VPN. Теория и реальность
Василий Прокопов[email protected]
4 декабря 2009
Содержание
2
1. Классификация VPN
2. Layer 3 VPN
3. Layer 2 VPN
4. QoS/H-QoS
VPN = Virtual Private Network
3
P=Private
V=Virtual
Обеспечивает качество обслуживания
Обеспечивает управление составом участников
N=Network
Решает задачу обеспечения связности
4
VPNна любой вкус...
Классификация VPN
5
Virtual Private Networks(Site-to-Site)
Operator Provisioned Customer Provisioned
Layer 2 Layer 3 IPSec GRE
Point-to-Point Multipoint MPLS VPN
802.1ad PB802.1ah PBB
802.1Qay PBB-TE
L2TPv3 VPWS(EoMPLS)
VPLSH-VPLS
Выбор технологии зависит от:
1. Задачи, которую необходимо решить
2. Осведомленности заказчика
3. Возможностей оператора
Задача #1
6
Площадка 1 PSN
Площадка 2
Площадка 3
L3
L3
L3
PE
PE
PE
Сеть оператора Layer 3VPN
СE
СE
СE
Задача - организовать закрытую группу, объединив удаленные площадки клиента поверх сети оператора
7
Решение 1 задачи #1
MPLS VPN
Классификация VPN
8
Virtual Private Networks(Site-to-Site)
Operator Provisioned Customer Provisioned
Layer 2 VPN Layer 3 VPN IPSec GRE
Point-to-Point Multipoint MPLS VPN
802.1ad PB802.1ah PBB
802.1Qay PBB-TE
L2TPv3 VPWS(EoMPLS)
VPLSH-VPLS
IP
IGPДинамические маршруты
Предпосылки появления MPLS
9
PE PE
2. Хотелось перейти к использованию предустановленных маршрутов
1. Хотелось ускорить процесс коммутации пакетов
P P
PP
Обладателям сетей IP
MPLS VPN - Метка
10
Ethernet header
EXPLabel TTLS
DataIP
headerMPLS Label
Фрейм Ethernet
Метка MPLS
4 байта
• Служит для коммутации пакетов в сети MPLS
• Устанавливается между заголовками L2 и L3
• Label (20 бит) - метка MPLS
• EXP (3 бита) - используется механизмами QoS
• S (1 бит) - индикатор окончания стека меток
• TTL (8 бит) - время жизни пакета
IGP
MPLS VPN - Control Plane
11
PE
Участник VPN Green
Участник VPN Red
Участник VPN Green
Участник VPN Red
PE
1. IGP в сети оператора (OSPF, IS-IS)
2. LDP в сети оператора
4. MP-BGP между устройствами PE
CE
CE CE
CE
P P
PP
LDP
LDP
LDP
LDP
LDPLDP
MP-BGP
3. IGP между провайдером и клиентом
IGP
IGP IGP
IGP
VRF
VRF
VRF
VRF
Multiprotocol-BGP
12
8 байт 3 байта8 байт 4 байта
RD (Route Distinguisher)1:1
Label50
RT (Route Target)2:2
IPv4 10.0.0.1
VPNv4
• RD - делает адрес IPv4 уникальным во всей сети
• RT - определяет VRF в который будет установлен VPNv4 маршрут
• Каждому префиксу VPNv4 выделяется метка MPLS
Формат обновления MP-BGP:
MPLS VPN - Коммутация пакета
13
PSNL3
PE1
LSP 2
LSP 3
LSP 4
VRF Green
L3
VRF Red
VPNv4Label
LSP Label
Пакет L3
IP ?
Next-Hop = PE2
Участник VPLS Green
Участник VPLS Red S=0S=1
CE
CE
Кратчайший путь к PE2
MPLS VPN
14
Data Plane
Стек из двух меток для инкапсуляции
• Внешняя метка (Tunnel label) - определяет маршрут между PE (LSP)
• Внутренняя метка (VPNv4 label) - идентифицирует MPLS VPN
Control Plane
• Interior Gateway Protocol (IGP)
• Label Distribution Protocol (LDP)
• Обмен метками LSP между устройствами
• Multiprotocol-BGP (только между устройствами PE)
• Обмен VPNv4-маршрутами клиентов
PE
MPLS Traffic Engineering
15
Запуск MPLS-TE предоставляет возможность:• Задавать маршруты вручную• Осуществлять балансировку нагрузки между маршрутами (UCLB)• Гарантировать качество обслуживания (RSVP-TE)• Переключаться на резервный маршрут за время «менее 50 мс» (FRR)
PSN
L3 L3
TE tunnel 2
MPLS-TERSVP-TE
MPLS-TERSVP-TE
MPLS-TERSVP-TE
MPLS-TERSVP-TE
P P
PP PE
MPLS-TEMPLS-TERSVP-TE
MPLS-TERSVP-TE
Fast Reroute - Миф о 50-ти миллисекундах
16
Local protection
Path protection
Link protection
PE PE
Node protection
PE PE
PE
PE
50 мс 50 мс
> 50 мс
MPLS VPN - Выводы
17
Сложная и дорогостоящая технология:
1. Необходим запуск 4-х элементов в Control Plane
• IGP
• LDP
• MP-BGP
• RSVP-TE
2. MPLS и MPLS-TE должны поддерживаться на всех устройствах провайдера
3. Необходим запуск IGP между провайдером и клиентом для обмена маршрутами
18
Решение 2 задачи #1
IPsec VPN
Классификация VPN
19
Virtual Private Networks(Site-to-Site)
Operator Provisioned Customer Provisioned
Layer 2 VPN Layer 3 VPN IPSec GRE
Point-to-Point Multipoint MPLS VPN
802.1ad PB802.1ah PBB
802.1Qay PBB-TE
L2TPv3 VPWS(EoMPLS)
VPLSH-VPLS
Площадка 1
IPsec VPN
20
PSN
IPsec VPN Шлюз 1
Площадка 2
Площадка 3
IPsec VPN Шлюз 2
IPsec VPN Шлюз 3
IP-сеть
Сеть оператора
IPsec
IPsec
21
IPSec - это стандарт IETF, обеспечивающий:
• Конфиденциальность информации
• Проверку целостности передаваемых данных
• Аутентификацию источника сообщений
Включает в себя ряд открытых стандартов
• RFC 2401: Security Architecture for the Internet Protocol
• RFC 2402: IP Authentication Header (AH)
• RFC 2406: IP Encapsulating Security Payload (ESP)
• RFC 2409: The Internet Key Exchange (IKE)
• RFC 2631: Diffie-Hellman Key Agreement Method
• . . .
IPsec VPN
22
1. IPsec VPN - это в первую очередь технология организации туннелей в сети оператора
2. IPsec VPN обеспечивает:
• Целостность передаваемых данных
• Аутентификацию источника сообщений
• Конфиденциальность информации (опционально)
Заголовок «Authentication Header»
23
L2 headerAH
headerIP
headerData
IPsec IP header
TCP/UDP header
L2 headerAH
headerIP
headerData
TCP/UDP header
AH, Транспортный режим
AH, Туннельный режим
Заголовок AH обеспечивает:
• Целостность передаваемой информации
• Аутентификацию источника сообщений
• Защиту от повторной пересылки пакета
authenticated
authenticated
Заголовок «Encapsulating Security Payload»
24
L2 headerIPsec IP header
ESP header
IP header
TCP/UDP header
DataESP
trailerESP auth
L2 headerESP
headerIP
headerData
ESP trailer
ESP auth
TCP/UDP header
ESP, Транспортной режим
ESP, Туннельный режим authenticatedencrypted
authenticated
encrypted
Заголовок ESP обеспечивает:
• Целостность передаваемой информации
• Аутентификацию источника сообщений
• Конфиденциальность передаваемой информации (DES, 3DES, AES)
IPsec VPN - Важные вопросы
25
1. Обмен ключевой информацией между участниками
2. Трансляция адресов NAT/PAT и IPsec
3. Маршрутизация и multicast в IPsec VPN
4. Отказоустойчивость IPsec VPN
5. Масштабируемость IPsec VPN
IPsec VPN - Обмен ключами
26
1. Статическое распределение ключей
• Конфигурирование ключей на каждом устройстве вручную
• Плохая масштабируемость
2. Динамическое распределение ключей (протокол IKE)
• Динамическое генерирование и обмен ключами
• Взаимная аутентификация участников IPsec VPN
• IKEv1 (RFC 2408, 2408, 2409)
• IKEv2 (RFC 4306) - основан на IKEv1 + NAT traversal
Площадка 1
Площадка 2
IKE - Internet Key Exchange, Фаза 1
27
Internet или Сеть оператора
IPsec VPN Шлюз 1
IPsec VPN Шлюз 2
Согласование параметров: алгоритм хеширования, алгоритм шифрования и метод аутентификации
Фаза 1, цель - создать защищенный канал для дальнейшего согласования параметров безопасности IPsec VPN на фазе 2
Обмен открытыми ключами (DH), согласование сессионного ключа для симметричного шифрования
Взаимная аутентификация
2 Сообщения
2 Сообщения
2 Сообщения
Методы аутентификации устройств IPsec VPN
28
1. Заранее согласованные ключи (Preshared keys)
• Ключи конфигурируются заранее на всех устройствах
• Отсутствует механизм обновления ключей
• Ограниченная масштабируемость
• Проблема «n (n - 1) /2»
2. Цифровые сертификаты (Digital certificates)
• Необходима организация Public Key Infrastructure (PKI)
• Участники IPsec VPN обмениваются своими цифровыми сертификатами, выданными Центром Сертификации (ЦС)
• Открытые ключи и сертификаты обновляются динамически
Internet Key Exchange, Фаза 2
29
Площадка 1
Площадка 2
Internet или Сеть оператора
IPsec VPN Gateway 1
IPsec VPN Gateway 2
Согласование параметров: алгоритм хеширования, алгоритм шифрования и инкапсуляция
Фаза 2, цель - согласовать параметры IPsec между участниками
3 Сообщения
Обмен ключами - Рекомендации
30
• Организовать инфраструктуру PKI
• Создать Центр Сертификации (ЦС)
• Определить срок действия сертификатов X.509
• Запустить механизм отзыва сертификатов X.509
• Certificate Revocation List (CRL)
• Online Certificate Status Protocol (OCSP)
• Настроить устройства IPsec VPN для автоматического обновления ключей и получения цифровых сертификатов
• Simple Certificate Enrollment Protocol (SCEP)
Рекомендации по безопасному обмену ключами в IPsec:
IPsec VPN - Проблемы
31
1. Обмен ключевой информацией между участниками
2. Трансляция адресов NAT/PAT и IPsec
3. Маршрутизация и multicast в IPsec VPN
4. Отказоустойчивость IPsec VPN
5. Масштабируемость IPsec VPN
IPsec VPN - Трансляция адресов
32
Площадка 1
Площадка 2
Internet или Сеть оператора
IPsec VPN Gateway 1
IPsec VPN Gateway 2
NAT/PAT
Туннель IPsec
L2IP
80.94.224.32IP
10.0.0.1L2
При прохождении пакета IPsec через устройство NAT/PAT меняется содержимое полей заголовка IP (возможно также UDP/TCP)
Заголовок «Authentication Header»
33
L2 headerAH
headerIP
headerData
IPsec IP header
TCP/UDP header
L2 headerAH
headerIP
headerData
TCP/UDP header
AH, Транспортный режим
AH, Туннельный режим
Заголовки IP и TCP/UDP включены в проверку целостности:
• Если эти заголовки будут изменены на пути следования, то IPsec пакет не пройдет проверку целостности в точке назначения
• Трансляция адресов NAT/PAT осуществляться не может
authenticated
authenticated
Заголовок «Encapsulating Security Payload»
34
L2 headerIPsec IP header
ESP header
IP header
TCP/UDP header
DataESP
trailerESP auth
L2 headerESP
headerIP
headerData
ESP trailer
ESP auth
TCP/UDP header
ESP, Транспортной режим
ESP, Туннельный режим
Заголовки TCP/UDP зашифрованы:
• Транспортный режим: невозможно изменить поля Checksum в заголовках TCP/UDP, поэтому после трансляции пакет не пройдет проверку целостности
• Туннельный режим: трансляцию PAT осуществлять невозможно
authenticated
encrypted
authenticated
encrypted
NAT traversal
35
• Технология NAT traversal позволяет осуществлять трансляцию NAT/PAT на пути следования IPsec-пакета
• При трансляции PAT меняется новый заголовок UDP
• Оригинальный заголовок UDP остается без изменений
Дополнительныйзаголовок UDP
L2 headerESP
headerIP
headerData
ESP trailer
ESP auth
TCP/UDP header
ESP, Транспортный режим
authenticated
encrypted
L2 headerESP
headerIP
headerData
ESP trailer
ESP auth
TCP/UDP header
UDP header
authenticated
encrypted
NAT traversal (прод.)
36
Площадка 1
Площадка 2
Internet или Сеть оператора
IPsec VPN Gateway 1
IPsec VPN Gateway 2
NAT/PAT
Vendor ID
NAT-D
IKE фаза 1
• NAT Support: участники IPsec VPN обмениваются информацией о поддержке NAT/PAT и согласовывают режим работы
Vendor ID
NAT-D
NAT Support
NAT Existence
• NAT Existence: участники IPsec VPN проверяют осуществляется ли трансляция адресов на пути следования пакетов IPsec
NAT traversal - Рекомендации
37
• Использовать NAT/PAT-совместимые IPsec устройства
• Использовать ESP вместо AH
• Использовать туннельный режим ESP при трансляции PAT
• По возможности, осуществлять трансляцию до входа в туннель IPsec
Рекомендации по обеспечению свободного прохождения IPsec пакетов через устройства трансляции:
IPsec VPN - Проблемы
38
1. Обмен ключевой информацией между участниками
2. Трансляция адресов NAT/PAT и IPsec
3. Маршрутизация и multicast в IPsec VPN
4. Отказоустойчивость IPsec VPN
5. Масштабируемость IPsec VPN
Маршрутизация и multicast в IPsec VPN
39
• IPsec по природе является технологией point-to-point
• IPsec осуществляет транспортировку только IP unicast-трафика
• IPsec не позволяет осуществлять транспортировку и защиту трафика протоколов, отличных от IP
Площадка 1
Площадка 2
Internet или сеть оператора
Gateway 1 Gateway 2IPsec туннель
IP unicast
IP multicast
Non-IP traffic
GRE over IPsec
40
Площадка 1
Площадка 2
Internet или сеть оператора
Gateway 1 Gateway 2
IPsec туннель
IP unicast
IP multicast
Non-IP traffic
GRE
Использование GRE открывает возможность:
• Осуществлять транспортировку IP multicast-трафика в IPsec VPN
• Использовать протоколы динамической маршрутизации в IPsec VPN
• Осуществлять транспортировку и защиту трафика non-IP протоколов
IPsec VPN - Проблемы
41
1. Обмен ключевой информацией между участниками
2. Трансляция адресов NAT/PAT и IPsec
3. Маршрутизация и multicast в IPsec VPN
4. Отказоустойчивость IPsec VPN
5. Масштабируемость IPsec VPN
IPsec VPN - Отказоустойчивость
42
Площадка 1
IPsec VPN HUB
Площадка 2
Площадка 3
IPsec VPN Spoke 1
IPsec VPN Spoke 2
Топология «Hub-and-Spoke»
Точка отказа
• С применением технологии VRRP
• С применением технологии GRE
Два механизма обеспечения отказоустойчивости:
IPsec
Internet или сеть оператора
Отказоустойчивость IPsec - VRRP Stateless
43
Площадка 2
Internet или сеть оператора
Hub 1
SpokeHub 2
VRRP
IKE keepalive (10 sec)
• Необходим рестарт IPsec-соединения
• Потеря трафика при переключении
• Детектирование отказа осуществляется средствами IKE
IPsec туннель
VR
Отказоустойчивость IPsec - VRRP Stateless
44
Площадка 2
Internet или сеть оператора
Spoke
VR
VRRP
IKE keepalive (10 sec)
1. IPsec-соединение активно между Spoke и Hub 1 (active VRRP node)
IPsec туннель
10.0.0.1
.254
10.0.0.2
2. Hub 1 выходит из строя и его место занимает Hub 2
3. Hub 2 не имеет информации о туннелях IPsec и не отвечает на IKE-запросы, поэтому Spoke терминирует IPsec-соединение
4. Spoke инициирует новое IPsec-соединение к Hub 2 (10.0.0.254)
Hub 1
Hub 2
Отказоустойчивость IPsec - VRRP Stateful
45
• Рестарт IPsec-соединения не требуется
• Нет потери трафика при переключении
• Копирование информации о состоянии
• Stateful Switchover (SSO) - для многих протоколов
• State Synchronization Protocol (SSP) - только для IPsec
Площадка 2
Internet или сеть оператора
Spoke
VRRP IPsec туннель
VR
SSO/SSPIKE keepalive (10 sec)
Hub 1
Hub 2
Отказоустойчивость IPsec - VRRP Stateful
46
Площадка 2
Internet или сеть оператора
Spoke
VRRP IPsec туннель
VR
SSO/SSPIKE keepalive (10 sec)
Hub 1
Hub 2
1. IPsec-соединение активно между Spoke и Hub 1 (active VRRP node)
2. Hub 1 выходит из строя и его место занимает Hub 2
3. Информация о состоянии туннелей IPsec скопирована на Hub 2
4. IPsec-соединение по прежнему активно, однако теперь IPsec-пакеты проходят между Spoke и Hub 2
Инф. о состоянии
Инф. о состоянии
Отказоустойчивость IPsec - Другой подход
47
Internet или сеть оператора
Hub 1(Master)
Spoke
Hub 2
IPsec туннель
Отказоустойчивый кластер
Hub 3
• Шлюзы IPsec формируют отказоустойчивый кластер
• Master распределяет трафик IPsec между участниками кластера
• При отказе Master:
• Информация о состоянии туннеля сохраняется в кластере
• Туннель IPsec сохраняет работоспособность
• Роль Master берет на себя другое устройство кластера
Отказоустойчивость IPsec - Технология GRE
48
Площадка 2
Internet или сеть оператора
Hub 1
SpokeHub 2
• Необходим запуск GRE и динамической маршрутизации
• Два GRE/IPsec-соединения в режиме Active-Active
• Нет потери трафика при переключении
• Детектирование отказа и переключение на резервное соединение осуществляется протоколом маршрутизации
Протокол маршрутизации
GRE/IPsec туннель
GRE/IPsec туннель
Отказоустойчивость IPsec - Технология GRE
49
Площадка 2
Internet или сеть оператора
Hub 1
SpokeHub 2
Дополнительные возможности:
• Балансировка нагрузки
• Асимметричная маршрутизация
GRE/IPsec туннель
GRE/IPsec туннель
Площадка 2
Internet или сеть оператора
Hub 1
SpokeHub 2
Приоритетный туннель GRE/IPsec
GRE/IPsec туннель
Входящий трафикИсходящий трафик
IPsec VPN - Качество обслуживания
50
Транспортный режим
• Для обеспечения качества обслуживания используется информация оригинального заголовка IP (поле ToS/DS)
Туннельный режим
• Информация о необходимом уровне QoS копируется из оригиналь-ного заголовка IP в новый заголовок
L2 headerIPsec IP header
ESP header
IP header
TCP/UDP header
DataESP
trailerESP auth
L2 headerESP
headerIP
headerData
ESP trailer
ESP auth
TCP/UDP header
ESP, Транспортный режим
ESP, Туннельный режим authenticatedencrypted
authenticated
encrypted
IPsec VPN - Качество обслуживания (прод.)
51
Площадка 1
Internet или сеть оператора
WAN Router
IPsecGateway
Access Router
ShapingPolicingQueuing
МаркировкаQoS
Шифрование IPsec
Единое устройство или набор устройств
IPsec туннель
Функциональность QoS можно вынести за пределы IPsec-устройства с целью повышения производительности
IPsec VPN - Проблемы
52
1. Обмен ключевой информацией между участниками
2. Трансляция адресов NAT/PAT и IPsec
3. Маршрутизация и multicast в IPsec VPN
4. Отказоустойчивость IPsec VPN
5. Масштабируемость IPsec VPN
IPsec VPN - Масштабируемость
53
Площадка 1
Шлюз 1
Площадка 3
Площадка 4Площадка
5
Площадка 2
Для организации полносвязной топологии при построении IPsecVPN необходимо организовать n (n-1) / 2 соединений
Шлюз 2
Шлюз 3
Шлюз 4Шлюз 5
Group Encrypted Transport (GET) VPN
54
Площадка 1
Площадка 3
Площадка 4
• Tunnel-less IPsec VPN• Концепция «доверенной группы»• Каждый член группы может расшифровать любой пакет GET VPN
Площадка 5
Площадка 2
GET VPN
Шлюз 1
Шлюз 2
Шлюз 3
Шлюз 4Шлюз 5
GET VPN - Инкапсуляция
55
L2 headerESP
headerIP
headerTCP/UDP header
DataESP
trailerESP auth
GET VPN
Оригинальный IP заголовок сохраняется
• Исчезает понятие «туннель» а вместе с ним и p2p ориентация
• Native Routing вместо Overlay Routing
• Как следствие - отсутствуют проблемы с multicast-трафиком
L2 headerNEW IP header
ESP header
IP header
TCP/UDP header
DataESP
trailerESP auth
ESP, Туннельный режим
IP header
Копирование заголовка
GET VPN - Роли устройств
56
GM
KS
GET VPN
Data Plane
Data Plane Data Plane
Data Plane
Control Plane
GM GM
GM
KS = Key ServerGM = Group Member
GET VPN - Роли устройств
57
Key Server (Control Plane)
• Определяет и хранит групповую политику безопасности:
• Методы аутентификации
• Алгоритмы шифрования и хеширования
• ACL определяющие «интересный» трафик
• Таймеры обновления ключей
• Распространяет и обновляет ключи
• Отправляет конфигурацию в каждый GM
Group Member (Data Plane)
• Получает конфигурацию от KS
• Инкапсулирует и шифрует трафик GET VPN
GET VPN - Роли устройств
58
GM
KS
Data Plane
Data Plane Data Plane
Data Plane
Control Plane
GM GM
GM
KEK = Key Encryption KeyTEK = Transport Encryption Key
KS распространяет ключи KEK и TEK между членами группы
GET VPN - Выводы
59
Преимущества GET VPN перед традиционным IPsec VPN:
• За счет миграции к tunnel-less архитектуре
• Решена проблема масштабируемости
• Решена проблема репликации multicast-трафика
• Групповое управление политиками безопасности и ключами
• Интегрированный механизм распространения и обновления ключей
VPN. Теория и реальностьЧасть 2
Василий Прокопов[email protected]
4 декабря 2009
61
Задача #2
62
Сеть IP или MPLS
192.168.0.x /24 192.168.0.x /24
• Обеспечить L2-связность между двумя площадками
• Соединение точка-точка (point-to-point)
L2-связность
L2L2
Площадка 1 Площадка 2
Классификация VPN
63
Layer 2 VPN
Point-to-Point Multipoint
802.1ad PB802.1ah PBB
802.1Qay PBB-TE
L2TPv3 VPWS(EoMPLS)
VPLSH-VPLS
Point-to-Point L2 VPN
64
Поверх сети IP
• Ethernet AC• Frame Relay AC• ATM AC• PPP AC
L2TP = Layer 2 Tunneling ProtocolVPWS = Virtual Private Wire ServicesAC = Attachment Circuit
Поверх сети MPLS
• Ethernet (EoMPLS)• Frame Relay AC• ATM AC• PPP AC
VPWSL2TPv3
65
Вариант 1 решения задачи #1
L2TPv3
L2TPv3
66
L2TPv3 туннель
AC VC VC AC
• AC = Attachment Circuit
• VC = Virtual Circuit
L2 L2
LAC LAC
• LAC = L2TP Access Concentrator
L2TP Control Channel
L2TP Data Channel
Сеть IP
192.168.0.x /24 192.168.0.x /24
Площадка 1 Площадка 2
L2TPv3
67
Control Plane
• L2TP Control Channel (опционально)
• Динамическое установление L2TPv3 туннелей
• Мониторинг состояния туннелей для детектирования отказа
Data Plane
• 2 заголовка для инкапсуляции
• IP Header (PID = 115)
• Data Channel Header
• Session ID для идентификации VC
• Cookie (опционально)
L2TPv3 - Data Plane
68
Площадка 1
L2 L2
LAC LACL2TP Control Channel
L2TP Data Channel
L2 FrameIP Hdr
PID=115Data Channel
Hdr
Session ID (VC)Cookie
L2 Frame L2 Frame
192.168.0.x /24 192.168.0.x /24
Площадка 1 Площадка 2
69
Проблемы при использовании L2TPv3
5. Как следствие, усложняется задача обеспечения качества обслуживания вдоль маршрута
1. Не обеспечивается конфиденциальность
2. Не обеспечивается отказоустойчивость
3. Отсутствуют механизмы прокладки статического маршрута в сети оператора
4. Маршрут выбирается динамически протоколом маршрутизации
L2TPv3 - Конфиденциальность
70
• L2TP over IPsec обеспечивает защищенный L2 VPN-сервис
PSN
L2TPv3 туннель
AC AC
L2 L2
LAC LAC
IPsec туннельVC VC
192.168.0.x /24 192.168.0.x /24
Площадка 1 Площадка 2
Сеть IP
• Увеличивается объем служебной информации
• IPsec увеличивает нагрузку на LAC, снижая его производительность
L2TPv3 - Выбор маршрута
71
PSN
L2 L2LAC LAC
OSPF IS-IS
OSPF IS-IS
OSPF IS-IS
OSPF IS-IS
OSPF IS-IS
OSPF IS-IS
• Усложняется задача обеспечения QoS вдоль динамического маршрута
• Отсутствуют механизмы ручной прокладки маршрута
• Маршрут выбирается динамически, протоколом маршрутизации
• Нет возможности осуществлять балансировку нагрузки между неравноценными маршрутами
L2TPv3 - Качество обслуживания
72
L2TPv3 Hdr
IP Hdr(ToS = 160)
L2 FrameIP Hdr (ToS = 160)
L2 FrameIP Hdr (ToS =160)
pseudowire-class l2tpv3.pwip tos reflect
LAC
1. Сохранение оригинальной маркировки QoS:
L2TPv3
L2 Frame L2TPv3
HdrIP Hdr
(ToS = 160)L2 Frame
pseudowire-class l2tpv3.pwip tos value 160
LAC
2. Перемаркировка всех L2TPv3 пакетов:
L2TPv3
L2TPv3 - Качество обслуживания (прод.)
73
L2TPv3 Hdr
IP Hdr(DSCP = 46)
L2 FrameIP Hdr (Src: 10.3.0.5)
access-list 1 permit 10.3.0.0 0.0.0.255
class-map l2tpv3.netmatch access-group 1
policy-map l2tpv3.polclass l2tpv3.netset ip dscp tunnel 46
interface FastEthernet0/0service-policy input l2tpv3.pol
LAC
L2 FrameIP Hdr (Src: 10.3.0.5)
3. Маркировка определенных L2TPv3 пакетов:
L2TPv3
L2TPv3 - Отказоустойчивость туннеля
74
PSN
LAC
LAC
ФилиалЦентр
L2 AC
LAC
• Отказ устройства в облаке влечет за собой отказ туннеля 1
L2 AC
L2 AC
L2TPv3
XТуннель 2
IGP
Туннель 1
• Протокол маршрутизации автоматически проложит туннель 2 в обход отказавшего устройства
• Для клиента ситуация обернется кратковременной потерей пакетов
L2TPv3 - Отказоустойчивость LAC
75
LAC
LAC
ФилиалЦентр
L2 AC
LAC
• Отсутствует возможность автоматически парировать отказ LAC
L2 AC
L2 AC
• Клиент не сможет передавать данные при отказе LAC
• В отказоустойчивом сценарии необходимо иметь 2 LAC в филиале
L2TPv3
IGP
Туннель 1
XНеобходимо вручную
конфигурировать новое соединение L2TPv3
76
Вариант 2 решения задачи #1
VPWS (EoMPLS)
Ethernet over MPLS
77
Отличие технологии EoMPLS от L2TPv3 в том, что сервис L2 VPN предоставляется поверх сети MPLS
EoMPLS-сервис
MPLS Pseudowire
PE = Provider Edge
L2 L2
L2 PE L2 PETargeted LDP
Туннель MPLS
192.168.0.x /24 192.168.0.x /24
Площадка 1 Площадка 2IP/MPLS
EoMPLS
78
Control Plane
• Targeted LDP обеспечивает генерацию и обмен метками VPN между PE-устройствами
Data Plane
• 2 метки для инкапсуляции
• Внешняя метка (Tunnel Label)
• Определяет маршрут между PE-устройствами (LSP)
• Внутренняя метка (VPN Label)
• Идентифицирует MPLS PW
EoMPLS
79
AC
L2 PE L2PEP
P P
PТуннель MPLS
L2
VPN Label
L2Tunnel Label B
VPN Label
L2
L2
AC
VPN Label
L2Tunnel Label A
Targeted LDP
LDP LDP
EoMPLS - Отказоустойчивость
80
EoMPLSL2 PEФилиал
Центр
L2EoMPLS
L2
L2
X
• Парирование отказа PE-устройства
• Режим 1:1 или 1:N
• Режим Active-Standby
ОсновнойL2 PE
РезервныйL2 PE
EoMPLS - Отказоустойчивость: пример
81
L2 PEDSLAMBNG
Соединения PPPoE
3. Переход на резервное соединение EoMPLS не осуществляется, что приводит к блокировке трафика
1. Основной линейный модуль BNG теряет способность обрабатывать соединения PPPoE; BNG переходит на резервный модуль
2. Порт в направлении PE остается в активном состоянии
Карта 1X
Карта 2
Линия в активном состоянии
EoMPLS
EoMPLS
Блокировка трафика
ОсновнойL2 PE
РезервныйL2 PE
EoMPLS - Отказоустойчивость: пример
82
• Допустимо - запустить механизм детектирования отказов
• Идеально - объединить функций L2 PE и BNG в одном устройстве
Два варианта решения проблемы:
L2 PEDSLAM Карта 1
Карта 2
L2 PE
L2 PE
BNG
Единое устройство
EoMPLS
EoMPLS
PE
MPLS Traffic Engineering
83
PSN
L2 L2
MPLS-TERSVP-TE
MPLS-TERSVP-TE
MPLS-TERSVP-TE
MPLS-TERSVP-TE
P P
PP PE
MPLS-TEMPLS-TERSVP-TE
MPLS-TERSVP-TE
Запуск MPLS-TE предоставляет возможность:• Осуществлять балансировку нагрузки между маршрутами (UCLB)• Задавать предпочитаемый маршрут• Переключаться на резервный маршрут за время «менее 50 мс» (FRR)• Гарантировать качество обслуживания (RSVP-TE)
TE tunnel 2
Выводы
84
L2TPv3
Не требует запуск MPLS в сети IP
Не обеспечивает защиту от отказа LAC
Не может осуществлять балансировку нагрузки UCLB
Не может гарантировать QoS
EoMPLS
Требует запуск MPLS в сети IP
Обеспечивает защиту от отказа L2 PE
Может осуществлять балансировку UCLB (MPLS-TE)
Может гарантировать QoS (необходим запуск RSVP-TE)
Рекомендации
85
EoMPLS• Важна ли отказоустойчивость?• Нужны ли «50 мс»?• Нужен ли гарантированный QoS?
• Необходима ли балансировка нагрузки?
Функциональность
Сл
ож
но
сть
L2TPv3• Простота в угоду функциональности
86
Задача #3
Задача #3
87
Публичная сеть
PE
PE
PE
Клиент
• Задача Б - Обеспечить переключение клиентов с основного ЦОД на резервный
Модуль уд. доступа и VPN
Модуль уд. доступа и VPN
Резервный ЦОД
ОсновнойЦОД
• Задача А - Обеспечить синхронизацию между ЦОД
Синхронизация
Вариант решения задачи #3
88
Публичная сеть
PE
PE
PE
Клиент
• FHRP - механизм из мира ЛВС в модуле удаленного доступа и VPN
Модуль уд. доступа и VPN
Модуль уд. доступа и VPN
Резервный ЦОД
ОсновнойЦОД
• Синхронизация осуществляется через частную сеть
FHRP Частная сеть
• Multipoint L2 VPN между клиентом и шлюзами FHRP
Multipoint L2 VPN
Multipoint L2 VPN
89
VPLS
Поверх сети MPLS
• Ethernet AC
• BGP/LDP
• Hierarchical VPLS
Metro Ethernet
Поверх сети Ethernet
• 802.1ad, PB
• 802.1ah, PBB
• 802.1Qay, PBB-TE
90
Решение 1 задачи #3
Virtual Private LAN Services (VPLS)
VPLS
91
VPLS эмулирует Ethernet-сервис в IP/MPLS сети оператора
PSNAC Сеть
оператора
PE
PE
PE
Филиал
ЦОД 1
ЦОД 2
VPLS
IP/MPLS
IGP
VPLS - Control Plane
92
PE
Участник VPLS Green
Участник VPLS Red
Участник VPLS Green
Участник VPLS Red
PE
1. IGP в сети оператора (OSPF, IS-IS)
2. LDP в сети оператора
3. Полносвязная топология PW а следовательно и Targeted-LDP сессий для каждого сервиса L2 VPN!
CE
P P
PP
LDP
LDP
LDP
LDP
LDPLDP
Full-mesh Targeted LDP
VFI
VFI
VFI
VFI
CE
CE
CE
VPLS - Зачем нужна полносвязная топология?
93
• Ethernet использует STP для предотвращения образования петель
• VPLS не имеет такого механизма, поэтому предусматривает:
• Организацию полносвязной логической топологии MPLS PW
• Как следствие, полносвязная топология сессий Targeted-LDP
• Запуск механизма Split-Horizon
PE
PE
PE PE
PE
PE
CE
CE
Split-Horizon
Полносвязная логическая топология MPLS PW
для каждого сервиса L2 VPN
Hierarchical VPLS
94
• Вводится дополнительный уровень иерархии - уровень агрегирования
PSN
PE-rs
MTU-s
MTU-sCPE
CPE
PE-rs PE-rs
PE-rs
MTU-s
Уровень агрегирования
Отключен Split-Horizon
Full-mesh PW,Split-HorizonMTU-s
PW
PE-rs - Provider Edge, L2/L3MTU-s - Multi-tenant unit, L2
• На уровне агрегирования отключен механизм Split-Horizon
Опорная сеть
Hierarchical VPLS (прод.)
95
Связь между PE-rs и MTU-s трактуется как Attachment Circuit, поэтому правила Split-Horizon на нее не распространяются
PSN
PE-rs
MTU-s
MTU-sCPE
CPE
PE-rs PE-rs
PE-rs
MTU-s
Split-HorizonВключен для PE-rs
Отключен для MTU-rs
AC
AC
PW
Опорная сеть
Hierarchical VPLS - Уровень агрегирования
96
PSN
PE-rs
MTU-s
MTU-sCPE
CPE
PE-rs PE-rs
PE-rs
MTU-s
802.1q / EoMPLS VPLS
Уровень агрегирования
Уровень агрегирования
Опорная сеть
Для изоляции трафика разных L2 VPN на уровне агрегирования применим любой механизм организации L2-туннелей
AC
AC
802.1q / EoMPLS
PW
VPLS Blue
VPLS Blue
Пример: H-VPLS с 802.1q на уровне агрегир.
97
MTU-s
CPE
PE-rs
CPE
Уровень агрегирования
Опорная сеть
VPLSRed
VPLS Green
MTU-s
CPE
CPE
Eth. Frame
802.1q VLAN 30
Eth. Frame
VPNLabel
Tunnel Label
Eth. Frame
802.1q VLAN 10
Full-mesh PW
VLAN per VPLS
VLAN 20
VLAN 30
VPLS Blue
VPLS Blue
Нерешенная проблема в H-VPLS
98
MTU-s
CPE
PE-rs
CPE
Уровень агрегирования
Опорная сеть
VPLSRed
VPLS Green
MTU-s
CPE
CPE
Full-mesh PW
Проблема масштабируемости в Control Plane решается за счет ограничения масштабируемости Data Plane
Необходимо хранить большое количество MAC-адресов в PE-rs
MAC-адреса VPLS Blue
MAC-адреса VPLS RedMAC-адреса VPLS Green
99
Решение 2 задачи #3
802.1ad PB и 802.1ah PBB
Предпосылки появления Metro Ethernet
100
1. Тенденция перехода от L3 к L2
• MPLS - сложно и дорого
2. Зачем эмулировать Ethernet если можно использовать сам Ethernet?
Эволюция стандартов Ethernet
101
S-TAG
TAGEthertype0x0800, IPv4
SA
DA
Ethertype0x8100
SA
DA
C-TAG
Ethertype0x88a8
SA
DA
Payload Payload Payload
EthernetFrame
802.1q
802.1adProvider Bridges
• TAG - для идентификации VLAN
• S-TAG = Service Tag
• C-TAG = Customer Tag
Ethertype0x8100
VLA
NV
MA
N
802.1ad - Распределение меток
102
PSN
PE
PE
PE
S-TAG (VPN) = 125C-Tag = 25C-Tag = 30C-Tag = 35
C-Tag = 25C-Tag = 30C-Tag = 35
• S-TAG идентифицирует L2 VPN клиента в сети оператора
• С-TAG соответствует номеру VLAN клиента
Multi-VLAN VC
ЦОД 1
Филиал
ЦОД 2
802.1ad
103
Control Plane
• Spanning-tree protocol (STP) и его разновидности
• Механизмы Ethernet
• Flooding
• Learning
Data Plane
• Использование тегов для инкапсуляции
• Service-Tag (S-Tag)
• Customer-Tag (C-Tag)
802.1ad - Data Plane
104
L2C-Tag
2L2
S-Tag125
PSN
PE
PE
PE
Multi-VLAN AC
VLAN ID 2
L2VLAN ID
2
Максимально возможное количество значений S-Tag, а следовательно и L2 VPN = 4094
ЦОД 1
Филиал
ЦОД 2
802.1ad - Недостатки
105
Сетьклиента
Сеть провайдера
802.1adСеть
клиента
Сетьклиента
• Оператор хранит информацию обо всех MAC-адресах в сетях клиентов
• Устройства оператора и клиента образуют общий STP-домен
• Большое время сходимости (даже для RSTP)
• Неэффективное использование альтернативных маршрутов
• Изменения в сети клиента повлекут пересчет дерева STP в сети провайдера
STP-домен,Широковещательный домен
Отсутствует четкая граница между сетью провайдера и
сетью клиента
Решение проблем - 802.1ah
106
S-TAG
C-TAG
SA
DA
Payload
802.1adProvider Bridges
S-TAG
C-TAG
SA
DA
Payload
802.1ahProvider Backbone Bridges
B-VID
I-SID
B-SA
B-DA
I-SID = Service Instance VLAN ID
B-VID = Backbone VLAN ID
B-DA = Backbone DA
B-SA = Backbone SA
Альтернативное название MAC-in-MAC
24-bit
• B-VID позволяет разделять Backbone на сегменты (TE)
До
п. з
аго
ло
вок
Eth
ern
et
• 24-битное поле I-SID позволяет организовать 16 млн. L2 VPN
Достоинства 802.1ah
107
Сетьклиента
Сетьклиента
Сетьклиента
Четкая граница между сетью провайдера и сетями клиентов
• Безопасность: клиенты не обладают информацией о MAC-адресах в сети провайдера; MAC-адреса клиентов хранятся только на PE устройствах;
• Масштабируемость: разделение широковещательных и STP-доменов;
Четкая граница между сетью провайдера и
сетью клиента
802.1ah
UNI
UNI
UNI
MAC-адреса клиентов
MAC-адреса провайдера
Нерешенные проблемы
108
• Необходим переход к connection-oriented природе, что позволит:
• Гарантировать качество обслуживания
• Осуществлять Traffic Engineering
• IP уже прошел этот путь, получив MPLS в качестве «помощника»
• Ethernet тоже нуждается в таком «помощнике» ...
Обладая рядом достоинств, технология 802.1ah не ушла от использования STP и традиционных механизмов (flooding и learning) в
Control Plane, тем самым сохраняя connectionless природу Ethernet
109
802.1Qay PBB-TE
Традиционные механизмы Ethernet
110
• Learning - MAC-адрес отправителя фрейма добавляется в MAC-таблицу коммутатора
Связка MAC + VLAN ID
• VLAN ID определяет loop-free домен
• Адрес MAC однозначно определяет точку назначения в пределах домена
• Flooding - фрейм с неизвестным адресом назначения отправляется во всех направленияхМеханизмы хороши для
небольших сетей и неэффективны в
крупных сетях MAN
Control Plane
• STP - несет ответственность за организацию loop-free топологии
Data Plane
Если задавать loop-free домен вручную, тогда значение VLAN ID можно использовать для иных целей
802.1Qay - Переход от традиционных принципов
111
Туннели задаются вручную
• Исчезает необходимость использовать STP
• VLAN ID + MAC идентифицируют туннель
PE
VLAN 48
VLAN 50
Frame
DA = 2222.2222.2222
4 разных маршрута соответствуют одному
MAC-адресу
802.1Qay (PBB TE)
112
S-TAG
C-TAG
SA
DA
Payload
802.1ah PBB
B-VID
I-SID
B-SA
B-DA
• Коммутация осуществляется на базе информации MAC + VLAN (как и ранее)
B-VID - Определяет один из альтернативных маршрутов до места
назначения
B-DA - MAC-адрес точки назначения
• Отключаются традиционные механизмы
• Learning
• Flooding
• STP
Management Plane несет ответственность за обмен
необходимой информацией
802.1Qay - Management Plane
113
PSN
L2 L2
PE1 PE2P
P P
P
Protection path
DA: PE2VLAN 55
PBB-TE
DA: PE2VLAN 45
Management Plane
802.1Qay (PBB TE)
114
Control Plane
• Network Management System (NMS)
Data Plane (аналогичен 802.1ah)
• Дополнительный Ethernet-заголовок
• Использование тегов для инкапсуляции
• I-SID - идентифицирует L2 VPN
• B-VID - определяет туннель в сети оператора
802.1Qay - Выводы
115
• Гарантированный QoS на вдоль маршрута
• Балансировка нагрузки между маршрутами
• Быстрый переход на резервный маршрут (802.1ag)
Переход к connection-oriented природе с технологией 802.1Qay позволяет сетям Metro Ethernet выйти на новый уровень
• Возможность прокладывать статические маршруты
Metro Eth. vs VPLS - Выводы и рекомендации
116
Metro Ethernet
Native Ethernet
Необходима поддержка только на PE-устройствах
Балансировка нагрузки между маршрутами (PBB-TE)
Гарантированый QoS (PBB-TE)
VPLS
Эмуляция механизмов Ethernet (L2 over L3 over L2)
Необходима поддержка MPLS на всех устройствах
Балансировка нагрузки между маршрутами (MPLS-TE)
Гарантированный QoS (необходим запуск RSVP-TE)
Запуск четырех протоколов в Control Plane
117
QoS / Hierarchical QoS
Традиционная сеть без QoS
118
Площадка 1
CE 1
Площадка 2
Площадка 3
Сеть оператора
CE 2
CE 3
PE 1
PE 2
PE 3
Модель Best-Effort
• Негарантированная доставка
• Задержка может быть недопустимой
First-in-first-out (FIFO)
Сеть с QoS
119
Площадка 1
CE 1
Площадка 2
Площадка 3
Сеть IP/MPLS
CE 2
CE 3
PE 1
PE 2
PE 3
1. Packet Classification2. Congestion Avoidance
3. Congestion Management 4. Traffic Policing / Shaping
QoS
Недостатки традиционного QoS
120
PE 1
Участник 1VPN Green
Участник 1VPN Red
VPN Red
Участник 3VPN Green
Участник 2VPN Red
PE 2
Участник 2VPN Green
VPN Green
Традиционный QoS может управлять политиками качества обслуживания для каждого из участников, но не может
предоставлять QoS для всей VPN в целом (или наоборот)
1 уровень иерархии
2 уровень иерархии
Hierarchical QoS
121
Classifier
Service 1
Virtual Port 1
Service 2
Service 3
Virtual Port 2
S S
SS S
S S
Session Scheduler
VC Scheduler
VC Group Scheduler
VP Scheduler
Physical port Scheduler
IP Ethernet
• DSL Forum TR-059 определяет базовую модель H-QoS
• H-QoS поддерживает до 5 уровней иерархии
• На каждом уровне свой планировщик
S = Scheduler
Service 1
Service 2
Service 3
H-QoS на примере VPLS
122
PE
VFI GreenУчастник
VPLS Green
Участник VPLS Red
Участник VPLS Green
Участник VPLS Red
PE
Участник VPLS Green
L2 VPN Red
L2 VPN Green
3 уровня H-QoSна стороне CE
5 уровней H-QoSна стороне PE
H-QoS на стороне CE
123
Сессия
Логическийинтерфейс
Физический интерфейс
• Сессия
• Трафик участника VPN
• 8 очередей для 8 сервисов
• Логический интерфейс
• Каждому участнику VPN соответствует свой логический интерфейс
• Физический интерфейс
• Объединяет несколько логических интерфейсов
H-QoS на стороне PE
124
Физический интерфейс
Логическийинтерфейс
Туннель
Сессия
VPN
• Сессия
• Трафик участника VPN
• 8 очередей для 8 сервисов
• VPN
• VPN агрегирует трафик ряда участников
• Метка VPLS L2 VPN
• Туннель
• В туннеле циркулирует трафик принадлежащий разным VPN
• Метка MPLS LSP
• Логический интерфейс
• Объединяет несколько туннелей
• Физический интерфейс
125
Спасибо за внимание