MPLS e VPN Referência: Slides extraídos do material dos professores Jim Kurose e Keith Ross relativos ao livro “Redes de Computadores e a Internet – Uma abordagem top-down”, segunda e terceira edições Alterações nos slides, incluindo sequenciamento, textos, figuras e novos slides, foram realizadas conforme necessidade 1 Multiprotocol label switching (MPLS) Multiprotocol Label Switching (MPLS) Objetivo inicial: aumentar a velocidade de encaminhamento IP usando labels de tamanho fixo (em vez de endereço IP) Mesma idéia do método de circuito virtual (VC) Mas o datagrama IP ainda mantém o endereço IP! RFC 3031 L2H MPLS SHIM L3H PAYLOAD LABEL COS S 20 bits 3 bits 1 bit TTL 8 bits Multiprotocol label switching (MPLS) Multiprotocol Label Switching (MPLS) 20 bits 3 bits 1 bit LABEL COS S 8 bits TTL Label – Número que identifica o rótulo, ou seja, a FEC que o pacote pertence COS – Class of Service. Implementam as políticas de QOS (queuing , descarte e priorização ) S – Indica o último rótulo de uma pilha. TTL – É o mesmo campo TTL do IP V4. Roteadores MPLS Roteadores MPLS Roteador faz a função de comutador de rótulo Pacotes encaminhados para interface de saída com base apenas no valor do rótulo (não inspeciona o endereço IP) Tabela de encaminhamento MPLS distinta das tabelas de encaminhamento IP Protocolo de sinalização necessário para estabelecer o encaminhamento RSVP-TE Encaminhamento é possível por caminhos que o IP sozinho não pode usar (ex.: roteamento especificado pela origem, roteamento baseado em QoS) Uso de MPLS para engenharia de tráfego Deve coexistir com roteadores unicamente IP Tabelas de Encaminhamento MPLS Topologia e Componentes MPLS CPE CPE LSR LER REDE MPLS LSR LER Topologia e Componentes MPLS LER: Label Edge Router É um nó da rede MPLS que está na borda, fazendo conexão com outras redes MPLS ou com redes não MPLS Fazem a associação dos pacotes com os Labels, definindo o seu caminho na rede MPLS Solicitam a criação dos Labels Labels são inseridos no ingress LER e removidos no egress LER Topologia e Componentes MPLS LSR: Label Switching Router É um nó da rede MPLS que faz a comutação e encaminhamento dos pacotes utilizando Labels Formam o core de uma rede MPLS Em geral, tratam-se de roteadores IPs ou switches L3 FEC – Forward Equivalence Class Classificação e marcação dos pacotes a partir de suas características de encaminhamento Definida pelo LER na entrada da rede MPLS Caminho do pacote MPLS é definido pela FEC a qual pertence (usa RSVP-TE) Um label associado para cada FEC existente Encaminhamento do pacote definido pela LIB (Label Information Base), composta pelo par FEC-to-Label LIB define o next-hop e o label do pacote a ser comutado Cada LSR possui uma LIB FEC – Forward Equivalence Class Exemplos: Todos os pacotes destinados a um mesmo egress LER Todos os pacotes com um mesmo COS (Class of Service) Todos os pacotes com uma mesma rede de destino. Exemplo de LIB – Label Information Base Label de Entrada FEC Label de Saída Interface de Saída 7D 1 1A 3 05 2 2C 3 165 3 21 4 LSP – Label Switched Path É o formado pelos Labels e LSR no caminho entre fonte e destino do pacote na rede MPLS Análogo com um Circuito Virtual para redes IP Garante os recursos solicitados por uma FEC São unidirecionais, estabelecidos antes da transmissão dos dados LSP – Label Switched Path CPE CPE LSR LER REDE MPLS LSP 2 LSR LSP 1 LER LDP – Label Distribution Protocol Faz o anúncio das associações Label/FEC entre os LSR que compõem um LSP Vários protocolos estão especificados MPLS-LDP Mapear IP Unicast em Labels MPLS-RSVP, MPLS-CR-LDP TE e QOS MPLS-BGP Labels externos (VPN) Funcionamento da rede MPLS CPE LSR CPE LER 3- FLUXO DE DADOS REDE MPLS 2- LSP SETUP LSR 1- LABEL REQUEST LER VPN: Virtual Private Networks Do Wikipedia: A virtual private network (VPN) is a private communications network often used by companies or organizations, to communicate confidentially over a public network. Rede sobreposta (overlay), criada sobre a Internet e seus protocolos, funcionando como um ambiente de rede local Serviço que pode ser oferecido pelos ISPs com respectivos acordos de SLA (Service Level Agreement) Aplicações mais comuns: Acesso doméstico a ambiente corporativo ou institucional (Extranet) Integração remota de escritórios e labs (Wide-Area Intranet) Confidencialidade na troca de informações em ambiente de rede distribuído 16 VPN: Virtual Private Networks (2) Diagrama genérico: C – Customer; CE – Customer Edge; P – Provider; PE – Provider Edge 17 VPN: Tipos Se utiliza de túneis e procedimentos de segurança (autenticação, criptografia) para estabelecer um serviço overlay Análogo a uma rede privada de linhas dedicadas, porém a um custo menor dado que usa uma infra-estrutura física compartilhada Classificação quanto ao serviço: VPNs confiáveis (Trusted VPNs) – o cliente confia ao provedor a confidencialidade de seus dados VPNs seguras (Secure VPNs) – túneis criptografados entre as redes do cliente para garantir a privacidade dos dados VPNs híbridas (Hybrid VPNs) – VPN segura sobre um serviço de VPN (Trusted) do provedor, alguns provedores fornecem a solução completa VPNs móveis (Mobile VPNs) – VPN segura destinada a acesso 18 móvel sem fio, funcionalidades para “roaming” VPN: Tipos (2) Classificação quanto à camada de serviço: VPNs camada 2 – permite conectividade de camada 2 entre os sites remotos • Comunicação baseada em endereçamento de camada 2, como MAC ou Frame Relay DLCI • Pode ser do tipo ponto-a-ponto (VPWS - Virtual Private Wire Service) ou multiponto-multiponto (VPLS - Virtual Private LAN Service) VPNs camada 3 – conectividade entre os sites remotos baseada em endereçamento IP (camada 3) • Podem ser do tipo PE-based (provedor é responsável pelo encaminhamento) ou CE-based (cliente é responsável pelo encaminhamento) 19 VPN: Tipos (3) VPN L3 PE-based: MPLS, L2TPv3, IPSec, túneis GRE 20 VPN: Tipos (4) VPN L3 CE-based: IPSec e túneis GRE 21 VPN: Tecnologias Tecnologias para VPN segura: IPSec – datagrama IP criptografado (para autenticação e/ou privacidade) mantendo-se informações básicas como IPs origem e destino Túneis SSL – estabelecido entre usuários remotos e um Proxy Web, para autenticação e acesso seguro • Ex: OpenVPN PPTP (Point to Point Tunneling Protocol) – RFC 2637, estabelece sessão PPP através de um túnel GRE (Generic Routing Encapsulation) L2TP (Layer 2 Tunneling Protocol) – RFC 2661 e RFC 3931 (L2TPv3), age como protocolo de enlace mas é, de fato, um protocolo de nível de sessão que usa UDP na porta 1701 VLANs (IEEE 802.1Q) 22 VPN: Tecnologias (2) Exemplo típico usando IPSec: suporta apenas unicast, outros protocolos de nível 3 devem ser encapsulados em túneis GRE 23 VPN: Tecnologias (3) Exemplo usando túnel SSL: apenas para aplicatvos usando SSL sockets 24 VPN: Tecnologias (4) Tecnologias para VPN confiável: MPLS MPLS (Multi-Protocol Label Switch), RFC 3031, funciona na chamada “camada 2.5”, emula uma rede de chaveamento de circuitos sobre uma rede de pacotes ao inserir labels nos pacotes IPs de acordo com critérios de encaminhamento Túneis MPLS são estabelecidos via RSVP e podem considerar requisitos de QoS e acordos de SLA Restrito ao Sistema Autônomo uma vez que depende do IGP para seu estabelecimento e funcionamento VPN L2: qualquer protocolo ponto-a-ponto sobre MPLS (Draft Martini) VPN L3: ISP usa MP-BGP (Multiprotocol BGP) para propagar informações de roteamento do cliente da VPN através do backbone (RFC 2547bis), MP-BGP não suporta multicast Solução escalável para o ISP quanto ao número de VPNs 25 VPN: Tecnologias (5) Exemplo de VPN MPLS L3: se vale de endereços VPN-IPv4 (8 bytes + end. IP) para permitir ambigüidade de endereços IPs em múltiplas VPNs (RFC 2547bis) VRF – VPN Routing ad Forwarding Table LSP – Label Switched Path 26