760 likes | 955 Views
IP & Applications. Virtual Private Networks. Leiria, Abril.2001. Paulo Valente. paulo.valente@lis2.siemens.pt. Virtual Private Networks (VPNs) Multiprotocol Label Switching (MPLS) VPNs-IP baseadas no paradigma BGP/MPLS Segurança em VPNs BGP/MPLS. AGENDA.
E N D
IP & Applications Virtual Private Networks Leiria, Abril.2001
Paulo Valente paulo.valente@lis2.siemens.pt
Virtual Private Networks (VPNs) Multiprotocol Label Switching (MPLS) VPNs-IP baseadas no paradigma BGP/MPLS Segurança em VPNs BGP/MPLS AGENDA
Virtual Private Networks (VPNs) Multiprotocol Label Switching (MPLS) VPNs-IP baseadas no paradigma BGP/MPLS Segurança em VPNs BGP/MPLS AGENDA
Virtual Private Networks (VPNs) Definição De Full-Meshed a Hub-and-spoke Intranet vsExtranet Modelo Overlay vsModelo Peer AGENDA
Virtual Private Networks (VPNs) Definição De Full-Meshed a Hub-and-spoke Intranet vsExtranet Modelo Overlay vsModelo Peer AGENDA
Definição I: Grupo restrito de sites aos quais é permitido comunicar entre si através de uma rede partilhada (i.e., rede pública), sendo aplicadas a esta conectividade politicas administrativas. Virtual Private Networks
Definição II: «… informalmente podemos dizer que uma VPN é um grupo de sites que podem comunicar entre si.» Virtual Private Networks in «MPLS - Technology and Applications», 2000 Bruce Davie eYakov Rekhter
Definição II: «Mais formalmente, uma VPN é definida por um grupo de políticas administrativas que controlam tanto a conectividade como a QoS entre sites.» Virtual Private Networks in «MPLS - Technology and Applications», 2000 Bruce Davie eYakov Rekhter
Definição III: «Uma VPN pode ser modelada como um objecto de conectividade.» Virtual Private Networks in RFC 2764 «A Framework for IP Based Virtual Private Networks», Feb 2000
Definição III: «Muitos aspectos do desenho de redes, como endereçamento, mecanismo de encaminhamento, aprendizagem e aviso de conectividade, QoS, segurança, e firewalling, têm soluções comuns em redes físicas e redes virtuais.» Virtual Private Networks in RFC 2764 «A Framework for IP Based Virtual Private Networks», Feb 2000
Virtual Private Networks (VPNs) Definição De Hub-and-spoke a Full-Meshed Intranet vsExtranet Modelo Overlay vsModelo Peer AGENDA
De Hub-and-spoke a Full-Meshed n sitesn-1ligações
De Hub-and-spoke a Full-Meshed n sitesn(n-1)/2ligações
De Hub-and-spoke a Full-Meshed 20 => 190100 => 4950!
De Hub-and-spoke a Full-Meshed 20 => 190100 => 4950! NÃO É ESCALÁVEL! DOESN’T SCALE!
De Hub-and-spoke a Full-Meshed Partially-Meshed Full-Meshed Hub-and-spoke
Virtual Private Networks (VPNs) Definição De Hub-and-spoke a Full-Meshed Intranet vsExtranet Modelo Overlay vsModelo Peer AGENDA
Conectividade e Aplicações flexiveis: Intranet: VPN baseada na conectividade apenas entre sites da mesma empresa. Extranet: VPN utilizada na interligação de sites de diferentes empresas. Intranet vs Extranet Numa Extranet as políticas de definição da VPN cabem a um conjunto de empresas.
Virtual Private Networks (VPNs) Definição De Hub-and-spoke a Full-Meshed Intranet vsExtranet Modelo Overlay vsModelo Peer AGENDA
10.1/16 10.3/16 10.2/16 10.1/16 10.2/16 VPN A 10.3/16 VPN B Modelo Overlay CE - Customer Edge CE CE CE CE CE CE CE
Conectividade entre sites: Layer 2 linhas dedicadas, circuitos Frame Relay, circuitos ATM VPN Tunneling IP/IP, L2TP, GRE, IPSec Modelo Overlay
Desenho e operação do “backbone virtual” da VPN pelo cliente o que implica: Conhecimentos em routing IP. Conhecimentos em IP QoS e L2 QoS bem como no seu mapeamento. Modelo Overlay - Layer 2 ou como alternativa … outsorcing!
Definição: Um túnel IP funciona como um overlay sobre um backbone IP, e o tráfego enviado sobre o túnel é opaco para esse mesmo backbone. Modelo Overlay - VPN Tunneling i.e., o backbone é transparente para a VPN!
GRE - RFC 1701, Outubro 1994 IP/IP - RFC 2003, Outubro 1996 IPSec - RFC 2401, Novembro 1998 L2TP - RFC 2661, Agosto 1999 Modelo Overlay - VPN Tunneling
Os mesmos problemas que na conectividade L2 + GRE: data spoofing IPSec: key management QoS baseada em IP Diffserv Possibilidade de extender o serviço VPN a qualquer lado com conectividade à Internet. Modelo Overlay - VPN Tunneling
Oferta de um serviço VPN escalável milhares a milhões de VPNs por SP Necessidade de pouco a nenhum conhecimento de routing IP por parte do cliente (point-to-cloud) Flexibilidade em termos de dimensões da VPN de poucos a milhares de sites por VPN Modelo Peer - MOTIVAÇÕES
10.1/16 10.3/16 10.2/16 10.1/16 10.2/16 VPN A 10.3/16 VPN B Modelo Peer CE - Customer Edge PE - Provider Edge P - Provider CE CE PE CE PE P CE PE CE CE CE
Distribuição de informação de routing condicionada Múltiplas tabelas de forwarding Uso de um novo tipo de endereços, endereços VPN-IPv4 MPLS Modelo Peer - SOLUÇÃO
Virtual Private Networks (VPNs) Multiprotocol Label Switching (MPLS) VPNs-IP baseadas no paradigma BGP/MPLS Segurança em VPNs BGP/MPLS AGENDA
Multiprotocol Label Switching (MPLS) Contextualização Caracterização Terminologia Componentes AGENDA
Multiprotocol Label Switching (MPLS) Contextualização Caracterização Terminologia Componentes AGENDA
Tecnologias Precursoras (1994-1996) Cell Switching Router (CSR) TOSHIBA IP Switching IPSILON Tag Switching CISCO Aggregate Route-based IP Switching (ARIS) IBM MPLS - Contextualização
Cell Switching Router (CSR) TOSHIBA Até então: routing feito por routers, ATM switching feito por ATM switches. Questão: Porque não controlar um ATM switching fabric através de protocolos IP (como routing IP e RSVP) em vez de utilizar sinalização ATM como Q.2931? MPLS - Contextualização
IP Switching IPSILON Permite um equipamento com o desempenho de um comutador ATM comportar-se como um router. Routers mais rápido é o necessário! Sinalização ATM complexa demais. Melhor será nem a utilizar... MPLS - Contextualização
Tag Switching CISCO Funciona sobre ATM, PPP, 802.3. Suporta Multicast. Suporta alocação de recursos via RSVP. Objectivo de normalizar o Tag Switching através do IETF. MPLS - Contextualização
Aggregate Route-based IP Switching (ARIS) IBM Filosofia próxima do Tag Switching da Cisco. Muitas das ideias foram incorporadas nas normas do MPLS. MPLS - Contextualização
MPLS Working Group - 1997 Sessão Birds of a Feather (BOF) em dezembro de 1996 com apresentações feitas pela Toshiba, Cisco e IBM. Uma das sessões mais concurridas da história do IETF. MPLS
Multiprotocol Label Switching (MPLS) Contextualização Caracterização Terminologia Componentes AGENDA
Multiprotocol = IP Baseado no paradigma da label-swaping forwarding IP #L1 IP #L2 IP #L3 MPLS - Caracterização IP IP IP Forwarding IP Forwarding LABEL SWITCHING
Formato do label: MPLS - Caracterização 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Label | EXP |S| TTL | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ • Cabeçalho = 4 octetos (32 bits) • Label = valor da label a atribuir ao pacote (20 bits-1048576) • EXP = bits experimentais, utilizados para QoS (3 bits) • S = indicador do fim da pilha (1 bit) • TTL = time to live (8 bits)
Formato do label: MPLS - Caracterização 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Label | EXP |S| TTL | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ • Colocado entre o cabeçalho da camada 2 (Data Link) e o cabeçalho da camada 3(Network), do Modelo Referencial OSI.
MPLS - Não é um protocolo L2 Application • Funciona sobre várias tecnologias da camada2: • ATM • SONET • Ethernet • PPP Presentation Session Transport Network Data Link Physical
MPLS - Não é um protocolo L3 Application • Não tem endereçamento nem funções de encaminhamento per si: • Faz uso do endereçamento IP e o routing IP (com extensões) Presentation Session Transport Network Data Link Physical
Não é uma camadano Modelo OSI Application • Não existe um formato único para transportar os dados de uma camada superior: • shim - SONET • VPI/VCI - ATM • lambda - OXC • etc... Presentation Session Transport Network Data Link Physical
Fast forwarding IP Traffic Engineering Constraint-based Routing Virtual Private Networks mecanismo hierárquico de túneis Voz/Video sobre IP atraso controlado, restrições de QoS MPLS - Aplicações
Multiprotocol Label Switching (MPLS) Contextualização Caracterização Terminologia Apresentação Funcional AGENDA
LSR - Label Switching Routerenvia pacotes IP para o destino com base numa LIB e na troca de labels LER - Label Edge Routerinícia (adiciona label) e termina (remove label) um LSP. LSP - Label Switched Pathum VC para IP que forma um caminho unidireccional. LDP - Label Distribution Protocolprotocolo de sinalização bi-directional que é utilizado entre LDP peers para formar sessões (LDP, CR-LDP, RSVP). FEC - Forwarding Equivalence Classgrupo de pacotes IP que é tratado do mesmo modo no que diz respeito ao encaminhamento. MPLS - Terminologia
LDP Peers LER LER LER LER LER LER Ingress LSP LSR LDP Egress LSR LSR LDP LDP MPLS - Terminologia Domínio MPLS