• Aplicaciones, AToM
• Conclusiones

BGP (RFC1771)
• EGP (protocolo de encaminamiento exterior)
• Path-vector
• Sesión TCP entre puertos TCP 179
• Intercambia información sobre cómo llegar a
distintos prefijos (NLRI)
• Algunos atributos:
– AS_PATH: lista de sistemas autónomos por los que se
pasa
– NEXT_HOP: dirección IP del router al que ir para
alcanzar el prefijo.
– COMMUNITY: etiqueta que califica el prefijo

12
 Vecinos internos – IBGP
• Vecinos en el mismo SA
• Puede estar a varios
saltos
A B
• Complementa la
información difundida
por IGP

Vecinos externos – EBGP

• Vecinos de distinto 1883
1881
sistema autónomo
• Generalmente están a EBGP
un solo salto EBGP
1880
• Intercambia información 1882
de rutas entre sistemas
autónomos 6776
EBGP
EBGP

13
 Ejemplo de tamaño de tabla de
rutas
route-views.oregon-ix.net>show ip bgp summary
BGP router identifier 198.32.162.100, local AS number 6447
BGP table version is 12912491, main routing table version 129124 91
109056 network entries and 4156075 paths using 159760908 bytes o f memory
663891 BGP path attribute entries using 34522332 bytes of memory
509609 BGP AS-PATH entries using 12617946 bytes of memory
388 BGP community entries using 9812 bytes of memory
26262 BGP filter -list cache entries using 420192 bytes of memory
Dampening enabled. 4968 history paths, 8664 dampened paths
BGP activity 533508/419486 prefixes, 80293270/76107026 paths

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/ PfxRcd

4.0.0.2 4 1 2414133 55473 12912488 0 0 3w4d 101626
12.127.0.249 4 7018 2764917 55476 12912488 0 0 2d06h 100068
62.164.11.10 4 8782 136523 54281 12912488 0 0 2d15h 1998
129.250.0.6 4 2914 3365899 55497 12912488 0 0 5d02h 87057
129.250.0.11 4 2914 2068106 55503 12912488 0 0 5d02h 87058
134.24.127.30 4 1740 2239157 55461 12912488 0 0 1w6d 101681
134.55.20.229 4 293 4894076 55376 12912488 0 0 05:40 :45 101405
144.228.241.81 4 1239 3370368 55439 12912488 0 0 2w4d 100103

Multiprotocol BGP
• RFC2283
• Nuevos atributos:
– MP_REACH_NLRI: lleva información de los
destinos alcanzables junto con el next_hop para
alcanzar el destino
– MP_UNREACH_NLRI:lleva información de los
destinos que dejan de ser alcanzables
• Complementan a los atributos de BGP que llevan
información IPv4.
• La capacidad multiprotocolo se negocia en el
establecimiento de sesión.

14
 Comunidades extendidas (BGP)
• Draft: <draft-ramachandra-bgp-ext-communities-09.txt>
• Nuevo atributo
• Extensiones para MPLS VPN (definidas
más adelante)

Indice

• VPN. Modelos
• Repaso de MPLS
• Repaso de BGP
• MPLS VPN
• Aplicaciones, AToM
• Conclusiones

15
 Categorías de MPLS VPN

• BGP MPLS VPNs – RFC 2547

• Virtual Routers – RFC2917
– Propuesta alternativa – se basa en el particionamiento del
router físico.
– Necesita el uso de multicast/broadcast internamente para
convergencia.

MPLS VPN RFC2547 (BGP MPLS VPN)

• Quizá la recomendación más difundida.

• Muchos fabricantes la soportan
• Muy flexible

16
 Problemática

• VPN con direcciones posiblemente

repetidas
• Gran número de direcciones que mantener y
publicar

Modelo de conexión MPLS VPN

VPN_A VPN_A
sesiones iBGP
10.2.0.0 11.5.0.0
CE
CE
VPN_B VPN_A
10.2.0.0 CE P P PE CE 10.1.0.0
PE
VPN_A
11.6.0.0 P P
CE VPN_B
PE CE 10.3.0.0
VPN_B PE
10.1.0.0 CE

• Routers P (LSRs) en el core de la nube MPLS

• Los routers PE usan MPLS con el core e IP con los routers CE
• Los routers P y PE hablan un IGP común
• Los router PE están completamente interconectados MP-iBGP
(fully meshed)
• O se usan reflectores de rutas

17
 Familia de direcciones VPNv4
• Extensión de las direcciones IP para
hacerlas únicas en un entorno con VPN
• 96 bits:
64 bits 32 bits

Route Distinguisher (RD) IPv4

Se consigue la unicidad
de direcciones.

Red MPLS VPN

Protocolo encaminamiento PE- CE Interfaz VRF
VPN_A estáticas ,RIPv2,EBGP,OSPF VPN_A
10.2.0.0 Core MPLS 11.5.0.0
CE
CE
VPN_B
VPN_A
10.2.0.0
P 10.1.0.0
P
CE PE PE CE
LDP
VPN_A P P
11.6.0.0
CE VPN_B
PE 10.3.0.0
CE
VPN_B PE
10.1.0.0 CE

Sesiones MPBGP
Customer Edge Provider Edge
Router del proveedor

18
 Anuncio de tablas MPLS/VPN
• La tabla de rutas global se anucia por los
protocolos IGP
• Pueden contener rutas de BGP4 (IPv4)
• NO contienen rutas de VPN
• Las tablas de routing VRF contienen rutas
específicas de VPN
• Las rutas MP-iBGP se importan en las VRF

Escalable: sólo mantienen rutas de VPN los

PE que tienen algún interfaz en la VRF

Anuncio de VRF por MP-iBGP

(I)
VPN- A
CE
PE PE
Paris

VPN- A CE
MP-iBGP
London Tabla BGP
CE Rutas de VPN-A
VPN- B Rutas de VPN-B

Madrid VRF VPN-A VRF VPN-B

Redistribución de VRF en MP-iBGP para intercambio de información

19
 Anuncio de VRF por MP-iBGP
(II)
• El PE que recibe las rutas debe entender:
–Donde se ha originado la rutas
–En qué VRF debe instalarse
–Cómo distinguir entre direcciones publicadas
• La unicidad de los prefijos IPv4 se consigue con el
uso del Route Distinguisher

Atributo de comunidades
extendidas
• El site de origen y la información para saber dónde se
instala una ruta se consigue con el uso de comunidades
extendidas de BGP (draft-ramachandra-bgp-ext-
communities-09.txt)
– SOO (Site of Origin)
• Se usa para identificar la sede que originó una determinada ruta
– Route Target
• Se usa para identificar el conjunto de sites a los que se debe exportar
una determinada ruta
– VPN of Origin
• Ambiguo. Uso muy dependiente de la implementación

20
 Anuncio de ruta de VPN (I)
MP-iBGP
PE PE
VPN-v4 update:
RD:1:27:149.27.2.0/24,Next-
BGP, OSPF, RIPv2 update para hop=PE-1
149.27.2.0/24,NH=CE-1 SOO=Paris, RT=VPN-A,
Label=(28)

CE-1 CE-2

Paris London

• Los routers PE traducen a rutas VPN-V4

• Asignan un RD, SOO y RT de acuerdo con la configuración.
• Reescriben el atributo de next-hop para poner su dirección
• Asignan una etiqueta de acuerdo con la VRF (será una 2ª etiqueta)
• Envían un update MP-iBGPSend MP-iBGP a todos los vecinos PE

Anuncio de ruta de VPN (II)

MP-iBGP
PE VPN-v4 update: PE
RD:1:27:149.27.2.0/24, Next-
hop=PE-1
SOO=Paris, RT=VPN-A,
Label=(28)

EL update VPN-v4se traduce a

CE-1 direcciones IPv4 y se ponen en la VRF CE-2
VPN-A ya queRT=VPN-A y
opcionalmente se propagan a CE-2
Paris London

• Los router PE que la reciben la traducen a IPv4

• Insertan la ruta en la VRF identificada por el RT
• La etiqueta asociada a la dirección VPN-IPv4 se usará para los
paquetes que se tengan que encaminar hacia el destino

21
 Modelo básico de intranet

VPN A Backbone MPLS/VPN VPN A

Rutas Site-1 & Site-2 Rutas Site-3 & Site-4
Sede-1 RT=VPN-A RT=VPN-A Sede-3
MP-iBGP

P Router

Sede-2 Rutas Site-1 Rutas Site-1 Sede-4

Rutas Site-2 Rutas Site-2
VPN A Rutas Site-3 Rutas Site-3 VPN A
Rutas Site-4 Rutas Site-4

Forwarding de paquetes MPLS VPN

In Label FEC Out Label In Label FEC Out Label In Label FEC Out Label
- 197.26.15.1/32 - 41 197.26.15.1/32 POP - 197.26.15.1/32 41

PE-1
P router
Etiqueta implicit-null para Use etiqueta 41 para el
el dertino 197.26.15.1/32 destino197.26.15.0/24

VPN-v4 update:
Paris RD:1:27:149.27.2.0/24,
NH=197.26.15.1 London
149.27.2.0/24 SOO=Paris, RT=VPN-A,
Label=(28)

• Los routers PE y P alcanzan al next-hop de BGP mediante el IGP

del backbone
• Las etiquetas correspondientes a los posibles next-hop se
distribuyen por LDP.

22
 Forwarding de paquetes MPLS VPN
• Se utiliza la pila de etiquetas para el forwarding
• La primera etiqueta indica el next-hop de BGP
• La etiqueta de segundo nivel indica el interfaz de
salida o VRF en el PE de salida
• Los nodos MPLS encaminan los paquetes de
acuerdo con la etiqueta exterior
• El resto de las etiquetas se ignoran en el camino

Forwarding de paquetes MPLS VPN

In Label FEC Out Label
- 197.26.15.1/32 41
VPN-A VRF
149.27.2.0/24,
NH=197.26.15.1
PE-1 Label=(28)

41 28 149.27.2.27
149.27.2.27

Paris London
149.27.2.0/24

• El PE de entrada (ingress)recibe un paquete IP.

• El PE busca en la tabla de rutas de la VPN y encuentra
el next-hop de BGP. Impone las etiquetas <IGP, VPN>

23
 Forwarding de paquetes MPLS VPN
In Label FEC Out Label In Label FEC Out Label
28(V) 149.27.2.0/24 - 41 197.26.15.1/32 POP
VPN-A VRF
149.27.2.0/24,
VPN-A VRF NH=197.26.15.1
149.27.2.0/24, NH=Paris Label=(28)
PE-1
28 149.27.2.27 41 28 149.27.2.27
149.27.2.27 149.27.2.27

Paris London
149.27.2.0/24

• El penúltimo router quita la etiqueta IGP

• Procedimiento “Penultimate Hop Popping” (implicit-null label)
• El PE “Egress” usa la etiqueta de VPN para seleccionar por qué
VPN/CE tiene que enviar el paquete
• Quita la etiqueta y envía el paquete al CE

Indice
• VPN. Modelos
• Repaso de MPLS
• Repaso de BGP
• MPLS VPN
• Aplicaciones, AToM
• Conclusiones

24
 Soporte a extranets

• El soporte a extranets supone la importación de rutas

de una VRF en otra VRF de una VPN distinta.
• Se controla con el uso del atributo route target
– si se tiene la ruta se tiene acceso
• Permite varias topologías

Soporte a extranets
VPN- A
Rutas VPN-A Paris
CE Rutas VPN-B Munich

Paris PE
VRF for VPN -A
VPN- A
Extranet VPN
Routing
Table
VPN- B
VRF for VPN -B
CE

Munich

25
 Soporte a extranets (servicios centrales)

• Topología común en una VPN con servicios centrales

– Las sedes del cliente pueden acceder a los servicios centrales
pero no pueden comunicarse directamente con otras sedes del
cliente
• El control se consigue con el uso del route target
– Las sedes de cliente pertenecen a una única VRF, los
servidores pertenecen a una VRF común
– Los clientes exportan sus rutas usando client-r t e importan
rutas con server-r t
– Los servidores exportan sus rutas con server-rt e importan las
que tienen server-rt y client-r t

Soporte a extranets (servicios centrales)

195.12.2.0/24
VPN A VRF
(Export RT=client-rt)
(Import RT=server-rt)
VPN A
VPN A VRF MP-iBGP Update
195.12.2.0/24 RD:195.12.2.0/24,
146.12.9.0/24 RT=client -rt

146.12.9.0/24
MP-iBGP Update
RD:146.12.9.0/24,
RT=server-rt Sede de
servidores
MP-iBGP Update
VPN B VRF
RD:146.12.7.0/24,
146.12.7.0/24
RT=client -rt Server VRF
146.12.9.0/24
(Export RT=server-rt)
VPN B (Import RT=server-rt)
VPN B VRF
(Import RT=client-rt)
(Export RT=client-rt)
(Import RT=server-rt)
146.12.7.0/24

26
Any Transport over MPLS (AToM)

• Consiste en transportar protocolos de nivel 2 sobre

redes MPLS:
– Ethernet
– Frame Relay
– ATM – AAL5, Cell Mode
– PPP
– SONET

Motivación para AToM

• Aprovechar los recursos existentes.

• Proveer servicios basados en circuitos además de
servicios basados en IP/paquetes
• Trunking transparente del IGP del cliente

27
 Ethernet over MPLS

ISP C

Red MPLS ISP A

LAN

PE PE ISP B
ISP 2
PE PE

ISP 1
PE PE
ISP 3 LAN

Frame Relay over MPLS

Túnel

Any Transport over

MPLS (AToM )
Backbone
MPLS

PE PE
Virtual Leased Line Túnel DS- TE
(DS-TE + QoS)

Frame Relay
Frame Relay

Frame Relay DLCI

CPE Router, FRAD

CPE Router, FRAD

28
 ATM over MPLS
Túnel

Any Transport over

MPLS (AToM )
Backbone
MPLS

PE PE
Virtual Leased Line DS- TE Tunnel
(DS-TE + QoS)

ATM
ATM

Circuitos virtuales
ATM

CPE Router
CPE Router

PPP over MPLS

Backbone MPLS

Enlace
serie Enlace serie
PE
PE
Virtual Leased Túnel DS- TE
Line (DS- TE +
QoS)
CE CE
PPP
PPP

29
 Conclusiones
• Las MPLS VPN proporcionan una nueva
opción en la oferta de VPN con gran
flexibilidad.
• Permite topologías nuevas con relativa
sencillez
• Reduce la complejidad de la provisión
• ...

Bibliografía
1. MPLS Technology and Applications. Davies, Bruce; Rekhter,
Yakov. Morgan Kaufmann, 2000
2. MPLS and VPN Architectures. Pepelnjak, Ivan; Guichard, Jim.
Cisco Press, 2000
3. Network-based IP-VPNs usign Virtual Routers. Hamid Ould-
Brahim. Nortel Networks.
4. A Virtual Router Approach to Building Network Based VPNs.
Karthik Muthukrishnan. Lucent Technologies
5. Network based VPN. Eric Rosen. Cisco Systems. Rosen-NBVPN-
BOF-presentatio.pdf
6. Páginas web de varios fabricantes: www.cisco.com,
www.juniper.net, www.nortelnetworks.com, www.lucent.com
Contienen la información más actualizada
7. Drafts del IETF, WG mpls y ppvpn

30