VPNs MPLS

Question 1

VPN

Answer 1

Una VPN (Red Privada Virtual) se define como una red logica o virtual en la que la conectividad del cliente entre varios sitios se implementa en una infraestructura fisica compartida, con las mismas politicas de acceso o seguridad que una red privada

Question 2

Modelos de VPN basadas en MPLS

Answer 2

*VPN modelo overlay -> VPN basadas en el CPE. El proveedor no es consciente de la estructura interna y del esquema de direccionamiento en la red del cliente y proporciona solamente un servicio de transporte
*VPN modelo peer -> VPN aprovisionadas por el proveedor. En este modelo, el PE acepta e instala solo rutas que pertenecen a las VPNs que este sirve
-VPNs de capa 2 basadas en MPLS
-VPNs de capa 3 basadas en MPLS

Question 3

VPN MPLS de capa 3

Answer 3

O VPN MPLS/BGP. BGP se usa para distribuir informacion de enrutamiento de VPN y MPLS se usa para reenviar el trafico de la VPN de un sitio VPN a otro.

Question 4

VPN MPLS de capa 3 -> Objetivos

Answer 4

*Aislamiento de trafico entre las diferentes VPNs
*Conectividad entre los sitios de clientes
*Uso de espacio de direcciones privadas en cada sitio

Question 5

VPN MPLS de capa 3 -> Componentes de la red

Answer 5

Una VPN es un conjunto de politicas, y estas controlan la conectividad entre un conjunto de sitios. El sitio de un cliente esta conectado a la red del proveedor de servicios por uno o mas puertos, donde el proveedor de servicios asocia cada puerto con una tabla de enrutamiento de VPN (VRF, VPN Routing and Forwarding)
*CE (Dispositivos de Borde de Cliente)
*PE (Router de Borde de Proveedor)
*P (Router de Proveedor)

Question 6

Dispositivos de borde del cliente (CE)

Answer 6

-Proporciona acceso de cliente a la red del proveedor de servicios a traves de un enlace de datos a uno o mas routers de borde de proveedor (PE)
-Normalmente es un router IP que establece una adyacencia con sus routers PEs conectados directamente. Una vez establecida la adyacencia, el router CE anuncia las rutas VPN locales del sitio al router PE y aprende las rutas VPN remotas del router PE

Question 7

Router de borde de proveedor (PE)

Answer 7

Los routers CE intercambian información de enrutamiento con los routers PE. Cada router PE mantiene una VRF para cada sitio conectado directamente, lo que permite la segregación de la información de enrutamiento por VPN. Después de aprender las rutas VPN locales, los routers PE intercambian información de enrutamiento VPN entre sí utilizando iBGP. Además, en lugar de configurar sesiones BGP en malla completa, pueden establecer sesiones IBGP con un Route Reflector.

Question 8

Router de Proveedor (P)

Answer 8

-Cualquier router en la red del proveedor que no se conecta a dispositivos CE
-Funcionan como LSR de transito MPLS cuando reenvian trafico de datos de la VPN entre routers PE
-No son requeridos para mantener informacion de enrutamiento VPN especifica para cada sitio de cliente

Question 9

VPN BGP/MPLS -> Modelo Operativo

Answer 9

*Flujo de Control: Utilizado para la distribucion de rutas VPN y el establecimiento de rutas de LSP
*Flujo de Datos: Utilizado para reenviar el trafico de datos del cliente

Question 10

VPN BGP/MPLS -> Flujo de Control

Answer 10

Consta de dos subflujos:
-Responsable del intercambio de informacion de enrutamiento entre los routers CE y PE en los bordes del backbone del proveedor y entre los routers PE a traves del backbone del proveedor
-Responsable del establecimiento del LSP en el backbone del proveedor entre los routers PE

Question 11

Establecimiento del LSP

Answer 11

Para usar MPLS para reenviar trafico VPN a traves del backbone del proveedor, se deben establecer LSPs entre el router PE que aprende la ruta y el router PE que anuncia la ruta. Los LSPs se pueden establecer y mantener en la red del proveedor de servicios utilizando LDP o RSVP (Protocolo de Reserva de Recursos). Para garantizar la interoperabilidad de varios proveedores, todos los enrutadores PE y P deben admitir LDP como minimo.
*El proveedor usa LDP si desea establecer un LSP best-effort entre dos routers PE. Se establece un full-mesh de LSPs para soportar la conectividad PE a PE
*El proveedor usa RSVP si desea asignar ancho de banda al LSP o usar ingenieria de trafico para seleccionar un camino explicito para el LSP. Si el proveedor usa RSVP, los LSPs basados en RSVP tienen prioridad mas alta

Question 12

Desafios y Soluciones

Answer 12

Mecanismos para mejorar la escalabilidad del enfoque y resolver problemas operativos especificos de VPN
1) Soportar espacios de direcciones de clientes superpuestos
2) Restringir la conectividad de la red
3) Mantener la informacion de enrutamiento actualizada

Question 13

Desafios y Soluciones -> Soportar espacios de direcciones de clientes superpuestos

Answer 13

Si los clientes no usan direcciones IP unicas a nivel global, se puede usar la misma direccion IPv4 para identificar diferentes sistemas en diferentes VPNs. Las VPN BGP/MPLS soportan un mecanismo que convierte direcciones IP no unicas en direcciones globalmente unicas al combinar el uso de la familia de direcciones VPN-IPv4 con el despliegue de Extensiones Multiprotocolo BGP (MP-BGP). Una direccion VPN-IPv4 es una cantidad de 12 bytes compuesta por una RD (Route Distinguisher) de 8 bytes seguido de un prefijo de direccion IPv4 de 4 bytes.
Un RD se utiliza para distinguir las distintas rutas de VPN de clientes distintos que se conectan a la red del proveedor.
Se desaconseja el uso de espacio ASN privado o del espacio de direcciones IP privadas al definir los RD, debido a que el proveedor de servicios debe asegurarse de que cada RD sea globalmente unico.

Question 14

Desafios y Soluciones -> Restriccion de la conectividad de la red

Answer 14

Suponiendo que una tabla de enrutamiento no contiene una ruta predeterminada, si la ruta a una red especifica no esta instalada en la tabla de reenvio de un router, la red es inaccesible desde ese router. Al restringir el flujo de informacion de enrutamiento, los proveedores de servicios pueden controlar de manera eficiente el flujo de trafico de datos VPN de los clientes.
El modelo VPN BGP/MPLS restringe el flujo de informacion de enrutamiento mediante dos mecanismos:
*Varias tablas de reenvio: Cada VPN necesita una instancia de VRF separada en cada router PE. Se llena localmente a traves de protocolos de ruteo usados entre CE y PE y de lo que aprende de otros PE
*Atributos de comunidades extendidas de BGP: Se distribuyen en mensajes BGP como atributos de la ruta

Question 15

Route Target

Answer 15

Identifica VRFs a los que el router PE distribuye rutas

Question 16

Tipos de Topologia VPN

Answer 16

-Topologia VPN Full-Mesh: Cada uno de los sitios de la VPN puede enviar trafico directamente a otro sitio de la VPN. Cada sitio esta asociado con una unica VRF en su router PE. Se configura un solo route target globalmente unico en cada VRF, import target y export target. Este route target no esta asignado a ninguna otra VRF como import o export target.
-Topologia VPN Hub and Spoke: La VRF del sitio hub esta configurada como un export target = hub y un import target = spoke, distribuye todas las rutas de su VRF para que sean importadas por los spoke y importa las rutas de los sitios spoke. La VRF en cada sitio Spoke esta configurada con un export target = spoke y un import target = hub, Distribuye sus rutas para que sean importadas por el hub, pero descartadas por los otros spoke e Importa solo rutas con atributo hub

Question 17

Route Target

Answer 17

Atributos adicionales asociados a las rutas BGP VPNv4 para indicar membresia a una VPN.
-Export: Son añadidos a la ruta del cliente cuando es convertida en una ruta VPNv4
-Import: Selecciona las rutas a ser insertadas en la tabla de routeo virtual

Question 18

VPN MPLS de Capa 2

Answer 18

Transporte de capa 2 sobre redes MPLS. Tiene dos enfoques principales:
*Señalizacion LDP
*Señalizacion BGP
Tipos:
*VPN MPLS de capa 2 punto a punto (Pseudowire) (VPWS)
*VPN MPLS de capa 2 punto a multipunto (VPLS)

Question 19

VPWS (Virtual Private Wire Service)

Answer 19

Los VPN de capa 2 se construyen con tecnologia de Pseudowire (PW). Los PW proporcionan un formato intermedio comun para transportar multiples tipos de servicio de red sobre una red de conmutacion de paquetes (PSN). La tecnologia PW proporciona transporte like to like y tambien interworking (IW).
Una PW Ethernet permite que PDUs Ethernet sean transportados sobre un PSN, tal como una red IP/MPLS.

Question 20

EoMPLS y la estructura de etiquetas

Answer 20

En EoMPLS (Ethernet over MPLS), se utiliza una pila de etiquetas de dos niveles. Es necesario que la etiqueta de VC (Virtual Circuit) contenga al menos una etiqueta, mientras que la etiqueta de red conmutada por paquetes (PSN) puede tener cero o más entradas en la pila de etiquetas. Esto implica que los paquetes Ethernet que se transportan entre los LSR (Label Switching Router) de entrada y salida se envían con dos etiquetas: una etiqueta superior o exterior y una etiqueta inferior o interior. La etiqueta exterior, también conocida como etiqueta de túnel o etiqueta IGP (Interior Gateway Protocol), se encarga de dirigir los paquetes a través de la red troncal MPLS. Por su parte, el LSR de salida asigna la etiqueta interior, que se conoce como etiqueta de VC (Virtual Circuit) o etiqueta de pseudowire.

Question 21

VPWS -> Plano de Control

Answer 21

*LDP entre PEs directamente conectados: El VC Label le da al lado opuesto la indicacion de como procesar el trafico de datos que esta llegando sobre el VC-LSP
*LDP entre Pes no directamente conectados: EoMPLS usa LDP dirigido, lo cual permite que la sesion LDP sea establecida entre los PEs de ingreso y egreso, independientemente de si ellos estan directamente conectados o no

Question 22

VPLS (Virtual Private LAN Service)

Answer 22

VPLS define una arquitectura que brinda conectividad multipunto a sitios a través de Ethernet, como si estuvieran conectados mediante una LAN. La operación de VPLS emula un switch Ethernet, lo que permite a los dispositivos en red comunicarse entre sí de manera transparente.
En una arquitectura VPLS, los CE están conectados a través de PE y PWs, pero ya no mantienen una relación de pares punto a punto directa. En cambio, el enrutamiento y la conmutación se llevan a cabo dentro de la red VPLS mediante la emulación de una LAN virtual.
La naturaleza de broadcast inherente en Ethernet facilita el descubrimiento de dispositivos en una red. VPLS extiende esta capacidad de broadcast a través de una WAN, lo que significa que los dispositivos conectados a través de VPLS pueden descubrirse y comunicarse entre sí como si estuvieran en una misma LAN física, pero en realidad están separados

Question 23

VPLS -> Definiciones de Servicios

Answer 23

VPLS ofrece dos tipos de servicios:

*TLS (Transparent LAN Service): Realiza un aprendizaje no calificado, en el que todas las VLANs de clientes de una VPN de Capa 2 se tratan como si estuvieran en el mismo dominio de broadcast. Las direcciones MAC deben ser unicas entre todas las VLANs

*EVCS (Ethernet Virtual Connection Service): El tag de VLAN externa en la trama Ethernet diferencia una instancia VLAN del cliente de otra

Question 24

VPLS: Modelo de Referencia

Answer 24

*VFI (Virtual Forwarding Instance): Unico por servicio. Emula un dominio de broadcast de capa 2 entre ACs y VCs

*AC (Attachment Circuit): Conecta el dispositivo CE al PE, podria ser un puerto Ethernet fisico o logico

*VC (Virtual Circuit): Es la encapsulacion de datos en EoMPLS, el label del tunel se usa para alcanzar al PE remoto, el label de VC se usa para identificar a la VFI. Los PEs deben tener un full-mesh de PW en el core MPLS

Question 25

Mecanismos de conmutación y prevención de bucles en redes VPLS

Answer 25

*Flooding/Forwarding: Para broadcast, multicast y direccion unicast desconocidas. Basado en las MAC de destino
*MAC Learning: Aprendizaje dinamico basado en la MAC de origen y VLAN.
*Aging: Actualiza temporizadores de envejecimiento con paquetes entrantes.
*Withdrawal: Retiro de MACs ante cambios en la topologia.
*Split-Horizon y full-mesh de PWs para evitar loops en el core: Split-horizon evita que las tramas que se reciben en un PW se envien a cualquier otro

Question 26

H-VPLS

Answer 26

*Minimizar la sobrecarga de señalizacion
*Replicacion de paquete solo en el core
*Full-mesh de PWs en el core

En lugar de que un PE este totalmente mallado con sesiones LDP, se crea una jerarquia de dos niveles que involucra “PEs hub” (N-PE) y “PEs Spoke” (U-PE), Las N-PE estan totalmente mallados con sesiones LDP

Question 27

Descubrimiento de PEs y alternativas de señalizacion

Answer 27

*Señalizacion VPLS: Basada en LDP y Basada en BGP
*VPLS con señalizacion LDP y sin auto-discovery
*Auto-discovery basado en BGP, BGP-AD: Habilita el descubrimiento de dispositivos PEs en una instancia VPLS. Elimina la necesidad de aprovisionar manualmente a vecinos MPLS, se usa tipicamente en conjuntos de Route Reflectors BGP para minimizar los requerimientos de los pares de full-mesh de IBGP

Question 28

Switch Virtual

Answer 28

Un router PE dado tiene como maximo un switch virtual para cada dominio VPLS.
Consta de un modulo bridge, una interfaz LAN emulada y una VFI. Los routers CE estan conectados al modulo bridge a traves de ACs. Cada bridge tambien tiene una interfaz LAN emulada que se conecta a la VFI.

Question 29

Extendiendo servicios VPN sobre redes inter-AS

Answer 29

*Opcion A: Conexiones VRF-to-VRF en el ASBR
*Opcion B: Redistribucion EBGP de rutas VPN-v4 etiquetadas
*Opcion C: Redistribucion EBGP multihop de rutas VPN-v4 etiquetadas entre los AS de origen y destino

Question 30

Conexiones VRF-to-VRF en el ASBR

Answer 30

El metodo mas simple para intercambiar las rutas VPN a traves de un limite de AS es conectar los dos ASBRs directamente a traves de multiples subinterfaces y ejecutar EBGP entre ellos. Esta solucion no requiere MPLS en la frontera entre los dos ASs. Para cada ASBR, el otro parecera una CE regular.

Question 31

Redistribucion EBGP de rutas VPN-v4 etiquetadas

Answer 31

Para evitar mantener el estado por VPN en el ASBR, se pueden anunciar rutas VPN-v4 en su lugar. Utiliza una unica sesion EBGP entre los ABSRs, independientemente del numero de VPNs, y anuncia rutas VPN-v4 etiquetadas sobre ella. Las rutas entre PE y ASBR se intercambian a traves de una sesion IBGP

Question 32

Redistribucion EBGP multihop de rutas VPN-v4 etiquetadas entre los AS de origen y destino

Answer 32

El cliente utiliza una sesion EBGP multihop entre sus routers PE para llevar prefijos externos como rutas VPN-v4 etiquetadas y el proveedor proporciona conectividad a las loopbacks del PE anunciandolas como rutas IPv4 etiquetadas de un AS a otro

Question 33

EVPN (Ethernet VPN)

Answer 33

EVPN es una solución que ofrece un plano de control escalable e interoperable de extremo a extremo, basado en el protocolo BGP. A través de EVPN, es posible lograr el aprendizaje de direcciones MAC utilizando el plano de control BGP. Por otro lado, VPLS es capaz de realizar este aprendizaje MAC utilizando el mismo plano de control BGP.

En términos más sencillos, EVPN es una tecnología que permite conectar segmentos de red de capa 2 que están separados por una red de capa 3. Esto se logra construyendo una superposición de red virtual de capa 2 sobre la infraestructura de red de capa 3. De esta manera, EVPN permite que los segmentos de red de capa 2 se comuniquen de manera efectiva a través de una red de capa 3

Question 34

EVPN con VXLAN

Answer 34

En los data centers se esta usando EVPN junto a VXLAN, EVPN para el plano de control y VXLAN para el plano de forwarding. VXLAN (Virtual Extensible LAN) se implementa en muchos centros de datos de capa 3 para proporcionar conectividad de capa 2 entre hosts para aplicaciones especificas.
Cuando EVPN se implemente con el plano de datos VXLAN, la familia de direcciones EVPN puede intercambiar ya sea solo informacion del plano de control de capa MAC o puede intercambiar tanto informacion de la direccion MAC como de la direccion IP en sus actualizaciones entre VTEP. Intercambiar la informacion de IP y MAC juntas puede permitir la supresion de ARP en el switch local, reduciendo asi la transmision de trafico en un centro de datos

Question 35

VPN de Origen

Answer 35

Identifica una coleccion de sitios y establece que la ruta asociada proviene de uno de los sitios de ese conjunto

Question 36

Sitio de Origen

Answer 36

Identifica el sitio desde el cual un router PE aprende