PLNOG15-Inter VRF leaking in Enterprise/Corporate WAN

1. Inter VRF leaking w środowisku
sieci enterprise WAN
PLNOG 2015
Piotr Papis

2. Trochę założeń…
Enterprise WAN czyli sieć organizacji posiadającej własne centra przetwarzania danych, geograficznie
wydzielone:
• oddziały,
• sieci technologiczne,
• klientów zewnętrznych itp.
W skład sieci rozległej przedsiębiorstwa (Enterprise WAN) wchodzi:
• Warstwa fizyczna czyli określona topologia urządzeń aktywnych tworzących rdzeń sieci (routery P/PE), oraz
węzły „brzegowe” (routery CE),
• Warstwa logiczna sieci rozległej, czyli zestaw określonych technologii. Jeśli mówimy o VPN L3 (VRF) to w
środowisku sieci WAN wymagana jest implementacja MPLS/MP-BGP (MP-BGP przynajmniej na routerach
PE),
• VRF – (Virtual Routing & Forwarding) z punktu widzenia urządzeń oznacza instancję na routerze PE,
posiadającą własne interfejsy, tablicę RIB, „data plane” oraz zestaw określonych protokołów i reguł
zarządzających zawartością RIB. Z logicznego punktu widzenia VRF to nic innego niż określona grupa
użytkowników, systemów i aplikacji.

3. MPLS/MP-BGP
Oddział „A” Oddział „B” TAN
Klient zewn.CPD 2CPD 1
Topologia sieci Enterprise WAN
N *VRF N *VRF VRF
N *VRF N *VRFN *VRF
Podział sieci na wirtualne instancje ma przede wszystkim na
celu:
• Zapewnienie rozdzielności systemów firmy, klientów,
• Separację tzw. „domen awarii”,
• Zapewnienie maksymalnie wysokiego poziomu
skalowalności sieci
• Uproszczenie struktury sieci jako całości (przejrzysta
hierarchia sieci)

4. • ruch typu „południe - północ” zamyka się w obrębie jednej instancji VRF, pomiędzy lokalizacjami połączonymi do rdzenia
sieci (prefiksy rozgłaszane są na drodze redystrybucji lub natywnie w protokole obsługującym daną instancję),
• ruch typu „wschód – zachód” oznacza de facto przepływ prefiksów pomiędzy poszczególnymi instancjami VRF. Określa się go
jako „Inter-VRF leaking”. Z punktu widzenia działania sieci organizacji jest to bardzo ważna kwestia – kto z kim (co z czym)
może komunikować się pomiędzy VPN. Inter-VRF leaking (czyli przepływ „wschód – zachód”) wymaga zastosowania
specjalnej konfiguracji wykorzystującej protokół BGP i atrybut extended community rt
Kierunki przepływów tras
R1
C 192.168.0.0/24
R3
VRF A
rt import
1:1
NH R1 192.168.0.0/24
extc-rt 1:1
NH R2 [via VRF A]
172.16.0.0/24
extc-rt 1:2
R2
VRF A
rt export 1:1
rt import 1:1
C 10.0.0.0/24
VRF B
rt export 1:3,1:4
rt import 1:2
C 172.16.0.0/24
NH R2 [via VRF B]
10.0.0.0/24
extc-rt 1:4
VRF A
rt export 1:1,1:2
rt import 1:1,1:4
Wymagane
polisy
C 10.1.0.0/24
MPLS/MP-BGP AS 65ABC

5. Atrybut Route Target extCommunity
• Route Target extCommunity opisany jest w RFC 4364,,
• Przeznaczony jest do stosowania w sieciach zbudowanych w oparciu o MPLS VPN, jako narzędzie optymalizujące
dystrybucję tras w sieci, rozszerzające skalowalność sieci,
• Route Target extCommunity identyfikuje grupę routerów, które mogą otrzymać trasy, przenoszące dany atrybut,
• Prefiksowi może być przypisany więcej niż jeden atrybut extend community rt,
• Atrybut extend community rt może mieć różną formę, np.: jako prefiks IP, ASPLAIN, ASDOT, numer (16 lub 32 bitowy)

6. BGP AS
65ABC
Działanie atrybutu Route Target extCommunity:
VRF A
rt import 2:2
10.0.0.0/24
extc-rt 2:2
R1
R2
BGP analizuje atrybut extend community
rt, jeśli w którymkolwiek z VRF znajduje się
taki sam import, prefiks instalowany jest w
jego tablicy.
Wykorzystujemy odpowiednie, łatwo
edytowalne polisy
Komponenty update’u MP-BGP

7. Modele Inter-VRF leaking
..czyli sposób implementacji Inter VRF Leaking w sieci Enterprise WAN
Modele Inter-VRF leaking możemy zaimplementować stosując umownie:
• model scentralizowany („hub&spoke”) – konfiguracja na dedykowanych routerach
• model rozproszony – konfigurowany na brzegowych routerach rdzenia sieci (PE)
Każdy z tych modeli posiada swoje ograniczenia i wymaga uwzględnienia wszystkich elementów sieci, w której ma być
wdrażany (znaczna przewaga jednego z typów ruchu, poziom skomplikowania przepływów, przepustowość łącz, rozmiar
sieci (np. liczba routerów PE), wpływ na obecnie funkcjonujące rozwiązania)

8. MPLS/MP-BGP
BGP AS 65ABC
BGP AS 65DEF
Model „hub&spoke”
VRF B
VRF C
VRF A
VRF B
VRF D
VRF A
VRF BVRF A
VRF A,B,C,D
Systemy nadrzędne
IGP
172.16.0.0/24
extc-rt 1:2
[via VRF D]
172.16.0.0/24
extc-rt 1:2, 1:4
polisa exportowa –
dodaj extc-rt 1:4VRF B VRF DVRF A VRF C
rt-import
1:4
VRF lite
• Zastosowanie przy znaczącej
przewadze ruchu „klient-serwer”
(północ – południe), do jednego
lub dwóch ośrodków nadrzędnych
• Pozwala na centralizację polis
przy bardzo skomplikowanej
charakterystyce
przepływów wsch. – zach.,
• Konieczny do wydzielenia
dodatkowy segment dystrybucyjny
• Odrębny segment (BGP AS)
stanowi „DMZ” dla rdzenia sieci
• Podstawowa wada – konieczność
wymuszania nieoptymalnych
ścieżek routingu
• I jeszcze leaking lokalny
Wymiana lokalna CE
(lokalne VRF)
Oddział
VRF CVRF D
VRF F

9. MPLS/MP-BGP
BGP AS 65ABC
Model „rozproszony”
VRF B
VRF C
VRF A
VRF B
VRF D
VRF A
VRF BVRF A
Systemy nadrzędne
IGP
172.16.0.0/24
extc-rt 1:2
[via VRF D]
172.16.0.0/24
extc-rt 1:2, 1:4
polisa exportowa –
dodaj extc-rt 1:4
VRF C
rt-import
1:4
• Zastosowanie przy znaczącej
przewadze ruchu „klient-klient”,
• Pozwala na zachowanie
optymalnych ścieżek routingu,
• „Odciążenie” pracy rdzenia sieci,
• Gdy routery CE pracują pod
kontrolą protokołów IGP konieczne
są redystrybucje na routera P/PE
(należy unikać redystrybucji IGP do
BGP na routerach tworzących rdzeń
sieci)
• Podstawowa wada – rozproszenie
polis, komplikacja zarządzania,
REDYSTRYBUCJE
n*routery PE
Wymiana lokalna CE
(lokalne VRF)
Oddział
VRF D VRF C
VRF F

10. Inne sposoby realizacji Inter VRF Leaking
PBR
• brak sieci docelowej w tablicy
• utrudniona diagnostyka problemów
Firewalle
• konieczność kierowania na firewalle strumieni ruchu, których nie jest w stanie
odpowiednio przetwarzać (zabezpieczać)
Inter-AS MPLS
• konieczność hierarchizacji (podzielenia) rdzenia, technologia adresowana do