SlideShare une entreprise Scribd logo

PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przegląd typów

PROIDEA
PROIDEA

MPLS VPN - Architektura i przegląd typów

Présentations et discours publics
1  sur  27
Télécharger pour lire hors ligne
1 MPLS VPN Architektura i przegląd typów Łukasz Bromirski Rafał Szarecki lbromirski@cisco.com    rafal@juniper.net   PLNOG, Kraków, październik 2012
Zawartość (z grubsza)* §  VPNy z lotu ptaka §  Architektura VPNów realizowanych przez Operatora §  Taksonomia VPNów z przykładami §  Q&A * agenda może ulec zmianie bez ostrzeżenia, nawet w trakcie prezentacji
Klasyfikacja VPNów
Klasyfikacja VPNów VPN = Wirtualna Sieć Prywatna Adresy „prywatne” – odrębne, mogą w innych VPNach się powtarzać Prywatna topologia Prywatna polityka routingu Oparte o CE Oparte o sieć operatora – PE (PPVPN) •  Sieć operatora nie uczestniczy w tworzeniu VPN – jedynie transportuje ruch •  Tunele L3 i L4, czasami L2 – L2TPv3, GRE, IPsec, SSL VPN •  Często element usługi zarządzanej •  Konfiguracja i „magia” dzieje się na CE/CPE •  System NMS/OSS działa w VPNie, może nie zawsze być w stanie działać poprawnie •  Sieć i urządzenia klienta nie wiedzą nic o •  topologii •  polityce routingu •  Wiele rodzajów tuneli – MPLS, GRE, IPSec, VLANy, … •  Cała konfiguracja i złożoność na PE •  System NMS/OSS zarządzający VPNem monitoruje rozwiązanie od CE do CE CE PE PE CE CE CE PE PE CE CE
Klasyfikacja PPVPNów Przez wirtualne routery MPLS VPN •  Dosyć słabo się skaluje – złożność w control plane – O(#VR*#PE) •  Zwykle każdy VR to osobny proces programowy •  RFC: draft-ietf-l3vpn-vpn-vr-03.txt •  Ostatnia wersja – 2006 rok •  Dobrze się skaluje – O(#PE) •  Możliwość uruchomienia automatycznego odkrywania sąsiadów •  VRF/VE są 'kontekstami' •  RFCs: 4364, 4761, 4762, 6624, 4447, 6037, etc PE PE VRF/ VE/ VC Wspólna dla VPNów sesja Tunel na dane Tunel transportowy PE PE VR Tunel dla danych i sesji kontrolnej BGP (wg. RFC)
Architektura VPNów realizowanych przez Operatora
Architektura transportu w MPLS VPN §  Węzły P (Provider) tworzą sieć dla węzłów PE. Nie przechowują żadnej informacji o VPNach §  Węzły PE (Provider Edge) przechowują informację o VPNach §  Węzły CE umieszczone są na brzegu sieci klienta. Mogą ale nie muszą należeć do sieci operatora. Łączą się z jednym lub wieloma PE operatora §  Tunel realizowany przez operatora Niezależny od technologii VPN MPLS LSP, GRE, IPsec… Dla MPLS, może być realizowany przez LDP, RSVP, BGP-LU czy nawet routing statyczny Adres zdalnego końca tunelu jest ważny (o tym później) CE PE PE CE CE P P
Architektura usługi w MPLS VPN §  Instancja VPN na PE VRF/VE/VCT/xconnect §  Wspólna sesja sygnalizacyjna pomiędzy PE BGP Można wykorzystać RR żeby zapewnić skalowanie i provisioning Zapewnia auto-discovery LDP Zapewnia dystrybucję etykiet dla prefiksów/id (FEC) VPNowych Adres końca sesji (BGP NH) jest używany do mapowania etykiet transportowych. §  Etykieta VPNowa pozwala na wyjściu wybrać VPN i interfejs fizyczny na PE w stronę CE CE1 PE PE CE Sesja sygnalizacyjna dla sesji
Taksonomia VPNów
Taksonomia MPLS VPN MPLS VPN L3VPN Unicast Multicast Draft Rosen NG MVPN L2VPN VPWS (VLLS, PW) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP VPLS (TLS, E-LAN, VPSN) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP E-VPN BGP
L3VPN (unicast) §  Standaryzacja: Główne RFC: RFC 2547 à I-D 2547bis à RFC 4364 RFC 4577 (OSPF for PE-CE) RFC 4684 (Constrained VPN routing distribution; RT AFI) RFC 5462 (zmiana nazwy pola "EXP" na "Traffic Class") §  Tunel transportowy – cokolwiek: Juniper i Cisco: RSVP-TE, LDP, BGP-LU, GRE, IPsec, LDP over RSVP, RSVP over RSVP, BGP-LU over LDP, BGP-LU over RSVP, BGP-LU over LDP over RSVP Dodatkowo na Cisco - L3VPN over mGRE §  Kontrola usługi – routingu VPNów – (i)BGP (tak jak w internecie) AFI 1/SAFI 128 Route Distinguisher Route Target §  Przydział etykiet do rozróżniania VPNów Juniper: per CE, per VRF Cisco: per prefiks, per CE, per VRF L3VPNy powinny bez problemu działać pomiędzy Juniperem a Cisco, problemem może być oczywiście skalowalność rozwiązania
L3VPN (unicast) – porady projektowe §  Dla rozwiązań Hub&Spoke, zwróć uwagę na etykiety per-VRF na hubie §  Format RD może wpłynąć na: Skalowalnie (przy IP) z oddziałami podłączonymi redundantnie Dostępność, jeśli nie są unikalne – InterAS i loopbacki z prywatnymi adresami Równoważenie ruchu jeśli RD wybrane z uwagi na RR i Inter-AS VPN Konwergencję VPNów jeśli RD wybrane z uwagi na RR i Inter-AS VPN §  Głębokość stosu etykiet – ilość etykiet, którą wejściowe PE musi nałożyć Uwaga na możliwości sprzętu! J # etykiet Rodzaj tunelu 1 PE-PE back2back, GRE, IPSec 2 LDP, RSVP-TE bez ochrony 1:N 3 LDPoRSVP, BGP-LUoLDP, BGP-LUoRSVP-TE, RSVP-TE z ochroną 1:N 4 LDPoRSVP z ochroną 1:N, BGP-LUoLDPoRSVP, BGP-LUoRSVP-TE z ochroną 1:N 5 BGP-LUoLDPoRSVP z ochroną 1:N
Taksonomia MPLS VPN MPLS VPN L3VPN Unicast Multiacst RFC 6037 NG MVPN L2VPN VPWS ( VLLS, PW) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP VPLS (TLS, E-LAN, VPSN) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP E-VPN BGP
L3mVPN §  Długa seria draftów autorstwa Eda Rosena, zakończona RFC 6037 (wdrożenie w Cisco) Tunel mGRE per-vpn (MDT) Routing multicastu w sieci operatora – PIM dla VPNów Sygnalizacja wewnątrz VPN – ilość sesji PIM – (N*M)2 N-ilość VPN, M-ilość PE PIM over mGRE = PIM on LAN = 255 PE/VPN Model VR (nie MPLS/BGP) “Tak to się robiło wczoraj” – wciąż wiele (większość?) sieci pracuje w oparciu o tą technologię
L3mVPN §  MPLS VPN = NG-MVPN (RFC 6513 (Cisco & Juniper)) Tunel transportowy – praktycznie cokolwiek: Juniper: RSVP-TE, mLDP, SP PIM, replikacja na wejściu p2p Cisco: RSVP-TE, mLDP (p2mp, mp2mp), replikacja na wejściu p2p Nie jest dzielone pomiędzy VPNy (jeszcze) Routing VPN - wspólne (i)BGP AFI 5/SAFI 129 Route Distinguisher Route Target Przydział etykiet do demultipleksacji: Juniper: per VRF Cisco: per VRF L3mVPNy powinny bez problemu działać pomiędzy Juniperem a Cisco, problemem może być oczywiście skalowalność rozwiązania (BGP oraz zasoby sprzętowe) Rozdzielenie transportu i usługi B. Anszperger: http://data.proidea.org.pl/plnog/2edycja/materialy/prezentacje/b_anszperger.pdf R. Szarecki: http://data.proidea.org.pl/plnog/2edycja/materialy/prezentacje/pim_p2mp.pdf E. Gągała: http://data.proidea.org.pl/plnog/4edycja/materialy/prezentacje/ng_mvpn_plnog.pdf
Taksonomia MPLS VPN MPLS VPN L3VPN Unicast Multiacst RFC 6037 NG MVPN L2VPN VPWS (VLLS, PW) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP VPLS (TLS, E-LAN, VPSN) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP E-VPN BGP
VPWS §  Virtual Private Wire Service (RFC 4664) §  Każde urządzenie CE otrzymuje zestaw VC p2p – na końcu którego znajduje się inne urządzenie CE §  Tunel transportowy: Juniper: RSVP-TE, LDP, GRE Cisco: RSVP-TE, LDP, GRE §  Wykrywanie sąsiadów/końców usługi i sygnalizacja demux-label (VC- label): LDP FEC 128 = statyczna konfiguracja końców usługi, sygnalizacja po LDP LDP FEC 129 = autokonfiguracja z wykorzystaniem BGP, sygnalizacja po LDP BGP = AFI/SAFI 25/65 = autokonfiguracja i sygnalizacja z wykorzystaniem BGP w jednym NLRI. RT kontroluje topologię VPN – zestaw N-połączeń P2P
Taksonomia MPLS VPN MPLS VPN L3VPN Unicast Multiacst RFC 6037 NG MVPN L2VPN VPWS (VLLS, PW) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP VPLS (TLS, E-LAN, VPSN) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP E-VPN BGP
VPLS §  Virtual Private LAN Service (RFC 4664) §  Usługa wirtualnego LANu oparta o tunele PWE3 Pseudo-Wire Emulation, Edge-to-edge Bazuje na tej samej technologii co VPWS §  Zakłada istnienie pełnej siatki połączeń LSP pomiędzy PE Split-horizon dla VPLS §  Konieczność obsługi Broadcast i Multicast Replikacja na wejściu P2MP/MP2MP (jak tunele transportowe dla mVPNów L3) §  MAC learning Stany przełączania (FIB) tworzone na podstawie przepływu danych Dla nieznanych adresów docelowych - flooding Pętle / sztormy §  E. Gągała: Advanced VPLS: http://data.proidea.org.pl/plnog/5edycja/materialy/prezentacje/EmilGagala.pdf
VPLS - RFC 4762 xor RFC 4761 RFC 4762 RFC 4761 Dwie pod-implementacje: •  Pierwsza (niestandardowa): •  sygnalizowane przez LDP FEC128 •  statyczna konfiguracja obu końców każdego PWE3 (full mesh) •  Druga (standardowa): •  sygnalizowane przez LDP FEC129 •  Możliwość auto-discovery (osobny standard) – via BGP Redundancja VSI Sygnalizacja i auto-discovery w oparciu o BGP w jednym NLRI. Redundancja na poziomie łącza dostępowego.
VPLS – porady projektowe §  Jak dużo ruchu BUM? Czy warto stosować P2MP/MP2MP? Dla ARP i DHCP nie warto. Dla IPTV ? §  Redundancja i Pętle Bez uzależnienia od CE 4762 (LDP) 4761 (BGP) Redundancja VSI OK (ręczna kontrola) OK (via BGP) Redundancja AC NOK* OK (via BGP) L2 CE PE PE L2 CE L2 CE VSI VSI L2 CE PE PE L2 CE L2 CE VSI VSI * Możliwe przy xSTP/G.8032 pomiędzy L2CE and PE
Taksonomia MPLS VPN MPLS VPN L3VPN Unicast Multiacst RFC 6037 NG MVPN L2VPN VPWS (VLLS, PW) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP VPLS (TLS, E-LAN, VPSN) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP E-VPN BGP
E-VPN §  Nauka MACów w control-plane – rozgłaszanych przez MP-BGP Dosyć prosta kontrola polityki Przekazywanie ruchu w szkielecie oparte o L3 LFIB Nie wymaga topologii pełnej siatki (jak VPLS) Równoważenie per-flow w szkielecie oraz w ringach L2 Dobre przekazywanie ruchu multicastowego dzięki drzewom mp2mp Z jawną sygnalizacją wycofania adresów (explicit withdraw) Wygodna agregacja usług – wiele VLANów na jedną instancję E-VPN Dobre czasy konwergencji przy zastosowaniu dodatkowo BGP PIC §  Emil prowadził na temat E-VPNów sesję na PLNOGu: http://www.data.proidea.org.pl/plnog/6edycja/materialy/prezentacje/ Emil_Gagala.pdf
24 Jaki VPN kiedy?
Wybór typu VPNu §  1 L3VPN jeśli tylko możliwe §  2 L2VPN jeśli to możliwe – skalowalność Ilość PWE3 to mniejszy problem – dostępne auto-discovery Ilość łącz CE-PE (1:1 do PWE3) może stanowić problem E-VPN §  3 VPLS jeśli to konieczne Data-driven FIB Ryzyko pętli
Pytania?
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przegląd typów

Recommandé

PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...
PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...
PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...
PROIDEA
 
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów)
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów) PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów)
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów)
PROIDEA
 
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz JedynakPLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PROIDEA
 
PLNOG 6: Bartłomiej Anszperger - MPLS
PLNOG 6: Bartłomiej Anszperger - MPLSPLNOG 6: Bartłomiej Anszperger - MPLS
PLNOG 6: Bartłomiej Anszperger - MPLS
PROIDEA
 
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PROIDEA
 
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PROIDEA
 
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLS
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLSPrzemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLS
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLS
PROIDEA
 
PLNOG 9: Krzysztof Konkowski - Multicast MPLS
PLNOG 9: Krzysztof Konkowski - Multicast MPLS PLNOG 9: Krzysztof Konkowski - Multicast MPLS
PLNOG 9: Krzysztof Konkowski - Multicast MPLS
PROIDEA
 

Recommandé

PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...
PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...
PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...
PROIDEA
 
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów)
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów) PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów)
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów)
PROIDEA
 
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz JedynakPLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PROIDEA
 
PLNOG 6: Bartłomiej Anszperger - MPLS
PLNOG 6: Bartłomiej Anszperger - MPLSPLNOG 6: Bartłomiej Anszperger - MPLS
PLNOG 6: Bartłomiej Anszperger - MPLS
PROIDEA
 
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PROIDEA
 
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PROIDEA
 
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLS
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLSPrzemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLS
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLS
PROIDEA
 
PLNOG 9: Krzysztof Konkowski - Multicast MPLS
PLNOG 9: Krzysztof Konkowski - Multicast MPLS PLNOG 9: Krzysztof Konkowski - Multicast MPLS
PLNOG 9: Krzysztof Konkowski - Multicast MPLS
PROIDEA
 
PLNOG 4: Piotr Jabłoński - Podstawy MPLS
PLNOG 4: Piotr Jabłoński - Podstawy MPLSPLNOG 4: Piotr Jabłoński - Podstawy MPLS
PLNOG 4: Piotr Jabłoński - Podstawy MPLS
PROIDEA
 
PLNOG19 - Konrad Kulikowski - Segment Routing – okiem praktyka
PLNOG19 - Konrad Kulikowski - Segment Routing – okiem praktyka PLNOG19 - Konrad Kulikowski - Segment Routing – okiem praktyka
PLNOG19 - Konrad Kulikowski - Segment Routing – okiem praktyka
PROIDEA
 
PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...
PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...
PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...
PROIDEA
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PROIDEA
 
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PROIDEA
 
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
PROIDEA
 
100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. 100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego.
Redge Technologies
 
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PROIDEA
 
PLNOG 6: Piotr Jabłoński - Praktyczne aspekty implementacji IGP
PLNOG 6: Piotr Jabłoński - Praktyczne aspekty implementacji IGP PLNOG 6: Piotr Jabłoński - Praktyczne aspekty implementacji IGP
PLNOG 6: Piotr Jabłoński - Praktyczne aspekty implementacji IGP
PROIDEA
 
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PROIDEA
 
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...
PROIDEA
 
Usługi sieci internet cz iiii 2012
Usługi sieci internet cz iiii 2012Usługi sieci internet cz iiii 2012
Usługi sieci internet cz iiii 2012
Tańczący Z Kojotami
 
100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?
Redge Technologies
 
PLNOG15: BGP Route Reflector from practical point of view
PLNOG15: BGP Route Reflector from practical point of viewPLNOG15: BGP Route Reflector from practical point of view
PLNOG15: BGP Route Reflector from practical point of view
PROIDEA
 
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PROIDEA
 
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów
PROIDEA
 
Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2
arkulik
 
PLNOG 6: Marcin Aronowski - Budowa sieci: szkielet/ agregacja/ dostęp
PLNOG 6: Marcin Aronowski - Budowa sieci: szkielet/ agregacja/ dostępPLNOG 6: Marcin Aronowski - Budowa sieci: szkielet/ agregacja/ dostęp
PLNOG 6: Marcin Aronowski - Budowa sieci: szkielet/ agregacja/ dostęp
PROIDEA
 
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6"
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6" PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6"
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6"
PROIDEA
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Redge Technologies
 
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PROIDEA
 
PLNOG 9: Marcin Aronowski - Unified MPLS
PLNOG 9: Marcin Aronowski - Unified MPLSPLNOG 9: Marcin Aronowski - Unified MPLS
PLNOG 9: Marcin Aronowski - Unified MPLS
PROIDEA
 

Contenu connexe

Tendances

PLNOG 4: Piotr Jabłoński - Podstawy MPLS
PLNOG 4: Piotr Jabłoński - Podstawy MPLSPLNOG 4: Piotr Jabłoński - Podstawy MPLS
PLNOG 4: Piotr Jabłoński - Podstawy MPLS
PROIDEA
 
PLNOG19 - Konrad Kulikowski - Segment Routing – okiem praktyka
PLNOG19 - Konrad Kulikowski - Segment Routing – okiem praktyka PLNOG19 - Konrad Kulikowski - Segment Routing – okiem praktyka
PLNOG19 - Konrad Kulikowski - Segment Routing – okiem praktyka
PROIDEA
 
Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2
arkulik
 

Tendances (20)

PLNOG 4: Piotr Jabłoński - Podstawy MPLS
PLNOG 4: Piotr Jabłoński - Podstawy MPLSPLNOG 4: Piotr Jabłoński - Podstawy MPLS
PLNOG 4: Piotr Jabłoński - Podstawy MPLS
 
PLNOG19 - Konrad Kulikowski - Segment Routing – okiem praktyka
PLNOG19 - Konrad Kulikowski - Segment Routing – okiem praktyka PLNOG19 - Konrad Kulikowski - Segment Routing – okiem praktyka
PLNOG19 - Konrad Kulikowski - Segment Routing – okiem praktyka
 
PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...
PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...
PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
 
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
 
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
 
100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. 100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego.
 
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
 
PLNOG 6: Piotr Jabłoński - Praktyczne aspekty implementacji IGP
PLNOG 6: Piotr Jabłoński - Praktyczne aspekty implementacji IGP PLNOG 6: Piotr Jabłoński - Praktyczne aspekty implementacji IGP
PLNOG 6: Piotr Jabłoński - Praktyczne aspekty implementacji IGP
 
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
 
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...
 
Usługi sieci internet cz iiii 2012
Usługi sieci internet cz iiii 2012Usługi sieci internet cz iiii 2012
Usługi sieci internet cz iiii 2012
 
100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?
 
PLNOG15: BGP Route Reflector from practical point of view
PLNOG15: BGP Route Reflector from practical point of viewPLNOG15: BGP Route Reflector from practical point of view
PLNOG15: BGP Route Reflector from practical point of view
 
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
 
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów
 
Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2
 
PLNOG 6: Marcin Aronowski - Budowa sieci: szkielet/ agregacja/ dostęp
PLNOG 6: Marcin Aronowski - Budowa sieci: szkielet/ agregacja/ dostępPLNOG 6: Marcin Aronowski - Budowa sieci: szkielet/ agregacja/ dostęp
PLNOG 6: Marcin Aronowski - Budowa sieci: szkielet/ agregacja/ dostęp
 
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6"
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6" PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6"
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6"
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
 

Similaire à PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przegląd typów

PLNOG 9: Marcin Aronowski - Unified MPLS
PLNOG 9: Marcin Aronowski - Unified MPLSPLNOG 9: Marcin Aronowski - Unified MPLS
PLNOG 9: Marcin Aronowski - Unified MPLS
PROIDEA
 
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PROIDEA
 
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...
PROIDEA
 
Radosław Ziemba: GPON or xWDM as technology for connecting business subscribes
Radosław Ziemba: GPON or xWDM as technology for connecting business subscribesRadosław Ziemba: GPON or xWDM as technology for connecting business subscribes
Radosław Ziemba: GPON or xWDM as technology for connecting business subscribes
PROIDEA
 
PLNOG 9: Jacek Skowyra - Carrier Grad NAT
PLNOG 9: Jacek Skowyra - Carrier Grad NATPLNOG 9: Jacek Skowyra - Carrier Grad NAT
PLNOG 9: Jacek Skowyra - Carrier Grad NAT
PROIDEA
 

Similaire à PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przegląd typów (18)

PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
 
PLNOG 9: Marcin Aronowski - Unified MPLS
PLNOG 9: Marcin Aronowski - Unified MPLSPLNOG 9: Marcin Aronowski - Unified MPLS
PLNOG 9: Marcin Aronowski - Unified MPLS
 
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
 
Stosy sieciowe w przestrzeni użytkownika.
Stosy sieciowe w przestrzeni użytkownika.Stosy sieciowe w przestrzeni użytkownika.
Stosy sieciowe w przestrzeni użytkownika.
 
PLNOG 6: Łukasz Bromirski, Rafał Szarecki - Przełączniki i Routery - co jest ...
PLNOG 6: Łukasz Bromirski, Rafał Szarecki - Przełączniki i Routery - co jest ...PLNOG 6: Łukasz Bromirski, Rafał Szarecki - Przełączniki i Routery - co jest ...
PLNOG 6: Łukasz Bromirski, Rafał Szarecki - Przełączniki i Routery - co jest ...
 
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
 
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
 
PLNOG 21: Łukasz Trąbiński, Konrad Pilch - Jak_sterować_ogólnopolską_siecią_C...
PLNOG 21: Łukasz Trąbiński, Konrad Pilch - Jak_sterować_ogólnopolską_siecią_C...PLNOG 21: Łukasz Trąbiński, Konrad Pilch - Jak_sterować_ogólnopolską_siecią_C...
PLNOG 21: Łukasz Trąbiński, Konrad Pilch - Jak_sterować_ogólnopolską_siecią_C...
 
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
 
Złam zasady i stwórz wydajny stos IP przy użyciu DPDK
Złam zasady i stwórz wydajny stos IP przy użyciu DPDKZłam zasady i stwórz wydajny stos IP przy użyciu DPDK
Złam zasady i stwórz wydajny stos IP przy użyciu DPDK
 
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
 
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...
 
Radosław Ziemba: GPON or xWDM as technology for connecting business subscribes
Radosław Ziemba: GPON or xWDM as technology for connecting business subscribesRadosław Ziemba: GPON or xWDM as technology for connecting business subscribes
Radosław Ziemba: GPON or xWDM as technology for connecting business subscribes
 
PLNOG 9: Jacek Skowyra - Carrier Grad NAT
PLNOG 9: Jacek Skowyra - Carrier Grad NATPLNOG 9: Jacek Skowyra - Carrier Grad NAT
PLNOG 9: Jacek Skowyra - Carrier Grad NAT
 
PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji
PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji
PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji
 
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
 
PLNOG15: GMPLS/100G Convergent Backbone Network - Dominik Janus, Sebastian Piter
PLNOG15: GMPLS/100G Convergent Backbone Network - Dominik Janus, Sebastian PiterPLNOG15: GMPLS/100G Convergent Backbone Network - Dominik Janus, Sebastian Piter
PLNOG15: GMPLS/100G Convergent Backbone Network - Dominik Janus, Sebastian Piter
 
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiejŁukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
 

PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przegląd typów

  • 1. 1 MPLS VPN Architektura i przegląd typów Łukasz Bromirski Rafał Szarecki lbromirski@cisco.com    rafal@juniper.net   PLNOG, Kraków, październik 2012
  • 2. Zawartość (z grubsza)* §  VPNy z lotu ptaka §  Architektura VPNów realizowanych przez Operatora §  Taksonomia VPNów z przykładami §  Q&A * agenda może ulec zmianie bez ostrzeżenia, nawet w trakcie prezentacji
  • 4. Klasyfikacja VPNów VPN = Wirtualna Sieć Prywatna Adresy „prywatne” – odrębne, mogą w innych VPNach się powtarzać Prywatna topologia Prywatna polityka routingu Oparte o CE Oparte o sieć operatora – PE (PPVPN) •  Sieć operatora nie uczestniczy w tworzeniu VPN – jedynie transportuje ruch •  Tunele L3 i L4, czasami L2 – L2TPv3, GRE, IPsec, SSL VPN •  Często element usługi zarządzanej •  Konfiguracja i „magia” dzieje się na CE/CPE •  System NMS/OSS działa w VPNie, może nie zawsze być w stanie działać poprawnie •  Sieć i urządzenia klienta nie wiedzą nic o •  topologii •  polityce routingu •  Wiele rodzajów tuneli – MPLS, GRE, IPSec, VLANy, … •  Cała konfiguracja i złożoność na PE •  System NMS/OSS zarządzający VPNem monitoruje rozwiązanie od CE do CE CE PE PE CE CE CE PE PE CE CE
  • 5. Klasyfikacja PPVPNów Przez wirtualne routery MPLS VPN •  Dosyć słabo się skaluje – złożność w control plane – O(#VR*#PE) •  Zwykle każdy VR to osobny proces programowy •  RFC: draft-ietf-l3vpn-vpn-vr-03.txt •  Ostatnia wersja – 2006 rok •  Dobrze się skaluje – O(#PE) •  Możliwość uruchomienia automatycznego odkrywania sąsiadów •  VRF/VE są 'kontekstami' •  RFCs: 4364, 4761, 4762, 6624, 4447, 6037, etc PE PE VRF/ VE/ VC Wspólna dla VPNów sesja Tunel na dane Tunel transportowy PE PE VR Tunel dla danych i sesji kontrolnej BGP (wg. RFC)
  • 7. Architektura transportu w MPLS VPN §  Węzły P (Provider) tworzą sieć dla węzłów PE. Nie przechowują żadnej informacji o VPNach §  Węzły PE (Provider Edge) przechowują informację o VPNach §  Węzły CE umieszczone są na brzegu sieci klienta. Mogą ale nie muszą należeć do sieci operatora. Łączą się z jednym lub wieloma PE operatora §  Tunel realizowany przez operatora Niezależny od technologii VPN MPLS LSP, GRE, IPsec… Dla MPLS, może być realizowany przez LDP, RSVP, BGP-LU czy nawet routing statyczny Adres zdalnego końca tunelu jest ważny (o tym później) CE PE PE CE CE P P
  • 8. Architektura usługi w MPLS VPN §  Instancja VPN na PE VRF/VE/VCT/xconnect §  Wspólna sesja sygnalizacyjna pomiędzy PE BGP Można wykorzystać RR żeby zapewnić skalowanie i provisioning Zapewnia auto-discovery LDP Zapewnia dystrybucję etykiet dla prefiksów/id (FEC) VPNowych Adres końca sesji (BGP NH) jest używany do mapowania etykiet transportowych. §  Etykieta VPNowa pozwala na wyjściu wybrać VPN i interfejs fizyczny na PE w stronę CE CE1 PE PE CE Sesja sygnalizacyjna dla sesji
  • 10. Taksonomia MPLS VPN MPLS VPN L3VPN Unicast Multicast Draft Rosen NG MVPN L2VPN VPWS (VLLS, PW) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP VPLS (TLS, E-LAN, VPSN) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP E-VPN BGP
  • 11. L3VPN (unicast) §  Standaryzacja: Główne RFC: RFC 2547 à I-D 2547bis à RFC 4364 RFC 4577 (OSPF for PE-CE) RFC 4684 (Constrained VPN routing distribution; RT AFI) RFC 5462 (zmiana nazwy pola "EXP" na "Traffic Class") §  Tunel transportowy – cokolwiek: Juniper i Cisco: RSVP-TE, LDP, BGP-LU, GRE, IPsec, LDP over RSVP, RSVP over RSVP, BGP-LU over LDP, BGP-LU over RSVP, BGP-LU over LDP over RSVP Dodatkowo na Cisco - L3VPN over mGRE §  Kontrola usługi – routingu VPNów – (i)BGP (tak jak w internecie) AFI 1/SAFI 128 Route Distinguisher Route Target §  Przydział etykiet do rozróżniania VPNów Juniper: per CE, per VRF Cisco: per prefiks, per CE, per VRF L3VPNy powinny bez problemu działać pomiędzy Juniperem a Cisco, problemem może być oczywiście skalowalność rozwiązania
  • 12. L3VPN (unicast) – porady projektowe §  Dla rozwiązań Hub&Spoke, zwróć uwagę na etykiety per-VRF na hubie §  Format RD może wpłynąć na: Skalowalnie (przy IP) z oddziałami podłączonymi redundantnie Dostępność, jeśli nie są unikalne – InterAS i loopbacki z prywatnymi adresami Równoważenie ruchu jeśli RD wybrane z uwagi na RR i Inter-AS VPN Konwergencję VPNów jeśli RD wybrane z uwagi na RR i Inter-AS VPN §  Głębokość stosu etykiet – ilość etykiet, którą wejściowe PE musi nałożyć Uwaga na możliwości sprzętu! J # etykiet Rodzaj tunelu 1 PE-PE back2back, GRE, IPSec 2 LDP, RSVP-TE bez ochrony 1:N 3 LDPoRSVP, BGP-LUoLDP, BGP-LUoRSVP-TE, RSVP-TE z ochroną 1:N 4 LDPoRSVP z ochroną 1:N, BGP-LUoLDPoRSVP, BGP-LUoRSVP-TE z ochroną 1:N 5 BGP-LUoLDPoRSVP z ochroną 1:N
  • 13. Taksonomia MPLS VPN MPLS VPN L3VPN Unicast Multiacst RFC 6037 NG MVPN L2VPN VPWS ( VLLS, PW) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP VPLS (TLS, E-LAN, VPSN) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP E-VPN BGP
  • 14. L3mVPN §  Długa seria draftów autorstwa Eda Rosena, zakończona RFC 6037 (wdrożenie w Cisco) Tunel mGRE per-vpn (MDT) Routing multicastu w sieci operatora – PIM dla VPNów Sygnalizacja wewnątrz VPN – ilość sesji PIM – (N*M)2 N-ilość VPN, M-ilość PE PIM over mGRE = PIM on LAN = 255 PE/VPN Model VR (nie MPLS/BGP) “Tak to się robiło wczoraj” – wciąż wiele (większość?) sieci pracuje w oparciu o tą technologię
  • 15. L3mVPN §  MPLS VPN = NG-MVPN (RFC 6513 (Cisco & Juniper)) Tunel transportowy – praktycznie cokolwiek: Juniper: RSVP-TE, mLDP, SP PIM, replikacja na wejściu p2p Cisco: RSVP-TE, mLDP (p2mp, mp2mp), replikacja na wejściu p2p Nie jest dzielone pomiędzy VPNy (jeszcze) Routing VPN - wspólne (i)BGP AFI 5/SAFI 129 Route Distinguisher Route Target Przydział etykiet do demultipleksacji: Juniper: per VRF Cisco: per VRF L3mVPNy powinny bez problemu działać pomiędzy Juniperem a Cisco, problemem może być oczywiście skalowalność rozwiązania (BGP oraz zasoby sprzętowe) Rozdzielenie transportu i usługi B. Anszperger: http://data.proidea.org.pl/plnog/2edycja/materialy/prezentacje/b_anszperger.pdf R. Szarecki: http://data.proidea.org.pl/plnog/2edycja/materialy/prezentacje/pim_p2mp.pdf E. Gągała: http://data.proidea.org.pl/plnog/4edycja/materialy/prezentacje/ng_mvpn_plnog.pdf
  • 16. Taksonomia MPLS VPN MPLS VPN L3VPN Unicast Multiacst RFC 6037 NG MVPN L2VPN VPWS (VLLS, PW) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP VPLS (TLS, E-LAN, VPSN) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP E-VPN BGP
  • 17. VPWS §  Virtual Private Wire Service (RFC 4664) §  Każde urządzenie CE otrzymuje zestaw VC p2p – na końcu którego znajduje się inne urządzenie CE §  Tunel transportowy: Juniper: RSVP-TE, LDP, GRE Cisco: RSVP-TE, LDP, GRE §  Wykrywanie sąsiadów/końców usługi i sygnalizacja demux-label (VC- label): LDP FEC 128 = statyczna konfiguracja końców usługi, sygnalizacja po LDP LDP FEC 129 = autokonfiguracja z wykorzystaniem BGP, sygnalizacja po LDP BGP = AFI/SAFI 25/65 = autokonfiguracja i sygnalizacja z wykorzystaniem BGP w jednym NLRI. RT kontroluje topologię VPN – zestaw N-połączeń P2P
  • 18. Taksonomia MPLS VPN MPLS VPN L3VPN Unicast Multiacst RFC 6037 NG MVPN L2VPN VPWS (VLLS, PW) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP VPLS (TLS, E-LAN, VPSN) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP E-VPN BGP
  • 19. VPLS §  Virtual Private LAN Service (RFC 4664) §  Usługa wirtualnego LANu oparta o tunele PWE3 Pseudo-Wire Emulation, Edge-to-edge Bazuje na tej samej technologii co VPWS §  Zakłada istnienie pełnej siatki połączeń LSP pomiędzy PE Split-horizon dla VPLS §  Konieczność obsługi Broadcast i Multicast Replikacja na wejściu P2MP/MP2MP (jak tunele transportowe dla mVPNów L3) §  MAC learning Stany przełączania (FIB) tworzone na podstawie przepływu danych Dla nieznanych adresów docelowych - flooding Pętle / sztormy §  E. Gągała: Advanced VPLS: http://data.proidea.org.pl/plnog/5edycja/materialy/prezentacje/EmilGagala.pdf
  • 20. VPLS - RFC 4762 xor RFC 4761 RFC 4762 RFC 4761 Dwie pod-implementacje: •  Pierwsza (niestandardowa): •  sygnalizowane przez LDP FEC128 •  statyczna konfiguracja obu końców każdego PWE3 (full mesh) •  Druga (standardowa): •  sygnalizowane przez LDP FEC129 •  Możliwość auto-discovery (osobny standard) – via BGP Redundancja VSI Sygnalizacja i auto-discovery w oparciu o BGP w jednym NLRI. Redundancja na poziomie łącza dostępowego.
  • 21. VPLS – porady projektowe §  Jak dużo ruchu BUM? Czy warto stosować P2MP/MP2MP? Dla ARP i DHCP nie warto. Dla IPTV ? §  Redundancja i Pętle Bez uzależnienia od CE 4762 (LDP) 4761 (BGP) Redundancja VSI OK (ręczna kontrola) OK (via BGP) Redundancja AC NOK* OK (via BGP) L2 CE PE PE L2 CE L2 CE VSI VSI L2 CE PE PE L2 CE L2 CE VSI VSI * Możliwe przy xSTP/G.8032 pomiędzy L2CE and PE
  • 22. Taksonomia MPLS VPN MPLS VPN L3VPN Unicast Multiacst RFC 6037 NG MVPN L2VPN VPWS (VLLS, PW) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP VPLS (TLS, E-LAN, VPSN) LDP FEC 128 LDP FEC 129 (ms-PW, BGP autodiscovery) BGP E-VPN BGP
  • 23. E-VPN §  Nauka MACów w control-plane – rozgłaszanych przez MP-BGP Dosyć prosta kontrola polityki Przekazywanie ruchu w szkielecie oparte o L3 LFIB Nie wymaga topologii pełnej siatki (jak VPLS) Równoważenie per-flow w szkielecie oraz w ringach L2 Dobre przekazywanie ruchu multicastowego dzięki drzewom mp2mp Z jawną sygnalizacją wycofania adresów (explicit withdraw) Wygodna agregacja usług – wiele VLANów na jedną instancję E-VPN Dobre czasy konwergencji przy zastosowaniu dodatkowo BGP PIC §  Emil prowadził na temat E-VPNów sesję na PLNOGu: http://www.data.proidea.org.pl/plnog/6edycja/materialy/prezentacje/ Emil_Gagala.pdf
  • 25. Wybór typu VPNu §  1 L3VPN jeśli tylko możliwe §  2 L2VPN jeśli to możliwe – skalowalność Ilość PWE3 to mniejszy problem – dostępne auto-discovery Ilość łącz CE-PE (1:1 do PWE3) może stanowić problem E-VPN §  3 VPLS jeśli to konieczne Data-driven FIB Ryzyko pętli