IP & Applications
Virtual Private Networks
Leiria, Abril.2001
IC - IP & Applications
Paulo Valente
[email protected]
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
• Multiprotocol Label Switching
(MPLS)
• VPNs-IP baseadas no paradigma
BGP/MPLS
• Segurança em VPNs BGP/MPLS
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
• Multiprotocol Label Switching
(MPLS)
• VPNs-IP baseadas no paradigma
BGP/MPLS
• Segurança em VPNs BGP/MPLS
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
– Definição
– De Full-Meshed a Hub-and-spoke
– Intranet vs Extranet
– Modelo Overlay vs Modelo Peer
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
– Definição
– De Full-Meshed a Hub-and-spoke
– Intranet vs Extranet
– Modelo Overlay vs Modelo Peer
IC - IP & Applications
Virtual Private Networks
• Definição I:
– Grupo restrito de sites aos quais é
permitido comunicar entre si através de
uma rede partilhada (i.e., rede pública),
sendo aplicadas a esta conectividade
politicas administrativas.
IC - IP & Applications
Virtual Private Networks
• Definição II:
«… informalmente podemos dizer que
uma VPN é um grupo de sites que
podem comunicar entre si.»
in «MPLS - Technology and
Applications», 2000
Bruce Davie eYakov Rekhter
IC - IP & Applications
Virtual Private Networks
• Definição II:
«Mais formalmente, uma VPN é definida
por um grupo de políticas
administrativas que controlam tanto a
conectividade como a QoS entre sites.»
in «MPLS - Technology and
Applications», 2000
Bruce Davie eYakov Rekhter
IC - IP & Applications
Virtual Private Networks
• Definição III:
«Uma VPN pode ser modelada como um
objecto de conectividade.»
in RFC 2764 «A Framework for IP Based
Virtual Private Networks», Feb 2000
IC - IP & Applications
Virtual Private Networks
• Definição III:
«Muitos aspectos do desenho de redes, como
endereçamento, mecanismo de encaminhamento,
aprendizagem e aviso de conectividade, QoS,
segurança, e firewalling, têm soluções comuns em
redes físicas e redes virtuais.»
in RFC 2764 «A Framework for IP Based
Virtual Private Networks», Feb 2000
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
– Definição
– De Hub-and-spoke a Full-Meshed
– Intranet vs Extranet
– Modelo Overlay vs Modelo Peer
IC - IP & Applications
De Hub-and-spoke a Full-Meshed
IC - IP & Applications
De Hub-and-spoke a Full-Meshed
n sites
n-1 ligações
IC - IP & Applications
De Hub-and-spoke a Full-Meshed
n sites
n(n-1)/2
ligações
IC - IP & Applications
nº de sites
IC - IP & Applications
20
18
16
14
12
10
8
6
20 => 190
100 => 4950!
4
200
180
160
140
120
100
80
60
40
20
0
2
nº de ligações
De Hub-and-spoke a Full-Meshed
nº de sites
IC - IP & Applications
20
18
16
14
12
10
8
6
20 => 190
100 => 4950!
4
200
180
160
140
120
100
80
60
40
20
0
2
nº de ligações
De Hub-and-spoke a Full-Meshed
De Hub-and-spoke a Full-Meshed
Partially-Meshed
Full-Meshed
IC - IP & Applications
Hub-and-spoke
AGENDA
• Virtual Private Networks (VPNs)
– Definição
– De Hub-and-spoke a Full-Meshed
– Intranet vs Extranet
– Modelo Overlay vs Modelo Peer
IC - IP & Applications
Intranet vs Extranet
• Conectividade e Aplicações flexiveis:
– Intranet: VPN baseada na conectividade
apenas entre sites da mesma empresa.
– Extranet: VPN utilizada na interligação de
sites de diferentes empresas.
Numa Extranet as políticas de definição da
VPN cabem a um conjunto de empresas.
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
– Definição
– De Hub-and-spoke a Full-Meshed
– Intranet vs Extranet
– Modelo Overlay vs Modelo Peer
IC - IP & Applications
Modelo Overlay
CE - Customer Edge
CE
10.2/16
CE
CE
10.2/16
10.1/16
CE
CE
CE
10.1/16
10.3/16
CE
10.3/16
IC - IP & Applications
VPN A
VPN B
Modelo Overlay
• Conectividade entre sites:
– Layer 2
• linhas dedicadas, circuitos Frame Relay,
circuitos ATM
– VPN Tunneling
• IP/IP, L2TP, GRE, IPSec
IC - IP & Applications
Modelo Overlay - Layer 2
• Desenho e operação do “backbone
virtual” da VPN pelo cliente o que
implica:
– Conhecimentos em routing IP.
– Conhecimentos em IP QoS e L2 QoS bem
como no seu mapeamento.
ou como alternativa … outsorcing!
IC - IP & Applications
Modelo Overlay - VPN Tunneling
• Definição:
– Um túnel IP funciona como um overlay
sobre um backbone IP, e o tráfego enviado
sobre o túnel é opaco para esse mesmo
backbone.
i.e., o backbone é transparente para a VPN!
IC - IP & Applications
Modelo Overlay - VPN Tunneling
•
•
•
•
GRE - RFC 1701, Outubro 1994
IP/IP - RFC 2003, Outubro 1996
IPSec - RFC 2401, Novembro 1998
L2TP - RFC 2661, Agosto 1999
IC - IP & Applications
Modelo Overlay - VPN Tunneling
• Os mesmos problemas que na
conectividade L2 +
– GRE: data spoofing
– IPSec: key management
– QoS baseada em IP Diffserv
• Possibilidade de extender o serviço
VPN a qualquer lado com conectividade
à Internet.
IC - IP & Applications
Modelo Peer - MOTIVAÇÕES
• Oferta de um serviço VPN escalável
– milhares a milhões de VPNs por SP
• Necessidade de pouco a nenhum
conhecimento de routing IP por parte do
cliente (point-to-cloud)
• Flexibilidade em termos de dimensões
da VPN
– de poucos a milhares de sites por VPN
IC - IP & Applications
Modelo Peer
CE - Customer Edge
PE - Provider Edge
P - Provider
10.2/16
CE
CE
PE
CE
10.1/16
PE
CE
10.2/16
P
PE
CE
CE
10.1/16
10.3/16
CE
10.3/16
IC - IP & Applications
VPN A
VPN B
Modelo Peer - SOLUÇÃO
• Distribuição de informação de routing
condicionada
• Múltiplas tabelas de forwarding
• Uso de um novo tipo de endereços,
endereços VPN-IPv4
• MPLS
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
• Multiprotocol Label Switching
(MPLS)
• VPNs-IP baseadas no paradigma
BGP/MPLS
• Segurança em VPNs BGP/MPLS
IC - IP & Applications
AGENDA
• Multiprotocol Label Switching
(MPLS)
– Contextualização
– Caracterização
– Terminologia
– Componentes
IC - IP & Applications
AGENDA
• Multiprotocol Label Switching
(MPLS)
– Contextualização
– Caracterização
– Terminologia
– Componentes
IC - IP & Applications
MPLS - Contextualização
• Tecnologias Precursoras (1994-1996)
– Cell Switching Router (CSR) TOSHIBA
– IP Switching IPSILON
– Tag Switching CISCO
– Aggregate Route-based IP Switching
(ARIS) IBM
IC - IP & Applications
MPLS - Contextualização
• Cell Switching Router (CSR) TOSHIBA
– Até então: routing feito por routers,
ATM switching feito por ATM switches.
– Questão: Porque não controlar um ATM
switching fabric através de protocolos IP
(como routing IP e RSVP) em vez de
utilizar sinalização ATM como Q.2931?
IC - IP & Applications
MPLS - Contextualização
• IP Switching IPSILON
– Permite um equipamento com o
desempenho de um comutador ATM
comportar-se como um router.
– Routers mais rápido é o necessário!
– Sinalização ATM complexa demais.
Melhor será nem a utilizar...
IC - IP & Applications
MPLS - Contextualização
• Tag Switching CISCO
– Funciona sobre ATM, PPP, 802.3.
– Suporta Multicast.
– Suporta alocação de recursos via
RSVP.
– Objectivo de normalizar o Tag Switching
através do IETF.
IC - IP & Applications
MPLS - Contextualização
• Aggregate Route-based IP Switching
(ARIS) IBM
– Filosofia próxima do Tag Switching da
Cisco.
– Muitas das ideias foram incorporadas
nas normas do MPLS.
IC - IP & Applications
MPLS
• MPLS Working Group - 1997
– Sessão Birds of a Feather (BOF) em
dezembro de 1996 com apresentações
feitas pela Toshiba, Cisco e IBM.
– Uma das sessões mais concurridas da
história do IETF.
IC - IP & Applications
AGENDA
• Multiprotocol Label Switching
(MPLS)
– Contextualização
– Caracterização
– Terminologia
– Componentes
IC - IP & Applications
MPLS - Caracterização
• Multiprotocol = IP
• Baseado no paradigma da labelswaping forwarding
IP
IP
IP Forwarding
IC - IP & Applications
#L1
IP
#L2
LABEL SWITCHING
IP
#L3
IP
IP Forwarding
MPLS - Caracterização
• Formato do label:
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Label
| EXP |S|
TTL
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
• Cabeçalho = 4 octetos (32 bits)
–
–
–
–
Label = valor da label a atribuir ao pacote (20 bits-1048576)
EXP = bits experimentais, utilizados para QoS (3 bits)
S = indicador do fim da pilha (1 bit)
TTL = time to live (8 bits)
IC - IP & Applications
MPLS - Caracterização
• Formato do label:
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Label
| EXP |S|
TTL
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
• Colocado entre o cabeçalho da camada 2 (Data Link)
e o cabeçalho da camada 3 (Network), do Modelo
Referencial OSI.
IC - IP & Applications
MPLS - Não é um protocolo L2
Application
Presentation
Session
Transport
Network
Data Link
Physical
IC - IP & Applications
• Funciona sobre várias
tecnologias da camada 2:
– ATM
– SONET
– Ethernet
– PPP
MPLS - Não é um protocolo L3
Application
Presentation
Session
Transport
Network
Data Link
Physical
IC - IP & Applications
• Não tem endereçamento
nem funções de
encaminhamento per si:
– Faz uso do
endereçamento IP e o
routing IP (com extensões)
Não é uma camada no Modelo OSI
Application
Presentation
Session
Transport
Network
Data Link
Physical
IC - IP & Applications
• Não existe um formato
único para transportar os
dados de uma camada
superior:
– shim - SONET
– VPI/VCI - ATM
– lambda - OXC
– etc...
MPLS - Aplicações
• Fast forwarding
• IP Traffic Engineering
– Constraint-based Routing
• Virtual Private Networks
– mecanismo hierárquico de túneis
• Voz/Video sobre IP
– atraso controlado, restrições de QoS
IC - IP & Applications
AGENDA
• Multiprotocol Label Switching
(MPLS)
– Contextualização
– Caracterização
– Terminologia
– Apresentação Funcional
IC - IP & Applications
MPLS - Terminologia
• LSR - Label Switching
Router
envia pacotes IP para o
destino com base numa LIB
e na troca de labels
• LER - Label Edge Router
inícia (adiciona label) e
termina (remove label) um
LSP.
• LSP - Label Switched Path
um VC para IP que forma
um caminho unidireccional.
IC - IP & Applications
• LDP - Label Distribution
Protocol
protocolo de sinalização bidirectional que é utilizado
entre LDP peers para formar
sessões (LDP, CR-LDP,
RSVP).
• FEC - Forwarding
Equivalence Class
grupo de pacotes IP que é
tratado do mesmo modo no
que diz respeito ao
encaminhamento.
MPLS - Terminologia
LDP Peers
Ingress
LER
Domínio MPLS
LSP
LER
Egress
LSR
LER
LSR
LDP
LER
LSR
LDP
LER
IC - IP & Applications
LER
AGENDA
• Multiprotocol Label Switching
(MPLS)
– Contextualização
– Caracterização
– Terminologia
– Apresentação Funcional
IC - IP & Applications
1. Protocolos de routing existentes populam a tabela de
routing
2b. LDP estabelece LSP
2a. LDP cria entradas LIB nos LSRs
5. O egress LER
remove o label e
encaminha o
pacote IP
3. O ingress LER recebe pacotes IP,
executa o processamento de L3,
e adiciona labels aos pacotes
(quadrado vermelho)
IC - IP & Applications
4. Os LSRs processam
os pacotes com label
MPLS através de
label swapping
Modos MPLS
• Estabelecimento de LSPs
– Control Driven, Data driven
• Distribuição de Labels
– Downstream on demand, Downstream unsolicited
• Mecanismos de Controlo
– Ordered control, Independent control
• Retenção de Labels
– Conservativo, Liberal
IC - IP & Applications
AGENDA
• Virtual Private Networks (VPNs)
• Multiprotocol Label Switching
(MPLS)
• VPNs-IP baseadas no paradigma
BGP/MPLS
• Segurança em VPNs BGP/MPLS
IC - IP & Applications
AGENDA
• VPNs-IP baseadas no paradigma
BGP/MPLS
– Endereços VPN-IPv4
– Múltiplas tabelas de forwarding
– Route Target
– LSPs Hierárquicos
IC - IP & Applications
AGENDA
• VPNs-IP baseadas no paradigma
BGP/MPLS
– Endereços VPN-IPv4
– Múltiplas tabelas de forwarding
– Route Target
– LSPs Hierárquicos
IC - IP & Applications
VPN-IPv4 Address Family
• «Multiprotocol Extensions for BGP-4»
RFC 2858, Junho 2000:
– BGP passa a suportar outros protocolos
de L3 (Network), além do IP.
– A identificação de um protocolo de L3 é
feita através de um Address Family,
como definido na RFC1700.
IC - IP & Applications
VPN-IPv4 Address Family
• Estrutura de um Address Family:
+---------------------------------------------------------+
| Address Family Identifier (2 octets)
|
+---------------------------------------------------------+
| Subsequent Address Family Identifier (1 octeto)
|
+---------------------------------------------------------+
• VPN-IPv4:
– AFI = 1 ; SAFI = 128
IC - IP & Applications
Endereços VPN-IPv4
• Redes Privadas muitas vezes
utilizam endereçamento privado
(RFC 1918) => Clientes VPN de um
SP podem utilizar a mesma gama de
endereços...
Novos endereços únicos:
Endereços VPN-IPv4 = RD + IPv4
IC - IP & Applications
RD - Route Distinguisher
• Estrutura:
+---------------------------------------------------------+
| Type (2 octetos)
|
+---------------------------------------------------------+
| Autonomous System Number (2 octetos)
|
+---------------------------------------------------------+
| Assigned Number (4 octetos)
|
+---------------------------------------------------------+
• Exemplo:
– RD = 65500:1000
IC - IP & Applications
AGENDA
• VPNs-IP baseadas no paradigma
BGP/MPLS
– Endereços VPN-IPv4
– Múltiplas tabelas de forwarding
– Route Target
– LSPs Hierárquicos
IC - IP & Applications
Multiplas tabelas de Forwarding
• Num mesmo router de edge de um
SP são agregados vários clientes de
VPNs:
10.2/16
CE
PE
CE
10.2/16
Backbone IP
IC - IP & Applications
Multiplas tabelas de Forwarding
• Cada PE router mantém, não uma
mas várias tabelas de forwarding.
• Cada tabela de forwarding deverá
corresponder a uma VPN criada
neste PE.
IC - IP & Applications
Uma tabela para muitos CEs
• Uma tabela de forwarding num PE
pode ser populada por vários CEs da
mesma VPN. O contrário é falso.
CE
10.1/16
PE
Backbone IP
CE
CE
IC - IP & Applications
10.1/16
Mesma tabela de
forwarding
AGENDA
• VPNs-IP baseadas no paradigma
BGP/MPLS
– Endereços VPN-IPv4
– Múltiplas tabelas de forwarding
– Route Target
– LSPs Hierárquicos
IC - IP & Applications
Route Target
• Problema: Quais as rotas que um
PE recebe de outro PE que
pertencem à VPN x?
• Resposta: Através do uso de uma
Extended Community no BGP: o
route target.
IC - IP & Applications
Route Target
• Determina quais as rotas que um PE
deve colocar em cada uma das suas
tabelas de forwarding.
• Deve também ser indicado pelo
administrador qual o(s) route target a
colocar nos updates BGP para os
outros PEs.
IC - IP & Applications
Problema
• A parte de controlo (distribuição de
rotas pelas várias VPNs) parece
assegurado pelas definições
anteriores.
• Mas o resultado final em qualquer
tipo de VPN é encaminhar um pacote
IP de um CE a outro CE.
IC - IP & Applications
AGENDA
• VPNs-IP baseadas no paradigma
BGP/MPLS
– Endereços VPN-IPv4
– Múltiplas tabelas de forwarding
– Route Target
– LSPs Hierárquicos
IC - IP & Applications
CE2
CE1
Distribuição de labels VPN
entre PE1 & PE2
PE1
IP Pkt
PE2
Distribuição de labels IGP
entre P1, P2, PE1, PE2
30 10 IP Pkt
P1
P2
50 10 IP Pkt
40 10 IP Pkt
Outer (tunnel) label
é comutado
IC - IP & Applications
IP Pkt
NLRI - Network Layer Reachability Information
• BGP IPv4
– Prefixo
MP - UNREACH
AFI
1
SAFI
128
- NLRI
Withdrawn Routes
• BGP VPN-IPv4
– Label
– RD
– Prefixo IPv4
IC - IP & Applications
Label
RD
IPv4 Prefix
0x800000
777:1
10.1.0.0/16
EXTENDED
- COMMUNITIES
Allocation
Type
Administrator
Assigned Nr
By AS (0x00)
Route target (0x02)
777 (0x0309)
1001 (0x03E9)
NLRI
empty
VPN A/Site 2
VPN B/Site 2
Run BGP
To Customer
VPN B/Site 1
CEA2
CE1B1
P1
CE2B1
PE2
P2
Multi-homed site
PE1
CEA1
CEB2
PE3
P3
CEA3
VPN A/Site 1
VPN A/Site 3
IC - IP & Applications
Use Static Routes
CEB3
VPN B/Site 3
AGENDA
• Virtual Private Networks (VPNs)
• Multiprotocol Label Switching
(MPLS)
• VPNs-IP baseadas no paradigma
BGP/MPLS
• Segurança em VPNs BGP/MPLS
IC - IP & Applications
Segurança
• Equivalente à obtida por VPNs
baseadas em ATM ou Frame Relay
• Configuração incorrecta potencia falhas
de segurança
• Confidencialidade não é assegurada: os
dados não são encriptados sendo
possível a extracção de informação da
rede (tapping).
IC - IP & Applications
VPN BGP/MPLS Segura:
VPN BGP/MPLS
IP SEC
IC - IP & Applications
Obrigado!
Paulo Valente
[email protected]
IC - IP & Applications