2. Zawartość (z grubsza)*
§ VPNy z lotu ptaka
§ Architektura VPNów realizowanych przez Operatora
§ Taksonomia VPNów
z przykładami
§ Q&A
* agenda może ulec zmianie bez ostrzeżenia, nawet w trakcie prezentacji
4. Klasyfikacja VPNów
VPN = Wirtualna Sieć Prywatna
Adresy „prywatne” – odrębne, mogą w innych VPNach się powtarzać
Prywatna topologia
Prywatna polityka routingu
Oparte o CE Oparte o sieć operatora – PE (PPVPN)
• Sieć operatora nie uczestniczy w tworzeniu
VPN – jedynie transportuje ruch
• Tunele L3 i L4, czasami L2 – L2TPv3, GRE,
IPsec, SSL VPN
• Często element usługi zarządzanej
• Konfiguracja i „magia” dzieje się na CE/CPE
• System NMS/OSS działa w VPNie, może nie
zawsze być w stanie działać poprawnie
• Sieć i urządzenia klienta nie wiedzą nic o
• topologii
• polityce routingu
• Wiele rodzajów tuneli – MPLS, GRE, IPSec,
VLANy, …
• Cała konfiguracja i złożoność na PE
• System NMS/OSS zarządzający VPNem
monitoruje rozwiązanie od CE do CE
CE PE PE
CE
CE
CE PE PE
CE
CE
5. Klasyfikacja PPVPNów
Przez wirtualne routery MPLS VPN
• Dosyć słabo się skaluje – złożność
w control plane – O(#VR*#PE)
• Zwykle każdy VR to osobny proces
programowy
• RFC: draft-ietf-l3vpn-vpn-vr-03.txt
• Ostatnia wersja – 2006 rok
• Dobrze się skaluje – O(#PE)
• Możliwość uruchomienia
automatycznego odkrywania
sąsiadów
• VRF/VE są 'kontekstami'
• RFCs: 4364, 4761, 4762, 6624,
4447, 6037, etc
PE PE
VRF/
VE/
VC
Wspólna dla
VPNów sesja
Tunel na dane
Tunel
transportowy
PE PE
VR
Tunel dla
danych i sesji
kontrolnej
BGP (wg. RFC)
7. Architektura transportu w MPLS VPN
§ Węzły P (Provider) tworzą sieć dla
węzłów PE. Nie przechowują
żadnej informacji o VPNach
§ Węzły PE (Provider Edge)
przechowują informację o VPNach
§ Węzły CE umieszczone są na
brzegu sieci klienta. Mogą ale nie
muszą należeć do sieci operatora.
Łączą się z jednym lub wieloma
PE operatora
§ Tunel realizowany przez
operatora
Niezależny od technologii VPN
MPLS LSP, GRE, IPsec…
Dla MPLS, może być realizowany
przez LDP, RSVP, BGP-LU czy
nawet routing statyczny
Adres zdalnego końca tunelu jest
ważny (o tym później)
CE
PE
PE
CE
CE
P
P
8. Architektura usługi w MPLS VPN
§ Instancja VPN na PE
VRF/VE/VCT/xconnect
§ Wspólna sesja sygnalizacyjna
pomiędzy PE
BGP
Można wykorzystać RR żeby
zapewnić skalowanie i
provisioning
Zapewnia auto-discovery
LDP
Zapewnia dystrybucję etykiet
dla prefiksów/id (FEC)
VPNowych
Adres końca sesji (BGP NH)
jest używany do mapowania
etykiet transportowych.
§ Etykieta VPNowa pozwala na
wyjściu wybrać VPN i interfejs
fizyczny na PE w stronę CE
CE1
PE
PE
CE
Sesja sygnalizacyjna dla sesji
11. L3VPN (unicast)
§ Standaryzacja:
Główne RFC: RFC 2547 à I-D 2547bis à RFC 4364
RFC 4577 (OSPF for PE-CE)
RFC 4684 (Constrained VPN routing distribution; RT AFI)
RFC 5462 (zmiana nazwy pola "EXP" na "Traffic Class")
§ Tunel transportowy – cokolwiek:
Juniper i Cisco: RSVP-TE, LDP, BGP-LU, GRE, IPsec, LDP over RSVP, RSVP over RSVP,
BGP-LU over LDP, BGP-LU over RSVP, BGP-LU over LDP over RSVP
Dodatkowo na Cisco - L3VPN over mGRE
§ Kontrola usługi – routingu VPNów – (i)BGP (tak jak w internecie)
AFI 1/SAFI 128
Route Distinguisher
Route Target
§ Przydział etykiet do rozróżniania VPNów
Juniper: per CE, per VRF
Cisco: per prefiks, per CE, per VRF
L3VPNy powinny bez problemu działać pomiędzy Juniperem a Cisco, problemem może
być oczywiście skalowalność rozwiązania
12. L3VPN (unicast) – porady projektowe
§ Dla rozwiązań Hub&Spoke, zwróć uwagę na etykiety per-VRF na hubie
§ Format RD może wpłynąć na:
Skalowalnie (przy IP) z oddziałami podłączonymi redundantnie
Dostępność, jeśli nie są unikalne – InterAS i loopbacki z prywatnymi adresami
Równoważenie ruchu jeśli RD wybrane z uwagi na RR i Inter-AS VPN
Konwergencję VPNów jeśli RD wybrane z uwagi na RR i Inter-AS VPN
§ Głębokość stosu etykiet – ilość etykiet, którą wejściowe PE musi nałożyć
Uwaga na możliwości sprzętu! J
# etykiet Rodzaj tunelu
1 PE-PE back2back, GRE, IPSec
2 LDP, RSVP-TE bez ochrony 1:N
3 LDPoRSVP, BGP-LUoLDP, BGP-LUoRSVP-TE, RSVP-TE z ochroną 1:N
4 LDPoRSVP z ochroną 1:N, BGP-LUoLDPoRSVP, BGP-LUoRSVP-TE z ochroną 1:N
5 BGP-LUoLDPoRSVP z ochroną 1:N
14. L3mVPN
§ Długa seria draftów autorstwa Eda Rosena,
zakończona RFC 6037 (wdrożenie w Cisco)
Tunel mGRE per-vpn (MDT)
Routing multicastu w sieci operatora – PIM dla VPNów
Sygnalizacja wewnątrz VPN – ilość sesji PIM – (N*M)2
N-ilość VPN, M-ilość PE
PIM over mGRE = PIM on LAN = 255 PE/VPN
Model VR (nie MPLS/BGP)
“Tak to się robiło wczoraj” – wciąż wiele (większość?) sieci
pracuje w oparciu o tą technologię
15. L3mVPN
§ MPLS VPN = NG-MVPN (RFC 6513 (Cisco & Juniper))
Tunel transportowy – praktycznie cokolwiek:
Juniper: RSVP-TE, mLDP, SP PIM, replikacja na wejściu p2p
Cisco: RSVP-TE, mLDP (p2mp, mp2mp), replikacja na wejściu p2p
Nie jest dzielone pomiędzy VPNy (jeszcze)
Routing VPN - wspólne (i)BGP
AFI 5/SAFI 129
Route Distinguisher
Route Target
Przydział etykiet do demultipleksacji:
Juniper: per VRF
Cisco: per VRF
L3mVPNy powinny bez problemu działać pomiędzy Juniperem a Cisco, problemem
może być oczywiście skalowalność rozwiązania (BGP oraz zasoby sprzętowe)
Rozdzielenie transportu i usługi
B. Anszperger:
http://data.proidea.org.pl/plnog/2edycja/materialy/prezentacje/b_anszperger.pdf
R. Szarecki: http://data.proidea.org.pl/plnog/2edycja/materialy/prezentacje/pim_p2mp.pdf
E. Gągała:
http://data.proidea.org.pl/plnog/4edycja/materialy/prezentacje/ng_mvpn_plnog.pdf
17. VPWS
§ Virtual Private Wire Service (RFC 4664)
§ Każde urządzenie CE otrzymuje zestaw VC p2p – na końcu którego
znajduje się inne urządzenie CE
§ Tunel transportowy:
Juniper: RSVP-TE, LDP, GRE
Cisco: RSVP-TE, LDP, GRE
§ Wykrywanie sąsiadów/końców usługi i sygnalizacja demux-label (VC-
label):
LDP FEC 128 = statyczna konfiguracja końców usługi, sygnalizacja po LDP
LDP FEC 129 = autokonfiguracja z wykorzystaniem BGP, sygnalizacja po LDP
BGP = AFI/SAFI 25/65 = autokonfiguracja i sygnalizacja z wykorzystaniem BGP
w jednym NLRI.
RT kontroluje topologię
VPN – zestaw N-połączeń P2P
19. VPLS
§ Virtual Private LAN Service (RFC 4664)
§ Usługa wirtualnego LANu oparta o tunele PWE3
Pseudo-Wire Emulation, Edge-to-edge
Bazuje na tej samej technologii co VPWS
§ Zakłada istnienie pełnej siatki połączeń LSP pomiędzy PE
Split-horizon dla VPLS
§ Konieczność obsługi Broadcast i Multicast
Replikacja na wejściu
P2MP/MP2MP (jak tunele transportowe dla mVPNów L3)
§ MAC learning
Stany przełączania (FIB) tworzone na podstawie przepływu danych
Dla nieznanych adresów docelowych - flooding
Pętle / sztormy
§ E. Gągała: Advanced VPLS:
http://data.proidea.org.pl/plnog/5edycja/materialy/prezentacje/EmilGagala.pdf
20. VPLS - RFC 4762 xor RFC 4761
RFC 4762 RFC 4761
Dwie pod-implementacje:
• Pierwsza (niestandardowa):
• sygnalizowane przez LDP
FEC128
• statyczna konfiguracja obu
końców każdego PWE3 (full
mesh)
• Druga (standardowa):
• sygnalizowane przez LDP
FEC129
• Możliwość auto-discovery
(osobny standard) – via BGP
Redundancja VSI
Sygnalizacja i auto-discovery w
oparciu o BGP w jednym NLRI.
Redundancja na poziomie łącza
dostępowego.
21. VPLS – porady projektowe
§ Jak dużo ruchu BUM? Czy warto stosować P2MP/MP2MP?
Dla ARP i DHCP nie warto.
Dla IPTV ?
§ Redundancja i Pętle
Bez uzależnienia od CE
4762 (LDP) 4761 (BGP)
Redundancja VSI OK (ręczna
kontrola)
OK (via
BGP)
Redundancja AC
NOK*
OK (via
BGP)
L2
CE
PE
PE
L2
CE
L2
CE VSI
VSI
L2
CE
PE
PE
L2
CE
L2
CE VSI
VSI
* Możliwe przy xSTP/G.8032 pomiędzy L2CE and PE
23. E-VPN
§ Nauka MACów w control-plane – rozgłaszanych przez MP-BGP
Dosyć prosta kontrola polityki
Przekazywanie ruchu w szkielecie oparte o L3 LFIB
Nie wymaga topologii pełnej siatki (jak VPLS)
Równoważenie per-flow w szkielecie oraz w ringach L2
Dobre przekazywanie ruchu multicastowego dzięki drzewom mp2mp
Z jawną sygnalizacją wycofania adresów (explicit withdraw)
Wygodna agregacja usług – wiele VLANów na jedną instancję E-VPN
Dobre czasy konwergencji przy zastosowaniu dodatkowo BGP PIC
§ Emil prowadził na temat E-VPNów sesję na PLNOGu:
http://www.data.proidea.org.pl/plnog/6edycja/materialy/prezentacje/
Emil_Gagala.pdf
25. Wybór typu VPNu
§ 1
L3VPN jeśli tylko możliwe
§ 2
L2VPN jeśli to możliwe – skalowalność
Ilość PWE3 to mniejszy problem – dostępne auto-discovery
Ilość łącz CE-PE (1:1 do PWE3) może stanowić problem
E-VPN
§ 3
VPLS jeśli to konieczne
Data-driven FIB
Ryzyko pętli