Documente Academic
Documente Profesional
Documente Cultură
FACULTATEA DE ELECTRONICĂ
TELECOMUNICAŢII ŞI TEHNOLOGIA INFORMAŢIEI
PROIECT DE DIPLOMĂ(an V)
Cuprins:
Acronime.......................................................................................................................pg.4
Lista tabele.....................................................................................................................pg.6
Lista figuri....................................................................................................................pg. 6
1.Introducere.................................................................................................................pg.7
2.3.Tehnologia MPLS..................................................................................pg.16
2.3.1.Ce este MPLS......................................................................................pg.16
2.3.2. Cum funcţionează MPLS...................................................................pg.17
2.3.3.Etichetele MPLS....................................................................................pg.20
2.3.4. Planul de control .........................................................................pg.23
2.3.5. Elementele MPLS...........................................................................pg.24
2.3.5.1. Comutator de Etichete (Label Switch Router) - LSR ...pg...25
2.3.5.2.Cale cu comutaţie de etichete (Label Switched Path)- LSP...26
2.3.5.3.Protocoale de distributie a etichetelor .............................pg.28
2.3.5.3.a. LDP(Label Distribution Protocol) .................................pg.28
2.3.5.3.b. CR-LDP(Constraint Route Label Distribution Protocol)
......................................................................................................................................pg. 31
2.3.5.3.c.RSVP-TE(ResourceReservationProtocol....... ..............pg.31
2.3.5.3.d. BGP( Border Gateway Protocol ) ..................................pg.31
2.3.6. Calitatea serviciilor cu MPLS..............................................................pg.32
2.3.6.1.ServiciiDiferentiate...................................................................pg.33
2.3.6.2.Alteprocedee pentru a asigura QoS în retelele MPLS...............pg.38
2.3.7. Avantaje si dezavantaje ale tehnologiei MPLS...................................pg.39
2
3. Virtual Private Networks (VPN) .........................................................................pg.40
3.1. Tehnologii care ofera suport pentru VPN...................................................pg.41
3.2. Tipuri de VPN-uri.......................................................................................pg.42
3.3.Cerintele VPN-urilor.....................................................................................pg.42
5. Studiu de caz...........................................................................................................pg.60
5.1 Introducere........................................................................................................pg.60
5.2 Implementare de VPN de nivel 2......................................................................pg.61
5.2.1.Cum functioneaza platforma experimentala...............................................pg.61
5.2.2 Pasii de configurare ai platformei...............................................................pg.62
5.2.3 Verificarea functionalitatii platformei implementate..................................pg.65
5.2.4. Conclulzii...................................................................................................pg.65
5.3. Implementare de VPN de nivel 3.......................................................................pg.66
5.3.1. Modul de functionare al platformei de simulare ........................................pg.67
5.3.2. Pasii de configurare ai platformei...............................................................pg.68
5.3.3. Verificarea functionalitatii platformei implementate..................................pg.71
5.3.4. Concluzii.....................................................................................................pg.73
Bibliografie...............................................................................................................pg.74
Anexe........................................................................................................................pg.76
3
Lista de acronime
AF - Assured Forwarding
ARP -Address Resolution Protocol
AS - Autonomous System
ATM - Asyncronous Transfer Mode
BA -Behavior Aggregate
BGP - Border Gateway Protocol
CE - Customer Edge
CR-LDP -Constraint-based Routing Label Distribution Protocol
TLV -Type-Length-Value
5
Lista de tabele:
Lista de figuri:
Figura 2.1. Arhitectura unei reţele complexe de comunicaţii actuale......................pg.8
Figura 2.2.1. Corespondenţa nivel OSI protocoale de reţea....................................pg.9
Figura 2.2.1.2. Protocoalele de rutare IGP şi BGP într-o reţea largă......................pg.12
Figura 2.2.1.2.b. Topologia OSPF.....................................................................................pg.13
Figura 2.3.2(1). Dirijarea pachetelor în interiorul unui domeniu MPLS.......................pg. 17
Figura 2.3.2.(2). Stiva de protocoale si tabelele folosite în nodurile MPLS.....................pg.19
Figura 2.3.2.(3). Arhitecura unui nod MPLS..............................................................pg.19
Figura 2.3.3.(1) Structura antetului MPLS………………………………………............….pg.20
Figura 2.3.3.(2) Aşezarea etichetei în celula ATM şi în pachetul Ethernetpg........pg.20
Figura 2.3.3.(3). Structura LFIB............................................................... ......pg.22
Figura 2.3.5.1.(1) Operatii de baza LSR...................................................................pg.26
Figura 3.5.5.2.(1) Stabilirea unui LSP...........................................................................pg.27
Figura 2.3.5.3.a.(1) Stabilirea sesiunilor LDP între vecini...............................................pg.29
Figura 2.3.5.3.a.(2) Modul de lucru Downstream on Demand………………...……....….pg.30
Figura 2.3.6.1.. Arhitectura DiffServ.................................................................................pg.34
Figura 3.1. Comparatie între interconectarea printr-o retea de tip comutatie de circuite si una de tip
trimitere de pachete……………………………………………………………..............…....…pg.41
Figura 3.3. Terminologia folosita......................................................................................pg.44
Figura 4.1(1). Etichetele corespunzătoare tunelului LSP şi VC-ului........................pg.46
Figura 4.1(2). Tunel LSR ce transporta VC-uri cu trafic client..................................pg.46
Figura 4.1.1.. Încapsularea AToM si structura cuvântului de control...........................pg.48
Figura 4.1.2. Corespondenta între câmpul Prioritate (802.1p) si câmpul EXP.…….….pg.49
Figura 4.1.3. a) Interconectarea a 3 site-uri într-un Layer 2 VPN
b) Interconectarea a 3 site-uri în VPLS.................................................................pg.50
Figura4.2.1. Încapsularea folosita pentru Layer 3 VPN................................................pg.52
Figura 4.2.2. Schimbul de mesaje Multiprotocol BGP....................................................pg.53
Figura 5.2. VPN-uri de nivel 2 implementat in lucrare...................................................pg.61
Figura 5.3. VPN-uri de nivel 3 implementate in lucrare................................................pg.66
6
Cap.1 Introducere
7
Cap.2. Tehnologii folosite în reţelele de mare capacitate actuale
Noile reţele de date trebuie să asigure, pe lângă viteza de transmisie ridicată, banda
largă, managementul resurselor, scalabilitate şi integrarea diverselor tehnologii de access
(LAN, HDSL, ADSL, TDM etc.).De aceea au apărut noi cerinţe de performanţă şi de
funcţionalitate pentru reţelele de date actuale.
Datorită faptului că resursele reţelelor de date sunt limitate, acestea trebuie gestionate
cu grijă pentru a obţine performanţe şi randamente ridicate.
Arhitecturile actuale ţin seama de necesităţile de integrare a diferitelor
tehnologii de access şi de interoperabilitatea cu alte reţele de date. Arhitectura unei reţea de
date de mare viteză este structurată pe mai multe nivele.Modelul actual al reţelelor este
reprezentat în figura de mai jos :
Nivelul Optic
CORE-ul INTERNET
Ret elei Nivelul Core
Nivelul de Acces
`
` ` `
În reţelele de date actuale sunt folosite ca principale tehnologii de transport: tehnologia IP,
tehnologia ATM şi, mai nou, tehnologia MPLS:
2.2.1 Tehnologia IP
Tehnologia IP este tehnologia cea mai răspândită la ora actuală în reţelele LAN. Ea
este o tehnologie de Layer 3 bazată pe protocolul IP (Internet Protocol) care face adresare şi
controlul informaţiei ce permite pachetelor de date să fie rutate. Protocolul IP este un
protocol bazat pe transmisia de pachete între diferite calculatoare din reţea. Protocolul
suportă adresare, fragmentarea, reasamblarea şi multiplexarea de protocol. Este protocolul pe
baza căruia s-au construit celelalte protocoale IP, aşa- numita suită de protocoale TCP/IP.
(TCP, UDP, ICMP, ARP, RARP, etc.).
În desenul următor este reprezentată corespondenţa diferitelor protocoale şi nivelul OSI:
9
Figura 2.2.1. Corespondenţa nivel OSI protocoale de reţea
2.2.1.1. Rutarea în reţelele IP
.
Rutarea poate fi statică sau dinamică. Ea implică determinarea căii de rutare, care
se poate face după anumite valori metrice (întârzieri, costuri, utilizarea căii, etc.).Rutarea
se face după o tabelă de rutare care specifică interfeţele şi adresele către care terbuie trimise
pachetele.
Router-ele sunt echipamente ce lucrează la nivelul 3 OSI. Ele sunt folosite pentru
schimbul de informaţie dintr-ul grup de reţele ce aparţin aceleiaşi autorităţi de control şi
administrative. (AS - Autonomous Systems), cât şi pentru schimbul de informaţie între AS-uri
Regula generală de trimitere a pachetelor este alegerea rutei care se potriveşte cât mai exact.
De exemplu:
Destinaţie Masca Ruter de ieşire
10. 1. 4. 0 255.255.255. 0 R2
10. 1. 0. 0 255.255. 0. 0 R3
Destinaţia 10.1.4.30 se potriveşte în ambele cazuri, dar gateway-ul R2 are mască de reţea
mai restrictivă, deci va fi aleasă această cale. [18]
Rutarea cu vectori-distanţă
Rutarea se poate baza pe algoritmi cu vectori-distanţă (numiţi şi algoritmi Bellman-Ford), care
car ca ruterele să paseze periodic copii ale tabelelor de rutare vecinilor cei mai apropiaţi din reţea.
Fiecare destinatar adaugă la tabelă un vector-distanţă (propria "valoare" distanţă) şi o expediază
vecionilor săi cei mai apropiaţi. Acest proces se desfăşoară în toate direcţiile între routerele aflate în
imediată vecinătate.
Acest proces pas-cu-pas face ca fiecare router sa afle informaţii despre celelalte routere şi să-şi
dezvolte o perspectivă cumulativă asupra "distaţelor" reţelei. De exemplu, un protocol timpuriu de
rutare este Routing Information Protocol (protocol de rutare a informaţiilor), sau RIP . Acesta
utilizează două unităţi de măsură pentru distanţe ca să determine cea mai bună cale următoare pentru
orice pachet. Aceste unităţi de măsură pentru distanţă, tacturile şi hopurile, sunt dependente de timp.
10
Tabela cumulativă este apoi utilizată pentru actualizarea tabelelor de rutare ale fiecărui router. La
finalul procesului, fiecare router a aflat niste informaţii vagi despre distanţele până la resursele din
reţea. El nu a aflat nimic specific despre alte routere sau despre topologia reală a reţelei.
Această abordare poate, în anumite circumstanţe, să creeze probleme de rutare pentru
protocoalele bazate pe vectori-distanţă. De exemplu, în urma unei căderi în reţea eset necesar ceva
timp pentru ca routerele să conveargă spre o nouă înţelegere a topologiei reţelei. În timpul acestui
proces, reţeaua ar putea fi vulnerabilă la rutări contradictorii şi chiar la bucle infinite.
Anumite măsuri de siguranţă ar putea să micşoreze aceste riscuri, dar rămâne faptul că
performanţa reţelei este expusă riscurilor în timpul procesului de convergenţă. Prin urmare, este
posibil ca protocoalele mai vechi care converg lent să nu fie potrivite pentru WAN-urile extinse,
complexe.
Rutarea hibridă
Ultima formă de rutare dinamică este hibridizarea. Deşi există prtocoale hibride deshise,
echilibrate, această formă este asociată aproape exclusiv creaţiei brevetate a unei singure companii,
Cisco Systems Inc. Acest protocol, EIGRP, a fost proiectat combinând cele ami bune aspecte ale
protocoalelor cu vectori-distanţă şi cu starea legăturilor, fără limitările de performanţă sau
dezavantajele lor.
Protocoalele de rutare hibride echilibrate, utilizează unităţi de măsură vectori-ditanţă, dar
realizează măsurători mult mai precise decât protocoalele cu vectori-distanţă convenţionale. De
asemenea, ele converg mult mai rapid decât acestea din urmă, dar evită suprasarcinile şi actualizările
11
cu starea legăturilor. Hibrizii echilibraţi nu sunt periodici, ci conduşi de evenimente, conservând
astfel lărgimea de bandă pentru aplicaţii reale.
AS 3
IGP
BGP
AS 1
BGP
IGP AS 2
IGP
12
Există doua versiuni ale protocolului RIP: RIPvl si RIPv2.
OSPF este un protocol bazat pe verificarea stării link-urilor, ruterele trimit informaţii
despre starea link-ului în locul informaţiilor despre propriile tabele de rutare. Acest protocol
împarte reţeaua în zone pentru a putea lucra în reţele mari.
Aria 0 Aria 0
(backbone area) (backbone area)
BGP
AS 2
OSPF
AS 1 OSPF
IGP Routere de
backbone
Router border
(de arie)
Aria 1
Routere
interioare
Aria 1 Aria 2
OSPF este folosit in interiorul sistemelor autonome
Figura 2.2.1.2.b. Topologia OSPF
Router-ele interne trebuie să ştie doar rutele către reţelele din aria lor şi către aria
de backbone. Ele schimbă între ele informaţii de despre starea link-urilor. Fiecare router
cunoaşte topologia şi costul pentru comunicaţia cu reţelele din aria lui.[18]
Border Router-ele de arie schimbă informaţii de spre starea link-urilor cu toate routerele de
aria cu care sunt conectate.
Routerele de backbone se află în aria „0" şi pot fi routere interioare, border routere sau
routere de graniţă pentru sisteme autonome. Routerele de backbone schimbă informaţii cu
13
alte routere de backbone din aria „0" şi calculează ultimul cost al rutei dintre arii sau alt
sistem autonom.
Protocolul OSPF foloseşte cinci tipuri de mesaje:
Hello - folosit pentru a descoperi vecinii şi pentru a delega un router dedicat
precum şi pentru a verifica starea link-ului
Database Description - descrie baza de date a topologiei link-ului
Link State Request - cerere de părţi din topologia routerelor adiacente
Link State Update - trimite date despre starea link-urilor către routerele vecine
Link State ACK - confirmarea recepţionării update-ului
Aceste informaţii sunt folosite de routere în momentul în care trimit pachete cu câmpul ToS
setat la o anumită valoare. [18]
EIGRP a fost dezvoltat de către Cisco (eliberat în 1988) cu scopul de a îmbunătăţi protocolul
RIP pe vremea cînd IETF încă lucra la dezvoltarea OSPF -ului. EIGRP este un protocol brevetat.
Acest protocol elimină unele dintre defectele protocolului RIP , şi are îmbunătăţiri ca folorirea de
metrici compuse, rutarea pe căi multiple, şi mînuirea rutelor implicite.
Evoluţia protocolului EIGRP furnizează compatibilitate şi operaţii precise cu rutere EIGRP .
Capacităţi cheie care dinting EIGRP de alte protocoale de rutare includ convergenţa rapidă, support
pentru mască de subreţea variable-length , suport pentru update, şi support pentru multiple network
layer protocols.
EIGRP are toate avantajele flexibilităţii şi ale configurării simple în timp ce îmbunătăţeşte viteza
şi consumarea resurselor. Dealtfel, este capabil a fi un protocol unic atît pentru IP cît şi pentru
protocoale non- IP , eliminînd nevoia de a folosi multiple protocoale de rutare într-o reţea multi-
protocol.
Acest protocol de rutare este unul dintre cele mai diversificate şi robuste protocoale de rutare.
Combinaţia sa unic[ de caracteristici îmbină cele mai bune atribute ale protocoalelor de vector-
14
distanţă cu cele mai bune atribute ale protocoalelor cu starea legăturilor. Rezulatul este un protocol
de rutare hibrid care sfidează împărţirea pe categorii a protocoalelor convenţionale.
Poate fi folosit împreunpă cu IPv4, AppleTalk, şi IPX. Mai important, arhitectura sa modulara va
permite ca Cisco să adauge suport pentru alte protocoale de rutare importante care vor apărea în
viitor. Spre deosebire de alte protocoale de rutare bazate pe vectori-
distanta, EIGRP nu mandatează o revizuire periodică al tabelelor de rutare între rutere vecine. În
schimb, foloseşte un mechanism de descoperire/recuperare pentru a asigura că vecinii sunt conştienţi
de accesibilatea fiecaruia in parte.
BGP – ul este singurul protocol de rutare între Sisteme Autonome, în principal este
folosit în ruterele de backbone pentru a schimba informaţia între AS-uri, dar poate fi folosit şi
în interiorul AS-ului pentru a schimba informaţie de rutare ( IBGP). A fost proiectat să
detecteze buclele şi să folosească informaţia metrică pentru a lua decizii de rutare inteligente.
. Traficul dintr-un AS trebuie să treacă printr-un gateway router, AS selectează care
router va îndeplini această funcţie. [18]
15
2.3.Tehnologia MPLS
Multiprotocol Label Switching (MPLS) este o tehnologie bazata pe comutatia de etichete ce îsi
propune sa simplifice rutarea IP în retelele core . Arhitectura MPLS a fost gândita sa poata oferi un
serviciu de transport de date unificat pentru multe tipuri de trafic, cum ar fi pachete IP, celule ATM,
cadre SDH sau Ethernet. Din punct de vedere arhitectural MPLS se afla între nivelul 2 OSI
(Legatura de Date) si nivelul 3 (Retea), fiind considerata de multi o tehnologie de nivel 2,5.
Ideea de baza a acestei tehnologii este sa clasifice fluxurile de intrare într-o retea MPLS în
clase de echivalenta care sa fie tratate la fel de catre nodurile retelei. O clasa de echivalenta intra în
corespondenta cu un set de etichete de lungime fixa ce vor fi comutate în nodurile retelei,
pâna la destinatie. Nodurile de intrare vor face clasificare fluxurilor, iar nodurile
intermediare au de facut mai putine prelucrari, deoarece este suficient sa comute etichete.
[Wiki-MPLS]
17
Figura 2.3.2(1). Dirijarea pachetelor în interiorul unui domeniu MPLS
Nodurile MPLS, pe langă comutarea de pachete bazate pe etichete, mai pot realiza şi rutare
Layer 3 sau switch-ing Layer 2.
În figura următoare ste reprezentată arhitectura unui nod MPLS din punctul de vedere al
celor două plane:
19
Fig 2.3.2.(3). Arhitecura unui nod MPLS
Planul de trimitere pachete
2.3.3.Etichetele MPLS
Pentru a putea face comutatie de etichete, pachetele MPLS trebuiesc sa poarte anumite etichete.
Pentru aceasta, protocolul MPLS introduce un antet suplimentar în pachetele de date, antet
numit si antet MPLS, antet 'fâsie' sau shim header . În continuare este prezentata
structura acestui antet, precum si câmpurile sale.
20
Figura 2.3.3.(1) Structura antetului MPLS
O etichetă este un identificator de lungine fixă de 32 biţi, care este folosită pentru a
identifica un FEC (Forwarding Equivalence Class) care de regula are semnificaţie locală.
Eticheta care este ataşată unui anumit pachet reprezintă FEC-ul cu care este asociat pachetul
respectiv.
În cazul ATM, eticheta este plasată în unul din câmpurile VCI sau VPI din header-ul
celulei ATM.
Tehnologiile de Layer 2, cum ar fi Ethernet, Token-Ring, FDDI şi legaturile punct-la-
punct, nu pot folosi câmpurile din adresele de Layer 2 pentru a transporta etichete.
Aceste tehnologii transportă etichetele într-un câmp plasat între câmpurile
corespunzătoare nivelului de legătura de date şi cel al nivelului reţea.
Această metodă permite tuturor tehnologiilor de Layer 2 să suporte tehnologia MPLS.
Mai jos este reprezentat aşezarea etichetei în celula ATM şi în pachetul Ethernet:
21
Figura 2.3.3.(2) Aşezarea etichetei în celula ATM şi în pachetul Ethernet
Eticheta Stiva
Bitul de stivă implementează stiva de etichete MPLS, în cazul în care unui pachet IP i
se ataşează mai mult de o etichetă. Bitul de stivă este setat la "1" pentru a indica stiva goala
şi la "0" pentru celelalte situaţii. În eticheta MPLS, vârful stivei apare chiar după header-ul
nivelului Legătura de date, iar sfârşitul stivei chiar înainte de header-ul nivelului Reţea.
Trimiterea de pachete este făcută ţinând seama de eticheta din vârful stivei. Rutarea IP
unicast nu foloseşte etichete stivuite, dar MPLS VPN (Virtual Private Network) ş i controlul şi
managementul traficului folosesc etichetele stivuite.
TTL
Câmpul TTL este similar cu câmpul Time-to-Live transportat în header-ul IP. Nodul MPLS
procesează doar câmpul TTL situat în vârful stivei de etichete.
22
LFIB (Label Forwarding Information Base)
Această bază de date conţinută în nodul MPLS constă într-o secvenţa de intrări, aşa
cum este ilustrat în figura de mai jos.
Aşa cum se observă în figură, fiecare intrare este alcătuita dintr-o etichetă de intrare şi
una sau mai multe subintrări. LFIB este indexat de valoarea conţinută în eticheta de
intrare.
Fiecare subintrare este alcătuită din o etichetă de ieşire, o interfaţa de ieşire, ş i adresa
nodului următor. Trimiterea de pachete multicast necesită subintrări cu multiple etichete
de ieşire, deoarece un pachet ce intră pe o interfaţa trebuie să iasă pe mai multe interfeţe de
ieşire. Pe langă eticheta de ieşire, interfaţa de ieşire, şi informaţia despre nodul următor, o
intrare în tabela de trimitere a pachetelor poate cuprinde informaţii referitoare la resursele
ce pot fi folosite de pachet, cum ar fi coada de ieşire în care ar trebui plasat pachetul.
Un nod MPLS poate avea o singura tabelă de trimitere a pachetelor, o tabelă pe fiecare
interfaţa, sau o combinaţie dintre cele doua. [12]
Modulul de QoS
Acest modul construieşte tabela FEC folosing protocoale de rutare IGP cum ar fi: OSPF, IS-
IS, etc. Tabela de rutare IP este folosită pentru schimbul de etichete între nodurile MPLS
adiacente.
R2
LSR 1 LSR 2 1
R1
0 1 0
LSR 4
2
In In Address Out Out In In Address Out Out
I/F Lab Prefix I/F Lab
R3
I/F Lab Prefix I/F Lab
0 - 171.68/16 1 7 0 7 171.68/16 2 8
... ... Next-
... -Hop...
Next ... ... ... Next-
... -Hop...
Next ...
171.68.0.1/16
LSP-ul este o conexiune configurată între două LSR-uri în care tehnica de comutare de
etichete este folosită pentru a trimite pachetele. Un LSP este o cale specifică de trafic printr-o
reţea MPLS. LSP-urile sunt furnizate folosind LDP-ul, RSVP-TE (Resource Reservation
Protocol with Traffic Engineering), CR-LDP (Constraint-Based Routed LDP) sau extensii ale
protocoalelor de rutare cum ar fi BGP. RSVP-TE rulează peste protocolul UDP, şi CR-LDP
rulează peste protocolul TCP. Între cele două protocoale nu există mare diferenţă, totuşi
protocolul RSVP-TE este mai indicat pentru interoperabilitatea cu reţelele IP. LSP-ul poate fi
considerat ca o cale printre mai multe LSR-uri în care pachetele aparţin unui anumit FEC.
Este posibil ca într-o reţea MPLS să avem diferite LSP-uri la diferite nivele ale etichetelor
pentru un pachet care îşi atinge destinaţia. LSP-urile sunt unidirecţionale. Aceasta înseamna
că un pachet se poate întoarce pe căi diferite. În figura următoare, LSR1 şi LSR6 sunt LSR-uri
de nod, şi LSR2, LSR3, LSR4 şi LSR5 sunt LSR-uri de backbone. Pentru a putea trimite
etichetele, LSR1 şi LSR6 lucrează la nivel de „border gateway" şi LSR2, LSR3, LSR4 şi LSR5
lucrează la nivel de „interior gateway". Acest desen figurează două LSP-uri: un LSP de nivel 1
capăt la capăt de la LSR1 la LSR6, şi un LSP de nivel 2 între LSR4 şi LSR5. Pentru a putea
27
construi un LSP, LSR-ul foloseşte protocoale de rutare şi rutele învăţate de la aceste
protocoale.
28
Distributia de etichete
2.3.5.3.Protocoale de distributie a etichetelor
-Downstream Unsolicited.
RSVP-TE reprezinta o propunere de a adauga functionalitate unui protocol deja consacrat, care
sa-i permita sa distribuie si etichete. Ideea a apartinut companiei Cisco si astfel protocolul RSVP-
TE a adoptat conceptele de QoS din IP în detrimentul conceptelor QoS din ATM.
Aceasta alegere a avut ca scop principal interconectarea mai usoara între provideri. Desi initial
RSVP nu a fost folosit în retelele core deoarece nu era scalabil, folosirea sa împreuna cu MPLS îi
creste considerabil scalabilitatea. În acest scenariu clasele de echivalenta MPLS nu mai sunt la fel
de rigide ca fluxurile RSVP, iar garantiile oferite nu mai sunt capat la capat. RSVP-TE este folosit
pentru a stabili cai cu garantii numai în interiorul domeniului MPLS.
În mod curent exista o concurenta între RSVP-TE si CR-LDP, dar se pare ca
RSVP-TE este mai larg raspândit, deoarece a fost implementat timpuriu în echipamentele
31
Cisco. [RFC3210]
Distributia de etichete MPLS prin BGP implica o extensie a protocolului BGP. Dorinta a
fost sa se poata interconecta domenii autonome MPLS, fara a fi nevoie sa se ajunga la IP. În plus,
BGP este larg raspândit în domeniile ce ofera VPN-uri, având un rol important în realizarea VPN-
urilor MPLS. Totusi, între nodurile vorbitoare de BGP trebuie sa se stabileasca cai MPLS folosind alt
protocol de distributie de etichete.
Introducere
Din punct de vedere al suportului pentru calitatea serviciilor (QoS), telul MPLS a fost sa ofere
ceea ce ofera IP-ul, adica Servicii Diferentiate (Diffserv). Când au aparut primele drafturi despre
MPLS, au fost rezervati 3 biti pentru a transporta informatii despre clasele de servicii. În final
IETF a botezat acesti biti ca fiind Experimentali, desi majoritatea constructorilor îi folosesc ca
pe bitii Precedenta din IP. Bitii EXP sunt analogi (si cel mai adesea o copie) a bitilor
Precedenta din IP.Arhitectura MPLS si-a dorit sa se integreze bine cu protocolul IP si sa fie cât
mai independenta de protocolul de nivel 2. Astfel s-a ales sa se ofere suport pentru Diffserv, în
detrimentul suportului QoS oferit de ATM. Aceasta decizie a dus la o simplificare
majora a implementarii MPLS, obtinând performante care sunt competitive desi sunt inferioare celor
oferite de ATM.
Calitatea serviciilor înseamna diverse lucruri pentru diverse persoane. La nivelu retea, QoS e
compus din doua lucruri:
-sa se gaseasca o cale prin retea care sa îndeplineasca cerintele impuse
-sa se respecte restrictiile impuse
Gasirea celei mai bune cai prin retea poate fi o actiune de genul alegerii caii cu cost minim
furnizate de IGP. Respectarea restrictiilor impuse se poate rezolva prin dimensionarea retelei cu
32
atât de multa banda încât sa se elimine problema. Aceasta abordare mai este numita si
“cantitatea serviciilor”, dar la baza este o solutie temporara pentru a asigura calitatea
serviciilor.
Totusi, lucrurile pot fi rezolvate si altfel. O cale disponibila prin retea poate fi construita
printr-un LSP TE, similar cu un ATM PVC, fara a tine cont de metrica protocolului
de rutare. Respectarea restrictiilor impuse se poate face folosind mecanismele Diffserv,
cum ar fi policing, marcare, repartizare în cozi si aruncare. MPLS este doar o unealta
care poate fi folosita împreuna cu mecanismele Diffserv pentru a oferi calitatea serviciilor.
Tehnologia IP ofera doua arhitecturi QoS:
-Servicii Integrate (IntServ)
IntServ îsi propunea sa faca rezervari capat la capat pe fiecare flux, motiv pentru
care nu este scalabil în Internet. Totusi, poate fi folosit cu succes în retele micisi medii, în cazul
în care este suportat de echipamentele de retea. Semnalizarile IntServ folosesc protocolul
RSVP pentru a comunica tuturor nodurilor din cale cerintele de trafic dorite de host-uri. Nodurile din
retea creau stari si alocau resursele hosturilor care solicitau anumite garantii. În cazul în care
negocierea avea succes, garantiile oferite de IntServ sunt deterministe.
Din celalalt punct de vedere, DiffServ a fost vazut ca o tehnologie scalabila,
care nu împovareaza nodurile din centrul retelei, obligându-le sa faca multe prelucrari.
El foloseste clasificarea pachetelor pe marginea domeniului si un sistem de cozi cu prioritati în
centrul retelei. [RTC]
2.3.6.1.Servicii Diferentiate
Arhitectura DiffServ
Arhitectura DiffServ este definita în RFC 2475 împreuna cu modul de folosire al Diffserv Code
Point (DSCP) si mecanismele QoS ce trebuiesc implementate într-o retea pentru a oferi diferite
calitati ale serviciului.
Diffserv are doua componente majore:
-Conditionarea traficului – Include elemente precum policing, colorare si shaping. Aceasta
prelucrare e facuta doar la marginea domeniului
-Comportamentul în fiecare nod (Per-hop behaviour) – Consista din mecanismele de
repartizare în cozi, planificare si aruncare. Asa cum îi spune si numele, actiunile sunt facute de fiecare
nod din retea.
Functiile suplimentare necesare pentru a implementa Diffserv includ clasificarea pachetelor si
conditionarea traficului, cum ar fi masurarea, marcarea, formarea si aplicarea politicilor
asupra traficului.
Serviciul Diffserv este oferit doar în interiorul unui domeniu Diffserv, care consta dintr-un set
continuu de noduri caracterizate de anumite tipuri de comportament (PHB) si pot aplica anumite
reguli asupra traficului. Astfel, nodul de intrare din domeniul Diffserv verifica daca traficul
de intrare respecta specificatiile tehnice mentionate în contract (SLA), altfel va marca traficul
ca fiind neconform. Tot nodul de intrare va asocia traficul într-un Agregat de Comportament
(BA-Behaviour Aggregate) pe baza unuia sau mai multor câmpuri din antetul de nivel 3.
33
Dupa aceasta actiune fiecare pachet este marcat cu un anumit cod DSCP. Nodurile de intrare vor
face formatarea si conditionarea traficului pe baza clasificatorului.
Nodurile din interiorul domeniului nu mai trebuie sa faca reclasificari, ci doar sa
aplice un set de reguli traficului de intrare (Per Hop Behaviour). Acest PHB specifica câte resurse
vor fi alocate pentru un BA. Traficul de tip Best-Effort este si el clasificat, si de regula are o banda
minima specificata. [RTC] [OPALSOFT-DS]
34
Clasificarea pachetelor
Primul lucru necesar pentru a aplica arhitectura DiffServ este abilitatea de a clasifica
pachetele. Clasificarea este actiunea de a examina un pachet pentru a hotarî ce fel de reguli trebuie
sa urmeze, si ulterior, ce marcaj DSCP sau EXP trebuie sa primeasca. În mod uzual
clasificarea se poate face dupa codul DSCP existent (în acest caz se foloseste
clasificatorul Behaviour Aggregate) sau dupa mai multe câmpuri, folosindu-se un clasificator
multicâmp.
Clasificarea pachetelor IP
Pachetele IP pot fi clasificate usor. Se pot face comparatii dupa orice câmp IP,
dar în general se foloseste adresa IP destinatie, adresa IP sursa sau valoarea DSCP. În plus se mai
poate face si analiza de nivel 4, dupa tipul de protocol sau dupa portul folosit, pentru a se face o
separare mai fina. Totusi o clasificare complexa implica un timp mai mare petrecut în nodul de
intrare si astfel, o reducere a performantelor de calitate. [MPLS-TE] [OPALSOFT-DS]
Pachetele MPLS care intra într-un domeniu cu suport pentru Diffserv pot fi clasificate
în principiu doar dupa valoarea bitilor EXP din eticheta din vârful stivei. Nodurile de
intrare nu vor analiza celelalte etichete si nici informatiile de nivel 3 deoarece ar fi
nevoie sa se elimine antetul de nivel 2 în prealabil. Acest lucru nu este dorit la granita care leaga
domenii MPLS.
Policing
Marcarea
Marcarea pachetelor IP
Au fost definite 12 valori AF, în formatul Af xy , unde x e numarul clasei, iar y este
prioritatea de aruncare. Aceste patru clase (AF1x-AF4y) furnizeaza o metoda de a oferi o pierdere
de pachete mica într-o anumita banda de trafic, dar face garantii minimale asupra întârzierii.
EF a fost definit pentru a servi trafic care cere o întârziere minima, un jitter minim si o
pierdere minima de pachete. Nu este nevoie de mai multe clase de tip EF deoarece acestea ar
concura pentru aceleasi resurse. [RTC] [MPLS-TE]
Repartizarea în cozi
Aruncarea pachetelor
Tehnologia MPLS a fost definitivata în 2001, când specificatiile sale au fost ridicate
la rangul de standard. Totusi, de atunci implementarile MPLS nu au crescut în ritmul asteptat.
Acest lucru s-a datorat mai multor factori, cum ar fi recesiunea economica din 2001, care
a dus la scaderea volumului de afaceri purtate prin Internet. În ultimii ani, retelele MPLS au început
sa se dezvolte, în principal prin beneficiile pe care le aduc furnizorilor de servicii.
În continuare sunt argumentate câteva idei ce sustin folosirea MPLS în retelele core , dar si
câteva idei care neaga importanta acestuia:
Avantaje
-Ruterele care nu au circuite specializate pentru procesul de rutare, sau alte metode pentru
cautari rapide vor beneficia de o crestere de viteza în cazulfolosirii unei implementari
software MPLS
- Este flexibil deoarece se poate baza pe informatiile de rutare furnizate de protocoalele
de rutare traditionale folosite si de IP
- Este usor de integrat treptat în retele mari bazate pe IP, deoarece ruterele MPLS pot
comunica cu ruterele traditionale IP
-Permite realizarea de retele virtuale private (VPN) cu un overhead mai mic decât în
cazul IP-ului
-Permite realizarea mai usor a unor functii de Traffic Engineering.
-MPLS se poate integra usor în spectrul de servicii IP QoS
Dezavantaje/Critici
-MPLS are o dinamicitate mai mica fata de IP, deoarece lucreaza cu conexiune, si stabileste cai
înainte de a transmite datele. Daca o cale se întrerupe, protocolul de distributie de
etichete va sesiza acest lucru dupa protocolul de rutare si va construi noua cale înainte de a
trimite trafic pe ea.
-Comutatia MPLS nu este mai rapida decât rutarea IP. Ruterele noi folosesc memorii
cache în care stocheaza rutele cele mai des folosite. Astfel cautarea în tabelul de rutare se reduce
considerabil. Într-un domeniu MPLS, ruterul de intrare si cel de iesire trebuie sa aiba si
functionare IP. Prin faptul ca au de facut si prelucrari specifice MPLS, timpul lor de prelucrare
e mai mare decât un pentru un ruter IP. --Celelalte rutere au, într-adevar un timp de
prelucrare mai mic, dar aceasta performanta se vede doar pentru cai cu mai mult de 5 noduri; daca
39
sunt mai putine noduri, performanta ruterelor IP e mai buna. În plus, ruterele MPLS pot
consuma mai multa memorie decât ruterele IP (deoarece trebuie sa tina si un tabel de rutare si
tabel de dirijare).
-MPLS nu are suport nativ pentru QoS – acest lucru a fost adaugat ulterior prin folosirea bitilor
EXP. În anumite situatii clasele de servicii diferentiabile prin 3 biti pot sa fie insuficiente pentru
anumite retele. De asemenea, pot aparea probleme la implementari diferite; unii constructori
pot sa nu tina cont de bitii EXP. [MPLS-Myths] [RIBL] [L3vsL2]
Introducere
Totusi, VPN-urile peste retele de pachete aveau câteva neajunsuri fata de cele peste retele cu
comutatie de circuite. În special, în functie de tehnologia folosita de reteaua publica, aceasta nu
oferea întotdeauna garantii de banda sau de securitate. [VPN-Security] [Wiki-VPN]
Operatorii de retele publice de transport pot oferi servicii VPN folosind diferite tehnologii.
Diferentele dintre tehnologii, precum si modul lor de folosire catalogheaza VPN-urile oferite în
diferite clase:
VPN-uri peste Frame Relay – au fost printre primele tipuri de VPN-uri realizate peste retele
publice de date si constau din interconectarea la nivel 2 a site-urilor utilizatorului prin
circuite virtuale. În esenta se creea un mesh de circuite virtuale peste aceeasi retea publica de date
între site-urile abonatului. Tehnologia avea avantajul de a nu fi foarte scumpa, dar nu putea oferi
garantii de banda, asa cum ofereau liniile închiriate.
VPN-uri peste ATM – ATM permite construirea de VPN-uri ce ofera o
interconectare de nivel 2 folosind circuite virtuale permanente (PVC), construind un mesh între
site-urile clientului. Diferenta fata de Frame-Relay este ca ATM poate fi configurat sa ofere
calitatea serviciilor, astfel serviciul oferit clientului fiind foarte similar cu cel oferit de o linie
închiriata. Dezavantajul tehnologiei ATM îl constituie costul ridicat de dezvoltare si operare, dar
ofera si cele mai bune servicii VPN.
VPN-uri peste IP – Mai multi operatori au încercat sa ofere VPN-uri desi nu aveau
tehnologii ATM sau Frame Relay. Ei au creeat tunele peste IP prin care trimiteau
traficul clientului catre destinatie. Acest lucru le-a permis sa foloseasca retelele existente
pentru acest serviciu, aducând ca beneficiu faptul ca site-urile clientului pot fi conectate
la orice retea IP. Totusi, aceste VPN-uri nu ofera (nativ) garantii de securitate si nici garantii
41
de banda. Pentru a remedia aceste dezavantaje, s-a propus folosirea criptarii la nivel retea
(IPSec) asigurând astfel securitate, iar domeniile care ofera VPN-uri au mecanisme de QoS
cum ar fi Diffserv. Totusi, desi costul acestor VPN-uri este mai scazut, apar probleme de eficienta,
prin folosirea de overhead-uri mari în transmisie.
VPN-uri peste MPLS – încearca sa ofere avantajele VPN-urilor peste ATM renuntând
la complexitatea si costul ATM-ului. Aceste VPN-uri creeaza cai virtuale între site-urile
clientului putând oferi si suport pentru QoS. Avantajul cel mai mare îl au operatorii de retele IP
deoarece trecerea la MPLS se poate face gradat si se poate calitatea serviciilor VPN oferite.
[VPN-Security] [VPNC].
3.3.Cerintele VPN-urilor
Toate VPN-urile au o cerinta majora: aceea ca administratorul sa stie care sunt retelele tranzitate
de acel VPN. Oricare ar fi tipul de VPN folosit, orice VPN are anumite caracteristici
pe care nu le întâlnim la o retea normala. Astfel administratorul trebuie sa stie care informatii vor
circula prin VPN si care nu. În plus, tipurile diferite de VPN au si cerinte diferite. Astfel, VPN-urile
securizate au urmatoarele cerinte:
42
Tot traficul care va strabate VPN-ul securizat va fi criptat si autentificat.
Astfel chiar daca un atacator reuseste sa obtina traficul din VPN, el nu îl va putea descifra.
Proprietatiile de securitate trebuie sa fie aceleasi pentru toti participantii la comunicatie prin
VPN. Tunelurile securizate au câte doua capete, iar acesteau sunt de regula administrate
separat. Administratorii acestor capete trebuie sa formuleze în comun o politica de acces si
anumite proprietati de securitate asupra tunelului.
Nimeni din afara VPN-ului nu poate afecta politicile de securitate. Acest lucru e necesar pentru ca
un atacator sa nu reuseasca sa slabeasca cheile de criptare folosite sau sa ocoleasca complet acest
proces.
43
Cap 4. VPN-uri peste MPLS
Terminologia folosita
44
Obiective
Introducere
Reţelele MPLS au devenit foarte interesante pentru furnizorii de servicii de transport în ultimii
ani. Ele au o importanţă foarte mare în cazul în care se doreşte o reţea care să suporte şi metode
de inginerie a traficului. Una dintre ultimele aplicaţii ale tehnologiei MPLS este furnizarea de servicii
VPN. Implementarea VPN-urilor într-o reţea MPLS se face prin una din metodele: soluţie de
implementare Layer 2, soluţie de implementare Layer 3 sau prin una din metodele de tunelare
obişnuite folosite în implementarea VPN-urilor. Când un furnizor de servicii se hotărăşte să
implementeze VPN-uri peste o reţea IP/MPLS el are două soluţii:
- O abordare a problemei Layer 3
- O abordare a problemei Layer 2
Evaluarea oportunităţii uneia sau alteia dintre soluţii ar trebui să ţină cont de următoarele
aspecte:
Tipul de trafic suportat
Tipul de conectivitate VPN care ar trebui oferit clientului
Scalabilitate
Complexitatea serviciului oferit
Complexitatea managementului şi al rezolvării problemelor apărute
Costurile de management şi intretinere
.
Abordarea Layer 2 este o abordare nouă în implementarea VPN-urilor MPLS, şi ea oferă
o soluţie de comutare Layer 2. Această soluţie furnizează separare completă între reţeaua
furnizorului de serviciu şi reţeaua clientului, deoarece nu există schimb de rute între
echipamentele PE şi CE. Această separare între reţele furnizează simplitate. VPN-urile
Layer 2 MPLS furnizează posibilitatea de emulare de servicii în transportul cadrelor Layer 2
de la un site la altul. Acest lucru e făcut într-o maniera total transparentă echipamentului
CE. Furnizarea acestui tip de VPN oferă furnizorului de servicii posibilitatea de a transporta
servicii care sunt independente de protocoalele Layer 3, furnizorul putând astfel să transporte
IPv4, IPv6, IPX, DECNet, OSI, etc. Abordarea Layer 2 implică două probleme de conectivitate:
45
Furnizarea de conexiuni punct la punct
Furnizarea de conexiuni punct la multipunct
Pentru a putea transporta cadre tip Layer 2 de-alungul unei reţele MPLS s-a
introdus conceptul de circuite virtuale (VC). Un LSP funcţionează ca un tunel care transportă
mai multe VC-uri, în timp ce VC-urile transportă cadre Layer 2. Un VC, de fapt, este doar un
alt LSP în interiorul tunelului LSP. Tunelul LSP furnizează un tunel între două routere PE, în
timp ce VC-urile transportă cadre ale unui singur client. VC-urile sunt unidirecţionale exact
ca şi LSP-urile. De aceea, pentru o comunicare bidirecţională este nevoie de o pereche de
VC-uri, câte una pentru fiecare direcţie. Pentru a putea crea această ierarhie, un cadru
încapsulat al unui client care traversează reţeaua MPLS are două etichete ataşate:
eticheta care aparţine tunelului LSP, pentru a ajunge la PE-ul destinat.
Aceasta este numită eticheta de tunel.
eticheta ce aparţine VC-ului care transportă cadre şi conduc către un anumit
site ataşat la PE-ul destinaţiei. Aceasta este numită eticheta VC.
Pentru adresa
destinatie
Pentru LSP
Tunelul LSP dintre router-ele PE poate fi creat folosind unul din protocoalele RSVP/TE sau
LDP. Router-ele PE schimba etichete VC prin ptotocolul LDP î n modul „fără cerere". La nodul
reţelei, router-ul PE încapsulează cadrul Layer 2, ataşează o eticheta VC şi o etichetă de tunel
şi apoi trimite cadrul către tunelul LSP. La celălalt capăt al tunelului router-ul PE extrage
eticheta de tunel, determină pe care port trebuie să trimită pachetul examinând eticheta VC,
extrage cadrul original Layer 2 şi trimite cadrul către portul determinat.
46
Frame L2
Eticheta de
Circuit Virtual
Eticheta de
Tunel
Circuit Virtual
PE-1 PE-2
MPLS
Backbone
CE-1
VC
LSP
Folosind acest concept, un furnizor de servicii poate oferi un serviciu care simulează
liniile închiriate, sau PVC-urile din Frame Relay, folosind infrastructură ieftină cum ar fi: IP,
Ethernet, etc. [14]
VPN-urile oferite de furnizorii de servicii pot transporta doua tipuri de trafic: trafic de nivel 2
sau trafic de nivel 3. VPN-urile care transporta trafic de nivel 2 sunt mai apropiate ca si
caracteristici de liniile închiriate, deoarece echipamentele clientului se vad ca si cum ar fi direct
conectate. Acest avantaj permite clientului sa ruleze orice protocol de nivel 3 în reteaua sa. De
asemenea, într-o astfel de configuratie clientul
este responsabil pentru configurarea si mentinerea informatiilor proprii de rutare.
Pentru a construi si opera VPN-uri de nivel 2 operatorii de retele publice
folosesc o retea de nivel 2 bazata pe Frame-Relay sau ATM în paralel cu o retea core bazata pe IP,
prin care furnizeaza celelalte servicii. Acest mod de lucru este ineficient si costisitor astfel încât
trecerea la MPLS poate reduce costurile operarii VPN-urilor de nivel 2.
Ideea este ca operatorul sa foloseasca aceeasi retea core pentru toate
serviciile, inclusiv pentru VPN-uri de nivel 2. Reteaua core ar fi bazata în acest caz pe
IP si MPLS.
Pentru a putea implementa VPN-uri de nivel 2, operatorul are nevoie de o metoda
de încapsulare pentru cadrele VPN-ului. Metodele de încapsulare utlizabile cu MPLS sunt AToM si
L2TPv3. De asemenea, exista doua draft-uri IETF care specifica modul de încapsulare si
semnalizarea necesara pentru a construi VPN-uri de nivel 2.
Acestea se mai numesc Martini drafts si Kompella. Drafturile Martini propun folosirea
47
LDP pentru construirea VPN-urilor si ofera solutii mai scalabile decât varianta
Kompella. În continuare ne vom axa pe ideile specificate în drafturile Martini.
4.1.1. AToM
AToM este abrevierea de la Any Transport over MPLS si reprezinta o metoda de încapsulare
a diferitelor tipuri de trafic pentru a fi transportate peste retele MPLS. AToM ofera conectivitate
punct la punct pentru mai multe tehnologii de nivel 2, cum ar fi Ethernet, Frame Relay si ATM.
Scopul AToM este sa permita dezvoltarea serviciilor noi peste MPLS cu costuri si complexitate
reduse, încercând pe cât posibil sa nu transmita ca payload tot cadrul de nivel 2 decât
acolo unde este nevoie; astfel se folosesc mecanisme de reconstructie a cadrelor de nivel 2 la
iesirea din reteaua MPLS pe baza unor informatii transmise sau semnalizate anterior.
AToM se foloseste de protocolul de distributie de etichete LDP pentru a stabili o sesiune între
nodurile de granita ale furnizorului (PE) prin care stabileste si întretine conexiunea. Dirijarea este
facuta prin comutatia etichetei de catre nodurile din cale.
Pachetele MPLS folosite de AToM au o stiva cu doua etichete (în general) pentru a mari
scalabilitatea si pentru a simplifica prelucrarile. Eticheta din vârful stivei se mai numeste si
eticheta tunel si este folosita de reteaua core în comutatie. A doua eticheta are alt rol: acela de a
determina interfata de iesire si circuitul pe nodul de iesire. Aceasta eticheta se mai
numeste si eticheta de circuit virtual. Toate etichetele de circuit virtual sunt schimbate peste
aceeasi sesiune LDP între doua rutere de granita ale furnizorului.
În plus fata de aceste doua etichete, un pachet încapsulat conform AToM mai
poate contine un cuvânt de control de 32 de biti, care este optional. Structura acestui
cuvânt este reprezentata în figura urmatoare.
48
Fig 4.1.1.. Încapsularea AToM si structura cuvântului de control
Liniile închiriate traditionale aveau marele avantaj de a oferi garantii de banda clientului.
Reteaua MPLS în sine poate oferi garantii de banda deterministe daca se folosesc protocoalele de
semnalizare adecvate. Totusi, furnizorul trebuie sa poata oferi o anumita calitate de servicii pentru
VPN-ul clientului sau.
Acest lucru poate fi facut în doua moduri:
-furnizorul aloca o banda fixa pentru tot traficul clientului, indiferent de tipul traficului
furnizorul tine cont de prioritatea traficului clientului si îi furnizeaza servicii diferentiate.
49
Prima solutie se poate aplica usor adaugând limite de banda pentru LSP-ul care se va construi
pentru a uni cele doua site-uri ale clientului. Totusi, furnizorul poate oferi un serviciu mai bun
clientului prin oferirea de servicii diferentiate. Astfel, se poate face un mapping de la anumite
marcaje de prioritate din cadrele de nivel 2 ale clientului la un set de marcaje de prioritate folosite în
reteaua MPLS (spre exemplu, se pot marca
bitii EXP).
AToM pune la dispozitie marcarea bitilor EXP în nodul de intrare pe baza bitilor de prioritate
din antetul VLAN 802.1p. IETF nu a reglementat un mod de a face acest mapping, lasând la
latitudinea operatorului modul în care bitii de prioritate vor fi interpretati. [Cisco-AToM]
[Martini-encap]
50
Fig 4.1.3. a) Interconectarea a 3 site-uri într-un Layer 2 VPN
b) Interconectarea a 3 site-uri în VPLS
Din aceste considerente s-a dorit sa se implementeze o forma speciala de VPN-uri de nivel 2
care sa transporte Ethernet si sa emuleze difuzia întâlnita pe Ethernet. Solutia a fost trecerea la
VPLS.
VPLS este acronimul de la Virtual Private LAN Services si reprezinta o tehnica de a furniza
un LAN virtual peste o retea publica de date pornind de la o interconectare de tip mesh, dar
propunându-si sa foloseasca si facilitatiile oferite de MPLS multicast pentru a interconecta site-urile
comunicante.
VPLS nu este o tehnologie care depinde direct de MPLS, dar exista
implementari VPLS folosind MPLS.
VPLS propune adaugarea nodurilor de intrare în reteaua MPLS si rol de bridge Ethernet,
construind astfel o tabela de adrese MAC corespunzatoare destinatiilor, pentru a dirija
traficul direct catre destinatie, fara a mai folosi inundari. Totusi traficul de broadcast (cum ar fi
cererile ARP) trebuie sa ajunga în toate site-urile si astfel pachetele trebuiesc duplicate
si trimise pe mai multe tunele. Fara a folosi tehnici speciale, se pot genera usor furtuni
de broadcast peste reteaua core, iar folosirea Spanning Tree peste MPLS nu este
recomandata astfel încât este nevoie sa se
foloseasca alte mecanisme (cum ar fi monitorizarea adreselor MAC) pentru a evita buclele.
Tehnica principala pentru evitarea buclelor într-o astfel de implementare implica folosirea unui
mecanism de tip split-horizon. Un nod PE care primeste trafic printr-un circuit virtual transportat
peste MPLS nu va face difuzare decât în interiorul site-urilor ce tin de acelasi VPN si sunt direct
conectate la acest nod. Difuzarea nu se va face pe linkurile care leaga PE de alt PE din acelasi VPN,
pentru ca topologia presupune un
mesh complet.
VPLS este înca o tehnica în dezvoltare, dar în final îsi propune sa foloseasca si suportul pentru
multicast oferit de MPLS pentru a reduce traficul prin reteaua publica.
Totusi, implementarea multicast implica cresterea complexitatii în nodurile retelei
MPLS, deoarece noduri care faceau doar comutatia de etichete, trebuie acum sa faca si operatii de
multicast.
51
Varianta initiala propune folosirea multicast doar la intrarea în reteaua MPLS, pentru a nu
îngreuna operatiile din interiorul retelei. Pe parcurs se doreste totusi optimizarea
procesului de multicast prin monitorizarea mesajelor PIM din pachetele utilizatorului si
construirea de arbori de multicast mai eficienti.
Aceasta functionalitate va introduce o complexitate marita în reteaua MPLS, de aceea VPLS
nu este înca agreeat de toti operatorii. [VPLS] [Wiki-VPLS]
4.2.1.Mod de functionare
Din punct de vedere al prelucrarilor facute pe pachetele de date ale clientului, acestea când
ajung la echipamentul de granita al furnizorului consulta o tabela de rutare si apoi sunt dirijate
catre destinatie folosind un LSP. Pentru ca furnizorul sa aiba informatii despre o destinatie din
reteaua clientului, echipamentele de granita (PE) schimba informatii de rutare cu
echipamentele de granita ale clientului (CE). Astfel, modelul de lucru al VPN-urilor ce folosesc
BGP/MPLS urmeaza modelul de lucru peer-to-peer al VPN-urilor traditionale. Informatiile de
rutare obtinute de la client sunt transportate catre ruterele de granita folosind BGP. Totusi,
aceste informatii nu ajung si la nodurile din reteaua core (ruterele P) asa cum se întâmpla în
cazul VPN-urilor peste IP. Nodurile P nu au nevoie de aceste informatii de rutare deoarece folosesc
cai LSP si nu fac decât comutatia de etichete, fara a face analize de nivel 3.
Un nod PE care primeste rute propagate prin BGP de la alt nod PE conectat la un VPN va
propaga aceste rute numai catre ruterul CE conectat la acelasi VPN pentru ca acesta sa învete de
existenta unei retele în celalta parte a VPN-ului.
Desi aceste mecanisme au fost folosite si de VPN-urile de nivel 3 peste IP,
implementarea lor peste MPLS încearca sa rezolve câteva limitari ale acestora.
Câteva din scopurile VPN-urilor de nivel 3 sunt:
- sa suporte orice adrese IP ale clientului, private sau unice, rezolvând problema suprapunerii
adreselor.
- sa suporte VPN-uri suprapuse, unde un site poate apartine mai multor VPN-uri.
Faptul ca aceste VPN-uri se bazeaza pe rutare reprezinta si un avantaj fata de VPN-urile de
nivel 2, dar si o problema. Pentru a rezolva problema adreselor IP duplicat în VPN-
urile transportate, e nevoie sa se foloseasca mai multe tabele de rutare si dirijare (numite si
tabele VRF – Virtual Routing and Forwarding) instalate pe ruterele PE pentru a diferentia rutele ce
apartin diferitelor VPN-uri conectate la acelasi ruter PE.
Câte un tabel VRF este creeat pentru fiecare site conectat la un PE, totusi daca sunt mai
multe site-uri conectate la acelasi PE, acestea pot partaja acelasi VRF (deoarece acelasi
VPN nu va avea adrese IP duplicat într-o functionare normala).
Un site care apartine mai multor VPN-uri nu poate partaja un VRF cu alte site-uri care nu
apartin exact acelorasi VPN-uri, pentru a nu aparea încurcaturi. Un astfel de site va trebui sa aiba
propriul sau tabel VRF, care va include rute de la toate VPN-urile la care este membru. [RFC2547bis]
52
[Wiki-VPN]
O alta implicare a spatiilor de adrese suprapuse este ca atunci când un ruter PE primeste
update-uri BGP de la vecini poate primi prefixuri de adresa ce se suprapun (partial sau complet)
peste adresele IP pe care nodul le are deja în tabelele de rutare.
Diferenta este ca acum adresele IP fac parte din VPN-uri diferite. Pentru a identifica ca rutele
semnalizate fac parte din VPN-uri diferite, si deci pentru a preveni ca BGP-ul sa ignore mesajele
ulterioare (considerând ca are deja informatiile de rutare cele mai bune), s-a introdus
folosirea unui câmp Route Distinguisher (RD) de 8 octeti care este trimis împreuna cu prefixele
semnalizate.
Acesta este folosit pentru a distinge rutele ce apartin diferitelor VPN-uri
negociate prin BGP. Rezultatul folosirii RD este un identificator de 12 octeti (8 octeti RD si 4
octeti adresa IP) pentru care s-a definit o familie de adrese speciale, numita familia VPN-IPv4.
Astfel, varianta de BGP multiprotocol folosita în VPN-uri de nivel 3 peste MPLS transporta astfel de
adrese.
Câmpul Route Distinguisher furnizeaza un mecanism de a diferentia rute, dar nu are nici un
rol în controlul distributiei rutelor. Un RD este asociat cu un VRF atfel încât prefixele semnalizate
din acel VPN vor avea câmpul RD asociat.
În mod tipic acelasi RD va fi asociat tuturor VRF-urilor ce apartin aceluiasi VPN, astfel încât
toate rutele sa aiba acelasi identificator. Astfel, se poate spune ca un VPN va avea acelasi RD.
Totusi, acest lucru nu înseamna ca VRF-urile site-urilor care apartin de mai multe VPN-uri au
mai multe RD-uri. Pentru astfel de site-uri se aloca tot un singur RD.
Un pas important în construirea VPN-urilor de nivel 3 îl reprezinta controlarea modului de
distributie a RD-ului pentru VPN-uri. Astfel, pentru a împiedica ruterele PE sa accepte rute ale VPN-
urilor la care nu sunt direct conectate (si astfel sa iroseasca resurse proprii pe aceste tabele),
53
extensiile BGP-ului sunt folosite pentru a controla distributia rutelor în reteaua furnizorului.
Atributul extins Route Target e inclus în rutele
semnalate pentru a indica VPN-ul (sau grupul de site-uri dintr-o topologie) caruia îi apartine
o ruta. O valoare unica a acestui parametru îi este furnizata fiecarui VPN al clientului.
Un nod PE tine cont de aceste valori Route Target si de asocierea lor cu VPN-urile pe care le
transporta. Când primeste o ruta de la un vecin, procesul BGP verifica daca câmpul Route Target
primit este egal în valoare cu câmpul Route Target al unuia dintre VPN-urile la care e conectat. În
cazul în care acest lucru e adevarat, ruta e acceptata; daca nu, ruta este ignorata.
Aceasta solutie creste dramatic scalabilitatea implementarii deoarece evita ca toate ruterele
PE sa tina informatiile de rutare ale tuturor VPN-urilor din retea, chiar daca nu le-ar fi folosit
(asa cum se întâmpla în VPN-urile peste IP). [RFC2547bis].
Comparaţia între cele două tipuri de VPN-uri se poate face în funcţie de mai multe criterii
de clasificare:
Funcţie de tipul de trafic transportat - studiind metodele de obţinere acelor două
tipuri de VPN-uri, se observa că VPN-urile Layer 3 pot transporta doar trafic IP în timp ce
VPN-urile Layer 2 pot transporta orice fel de tip de trafic Layer 3. De aici rezultă un avantaj
net la acest capitol al VPN-urilor Layer 2.
Tipurile de conexiuni care pot fi realizate - ambele tipuri de VPN-uri pot
implementa arhitecturi cum ar fi: punct la punct, pânza parţială, pânză totală, multiple VPN-
uri.
Scalabilitate - din punct de vedere al scalabilităţii, un factor de limitare pentru
ambele soluţii este numărul maxim de LSP-uri sau/şi VC-uri care pot fi suportate de un LSR.
Un alt factor limitator este mărimea maximă a fişierului de configurare care poate fi memorat
în router-ul PE. În soluţia Layer 3 fişierul de configurare conţine definiţii pentru VRF-uri, RD-
uri, şi politici de filtrare şi rutare. În cazul soluţiei Layer 2 fişierul de configurare conţine
definiţii pentru VPN-urile care aparţin PE-ului si porturile asociate cu VPN-urile client.
Folosirea funcţiei de autodescoperire împreună cu soluţia Layer 2 evită configurarea
explicită a VPN-urilor ce aparţin PE-ului, şi implicit micşorarea impactului introdus de
mărimea fişierelor de configurare.
Complexitate - soluţia tip Layer 3 necesită în nodurile PE LSR-uri performante
care să poată să menţină multiple tabele de rutare şi trimitere de pachete. Este de
asemenea necesar ca între routere să avem protocolul BGP. Soluţia Layer 2 necesită de
regulă routere mai simple şi nu necesită protocolul BGP.
Management şi întreţinere - din moment ce în VPN-urile tip Layer 3 avem nevoie şi de
protocolul BGP este clar că aceste VPN-uri necesită muncă şi resurse suplimentare pentru
management şi întreţinere. Costuri - VPN-urile Layer 2 sunt puţin mai ieftine deoarece nu
necesită în noduri routere LSR performante. [14]
Din cele relatate mai sus, este clar ca VPN-urile de nivel 3 pot transporta doar trafic de tip IP.
VPN-urile de nivel 2 permit transportarea oricarui protocol de nivel 3 al clientului, inclusiv IPv4,
IPv6, IPX, DECNet. În mod curent, multe firme folosesc infrastructuri care nu se bazeaza
pe IP, astfel încât VPN-urile de nivel 2 reprezinta o
solutie mai putin restrictiva.
De asemenea, multe firme au început sa foloseasca experimental IPv6 si se estimeaza ca în
55
termen lung vor migra la el. Pentru a putea sa ofere servicii de VPN de nivel 3 catre astfel de firme,
furnizorul ar trebui sa faca unele modificari standardului curent: cum ar fi sa defineasca o extensie
BGP pentru familia de adrese VPN-IPv6, ceea ce ar implica rularea unor upgrade-uri pe
echipamentele furnizorului.
O solutie VPN de nivel 2 poate oferi conectivitate în continuare clientilor, chiar
daca reteaua furnizorului nu foloseste IPv6 intern.
-mesh partial
-mesh complet
-VPN-uri suprapuse
VPN-urile de nivel 2 sunt mai potrivite pentru a implementa conectivitatea punct la punct, mesh
complet si VPN-uri suprapuse. Totusi VPN-urile de nivel 3 se descurca mai bine la implementarea
conectivitatii “spoke and hub” si a mesh-urilor partiale.
Pe masura ce MPLS devine o tehnologie preferata pentru a oferi servicii VPN, securitatea
arhitecturii MPLS e din ce în ce mai importanta pentru furnizorii de servicii si pentru clientii VPN.
Conceptele de securitate considera ca reteaua core este securizata, ca nu sunt erori în configuratii, ca
nu sunt atacuri interne si ca elementele de retea sunt protejate împotriva accesului nepermis.
Încalcarea oricarei din aceste presupuneri poate duce la compromiterea serviciului oferit, deoarece
reteaua core are control asupra datelor clientului si le poate modifica sau înregistra, deoarece
aceastea nu sunt criptate. De asemenea, un atacator din interiorul retelei core poate patrunde în
oricare VPN prin injectarea de pachete special construite.
Considerând reteaua core ca fiind de încredere, mai ramân 4 atribute ce trebuiesc
analizate pentru a determina gradul de securitate pe care îl ofera reteaua. Separarea spatiului de adrese
56
de procesul de rutare.
Din punct de vedere al securitatii, cerinta de baza într-o retea este sa se evite situatia în care
pachete care au ca destinatie host-ul x.y.z.t din VPN1 sa ajunga la un alt host din alt VPN sau sa
ajunga chiar în reteaua core. Între doua VPN-uri din reteaua MPLS care nu au nici un element comun
(si nici nu doresc sa comunice între ele) se presupune ca spatiile de adrese IP sunt
complet independente. Din punct de vedere al rutarii asta înseamna ca orice VPN poate folosi aceleasi
adrese ca alte VPN-uri sau chiar ca reteaua core. MPLS adauga un element numit Route
Distinguisher de 8 octeti pentru a identifica fiecare informatie de rutare IPv4, facând astfel
adresarea în VPN-uri unica si separând-o de adresarea retelei core. Singura exceptie este
adresa IP a nodului furnizorului (PE) la care se leaga un nod CE. Aceasta adresa trebuie
sa fie unica din punctul de vedere al nodului CE. Fiecare nod PE mentine câte o tabela
VRF pentru fiecare VPN conectat. Acest lucru asigura separarea informatiilor de rutare
între VPN-uri. Separarea între reteaua core si celelalte rutere PE se face folosind
identificatorii unici de VPN din multiprotocol BGP.
Aceste informatii furnizate de BGP nu se propaga si pe nodurile din reteaua core, ci doar
între nodurile PE. Astfel se face o separare si nu este posibil sa patrunzi în alt VPN sau în
reteaua core, decât daca a aparut o eroare de configuratie.
Topologia si structura interna a retelei core (formata din ruterele PE si P ale furnizorului de
servicii) trebuie nu fie disponibile în exteriorul acesteia. Un atac de tipul denial-of-service este
mai usor de facut daca atacatorul stie topologia si adresele retelei core. MPLS nu
furnizeaza multe informatii catre exterior, nici chiar catre clientul VPN-ului. Singurele informatii
care sunt facute publice sunt adresa IP a nodului PE catre care trebuie sa se lege un CE pentru a face
parte dintr-un VPN, ca parte a semnalizarilor BGP. Daca acest lucru nu se doreste, se poate folosi
rutare statica între PE si CE (desi nu mai este la fel de flexibila). De asemenea, si clientii
trebuie sa semnalizeze catre reteaua MPLS doar acele adrese care vor fi folosite pentru
VPN, nu si adresele nerelevante. Într-un serviciu VPN cu acces partajat la internet, reteaua core va
furniza informatii de rutare pentru a iesi în internet, dar acest lucru trebuie sa se faca printr-un element
de retea care sa furnizeze functii NAT pentru a ascunde informatii despre sistemul de adresare din
reteaua clientului.
Rezistenta la atacuri.
În practica cel mai des se întâlneste atacul de tip DoS. Prin acesta se urmareste blocarea
resurselor astfel încât clientii sa nu mai poata beneficia de ele. Singurul mod prin care
operatorul se poate asigura ca reteaua este protejata, este sa se asigure ca masinile nu pot fi
accesate din exterior, folosind filtre de pachete si tehnici de ascundere a adreselor. Pentru atacurile
care ofera acces neautorizat la anumite resurse, se pot lua urmatoarele masuri: În primul rând trebuie
sa se întareasca protocoalele vulnerabile si sa se încerce restrictionarea accesului la
echipament. Într-o configuratie normala, este imposibil sa se patrunda dintr-un VPN în
altul. Totusi se pot exploata vulnerabilitati ale protocoalelor de rutare si se pot executa atacuri
de tip DoS asupra ruterelor PE. Astfel, ruterele PE trebuie sa fie bine securizate, pornind de la
premisa ca clientul nu este de încredere. De asemenea, trebuie sa se foloseasca liste de
acces si autentificari cu MD5 în toate comunicatiile între echipamentele PE-CE.
57
Falsificarea etichetelor.
Un alt tip de atac implica inserarea de etichete MPLS false în traficul clientului pentru a
determina comutarea traficului pe alta cale si astfel, pentru a patrunde în reteaua core. Astfel, din
considerente de securitate se impune ca nodul PE sa nu accepte trafic etichetat de la CE.
Mai exista posibilitate falsificarii adresei IP a pachetului care este trimis catre PE, dar
din cauza separarii spatiului de adrese de informatia de rutare, pachetul falsificat nu va ajunge
în reteaua core, cel mult putând cauza sticaciuni doar în VPN-ul din care origineaza. [L3vsL2] [VPN-
Security]
Din punct de vedere al clientului, este imposibil sa controlezi toata reteaua. Daca reteaua
MPLS core nu este corect configurata, atunci VPN-urile transportate pot fi vulnerabile la anumite
forme de atacuri. IPSec ofera câteva beneficii din punct de vedere al securitatii daca este rulat
peste MPLS. Pentru a avea aceste beneficii, IPSec trebuie sa ruleze pe ruterele CE sau
dispozitivele clientului, si e recomandat sa fie folosit daca exista urmatoarele necesitati:
-se cere criptarea partiala sau totala a traficului care strabate reteaua MPLS
-se cere autentificarea capetelor
4.7. Scalabilitate
Când se considera scalabilitatea solutiilor de nivel 3 fata de cele ale VPN-urilor de nivel 2 se
pot lua în considerare mai multi factori.
Un factor limitator în ambele solutii este numarul maxim de LSP-uri si/sau de circuite
virtuale suportate de un LSR. Un alt factor comun este dimensiunea maxima a fisierelor de
configurare ce vor fi salvate, în special în ruterele PE. Acest lucru depinde de faptul ca fisierele de
configuratie contin toate informatiile necesare legate de VPN-urile clientilor. Pentru un VPN de
nivel 3, fisierul de configurare va contine definitiile pentru VRF-uri, RD-uri si politicile de
filtrare ale rutelor. Pentru solutia de nivel 2, fisierul de configurare contine identitatea nodului
PE vecin si porturile folosite de VPN-
ul clientului.
Folosirea auto-descoperirii împreuna cu o solutie de VPN de nivel 2 limiteaza
necesitatea configurarii explicite pe nodurile PE si astfel reduce mult dimensiunea fisierului
de configurare, eliminând problema scalabilitatii.
Pentru solutiile de nivel 3 numarul maxim de rute ce pot fi stocate într-un nod PE este
de asemenea o limitare. Acest lucru apare datorita faptului ca nodul PE stocheaza rutele
tuturor VPN-urilor la care e conectat. Pentru a reduce impactul acestui factor asupra
scalabilitatii, este indicat sa se foloseasca procedeul de “route summarization” unde este
posibil. Pentru solutiile de nivel 2, numarul maxim de înregistrari din tabela de dirijare de
nivel 2 de pe un ruter PE este de asemenea o constrângere. Nodul PE trebuie sa completeze acel
58
tabel pentru a putea functiona ca un switch de nivel 2. Impactul acestui factor asupra
scalabilitatii poate fi redus impunând ca echipametele CE sa fie rutere si/sau sa se aplice limite
asupra numarului de înregistrari MAC disponibile fiecarui VPN (pentru ca un VPN sa nu
monopolizeze resursele PE folosind o gama larga de adrese MAC).
Dimensionarea retelei
Management si întretinere
59
Costuri
60
Cap5. Studiu de caz
5.1. Introducere
61
5.2.Implementare de VPN de nivel 2
Terminalele CPE1 si CPE2, respectiv CPE3 si CPE4 fac parte din VPN-uri diferite. Ele trebuie
sa poata comunica între ele (CPE1 cu CPE2 si CPE3 cu CPE4), dar nu pot comunica daca sunt în
VPN-uri diferite (ex:CPE1 cu CPE 3).
1. CPE1 trimite un pachet de tipul Echo Request catre CPE3, în VPN Petrom. Asemanator, CPE3
trimite un pachet de tipul Echo Request catre CPE4 în VPN BCR.
2. Nodurile de intrare (PE1,PE2) clasifica pachetele conform interfetei de intrare si adauga o
eticheta care va identifica VPN-ul de destinatie (100 pentru VPN Petrom si 200 pentru VPN BCR) .
Apoi mai adauga o eticheta care va fi folosita în comutatie.
3. Nodul P comuta consultant eticheta de comutie(16)
4. PE1,PE2 elimina acum eticheta de comutatie si consulta a doua eticheta. Daca a doua
eticheta este 100 (VPN Petrom) PE1 va sti sa scoata pachetul pe interfata catre VPN Petrom.
Daca eticheta este 200, pachetul va fi scos pe interfata catre BCR. Nodul PE1 nu mai consulta tabelul
62
de rutare când face aceste prelucrari, deoarece payload-ul pachetelor MPLS nu mai este IP –
pachetele sunt de nivel 2.
5. Destinatiile raspund cu pachete Echo Reply
6. PE1 stie ca daca primeste pachete pe interfata dispre Petrom, ele trebuiesc capturate si încapsulate
în MPLS, primind eticheta VPN-ului 100 si o eticheta de comutatie adecvata. Analog pentru
VPN BCR. Etichetele de comutatie sunt diferite în acest caz deoarece pachetele au destinatii diferite.
7. Nodul P comuta eticheta din vârful stivei fara a analiza alte informatii.
8. Nodurile de iesire elimina eticheta de comutatie, si pe baza identificatorului VPN-ului
aleg interfata pe care vor scoate cadrul de nivel 2.
1) Configurarea adresarii:
Am configurat interfetele loopbak si pe cele de interconectare ale echipamentelor furnizorului de
servicii cu adresele IP corespunzatoare.Am atasat in continuare un output al comezii: show ip
interface brief de pe routerul din Core de unde putem trege concluzia ca interfetele sun configurate
cu IP-urile corecte si sunt ridicate:
63
2) Configurarea MPLS in domeniul furnizorului de servicii mai exact in reteua Core:
Pe toate routerele furnizorului vom forta interfata loopback0 sa fie folosita ca router-id pentru
adiancentele LDP(Label Distridution Protocol).Interfata loopback ar fi oricum aleasa in mod automat
dar este de preferat ca aceasta sa fie configurata fortat pentru o configuratie persistenta prin
comanda: mpls ldp router-id loopback0 force.
Am verificat faptul ca routerele pe care s-a activat MPLS au devenit adiacente unul cu celalalt via
LDP.Se poate observa ca routerul P are 2 adiacente de LDP: una cu routerul cu adresa de loopback
20.0.3.1 si una cu routerul cu adresa 20.0.2.1.
64
Si detalii despre ele:
In acest caz nu mai avem nevoie de adresare pentru VPN pe PE-uri: ele nu vor mai tine tabele de
routere ci vom configura in acelasi subnet locatiile aceluiasi VPN pentru comunicare.
65
4) CEF rezolva cautarea si ne da urmatorul hop pentru circuitul virtual. Pentru a vedea etichetele pe
care le trimite CEF catre PE2 via LDP :
5.2.4. Conclulzii
66
5.3. Implementare de VPN de nivel 3
Introducere
VPN-urile de nivel 3 ofera o conectivitate netransparenta pentru client, catre un alt domeniu al
clientului, transportând pachete de nivel 3. Interconectarea se face de regula încapsulând pachetele
utilizatorului în pachete IP (cu posibilitatea de a folosi IPSec pentru criptare) si rutând aceste
pachete prin reteaua core. La destinatie pachetele sunt decapsulate si rutate catre
destinatie. Diferenta fata de exemplul anterior consta în necesitatea de a consulta tabelele de
rutare în nodul de intrare si cel de iesire. Aceste noduri trebuie sa aiba informatii de rutare
despre reteaua clientului.
De asemenea, clientul trebuie sa aiba ca gateway ruterele de intrare ale operatorului.
Rulând VPN-uri de nivel 3 peste MPLS se reduce considerabil overheadul tunelarii
pachetelor IP peste IP (se folosesc 8 octeti pentru tunel în comparatie cu 50 de octeti pentru IP
peste IPSec). Totusi, solutia implicita nu asigura criptarea datelor între nodurile participante –
astfel nu se poate realiza decât un trusted VPN doar cu MPLS.
67
5.3.1. Modul de functionare al platformei de simulare :
Pentru a nu folosi mai multe echipamente în retelele clientului am simulat pe interfetele catre
clienti adrese IP din familia 192.168.
Se porneste un flux ping din CPE1 intra în nodul PE1 unde este clasificat pe baza adresei sale
destinatie. Conform destinatiei nodul PE1 stie ca trebuie sa încapsuleze pachetul în MPLS si
sa-l ataseze VPN-ului 1 sai 2. Pachetul pleaca mai departe etichetat cu doua etichete. Eticheta din
vârful stivei e folosita în comutatie, iar cealalta eticheta identifica VPN-ul destinatie.
Când pachetul MPLS ajunge în nodul PE2, eticheta de comutatie este înlaturata si este
consultata cea de-a doua eticheta. A doua eticheta este folosita pentru a selecta tabelul de
rutare ce va fi consultat ulterior. Dupa ce este înlaturata si aceasta eticheta, nodul PE2 face rutare IP
pentru a determina portul de iesire pentru pachet.
Pentru aceasta, se consulta doar tabelul de rutare indicat. Când CPE2 trimite un pachet, pasii
realizati sunt similari. PE2 stie ca pachetele care sosesc pe o interfata trebuie sa consulte tabelul
de rutare pentru VPN1 sau 2. Conform informatiilor din acest tabel, pachetul este încapsulat
în MPLS si dirijat catre destinatia CPE1 sau CPE3.
1. CPE1 trimite un pachet de tipul Echo Request catre CPE2, în VPN Petrom.
Asemanator, CPE3 trimite un pachet de tipul Echo Request catre CPE4 în VPN
BCR.
2. Nodurile de intrare (PE1 si PE2) clasifica pachetele conform interfetei de intrare si adresei
destinatie si adauga o eticheta care va identifica VPN-ul de destinatie (100 pentru VPN Petrom si
200 pentru VPN BCR). Apoi mai adauga o eticheta care va fi folosita în comutatie.
3. Nodul P comuta doar eticheta din vârful stivei, agregând cele doua fluxuri deoarece
merg catre aceeasi destinatie (PE2).
4. PE2 elimina eticheta de comutatie si consulta a doua eticheta. Daca a doua eticheta
este 100 (VPN Petrom) PE2 va analiza tabelul de rutare 1 pentru a afla urmatorul nod si
interfata de iesire. Daca eticheta este 200, PE2 va analiza tabelul 2.
5. Destinatiile raspund cu pachete Echo Reply.
6. PE2 stie ca daca primeste pachete pe o anumita interfata, va trebui sa consulte tabela de rutare
1sau 2 pentru a afla ce e de facut cu ele. Informatiile de rutare impun încapsularea în MPLS si
adaugarea etichetelor corespunzatoare. Etichetele de comutatie sunt diferite în acest caz
deoarece pachetele au destinatii diferite.
7. Nodul P comuta eticheta din vârful stivei fara a analiza alte informatii.
8. Nodurile de iesire elimina eticheta de comutatie, si pe baza identificatorului VPN-ului
aleg tabelul de rutare ce va fi consultat pentru a determina urmatorul nod din ruta si interfata de
iesire.
68
5.3.2. Pasii de configurare ai platformei
2) Configurarea adresarii:
Am configurat interfetele loopbak si pe cele de interconectare ale echipamentelor furnizorului de
servicii cu adresele IP corespunzatoare.Am atasat in continuare un output al comezii: show ip
interface brief de pe routerul din Core de unde putem trege concluzia ca interfetele sun configurate
cu IP-rle corecte si sunt ridicate:
Furnizorul foloseste ca protocol de rutare OSPF(Open Shortest Path First) in domeniul Core peste
care ulterior se va configura MPLS si un protocol de rutare pentru MPLS:
Dupa cum se vede mai sus observam ca primim prin OSPF 2 rute : cele 2 interfete loopback ale PE-
urilor
Acesta comanda arata vecinii OSPF ai routerului Core ,deci adiacentele care s-au format.
69
4)Configurarea MPLS in domeniul furnizorului de servicii mai exact in reteua Core:
Pe toate routerele furnizorului vom forta interfata loopback0 sa fie folosita ca router-id pentru
adiancentele LDP(Label Distridution Protocol).Interfata loopback ar fi oricum aleasa in mod automat
dar este de preferat ca aceasta sa fie configurata fortat pentru o configuratie persistenta prin
comanda: mpls ldp router-id loopback0 force.
Am verificat faptul ca routerele pe care s-a activat MPLS au devenit adiacente unul cu celalalt via
LDP.Se poate observa ca routerul P are 2 adiacente de LDP: una cu routerul cu adresa de loopback
20.0.3.1 si una cu routerul cu adresa 20.0.2.1.
Se configureaza in modul global 2 instante VRF: Client si Client2 folosind comanda: ip vrf nume pe
routerele de frontiera: PE1 si PE2. Fiecare instanta de VRF va avea nevoie de un RD si cel un RT.
# sh ip vrf
Am configurat valoarea RD si RT 200:1 (acelasi pentru import si pentru export ceea ce face ca VPN
urile noastre sa fie oricare la oricare).
Dupa ce am configurat VRF-ul am adaugat interfetele catre clienti la aceste VRF-uri cu comanda: ip
vrf forwarding nume .
70
5)Configurarea protocolului de rutare PE-CPE:
#sh ip route
Pentru a putea vedea tabela de rutare in VRF-ul nostru,vom introduce urmatoarea comanda:
#sh ip route vrf Client
Dat fiind faptul ca acum routerele PE ruteaza catre routerele CPE prin tabele VRF, putem configura
routerele PE pentru a schimba rute intre ele prin BGP. Mai intai configuram BGP intre PE1 si PE2
71
5.3.3.Verificari ale functionalitatii platformei simulate:
2)In continuare voi verifica si tabelele de rutare ale CPE-urilor(am luat exemplul CPE2-)
#sh ip route
72
3) Pentru a verifica rutele BGP VPNv4 pe PE2 va trebui sa introducem comanda show bgp
vpnv4 unicast all:
MPLS are 2 tabele ,LIB(Label Information Base) si LFIB(Label Foewarding Information Base).
Etichetele alocate prin LDP sunt anuntate catre vecinii LDP. Etichetele alocate prin BGP sunt
anuntate catre vecinii BGP ca o eticheta pentru pachetele destinate retelelor prin VPN. Aceste
etichete sunt semnificative doar pentru routerele de intrare si iesire. Routerele P care nu sunt vecini
de BGP cu routerele PE nu vor vedea eticheta VPN pentru retelele cunoscute prin BGP.
Toate pachetele vor trebui sa fie comutate prin etichete la fiecare hop, pentru a traversa o retea
MPLS. Pentru a se asigura ca pachetele VPN care ajung la PE-ul de iesire au eticheta necesara
comutarii corecte.
4)CEF rezolva cautarea si ne da urmatorul hop pentru BGP. Pentru a vedea etichetele”inuse” pe
care le trimite CEF catre PE2 via LDP :
73
Si in final pentru a verifica functionalitatea VPN-urilor implementat de mine:
6)Verificarea conectivitatii a doua locatii aflate in judete diferite ale aceluiasi client( ping din Pitesti
in Ploiesti):
5.3.4. Concluzii
-VPN-urile de nivel 3 peste MPLS au un overhead mai mic, dar nu ofera criptare.
-VPN-urile de nivel 3 nu pot transporta decât IP.
-VPN-urile de nivel 3 sunt mai scalabile, dar introduc o complexitate mai mare în noduri.
74
Bibliografie
75
22. [RFC3031] E. Rosen, A. Viswanathan, R. Callon - Multiprotocol Label Switching Architecture
,2001 http://rfc.net/rfc3031.html
24. [RFC3213] J. Ash, M. Girish, E. Gray - Applicability Statement for CR-LDP, 2002
http://www.rfc-archive.org/getrfc.php?rfc=3213
32. [Martini-encap] Luca Martini, Daniel Tappan, Steve Vogelsang - Encapsulation Methods for
Transport of Layer 2 Frames Over MPLS, http://www.ieee802.org/1/files/public/docs2001/draft-
martini-l2circuit-encap-mpls-01.txt
33. [Martini-trans] Luca Martini, Daniel Tappan, Steve Vogelsang - Transport of Layer 2 Frames
Over MPLS, 2001 http://www.ieee802.org/1/files/public/docs2001/draft-martinil2circuit-trans-mpls-
01.txt
GNS3 este un simulator graphic de retea pe care se pot emula retele de mare complexitate.
Acest program poate rula pe orice csistem de operare :Windows sau Linux. De asemenea in emulare
foloseste aceleasui tipuri de IOS(sisteme de operare interetele) care se pun pe echipamentele din
retea. Se ruleza un IOS pe niste routere virtuale. GNS3 este o interfata grafica a programului
Dynagen.. Dynamips este programul principal pe care se incarca IOS-ul pentru emulare. Dynagen
ruleaza peste Dynamips pentru a putea fi folosit mai usor . Astfel se poate creea o topologie in
Dynagen peste Dynamips iar GNS3 ne da interfata grafica a topologiei.
GNS3 permite emularea pe calculatoarele noastre a mai multor IOS-uri Cisco. Astfel putem
emula o intreaga lista de echipamente Cisco: routere, switch-uri, etc. Aceasta arata ca simulatorul
GNS3 este foarte potrivit pentru ptregatirea unor certificari in scopuri didactice. De obicei un
simulator nu ne lasa sa studiem o topologie cu o configuratie complexa. Nu este insa si cazul
GNS3 deoarece putem avea o gama de comenzi accesibile pe un echipament in functie de IOS-ul
pe care il incarcam. Acesta este principalul avantaj. Ca dezavantaj: deoarece pe acelasi calculator
de emuleaza mai multe instante IOS in modul real care necesita resurse, atunci nu vom putea
dezvlota o topologie intinsa.
77
2)Mai jos voi prezenta output-urile configuratiilor pe fiecare din routerele din reteaua
implementata de mine. Practic pe aceeasi topologie am implementat doua tipuri de VPN: unul de
nivel 2 in care am folosit circuite virtuale si unul de nivel 3 in care am folosit adresare.
-pentru routerele CPE catre clienti: CPE1 si CPE2 sunt din VPN 1: Petrom
CPE3 si CPE4 sunt din VPN 2: BCR.
CPE1:
!
!
version 12.2
!
hostname CPE1
!
ip cef
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.248
duplex half
!
interface FastEthernet1/0
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/0
no ip address
shutdown
speed auto
duplex auto
78
!
interface FastEthernet2/1
no ip address
shutdown
speed auto
duplex auto
!
!
end
CPE2:
version 12.2
!
hostname CPE2
!
ip cef
!
!
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.248
duplex half
!
interface FastEthernet1/0
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
79
duplex auto
!
interface FastEthernet2/0
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/1
no ip address
shutdown
speed auto
duplex auto
!
control-plane
!
!
!
End
80
CPE3:
!
hostname CPE3
!
ip cef
!
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.248
speed auto
duplex auto
!
interface FastEthernet0/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/0
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/0
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/1
no ip address
shutdown
speed auto
duplex auto
!
End
81
CPE4:
version 12.2
no service password-encryption
!
hostname CPE4
!
ip cef
!
!
interface FastEthernet0/0
ip address 192.168.2.2 255.255.255.248
speed auto
duplex auto
!
interface FastEthernet0/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/0
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/0
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/1
no ip address
shutdown
speed auto
duplex auto
!
End
82
-pe routerele de granita dispre client cu domeniul MPLS:
PE1:
!
version 12.2
no service password-encryption
!
hostname PE1
!
ip cef
!
!
interface Loopback0
ip address 20.0.2.1 255.255.255.255
ip ospf 1 area 0
!
interface FastEthernet0/0
ip address 20.0.0.1 255.255.255.248
ip ospf 1 area 0
speed auto
duplex half
mpls label protocol ldp
mpls ip
!
interface FastEthernet0/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/0
no ip address
speed auto
duplex auto
xconnect 20.0.3.1 100 encapsulation mpls
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/0
no ip address
speed auto
duplex auto
83
xconnect 20.0.3.1 200 encapsulation mpls
!
interface FastEthernet2/1
no ip address
shutdown
speed auto
duplex auto
!
router ospf 1
log-adjacency-changes
!
!
mpls ldp router-id Loopback0 force
!
!
End
84
PE2:
!
version 12.2
no service password-encryption
!
hostname PE2
!
ip cef
!
mpls label protocol ldp
!
interface Loopback0
ip address 20.0.3.1 255.255.255.255
ip ospf 1 area 0
!
interface FastEthernet0/0
ip address 20.0.0.10 255.255.255.248
ip ospf 1 area 0
speed auto
duplex half
mpls label protocol ldp
mpls ip
!
interface FastEthernet0/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/0
no ip address
speed auto
duplex auto
xconnect 20.0.2.1 100 encapsulation mpls
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/0
no ip address
speed auto
duplex auto
85
xconnect 20.0.2.1 200 encapsulation mpls
!
interface FastEthernet2/1
no ip address
shutdown
speed auto
duplex auto
!
router ospf 1
log-adjacency-changes
!
mpls ldp router-id Loopback0 force
!
!
End
86
-pentru routerul din Core :
P:
!
version 12.2
no service password-encryption
!
hostname P
!
ip cef
!
mpls label protocol ldp
!
interface Loopback0
ip address 20.0.1.1 255.255.255.255
ip ospf 1 area 0
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface FastEthernet1/0
ip address 20.0.0.2 255.255.255.248
ip ospf 1 area 0
speed auto
duplex auto
mpls label protocol ldp
mpls ip
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/0
ip address 20.0.0.9 255.255.255.248
ip ospf 1 area 0
speed auto
duplex auto
mpls label protocol ldp
mpls ip
!
interface FastEthernet2/1
87
no ip address
shutdown
speed auto
duplex auto
!
router ospf 1
log-adjacency-changes
!
!
!
!
mpls ldp router-id Loopback0 force
!
control-plane
!
!
End
88
b)Configuratiile pentru VPN-ul de nivel 3:
-pentru routerele CPE catre clienti: CPE1 si CPE2 sunt din VPN 1: Petrom
CPE3 si CPE4 sunt din VPN 2: BCR
CPE1:
version 12.3
no service password-encryption
!
hostname CPE1
!
ip cef
!
interface Loopback0
ip address 192.168.3.1 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex half
!
interface FastEthernet1/0
ip address 100.0.0.1 255.255.255.248
duplex auto
speed auto
!
interface FastEthernet1/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
89
!
router eigrp 1
network 100.0.0.0
network 192.168.1.0
no auto-summary
!
!
End
90
CPE2:
!
version 12.3
no service password-encryption
!
hostname CPE2
!
ip cef
!
!
interface Loopback0
ip address 192.168.4.1 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
duplex half
!
interface FastEthernet1/0
ip address 100.0.0.9 255.255.255.248
duplex auto
speed auto
!
interface FastEthernet1/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 1
network 100.0.0.0
network 192.168.2.0
no auto-summary
!
End
91
CPE3:
version 12.4
no service password-encryption
!
hostname CP3
!
ip cef
!
interface Loopback0
ip address 192.168.7.1 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.8.1 255.255.255.0
duplex half
!
interface FastEthernet1/0
ip address 100.0.0.25 255.255.255.248
duplex auto
speed auto
!
interface FastEthernet1/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 1
network 100.0.0.0
network 192.168.8.0
no auto-summary
!
End
92
CPE4:
!
version 12.4
no service password-encryption
!
hostname CP4
ip cef
interface Loopback0
ip address 192.168.5.1 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.6.1 255.255.255.0
duplex half
!
interface FastEthernet1/0
ip address 100.0.0.17 255.255.255.248
duplex auto
speed auto
!
interface FastEthernet1/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 1
network 100.0.0.0
network 192.168.6.0
no auto-summary
!
End
93
-pe routerele de granita dispre client cu domeniul MPLS:
PE1:
version 12.4
no service password-encryption
!
hostname PE1
!
ip cef
!
ip vrf Client
rd 200:1
route-target export 200:1
route-target import 200:1
!
ip vrf Client2
rd 200:2
route-target export 200:2
route-target import 200:2
!
!
interface Loopback0
ip address 20.0.2.1 255.255.255.255
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface FastEthernet1/0
ip vrf forwarding Client
ip address 100.0.0.2 255.255.255.248
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 20.0.0.1 255.255.255.248
duplex auto
speed auto
mpls ip
!
interface FastEthernet2/0
ip vrf forwarding Client2
ip address 100.0.0.26 255.255.255.248
duplex auto
94
speed auto
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 1
no auto-summary
!
address-family ipv4 vrf Client2
redistribute bgp 200 metric 64 1000 255 1 1500
network 100.0.0.0
no auto-summary
autonomous-system 1
exit-address-family
!
address-family ipv4 vrf Client
redistribute bgp 200 metric 64 1000 255 1 1500
network 100.0.0.0
no auto-summary
autonomous-system 1
exit-address-family
!
router eigrp 100
auto-summary
!
router ospf 1
log-adjacency-changes
network 20.0.0.0 0.255.255.255 area 0
!
router bgp 200
no synchronization
bgp log-neighbor-changes
neighbor 20.0.3.1 remote-as 200
neighbor 20.0.3.1 update-source Loopback0
no auto-summary
!
address-family vpnv4
neighbor 20.0.3.1 activate
neighbor 20.0.3.1 send-community both
exit-address-family
!
address-family ipv4 vrf Client2
redistribute connected
redistribute eigrp 1
no synchronization
95
exit-address-family
!
address-family ipv4 vrf Client
redistribute connected
redistribute eigrp 1
no synchronization
exit-address-family
!
!
!
mpls ldp router-id Loopback0
!
!
!
!
End
96
PE2:
version 12.4
no service password-encryption
!
hostname PE2
!
ip cef
!
!
ip vrf Client
rd 200:1
route-target export 200:1
route-target import 200:1
!
ip vrf Client2
rd 200:2
route-target export 200:2
route-target import 200:2
!
interface Loopback0
ip address 20.0.3.1 255.255.255.255
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface FastEthernet1/0
ip vrf forwarding Client
ip address 100.0.0.10 255.255.255.248
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 20.0.0.10 255.255.255.248
duplex auto
speed auto
mpls ip
!
interface FastEthernet2/0
ip vrf forwarding Client2
ip address 100.0.0.18 255.255.255.248
duplex auto
speed auto
97
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 1
no auto-summary
!
address-family ipv4 vrf Client2
redistribute connected
redistribute bgp 200 metric 64 1000 255 1 1500
network 100.0.0.0
no auto-summary
autonomous-system 1
exit-address-family
!
address-family ipv4 vrf Client
redistribute bgp 200 metric 64 1000 255 1 1500
network 100.0.0.0
no auto-summary
autonomous-system 1
exit-address-family
!
router eigrp 100
auto-summary
!
router ospf 1
log-adjacency-changes
network 20.0.0.0 0.255.255.255 area 0
!
router bgp 200
no synchronization
bgp log-neighbor-changes
neighbor 20.0.2.1 remote-as 200
neighbor 20.0.2.1 update-source Loopback0
no auto-summary
!
address-family vpnv4
neighbor 20.0.2.1 activate
neighbor 20.0.2.1 send-community both
exit-address-family
!
address-family ipv4 vrf Client2
redistribute connected
redistribute eigrp 1
no synchronization
98
exit-address-family
!
address-family ipv4 vrf Client
redistribute connected
redistribute eigrp 1
no synchronization
exit-address-family
!
!
mpls ldp router-id Loopback0
!
End
99
-pe routerul Core:
version 12.3
no service password-encryption
!
hostname P
!
ip cef
tag-switching tdp router-id Loopback0
!
interface Loopback0
ip address 20.0.1.1 255.255.255.255
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface FastEthernet1/0
ip address 20.0.0.2 255.255.255.248
duplex auto
speed auto
tag-switching ip
!
interface FastEthernet1/1
ip address 20.0.0.9 255.255.255.248
duplex auto
speed auto
tag-switching ip
!
interface FastEthernet2/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
!
router ospf 1
100
log-adjacency-changes
network 20.0.0.0 0.255.255.255 area 0
!
!
End
101