Sunteți pe pagina 1din 102

UNIVERSITATEA POLITEHNICĂ BUCUREŞTI

FACULTATEA DE ELECTRONICĂ
TELECOMUNICAŢII ŞI TEHNOLOGIA INFORMAŢIEI

PROIECT DE DIPLOMĂ(an V)

Conducator Proiect: Absolvent:

sl. Ing. SERBAN OBREJA IONICA CUCLEA


Bucuresti 2009

Cuprins:

Acronime.......................................................................................................................pg.4
Lista tabele.....................................................................................................................pg.6
Lista figuri....................................................................................................................pg. 6

1.Introducere.................................................................................................................pg.7

2. Tehnologii folosite în reţelele de mare capacitate actuale.................................... ...pg.8


2.1. Evolutia acestor retele de mare capacitate................................................pg.8

2.2. Tehnologiile folosite în reţelele actuale....................................................pg.9


2.2.1 Tehnologia IP................................................. .....................................pg.9
2.2.1.1. Rutarea în reţelele IP.........................................................pg.10
2.2.1.2 Protocoale de rutare IP........................................................pg.12
2.2.1.2.a.Protocolul RIP (Routing Information Protocol)pg.12
2.2.1.2.b. OSPF (Open Shortest Path First) ...............................pg.13
2.2.1.2.c. EIGRP(Enhanced Interior Gateway Routing Protoc.pg.14
2.2.1.2.d.Protocolul BGP (Border Gateway Protocol) .........pg.15
2.2.1.3. Limitările tehnologie IP..................................................pg 15

2.3.Tehnologia MPLS..................................................................................pg.16
2.3.1.Ce este MPLS......................................................................................pg.16
2.3.2. Cum funcţionează MPLS...................................................................pg.17
2.3.3.Etichetele MPLS....................................................................................pg.20
2.3.4. Planul de control.........................................................................pg.23
2.3.5. Elementele MPLS...........................................................................pg.24
2.3.5.1. Comutator de Etichete (Label Switch Router) - LSR...pg...25
2.3.5.2.Cale cu comutaţie de etichete (Label Switched Path)- LSP...26
2.3.5.3.Protocoale de distributie a etichetelor.............................pg.28
2.3.5.3.a. LDP(Label Distribution Protocol) .................................pg.28
2.3.5.3.b. CR-LDP(Constraint Route Label Distribution Protocol)
......................................................................................................................................pg. 31
2.3.5.3.c.RSVP-TE(ResourceReservationProtocol....... ..............pg.31
2.3.5.3.d. BGP( Border Gateway Protocol ) ..................................pg.31
2.3.6. Calitatea serviciilor cu MPLS..............................................................pg.32
2.3.6.1.ServiciiDiferentiate...................................................................pg.33
2.3.6.2.Alteprocedee pentru a asigura QoS în retelele MPLS...............pg.38
2.3.7. Avantaje si dezavantaje ale tehnologiei MPLS...................................pg.39

2
3. Virtual Private Networks (VPN) .........................................................................pg.40
3.1. Tehnologii care ofera suport pentru VPN...................................................pg.41
3.2. Tipuri de VPN-uri.......................................................................................pg.42
3.3.Cerintele VPN-urilor.....................................................................................pg.42

4. VPN-uri peste MPLS............................................................................................pg.44


4.1. VPN-uri de nivel 2.......................................................................................pg.45
4.1.1. AToM...................................................................................................pg.47
4.1.2.Considerente de calitatea serviciilor pentru VPN-uri de nivel2.............pg.49
4.1.3. Extensie a VPN-urilor de nivel 2: VPLS..............................................pg.50
4.2. VPN-uri de nivel 3........................................................................................pg.51
4.2.1.Mod de functionare................................................................................pg.51
4.2.2. Câmpuri speciale BGP..........................................................................pg.52
4.2.3. Distributia etichetei prin BGP..............................................................pg.54
4.3. Comparatie între VPN-uri de nivel 2 si 3.....................................................pg.54
4.4. Tipuri de trafic suportate...............................................................................pg.55
4.5. Moduri de conectivitate suportate.................................................................pg.55
4.6. Securitatea VPN-urilor MPLS.......................................................................pg.56
4.7. Scalabilitate…………………………..........................……………………..pg.58

5. Studiu de caz...........................................................................................................pg.60
5.1 Introducere........................................................................................................pg.60
5.2 Implementare de VPN de nivel 2......................................................................pg.61
5.2.1.Cum functioneaza platforma experimentala...............................................pg.61
5.2.2 Pasii de configurare ai platformei...............................................................pg.62
5.2.3 Verificarea functionalitatii platformei implementate..................................pg.65
5.2.4. Conclulzii...................................................................................................pg.65
5.3. Implementare de VPN de nivel 3.......................................................................pg.66
5.3.1. Modul de functionare al platformei de simulare ........................................pg.67
5.3.2. Pasii de configurare ai platformei...............................................................pg.68
5.3.3. Verificarea functionalitatii platformei implementate..................................pg.71
5.3.4. Concluzii.....................................................................................................pg.73

Bibliografie...............................................................................................................pg.74

Anexe........................................................................................................................pg.76

3
Lista de acronime
AF - Assured Forwarding
ARP -Address Resolution Protocol
AS - Autonomous System
ATM - Asyncronous Transfer Mode
BA -Behavior Aggregate
BGP - Border Gateway Protocol
CE - Customer Edge
CR-LDP -Constraint-based Routing Label Distribution Protocol

DSCP -Differentiated Services Code Point

DWDM - Dense Wavelength division multiplexing


EF - Expedited Forwarding

E-LSP EXP -inferred-PSC LSP

EXP -Experimental bits

EIGRP - Enhanced Interior Gateway Routing Protocol


IETF -Internet Engineering Task Force

ILM -Incoming Label Map


FEC - Forwarding Equivalence Class
FR - Frame Relay
ICMP - Internet Control Message Protocol
IP - Internet Protocol
IS-IS - Intermediate System -to-Intermediate System
IGRP - Interior Gateway Routing Protocol
LAN - Local Area Network
LSR - Label Sitched Router
L-LSP Label-only-inferred-PSC LSP
LDP - Label Distribution Protocol
LSP - Label Switched Path
MAC - Media Access Control
MPLS - Multi-Protocol Label Switching

4
NGN - Next Generation Network
NHLFE -Next Hop Label Forwarding Entry
OSPF - Open Shortest Path First
OSI - Open System Interconection
Qos - Quality of Service
RFC - Request for comments
PSTN - Public Switched Telephone Network
PVC - Permanent Virtual Connection
PPP - Point to Point Protocol
PE - Provider Edge
PHB -Per-Hop Behavior

PHP -Penultimate Hop Popping

PSC PHB -scheduling class

RIP - Routing Information Protocol


QoS -Quality of Service
RD - Route Distinghuiser
RT - Route Target
RSVP -Reservation Protocol
SDH - Synchronous Digital Hierarchy
SVC - Switched Virtual Circuit
SPVC - Soft Permanent Virtual Connection
SAR - Segmentation and Reassembly
TE -Traffic Engineering

TLV -Type-Length-Value

TTL -Time to Live


TTL - Time to Live
TDM - Time Division Multiplexing
VCI - Virtual Channel Identifier
VPI - Virtual Path Identifier
VLAN -Virtual LAN
VRF - VPN Routing and Forwarding
VPN - Virtual Private Network

5
VPLS - Virtual Private LAN Services
WDM - Wavelength division multiplexing

Lista de tabele:

Tabelul 1. Actiunile care pot fi intreprinse de un LSR............................................................pg.26


Tabelul 2. Clase de trafic folosite in Diffserv………………………………................…………pg36

Lista de figuri:
Figura 2.1. Arhitectura unei reţele complexe de comunicaţii actuale......................pg.8
Figura 2.2.1. Corespondenţa nivel OSI protocoale de reţea....................................pg.9
Figura 2.2.1.2. Protocoalele de rutare IGP şi BGP într-o reţea largă......................pg.12
Figura 2.2.1.2.b. Topologia OSPF.....................................................................................pg.13
Figura 2.3.2(1). Dirijarea pachetelor în interiorul unui domeniu MPLS.......................pg. 17
Figura 2.3.2.(2). Stiva de protocoale si tabelele folosite în nodurile MPLS.....................pg.19
Figura 2.3.2.(3). Arhitecura unui nod MPLS..............................................................pg.19
Figura 2.3.3.(1) Structura antetului MPLS………………………………………............….pg.20
Figura 2.3.3.(2) Aşezarea etichetei în celula ATM şi în pachetul Ethernetpg........pg.20
Figura 2.3.3.(3). Structura LFIB............................................................... ......pg.22
Figura 2.3.5.1.(1) Operatii de baza LSR...................................................................pg.26
Figura 3.5.5.2.(1) Stabilirea unui LSP...........................................................................pg.27
Figura 2.3.5.3.a.(1) Stabilirea sesiunilor LDP între vecini...............................................pg.29
Figura 2.3.5.3.a.(2) Modul de lucru Downstream on Demand………………...……....….pg.30
Figura 2.3.6.1.. Arhitectura DiffServ.................................................................................pg.34
Figura 3.1. Comparatie între interconectarea printr-o retea de tip comutatie de circuite si una de tip
trimitere de pachete……………………………………………………………..............…....…pg.41
Figura 3.3. Terminologia folosita......................................................................................pg.44
Figura 4.1(1). Etichetele corespunzătoare tunelului LSP şi VC-ului........................pg.46
Figura 4.1(2). Tunel LSR ce transporta VC-uri cu trafic client..................................pg.46
Figura 4.1.1.. Încapsularea AToM si structura cuvântului de control...........................pg.48
Figura 4.1.2. Corespondenta între câmpul Prioritate (802.1p) si câmpul EXP.…….….pg.49
Figura 4.1.3. a) Interconectarea a 3 site-uri într-un Layer 2 VPN
b) Interconectarea a 3 site-uri în VPLS.................................................................pg.50
Figura4.2.1. Încapsularea folosita pentru Layer 3 VPN................................................pg.52
Figura 4.2.2. Schimbul de mesaje Multiprotocol BGP....................................................pg.53
Figura 5.2. VPN-uri de nivel 2 implementat in lucrare...................................................pg.61
Figura 5.3. VPN-uri de nivel 3 implementate in lucrare................................................pg.66

6
Cap.1 Introducere

Aceasta lucrare descrie funtionarea tehnologiei de comutatie de etichete multiprotocol(MPLS-


Multi Protocol Label Switching ). Aspectul principal al lucrarii il reprezinta retelele private virtuale
si implementatrea lor cu ajutorul tehnologiei MPLS. In final,cercetarea teoretica se concretizeaza
intr-un studiu de caz, exemplificand configurarea echipamentelor pentru furnizarea de servicii
VPN pentru clienti.
In ulrima perioada,retelele de calculatoare au devenit o necesitate, atat in viata noastra de zi
cu zi dar mai ales in aceea a marilor companii. Astfel, acestea din urma si-au construit si isi
construiesc in continuare propriile retele, pe care le utilizeaza in sediile lor pentru a pune in comun
informatia. Unele companii sunt insa foarte mari si pot dispune de mai multe sedii, pot dori sa
interactioneze foarte intens cu clientii si furnizorii lor, sau pot avea angajati care lucreaza de la
distanta. In aceste cazuri, companiile necesita retele private care sa asigure integritatea si
securitatea datelor transmise intre 2 sedii distante, catre clienti sau catre furnizori.
Cerintele clientilor legate de aceste servicii au evoluat. Daca initial cerintele clientilor se
limitau la fiabilitate , securitatea si calitatea serviciilor mai nou, acestia necesita posibilitatea
furnizarii mai multe clase de servicii , mai multor tipuri de VPN , a unui cost redus de
administrare, conectivitate ANY-to-ANY sau HUB and SPOKE, etc.
Toate aceste cerinte pot fi satisfacute numai prin intermediul tehnologiilor traditioanale,
precum : circuite virtuale ATM sau Frame-Relay , tunelare ip ,criptare, traslatarea adreselor de
retea( NAT- Network Address Translation). Acest lucru se datoreaza costului ridicat ,
complexitatii si degradarii serviciilor bazate pe tehnologiile traditionale.
Avem o solutie la aceste noi cerinte . Este o tehnologie noua care se numeste: MPLS-Multi
Protocol Label Switching . Aceasta tehnologie are proprietatea de a combina securitatea si calitatea
serviciilor oferite de ATM sau Frame-Relay cu flexibilitatea si scalabilitatea retelelor IP. Astfel se
creeaza infrastructura pentru serviciile IP Business deoarece gruparea utilizatorilor se face in mod
flexibil, prin configurarea unui numar mic de echiapamente. De asemenea , se inregistreaza costuri
scazute de administrare a serviciilor IP , aproape independent de dimensiunile retelei virtuale.
Astfel implementarea unui VPN bazata pe MPLS in cadrul unei companii poate duce la scaderea
considerabila a costurilor acesteia prin reducerea complexitatii operationale si prin dezvoltarea
unei infrastructuri mai simple a retei.
Avantajele legate de usurinta in administrare si de costurile reduse oferite de tehnologia
MPLS , o fac sa fie foarte atragatoare pentru cei ce doresc sa implementeze o infrastructura
performanta, fiabila si cu costuri reduse. Din ce in ce mai multe companii mari si furnizori de
servicii internet isi bazeaza infrastructura pe aceasta tehnologie . Retele private (VPN) reprezinta
unul din serviciile cele mai solicitate in ceea ce priveste tehnologia MPLS.

7
Cap.2. Tehnologii folosite în reţelele de mare capacitate actuale

2.1. Evolutia acestor retele de mare capacitate

Noile reţele de date trebuie să asigure, pe lângă viteza de transmisie ridicată, banda
largă, managementul resurselor, scalabilitate şi integrarea diverselor tehnologii de access
(LAN, HDSL, ADSL, TDM etc.).De aceea au apărut noi cerinţe de performanţă şi de
funcţionalitate pentru reţelele de date actuale.
Datorită faptului că resursele reţelelor de date sunt limitate, acestea trebuie gestionate
cu grijă pentru a obţine performanţe şi randamente ridicate.
Arhitecturile actuale ţin seama de necesităţile de integrare a diferitelor
tehnologii de access şi de interoperabilitatea cu alte reţele de date. Arhitectura unei reţea de
date de mare viteză este structurată pe mai multe nivele.Modelul actual al reţelelor este
reprezentat în figura de mai jos :

Nivelul Optic
CORE -ul INTERNET
Retelei Nivelul Core

Nivelul deDistributie

Nivelul deAcces
`

` ` `

Figura 2.1. Arhitectura unei reţele complexe de comunicaţii actuale.

După cum se observă, arhitectura reţelei este împărţită pe patru nivele:


Optic - este partea de reţea ce se situează la nivelul fizic al nivelului OSI.
Acest nivel este implementat prin diferite tehnologii de transmisie pe fibra optică,
cum ar fi: SONET, SDH, WDM, DWDM etc.
Core (Nucleu) - se mai numeşte şi backbone şi este partea de reţea care se ocupă în
principal cu transmisia date de mare viteză, fără a îndeplini alte funcţii de reţea (access,
agregare etc.).
Distribuţie - este partea de reţea în care se face agregarea (concentrarea) de trafic.
Acces - acest nivel cuprinde echipamentele de reţea care se ocupă cu partea de
acces a diferitelor tehnologii de access (HDSL, ADSL, TDM, ATM, IP, etc.).
8
Această împărţire pe nivele face mai uşoară gestionarea şi proiectarea arhitecturilor
reţelelor de date, precum şi migrarea către noi tehnologii prin etape de integrare pe nivele
funcţionale.
Principalele caracteristici arhitecturale şi de funcţionalitate ale unei reţele moderne
sunt:
• Structurare pe nivele arhitecturale.
• Funcţionalităţi împărţite pe nivele structurale ( ex. în punctul de access se face
autorizarea, stabilire QoS, în distribution se face agregare, în core se face transport etc.).
• Management centralizat.
• Ingineria traficului (stabilirea căilor de rutare) care se face prin managementul
centralizat.
• Integrarea a cât mai multe tehnologii de access.
• Conexiune cu reţeaua PSTN (Public Switched Telephone Network).
• Migrarea către o reţea de date universale (Date, voce, video, video-on-demand
etc.).
• Migrarea traficului de voce către reţelele NGN (Next Generation Networks) ,
centralele digitale actuale sunt înlocuite cu echipamente de date hardware şi software perfect
integrate în reţea.
• Scalabilitate, performanţă, disponibilitate totală (99%).

2.2. Tehnologiile folosite în reţelele actuale

În reţelele de date actuale sunt folosite ca principale tehnologii de transport: tehnologia


IP, tehnologia ATM şi, mai nou, tehnologia MPLS:

2.2.1 Tehnologia IP

Tehnologia IP este tehnologia cea mai răspândită la ora actuală în reţelele LAN. Ea
este o tehnologie de Layer 3 bazată pe protocolul IP (Internet Protocol) care face adresare şi
controlul informaţiei ce permite pachetelor de date să fie rutate. Protocolul IP este un
protocol bazat pe transmisia de pachete între diferite calculatoare din reţea. Protocolul
suportă adresare, fragmentarea, reasamblarea şi multiplexarea de protocol. Este protocolul pe
baza căruia s-au construit celelalte protocoale IP, aşa- numita suită de protocoale TCP/IP.
(TCP, UDP, ICMP, ARP, RARP, etc.).
În desenul următor este reprezentată corespondenţa diferitelor protocoale şi nivelul OSI:

9
Figura 2.2.1. Corespondenţa nivel OSI protocoale de reţea
2.2.1.1. Rutarea în reţelele IP
.
Rutarea poate fi statică sau dinamică. Ea implică determinarea căii de rutare,
care se poate face după anumite valori metrice (întârzieri, costuri, utilizarea căii,
etc.).Rutarea se face după o tabelă de rutare care specifică interfeţele şi adresele către care
terbuie trimise pachetele.
Router-ele sunt echipamente ce lucrează la nivelul 3 OSI. Ele sunt folosite pentru
schimbul de informaţie dintr-ul grup de reţele ce aparţin aceleiaşi autorităţi de control şi
administrative. (AS - Autonomous Systems), cât şi pentru schimbul de informaţie între AS-uri
Regula generală de trimitere a pachetelor este alegerea rutei care se potriveşte cât mai
exact.

De exemplu:
Destinaţie Masca Ruter de ieşire
10. 1. 4. 0 255.255.255. 0 R2
10. 1. 0. 0 255.255. 0. 0 R3

Destinaţia 10.1.4.30 se potriveşte în ambele cazuri, dar gateway-ul R2 are mască de reţea
mai restrictivă, deci va fi aleasă această cale. [18]

Rutarea cu vectori-distanţă
Rutarea se poate baza pe algoritmi cu vectori-distanţă (numiţi şi algoritmi Bellman-Ford), care
car ca ruterele să paseze periodic copii ale tabelelor de rutare vecinilor cei mai apropiaţi din reţea.
Fiecare destinatar adaugă la tabelă un vector-distanţă (propria "valoare" distanţă) şi o expediază
vecionilor săi cei mai apropiaţi. Acest proces se desfăşoară în toate direcţiile între routerele aflate în
imediată vecinătate.
Acest proces pas-cu-pas face ca fiecare router sa afle informaţii despre celelalte routere şi să-şi
dezvolte o perspectivă cumulativă asupra "distaţelor" reţelei. De exemplu, un protocol timpuriu de
rutare este Routing Information Protocol (protocol de rutare a informaţiilor), sau RIP . Acesta
utilizează două unităţi de măsură pentru distanţe ca să determine cea mai bună cale următoare pentru
orice pachet. Aceste unităţi de măsură pentru distanţă, tacturile şi hopurile, sunt dependente de timp.
10
Tabela cumulativă este apoi utilizată pentru actualizarea tabelelor de rutare ale fiecărui router. La
finalul procesului, fiecare router a aflat niste informaţii vagi despre distanţele până la resursele din
reţea. El nu a aflat nimic specific despre alte routere sau despre topologia reală a reţelei.
Această abordare poate, în anumite circumstanţe, să creeze probleme de rutare pentru
protocoalele bazate pe vectori-distanţă. De exemplu, în urma unei căderi în reţea eset necesar ceva
timp pentru ca routerele să conveargă spre o nouă înţelegere a topologiei reţelei. În timpul acestui
proces, reţeaua ar putea fi vulnerabilă la rutări contradictorii şi chiar la bucle infinite.
Anumite măsuri de siguranţă ar putea să micşoreze aceste riscuri, dar rămâne faptul că
performanţa reţelei este expusă riscurilor în timpul procesului de convergenţă. Prin urmare, este
posibil ca protocoalele mai vechi care converg lent să nu fie potrivite pentru WAN-urile extinse,
complexe.

Rutarea cu starea legăturilor


Algoritmii de rutare folosind starea legăturilor (link-state routing algorithm), cunoscuţi collectiv
ca protocoale cu preferarea drumului minim (SPF), menţin o bază de date complexă a topologiei
reţelei. Spre deosebire de protocoalele cu vectori-distanţă, cele folosind starea legăturilor dezvoltă şi
întreţin o cunoaştere completă a routerelor de reţea, ca şi a felului cum sunt interconectate acestea.
Această cunoştere este realizată prin schimbarea de pachete cu starea legăturilor (LSP) cu alte
routere conectate direct. Fiecare router care a schimbat LSP-uri construieşte apoi o bază de date
logicş utilizănd toate LSP-urile primite. Este utilizat apoi un algoritm "cu preferarea drumului liber",
pentru a calcula cât de accesibile sunt destinaţiile legate de reţea. Această informaţie este utilizată
pentru a actualiza tabela de rutare. Acvest proces este capabil să descopere modificările topologiei
reţelei, care ar putea fi cauzate de căderea unei componente sau de mărirea reţelei. De fapt, schimbul
de LSP-uri este declanşat de un eveniment din reţea, nu este realizat periodic.
Rutarea cu starea legăturilor are două zone parţiale de risc. Mai înâi, în timpul procesului iniţial
de descoperire, rutarea cu starea legăturilor poate acapara mediile de transmisie ale reţelei, reducând
astfel în mod semnificativ capacitatea reţelei de a transporta date. Acveastă degradare a performanţei
este temporară, dar foarte evidentă.
A doua problemă potenţială etse că rutarea cu starea legăturilor solicită intens memoria şi
procesorul. Din această cauză, routerele configurate pentru rutare cu starea legătulilor sunt în general
mai scumpe.

Rutarea hibridă
Ultima formă de rutare dinamică este hibridizarea. Deşi există prtocoale hibride deshise,
echilibrate, această formă este asociată aproape exclusiv creaţiei brevetate a unei singure companii,
Cisco Systems Inc. Acest protocol, EIGRP, a fost proiectat combinând cele ami bune aspecte ale
protocoalelor cu vectori-distanţă şi cu starea legăturilor, fără limitările de performanţă sau
dezavantajele lor.
Protocoalele de rutare hibride echilibrate, utilizează unităţi de măsură vectori-ditanţă, dar
realizează măsurători mult mai precise decât protocoalele cu vectori-distanţă convenţionale. De
asemenea, ele converg mult mai rapid decât acestea din urmă, dar evită suprasarcinile şi actualizările

11
cu starea legăturilor. Hibrizii echilibraţi nu sunt periodici, ci conduşi de evenimente, conservând
astfel lărgimea de bandă pentru aplicaţii reale.

2.2.1.2 Protocoale de rutare IP

Algoritmii de rutare pot fi împărţiţi în două grupe:


• Interior Gateway Protocol (IGP) - folosit la rutarea în interiorul unei
organizaţii. Din această categorie fac parte următoarele protocoale de rutare: RIP
(Routing Information Protocol) - folosit în special în reţelele mici, OSPF (Open Shortest
Path First) – cel mai des folosit protocol în reţelele mari, EIGRP (Enhanced Interior
Gateway Routing Protocol), IGRP (Interior Gateway Routing Protocol) protocoale proprietare
CISCO, folosite numai pentru echipamente CISCO.
• Border Gateway Protocols (BGP) - este folosit la rutarea între diferite
organizaţii sau Sisteme Autonome (AS).
În figura următoare este reprezentată situarea celor două tipuri de protocoale de
rutare într-o reţea largă:

AS 3
IGP
BGP
AS 1

BGP
IGP AS 2
IGP

F Figura 2.2.1.2. Protocoalele de rutare IGP şi BGP într-o reţea largă

2.2.1.2.a.Protocolul RIP (Routing Information Protocol)

RIP este un protocol de rutare intra-domeniu bazat pe distanţa vectorială dintre


hopuri. Este folosi în toate router-ele actuale. Foloseşte trei tipuri de temporizări în alcătuirea
tabelei de rutare:
• Actualizarea rutelor (se face automat la un interval de 30 de secunde )
• Expirarea validităţii rutei
• Curăţirea tabelei de rutare
Există doua versiuni ale protocolului RIP: RIPvl si RIPv2.
12

Principalele probleme ale protocolului RIP sunt:


• limitarea numărului maxim de hopuri la 15
• propagarea informaţiei în reţelele mari este lenta
• Traficul RIP creşte rapid odată cu mărirea reţelei

Protocolul RIP poate opera în 3 moduri:

• Activ - trimite şi recepţionează informaţii de rutare


• Silent - doar ascultă şi primeşte informaţii de rutare (nu trimite nimic)
• Deaf - doar trimite informaţii de rutare (nu primeşte).

2.2.1.2.b. OSPF (Open Shortest Path First)

OSPF este un protocol bazat pe verificarea stării link-urilor, ruterele trimit informaţii
despre starea link-ului în locul informaţiilor despre propriile tabele de rutare. Acest protocol
împarte reţeaua în zone pentru a putea lucra în reţele mari.

Aria 0 Aria 0
(backbone area) (backbone area)
BGP

AS 2
OSPF
AS 1 OSPF
IGP Routere de
backbone
Router border
(de arie)
Aria 1
Routere
interioare
Aria 1 Aria 2
OSPF este folosit in interiorul sistemelor autonome
Figura 2.2.1.2.b. Topologia OSPF

Router-ele interne trebuie să ştie doar rutele către reţelele din aria lor şi către
aria de backbone. Ele schimbă între ele informaţii de despre starea link-urilor. Fiecare
router cunoaşte topologia şi costul pentru comunicaţia cu reţelele din aria lui.[18]
Border Router-ele de arie schimbă informaţii de spre starea link-urilor cu toate routerele de
aria cu care sunt conectate.
Routerele de backbone se află în aria „0" şi pot fi routere interioare, border routere sau
routere de graniţă pentru sisteme autonome. Routerele de backbone schimbă informaţii cu
alte routere de backbone din aria „0" şi calculează ultimul cost al rutei dintre arii sau alt
13
sistem autonom.
Protocolul OSPF foloseşte cinci tipuri de mesaje:
• Hello - folosit pentru a descoperi vecinii şi pentru a delega un router dedicat
precum şi pentru a verifica starea link-ului
• Database Description - descrie baza de date a topologiei link-ului
• Link State Request - cerere de părţi din topologia routerelor adiacente
• Link State Update - trimite date despre starea link-urilor către routerele vecine
• Link State ACK - confirmarea recepţionării update-ului

Folosind mesajele „Hello" un router principal şi un router de backup


principal sunt alese pentru fiecare arie. Routerele principale de arie calculează o matrice a
routerelor din întreaga arie (care nu este aceeaşi cu matricea de routere vecine).
Fiecare router schimbă date despre starea link-urilor doar cu router-ele
adiacente, ceea ce limitează traficul generat de OSPF.
În cele din urmă toate router-ele vor obţine informaţii identice despre topologie. Fiecare
revizuire de informaţie în legătură cu starea link-urilor are un număr de ordine pentru a se
putea determina dacă revizuirea este nouă.
În OSPF routerele pot schimba între ele pe lângă informaţia despre starea link-
urilor şi informaţii despre:
• întârziere
• Banda disponibilă
• Siguranţa link-ului

Aceste informaţii sunt folosite de routere în momentul în care trimit pachete cu


câmpul ToS setat la o anumită valoare. [18]

2.2.1.2.c. EIGRP(Enhanced Interior Gateway Routing Protocol)

EIGRP a fost dezvoltat de către Cisco (eliberat în 1988) cu scopul de a îmbunătăţi protocolul
RIP pe vremea cînd IETF încă lucra la dezvoltarea OSPF -ului. EIGRP este un protocol brevetat.
Acest protocol elimină unele dintre defectele protocolului RIP , şi are îmbunătăţiri ca folorirea de
metrici compuse, rutarea pe căi multiple, şi mînuirea rutelor implicite.
Evoluţia protocolului EIGRP furnizează compatibilitate şi operaţii precise cu rutere EIGRP .
Capacităţi cheie care dinting EIGRP de alte protocoale de rutare includ convergenţa rapidă, support
pentru mască de subreţea variable-length , suport pentru update, şi support pentru multiple network
layer protocols.
EIGRP are toate avantajele flexibilităţii şi ale configurării simple în timp ce îmbunătăţeşte viteza
şi consumarea resurselor. Dealtfel, este capabil a fi un protocol unic atît pentru IP cît şi pentru
protocoale non- IP , eliminînd nevoia de a folosi multiple protocoale de rutare într-o reţea multi-
protocol.
Acest protocol de rutare este unul dintre cele mai diversificate şi robuste protocoale de rutare.
Combinaţia sa unic[ de caracteristici îmbină cele mai bune atribute ale protocoalelor de vector-
distanţă cu cele mai bune atribute ale protocoalelor cu starea legăturilor. Rezulatul este un protocol
de rutare hibrid care sfidează împărţirea pe categorii a protocoalelor convenţionale.
14
Poate fi folosit împreunpă cu IPv4, AppleTalk, şi IPX. Mai important, arhitectura sa modulara va
permite ca Cisco să adauge suport pentru alte protocoale de rutare importante care vor apărea în
viitor. Spre deosebire de alte protocoale de rutare bazate pe vectori-
distanta, EIGRP nu mandatează o revizuire periodică al tabelelor de rutare între rutere vecine. În
schimb, foloseşte un mechanism de descoperire/recuperare pentru a asigura că vecinii sunt conştienţi
de accesibilatea fiecaruia in parte.

2.2.1.2.d.Protocolul BGP (Border Gateway Protocol)

BGP – ul este singurul protocol de rutare între Sisteme Autonome, în principal este
folosit în ruterele de backbone pentru a schimba informaţia între AS-uri, dar poate fi folosit şi
în interiorul AS-ului pentru a schimba informaţie de rutare ( IBGP). A fost proiectat să
detecteze buclele şi să folosească informaţia metrică pentru a lua decizii de rutare inteligente.
. Traficul dintr-un AS trebuie să treacă printr-un gateway router, AS selectează
care router va îndeplini această funcţie. [18]

1.2.1.3. Limitările tehnologiei IP

Principalele limitări ale tehnologiei IP sunt:

• Nu asigură un QoS pur deoarece este o tehnologie bazată pe principiul de


împărţire a mediului fizic „media sharing", aplicându-se conceptul „Best Effort" în politica de
trafic.
• Mecanismul de rutare este un mecanism care se bazează pe conceptul „cea mai
mare potrivire" şi acest lucru duce la întârzieri în mecanismul de rutare şi trimitere de
pachete.
• Lungimea pachetelor este variabilă ceea ce duce la echipament hardware complex
cu mare putere de calcul. Acest lucru duce la limitări în puterea de procesare a
backbone-urilor
• Header-ul pachetului IP este mare şi complex, ceea ce duce la o proastă utilizare a
benzii de date disponibile
Datorită mecanismului de adresare apar foarte multe adrese care sunt greu de
gestionat de rutere care posedă tabele de rutare mari implicit hardware complex.

15
2.3.Tehnologia MPLS

2.3.1.Ce este MPLS

Multiprotocol Label Switching (MPLS) este o tehnologie bazata pe comutatia de etichete ce îsi
propune sa simplifice rutarea IP în retelele core . Arhitectura MPLS a fost gândita sa poata oferi un
serviciu de transport de date unificat pentru multe tipuri de trafic, cum ar fi pachete IP, celule ATM,
cadre SDH sau Ethernet. Din punct de vedere arhitectural MPLS se afla între nivelul 2 OSI
(Legatura de Date) si nivelul 3 (Retea), fiind considerata de multi o tehnologie de nivel 2,5.
Ideea de baza a acestei tehnologii este sa clasifice fluxurile de intrare într-o retea MPLS în
clase de echivalenta care sa fie tratate la fel de catre nodurile retelei. O clasa de echivalenta intra în
corespondenta cu un set de etichete de lungime fixa ce vor fi comutate în nodurile retelei,
pâna la destinatie. Nodurile de intrare vor face clasificare fluxurilor, iar nodurile
intermediare au de facut mai putine prelucrari, deoarece este suficient sa comute etichete.
[Wiki-MPLS]

Multi-Protocol Label Switching (MPLS) defineşte un mecanism pentru îndrumarea pachetelor în


ruterele (nodurile) reţelei. Iniţial a fost dezvoltat pentru a realiza o îndrumare mai rapidă a pachetelor
decât în rutarea IP tradiţională, deşi imbunătăţirile ce ţin de partea hardware a ruterelor au rezolvat
problema vitezei în cadrul rutării.
În orice caz, flexibilitatea oferită de MPLS a făcut ca aceasta să devina cea mai bună metodă
prin care reţelele moderne să poată realiza Quality of Service (QoS), servicii VPN (Virtual Private
Network) de ultimă generaţie sau semnalizare optică.
MultiProtocol Label Switching (MPLS) dă posibilitatea firmelor şi furnizorilor de servicii
Internet (ISP =Internet Service Provider) să construiască reţele inteligente de ultimă generaţie care să
ofere o gamă largă de servicii avansate, cu valoare adăugată, peste o infrastuctură unică. Această
soluţie economică poate fi integrată cu success în arhitecturile existente, cum ar fi cea IP, Frame
Relay, ATM, sau Ethernet. Abonaţii cu linii de acces diferite pot fi grupaţi MPLS fară a li se
schimba mediul curent, deoarece MPLS este independent de tehnologiile de acces.
Reţelele IP tradiţionale sunt fără conexiune: atunci când este primit un pachet, ruterul
determină următorul nod de parcurs, folosind adresa IP destinaţie împreună cu informaţia din
propriul său tabel de rutare. Tabelul de rutare din ruter conţine informaţie despre topologia reţelei. Se
folosesc protocoale IP de rutare, ca OSPF, IS-IS, BGP, RIP sau configurare statică, pentru a menţine
sincronizată informaţia din aceste tabele cu schimbările ce au loc în reţea.
16
Integrarea componentelor aplicaţiei MPLS, incluzând VPN de nivel 2, VPN de nivel 3,
Traffic Engineering, QoS, GMPLS sau IPv6, dau posibilitatea dezvoltării unor reţele sigure şi foarte
eficiente, ce garantează SLA (Service Level Agreements).
MPLS oferă servicii IP cap-la-cap, cu un înalt grad de scalabilitate şi de diferenţiere, cu
configurare şi management foarte simple, atât pentru furnizori cât şi pentru abonaţi. Această soluţie
este suportată de o gamă foarte largă de platforme, lucru esenţial nu numai pentru furnizorii de
servicii, dar şi pentru reţelele private.
MPLS foloseşte de asemenea adrese IP, versiunea 4 sau versiunea 6, pentru a identifica
punctele terminale ale reţelei sau switch-urile ori ruterele intermediare. Aceasta face ca reţelele
MPLS să fie compatibile IP şi uşor integrabile cu reţele IP tradiţionale. În orice caz, spre deosebire
de IP-ul tradiţional, fluxurile MPLS sunt orientate spre conexiune (connection-oriented = CO) şi
pachetele sunt rutate pe căi preconfigurate, numite LSP (Label Switched Paths).

2.3.2. Cum funcţionează MPLS

MPLS lucrează prin etichetarea pachetelor cu un identificator (etichetă) pentru a fi


identificată o cale numită LSP (Label Switching Path). Atunci când este primit un pachet, ruterul
foloseşte această etichetă pentru a identifica un LSP. După aceasta el va căuta în propriul tabel de
îndrumare pentru a determina calea prin care să îndrume pachetul şi eticheta care va fi folosită în
cadrul următorului nod. Vechea etichetă este înlocuită cu cea nouă şi pachetul este trimis
către următoarea destinaţie. În reţelele MPLS etichetele fac regulile de trimitere a pachetelor
Se foloseşte o etichetă diferită pentru fiecare nod, şi această etichetă este aleasă de către
ruterul sau switch-ul care realizează operaţia de îndrumare a pachetului. Acest lucru ne permite să
folosim motoare de rutare foarte simple şi rapide, deoarece ruterul poate selecta eticheta astfel încât
să minimizeze procesarea. Ruterele de intrare (marginale) ale reţelei MPLS folosesc adresa de
destinaţie a pachetelor pentru a determina care va fi LSP-ul folosit. în interiorul reţelei, ruterele
MPLS folosesc numai etichetele LSP pentru a îndruma pachetele către ruterul de ieşire.

17
Figura 2.3.2(1). Dirijarea pachetelor în interiorul unui domeniu MPLS

ER – (“Edge Router”) -ruter de frontiera al domeniului MPLS


LSR – (“Label Switch Router”) - comutator de etichete/ruter intern domeniului MPLS
LSP - „Label Switched Path”)- cale cu comutatie de etichete MPLS

. Există astfel o serie de avantaje faţă de mecanismele din reţelele obişnuite:


• Trimiterea pachetelor poate fi executată de switch, care face verificarea etichetei şi
înlocuirea ei, dar nu face analiza pachetelor pe nivele OSI superioare.
• Switch-urile ATM fac funcţii asemănătoare prin comutarea de celule bazate pe valorile
VCI/VPI găsite în header-ele celulelor ATM. Dacă valoarea VCI/VPI este înlocuită cu etichete,
atunci switch-urile ATM pot trimite celule în reţeaua ATM folosindu-se de valoarea
etichetelor.
• Switch-ul ATM trebuie să fie controlat de un element de control bazat pe tehnologia IP,
numit LSC (Label Switch Controller) şi care este elementul principal în integrarea tehnologiei
IP cu tehnologia ATM folosind tehnologia MPLS.
• Asignarea pachet-etichetă se face la intrarea pachetului în reţeaua MPLS.
• Router-ul de intrare poate folosi orice informaţie pe care o are despre pachet, cu ar fi
portul sau interfaţa de intrare, chiar dacă informaţia nu poate fi obţinută din header-ul
care descrie nivelul reţea. Acelaşi pachet este marcat diferit dacă el intră în reţea prin
routere diferite. Astfel deciziile de trimitere a pachetelor care depind de routerul de intrare
se fac mai uşor. Acest lucru nu poate fi făcut în reţelele obişnuite deoarece informaţia
care descrie routerul care a trimis pachetul nu este cuprinsă în pachet. Pachetele care
sosesc pe interfeţe diferite vor avea etichete diferite. Acest mecanism de etichetare stă la
baza funcţionalităţii reţelelor MPLS.
18
• Reţelele cu control de trafic forţează pachetele să urmeze o anumită cale, alegandu-se
calea cea mai liberă. De obicei această cale este prestabilită când pachetele intra în reţea, şi
mai rar aceste căi sunt stabilite de algoritmi de rutare dinamici. In tehnologia MPLS etichetele
pot fi folosite ca reprezentări pentru diferite route, astfel nu este nevoie de informaţie de
rutare suplimentară în pachet.
• Clasa de servicii pentru un pachet este determinată de de nodul MPLS
prin care intră pachetul. Astfel acest nod poate aplica pachetelor diferite politici de
prioritizare a pachetelor. Nodurile următoare pot aplica pachetelor diferite politici specifice
nodului respectiv numite PHBs (per-hop behaviors). [12]

Noduri in retelele MPLS

În retelele MPLS exista 3 tipuri de noduri:


-Noduri de intrare (Ingress Label Edge Router) – au rolul de a clasifica fiecare pachet în
clase de echivalenta (FEC). Pentru fiecare clasa de echivalenta se face o asociere catre un
NHLFE. Acest NHLFE contine informatii despre ce trebuie facut cu aceste pachete, care este eticheta
de iesire, si care
este urmatorul nod. Corespondenta între FEC si NHLFE se numeste FTN (FEC to NHLFE).
- Noduri intermediare (Label Switch Router) – Au de facut comutatia etichetelor.
Pentru o eticheta de intrare se consulta tabelul ILM si se afla ce NHLFE trebuie folosit.
Se consulta apoi NHLFE-ul indicat si se obtine urmatoarea eticheta si urmatorul nod din cale
- Noduri de iesire (Egress Label Edge Router) – Elimina eticheta din vârful stivei si dirijeaza
pachetul conform informatiilor ramase (de regula conform tabelului de rutare IP). Si acest nod
contine un LIB, dar mai contine si o tabela de rutare IP valida. [RFC3031]
Prelucrarile facute în aceste noduri sunt prezentate în figura urmatoare.

Fig. 2.3.2.(2). Stiva de protocoale si tabelele folosite în nodurile MPLS

Nodurile MPLS, pe langă comutarea de pachete bazate pe etichete, mai pot realiza şi rutare
Layer 3 sau switch-ing Layer 2.
În figura următoare ste reprezentată arhitectura unui nod MPLS din punctul de
vedere al celor două plane:
19
Fig 2.3.2.(3). Arhitecura unui nod MPLS
Planul de trimitere pachete

Planul de trimitere de pachete (Forwarding Plane) este responsabil de trimiterea de


pachete bazată pe informaţia din etichetele ataşate pachetelor. Acest plan foloseşte LFIB
(Label Forwarding Information Base), o bază de date folosită pentru trimiterea pachetelor.
Algoritmul folosit de comutarea de pachete foloseşte informaţia conţinută în LFIB, precum
şi informaţia conţinută în eticheta.Fiecare nod MPLS are două tabele importante: LIB
( Label Information Base) şi LFIB.
LIB conţine toate etichetele asignate de nodul MPLS local şi legătura acestor
etichete cu etichetele recepţionate de la nodurile MPLS vecine. LFIB foloseşte un subset de
etichete din LIB pentru trimiterea pachetelor.

2.3.3.Etichetele MPLS

Pentru a putea face comutatie de etichete, pachetele MPLS trebuiesc sa poarte anumite
etichete. Pentru aceasta, protocolul MPLS introduce un antet suplimentar în pachetele de date,
antet numit si antet MPLS, antet 'fâsie' sau shim header . În continuare este
prezentata structura acestui antet, precum si câmpurile sale.

20
Figura 2.3.3.(1) Structura antetului MPLS

O etichetă este un identificator de lungine fixă de 32 biţi, care este folosită pentru a
identifica un FEC (Forwarding Equivalence Class) care de regula are semnificaţie locală.
Eticheta care este ataşată unui anumit pachet reprezintă FEC-ul cu care este asociat pachetul
respectiv.
În cazul ATM, eticheta este plasată în unul din câmpurile VCI sau VPI din
header-ul celulei ATM.
Tehnologiile de Layer 2, cum ar fi Ethernet, Token-Ring, FDDI şi legaturile
punct-la-punct, nu pot folosi câmpurile din adresele de Layer 2 pentru a transporta
etichete. Aceste tehnologii transportă etichetele într-un câmp plasat între câmpurile
corespunzătoare nivelului de legătura de date şi cel al nivelului reţea.
Această metodă permite tuturor tehnologiilor de Layer 2 să suporte tehnologia MPLS.
Mai jos este reprezentat aşezarea etichetei în celula ATM şi în pachetul Ethernet:

21
Figura 2.3.3.(2) Aşezarea etichetei în celula ATM şi în pachetul Ethernet

Pentru a putea funcţiona acest mecanism în tehnologiile de Layer 2 este necesar


ca router-ul care trimite pachetul să indice printr-o metodă router-ului care recepţioneză
pachetul că acest pachet conţine o eticheta MPLS. În tehnologia Ethernet se foloseşte
valoarea 0x8847 şi 0x8848 pentru câmpul ethertype pentru a indica prezenţa unei etichete.
Valoarea ethertype 0x8847 este folosită pentru a indica prezenţa unui pachet MPLS unicast,
iar valoarea 0x8848 este folosită pentru indicarea unui pachet MPLS multicast.
Eticheta MPLS conţine următoarele câmpuri:
- Câmpul etichetă (20 biţi) - Transportă valoarea etichetei MPLS.
- Câmpul Exp (3 biţi) - rol în implementarea cozilor de aşteptare a
pachetelor şi în algoritmii de rejectare a pachetelor.
- Câmpul Stiva (1 bit) - suportă o etichetă de stivă ierarhică.
- Câmpul TTL (Time-to-Live) (8 biţi) - furnizează funcţionalitatea obişnuită
a câmpului TTL.

Eticheta Stiva

Bitul de stivă implementează stiva de etichete MPLS, în cazul în care unui pachet IP i
se ataşează mai mult de o etichetă. Bitul de stivă este setat la "1" pentru a indica stiva goala
şi la "0" pentru celelalte situaţii. În eticheta MPLS, vârful stivei apare chiar după header-ul
nivelului Legătura de date, iar sfârşitul stivei chiar înainte de header-ul nivelului Reţea.
Trimiterea de pachete este făcută ţinând seama de eticheta din vârful stivei. Rutarea IP
unicast nu foloseşte etichete stivuite, dar MPLS VPN (Virtual Private Network) şi controlul şi
managementul traficului folosesc etichetele stivuite.

TTL

Câmpul TTL este similar cu câmpul Time-to-Live transportat în header-ul IP. Nodul MPLS
procesează doar câmpul TTL situat în vârful stivei de etichete.
22
LFIB (Label Forwarding Information Base)

Această bază de date conţinută în nodul MPLS constă într-o secvenţa de intrări, aşa
cum este ilustrat în figura de mai jos.

Figura 2.3.3.(3). Structura LFIB

Aşa cum se observă în figură, fiecare intrare este alcătuita dintr-o etichetă de intrare şi
una sau mai multe subintrări. LFIB este indexat de valoarea conţinută în eticheta de
intrare.
Fiecare subintrare este alcătuită din o etichetă de ieşire, o interfaţa de ieşire, şi
adresa nodului următor. Trimiterea de pachete multicast necesită subintrări cu multiple
etichete de ieşire, deoarece un pachet ce intră pe o interfaţa trebuie să iasă pe mai multe
interfeţe de ieşire. Pe langă eticheta de ieşire, interfaţa de ieşire, şi informaţia despre nodul
următor, o intrare în tabela de trimitere a pachetelor poate cuprinde informaţii referitoare
la resursele ce pot fi folosite de pachet, cum ar fi coada de ieşire în care ar trebui plasat
pachetul.
Un nod MPLS poate avea o singura tabelă de trimitere a pachetelor, o tabelă pe
fiecare interfaţa, sau o combinaţie dintre cele doua. [12]

Algoritmul de trimitere a etichetelor

Switch-urile de etichete folosesc un algoritm de trimitere bazat pe înlocuirea de


etichete. Nodurile MPLS care folosesc tabele LFIB, extrag valorile etichetei din câmpul de
eticheta al pachetelor care au sosit şi folosesc aceasta valoare ca index în LFIB. După ce a
găsit o intrare în tabelă nodul MPLS înlocuieşte eticheta din pachet cu eticheta de ieşire
din subintrarea corespunzătoare, trimite pachetul prin interfaţa specificata către nodul
următor specificat în subintrare. Dacă subintrarea specifică şi o coadă de ieşire, atunci nodul
MPLS plasează pachetul în coada specificată. Dacă nodul MPLS foloseşte multiple tabele LFIB
pentru fiecare interfaţa a sa, el va folosi interfaţa pe care vine pachetul pentru a selecta un LFIB
23
care va fi folosit pentru trimiterea pachetului mai departe. În reţelele convenţionale pentru
trimiterea pachetelor se folosesc mai multe tipuri de algoritmi în funcţie de tipul
pachetelor, unicast, multicast şi pachete unicast cu biţii de Type of Service(ToS) setaţi. În
tehnologia MPLS se foloseşte o singura metodă de trimitere a pachetelor, şi anume cea bazată pe
înlocuirea de etichete.
Un nod MPLS poate obţine toată informaţia de care are nevoie pentru a trimite
un pachet precum şi rezervarea de resurse necesare pentru el folosind o singură
memorie de acces. Acest lucru duce la o mărire a vitezei de trimitere a pachetelor. MPLS
poate de asemenea să transporte alte protocoale de nivel 3, cum ar fi: Ipv6, IPX sau AppleTalk.

2.3.4. Planul de control

Planul de control MPLS este responsabil de popularea şi menţinerea informaţiei din


LFIB. Toate nodurile MPLS trebuie să ruleze un protocol de rutare IP pentru a schimba
informaţie IP de rutare cu toate celelalte noduri MPLS din reţea. Nodurile ATM ce pot trimite
pachete MPLS lucrează cu un LSC (Label Switch Controller) pentru a putea participa la acest
schimb de informaţie.
Protocoalele de rutare OSPF (Open Shortest Path First) sau IS-IS ( Intermediate
System to Intermediate System), pot fi o alegere pentru protocoale de distribuire. În routerele
convenţionale, tabela de rutare IP este folosită pentru a construi FSC (Fast Switching Cache)
sau FIB (Forwarding Information Base). În reţelele MPLS, tabele de rutare IP furnizează
infomaţie în reţeaua destinaţie pentru atribuirea etichetelor.
Informaţia despre distribuirea etichetelor poate fi transportată în reţea folosind protocolul
LDP (Label Distribution Protocol).
Protocolul de rutare OSPF inundă cu informaţie rutere care nu sunt neapărat
adiacente, în timp ce distribuirea de etichete cu ajutorul protocolului LDP se face doar
la routerele adiacente. Acest lucru face evidentă alegerea unui protocol special de distribuţie
a informaţiilor despre etichete.
Etichetele schimbate cu nodurile MPLS adiacente sunt folosite la construirea LFIB.
MPLS foloseşte o metoda de trimitere a pachetelor bazată pe schimbarea etichetelor care
poate fi combinată cu o serie de diferite module de control. Fiecare modul de control este
responsabil pentru distribuirea şi asignarea de etichete, precum şi de menţinerea altor
informaţii.[12]

Module de control MPLS

Modulele de control MPLS includ:


• Modulul de rutare Unicast
• Modulul de rutare Multicast
• Modulul de control al traficului
24
• Modulul de VPN (Virtual Private Network)
• Modulul de QoS (Quality of Service)

Modulul de rutare Unicast
Acest modul construieşte tabela FEC folosind IGP (Interior Gateway Protocol). Tabela
de rutare IP este folosită pentru a schimba informaţia despre etichete cu nodurile adiacente.
Aceasta schimbare de informaţie se face cu ajutorul protocolului LDP.

Modulul de rutare Multicast


Acest modul construieşte tabela FEC folosind un protocol de rutare numit PIM
(Protocol Independent Multicast). Tabela de rutare multicast este folosită pentru a schimba
informaţii despre etichete cu nodurile alăturate pentru subreţelele din tabela de rutare
multicast.

Modulul de control al traficului


Modulul de control al traficului lasă explicit ca anumite LSP (Label Switched Path) să
fie create în reţea din motive de control al traficului. Foloseşte definiţia de tunel MPLS şi
foloseşte o extensie a protocolului de rutare OSPF pentru a construi tabela FEC. Schimbul de
etichete este făcut cu ajutorul protocolului RSVP (Resource Reservation Protocol) sau CR-
LDP(Constraint-based Routing LDP) care este o extensie a protocolului LD.

Modului VPN (Virtual Private Network)


Acest modul este folosit pentru tabelele VPN de rutare si pentru asocierile FEC, in cazul
VPN-urilor implementate prin etichete stivuite.

Modulul de QoS
Acest modul construieşte tabela FEC folosing protocoale de rutare IGP cum ar fi: OSPF, IS-
IS, etc. Tabela de rutare IP este folosită pentru schimbul de etichete între nodurile MPLS
adiacente.

2.3.5. Elementele MPLS

Principalele elemente MPLS sunt:


• Comutator de Etichete (Label Switched Router ) -LSR
• Cale cu comutaţie de etichete (Label Switched Path ) -LSP
• Protocol pentru distribuţia etichetelor (Label Distribution Protocol) –LDP,CR-
LDP,RSVP,BGP.

2.3.5.1. Comutator de Etichete (Label Switch Router) - LSR

LSR este un echipament care implementează componentele de trimitere şi control MPLS.


LSR-ul trimite un pachet bazându-se pe valoarea unei etichete încapsulate în pachet. De
asemenea, LSR-ul poate trimite pachete de Layer 3. LSR-urile sunt routere ce pot prelucra
25
pachete MPLS sau switch-uri ATM care folosesc etichete pentru a trimite trafic. LSR-urile
bazate pe pachete, pot fi uşor construite prin încărcarea unui modul software într-un router
obişnuit. LSR-urile ATM/MPLS sunt construite folosind switch-urile ATM, cu software MPLS
integrat sau prin adăugarea facilitaţii MPLS folosind un LSC (Label Switch Controler) extern.
Un pas important în comutarea de etichete, este comunicarea între LSR-uri pentru stabilirea
etichetelor pe care le vor folosi pentru a trimite pachete. Ele cad de acord folosind
protocolul Label Distribution Protocol (LDP) sau extensii ale lui cum ar fi: PIM, BGP, RSVP,
sau CR-LDP. LSR-urile de nod de reţea MPLS, sunt localizate în locaţiile de prezenta POP
(Point of Presence) sau la graniţa reţelei MPLS şi aplică etichete sau stive de etichete
pachetelor. Atribuirea de pachete sau pregătirea etichetelor pentru pachete este denumită
acţiune „push". LSR-urile de nod de asemenea fac înlăturarea etichetelor în punctele de
ieşire din reţeaua MPLS, acţiune care se mai numeşte acţiune „pop". LSR-urile de nod de
reţea pot de asemenea trimite pachete IP normale. Acţiunile care pot fi întreprinse de un LSR
sunt enumerate în continuare.

Acţiunea asupra Descriere


eti etichetelor

Pop înlătura eticheta din vârful stivei si trimite câmpul de


da date rămas ca un pachet IP neetichetat

Push înlocuieşte eticheta din vârful stivei cu un set de etichete

Swap înlocuieşte eticheta din vârful stivei cu alta valoare

Tabelul 1. Actiunile care pot fi intreprinse de un LSR

Operaţiile LSR bazate pe pachete

26
MPLS foloseşte noţiunea de trimitere de pachete bazate pe etichete pentru a
transporta pachete de Layer 3 peste o reţea bazată pe rutare.Operaţiile de baza ale unui
LSR sunt figurate în desenul următor:

LSR 3

R2
LSR 1 LSR 2 1
R1
0 1 0
LSR 4
2
In In Address Out Out In In Address Out Out
I/F Lab Prefix I/F Lab I/F Lab Prefix I/F Lab
R3
0 - 171.68/16 1 7 0 7 171.68/16 2 8
... ... Next-
... -Hop...
Next ... ... ... Next-
... -Hop...
Next ...

171.68.0.1/16

Figura 2.3.5.1.(1) Operatii de baza LSR

LSR1 funcţionează ca un router LSR de nod de reţea. El aplică etichete iniţiale


pachetului după ce face o verificare convenţională a header-ului IP şi determină FEC-ul
pentru acel pachet. Parametrii cum ar fi: interfaţa de intrare, în cazul unei VPN (Virtual
Private Network) sau o cale predeterminată de trimitere a pachetului, pot de
asemenea determina alegerea unui anume FEC. Această alegere a FEC-ului este realizată
o singură dată la intrarea în reţeaua MPLS. După ce pachetul este etichetat, LSR-ul următor
trimite pachetul folosind doar eticheta. LSR-urile, de regulă, înlocuiesc eticheta unui pachet
venit cu o nouă valoare pe care o trimit mai departe. La ieşirea din reţea, LSR4 face o
căutare în tabela lui internă, extrage eticheta, şi face o căutare de Layer 3 pentru a găsi
următoarea destinaţie trimiţând pachetul către aceasta. [19]

3.5.5.2.Cale cu comutaţie de etichete (Label Switched Path)- LSP

LSP-ul este o conexiune configurată între două LSR-uri în care tehnica de comutare de
etichete este folosită pentru a trimite pachetele. Un LSP este o cale specifică de trafic printr-o
reţea MPLS. LSP-urile sunt furnizate folosind LDP-ul, RSVP-TE (Resource Reservation
Protocol with Traffic Engineering), CR-LDP (Constraint-Based Routed LDP) sau extensii ale
protocoalelor de rutare cum ar fi BGP. RSVP-TE rulează peste protocolul UDP, şi CR-LDP
rulează peste protocolul TCP. Între cele două protocoale nu există mare diferenţă, totuşi
protocolul RSVP-TE este mai indicat pentru interoperabilitatea cu reţelele IP. LSP-ul poate fi
considerat ca o cale printre mai multe LSR-uri în care pachetele aparţin unui anumit FEC.
Este posibil ca într-o reţea MPLS să avem diferite LSP-uri la diferite nivele ale etichetelor
pentru un pachet care îşi atinge destinaţia. LSP-urile sunt unidirecţionale. Aceasta înseamna
că un pachet se poate întoarce pe căi diferite. În figura următoare, LSR1 şi LSR6 sunt LSR-uri
de nod, şi LSR2, LSR3, LSR4 şi LSR5 sunt LSR-uri de backbone. Pentru a putea trimite
27
etichetele, LSR1 şi LSR6 lucrează la nivel de „border gateway" şi LSR2, LSR3, LSR4 şi LSR5
lucrează la nivel de „interior gateway". Acest desen figurează două LSP-uri: un LSP de nivel 1
capăt la capăt de la LSR1 la LSR6, şi un LSP de nivel 2 între LSR4 şi LSR5. Pentru a putea
construi un LSP, LSR-ul foloseşte protocoale de rutare şi rutele învăţate de la aceste
protocoale.

Figura 3.5.5.2.(1) Stabilirea unui LSP

Un LSP se poate stabili prin una din cele două posibilităţi:


• Controlul independent
• Controlul ordonat
Controlul ordonat şi controlul independent pentru stabilirea uni LSP, pot coexista în
aceeaşi reţea fără nici un fel de problemă din punct de vedere al arhitecturii sau
interoperabilităţii. Metoda independentă furnizează o convergentă şi stabilire a LSP-ului mai
rapida, deoarece, LSR-ul poate stabili şi trimite etichete oricând, fără întârziere sau aşteptare
pentru mesajele ce urmează a fi propagate dintr-o parte a reţelei în alta. Stabilirea LSP-ului
depinde foarte mult de protocolul de rutare. În metoda controlului ordonat, legăturile sunt
propagate de-a lungul reţelei înainte ca LSP-ul să fie stabilit. Această metodă furnizează o mai
bună prevenire şi evitare a buclelor. [12]

28
Distributia de etichete
2.3.5.3.Protocoale de distributie a etichetelor

2.3.5.3.a. LDP(Label Distribution Protocol)

Label Distribution Protocol este un protocol definit în RFC 3036. În acest


document sunt specificate mesajele communicate între noduri, precum si formatul acestor
mesaje.
O sesiune LDP începe prin descoperirea vecinilor. Astfel toate nodurile trimit pachete de tip
Hello la o adresa multicast. Doar vecinii directi vor raspunde si astfel se va stabili o sesiune TCP
între 2 vecini. Prin intermediul acestei sesiuni, cei doi vecini îsi comunica parametrii doriti. Dupa
initierea sesiunii, partenerii trimit un mesaj de tip Initialization prin care stabilesc modul de
functionare (cum ar fi daca se foloseste detectia buclelor, sau distributia etichetelor
nesolicitata). Daca parametrii sunt acceptati începe distributia etichetelor prin mesaje care fac o
corespondenta de genul: “pentru a ajunge la destinatia X foloseste eticheta Y” . Nodurile îsi
comunica pe rând destinatiile cunoscute si etichetele ce vor trebui folosite pentru a ajunge la
destinatie.
Daca o eticheta propusa nu este acceptata (cel mai probabil deoarece este deja
folosita si nodul nu suporta modul de lucru cu spatiu de etichete pe interfata), se
raspunde cu un mesaj Notification. Astfel, cei doi vecini negociaza ce etichete vor folosi
pentru anumite destinatii si la finalul negocierii îsi completeaza tabela de dirijare.

29
Fig 2.3.5.3.a.(1) Stabilirea sesiunilor LDP între vecini

Conexiunea TCP între cei 2 vecini este mentinuta permanent si periodic se trimit
mesaje de tipul KeepAlive. Mesajele initiale de tip Hello sunt trimise prin UDP si au un rol similar cu
mesajele KeepAlive. Diferenta este ca mesajele Hello indica faptul ca un link între vecini este activ,
pe când mesajele KeepAlive indica faptul ca un vecin este activ. Acest lucru este evident când exista
mai multe linkuri între 2 vecini; astfel se vor primi mai multe pachete Hello, dar un singur
KeepAlive. Solutia aceasta ajuta LDP sa fie mai scalabil în retelele mari. [RIBL] [RFC3036] [MPLS-
TE]

Distributia etichetelor se poate face în doua moduri:


-Downstream on Demand.

-Downstream Unsolicited.

Modul Downstream on Demand presupune construirea caii LSP când apare


necesitatea de a trimite trafic prin acel LSP. Nodul de intrare în reteaua MPLS
primeste trafic corespunzator unui FEC nou. Entitatea LDP va cere o eticheta nodului din aval.
Nodul din aval face si el o cerere de eticheta urmatorului nod si nu trimite nimic înapoi nodului
de intrare pâna nu primeste un raspuns. Procesul continua pâna când penultimul nod cere o eticheta
nodului de iesire. Dupa ce se întâmpla acest lucru, etichetele sunt alocate începând de la nodul de
iesire pâna la nodul de intrare, de unde si numele downstream-on-demand .

30
Fig 2.3.5.3.a.(2) Modul de lucru Downstream on Demand

În modul de lucru Downstream Unsolicited un ruter propune etichete pentru toate


prefixele IP cunoscute, catre toti vecinii, fie ca au cerut etichete, fie ca nu.
Deoarece etichetele propuse nu sunt folosite efectiv în dirijarea pachetelor în mod implicit,
nu este gresit sa se trimita etichete tuturor vecinilor, chiar daca acei vecini nu folosesc acest ruter ca
urmatorul nod. LDP nu este un protocol de rutare; el depinde de un protocol de rutare pentru a
elimina buclele (desi are si mecanisme de detectie si prevenire a buclelor, folosibile în retele ATM).
Modul de lucru Downstream Unsolicited presupune faptul ca un nod poate primi
etichete de care nu are nevoie. Se pune problema daca nodul va stoca acele etichete în cazul în care
va fi nevoie de ele, sau daca le va ignora. Modul de lucru conservator implica ca ruterul va
arunca etichetele de care nu are nevoie, ceea ce duce la eliberarea de spatiu în tabela de
dirijare, dar în acelasi timp duce la stabilirea mai lenta a cailor. Modul liberal implica stocarea
tuturor etichetelor primite si introducerea lor în tabela de dirijare, lucru care mareste spatiul ocupat,
dar reduce timpul de stabilire a cailor.
Alocarea etichetelor nu este singurul lucru pe care îl face LDP. În anumite
cazuri etichetele sunt retrase (daca se defecteaza un link catre o destinatie), astfel încât trebuie
sa existe mesaje pentru a face acest lucru.
Ca o particularitate LDP preia o parte din functiile MPLS în anumite cazuri. De
exemplu, în retelele ATM, celulele MPLS nu au câmpul TTL. La intrarea în domeniul MPLS-ATM
nodul de intrare decrementeaza TTL-ul pachetelor cu mai multe unitati conform cu numarul de
noduri pe care trebuie sa le traverseze. Semnalizarea legata de numarul de noduri se face
prin pachete LDP. De asemenea, pentru evitarea buclelor în retelele ATM se folosesc
câmpuri speciale din pachetele LDP pentru a stoca lista de noduri traversate. Daca un nod apare
de doua ori, înseamna ca exista o
bucla pe acea cale. [RFC3036] [MPLS-TE]

31
2.3.5.3.b. CR-LDP(Constraint Route Label Distribution Protocol)

Constraint-based Routing Label Distribution Protocol este o extensie a LDP si introduce


capabilitati de constructie a cailor comutate bazându-se si pe alte informatii decât pe informatiile
oferite de protocolul de rutare. Astfel se pot construi cai cu constrângeri explicite ale rutei
(de exemplu se impune ca ruta sa treaca prin anumite noduri) sau cu constrângeri de calitate a
serviciilor. De regula, CR-LDP afla informatiile necesare despre capabilitatiile linkurilor (banda
disponibila, delay, jitter, etc) de la un protocol de rutare cu astfel de capabilitati. Un exemplu
de astfel de protocol este OSPF-TE. CR-LDP a fost gândit sa fie utilizat în Traffic Engineering,
dar poate fi folosit si în construirea VPN-urilor bazate pe MPLS. [RFC3213]

2.3.5.3.c. RSVP-TE(Resource Reservation Protocol)

RSVP-TE reprezinta o propunere de a adauga functionalitate unui protocol deja consacrat, care
sa-i permita sa distribuie si etichete. Ideea a apartinut companiei Cisco si astfel protocolul RSVP-
TE a adoptat conceptele de QoS din IP în detrimentul conceptelor QoS din ATM.
Aceasta alegere a avut ca scop principal interconectarea mai usoara între provideri. Desi initial
RSVP nu a fost folosit în retelele core deoarece nu era scalabil, folosirea sa împreuna cu MPLS îi
creste considerabil scalabilitatea. În acest scenariu clasele de echivalenta MPLS nu mai sunt la fel
de rigide ca fluxurile RSVP, iar garantiile oferite nu mai sunt capat la capat. RSVP-TE este folosit
pentru a stabili cai cu garantii numai în interiorul domeniului MPLS.
În mod curent exista o concurenta între RSVP-TE si CR-LDP, dar se pare ca
RSVP-TE este mai larg raspândit, deoarece a fost implementat timpuriu în echipamentele
Cisco. [RFC3210]

2.3.5.3.d. BGP( Border Gateway Protocol )

Distributia de etichete MPLS prin BGP implica o extensie a protocolului BGP. Dorinta a
fost sa se poata interconecta domenii autonome MPLS, fara a fi nevoie sa se ajunga la IP. În plus,
BGP este larg raspândit în domeniile ce ofera VPN-uri, având un rol important în realizarea VPN-
urilor MPLS. Totusi, între nodurile vorbitoare de BGP trebuie sa se stabileasca cai MPLS folosind alt
protocol de distributie de etichete.

32
2.3.6. Calitatea serviciilor cu MPLS

Introducere

Din punct de vedere al suportului pentru calitatea serviciilor (QoS), telul MPLS a fost sa ofere
ceea ce ofera IP-ul, adica Servicii Diferentiate (Diffserv). Când au aparut primele drafturi despre
MPLS, au fost rezervati 3 biti pentru a transporta informatii despre clasele de servicii. În final
IETF a botezat acesti biti ca fiind Experimentali, desi majoritatea constructorilor îi folosesc ca
pe bitii Precedenta din IP. Bitii EXP sunt analogi (si cel mai adesea o copie) a bitilor
Precedenta din IP.Arhitectura MPLS si-a dorit sa se integreze bine cu protocolul IP si sa fie cât
mai independenta de protocolul de nivel 2. Astfel s-a ales sa se ofere suport pentru Diffserv, în
detrimentul suportului QoS oferit de ATM. Aceasta decizie a dus la o simplificare
majora a implementarii MPLS, obtinând performante care sunt competitive desi sunt inferioare celor
oferite de ATM.
Calitatea serviciilor înseamna diverse lucruri pentru diverse persoane. La nivelu retea, QoS e
compus din doua lucruri:
-sa se gaseasca o cale prin retea care sa îndeplineasca cerintele impuse
-sa se respecte restrictiile impuse

Gasirea celei mai bune cai prin retea poate fi o actiune de genul alegerii caii cu cost minim
furnizate de IGP. Respectarea restrictiilor impuse se poate rezolva prin dimensionarea retelei cu
atât de multa banda încât sa se elimine problema. Aceasta abordare mai este numita si
“cantitatea serviciilor”, dar la baza este o solutie temporara pentru a asigura calitatea
serviciilor.
Totusi, lucrurile pot fi rezolvate si altfel. O cale disponibila prin retea poate fi construita
printr-un LSP TE, similar cu un ATM PVC, fara a tine cont de metrica protocolului
de rutare. Respectarea restrictiilor impuse se poate face folosind mecanismele Diffserv,
cum ar fi policing, marcare, repartizare în cozi si aruncare. MPLS este doar o unealta
care poate fi folosita împreuna cu mecanismele Diffserv pentru a oferi calitatea serviciilor.
Tehnologia IP ofera doua arhitecturi QoS:
-Servicii Integrate (IntServ)

-Servicii Diferentiate (DiffServ)

IntServ îsi propunea sa faca rezervari capat la capat pe fiecare flux, motiv pentru
care nu este scalabil în Internet. Totusi, poate fi folosit cu succes în retele micisi medii, în cazul
în care este suportat de echipamentele de retea. Semnalizarile IntServ folosesc protocolul
RSVP pentru a comunica tuturor nodurilor din cale cerintele de trafic dorite de host-uri. Nodurile din
retea creau stari si alocau resursele hosturilor care solicitau anumite garantii. În cazul în care
negocierea avea succes, garantiile oferite de IntServ sunt deterministe.
Din celalalt punct de vedere, DiffServ a fost vazut ca o tehnologie scalabila,
care nu împovareaza nodurile din centrul retelei, obligându-le sa faca multe prelucrari.
El foloseste clasificarea pachetelor pe marginea domeniului si un sistem de cozi cu prioritati în
centrul retelei. [RTC]

33
2.3.6.1.Servicii Diferentiate

Arhitectura DiffServ

Arhitectura DiffServ este definita în RFC 2475 împreuna cu modul de folosire al Diffserv Code
Point (DSCP) si mecanismele QoS ce trebuiesc implementate într-o retea pentru a oferi diferite
calitati ale serviciului.
Diffserv are doua componente majore:
-Conditionarea traficului – Include elemente precum policing, colorare si shaping. Aceasta
prelucrare e facuta doar la marginea domeniului
-Comportamentul în fiecare nod (Per-hop behaviour) – Consista din mecanismele de
repartizare în cozi, planificare si aruncare. Asa cum îi spune si numele, actiunile sunt facute de fiecare
nod din retea.
Functiile suplimentare necesare pentru a implementa Diffserv includ clasificarea pachetelor si
conditionarea traficului, cum ar fi masurarea, marcarea, formarea si aplicarea politicilor
asupra traficului.
Serviciul Diffserv este oferit doar în interiorul unui domeniu Diffserv, care consta dintr-un set
continuu de noduri caracterizate de anumite tipuri de comportament (PHB) si pot aplica anumite
reguli asupra traficului. Astfel, nodul de intrare din domeniul Diffserv verifica daca traficul
de intrare respecta specificatiile tehnice mentionate în contract (SLA), altfel va marca traficul
ca fiind neconform. Tot nodul de intrare va asocia traficul într-un Agregat de Comportament
(BA-Behaviour Aggregate) pe baza unuia sau mai multor câmpuri din antetul de nivel 3.
Dupa aceasta actiune fiecare pachet este marcat cu un anumit cod DSCP. Nodurile de intrare vor
face formatarea si conditionarea traficului pe baza clasificatorului.
Nodurile din interiorul domeniului nu mai trebuie sa faca reclasificari, ci doar sa
aplice un set de reguli traficului de intrare (Per Hop Behaviour). Acest PHB specifica câte resurse
vor fi alocate pentru un BA. Traficul de tip Best-Effort este si el clasificat, si de regula are o banda
minima specificata. [RTC] [OPALSOFT-DS]

34
Fig 2.3.6.1.. Arhitectura DiffServ

35
Clasificarea pachetelor

Primul lucru necesar pentru a aplica arhitectura DiffServ este abilitatea de a clasifica
pachetele. Clasificarea este actiunea de a examina un pachet pentru a hotarî ce fel de reguli trebuie
sa urmeze, si ulterior, ce marcaj DSCP sau EXP trebuie sa primeasca. În mod uzual
clasificarea se poate face dupa codul DSCP existent (în acest caz se foloseste
clasificatorul Behaviour Aggregate) sau dupa mai multe câmpuri, folosindu-se un clasificator
multicâmp.

Clasificarea pachetelor IP

Pachetele IP pot fi clasificate usor. Se pot face comparatii dupa orice câmp IP,
dar în general se foloseste adresa IP destinatie, adresa IP sursa sau valoarea DSCP. În plus se mai
poate face si analiza de nivel 4, dupa tipul de protocol sau dupa portul folosit, pentru a se face o
separare mai fina. Totusi o clasificare complexa implica un timp mai mare petrecut în nodul de
intrare si astfel, o reducere a performantelor de calitate. [MPLS-TE] [OPALSOFT-DS]

Clasificarea pachetelor MPLS

Pachetele MPLS care intra într-un domeniu cu suport pentru Diffserv pot fi clasificate
în principiu doar dupa valoarea bitilor EXP din eticheta din vârful stivei. Nodurile de
intrare nu vor analiza celelalte etichete si nici informatiile de nivel 3 deoarece ar fi
nevoie sa se elimine antetul de nivel 2 în prealabil. Acest lucru nu este dorit la granita care leaga
domenii MPLS.

Policing

Functia de policing implica masurarea traficului utilizatorului si compararea


masuratorii cu un contract de servicii încheiat cu furnizorul. Ideea principala în Diffserv este ca nu
se permite traficul excedentar sa intre în retea daca se depaseste capacitatea cozilor
instalate. Acest lucru este facut prin policing, desi poate fi facut si prin mecanismul de shaping
(formare).
Functia de policing este facuta la granita retelei. Astfel, majoritatea pachetelor
care vor intra în retea sunt de tip IP. Totusi, sunt câteva cazuri în care traficul de intrare
poate fi MPLS. Un exemplu în acest caz este arhitectura Carrier Supporting Carrier, prin care
reteaua furnizorului ofera servicii de transport pentru alt furnizor, care îi este client. Cei doi furnizori
se pot pune de acord sa foloseasca trafic MPLS pentru comunicarea între ei.

Marcarea

Regulile de marcare sunt adesea strâns legate de regulile de policing. Astfel,


traficul care iese din policer poate fi marcat ca fiind conform sau neconform. Ulterior aceste doua
tipuri de trafic vor fi servite diferentiat.
36
Totusi, nu e nevoie de un policer pentru a face marcarea. De exemplu se poate
face un mapping între valoarea DSCP a pachetului IP si valoarea EXP pe care o va lua pachetul
etichetat. Alta varianta este sa se marcheze traficul care intra pe o interfata, indiferent de
rata acestuia. Acest lucru e util atunci când furnizorul taxeaza în plus unii clienti pentru QoS extra.
Când nu se doreste un serviciu cu o anumita calitate, se pot seta bitii EXP la valoarea 0.
Prin faptul ca marcarea se face în antetul de nivel 2,5 nodurile MPLS nu trebuie
sa analizeze câmpul Precedenta din IP pentru a hotarî tipul de tratament ce trebuie aplicat
pachetului. În plus, analiza de nivel 3 nu este dorita si din urmatorul motiv: operatorul
retelei MPLS poate decide sa aloce pachetul într-o anumita clasa de servicii, fara a
modifica clasa de servicii marcata initial în DSCP. Astfel, la iesirea din domeniul MPLS, pachetul
clientului poate beneficia din nou de privilegiile cerute.

Marcarea pachetelor IP

Antetul IP a evoluat continuu de-a lungul timpului din punct de vedere al


marcarii calitatii serviciilor. Initial exista un câmp Type of Service (ToS) compus din 3 biti de
precedenta plus 4 biti ce marcau tipul de serviciu dorit. Bitii de precedenta erau folositi pentru a alege
un tip de tratament ce îi va fi aplicat pachetului. Valorile între 0 si 5 erau destinate datelor
utilizatorului, iar valorile 6 si 7 marcau traficul de control din retea.
Diffserv a redefinit câmpul ToS folosind 6 biti pentru marcarea tratamentului dorit
pentru pachet, (acest lucru formând câmpul DSCP) iar doi biti folositi ulterior pentru ECN.
Desi Diffserv pune la dispozitie 64 de clase de trafic, numai 15 au fost definite si în practica, un
furnizor poate implementa mai putine.

Nume DSCP (zecimal) DSCP (binar)


Best effort 0 000000
AF11 10 001010
AF12 12 001100
AF13 14 001110
AF21 18 010010
AF22 20 010100
AF23 22 010110
AF31 26 011010
AF32 28 011100
AF33 30 011110
AF41 34 100010
AF42 36 100100
AF43 38 100110
EF 46 101110

Tabelul 2. Clase de trafic folosite in Diffserv

37
Au fost definite 12 valori AF, în formatul Af xy , unde x e numarul clasei, iar y este
prioritatea de aruncare. Aceste patru clase (AF1x-AF4y) furnizeaza o metoda de a oferi o pierdere
de pachete mica într-o anumita banda de trafic, dar face garantii minimale asupra întârzierii.
EF a fost definit pentru a servi trafic care cere o întârziere minima, un jitter minim si o
pierdere minima de pachete. Nu este nevoie de mai multe clase de tip EF deoarece acestea ar
concura pentru aceleasi resurse. [RTC] [MPLS-TE]

Marcarea pachetelor MPLS

Problema care poate aparea atunci când se doreste stabilirea unei


corespondente de la DSCP la EXP este faptul ca DSCP este stocat pe 6 biti, pe când EXP ocupa doar
3 biti. În retelele în care MPLS functioneaza în modul cadru (spre deosebire de retelele
în care functioneaza în modul celula – peste linkuri ATM) se folosesc cei 3 biti EXP pentru
codificare. Astfel, este nevoie ca mai multe coduri DSCP sa corespunda aceluiasi marcaj EXP. În
practica acest lucru nu e o problema, deoarece putini furnizori ofera mai mult de 8 clase de
serviciu.Totusi, se pot oferi mai multe clase de serviciu, daca este nevoie, în special pe linkurile ATM
folosind bitii EXP în combinatie cu însasi eticheta folosita. Acest mod de lucru se numeste L-LSP
(Label Only Inferred LSP). [OPALSOFT-DS]

Repartizarea în cozi

Repartizarea în cozi si selectarea planificatorului care sa serveasca acele cozi


pot fi diferite în functie de platforma. Aceleasi tehnici de planificare care sunt aplicate asupra
traficului Diffserv IP pot fi aplicate si pentru traficul MPLS. Tipurile de cozi uzuale si
planificatoarele asociate au la baza coada FIFO si planificatorul Weighted Fair Queueing. Coada
FIFO poate fi îmbunatatita cu un algoritm de tip Random Early Detection.

Aruncarea pachetelor

Mecanismul de aruncare al pachetelor nu este important doar pentru a tine sub


control dimensiunea cozilor folosite, dar si pentru a reduce debitul surselor TCP. Astfel,
când o sursa TCP pierde pachete, ea va reduce rata de transmisie. De aceea se doreste ca în caz de
congestie cozile sa arunce din pachete, în loc sa le piarda pe cele care nu mai au loc sa intre. În acest
scop se poate folosi Weighted Random Early Detection.

38
2.3.6.3. Alte procedee pentru a asigura QoS în retelele MPLS

Mecanismul Diffserv nu este singurul mecanism conceput pentru a asigura calitatea


serviciilor în retelele IP. Un rol important în asigurarea garantiilor pentru anumite tipuri
de trafic îl are si tehnologia IntServ. Astfel se foloseste o semnalizare capat la capat între
entitatiile comunicante prin care se cere rezervarea resurselor necesare în nodurile din
retea.Pentru a face acest lucru s-a folosit traditional protocolul RSVP pentru a transporta
semnalizarile si pentru a instala starile de rezervare în noduri. Principalele dezavantaje ale RSVP
sunt necesitatea acestuia de a rula capat la capat (astfel trecând prin retele care pot sa nu
suporte rezervarea de resurse) si nevoia de a folosi semnalizari per flux între doua entitati. Al doilea
dezavantaj a avut un rol important în determinarea scalabilitatii solutiei, deoarece într-o retea mare
pot exista zeci sau sute de mii de stari într-un nod, iar traficul periodic de mentinere a rezervarii poate
ocupa o parte importanta din capacitatea linkului.
MPLS poate folosi RSVP pentru distributia de etichete, folosind anumite extensii
ale acestuia. Diferenta fata de primul caz consta în rularea RSVP doar în reteaua core, având
nodurile de granita ca si capete. Acest lucru reduce mult numarul de entitati comunicante,
crescând scalabilitatea solutiei. Al doilea avantaj consta în faptul ca rezervarea se face acum pe
clase de echivalenta, si nu pe fluxuri individuale, reducând mai mult numarul de semnalizari si stari
ce trebuiesc folosite. În functie de cât de fine sunt clasele de echivalenta se poate extinde scalabilitatea
protocolului.
În cazul RSVP-TE odata cu cererile de eticheta se transmit si parametrii de trafic
doriti în obiecte de tip TSpec si RSpec. Nodurile intermediare ajusteaza informatiile din
TSpec în functie de cât pot rezerva în momentul respectiv. Nodul destinatie aloca eticheta,
dar face si cererea de rezervare a resurselor. Calea este mentinuta atâta timp cât se primesc
periodic mesaje de tipul PATH.
Daca se doreste cresterea sau scaderea resurselor folosite în mod curent pentru
cale, se pot trimite noii parametrii în mesajele PATH. Astfel, calea ar primi o noua rezervare în
timp ce este folosita. Totusi, daca din diverse motive, rezervarea nu se poate face, calea va fi stearsa
si traficul de date va fi întrerupt.Pentru a remedia aceasta problema posibila, mai exista un mod în
care se pot cere resurse suplimentare. Calea initiala este mentinuta, dar în acelasi timp
este realizata alta cale cu anumiti parametrii de trafic doriti. În momentul în care calea
secundara este gata, traficul este dirijat prin ea si calea originala este stearsa. În acest caz, daca calea
secundara nu poate fi construita, calea principala ramâne în folosinta si nu apar întreruperi în trafic.
RSVP-TE nu este singurul protocol capabil sa faca alocari de banda. CR-LDP
permite crearea de cai cu comutatie a etichetelor care sa aiba o anumita banda
garantata. De asemenea, parametrii acestor cai pot fi modificati pe timpul functionarii caii, fara a fi
nevoie sa se stearga calea principala. CR-LDP beneficiaza de avantajul de a fi un protocol de tip
Hard State, astfel neavând nevoie de semnalizari permanente pentru a mentine o cale, asa cum are
nevoie RSVP-TE. Din acest motiv CR-LDP este preferat în retele MPLS foarte mari, unde
RSVP-TE poate sa nu fie foarte scalabil.
[Cisco-DS]

39
2.3.7. Avantaje si dezavantaje ale tehnologiei MPLS

Tehnologia MPLS a fost definitivata în 2001, când specificatiile sale au fost ridicate
la rangul de standard. Totusi, de atunci implementarile MPLS nu au crescut în ritmul asteptat.
Acest lucru s-a datorat mai multor factori, cum ar fi recesiunea economica din 2001, care
a dus la scaderea volumului de afaceri purtate prin Internet. În ultimii ani, retelele MPLS au început
sa se dezvolte, în principal prin beneficiile pe care le aduc furnizorilor de servicii.
În continuare sunt argumentate câteva idei ce sustin folosirea MPLS în retelele core , dar si
câteva idei care neaga importanta acestuia:

Avantaje
-Ruterele care nu au circuite specializate pentru procesul de rutare, sau alte metode pentru
cautari rapide vor beneficia de o crestere de viteza în cazulfolosirii unei implementari
software MPLS
- Este flexibil deoarece se poate baza pe informatiile de rutare furnizate de protocoalele
de rutare traditionale folosite si de IP
- Este usor de integrat treptat în retele mari bazate pe IP, deoarece ruterele MPLS pot
comunica cu ruterele traditionale IP
-Permite realizarea de retele virtuale private (VPN) cu un overhead mai mic decât în
cazul IP-ului
-Permite realizarea mai usor a unor functii de Traffic Engineering.
-MPLS se poate integra usor în spectrul de servicii IP QoS

Dezavantaje/Critici
-MPLS are o dinamicitate mai mica fata de IP, deoarece lucreaza cu conexiune, si stabileste cai
înainte de a transmite datele. Daca o cale se întrerupe, protocolul de distributie de
etichete va sesiza acest lucru dupa protocolul de rutare si va construi noua cale înainte de a
trimite trafic pe ea.
-Comutatia MPLS nu este mai rapida decât rutarea IP. Ruterele noi folosesc memorii
cache în care stocheaza rutele cele mai des folosite. Astfel cautarea în tabelul de rutare se reduce
considerabil. Într-un domeniu MPLS, ruterul de intrare si cel de iesire trebuie sa aiba si
functionare IP. Prin faptul ca au de facut si prelucrari specifice MPLS, timpul lor de prelucrare
e mai mare decât un pentru un ruter IP. --Celelalte rutere au, într-adevar un timp de
prelucrare mai mic, dar aceasta performanta se vede doar pentru cai cu mai mult de 5 noduri; daca
sunt mai putine noduri, performanta ruterelor IP e mai buna. În plus, ruterele MPLS pot
consuma mai multa memorie decât ruterele IP (deoarece trebuie sa tina si un tabel de rutare si
tabel de dirijare).
-MPLS nu are suport nativ pentru QoS – acest lucru a fost adaugat ulterior prin folosirea bitilor
EXP. În anumite situatii clasele de servicii diferentiabile prin 3 biti pot sa fie insuficiente pentru
anumite retele. De asemenea, pot aparea probleme la implementari diferite; unii constructori
pot sa nu tina cont de bitii EXP. [MPLS-Myths] [RIBL] [L3vsL2]

40
Cap 3. Virtual Private Networks (VPN)

Introducere

O retea privata virtuala (VPN) este o retea de comunicatii folosita de o companie


pentru a lega mai multe sedii separate de distante geografice permitându-le sa comunice peste o
retea publica de date. Traficul generat de VPN-uri este transportat peste o infrastructura
publica (de exemplu, peste Internet) folosind protocoale standard sau poate fi transportat prin
retelele furnizorului de servicii, caz în care se stabilesc contracte Service Level Agreement (SLA)
între client si furnizor.
Din punct de vedere al clientului, un VPN este un mecanism de a interconecta doua sau mai
multe locatii distante, permitând traficul între acestea, dar în acelasi timp ascunzând structura retelei
publice de transport. Clientul doreste doar sa acceseze resursele sale aflate în celelalte site-uri,
folosind reteaua de transport, dar nu doreste sa interactioneze cu aceasta, sau sa acceseze alte
resurse, care nu-i apartin, dar sunt
legate la reteaua de transport.
Din punct de vedere al furnizorului, construirea si administrarea unui VPN poate fi dificila.
Acest lucru depinde în primul rând de cerintele clientului, dar si de infrastructura retelei
de transport.Ideea de baza care a dat nastere VPN-urilor a fost interconectarea site-urilor
clientului prin linii telefonice închiriate. Astfel, clientul închiria linii fizice care legau site-urile sale
de la un operator telecom, platind o taxa lunara pentru acest serviciu.
Clientul obtinea astfel garantii de banda (în functie de capacitatea liniei), dar si garantii de
securitate (linia închiriata are la capete doar domeniile clientului, restul trecând prin reteaua telecom
cu comutatie de circuite).
Folosirea liniilor închiriate pentru a interconecta mai multe site-uri ale clientului are doua
probleme principale. Prima problema este costul ridicat al folosirii acestei tehnologii – clientul
este taxat chiar daca nu trimite trafic pe linia închiriata. A doua problema o prezinta
complexitatea interconectarii mai multor site-uri. Acest lucru se poate face construind o
topologie mesh de linii închiriate, astfel încât, pentru a interconecta n site-uri e
nevoie de n(n-1)/2 linii închiriate. Acest aspect duce la
probleme mari de scalabilitate si cost ridicat în implementare.
Solutia propusa a fost folosirea retelelor publice de pachete pentru a transporta traficul între
site-uri. În acest mod fiecare site ar avea o conexiune la reteaua de pachete, si numarul de
legaturi ar fi doar n , iar costul de operare ar fi redus, deoarece se poate aplica o taxare conform
volumului de trafic .

41
Fig 3.1. Comparatie între interconectarea printr-o retea de tip comutatie de circuite si una
de tip trimitere de pachete

Totusi, VPN-urile peste retele de pachete aveau câteva neajunsuri fata de cele peste retele cu
comutatie de circuite. În special, în functie de tehnologia folosita de reteaua publica, aceasta nu
oferea întotdeauna garantii de banda sau de securitate. [VPN-Security] [Wiki-VPN]

3.1. Tehnologii care ofera suport pentru VPN

Operatorii de retele publice de transport pot oferi servicii VPN folosind diferite tehnologii.
Diferentele dintre tehnologii, precum si modul lor de folosire catalogheaza VPN-urile oferite în
diferite clase:

VPN-uri peste Frame Relay – au fost printre primele tipuri de VPN-uri realizate peste retele
publice de date si constau din interconectarea la nivel 2 a site-urilor utilizatorului prin
circuite virtuale. În esenta se creea un mesh de circuite virtuale peste aceeasi retea publica de date
între site-urile abonatului. Tehnologia avea avantajul de a nu fi foarte scumpa, dar nu putea oferi
garantii de banda, asa cum ofereau liniile închiriate.
VPN-uri peste ATM – ATM permite construirea de VPN-uri ce ofera o
interconectare de nivel 2 folosind circuite virtuale permanente (PVC), construind un mesh între
site-urile clientului. Diferenta fata de Frame-Relay este ca ATM poate fi configurat sa ofere
calitatea serviciilor, astfel serviciul oferit clientului fiind foarte similar cu cel oferit de o linie
închiriata. Dezavantajul tehnologiei ATM îl constituie costul ridicat de dezvoltare si operare, dar
ofera si cele mai bune servicii VPN.
VPN-uri peste IP – Mai multi operatori au încercat sa ofere VPN-uri desi nu aveau
tehnologii ATM sau Frame Relay. Ei au creeat tunele peste IP prin care trimiteau
traficul clientului catre destinatie. Acest lucru le-a permis sa foloseasca retelele existente
pentru acest serviciu, aducând ca beneficiu faptul ca site-urile clientului pot fi conectate
la orice retea IP. Totusi, aceste VPN-uri nu ofera (nativ) garantii de securitate si nici garantii
42
de banda. Pentru a remedia aceste dezavantaje, s-a propus folosirea criptarii la nivel retea
(IPSec) asigurând astfel securitate, iar domeniile care ofera VPN-uri au mecanisme de QoS
cum ar fi Diffserv. Totusi, desi costul acestor VPN-uri este mai scazut, apar probleme de eficienta,
prin folosirea de overhead-uri mari în transmisie.
VPN-uri peste MPLS – încearca sa ofere avantajele VPN-urilor peste ATM renuntând
la complexitatea si costul ATM-ului. Aceste VPN-uri creeaza cai virtuale între site-urile
clientului putând oferi si suport pentru QoS. Avantajul cel mai mare îl au operatorii de retele IP
deoarece trecerea la MPLS se poate face gradat si se poate calitatea serviciilor VPN oferite.
[VPN-Security] [VPNC].

3.2. Tipuri de VPN-uri

Aspectul securitatii datelor utilizatorului a dus la clasificarea VPN-urilor în mai multe


categorii:

VPN-urile de încredere se bazeaza pe onestitatea furnizorului de servicii pentru a garanta


securitatea si integritatea mesajelor trimise. Acesta are în principiu acces la toate informatiile care
tranziteaza reteaua lui si ar putea sa le captureze sau sa le modifice. Clientul are încredere în
furnizorul de servicii ca acesta îsi va folosi reteaua corect si nu va urmari continutul traficului
clientului. Daca anumite comunicatii ce
traverseaza VPN-ul trebuie sa fie cu adevarat private, atunci se poate folosi criptarea la cele doua
capete care comunica.
VPN-uri de încredere se pot construi uzual folosind tehnologii de nivel 2 (Frame Relay, ATM) sau
mai nou folosind MPLS.
VPN-urile securizate utilizeaza criptarea pentru a oferi securitate clientilor. Trecerea la
astfel de VPN-uri a fost accelerata de necesitatiile pietelor concurentiale deoarece toate corporatiile
doresc sa-si protejeze traficul. Pentru a comunica securizat se folosesc protocoale speciale sau
extensii ale protocoalelor existente ce pot face criptarea traficului. În plus, se mai pot oferi
servicii de tipul autentificare, autorizare si protectie la atacuri de tip replay .
VPN-urile securizate se pot construi folosind protocoale de nivel 3 sau mai mare, în
specia
utilizând IPSec pentru a adauga suport de criptare peste nivelul 3 sau folosind IPSec în combinatie
cu L2TP pentru acces de tip client-server ori folosind SSL sau TLS la nivel 4.
VPN-urile hibride sunt în esenta VPN-uri de încredere peste care poate circula si trafic criptat
controlat de client. Astfel criptarea se poate face doar atunci când este nevoie, reducând overhead-
ul si nevoia de prelucrare pentru criptarea tuturor mesajelor ce strabat VPN-ul. [VPNC]
[VPN-Security]

3.3.Cerintele VPN-urilor

Toate VPN-urile au o cerinta majora: aceea ca administratorul sa stie care sunt retelele tranzitate
de acel VPN. Oricare ar fi tipul de VPN folosit, orice VPN are anumite caracteristici
pe care nu le întâlnim la o retea normala. Astfel administratorul trebuie sa stie care informatii vor
circula prin VPN si care nu. În plus, tipurile diferite de VPN au si cerinte diferite. Astfel, VPN-urile
securizate au urmatoarele cerinte:
43
Tot traficul care va strabate VPN-ul securizat va fi criptat si autentificat.
Astfel chiar daca un atacator reuseste sa obtina traficul din VPN, el nu îl va putea descifra.
Proprietatiile de securitate trebuie sa fie aceleasi pentru toti participantii la comunicatie prin
VPN. Tunelurile securizate au câte doua capete, iar acesteau sunt de regula administrate
separat. Administratorii acestor capete trebuie sa formuleze în comun o politica de acces si
anumite proprietati de securitate asupra tunelului.
Nimeni din afara VPN-ului nu poate afecta politicile de securitate. Acest lucru e necesar pentru ca
un atacator sa nu reuseasca sa slabeasca cheile de criptare folosite sau sa ocoleasca complet acest
proces.

VPN-urile de încredere au urmatoarele cerinte:


-Nimeni în afara de furnizorul serviciului nu are dreptul sa modifice sau sa creeze o noua cale în
VPN. --Valoarea încrederii pe care o are clientul în furnizor depinde de capacitatea acestuia de a-
si proteja reteaua. Astfel doar furnizorul trebuie sa aiba acces administrativ asupra VPN-urilor si sa
nu permita modificari
ale unor persoane terte. Daca VPN-ul se întinde pe mai multe retele, clientul trebuie sa aiba
încredere în toti furnizorii ai caror retele sunt folosite.
Furnizorul serviciului VPN nu are dreptul sa modifice sau sa injecteze date în VPN-ul
respectiv. Acest lucru întareste ideea de încredere. Totusi, furnizorul are dreptul de a arunca
datele clientului în cazul în care profilul de trafic al acestuia nu mai corespunde cu profilul de
trafic negociat.
Adresarea folosita în VPN trebuie sa fie stabilita înainte de creearea VPN-ului. Acest pas
este necesar pentru a avea o imagine clara a topologiei folosite, precum si a pachetelor ce vor
strabate VPN-ul.

VPN-urile hibride au o singura cerinta suplimentara:


Adresele pentru care se va oferi un serviciu securizat trebuiesc delimitate clar de adresele ce
ofera un serviciu de încredere. [VPNC]

44
Cap 4. VPN-uri peste MPLS

Terminologia folosita

Conceptul de VPN introduce o separare administrativa între echipamentele furnizorului de


servicii si cele ale clientului. Din acest punct de vedere apar anumiti termeni folositi în
continuare ce vor fi definiti aici:

Furnizor de servicii – Organizatia care ofera un VPN peste MPLS clientului


Client – Organizatia care beneficiaza de un VPN peste MPLS. Aceasta organizatie poate fi la
rândul ei un furnizor de servicii, sau o alta entitate organizationala.
Retea core – Reteaua furnizorului de servicii la care se leaga clientii.
Ruter Customer Edge (CE) – Este un dispozitiv (de nivel 2 sau 3) folosit de client pentru a se
conecta la reteaua furnizorului. În mod uzual este în locatia clientului si este administrat de acesta.
Ruter Provider Edge (PE) – Este dispozitivul la care se conecteaza unul sau mai multe CE-uri. PE
face parte din reteaua core, dar este un element de granita si este administrat de furnizor.
Ruter Provider (P) – este un nod din interiorul retelei core, furnizând conectivitate între
PE-uri. Într-o retea MPLS, nodurile P nu au informatii despre VPN-uri si nu sunt folosite decât
pentru a face comutatie de etichete.

Fig. 3.3. Terminologia folosita

45
Obiective

• Descrierea soluţiilor şi arhitecturii de realizare a VPN-urilor (Virtual Private Network)


peste o reţea MPLS.
• Comparaţie între metodele de obţinere a VPN-urilor în tehnologia MPLS.
• Diferenţele între implementările VPN de Layer 2 şi VPN de Layer 3.
• Situaţia în care este indicată implementarea uneia dintre cele două soluţii.

Introducere

Reţelele MPLS au devenit foarte interesante pentru furnizorii de servicii de transport în ultimii
ani. Ele au o importanţă foarte mare în cazul în care se doreşte o reţea care să suporte şi metode
de inginerie a traficului. Una dintre ultimele aplicaţii ale tehnologiei MPLS este furnizarea de servicii
VPN. Implementarea VPN-urilor într-o reţea MPLS se face prin una din metodele: soluţie de
implementare Layer 2, soluţie de implementare Layer 3 sau prin una din metodele de tunelare
obişnuite folosite în implementarea VPN-urilor. Când un furnizor de servicii se hotărăşte să
implementeze VPN-uri peste o reţea IP/MPLS el are două soluţii:
- O abordare a problemei Layer 3
- O abordare a problemei Layer 2
Evaluarea oportunităţii uneia sau alteia dintre soluţii ar trebui să ţină cont de următoarele
aspecte:
• Tipul de trafic suportat
• Tipul de conectivitate VPN care ar trebui oferit clientului
• Scalabilitate
• Complexitatea serviciului oferit
• Complexitatea managementului şi al rezolvării problemelor apărute
• Costurile de management şi intretinere

4.1. VPN-uri de nivel 2

.
Abordarea Layer 2 este o abordare nouă în implementarea VPN-urilor MPLS, şi ea oferă
o soluţie de comutare Layer 2. Această soluţie furnizează separare completă între reţeaua
furnizorului de serviciu şi reţeaua clientului, deoarece nu există schimb de rute între
echipamentele PE şi CE. Această separare între reţele furnizează simplitate. VPN-urile
Layer 2 MPLS furnizează posibilitatea de emulare de servicii în transportul cadrelor Layer 2
de la un site la altul. Acest lucru e făcut într-o maniera total transparentă echipamentului
CE. Furnizarea acestui tip de VPN oferă furnizorului de servicii posibilitatea de a transporta
servicii care sunt independente de protocoalele Layer 3, furnizorul putând astfel să transporte
IPv4, IPv6, IPX, DECNet, OSI, etc. Abordarea Layer 2 implică două probleme de conectivitate:
46
• Furnizarea de conexiuni punct la punct
• Furnizarea de conexiuni punct la multipunct

Conexiuni punct la punct

Pentru a putea transporta cadre tip Layer 2 de-alungul unei reţele MPLS s-a
introdus conceptul de circuite virtuale (VC). Un LSP funcţionează ca un tunel care transportă
mai multe VC-uri, în timp ce VC-urile transportă cadre Layer 2. Un VC, de fapt, este doar un
alt LSP în interiorul tunelului LSP. Tunelul LSP furnizează un tunel între două routere PE, în
timp ce VC-urile transportă cadre ale unui singur client. VC-urile sunt unidirecţionale exact
ca şi LSP-urile. De aceea, pentru o comunicare bidirecţională este nevoie de o pereche de
VC-uri, câte una pentru fiecare direcţie. Pentru a putea crea această ierarhie, un cadru
încapsulat al unui client care traversează reţeaua MPLS are două etichete ataşate:
• eticheta care aparţine tunelului LSP, pentru a ajunge la PE-ul destinat.
Aceasta este numită eticheta de tunel.
• eticheta ce aparţine VC-ului care transportă cadre şi conduc către un anumit
site ataşat la PE-ul destinaţiei. Aceasta este numită eticheta VC.
Pentru adresa
destinatie

Pentru LSP

Header L2 Eticheta 1 Eticheta 2 Datagrama IP

Figura 4.1(1). Etichetele corespunzătoare tunelului LSP şi VC-ului

Tunelul LSP dintre router-ele PE poate fi creat folosind unul din protocoalele RSVP/TE
sau LDP. Router-ele PE schimba etichete VC prin ptotocolul LDP în modul „fără cerere". La
nodul reţelei, router-ul PE încapsulează cadrul Layer 2, ataşează o eticheta VC şi o etichetă de
tunel şi apoi trimite cadrul către tunelul LSP. La celălalt capăt al tunelului router-ul PE extrage
eticheta de tunel, determină pe care port trebuie să trimită pachetul examinând eticheta VC,
extrage cadrul original Layer 2 şi trimite cadrul către portul determinat.

47
Frame L2

Eticheta de
Circuit Virtual
Eticheta de
Tunel

Circuit Virtual

PE-1 PE-2
MPLS

+
+

Backbone

CE-1
VC
LSP

Figura 4.1(2). Tunel LSR ce transporta VC-uri cu trafic client

Folosind acest concept, un furnizor de servicii poate oferi un serviciu care simulează
liniile închiriate, sau PVC-urile din Frame Relay, folosind infrastructură ieftină cum ar fi: IP,
Ethernet, etc. [14]

VPN-urile oferite de furnizorii de servicii pot transporta doua tipuri de trafic: trafic de nivel 2
sau trafic de nivel 3. VPN-urile care transporta trafic de nivel 2 sunt mai apropiate ca si
caracteristici de liniile închiriate, deoarece echipamentele clientului se vad ca si cum ar fi direct
conectate. Acest avantaj permite clientului sa ruleze orice protocol de nivel 3 în reteaua sa. De
asemenea, într-o astfel de configuratie clientul
este responsabil pentru configurarea si mentinerea informatiilor proprii de rutare.
Pentru a construi si opera VPN-uri de nivel 2 operatorii de retele publice
folosesc o retea de nivel 2 bazata pe Frame-Relay sau ATM în paralel cu o retea core bazata pe IP,
prin care furnizeaza celelalte servicii. Acest mod de lucru este ineficient si costisitor astfel încât
trecerea la MPLS poate reduce costurile operarii VPN-urilor de nivel 2.
Ideea este ca operatorul sa foloseasca aceeasi retea core pentru toate
serviciile, inclusiv pentru VPN-uri de nivel 2. Reteaua core ar fi bazata în acest caz pe
IP si MPLS.
Pentru a putea implementa VPN-uri de nivel 2, operatorul are nevoie de o metoda
de încapsulare pentru cadrele VPN-ului. Metodele de încapsulare utlizabile cu MPLS sunt AToM si
L2TPv3. De asemenea, exista doua draft-uri IETF care specifica modul de încapsulare si
semnalizarea necesara pentru a construi VPN-uri de nivel 2.
Acestea se mai numesc Martini drafts si Kompella. Drafturile Martini propun folosirea
48
LDP pentru construirea VPN-urilor si ofera solutii mai scalabile decât varianta
Kompella. În continuare ne vom axa pe ideile specificate în drafturile Martini.

4.1.1. AToM

AToM este abrevierea de la Any Transport over MPLS si reprezinta o metoda de încapsulare
a diferitelor tipuri de trafic pentru a fi transportate peste retele MPLS. AToM ofera conectivitate
punct la punct pentru mai multe tehnologii de nivel 2, cum ar fi Ethernet, Frame Relay si ATM.
Scopul AToM este sa permita dezvoltarea serviciilor noi peste MPLS cu costuri si complexitate
reduse, încercând pe cât posibil sa nu transmita ca payload tot cadrul de nivel 2 decât
acolo unde este nevoie; astfel se folosesc mecanisme de reconstructie a cadrelor de nivel 2 la
iesirea din reteaua MPLS pe baza unor informatii transmise sau semnalizate anterior.
AToM se foloseste de protocolul de distributie de etichete LDP pentru a stabili o sesiune între
nodurile de granita ale furnizorului (PE) prin care stabileste si întretine conexiunea. Dirijarea este
facuta prin comutatia etichetei de catre nodurile din cale.
Pachetele MPLS folosite de AToM au o stiva cu doua etichete (în general) pentru a mari
scalabilitatea si pentru a simplifica prelucrarile. Eticheta din vârful stivei se mai numeste si
eticheta tunel si este folosita de reteaua core în comutatie. A doua eticheta are alt rol: acela de a
determina interfata de iesire si circuitul pe nodul de iesire. Aceasta eticheta se mai
numeste si eticheta de circuit virtual. Toate etichetele de circuit virtual sunt schimbate peste
aceeasi sesiune LDP între doua rutere de granita ale furnizorului.
În plus fata de aceste doua etichete, un pachet încapsulat conform AToM mai
poate contine un cuvânt de control de 32 de biti, care este optional. Structura acestui
cuvânt este reprezentata în figura urmatoare.

49
Fig 4.1.1.. Încapsularea AToM si structura cuvântului de control

Cuvântul de control a aparut ca o necesitate pentru a putea satisface cerintele protocoalelor de


nivel 2:
- în anumite cazuri trebuie sa se pastreze secventialitatea (important pentru celulele ATM
unele pachete mici trebuiesc completate cu zero pentru a respecta cererile de pachet
minim acceptat de un mediu de transmisie; în acest caz e nevoie sa se stie de unde începe zona
completata
- unii biti de control din antetul de nivel 2 trebuiesc transportati.

Valorile câmpului Flags difera în functie de protocolul de nivel 2 transportat. Pentru


Frame Relay se copiaza bitii FECN, BECN, DE si C/R, pe când pentru Ethernet câmpul Flags nu are
nici o însemnatate si trebuie sa fie 0.
Ca mod de încapsulare, AToM propune încapsularea cadrelor Ethernet integral, dar fara a
include preambulul si câmpul de verificare a integritatii (FCS). Nodul de intrare are obligatia
de a verifica daca cadrul Ethernet este corect, elimina câmpul FCS si preambulul si apoi încapsuleaza
cadrul în AToM. La iesirea din reteaua MPLS nodul de iesire presupune ca payload-ul transportat
este corect si îi calculeaza noul FCS si
apoi îl trimite spre destinatie. Acest lucru aduce un câstig de 4 octeti în fiecare pachet transportat.
AToM permite si transportarea cadrelor Ethernet cu marcaje VLAN în acelasi mod în
care transporta cadre Ethernet. Diferenta apare în faptul ca nodul de iesire poate face
modificari în câmpul identificatorului de VLAN, facând astfel o comutatie de VLAN-uri. Acest
lucru este permis, dar introduce probleme în cadrul protocolului Spanning Tree, astfel
încât nu este recomandat sa se ruleze Spanning Tree peste 'linkuri' AToM.
Pentru a suporta AToM, LDP are câteva câmpuri speciale folosite în stabilirea etichetelor
de circuit virtual. Astfel, când se semnalizeaza un FEC, entitatiile LDP folosesc un element
de tipul Virtual Circuit Forwarding Equivalence Class pentru a semnaliza însemnatatea
acestei etichete. A doua eticheta este creata dinamic si transmisa între nodurile de capat în
modul de lucru “downstream unsolicited”.
Un element Virtual Circuit FEC contine informatii despre tipul cadrelor de nivel 2 (având
optiuni pentru Frame Relay, ATM AAL5, ATM generic, Ethernet, Ethernet cu suport pentru
VLAN, HDLC, PPP sau MPLS), semnaleaza existenta unui cuvânt de control, transporta
parametrii interfetelor (MTU, numar maxim de celule ATM concatenate), etc. [Cisco-
AToM], [Martini-encap], [Martini-trans]

4.1.2. Considerente de calitate a serviciilor pentru VPN-uri de nivel 2

Liniile închiriate traditionale aveau marele avantaj de a oferi garantii de banda clientului.
Reteaua MPLS în sine poate oferi garantii de banda deterministe daca se folosesc protocoalele de
semnalizare adecvate. Totusi, furnizorul trebuie sa poata oferi o anumita calitate de servicii pentru
VPN-ul clientului sau.
Acest lucru poate fi facut în doua moduri:
-furnizorul aloca o banda fixa pentru tot traficul clientului, indiferent de tipul traficului
furnizorul tine cont de prioritatea traficului clientului si îi furnizeaza servicii diferentiate.
50
Prima solutie se poate aplica usor adaugând limite de banda pentru LSP-ul care se va construi
pentru a uni cele doua site-uri ale clientului. Totusi, furnizorul poate oferi un serviciu mai bun
clientului prin oferirea de servicii diferentiate. Astfel, se poate face un mapping de la anumite
marcaje de prioritate din cadrele de nivel 2 ale clientului la un set de marcaje de prioritate folosite în
reteaua MPLS (spre exemplu, se pot marca
bitii EXP).
AToM pune la dispozitie marcarea bitilor EXP în nodul de intrare pe baza bitilor de prioritate
din antetul VLAN 802.1p. IETF nu a reglementat un mod de a face acest mapping, lasând la
latitudinea operatorului modul în care bitii de prioritate vor fi interpretati. [Cisco-AToM]
[Martini-encap]

Fig 4.1.2. Corespondenta între câmpul Prioritate (802.1p) si câmpul EXP

4.1.3. Extensie a VPN-urilor de nivel 2: VPLS

Deoarece majoritatea site-urilor operate de clienti folosesc ca tehnologie de nivel 2


Ethernet, majoritatea VPN-urilor de nivel 2 trebuie sa transporte cadre Ethernet.
Problema principala este ca Ethernet este un mediu difuzant si astfel e nevoie de
duplicarea unei parti din trafic catre toate destinatiile.

51
Fig 4.1.3. a) Interconectarea a 3 site-uri într-un Layer 2 VPN
b) Interconectarea a 3 site-uri în VPLS

Din aceste considerente s-a dorit sa se implementeze o forma speciala de VPN-uri de nivel 2
care sa transporte Ethernet si sa emuleze difuzia întâlnita pe Ethernet. Solutia a fost trecerea la
VPLS.
VPLS este acronimul de la Virtual Private LAN Services si reprezinta o tehnica de a furniza
un LAN virtual peste o retea publica de date pornind de la o interconectare de tip mesh, dar
propunându-si sa foloseasca si facilitatiile oferite de MPLS multicast pentru a interconecta site-urile
comunicante.
VPLS nu este o tehnologie care depinde direct de MPLS, dar exista
implementari VPLS folosind MPLS.
VPLS propune adaugarea nodurilor de intrare în reteaua MPLS si rol de bridge Ethernet,
construind astfel o tabela de adrese MAC corespunzatoare destinatiilor, pentru a dirija
traficul direct catre destinatie, fara a mai folosi inundari. Totusi traficul de broadcast (cum ar fi
cererile ARP) trebuie sa ajunga în toate site-urile si astfel pachetele trebuiesc duplicate
si trimise pe mai multe tunele. Fara a folosi tehnici speciale, se pot genera usor furtuni
de broadcast peste reteaua core, iar folosirea Spanning Tree peste MPLS nu este
recomandata astfel încât este nevoie sa se
foloseasca alte mecanisme (cum ar fi monitorizarea adreselor MAC) pentru a evita buclele.
Tehnica principala pentru evitarea buclelor într-o astfel de implementare implica folosirea unui
mecanism de tip split-horizon. Un nod PE care primeste trafic printr-un circuit virtual transportat
peste MPLS nu va face difuzare decât în interiorul site-urilor ce tin de acelasi VPN si sunt direct
conectate la acest nod. Difuzarea nu se va face pe linkurile care leaga PE de alt PE din acelasi VPN,
pentru ca topologia presupune un
mesh complet.
VPLS este înca o tehnica în dezvoltare, dar în final îsi propune sa foloseasca si suportul pentru
multicast oferit de MPLS pentru a reduce traficul prin reteaua publica.
Totusi, implementarea multicast implica cresterea complexitatii în nodurile retelei
MPLS, deoarece noduri care faceau doar comutatia de etichete, trebuie acum sa faca si operatii de
multicast.
52
Varianta initiala propune folosirea multicast doar la intrarea în reteaua MPLS, pentru a nu
îngreuna operatiile din interiorul retelei. Pe parcurs se doreste totusi optimizarea
procesului de multicast prin monitorizarea mesajelor PIM din pachetele utilizatorului si
construirea de arbori de multicast mai eficienti.
Aceasta functionalitate va introduce o complexitate marita în reteaua MPLS, de aceea VPLS
nu este înca agreeat de toti operatorii. [VPLS] [Wiki-VPLS]

4.2. VPN-uri de nivel 3

Modul de construire si operare al VPN-urilor de nivel 3 folosind MPLS se


bazeaza pe solutia prezentata în RFC 2547bis numit si BGP/MPLS VPNs.

4.2.1.Mod de functionare

Din punct de vedere al prelucrarilor facute pe pachetele de date ale clientului, acestea când
ajung la echipamentul de granita al furnizorului consulta o tabela de rutare si apoi sunt dirijate
catre destinatie folosind un LSP. Pentru ca furnizorul sa aiba informatii despre o destinatie din
reteaua clientului, echipamentele de granita (PE) schimba informatii de rutare cu
echipamentele de granita ale clientului (CE). Astfel, modelul de lucru al VPN-urilor ce folosesc
BGP/MPLS urmeaza modelul de lucru peer-to-peer al VPN-urilor traditionale. Informatiile de
rutare obtinute de la client sunt transportate catre ruterele de granita folosind BGP. Totusi,
aceste informatii nu ajung si la nodurile din reteaua core (ruterele P) asa cum se întâmpla în
cazul VPN-urilor peste IP. Nodurile P nu au nevoie de aceste informatii de rutare deoarece folosesc
cai LSP si nu fac decât comutatia de etichete, fara a face analize de nivel 3.
Un nod PE care primeste rute propagate prin BGP de la alt nod PE conectat la un VPN va
propaga aceste rute numai catre ruterul CE conectat la acelasi VPN pentru ca acesta sa învete de
existenta unei retele în celalta parte a VPN-ului.
Desi aceste mecanisme au fost folosite si de VPN-urile de nivel 3 peste IP,
implementarea lor peste MPLS încearca sa rezolve câteva limitari ale acestora.
Câteva din scopurile VPN-urilor de nivel 3 sunt:
- sa suporte orice adrese IP ale clientului, private sau unice, rezolvând problema suprapunerii
adreselor.
- sa suporte VPN-uri suprapuse, unde un site poate apartine mai multor VPN-uri.
Faptul ca aceste VPN-uri se bazeaza pe rutare reprezinta si un avantaj fata de VPN-urile de
nivel 2, dar si o problema. Pentru a rezolva problema adreselor IP duplicat în VPN-
urile transportate, e nevoie sa se foloseasca mai multe tabele de rutare si dirijare (numite si
tabele VRF – Virtual Routing and Forwarding) instalate pe ruterele PE pentru a diferentia rutele ce
apartin diferitelor VPN-uri conectate la acelasi ruter PE.
Câte un tabel VRF este creeat pentru fiecare site conectat la un PE, totusi daca sunt mai
multe site-uri conectate la acelasi PE, acestea pot partaja acelasi VRF (deoarece acelasi
VPN nu va avea adrese IP duplicat într-o functionare normala).
Un site care apartine mai multor VPN-uri nu poate partaja un VRF cu alte site-uri care nu
apartin exact acelorasi VPN-uri, pentru a nu aparea încurcaturi. Un astfel de site va trebui sa aiba
propriul sau tabel VRF, care va include rute de la toate VPN-urile la care este membru. [RFC2547bis]
53
[Wiki-VPN]

Fig4.2.1. Încapsularea folosita pentru Layer 3 VPN

4.2.2. Câmpuri speciale BGP

O alta implicare a spatiilor de adrese suprapuse este ca atunci când un ruter PE primeste
update-uri BGP de la vecini poate primi prefixuri de adresa ce se suprapun (partial sau complet)
peste adresele IP pe care nodul le are deja în tabelele de rutare.
Diferenta este ca acum adresele IP fac parte din VPN-uri diferite. Pentru a identifica ca rutele
semnalizate fac parte din VPN-uri diferite, si deci pentru a preveni ca BGP-ul sa ignore mesajele
ulterioare (considerând ca are deja informatiile de rutare cele mai bune), s-a introdus
folosirea unui câmp Route Distinguisher (RD) de 8 octeti care este trimis împreuna cu prefixele
semnalizate.
Acesta este folosit pentru a distinge rutele ce apartin diferitelor VPN-uri
negociate prin BGP. Rezultatul folosirii RD este un identificator de 12 octeti (8 octeti RD si 4
octeti adresa IP) pentru care s-a definit o familie de adrese speciale, numita familia VPN-IPv4.
Astfel, varianta de BGP multiprotocol folosita în VPN-uri de nivel 3 peste MPLS transporta astfel de
adrese.

Fig. 4.2.2.. Schimbul de mesaje Multiprotocol BGP

Câmpul Route Distinguisher furnizeaza un mecanism de a diferentia rute, dar nu are nici un
rol în controlul distributiei rutelor. Un RD este asociat cu un VRF atfel încât prefixele semnalizate
din acel VPN vor avea câmpul RD asociat.
În mod tipic acelasi RD va fi asociat tuturor VRF-urilor ce apartin aceluiasi VPN, astfel încât
toate rutele sa aiba acelasi identificator. Astfel, se poate spune ca un VPN va avea acelasi RD.
Totusi, acest lucru nu înseamna ca VRF-urile site-urilor care apartin de mai multe VPN-uri au
mai multe RD-uri. Pentru astfel de site-uri se aloca tot un singur RD.
Un pas important în construirea VPN-urilor de nivel 3 îl reprezinta controlarea modului de
distributie a RD-ului pentru VPN-uri. Astfel, pentru a împiedica ruterele PE sa accepte rute ale VPN-
urilor la care nu sunt direct conectate (si astfel sa iroseasca resurse proprii pe aceste tabele),

54
extensiile BGP-ului sunt folosite pentru a controla distributia rutelor în reteaua furnizorului.
Atributul extins Route Target e inclus în rutele
semnalate pentru a indica VPN-ul (sau grupul de site-uri dintr-o topologie) caruia îi apartine
o ruta. O valoare unica a acestui parametru îi este furnizata fiecarui VPN al clientului.
Un nod PE tine cont de aceste valori Route Target si de asocierea lor cu VPN-urile pe care le
transporta. Când primeste o ruta de la un vecin, procesul BGP verifica daca câmpul Route Target
primit este egal în valoare cu câmpul Route Target al unuia dintre VPN-urile la care e conectat. În
cazul în care acest lucru e adevarat, ruta e acceptata; daca nu, ruta este ignorata.
Aceasta solutie creste dramatic scalabilitatea implementarii deoarece evita ca toate ruterele
PE sa tina informatiile de rutare ale tuturor VPN-urilor din retea, chiar daca nu le-ar fi folosit
(asa cum se întâmpla în VPN-urile peste IP). [RFC2547bis].

4.2.3. Distributia etichetei prin BGP

Când se semnalizeaza o noua ruta VPN-IPV4, nodul PE include întotdeauna si o eticheta


MPLS reprezentând ruta din mesajul BGP si seteaza câmpul BGP NEXT_HOP la adresa
sa. Reteaua furnizorului foloseste MPLS, astfel încât nodul PE trebuie sa fie capabil sa ajunga la
oricare alt nod PE prin cai LSP. Aceste cai poti fi create de un protocol de distributie de etichete cum
ar fi LDP sau RSVP-TE.
Când un nod PE primeste un pachet care are ca destinatie un site distant, el va adauga doua
etichete MPLS pe pachet pentru a-l dirija catre destinatie. Eticheta exterioara este
folosita în comutatie pe LSP-ul care duce catre BGP NEXT_HOP.
Eticheta interioara este eticheta asociata cu destinatia, învatata anterior dintr-un
update BGP primit de la un vecin. Nodul PE trimite apoi pachetul MPLS pe portul de iesire
55
asociat cu acel LSP. Eticheta din vârful stivei este comutata pe parcurs pâna la ultimul nod din cale.
Acesta o elimina si consulta eticheta ramasa. Eticheta ramasa identifica destinatia în
majoritatea cazurilor si este eliminata înainte ca pachetul sa fie dirijat catre destinatie.
În cazul în care se foloseste tehnica “route summarization” în PE, atunci la
destinatie eticheta secundara este folosita pentru a determina tabelul VRF care va trebui
consultat pentru a stii unde sa trimita pachetele.

4.3. Comparatie între VPN-uri de nivel 2 si 3

Comparaţia între cele două tipuri de VPN-uri se poate face în funcţie de mai multe criterii
de clasificare:
• Funcţie de tipul de trafic transportat - studiind metodele de obţinere acelor două
tipuri de VPN-uri, se observa că VPN-urile Layer 3 pot transporta doar trafic IP în timp ce
VPN-urile Layer 2 pot transporta orice fel de tip de trafic Layer 3. De aici rezultă un avantaj
net la acest capitol al VPN-urilor Layer 2.
• Tipurile de conexiuni care pot fi realizate - ambele tipuri de VPN-uri pot
implementa arhitecturi cum ar fi: punct la punct, pânza parţială, pânză totală, multiple VPN-
uri.
• Scalabilitate - din punct de vedere al scalabilităţii, un factor de limitare pentru
ambele soluţii este numărul maxim de LSP-uri sau/şi VC-uri care pot fi suportate de un LSR.
Un alt factor limitator este mărimea maximă a fişierului de configurare care poate fi memorat
în router-ul PE. În soluţia Layer 3 fişierul de configurare conţine definiţii pentru VRF-uri, RD-
uri, şi politici de filtrare şi rutare. În cazul soluţiei Layer 2 fişierul de configurare conţine
definiţii pentru VPN-urile care aparţin PE-ului si porturile asociate cu VPN-urile client.
Folosirea funcţiei de autodescoperire împreună cu soluţia Layer 2 evită configurarea
explicită a VPN-urilor ce aparţin PE-ului, şi implicit micşorarea impactului introdus de
mărimea fişierelor de configurare.
• Complexitate - soluţia tip Layer 3 necesită în nodurile PE LSR-uri performante
care să poată să menţină multiple tabele de rutare şi trimitere de pachete. Este de
asemenea necesar ca între routere să avem protocolul BGP. Soluţia Layer 2 necesită de
regulă routere mai simple şi nu necesită protocolul BGP.
Management şi întreţinere - din moment ce în VPN-urile tip Layer 3 avem nevoie
şi de protocolul BGP este clar că aceste VPN-uri necesită muncă şi resurse suplimentare
pentru management şi întreţinere. Costuri - VPN-urile Layer 2 sunt puţin mai ieftine
deoarece nu necesită în noduri routere LSR performante. [14]

4.4.Tipuri de trafic suportate

Din cele relatate mai sus, este clar ca VPN-urile de nivel 3 pot transporta doar trafic de tip IP.
VPN-urile de nivel 2 permit transportarea oricarui protocol de nivel 3 al clientului, inclusiv IPv4,
IPv6, IPX, DECNet. În mod curent, multe firme folosesc infrastructuri care nu se bazeaza
pe IP, astfel încât VPN-urile de nivel 2 reprezinta o
solutie mai putin restrictiva.
De asemenea, multe firme au început sa foloseasca experimental IPv6 si se estimeaza ca în
56
termen lung vor migra la el. Pentru a putea sa ofere servicii de VPN de nivel 3 catre astfel de firme,
furnizorul ar trebui sa faca unele modificari standardului curent: cum ar fi sa defineasca o extensie
BGP pentru familia de adrese VPN-IPv6, ceea ce ar implica rularea unor upgrade-uri pe
echipamentele furnizorului.
O solutie VPN de nivel 2 poate oferi conectivitate în continuare clientilor, chiar
daca reteaua furnizorului nu foloseste IPv6 intern.

4.5. Moduri de conectivitate suportate

Folosind ambele tipuri de VPN-uri se pot realiza mai multe scenarii de


conectivitate:
-conectivitate punct la punct(any to any)

-conectivitate “spoke and hub” (topologie de stea virtuala)

-mesh partial

-mesh complet

-VPN-uri suprapuse

VPN-urile de nivel 2 sunt mai potrivite pentru a implementa conectivitatea punct la punct, mesh
complet si VPN-uri suprapuse. Totusi VPN-urile de nivel 3 se descurca mai bine la implementarea
conectivitatii “spoke and hub” si a mesh-urilor partiale.

4.6. Securitatea VPN-urilor MPLS

Pe masura ce MPLS devine o tehnologie preferata pentru a oferi servicii VPN, securitatea
arhitecturii MPLS e din ce în ce mai importanta pentru furnizorii de servicii si pentru clientii VPN.
Conceptele de securitate considera ca reteaua core este securizata, ca nu sunt erori în configuratii, ca
nu sunt atacuri interne si ca elementele de retea sunt protejate împotriva accesului nepermis.
Încalcarea oricarei din aceste presupuneri poate duce la compromiterea serviciului oferit, deoarece
reteaua core are control asupra datelor clientului si le poate modifica sau înregistra, deoarece
aceastea nu sunt criptate. De asemenea, un atacator din interiorul retelei core poate patrunde în
oricare VPN prin injectarea de pachete special construite.
Considerând reteaua core ca fiind de încredere, mai ramân 4 atribute ce trebuiesc
analizate pentru a determina gradul de securitate pe care îl ofera reteaua. Separarea spatiului de adrese
57
de procesul de rutare.

Din punct de vedere al securitatii, cerinta de baza într-o retea este sa se evite situatia în care
pachete care au ca destinatie host-ul x.y.z.t din VPN1 sa ajunga la un alt host din alt VPN sau sa
ajunga chiar în reteaua core. Între doua VPN-uri din reteaua MPLS care nu au nici un element comun
(si nici nu doresc sa comunice între ele) se presupune ca spatiile de adrese IP sunt
complet independente. Din punct de vedere al rutarii asta înseamna ca orice VPN poate folosi aceleasi
adrese ca alte VPN-uri sau chiar ca reteaua core. MPLS adauga un element numit Route
Distinguisher de 8 octeti pentru a identifica fiecare informatie de rutare IPv4, facând astfel
adresarea în VPN-uri unica si separând-o de adresarea retelei core. Singura exceptie este
adresa IP a nodului furnizorului (PE) la care se leaga un nod CE. Aceasta adresa trebuie
sa fie unica din punctul de vedere al nodului CE. Fiecare nod PE mentine câte o tabela
VRF pentru fiecare VPN conectat. Acest lucru asigura separarea informatiilor de rutare
între VPN-uri. Separarea între reteaua core si celelalte rutere PE se face folosind
identificatorii unici de VPN din multiprotocol BGP.
Aceste informatii furnizate de BGP nu se propaga si pe nodurile din reteaua core, ci doar
între nodurile PE. Astfel se face o separare si nu este posibil sa patrunzi în alt VPN sau în
reteaua core, decât daca a aparut o eroare de configuratie.

Ascunderea structurii retelei core

Topologia si structura interna a retelei core (formata din ruterele PE si P ale furnizorului de
servicii) trebuie nu fie disponibile în exteriorul acesteia. Un atac de tipul denial-of-service este
mai usor de facut daca atacatorul stie topologia si adresele retelei core. MPLS nu
furnizeaza multe informatii catre exterior, nici chiar catre clientul VPN-ului. Singurele informatii
care sunt facute publice sunt adresa IP a nodului PE catre care trebuie sa se lege un CE pentru a face
parte dintr-un VPN, ca parte a semnalizarilor BGP. Daca acest lucru nu se doreste, se poate folosi
rutare statica între PE si CE (desi nu mai este la fel de flexibila). De asemenea, si clientii
trebuie sa semnalizeze catre reteaua MPLS doar acele adrese care vor fi folosite pentru
VPN, nu si adresele nerelevante. Într-un serviciu VPN cu acces partajat la internet, reteaua core va
furniza informatii de rutare pentru a iesi în internet, dar acest lucru trebuie sa se faca printr-un element
de retea care sa furnizeze functii NAT pentru a ascunde informatii despre sistemul de adresare din
reteaua clientului.

Rezistenta la atacuri.

În practica cel mai des se întâlneste atacul de tip DoS. Prin acesta se urmareste blocarea
resurselor astfel încât clientii sa nu mai poata beneficia de ele. Singurul mod prin care
operatorul se poate asigura ca reteaua este protejata, este sa se asigure ca masinile nu pot fi
accesate din exterior, folosind filtre de pachete si tehnici de ascundere a adreselor. Pentru atacurile
care ofera acces neautorizat la anumite resurse, se pot lua urmatoarele masuri: În primul rând
trebuie sa se întareasca protocoalele vulnerabile si sa se încerce restrictionarea accesului
la echipament. Într-o configuratie normala, este imposibil sa se patrunda dintr-un VPN
în altul. Totusi se pot exploata vulnerabilitati ale protocoalelor de rutare si se pot executa
atacuri de tip DoS asupra ruterelor PE. Astfel, ruterele PE trebuie sa fie bine securizate, pornind de
la premisa ca clientul nu este de încredere. De asemenea, trebuie sa se foloseasca liste de
acces si autentificari cu MD5 în toate comunicatiile între echipamentele PE-CE.

58
Falsificarea etichetelor.

Un alt tip de atac implica inserarea de etichete MPLS false în traficul clientului pentru a
determina comutarea traficului pe alta cale si astfel, pentru a patrunde în reteaua core. Astfel, din
considerente de securitate se impune ca nodul PE sa nu accepte trafic etichetat de la CE.
Mai exista posibilitate falsificarii adresei IP a pachetului care este trimis catre PE, dar
din cauza separarii spatiului de adrese de informatia de rutare, pachetul falsificat nu va ajunge
în reteaua core, cel mult putând cauza sticaciuni doar în VPN-ul din care origineaza. [L3vsL2] [VPN-
Security]

Din punct de vedere al clientului, este imposibil sa controlezi toata reteaua. Daca reteaua
MPLS core nu este corect configurata, atunci VPN-urile transportate pot fi vulnerabile la anumite
forme de atacuri. IPSec ofera câteva beneficii din punct de vedere al securitatii daca este rulat
peste MPLS. Pentru a avea aceste beneficii, IPSec trebuie sa ruleze pe ruterele CE sau
dispozitivele clientului, si e recomandat sa fie folosit daca exista urmatoarele necesitati:

-se cere criptarea partiala sau totala a traficului care strabate reteaua MPLS
-se cere autentificarea capetelor

-se cere garantarea integritatii traficului


-se cere detectia atacurilor de tip “replay

4.7. Scalabilitate

Când se considera scalabilitatea solutiilor de nivel 3 fata de cele ale VPN-urilor de nivel 2 se
pot lua în considerare mai multi factori.
Un factor limitator în ambele solutii este numarul maxim de LSP-uri si/sau de circuite
virtuale suportate de un LSR. Un alt factor comun este dimensiunea maxima a fisierelor de
configurare ce vor fi salvate, în special în ruterele PE. Acest lucru depinde de faptul ca fisierele de
configuratie contin toate informatiile necesare legate de VPN-urile clientilor. Pentru un VPN de
nivel 3, fisierul de configurare va contine definitiile pentru VRF-uri, RD-uri si politicile de
filtrare ale rutelor. Pentru solutia de nivel 2, fisierul de configurare contine identitatea nodului
PE vecin si porturile folosite de VPN-
ul clientului.
Folosirea auto-descoperirii împreuna cu o solutie de VPN de nivel 2 limiteaza
necesitatea configurarii explicite pe nodurile PE si astfel reduce mult dimensiunea fisierului
de configurare, eliminând problema scalabilitatii.
Pentru solutiile de nivel 3 numarul maxim de rute ce pot fi stocate într-un nod PE este
de asemenea o limitare. Acest lucru apare datorita faptului ca nodul PE stocheaza rutele
tuturor VPN-urilor la care e conectat. Pentru a reduce impactul acestui factor asupra
scalabilitatii, este indicat sa se foloseasca procedeul de “route summarization” unde este
posibil. Pentru solutiile de nivel 2, numarul maxim de înregistrari din tabela de dirijare de
nivel 2 de pe un ruter PE este de asemenea o constrângere. Nodul PE trebuie sa completeze acel
59
tabel pentru a putea functiona ca un switch de nivel 2. Impactul acestui factor asupra
scalabilitatii poate fi redus impunând ca echipametele CE sa fie rutere si/sau sa se aplice limite
asupra numarului de înregistrari MAC disponibile fiecarui VPN (pentru ca un VPN sa nu
monopolizeze resursele PE folosind o gama larga de adrese MAC).

Dimensionarea retelei

Pentru o solutie de nivel 3, dimensionarea retelei implica proiectarea rutarii conform


cu topologia VPN ceruta de client. Acest lucru implica proiectarea de VRF-uri ce vor contine rutele
clientului si alocarea de RD-uri si Route Target pentru un VPN.Furnizorul de servicii trebuie sa
decida daca un VRF va fi partajat de mai multe interfete catre un client sau daca un VRF trebuie
sa accepte adrese de la VPN-uri suprapuse. De asemenea, entitatiile RD si Route Target trebuiesc
alocate unic pentru VPN-ul ce va fi construit. În plus, trebuie realizata o conexiune BGP între
ruterele PE pentru a putea schimba informatii de rutare.
Dimensionarea retelei pentru VPN-uri de nivel 2 tinde sa fie mai simpla, deoarece
fiecare PE care e conectat la un VPN trebuie sa stie doar care este vecinul sau de la celalalt capat
pentru a putea face o conexiune. Apoi porturile PE conectate la site-urile VPN-ului sunt puse în
corespondenta cu acel VPN. Ideea de auto descoperire a eliminat nevoia de a configura
explicit fiecare PE. În momentul actual IETF analizeaza câteva idei pentru a standardiza procesul de
auto-descoperire

Management si întretinere

Pentru un VPN de nivel 3 modificarea configuratiei sau depanarea problemelor implica în


special lucrul cu sesiunile BGP între nodurile PE sau sesiunile BGP între PE si CE. Ca în orice
retea IP mare, folosirea nodurilor pentru reflectarea rutelor sau intercomunicarea cu alte
domenii autonome pot contribui la cresterea complexitatii. De asemenea, operatorii trebuie sa
analizeze continutul mai multor tabele de rutare, pe lânga continutul unei tabele de rutare principale.
În cele din urma, operatorii trebuie sa analizeze fisiere de configurare mai mari pentru a detecta
probleme de configurare.
O solutie de nivel 2 este mai simpla deoarece furnizorul nu se bazeaza pe rute oferite de client
si nici nu creeaza o sesiune cu echipamentul CE al acestuia. De asemenea, de vreme ce
BGP-ul nu este necesar e mai usor sa depanezi problemele (cu exceptia cazului în care furnizorul
foloseste BGP pentru semnalizari VPLS). Din punct de vedere al managementului, operatorii
folosesc doar conceptele simple de circuite virtuale care alcatuiesc VPN-ul si porturi asociate
acestuia. Pe un PE exista doar o tabela de rutare si mai multe tabele care contin
înregistrari MAC populate dinamic.

60
Costuri

Din punct de vedere al costului e posibil ca o solutie de nivel 3 sa fie mai


costisitoare decât o solutie de nivel 2 datorita faptului ca o solutie de nivel 3 se
bazeaza pe o functionalitate mai sofisticata a ruterelor.
Costurile de management si întretinere depind de complexitatea solutiei adoptate. Un
VPN de nivel 3 va costa mai mult datorita complexitatii crescute, si poate necesita personal de
întretinere cu o calificare superioara.

61
Cap5. Studiu de caz

5.1. Introducere

Implementarea VPN-urilor de nivel 3 implica de regula echipamente puternice capabile sa


administreze mai multe tabele de rutare si dirijare amplasate la granita cu reteaua MPLS. De
asemenea, este nevoie de folosirea BGP pentru a semnaliza între aceste echipamente. Daca
furnizorul de servicii foloseste deja BGP în reteaua sa core (asa cum este cazul în retelele ISP-urilor
sau în retelele IP mari), atunci ei vor prefera sa implementeze VPN-uri de nivel 3 deoarece au deja
interconectivitate BGP. Apoi, bineînteles, trebuiesc create cai LSP între nodurile PE pentru
a transporta traficul efectiv.
Totusi, reteaua furnizorului trebuie sa sufere niste modificari în nodurile care fac reflectarea
rutei pentru ca aceste noduri sa nu fie gâtuite de numarul mare de rute care sosesc de la multe VPN-
uri. O solutie de nivel 2 implica folosirea de noduri PE mai simple, fara a necesita rularea BGP
între PE-uri. Pentru ISP-urile care nu folosesc BGP si nu doresc sa treaca la BGP pentru a evita
complexitatea acestuia, solutiile de nivel 2 par mai atractive. Totusi, nodurile PE trebuie sa ruleze
LDP pentru distributia de etichete, si este nevoie de construirea de LSP-uri între PE-uri pentru a
transporta traficul efectiv.
În lucrarea curenta nu ne vom concentra asupra experimentelor de baza (cum
ar fi comutatia de etichete), ci vom implementa un domeniu MPLS ce va putea oferi
VPN-uri de nivel 2 si 3. Pentru a putea face aceste lucruri, va trebui sa clarificam întâi câteva
concepte teoretice.

Experimentele propuse sunt:

-Construirea de VPN de nivel 2 pentru doi clienti si verifcarea functionalitatii lor .


-Construirea de VPN de nivel 3 pentru doi clienti si verifcarea functionalitatii lor .

Experimentele prezentate în aceasta platforma au la baza implementarea a planului de dirijare


MPLS. Contributia personala consta în proiectarea si realizarea de experimente folosind
emulatorul GNS3 pentru o platforma experimentala. Experimentele arata rolul MPLS în
proiectarea si implementarea de VPN-uri de nivel 2 si 3.

De asemnea se implementeaza protocoale de distributie de etichete pentru domeniul


MPLS si protooale de rutare folosite pentru dirijarea rutelor in comunicatie.

62
5.2.Implementare de VPN de nivel 2

Fig 5.2. VPN-uri de nivel 2 implementat in lucrare

5.2.1.Cum functioneaza platforma experimentala :

Terminalele CPE1 si CPE2, respectiv CPE3 si CPE4 fac parte din VPN-uri diferite. Ele trebuie
sa poata comunica între ele (CPE1 cu CPE2 si CPE3 cu CPE4), dar nu pot comunica daca sunt în
VPN-uri diferite (ex:CPE1 cu CPE 3).
1. CPE1 trimite un pachet de tipul Echo Request catre CPE3, în VPN Petrom. Asemanator, CPE3
trimite un pachet de tipul Echo Request catre CPE4 în VPN BCR.
2. Nodurile de intrare (PE1,PE2) clasifica pachetele conform interfetei de intrare si adauga o
eticheta care va identifica VPN-ul de destinatie (100 pentru VPN Petrom si 200 pentru VPN BCR) .
Apoi mai adauga o eticheta care va fi folosita în comutatie.
3. Nodul P comuta consultant eticheta de comutie(16)
4. PE1,PE2 elimina acum eticheta de comutatie si consulta a doua eticheta. Daca a doua
eticheta este 100 (VPN Petrom) PE1 va sti sa scoata pachetul pe interfata catre VPN Petrom.
Daca eticheta este 200, pachetul va fi scos pe interfata catre BCR. Nodul PE1 nu mai consulta tabelul
63
de rutare când face aceste prelucrari, deoarece payload-ul pachetelor MPLS nu mai este IP –
pachetele sunt de nivel 2.
5. Destinatiile raspund cu pachete Echo Reply
6. PE1 stie ca daca primeste pachete pe interfata dispre Petrom, ele trebuiesc capturate si încapsulate
în MPLS, primind eticheta VPN-ului 100 si o eticheta de comutatie adecvata. Analog pentru
VPN BCR. Etichetele de comutatie sunt diferite în acest caz deoarece pachetele au destinatii diferite.
7. Nodul P comuta eticheta din vârful stivei fara a analiza alte informatii.
8. Nodurile de iesire elimina eticheta de comutatie, si pe baza identificatorului VPN-ului
aleg interfata pe care vor scoate cadrul de nivel 2.

Configuratia rulata plaseaza plaseaza terminalele CPE1 si CPE2 în acelasi subnet


(192.168.1.0/29) si pe CPE3 si CPE4 de asemenae acelasi subnet dar diferit de
primul(192.168.2.0/29). Nodurile PE1 si PE2 vor avea interfetele dinspre client configurate în
modul bridge. Astfel, desi mai au adrese IP, aceste interfete nu vor mai dirija pachetele
primite catre nivelul 3, ci vor face doar prelucari de nivel 2. Scopul lor este sa capteze traficul de
nivel 2 si sa îl trimita mai departe catre modulul MPLS pentru a fi încapsulat si trimis prin reteaua
core.
Deoarece aceste interfete lucreaza în mod bridge, ele nu mai sunt accesibile prin retea. Astfel
tot traficul ce porneste din CPE1 cu destinatia CPE2 va fi încapsulat în MPLS si dirijat prin
MPLS fara sa fie interpretat la nivel 3.
Din punct de vedere al transportului peste MPLS, nodurile intermediare trebuie sa faca doar
comutatia etichetei din vârful stivei. Astfel eticheta din vârful stivei este folosita doar pentru
comutatie, iar eticheta urmatoare este folosita pentru a identifica VPN-ul caruia îi este destinat
pachetul.
Nodul PE2, când va primi un pachet etichetat, va elimina eticheta din vârful stivei si va consulta a
doua eticheta. Aceasta îi spune care este VPN-ul destinatie (eticheta 100 e folosita pentru VPN1, iar
200 e folosita pentru VPN2). Pe baza acestei etichete, nodul PE2 alege portul de iesire pe care va
dirija pachetul. Nodul PE2 nu mai face alta analiza (nu consulta tabelul de rutare) deoarece are
deja un cadru primit, iar acesta trebuie “difuzat” pe linkul de iesire.
Pe partea de întoarcere, nodul PE2 stie care interfata este conectata direct la VPN1, si astfel se
asteapta ca pachetele de pe aceasta interfata sa tina în continuare de VPN1 (si astfel adauga
eticheta 100, iar apoi eticheta de comutatie). PE2 nu analizeaza nici o informatie din
pachetele clientului reducând timpul de prelucrare.

1.2.2 Pasii de configurare ai platformei

Mai jos voi prezenta pasii de configurarii pe care am realizat-o:

1) Configurarea adresarii:
Am configurat interfetele loopbak si pe cele de interconectare ale echipamentelor furnizorului de
servicii cu adresele IP corespunzatoare.Am atasat in continuare un output al comezii: show ip
interface brief de pe routerul din Core de unde putem trege concluzia ca interfetele sun configurate
cu IP-urile corecte si sunt ridicate:

64
2) Configurarea MPLS in domeniul furnizorului de servicii mai exact in reteua Core:

Pe toate routerele furnizorului vom forta interfata loopback0 sa fie folosita ca router-id pentru
adiancentele LDP(Label Distridution Protocol).Interfata loopback ar fi oricum aleasa in mod automat
dar este de preferat ca aceasta sa fie configurata fortat pentru o configuratie persistenta prin
comanda: mpls ldp router-id loopback0 force.

Am verificat faptul ca routerele pe care s-a activat MPLS au devenit adiacente unul cu celalalt via
LDP.Se poate observa ca routerul P are 2 adiacente de LDP: una cu routerul cu adresa de loopback
20.0.3.1 si una cu routerul cu adresa 20.0.2.1.

3) Construirea circuitelor virtuale care alcatuiesc VPN-urile 1 si 2 : acestea au id-urile: 100


respectiv 200. Pe un PE exista doar o tabela de rutare si mai multe tabele care contin
înregistrari MAC populate dinamic. Verificarea ca aceste circuite sunt ridicate:

65
Si detalii despre ele:

In acest caz nu mai avem nevoie de adresare pentru VPN pe PE-uri: ele nu vor mai tine tabele de
routere ci vom configura in acelasi subnet locatiile aceluiasi VPN pentru comunicare.

66
4) CEF rezolva cautarea si ne da urmatorul hop pentru circuitul virtual. Pentru a vedea etichetele pe
care le trimite CEF catre PE2 via LDP :

5.2.3.Verificari ale functionalitatii platformei simulate

Pentru primul client(VPN 1):

Pentru al 2-lea client(VPN 2):

5.2.4. Conclulzii

-traficul de nivel 2 este transportat peste MPLS

-se foloseste o stiva de etichete cu doua înregistrari (overhead 8 octeti – comparativ cu un


overhead de 40 de octeti când se foloseste încapsulare GRE/IP)

- utilizatorul poate folosi orice protocol de rutare sau de nivel 3

67
5.3. Implementare de VPN de nivel 3

Introducere

VPN-urile de nivel 3 ofera o conectivitate netransparenta pentru client, catre un alt domeniu al
clientului, transportând pachete de nivel 3. Interconectarea se face de regula încapsulând pachetele
utilizatorului în pachete IP (cu posibilitatea de a folosi IPSec pentru criptare) si rutând aceste
pachete prin reteaua core. La destinatie pachetele sunt decapsulate si rutate catre
destinatie. Diferenta fata de exemplul anterior consta în necesitatea de a consulta tabelele de
rutare în nodul de intrare si cel de iesire. Aceste noduri trebuie sa aiba informatii de rutare
despre reteaua clientului.
De asemenea, clientul trebuie sa aiba ca gateway ruterele de intrare ale operatorului.
Rulând VPN-uri de nivel 3 peste MPLS se reduce considerabil overheadul tunelarii
pachetelor IP peste IP (se folosesc 8 octeti pentru tunel în comparatie cu 50 de octeti pentru IP
peste IPSec). Totusi, solutia implicita nu asigura criptarea datelor între nodurile participante –
astfel nu se poate realiza decât un trusted VPN doar cu MPLS.

Fig 5.3.. VPN-uri de nivel 3 implementate in lucrare

68
5.3.1. Modul de functionare al platformei de simulare :

Pentru a nu folosi mai multe echipamente în retelele clientului am simulat pe interfetele catre
clienti adrese IP din familia 192.168.
Se porneste un flux ping din CPE1 intra în nodul PE1 unde este clasificat pe baza adresei sale
destinatie. Conform destinatiei nodul PE1 stie ca trebuie sa încapsuleze pachetul în MPLS si
sa-l ataseze VPN-ului 1 sai 2. Pachetul pleaca mai departe etichetat cu doua etichete. Eticheta din
vârful stivei e folosita în comutatie, iar cealalta eticheta identifica VPN-ul destinatie.
Când pachetul MPLS ajunge în nodul PE2, eticheta de comutatie este înlaturata si este
consultata cea de-a doua eticheta. A doua eticheta este folosita pentru a selecta tabelul de
rutare ce va fi consultat ulterior. Dupa ce este înlaturata si aceasta eticheta, nodul PE2 face rutare IP
pentru a determina portul de iesire pentru pachet.
Pentru aceasta, se consulta doar tabelul de rutare indicat. Când CPE2 trimite un pachet, pasii
realizati sunt similari. PE2 stie ca pachetele care sosesc pe o interfata trebuie sa consulte tabelul
de rutare pentru VPN1 sau 2. Conform informatiilor din acest tabel, pachetul este încapsulat
în MPLS si dirijat catre destinatia CPE1 sau CPE3.

1. CPE1 trimite un pachet de tipul Echo Request catre CPE2, în VPN Petrom.
Asemanator, CPE3 trimite un pachet de tipul Echo Request catre CPE4 în VPN
BCR.
2. Nodurile de intrare (PE1 si PE2) clasifica pachetele conform interfetei de intrare si adresei
destinatie si adauga o eticheta care va identifica VPN-ul de destinatie (100 pentru VPN Petrom si
200 pentru VPN BCR). Apoi mai adauga o eticheta care va fi folosita în comutatie.
3. Nodul P comuta doar eticheta din vârful stivei, agregând cele doua fluxuri deoarece
merg catre aceeasi destinatie (PE2).
4. PE2 elimina eticheta de comutatie si consulta a doua eticheta. Daca a doua eticheta
este 100 (VPN Petrom) PE2 va analiza tabelul de rutare 1 pentru a afla urmatorul nod si
interfata de iesire. Daca eticheta este 200, PE2 va analiza tabelul 2.
5. Destinatiile raspund cu pachete Echo Reply.
6. PE2 stie ca daca primeste pachete pe o anumita interfata, va trebui sa consulte tabela de rutare
1sau 2 pentru a afla ce e de facut cu ele. Informatiile de rutare impun încapsularea în MPLS si
adaugarea etichetelor corespunzatoare. Etichetele de comutatie sunt diferite în acest caz
deoarece pachetele au destinatii diferite.
7. Nodul P comuta eticheta din vârful stivei fara a analiza alte informatii.
8. Nodurile de iesire elimina eticheta de comutatie, si pe baza identificatorului VPN-ului
aleg tabelul de rutare ce va fi consultat pentru a determina urmatorul nod din ruta si interfata de
iesire.

69
5.3.2. Pasii de configurare ai platformei

Mai jos voi prezenta pasii de configurarii pe care am realizat-o:

2) Configurarea adresarii:
Am configurat interfetele loopbak si pe cele de interconectare ale echipamentelor furnizorului de
servicii cu adresele IP corespunzatoare.Am atasat in continuare un output al comezii: show ip
interface brief de pe routerul din Core de unde putem trege concluzia ca interfetele sun configurate
cu IP-rle corecte si sunt ridicate:

3) Configurarea protocolului de rutare in domeniul furnizorului de servicii:

Furnizorul foloseste ca protocol de rutare OSPF(Open Shortest Path First) in domeniul Core peste
care ulterior se va configura MPLS si un protocol de rutare pentru MPLS:

Dupa cum se vede mai sus observam ca primim prin OSPF 2 rute : cele 2 interfete loopback ale PE-
urilor

Acesta comanda arata vecinii OSPF ai routerului Core ,deci adiacentele care s-au format.

70
4)Configurarea MPLS in domeniul furnizorului de servicii mai exact in reteua Core:

Pe toate routerele furnizorului vom forta interfata loopback0 sa fie folosita ca router-id pentru
adiancentele LDP(Label Distridution Protocol).Interfata loopback ar fi oricum aleasa in mod automat
dar este de preferat ca aceasta sa fie configurata fortat pentru o configuratie persistenta prin
comanda: mpls ldp router-id loopback0 force.

#sh mpls ldp neighbor

Am verificat faptul ca routerele pe care s-a activat MPLS au devenit adiacente unul cu celalalt via
LDP.Se poate observa ca routerul P are 2 adiacente de LDP: una cu routerul cu adresa de loopback
20.0.3.1 si una cu routerul cu adresa 20.0.2.1.

4)Configurarea unui vrf pentru VPN-uri:

Se configureaza in modul global 2 instante VRF: Client si Client2 folosind comanda: ip vrf nume pe
routerele de frontiera: PE1 si PE2. Fiecare instanta de VRF va avea nevoie de un RD si cel un RT.

# sh ip vrf

Am configurat valoarea RD si RT 200:1 (acelasi pentru import si pentru export ceea ce face ca VPN
urile noastre sa fie oricare la oricare).
Dupa ce am configurat VRF-ul am adaugat interfetele catre clienti la aceste VRF-uri cu comanda: ip
vrf forwarding nume .

71
5)Configurarea protocolului de rutare PE-CPE:

Pe routerul clientului am configurat protocolul EIGRP.


Pe routerele PE configuratie e un pic mai complexa.Fiecare IGP are o metoda diferita de a fi
configurat VRF-ul. Se porneste procesul EIGRP prin comanda stiuta. Pe urma folosim comanda:
address-family ipv4 vrf nume , unde nume este numele instantei VRF. Familia aceasta de adrese
creeaza un segment logic a unui protocol de rutare si a rutelor si adiacentelor sale pentru a il separa
de alte rute si adiacente.

#sh ip route

Pentru a putea vedea tabela de rutare in VRF-ul nostru,vom introduce urmatoarea comanda:
#sh ip route vrf Client

Dat fiind faptul ca acum routerele PE ruteaza catre routerele CPE prin tabele VRF, putem configura
routerele PE pentru a schimba rute intre ele prin BGP. Mai intai configuram BGP intre PE1 si PE2

72
5.3.3.Verificari ale functionalitatii platformei simulate:

1)Vom verifca daca rutele s-au propagat catre PE-uri :

#sh ip route vrf Client

Am putea sa ne intrebam de ce clasa 100.0.0.0/29 pe PE2 este via 20.0.2.1.Trebuie sa


consideram ca in cazul in care avem o ruta generate intern si aceasta este trimisa catre un vecin iBGP
,BGP-ul stabileste atributul next-hop ca fiind chiar routerul care avertizeaza ruta. In cazul de fata
,PE2 genereaza ruta in BGP prin redistribuire. Vecinii de BGP comunica intre interfete de
loopback ,astfel incat atributul next-hop este chiar adresa IP a vecinului BGP.Asadar, tabela de rutare
din VRF trimite catre o interfata care trebuie sa fie accesibila prin tabela globala de rutare.

2)In continuare voi verifica si tabelele de rutare ale CPE-urilor(am luat exemplul CPE2-)

#sh ip route

73
3) Pentru a verifica rutele BGP VPNv4 pe PE2 va trebui sa introducem comanda show bgp
vpnv4 unicast all:

MPLS are 2 tabele ,LIB(Label Information Base) si LFIB(Label Foewarding Information Base).
Etichetele alocate prin LDP sunt anuntate catre vecinii LDP. Etichetele alocate prin BGP sunt
anuntate catre vecinii BGP ca o eticheta pentru pachetele destinate retelelor prin VPN. Aceste
etichete sunt semnificative doar pentru routerele de intrare si iesire. Routerele P care nu sunt vecini
de BGP cu routerele PE nu vor vedea eticheta VPN pentru retelele cunoscute prin BGP.
Toate pachetele vor trebui sa fie comutate prin etichete la fiecare hop, pentru a traversa o retea
MPLS. Pentru a se asigura ca pachetele VPN care ajung la PE-ul de iesire au eticheta necesara
comutarii corecte.

4)CEF rezolva cautarea si ne da urmatorul hop pentru BGP. Pentru a vedea etichetele”inuse” pe
care le trimite CEF catre PE2 via LDP :

74
Si in final pentru a verifica functionalitatea VPN-urilor implementat de mine:

5)Verificarea conectivitatii de pe PE2 in lanul clientului:

6)Verificarea conectivitatii a doua locatii aflate in judete diferite ale aceluiasi client( ping din Pitesti
in Ploiesti):

5.3.4. Concluzii

-VPN-urile de nivel 3 peste MPLS au un overhead mai mic, dar nu ofera criptare.
-VPN-urile de nivel 3 nu pot transporta decât IP.
-VPN-urile de nivel 3 sunt mai scalabile, dar introduc o complexitate mai mare în noduri.

75
Bibliografie

. 1. M. Aissaoui et al. ATM/MPLS Mediation : A Basic Interworking


Function
2. Grenville Armitage : MPLS: The Magic Behind the Myths
3. Banica Ion , Note de Curs : Comunicaţii între Calculatoare
4. Eugen Borcoci , Note de Curs: Comunicaţii de Bandă Largă, Reţele de
Telecomunicaţii
5. Braden, Ed., et. Al., Resource Reservation Protocol (RSVP)
6. Cuchiara, J Sjostrand , H Luciani , J.V., Definitions of Managed Objects for the
Multiprotocol Label Switching , Label Distribution Protocol
7. Davie, Bruce et al , Mpls using LDP and ATM VC switching
8. Willibald Doeringer, Giinter Karjoth, Mehdi Nassehi, Routing on longest
matching prefixes
9. Hideaki Takagi, Queueing A Fondation of Performance Evaluation
10. George Swallow , MPLS Advantage for trafiic Engineering
11. ITU Telecomunication Standardization Sector, OAM and Survivability Functionality for
MPLS Networks
12 . Request for Comments 3031 , Multiprotocol Label Switching Arhitecture
13. Request for Comments 2684 , Multiprotocol Encapsulation over ATM Adaptation Layer 5
14 . Request for Comments 2917, A Core MPLS IP VPN Arhitecture
15. Request for Comments 3035, MPLS using LDP and ATM VC Switching
16. Request for Comments 3063, MPLS Loop Prevention Mechanism
17 . Request for Comments 1932 , IP over ATM
18. Site-ul Academiei Cisco http://cisco.netacad.net
19. Site-ul companiei Cisco www.cisco.com
20. Site-ul companiei Juniper www.juniper.net
21. Site-ul www.wikipedia.org

76
22. [RFC3031] E. Rosen, A. Viswanathan, R. Callon - Multiprotocol Label Switching Architecture
,2001 http://rfc.net/rfc3031.html

23. [RFC3036] L. Andersson, P. Doolan, N. Feldman, A. Fredette - LDP Specification, 2001


http://rfc.net/rfc3036.html

24. [RFC3213] J. Ash, M. Girish, E. Gray - Applicability Statement for CR-LDP, 2002
http://www.rfc-archive.org/getrfc.php?rfc=3213

25. [RTC] Eugen Borcoci - Reţele de Telecomunicaţii, 2005

26. [OPALSOFT-DS] Leonardo Balliache - Differentiated Service on Linux HOWTO, 2003


http://opalsoft.net/qos/DS.htm

27. [OPALSOFT] Leonardo Balliache - MPLS related notes, 2006


http://opalsoft.net/qos/MPLS.htm[Martini-encap] Luca Martini, Daniel Tappan, Steve Vogelsang -
Encapsulation Methods for
Transport of Layer 2 Frames Over MPLS,
http://www.ieee802.org/1/files/public/docs2001/draft-martini-l2circuit-encap-mpls-01.txt

28. [RFC3270] F. Le Faucheur, L. Wu, B. Davie, S. Davari - MPLS Support of Differentiated


Services, 2002 http://rfc.net/rfc3270.html

29. [MPLS-Myths] Wikimedia - MPLS Myths, http://www.answers.com/topic/mpls- myths

30. [VPN-Security] M. Behringer, M. Morrow - MPLS VPN Security, 2005

31. [VPNC] VPN Consortium - VPN Technologies: Definitions and Requirements,


2006http://www.vpnc.org/vpn-technologies.html

32. [Martini-encap] Luca Martini, Daniel Tappan, Steve Vogelsang - Encapsulation Methods for
Transport of Layer 2 Frames Over MPLS, http://www.ieee802.org/1/files/public/docs2001/draft-
martini-l2circuit-encap-mpls-01.txt

33. [Martini-trans] Luca Martini, Daniel Tappan, Steve Vogelsang - Transport of Layer 2 Frames
Over MPLS, 2001 http://www.ieee802.org/1/files/public/docs2001/draft-martinil2circuit-trans-mpls-
01.txt

34. [VPLS] Riverstone Networks - MPLS/VPLS Evolution,


http://www.riverstonenet.com/pdf/mpls_vpls_evolution.pdf

35. [RFC2547bis] C. Semeria - BGP/MPLS VPN Fundamentals,


http://www.juniper.net/solutions/literature/white_papers/200012.pdf
77
ANEXE:

1) Prezentarea simulatorului in care am implementat configuratiile pentru pentru platforma


mea lucru:

GNS3 este un simulator graphic de retea pe care se pot emula retele de mare complexitate.
Acest program poate rula pe orice csistem de operare :Windows sau Linux. De asemenea in emulare
foloseste aceleasui tipuri de IOS(sisteme de operare interetele) care se pun pe echipamentele din
retea. Se ruleza un IOS pe niste routere virtuale. GNS3 este o interfata grafica a programului
Dynagen.. Dynamips este programul principal pe care se incarca IOS-ul pentru emulare. Dynagen
ruleaza peste Dynamips pentru a putea fi folosit mai usor . Astfel se poate creea o topologie in
Dynagen peste Dynamips iar GNS3 ne da interfata grafica a topologiei.
GNS3 permite emularea pe calculatoarele noastre a mai multor IOS-uri Cisco. Astfel putem
emula o intreaga lista de echipamente Cisco: routere, switch-uri, etc. Aceasta arata ca simulatorul
GNS3 este foarte potrivit pentru ptregatirea unor certificari in scopuri didactice. De obicei un
simulator nu ne lasa sa studiem o topologie cu o configuratie complexa. Nu este insa si cazul
GNS3 deoarece putem avea o gama de comenzi accesibile pe un echipament in functie de IOS-ul
pe care il incarcam. Acesta este principalul avantaj. Ca dezavantaj: deoarece pe acelasi calculator
de emuleaza mai multe instante IOS in modul real care necesita resurse, atunci nu vom putea
dezvlota o topologie intinsa.

78
2)Mai jos voi prezenta output-urile configuratiilor pe fiecare din routerele din reteaua
implementata de mine. Practic pe aceeasi topologie am implementat doua tipuri de VPN: unul de
nivel 2 in care am folosit circuite virtuale si unul de nivel 3 in care am folosit adresare.

a)Configuratiile pentru VPN-ul de nivel 2:

-pentru routerele CPE catre clienti: CPE1 si CPE2 sunt din VPN 1: Petrom
CPE3 si CPE4 sunt din VPN 2: BCR.

CPE1:

!
!
version 12.2
!
hostname CPE1
!
ip cef

!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.248
duplex half
!
interface FastEthernet1/0
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/0
no ip address
shutdown
speed auto
duplex auto
79
!
interface FastEthernet2/1
no ip address
shutdown
speed auto
duplex auto
!

!
end

CPE2:

version 12.2
!
hostname CPE2
!
ip cef
!

!
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.248
duplex half
!
interface FastEthernet1/0
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
80
duplex auto
!
interface FastEthernet2/0
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/1
no ip address
shutdown
speed auto
duplex auto
!
control-plane
!
!
!
End

81
CPE3:

!
hostname CPE3
!

ip cef

!
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.248
speed auto
duplex auto
!
interface FastEthernet0/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/0
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/0
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/1
no ip address
shutdown
speed auto
duplex auto
!

End
82
CPE4:

version 12.2
no service password-encryption
!
hostname CPE4
!
ip cef
!
!
interface FastEthernet0/0
ip address 192.168.2.2 255.255.255.248
speed auto
duplex auto
!
interface FastEthernet0/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/0
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/0
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/1
no ip address
shutdown
speed auto
duplex auto
!
End
83
-pe routerele de granita dispre client cu domeniul MPLS:

PE1:

!
version 12.2
no service password-encryption
!
hostname PE1
!
ip cef
!
!
interface Loopback0
ip address 20.0.2.1 255.255.255.255
ip ospf 1 area 0
!
interface FastEthernet0/0
ip address 20.0.0.1 255.255.255.248
ip ospf 1 area 0
speed auto
duplex half
mpls label protocol ldp
mpls ip
!
interface FastEthernet0/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/0
no ip address
speed auto
duplex auto
xconnect 20.0.3.1 100 encapsulation mpls
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/0
no ip address
speed auto
duplex auto
84
xconnect 20.0.3.1 200 encapsulation mpls
!
interface FastEthernet2/1
no ip address
shutdown
speed auto
duplex auto
!
router ospf 1
log-adjacency-changes
!
!
mpls ldp router-id Loopback0 force
!
!
End

85
PE2:

!
version 12.2
no service password-encryption
!
hostname PE2
!
ip cef
!
mpls label protocol ldp

!
interface Loopback0
ip address 20.0.3.1 255.255.255.255
ip ospf 1 area 0
!
interface FastEthernet0/0
ip address 20.0.0.10 255.255.255.248
ip ospf 1 area 0
speed auto
duplex half
mpls label protocol ldp
mpls ip
!
interface FastEthernet0/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet1/0
no ip address
speed auto
duplex auto
xconnect 20.0.2.1 100 encapsulation mpls
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/0
no ip address
speed auto
duplex auto
86
xconnect 20.0.2.1 200 encapsulation mpls
!
interface FastEthernet2/1
no ip address
shutdown
speed auto
duplex auto
!
router ospf 1
log-adjacency-changes
!
mpls ldp router-id Loopback0 force
!
!
End

87
-pentru routerul din Core :

P:

!
version 12.2
no service password-encryption
!
hostname P
!
ip cef
!
mpls label protocol ldp
!
interface Loopback0
ip address 20.0.1.1 255.255.255.255
ip ospf 1 area 0
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface FastEthernet1/0
ip address 20.0.0.2 255.255.255.248
ip ospf 1 area 0
speed auto
duplex auto
mpls label protocol ldp
mpls ip
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
duplex auto
!
interface FastEthernet2/0
ip address 20.0.0.9 255.255.255.248
ip ospf 1 area 0
speed auto
duplex auto
mpls label protocol ldp
mpls ip
!
interface FastEthernet2/1
88
no ip address
shutdown
speed auto
duplex auto
!
router ospf 1
log-adjacency-changes
!
!
!
!
mpls ldp router-id Loopback0 force
!
control-plane
!
!
End

89
b)Configuratiile pentru VPN-ul de nivel 3:

-pentru routerele CPE catre clienti: CPE1 si CPE2 sunt din VPN 1: Petrom
CPE3 si CPE4 sunt din VPN 2: BCR

CPE1:

version 12.3
no service password-encryption
!
hostname CPE1
!
ip cef
!

interface Loopback0
ip address 192.168.3.1 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex half
!
interface FastEthernet1/0
ip address 100.0.0.1 255.255.255.248
duplex auto
speed auto
!
interface FastEthernet1/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
90
!
router eigrp 1
network 100.0.0.0
network 192.168.1.0
no auto-summary
!
!
End

91
CPE2:

!
version 12.3
no service password-encryption
!
hostname CPE2
!

ip cef
!
!
interface Loopback0
ip address 192.168.4.1 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
duplex half
!
interface FastEthernet1/0
ip address 100.0.0.9 255.255.255.248
duplex auto
speed auto
!
interface FastEthernet1/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 1
network 100.0.0.0
network 192.168.2.0
no auto-summary
!
End
92
CPE3:

version 12.4
no service password-encryption
!
hostname CP3
!
ip cef
!
interface Loopback0
ip address 192.168.7.1 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.8.1 255.255.255.0
duplex half
!
interface FastEthernet1/0
ip address 100.0.0.25 255.255.255.248
duplex auto
speed auto
!
interface FastEthernet1/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 1
network 100.0.0.0
network 192.168.8.0
no auto-summary
!
End
93
CPE4:

!
version 12.4
no service password-encryption
!
hostname CP4

ip cef

interface Loopback0
ip address 192.168.5.1 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.6.1 255.255.255.0
duplex half
!
interface FastEthernet1/0
ip address 100.0.0.17 255.255.255.248
duplex auto
speed auto
!
interface FastEthernet1/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 1
network 100.0.0.0
network 192.168.6.0
no auto-summary
!
End
94
-pe routerele de granita dispre client cu domeniul MPLS:

PE1:

version 12.4
no service password-encryption
!
hostname PE1
!
ip cef
!
ip vrf Client
rd 200:1
route-target export 200:1
route-target import 200:1
!
ip vrf Client2
rd 200:2
route-target export 200:2
route-target import 200:2
!
!
interface Loopback0
ip address 20.0.2.1 255.255.255.255
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface FastEthernet1/0
ip vrf forwarding Client
ip address 100.0.0.2 255.255.255.248
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 20.0.0.1 255.255.255.248
duplex auto
speed auto
mpls ip
!
interface FastEthernet2/0
ip vrf forwarding Client2
ip address 100.0.0.26 255.255.255.248
duplex auto
95
speed auto
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 1
no auto-summary
!
address-family ipv4 vrf Client2
redistribute bgp 200 metric 64 1000 255 1 1500
network 100.0.0.0
no auto-summary
autonomous-system 1
exit-address-family
!
address-family ipv4 vrf Client
redistribute bgp 200 metric 64 1000 255 1 1500
network 100.0.0.0
no auto-summary
autonomous-system 1
exit-address-family
!
router eigrp 100
auto-summary
!
router ospf 1
log-adjacency-changes
network 20.0.0.0 0.255.255.255 area 0
!
router bgp 200
no synchronization
bgp log-neighbor-changes
neighbor 20.0.3.1 remote-as 200
neighbor 20.0.3.1 update-source Loopback0
no auto-summary
!
address-family vpnv4
neighbor 20.0.3.1 activate
neighbor 20.0.3.1 send-community both
exit-address-family
!
address-family ipv4 vrf Client2
redistribute connected
redistribute eigrp 1
no synchronization
96
exit-address-family
!
address-family ipv4 vrf Client
redistribute connected
redistribute eigrp 1
no synchronization
exit-address-family
!
!
!
mpls ldp router-id Loopback0
!
!
!
!
End

97
PE2:

version 12.4
no service password-encryption
!
hostname PE2
!
ip cef
!
!
ip vrf Client
rd 200:1
route-target export 200:1
route-target import 200:1
!
ip vrf Client2
rd 200:2
route-target export 200:2
route-target import 200:2
!

interface Loopback0
ip address 20.0.3.1 255.255.255.255
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!

interface FastEthernet1/0
ip vrf forwarding Client
ip address 100.0.0.10 255.255.255.248
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 20.0.0.10 255.255.255.248
duplex auto
speed auto
mpls ip
!
interface FastEthernet2/0
ip vrf forwarding Client2
ip address 100.0.0.18 255.255.255.248
duplex auto
speed auto
98
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 1
no auto-summary
!
address-family ipv4 vrf Client2
redistribute connected
redistribute bgp 200 metric 64 1000 255 1 1500
network 100.0.0.0
no auto-summary
autonomous-system 1
exit-address-family
!
address-family ipv4 vrf Client
redistribute bgp 200 metric 64 1000 255 1 1500
network 100.0.0.0
no auto-summary
autonomous-system 1
exit-address-family
!
router eigrp 100
auto-summary
!
router ospf 1
log-adjacency-changes
network 20.0.0.0 0.255.255.255 area 0
!
router bgp 200
no synchronization
bgp log-neighbor-changes
neighbor 20.0.2.1 remote-as 200
neighbor 20.0.2.1 update-source Loopback0
no auto-summary
!
address-family vpnv4
neighbor 20.0.2.1 activate
neighbor 20.0.2.1 send-community both
exit-address-family
!
address-family ipv4 vrf Client2
redistribute connected
redistribute eigrp 1
no synchronization
99
exit-address-family
!
address-family ipv4 vrf Client
redistribute connected
redistribute eigrp 1
no synchronization
exit-address-family
!
!
mpls ldp router-id Loopback0

!
End

100
-pe routerul Core:

version 12.3

no service password-encryption
!
hostname P
!
ip cef
tag-switching tdp router-id Loopback0
!
interface Loopback0
ip address 20.0.1.1 255.255.255.255
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface FastEthernet1/0
ip address 20.0.0.2 255.255.255.248
duplex auto
speed auto
tag-switching ip
!
interface FastEthernet1/1
ip address 20.0.0.9 255.255.255.248
duplex auto
speed auto
tag-switching ip
!

interface FastEthernet2/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
!
router ospf 1
101
log-adjacency-changes
network 20.0.0.0 0.255.255.255 area 0
!
!
End

102