Click here to load reader

Fundamentos MPLS VPN

  • View
    110

  • Download
    1

Embed Size (px)

Text of Fundamentos MPLS VPN

Fundamentos de MPLS/VPNRogelio [email protected]

MPLS/VPN: Conceptos generales

2

Qu es una VPN ?Es una red privada en trminos lgicos, montada sobre un medio potencialmente compartido Un conjunto de sitios a los que les es permitido comunicarse mutuamente Es el mbito alcanzable por una tabla de rutas

VPN basada en la idea de peers Router de borde del backbone y router del cliente usan el mismo protocolo de red para dialogar Routers de cliente (CE) y routers de backbone (PE) arman una adyacencia en los trminos del protocolo comn

Los routers del backbone conocen la informacin de direccionamiento de los routers de cliente

MPLS-VPN Su base es el modelo de peers, pero PEs reciben y mantienen informacin de rutas de las VPNs directamente conectadas Reduce la cantidad de informacin que tiene que almacenar un PE Se usa MPLS para rutear en el backbone (no se necesita conocer informacin del cliente)

MPLS-VPN: Terminologa Red de Proveedor (Red P) Backbone controlado por un Proveedor MPLS

Red de Cliente (Red C) Red bajo el control del cliente

Router CE Customer Edge. Parte de la Red C, que hace interfaz con la Red P

MPLS-VPN: Terminologa Sitio Conjunto de redes de la Red C, ubicadas en el mbito de un PE Un sitio se conecta al backbone MPLS a travs de uno o ms enlaces PE/CE

Router PE Provider Edge router. Parte de la Red P; hace interfaz con los routers CE

Router P Provider (core) router; no tiene conocimientos de las VPNs

Componentes de una red MPLSPE P PE P PE P PE PE PE Sitio CE

P PE

Sitio

CE

Plano de control MPLS/VPNBGP basado en VPNs Intercambio de labels asociado a VPNs

CEb

CEaVRF P LDP P LDP PE VRF

VRF PE

LDP

VRF

CEa1. Activacin de VPNs (tantas VRFs por site como VPNs distintas)

CEb2. CEs ensean sus rutas a cada PE, que las ubica en la VRF correspondiente 3. PE incorpora informacin de cada VPN al proceso BGP 4. PE asigna una etiqueta diferente a cada VPN, e informa lo que conoce a otros PEs 5. PE receptor distribuye adecuadamente lo recibido de otro PE a cada CE, segn corresponda a la VPN de destino

MPLS-VPN: Terminologa VRF (Virtual Routing and Forwarding) Tabla de rutas ms su tabla de forwarding Alimentada por procesos de routing contextualizados

VPN-Aware network El backbone de un proveedor, en el cual se ha implementado MPLS-VPN

MPLS VPN: ModeloVPN_A 10.2.0.0 CE VPN_B 10.2.0.0 CE VPN_A 11.6.0.0 PE P P iBGP CE VPN_A 10.1.0.0 VPN_A 11.5.0.0

PE

CE

CE PE CE

P

P VPN_B PE CE 10.3.0.0

VPN_B10.1.0.0

P (LSR) pertenece al ncleo del backbone MPLSPEs (LSRs) utilizan MPLS dentro del backbone

PEs intercambian informacin de VPNs entre s, luego de interactuar con los routers CEs de los diferentes sitios

MPLS/VPN: Modelo de conexin

CCIE, CCSP y CSCI son marcas registradas de Cisco Systems, Inc

12

MPLS VPN: Modelo de conexin Una VPN es un conjunto de sitios que comparten informacin de ruteo Un sitio puede ser parte de diferentes VPNs Una VPN hay que pensarla como una comunidad de inters Varias VRFs (Routing/Forwarding instances) presentes en los routers PE

MPLS VPN: Modelo de conexinSitio4

Sitio1

VPN-C

VPN-ASitio2 Sitio3

VPN-B

Un sitio que pertenece a varias VPNs podra (o no) ser usado como trnsito entre las VPNs

Si dos o ms VPNs tienen un sitio en comn, el espacio de direcciones debe ser nico entre estas VPNs

MPLS VPN: Modelo de conexin Backbone VPN = conjunto de LSRs MPLS PE routers (edge LSRs) P routers (core LSRs)

PEs hablan con CEs y propagan informacin de VPN con MP-BGP a otros PEs Direcciones VPN-IPv4, Extended Community, Label

Routers P no corren BGP ni conocen VPNs

MPLS VPN: ModeloC E Sitio-1Intercambio de rutas

PE

CESitio-2

PEs y CEs intercambian rutas CEs corren un software IP tradicional

MPLS VPN: ModeloCE Sitio-1 PEIntercambio de rutas

CESitio-2

Backbone MPLS/VPN

PEs mantienen tablas de rutas separadas Tabla de rutas global Contiene a todos los P y PEs Contiene el mapa del backbone

VRF (VPN Routing and Forwarding) Tabla de Routing y Forwarding asociada a uno o ms sitios directamente conectados (CEs) VRF son asociadas con interfaces conectadas a los CEs Interfaces pueden compartir la misma VRF si los sitios conectados pueden compartir la misma informacin de rutas

MPLS VPN: ModeloCESitio1

PE

CESitio2

Sitios diferentes que comparten la misma informacin, pueden compartir la misma VRF Las interfaces que conectan a estos sitios usarn la misma VRF Sitios que pertenecen a la misma VPN podran usar la misma VRF

MPLS VPN: ModeloC E Sitio1Intercambio de rutas

PEBackbone MPLS/VPN

CESitio2

Las rutas que el PE recibe de los CEs las ubica en una VRF apropiada Las rutas que el PE recibe desde el IGP del backbone las pone en la tabla IP tradicional Las direcciones de las VPNs no tienen que ser mutuamente exclusivas, ya que son ubicadas en diferentes VPNs

MPLS VPN: ModeloPPEBackbone MPLS

P PE

P

P

PEs y Ps comparten un IGP (OSPF, ISIS, EIGRP) PEs arman sesiones MP-iBGP entre ellos

sesin iBGP multiprotocolo

PEs usan MP-BGP para informar sobre sitios y VPNs conectadas Direcciones VPN-IPv4, Extended Community, Label

MPLS VPN: anuncio MP-BGP Direccin VPN-IPV4: es la unin de las siguientes estructuras de datos 1- Route Distinguisher 64 bits Le da unicidad global al prefijo IPv4 RD es configurado en el PE para cada VRF RD puede estar (o no) relacionado a un sitio o una VPN

2 - Direcciones IPv4 (32bits)

Route Target (dato de 64 bits) Identitifica al conjunto de sitios a los que la ruta les debe llegar anunciada

MPLS VPN: anuncio MP-BGP

Otros atributos BGP tradicionales Local Preference MED Next-hop AS_PATH Un Label, que identifica La VRF a la cual pertenece el anuncio (label de la VPN)

MPLS VPN: ModeloP PE-1VPN Backbone IGPupdate para Net1,NextHop=CE-1

P PE-2

VPN-IPv4 update traducido a IPv4 (Net1) va a la VRF verde porque RT=verde y se la anuncia a CE-2

CE-2Sitio2

P

P

Sitio1

CE-1

VPN-IPv4 update: RD:Net1, Next-hop=PE-1 RT=verde, Label=(intCE1)

PEs reciben updates IPv4s PEs traducen el update a formato VPN-IPv4 Asignan un SOO y RT segn lo configurado Re-escriben el atributo Next-Hop Asignan un label basndose en la VRF y/o la interfaz Envan anuncio MP-iBGP a sus vecinos PE

MPLS VPN: ModeloP PE-1update para Net1 Next-Hop=CE-1

P PE-2

Update VPN-IPv4 se traduce a IPv4 (Net1) y puesto en VRF verde porque RT=verde y ha sido anunciado a CE-2

VPN Backbone IGP

CE-2Sitio2

P

P

Sitio1

CE-1

Update VPN-IPv4: RD:Net1, Next-hop=PE-1 RT=verde, Label=(intCE1)

PEs receptores traducen nuevamente a IPv4 Insertan la ruta en la VRF identificada por el atributo RT (de acuerdo a cmo haya sido configurado el PE)

El label asociado a la direccin VPN-IPv4 ser impuesto en los paquetes enviados hacia su respectivo destino

MPLS VPN: Modelo Distribucin de rutas a los sitios se basa en el atributo llamado route-target Es una Community (atributo) del protocolo BGP En el sitio receptor, se instalarn rutas en la VRF que reclame rutas que coincidan con atributo route-target de los anuncios que llegan desde otros extremos del backbone Controlado a travs de configuracin en el PE

Un PE que conecta sites de VPN distintas instala la ruta en la VRF del sitio si el atributo route-target contiene una o ms VPNs al cual el sitio est asociado

MPLS/VPN: Forwarding

CCIE, CCSP y CSCI son marcas registradas de Cisco Systems, Inc

26

MPLS: Forwarding de paquetes Los valores next-hop anunciados por el BPG de los PEs deben ser visibles por el IGP Labels se distribuyen con LDP (hop-by-hop), con el fin de lograr llegar a los Next-Hops de BGP Stack de labels para el forwarding de paquetes Top label indica el next-hop BGP (label interior) label de 2do nivel indica la interfaz saliente o VRF (label exterior)

Forwarding de paquetes

Los nodos MPLS conmutan con el label externo P no saben nada de BGP ni de VPNs

ForwardingVPN_A

10.2.0.0 CEVPN_B

VPN_A

CE PE2 P P PE1 P P PET8T2Data

11.5.0.0VPN_A

10.2.0.0 CEVPN_A

CEData

10.1.0.0

11.6.0.0VPN_B

CE

CE

VPN_B

10.1.0.0 CE

10.3.0.0

iBGP NH= PE2 T2 ,, iBGPnext hop PE1,T1 T7 T8 , iBGP next hop PE2 T2 , iBGP next hop PE3 T3 , iBGP next hop PE1 T4 , iBGP next hop PE4 T5 , iBGP next hop PE4 T6 T7 , iBGP next hop PE2

PE de ingreso recibe paquetes IP PE hace IP Longest Match en VPN_B FIB , deduce el next hop PE2 y agrega el stack de labels: Label exterior T2 + Label interior T8

T8 T9 T7 TB TB T8

ForwardingVPN_A

10.2.0.0 CE DataVPN_B

VPN_A

T2 Data

CETB T2 Data

11.5.0.0VPN_A

10.2.0.0 CEVPN_A

PE2

P P

PTAT2 Data

PET8 Data T2

CE

10.1.0.0

11.6.0.0VPN_B

CEPE1

P

CE

VPN_B

10.1.0.0 CE

10.3.0.0

in / outT8, TA T8 TwT9 Tx Ta Ty Tb Tz T7 Tu

Los P rutean usando el label interior El PE de egreso quita el label interior El PE de egreso usa el label exterior para decidir la VPN a la cual entregar el paquete. Se saca el label exterior y se enva el paquete al router CE

Penultimate Hop Popping El router upstream LDP del next-hop de BGP (PE) descartar la et

Search related