VPNs MPLS Flashcards
VPN
Una VPN (Red Privada Virtual) se define como una red logica o virtual en la que la conectividad del cliente entre varios sitios se implementa en una infraestructura fisica compartida, con las mismas politicas de acceso o seguridad que una red privada
Modelos de VPN basadas en MPLS
*VPN modelo overlay -> VPN basadas en el CPE. El proveedor no es consciente de la estructura interna y del esquema de direccionamiento en la red del cliente y proporciona solamente un servicio de transporte
*VPN modelo peer -> VPN aprovisionadas por el proveedor. En este modelo, el PE acepta e instala solo rutas que pertenecen a las VPNs que este sirve
-VPNs de capa 2 basadas en MPLS
-VPNs de capa 3 basadas en MPLS
VPN MPLS de capa 3
O VPN MPLS/BGP. BGP se usa para distribuir informacion de enrutamiento de VPN y MPLS se usa para reenviar el trafico de la VPN de un sitio VPN a otro.
VPN MPLS de capa 3 -> Objetivos
*Aislamiento de trafico entre las diferentes VPNs
*Conectividad entre los sitios de clientes
*Uso de espacio de direcciones privadas en cada sitio
VPN MPLS de capa 3 -> Componentes de la red
Una VPN es un conjunto de politicas, y estas controlan la conectividad entre un conjunto de sitios. El sitio de un cliente esta conectado a la red del proveedor de servicios por uno o mas puertos, donde el proveedor de servicios asocia cada puerto con una tabla de enrutamiento de VPN (VRF, VPN Routing and Forwarding)
*CE (Dispositivos de Borde de Cliente)
*PE (Router de Borde de Proveedor)
*P (Router de Proveedor)
Dispositivos de borde del cliente (CE)
-Proporciona acceso de cliente a la red del proveedor de servicios a traves de un enlace de datos a uno o mas routers de borde de proveedor (PE)
-Normalmente es un router IP que establece una adyacencia con sus routers PEs conectados directamente. Una vez establecida la adyacencia, el router CE anuncia las rutas VPN locales del sitio al router PE y aprende las rutas VPN remotas del router PE
Router de borde de proveedor (PE)
Los routers CE intercambian información de enrutamiento con los routers PE. Cada router PE mantiene una VRF para cada sitio conectado directamente, lo que permite la segregación de la información de enrutamiento por VPN. Después de aprender las rutas VPN locales, los routers PE intercambian información de enrutamiento VPN entre sí utilizando iBGP. Además, en lugar de configurar sesiones BGP en malla completa, pueden establecer sesiones IBGP con un Route Reflector.
Router de Proveedor (P)
-Cualquier router en la red del proveedor que no se conecta a dispositivos CE
-Funcionan como LSR de transito MPLS cuando reenvian trafico de datos de la VPN entre routers PE
-No son requeridos para mantener informacion de enrutamiento VPN especifica para cada sitio de cliente
VPN BGP/MPLS -> Modelo Operativo
*Flujo de Control: Utilizado para la distribucion de rutas VPN y el establecimiento de rutas de LSP
*Flujo de Datos: Utilizado para reenviar el trafico de datos del cliente
VPN BGP/MPLS -> Flujo de Control
Consta de dos subflujos:
-Responsable del intercambio de informacion de enrutamiento entre los routers CE y PE en los bordes del backbone del proveedor y entre los routers PE a traves del backbone del proveedor
-Responsable del establecimiento del LSP en el backbone del proveedor entre los routers PE
Establecimiento del LSP
Para usar MPLS para reenviar trafico VPN a traves del backbone del proveedor, se deben establecer LSPs entre el router PE que aprende la ruta y el router PE que anuncia la ruta. Los LSPs se pueden establecer y mantener en la red del proveedor de servicios utilizando LDP o RSVP (Protocolo de Reserva de Recursos). Para garantizar la interoperabilidad de varios proveedores, todos los enrutadores PE y P deben admitir LDP como minimo.
*El proveedor usa LDP si desea establecer un LSP best-effort entre dos routers PE. Se establece un full-mesh de LSPs para soportar la conectividad PE a PE
*El proveedor usa RSVP si desea asignar ancho de banda al LSP o usar ingenieria de trafico para seleccionar un camino explicito para el LSP. Si el proveedor usa RSVP, los LSPs basados en RSVP tienen prioridad mas alta
Desafios y Soluciones
Mecanismos para mejorar la escalabilidad del enfoque y resolver problemas operativos especificos de VPN
1) Soportar espacios de direcciones de clientes superpuestos
2) Restringir la conectividad de la red
3) Mantener la informacion de enrutamiento actualizada
Desafios y Soluciones -> Soportar espacios de direcciones de clientes superpuestos
Si los clientes no usan direcciones IP unicas a nivel global, se puede usar la misma direccion IPv4 para identificar diferentes sistemas en diferentes VPNs. Las VPN BGP/MPLS soportan un mecanismo que convierte direcciones IP no unicas en direcciones globalmente unicas al combinar el uso de la familia de direcciones VPN-IPv4 con el despliegue de Extensiones Multiprotocolo BGP (MP-BGP). Una direccion VPN-IPv4 es una cantidad de 12 bytes compuesta por una RD (Route Distinguisher) de 8 bytes seguido de un prefijo de direccion IPv4 de 4 bytes.
Un RD se utiliza para distinguir las distintas rutas de VPN de clientes distintos que se conectan a la red del proveedor.
Se desaconseja el uso de espacio ASN privado o del espacio de direcciones IP privadas al definir los RD, debido a que el proveedor de servicios debe asegurarse de que cada RD sea globalmente unico.
Desafios y Soluciones -> Restriccion de la conectividad de la red
Suponiendo que una tabla de enrutamiento no contiene una ruta predeterminada, si la ruta a una red especifica no esta instalada en la tabla de reenvio de un router, la red es inaccesible desde ese router. Al restringir el flujo de informacion de enrutamiento, los proveedores de servicios pueden controlar de manera eficiente el flujo de trafico de datos VPN de los clientes.
El modelo VPN BGP/MPLS restringe el flujo de informacion de enrutamiento mediante dos mecanismos:
*Varias tablas de reenvio: Cada VPN necesita una instancia de VRF separada en cada router PE. Se llena localmente a traves de protocolos de ruteo usados entre CE y PE y de lo que aprende de otros PE
*Atributos de comunidades extendidas de BGP: Se distribuyen en mensajes BGP como atributos de la ruta
Route Target
Identifica VRFs a los que el router PE distribuye rutas
Tipos de Topologia VPN
-Topologia VPN Full-Mesh: Cada uno de los sitios de la VPN puede enviar trafico directamente a otro sitio de la VPN. Cada sitio esta asociado con una unica VRF en su router PE. Se configura un solo route target globalmente unico en cada VRF, import target y export target. Este route target no esta asignado a ninguna otra VRF como import o export target.
-Topologia VPN Hub and Spoke: La VRF del sitio hub esta configurada como un export target = hub y un import target = spoke, distribuye todas las rutas de su VRF para que sean importadas por los spoke y importa las rutas de los sitios spoke. La VRF en cada sitio Spoke esta configurada con un export target = spoke y un import target = hub, Distribuye sus rutas para que sean importadas por el hub, pero descartadas por los otros spoke e Importa solo rutas con atributo hub
Route Target
Atributos adicionales asociados a las rutas BGP VPNv4 para indicar membresia a una VPN.
-Export: Son añadidos a la ruta del cliente cuando es convertida en una ruta VPNv4
-Import: Selecciona las rutas a ser insertadas en la tabla de routeo virtual
VPN MPLS de Capa 2
Transporte de capa 2 sobre redes MPLS. Tiene dos enfoques principales:
*Señalizacion LDP
*Señalizacion BGP
Tipos:
*VPN MPLS de capa 2 punto a punto (Pseudowire) (VPWS)
*VPN MPLS de capa 2 punto a multipunto (VPLS)
VPWS (Virtual Private Wire Service)
Los VPN de capa 2 se construyen con tecnologia de Pseudowire (PW). Los PW proporcionan un formato intermedio comun para transportar multiples tipos de servicio de red sobre una red de conmutacion de paquetes (PSN). La tecnologia PW proporciona transporte like to like y tambien interworking (IW).
Una PW Ethernet permite que PDUs Ethernet sean transportados sobre un PSN, tal como una red IP/MPLS.
EoMPLS y la estructura de etiquetas
En EoMPLS (Ethernet over MPLS), se utiliza una pila de etiquetas de dos niveles. Es necesario que la etiqueta de VC (Virtual Circuit) contenga al menos una etiqueta, mientras que la etiqueta de red conmutada por paquetes (PSN) puede tener cero o más entradas en la pila de etiquetas. Esto implica que los paquetes Ethernet que se transportan entre los LSR (Label Switching Router) de entrada y salida se envían con dos etiquetas: una etiqueta superior o exterior y una etiqueta inferior o interior. La etiqueta exterior, también conocida como etiqueta de túnel o etiqueta IGP (Interior Gateway Protocol), se encarga de dirigir los paquetes a través de la red troncal MPLS. Por su parte, el LSR de salida asigna la etiqueta interior, que se conoce como etiqueta de VC (Virtual Circuit) o etiqueta de pseudowire.
VPWS -> Plano de Control
*LDP entre PEs directamente conectados: El VC Label le da al lado opuesto la indicacion de como procesar el trafico de datos que esta llegando sobre el VC-LSP
*LDP entre Pes no directamente conectados: EoMPLS usa LDP dirigido, lo cual permite que la sesion LDP sea establecida entre los PEs de ingreso y egreso, independientemente de si ellos estan directamente conectados o no
VPLS (Virtual Private LAN Service)
VPLS define una arquitectura que brinda conectividad multipunto a sitios a través de Ethernet, como si estuvieran conectados mediante una LAN. La operación de VPLS emula un switch Ethernet, lo que permite a los dispositivos en red comunicarse entre sí de manera transparente.
En una arquitectura VPLS, los CE están conectados a través de PE y PWs, pero ya no mantienen una relación de pares punto a punto directa. En cambio, el enrutamiento y la conmutación se llevan a cabo dentro de la red VPLS mediante la emulación de una LAN virtual.
La naturaleza de broadcast inherente en Ethernet facilita el descubrimiento de dispositivos en una red. VPLS extiende esta capacidad de broadcast a través de una WAN, lo que significa que los dispositivos conectados a través de VPLS pueden descubrirse y comunicarse entre sí como si estuvieran en una misma LAN física, pero en realidad están separados
VPLS -> Definiciones de Servicios
VPLS ofrece dos tipos de servicios:
*TLS (Transparent LAN Service): Realiza un aprendizaje no calificado, en el que todas las VLANs de clientes de una VPN de Capa 2 se tratan como si estuvieran en el mismo dominio de broadcast. Las direcciones MAC deben ser unicas entre todas las VLANs
*EVCS (Ethernet Virtual Connection Service): El tag de VLAN externa en la trama Ethernet diferencia una instancia VLAN del cliente de otra
VPLS: Modelo de Referencia
*VFI (Virtual Forwarding Instance): Unico por servicio. Emula un dominio de broadcast de capa 2 entre ACs y VCs
*AC (Attachment Circuit): Conecta el dispositivo CE al PE, podria ser un puerto Ethernet fisico o logico
*VC (Virtual Circuit): Es la encapsulacion de datos en EoMPLS, el label del tunel se usa para alcanzar al PE remoto, el label de VC se usa para identificar a la VFI. Los PEs deben tener un full-mesh de PW en el core MPLS
Mecanismos de conmutación y prevención de bucles en redes VPLS
*Flooding/Forwarding: Para broadcast, multicast y direccion unicast desconocidas. Basado en las MAC de destino
*MAC Learning: Aprendizaje dinamico basado en la MAC de origen y VLAN.
*Aging: Actualiza temporizadores de envejecimiento con paquetes entrantes.
*Withdrawal: Retiro de MACs ante cambios en la topologia.
*Split-Horizon y full-mesh de PWs para evitar loops en el core: Split-horizon evita que las tramas que se reciben en un PW se envien a cualquier otro
H-VPLS
*Minimizar la sobrecarga de señalizacion
*Replicacion de paquete solo en el core
*Full-mesh de PWs en el core
En lugar de que un PE este totalmente mallado con sesiones LDP, se crea una jerarquia de dos niveles que involucra “PEs hub” (N-PE) y “PEs Spoke” (U-PE), Las N-PE estan totalmente mallados con sesiones LDP
Descubrimiento de PEs y alternativas de señalizacion
*Señalizacion VPLS: Basada en LDP y Basada en BGP
*VPLS con señalizacion LDP y sin auto-discovery
*Auto-discovery basado en BGP, BGP-AD: Habilita el descubrimiento de dispositivos PEs en una instancia VPLS. Elimina la necesidad de aprovisionar manualmente a vecinos MPLS, se usa tipicamente en conjuntos de Route Reflectors BGP para minimizar los requerimientos de los pares de full-mesh de IBGP
Switch Virtual
Un router PE dado tiene como maximo un switch virtual para cada dominio VPLS.
Consta de un modulo bridge, una interfaz LAN emulada y una VFI. Los routers CE estan conectados al modulo bridge a traves de ACs. Cada bridge tambien tiene una interfaz LAN emulada que se conecta a la VFI.
Extendiendo servicios VPN sobre redes inter-AS
*Opcion A: Conexiones VRF-to-VRF en el ASBR
*Opcion B: Redistribucion EBGP de rutas VPN-v4 etiquetadas
*Opcion C: Redistribucion EBGP multihop de rutas VPN-v4 etiquetadas entre los AS de origen y destino
Conexiones VRF-to-VRF en el ASBR
El metodo mas simple para intercambiar las rutas VPN a traves de un limite de AS es conectar los dos ASBRs directamente a traves de multiples subinterfaces y ejecutar EBGP entre ellos. Esta solucion no requiere MPLS en la frontera entre los dos ASs. Para cada ASBR, el otro parecera una CE regular.
Redistribucion EBGP de rutas VPN-v4 etiquetadas
Para evitar mantener el estado por VPN en el ASBR, se pueden anunciar rutas VPN-v4 en su lugar. Utiliza una unica sesion EBGP entre los ABSRs, independientemente del numero de VPNs, y anuncia rutas VPN-v4 etiquetadas sobre ella. Las rutas entre PE y ASBR se intercambian a traves de una sesion IBGP
Redistribucion EBGP multihop de rutas VPN-v4 etiquetadas entre los AS de origen y destino
El cliente utiliza una sesion EBGP multihop entre sus routers PE para llevar prefijos externos como rutas VPN-v4 etiquetadas y el proveedor proporciona conectividad a las loopbacks del PE anunciandolas como rutas IPv4 etiquetadas de un AS a otro
EVPN (Ethernet VPN)
EVPN es una solución que ofrece un plano de control escalable e interoperable de extremo a extremo, basado en el protocolo BGP. A través de EVPN, es posible lograr el aprendizaje de direcciones MAC utilizando el plano de control BGP. Por otro lado, VPLS es capaz de realizar este aprendizaje MAC utilizando el mismo plano de control BGP.
En términos más sencillos, EVPN es una tecnología que permite conectar segmentos de red de capa 2 que están separados por una red de capa 3. Esto se logra construyendo una superposición de red virtual de capa 2 sobre la infraestructura de red de capa 3. De esta manera, EVPN permite que los segmentos de red de capa 2 se comuniquen de manera efectiva a través de una red de capa 3
EVPN con VXLAN
En los data centers se esta usando EVPN junto a VXLAN, EVPN para el plano de control y VXLAN para el plano de forwarding. VXLAN (Virtual Extensible LAN) se implementa en muchos centros de datos de capa 3 para proporcionar conectividad de capa 2 entre hosts para aplicaciones especificas.
Cuando EVPN se implemente con el plano de datos VXLAN, la familia de direcciones EVPN puede intercambiar ya sea solo informacion del plano de control de capa MAC o puede intercambiar tanto informacion de la direccion MAC como de la direccion IP en sus actualizaciones entre VTEP. Intercambiar la informacion de IP y MAC juntas puede permitir la supresion de ARP en el switch local, reduciendo asi la transmision de trafico en un centro de datos
VPN de Origen
Identifica una coleccion de sitios y establece que la ruta asociada proviene de uno de los sitios de ese conjunto
Sitio de Origen
Identifica el sitio desde el cual un router PE aprende
