VPNs MPLS Flashcards
VPN
Una VPN (Red Privada Virtual) se define como una red logica o virtual en la que la conectividad del cliente entre varios sitios se implementa en una infraestructura fisica compartida, con las mismas politicas de acceso o seguridad que una red privada
Modelos de VPN basadas en MPLS
*VPN modelo overlay -> VPN basadas en el CPE. El proveedor no es consciente de la estructura interna y del esquema de direccionamiento en la red del cliente y proporciona solamente un servicio de transporte
*VPN modelo peer -> VPN aprovisionadas por el proveedor. En este modelo, el PE acepta e instala solo rutas que pertenecen a las VPNs que este sirve
-VPNs de capa 2 basadas en MPLS
-VPNs de capa 3 basadas en MPLS
VPN MPLS de capa 3
O VPN MPLS/BGP. BGP se usa para distribuir informacion de enrutamiento de VPN y MPLS se usa para reenviar el trafico de la VPN de un sitio VPN a otro.
VPN MPLS de capa 3 -> Objetivos
*Aislamiento de trafico entre las diferentes VPNs
*Conectividad entre los sitios de clientes
*Uso de espacio de direcciones privadas en cada sitio
VPN MPLS de capa 3 -> Componentes de la red
Una VPN es un conjunto de politicas, y estas controlan la conectividad entre un conjunto de sitios. El sitio de un cliente esta conectado a la red del proveedor de servicios por uno o mas puertos, donde el proveedor de servicios asocia cada puerto con una tabla de enrutamiento de VPN (VRF, VPN Routing and Forwarding)
*CE (Dispositivos de Borde de Cliente)
*PE (Router de Borde de Proveedor)
*P (Router de Proveedor)
Dispositivos de borde del cliente (CE)
-Proporciona acceso de cliente a la red del proveedor de servicios a traves de un enlace de datos a uno o mas routers de borde de proveedor (PE)
-Normalmente es un router IP que establece una adyacencia con sus routers PEs conectados directamente. Una vez establecida la adyacencia, el router CE anuncia las rutas VPN locales del sitio al router PE y aprende las rutas VPN remotas del router PE
Router de borde de proveedor (PE)
Los routers CE intercambian información de enrutamiento con los routers PE. Cada router PE mantiene una VRF para cada sitio conectado directamente, lo que permite la segregación de la información de enrutamiento por VPN. Después de aprender las rutas VPN locales, los routers PE intercambian información de enrutamiento VPN entre sí utilizando iBGP. Además, en lugar de configurar sesiones BGP en malla completa, pueden establecer sesiones IBGP con un Route Reflector.
Router de Proveedor (P)
-Cualquier router en la red del proveedor que no se conecta a dispositivos CE
-Funcionan como LSR de transito MPLS cuando reenvian trafico de datos de la VPN entre routers PE
-No son requeridos para mantener informacion de enrutamiento VPN especifica para cada sitio de cliente
VPN BGP/MPLS -> Modelo Operativo
*Flujo de Control: Utilizado para la distribucion de rutas VPN y el establecimiento de rutas de LSP
*Flujo de Datos: Utilizado para reenviar el trafico de datos del cliente
VPN BGP/MPLS -> Flujo de Control
Consta de dos subflujos:
-Responsable del intercambio de informacion de enrutamiento entre los routers CE y PE en los bordes del backbone del proveedor y entre los routers PE a traves del backbone del proveedor
-Responsable del establecimiento del LSP en el backbone del proveedor entre los routers PE
Establecimiento del LSP
Para usar MPLS para reenviar trafico VPN a traves del backbone del proveedor, se deben establecer LSPs entre el router PE que aprende la ruta y el router PE que anuncia la ruta. Los LSPs se pueden establecer y mantener en la red del proveedor de servicios utilizando LDP o RSVP (Protocolo de Reserva de Recursos). Para garantizar la interoperabilidad de varios proveedores, todos los enrutadores PE y P deben admitir LDP como minimo.
*El proveedor usa LDP si desea establecer un LSP best-effort entre dos routers PE. Se establece un full-mesh de LSPs para soportar la conectividad PE a PE
*El proveedor usa RSVP si desea asignar ancho de banda al LSP o usar ingenieria de trafico para seleccionar un camino explicito para el LSP. Si el proveedor usa RSVP, los LSPs basados en RSVP tienen prioridad mas alta
Desafios y Soluciones
Mecanismos para mejorar la escalabilidad del enfoque y resolver problemas operativos especificos de VPN
1) Soportar espacios de direcciones de clientes superpuestos
2) Restringir la conectividad de la red
3) Mantener la informacion de enrutamiento actualizada
Desafios y Soluciones -> Soportar espacios de direcciones de clientes superpuestos
Si los clientes no usan direcciones IP unicas a nivel global, se puede usar la misma direccion IPv4 para identificar diferentes sistemas en diferentes VPNs. Las VPN BGP/MPLS soportan un mecanismo que convierte direcciones IP no unicas en direcciones globalmente unicas al combinar el uso de la familia de direcciones VPN-IPv4 con el despliegue de Extensiones Multiprotocolo BGP (MP-BGP). Una direccion VPN-IPv4 es una cantidad de 12 bytes compuesta por una RD (Route Distinguisher) de 8 bytes seguido de un prefijo de direccion IPv4 de 4 bytes.
Un RD se utiliza para distinguir las distintas rutas de VPN de clientes distintos que se conectan a la red del proveedor.
Se desaconseja el uso de espacio ASN privado o del espacio de direcciones IP privadas al definir los RD, debido a que el proveedor de servicios debe asegurarse de que cada RD sea globalmente unico.
Desafios y Soluciones -> Restriccion de la conectividad de la red
Suponiendo que una tabla de enrutamiento no contiene una ruta predeterminada, si la ruta a una red especifica no esta instalada en la tabla de reenvio de un router, la red es inaccesible desde ese router. Al restringir el flujo de informacion de enrutamiento, los proveedores de servicios pueden controlar de manera eficiente el flujo de trafico de datos VPN de los clientes.
El modelo VPN BGP/MPLS restringe el flujo de informacion de enrutamiento mediante dos mecanismos:
*Varias tablas de reenvio: Cada VPN necesita una instancia de VRF separada en cada router PE. Se llena localmente a traves de protocolos de ruteo usados entre CE y PE y de lo que aprende de otros PE
*Atributos de comunidades extendidas de BGP: Se distribuyen en mensajes BGP como atributos de la ruta
Route Target
Identifica VRFs a los que el router PE distribuye rutas
Tipos de Topologia VPN
-Topologia VPN Full-Mesh: Cada uno de los sitios de la VPN puede enviar trafico directamente a otro sitio de la VPN. Cada sitio esta asociado con una unica VRF en su router PE. Se configura un solo route target globalmente unico en cada VRF, import target y export target. Este route target no esta asignado a ninguna otra VRF como import o export target.
-Topologia VPN Hub and Spoke: La VRF del sitio hub esta configurada como un export target = hub y un import target = spoke, distribuye todas las rutas de su VRF para que sean importadas por los spoke y importa las rutas de los sitios spoke. La VRF en cada sitio Spoke esta configurada con un export target = spoke y un import target = hub, Distribuye sus rutas para que sean importadas por el hub, pero descartadas por los otros spoke e Importa solo rutas con atributo hub
Route Target
Atributos adicionales asociados a las rutas BGP VPNv4 para indicar membresia a una VPN.
-Export: Son añadidos a la ruta del cliente cuando es convertida en una ruta VPNv4
-Import: Selecciona las rutas a ser insertadas en la tabla de routeo virtual
VPN MPLS de Capa 2
Transporte de capa 2 sobre redes MPLS. Tiene dos enfoques principales:
*Señalizacion LDP
*Señalizacion BGP
Tipos:
*VPN MPLS de capa 2 punto a punto (Pseudowire) (VPWS)
*VPN MPLS de capa 2 punto a multipunto (VPLS)
VPWS (Virtual Private Wire Service)
Los VPN de capa 2 se construyen con tecnologia de Pseudowire (PW). Los PW proporcionan un formato intermedio comun para transportar multiples tipos de servicio de red sobre una red de conmutacion de paquetes (PSN). La tecnologia PW proporciona transporte like to like y tambien interworking (IW).
Una PW Ethernet permite que PDUs Ethernet sean transportados sobre un PSN, tal como una red IP/MPLS.
EoMPLS y la estructura de etiquetas
En EoMPLS (Ethernet over MPLS), se utiliza una pila de etiquetas de dos niveles. Es necesario que la etiqueta de VC (Virtual Circuit) contenga al menos una etiqueta, mientras que la etiqueta de red conmutada por paquetes (PSN) puede tener cero o más entradas en la pila de etiquetas. Esto implica que los paquetes Ethernet que se transportan entre los LSR (Label Switching Router) de entrada y salida se envían con dos etiquetas: una etiqueta superior o exterior y una etiqueta inferior o interior. La etiqueta exterior, también conocida como etiqueta de túnel o etiqueta IGP (Interior Gateway Protocol), se encarga de dirigir los paquetes a través de la red troncal MPLS. Por su parte, el LSR de salida asigna la etiqueta interior, que se conoce como etiqueta de VC (Virtual Circuit) o etiqueta de pseudowire.
VPWS -> Plano de Control
*LDP entre PEs directamente conectados: El VC Label le da al lado opuesto la indicacion de como procesar el trafico de datos que esta llegando sobre el VC-LSP
*LDP entre Pes no directamente conectados: EoMPLS usa LDP dirigido, lo cual permite que la sesion LDP sea establecida entre los PEs de ingreso y egreso, independientemente de si ellos estan directamente conectados o no
VPLS (Virtual Private LAN Service)
VPLS define una arquitectura que brinda conectividad multipunto a sitios a través de Ethernet, como si estuvieran conectados mediante una LAN. La operación de VPLS emula un switch Ethernet, lo que permite a los dispositivos en red comunicarse entre sí de manera transparente.
En una arquitectura VPLS, los CE están conectados a través de PE y PWs, pero ya no mantienen una relación de pares punto a punto directa. En cambio, el enrutamiento y la conmutación se llevan a cabo dentro de la red VPLS mediante la emulación de una LAN virtual.
La naturaleza de broadcast inherente en Ethernet facilita el descubrimiento de dispositivos en una red. VPLS extiende esta capacidad de broadcast a través de una WAN, lo que significa que los dispositivos conectados a través de VPLS pueden descubrirse y comunicarse entre sí como si estuvieran en una misma LAN física, pero en realidad están separados
VPLS -> Definiciones de Servicios
VPLS ofrece dos tipos de servicios:
*TLS (Transparent LAN Service): Realiza un aprendizaje no calificado, en el que todas las VLANs de clientes de una VPN de Capa 2 se tratan como si estuvieran en el mismo dominio de broadcast. Las direcciones MAC deben ser unicas entre todas las VLANs
*EVCS (Ethernet Virtual Connection Service): El tag de VLAN externa en la trama Ethernet diferencia una instancia VLAN del cliente de otra
VPLS: Modelo de Referencia
*VFI (Virtual Forwarding Instance): Unico por servicio. Emula un dominio de broadcast de capa 2 entre ACs y VCs
*AC (Attachment Circuit): Conecta el dispositivo CE al PE, podria ser un puerto Ethernet fisico o logico
*VC (Virtual Circuit): Es la encapsulacion de datos en EoMPLS, el label del tunel se usa para alcanzar al PE remoto, el label de VC se usa para identificar a la VFI. Los PEs deben tener un full-mesh de PW en el core MPLS