VPN. Теория и реальность · 2017. 7. 27. · Layer 2 Layer 3 IPSec GRE Point-to-Point Multipoint MPLS VPN 802.1ad PB 802.1ah PBB 802.1Qay PBB-TE L2TPv3 VPWS (EoMPLS)

VPN. Теория и реальность

Василий Прокопов[email protected]

4 декабря 2009

Содержание

2

1. Классификация VPN

2. Layer 3 VPN

3. Layer 2 VPN

4. QoS/H-QoS

VPN = Virtual Private Network

3

P=Private

V=Virtual

Обеспечивает качество обслуживания

Обеспечивает управление составом участников

N=Network

Решает задачу обеспечения связности

4

VPNна любой вкус...

Классификация VPN

5

Virtual Private Networks(Site-to-Site)

Operator Provisioned Customer Provisioned

Layer 2 Layer 3 IPSec GRE

Point-to-Point Multipoint MPLS VPN

802.1ad PB802.1ah PBB

802.1Qay PBB-TE

L2TPv3 VPWS(EoMPLS)

VPLSH-VPLS

Выбор технологии зависит от:

1. Задачи, которую необходимо решить

2. Осведомленности заказчика

3. Возможностей оператора

Задача #1

6

Площадка 1 PSN

Площадка 2

Площадка 3

L3

L3

L3

PE

PE

PE

Сеть оператора Layer 3VPN

СE

СE

СE

Задача - организовать закрытую группу, объединив удаленные площадки клиента поверх сети оператора

7

Решение 1 задачи #1

MPLS VPN


8



Layer 2 VPN Layer 3 VPN IPSec GRE



802.1Qay PBB-TE

L2TPv3 VPWS(EoMPLS)

VPLSH-VPLS

IP

IGPДинамические маршруты

Предпосылки появления MPLS

9

PE PE

2. Хотелось перейти к использованию предустановленных маршрутов

1. Хотелось ускорить процесс коммутации пакетов

P P

PP

Обладателям сетей IP

MPLS VPN - Метка

10

Ethernet header

EXPLabel TTLS

DataIP

headerMPLS Label

Фрейм Ethernet

Метка MPLS

4 байта

• Служит для коммутации пакетов в сети MPLS

• Устанавливается между заголовками L2 и L3

• Label (20 бит) - метка MPLS

• EXP (3 бита) - используется механизмами QoS

• S (1 бит) - индикатор окончания стека меток

• TTL (8 бит) - время жизни пакета

IGP

MPLS VPN - Control Plane

11

PE

Участник VPN Green

Участник VPN Red

Участник VPN Green

Участник VPN Red

PE

1. IGP в сети оператора (OSPF, IS-IS)

2. LDP в сети оператора

4. MP-BGP между устройствами PE

CE

CE CE

CE

P P

PP

LDP

LDP

LDP

LDP

LDPLDP

MP-BGP

3. IGP между провайдером и клиентом

IGP

IGP IGP

IGP

VRF

VRF

VRF

VRF

Multiprotocol-BGP

12

8 байт 3 байта8 байт 4 байта

RD (Route Distinguisher)1:1

Label50

RT (Route Target)2:2

IPv4 10.0.0.1

VPNv4

• RD - делает адрес IPv4 уникальным во всей сети

• RT - определяет VRF в который будет установлен VPNv4 маршрут

• Каждому префиксу VPNv4 выделяется метка MPLS

Формат обновления MP-BGP:

MPLS VPN - Коммутация пакета

13

PSNL3

PE1

LSP 2

LSP 3

LSP 4

VRF Green

L3

VRF Red

VPNv4Label

LSP Label

Пакет L3

IP ?

Next-Hop = PE2

Участник VPLS Green

Участник VPLS Red S=0S=1

CE

CE

Кратчайший путь к PE2

MPLS VPN

14

Data Plane

Стек из двух меток для инкапсуляции

• Внешняя метка (Tunnel label) - определяет маршрут между PE (LSP)

• Внутренняя метка (VPNv4 label) - идентифицирует MPLS VPN

Control Plane

• Interior Gateway Protocol (IGP)

• Label Distribution Protocol (LDP)

• Обмен метками LSP между устройствами

• Multiprotocol-BGP (только между устройствами PE)

• Обмен VPNv4-маршрутами клиентов

PE

MPLS Traffic Engineering

15

Запуск MPLS-TE предоставляет возможность:• Задавать маршруты вручную• Осуществлять балансировку нагрузки между маршрутами (UCLB)• Гарантировать качество обслуживания (RSVP-TE)• Переключаться на резервный маршрут за время «менее 50 мс» (FRR)

PSN

L3 L3

TE tunnel 2

MPLS-TERSVP-TE

MPLS-TERSVP-TE

MPLS-TERSVP-TE

MPLS-TERSVP-TE

P P

PP PE

MPLS-TEMPLS-TERSVP-TE

MPLS-TERSVP-TE

Fast Reroute - Миф о 50-ти миллисекундах

16

Local protection

Path protection

Link protection

PE PE

Node protection

PE PE

PE

PE

50 мс 50 мс

> 50 мс

MPLS VPN - Выводы

17

Сложная и дорогостоящая технология:

1. Необходим запуск 4-х элементов в Control Plane

• IGP

• LDP

• MP-BGP

• RSVP-TE

2. MPLS и MPLS-TE должны поддерживаться на всех устройствах провайдера

3. Необходим запуск IGP между провайдером и клиентом для обмена маршрутами

18


IPsec VPN


19



Layer 2 VPN Layer 3 VPN IPSec GRE



802.1Qay PBB-TE

L2TPv3 VPWS(EoMPLS)

VPLSH-VPLS

Площадка 1

IPsec VPN

20

PSN

IPsec VPN Шлюз 1

Площадка 2

Площадка 3



IP-сеть

Сеть оператора

IPsec

IPsec

21

IPSec - это стандарт IETF, обеспечивающий:

• Конфиденциальность информации

• Проверку целостности передаваемых данных

• Аутентификацию источника сообщений

Включает в себя ряд открытых стандартов

• RFC 2401: Security Architecture for the Internet Protocol

• RFC 2402: IP Authentication Header (AH)

• RFC 2406: IP Encapsulating Security Payload (ESP)

• RFC 2409: The Internet Key Exchange (IKE)

• RFC 2631: Diffie-Hellman Key Agreement Method

• . . .

IPsec VPN

22

1. IPsec VPN - это в первую очередь технология организации туннелей в сети оператора

2. IPsec VPN обеспечивает:

• Целостность передаваемых данных


• Конфиденциальность информации (опционально)

Заголовок «Authentication Header»

23

L2 headerAH

headerIP

headerData

IPsec IP header

TCP/UDP header

L2 headerAH

headerIP

headerData

TCP/UDP header

AH, Транспортный режим

AH, Туннельный режим

Заголовок AH обеспечивает:

• Целостность передаваемой информации


• Защиту от повторной пересылки пакета

authenticated

authenticated

Заголовок «Encapsulating Security Payload»

24

L2 headerIPsec IP header

ESP header

IP header

TCP/UDP header

DataESP

trailerESP auth

L2 headerESP

headerIP

headerData

ESP trailer

ESP auth

TCP/UDP header

ESP, Транспортной режим

ESP, Туннельный режим authenticatedencrypted

authenticated

encrypted

Заголовок ESP обеспечивает:

• Целостность передаваемой информации


• Конфиденциальность передаваемой информации (DES, 3DES, AES)

IPsec VPN - Важные вопросы

25

1. Обмен ключевой информацией между участниками

2. Трансляция адресов NAT/PAT и IPsec

3. Маршрутизация и multicast в IPsec VPN

4. Отказоустойчивость IPsec VPN

5. Масштабируемость IPsec VPN

IPsec VPN - Обмен ключами

26

1. Статическое распределение ключей

• Конфигурирование ключей на каждом устройстве вручную

• Плохая масштабируемость

2. Динамическое распределение ключей (протокол IKE)

• Динамическое генерирование и обмен ключами

• Взаимная аутентификация участников IPsec VPN

• IKEv1 (RFC 2408, 2408, 2409)

• IKEv2 (RFC 4306) - основан на IKEv1 + NAT traversal

Площадка 1

Площадка 2

IKE - Internet Key Exchange, Фаза 1

27

Internet или Сеть оператора



Согласование параметров: алгоритм хеширования, алгоритм шифрования и метод аутентификации

Фаза 1, цель - создать защищенный канал для дальнейшего согласования параметров безопасности IPsec VPN на фазе 2

Обмен открытыми ключами (DH), согласование сессионного ключа для симметричного шифрования

Взаимная аутентификация

2 Сообщения



Методы аутентификации устройств IPsec VPN

28

1. Заранее согласованные ключи (Preshared keys)

• Ключи конфигурируются заранее на всех устройствах

• Отсутствует механизм обновления ключей

• Ограниченная масштабируемость

• Проблема «n (n - 1) /2»

2. Цифровые сертификаты (Digital certificates)

• Необходима организация Public Key Infrastructure (PKI)

• Участники IPsec VPN обмениваются своими цифровыми сертификатами, выданными Центром Сертификации (ЦС)

• Открытые ключи и сертификаты обновляются динамически

Internet Key Exchange, Фаза 2

29

Площадка 1

Площадка 2


IPsec VPN Gateway 1

IPsec VPN Gateway 2

Согласование параметров: алгоритм хеширования, алгоритм шифрования и инкапсуляция

Фаза 2, цель - согласовать параметры IPsec между участниками


Обмен ключами - Рекомендации

30

• Организовать инфраструктуру PKI

• Создать Центр Сертификации (ЦС)

• Определить срок действия сертификатов X.509

• Запустить механизм отзыва сертификатов X.509

• Certificate Revocation List (CRL)

• Online Certificate Status Protocol (OCSP)

• Настроить устройства IPsec VPN для автоматического обновления ключей и получения цифровых сертификатов

• Simple Certificate Enrollment Protocol (SCEP)

Рекомендации по безопасному обмену ключами в IPsec:

IPsec VPN - Проблемы

31






IPsec VPN - Трансляция адресов

32

Площадка 1

Площадка 2


IPsec VPN Gateway 1

IPsec VPN Gateway 2

NAT/PAT

Туннель IPsec

L2IP

80.94.224.32IP

10.0.0.1L2

При прохождении пакета IPsec через устройство NAT/PAT меняется содержимое полей заголовка IP (возможно также UDP/TCP)

Заголовок «Authentication Header»

33

L2 headerAH

headerIP

headerData

IPsec IP header

TCP/UDP header

L2 headerAH

headerIP

headerData

TCP/UDP header

AH, Транспортный режим

AH, Туннельный режим

Заголовки IP и TCP/UDP включены в проверку целостности:

• Если эти заголовки будут изменены на пути следования, то IPsec пакет не пройдет проверку целостности в точке назначения

• Трансляция адресов NAT/PAT осуществляться не может

authenticated

authenticated

Заголовок «Encapsulating Security Payload»

34


ESP header

IP header

TCP/UDP header

DataESP

trailerESP auth

L2 headerESP

headerIP

headerData

ESP trailer

ESP auth

TCP/UDP header

ESP, Транспортной режим

ESP, Туннельный режим

Заголовки TCP/UDP зашифрованы:

• Транспортный режим: невозможно изменить поля Checksum в заголовках TCP/UDP, поэтому после трансляции пакет не пройдет проверку целостности

• Туннельный режим: трансляцию PAT осуществлять невозможно

authenticated

encrypted

authenticated

encrypted

NAT traversal

35

• Технология NAT traversal позволяет осуществлять трансляцию NAT/PAT на пути следования IPsec-пакета

• При трансляции PAT меняется новый заголовок UDP

• Оригинальный заголовок UDP остается без изменений

Дополнительныйзаголовок UDP

L2 headerESP

headerIP

headerData

ESP trailer

ESP auth

TCP/UDP header

ESP, Транспортный режим

authenticated

encrypted

L2 headerESP

headerIP

headerData

ESP trailer

ESP auth

TCP/UDP header

UDP header

authenticated

encrypted

NAT traversal (прод.)

36

Площадка 1

Площадка 2


IPsec VPN Gateway 1

IPsec VPN Gateway 2

NAT/PAT

Vendor ID

NAT-D

IKE фаза 1

• NAT Support: участники IPsec VPN обмениваются информацией о поддержке NAT/PAT и согласовывают режим работы

Vendor ID

NAT-D

NAT Support

NAT Existence

• NAT Existence: участники IPsec VPN проверяют осуществляется ли трансляция адресов на пути следования пакетов IPsec

NAT traversal - Рекомендации

37

• Использовать NAT/PAT-совместимые IPsec устройства

• Использовать ESP вместо AH

• Использовать туннельный режим ESP при трансляции PAT

• По возможности, осуществлять трансляцию до входа в туннель IPsec

Рекомендации по обеспечению свободного прохождения IPsec пакетов через устройства трансляции:


38






Маршрутизация и multicast в IPsec VPN

39

• IPsec по природе является технологией point-to-point

• IPsec осуществляет транспортировку только IP unicast-трафика

• IPsec не позволяет осуществлять транспортировку и защиту трафика протоколов, отличных от IP

Площадка 1

Площадка 2

Internet или сеть оператора

Gateway 1 Gateway 2IPsec туннель

IP unicast

IP multicast

Non-IP traffic

GRE over IPsec

40

Площадка 1

Площадка 2


Gateway 1 Gateway 2

IPsec туннель

IP unicast

IP multicast

Non-IP traffic

GRE

Использование GRE открывает возможность:

• Осуществлять транспортировку IP multicast-трафика в IPsec VPN

• Использовать протоколы динамической маршрутизации в IPsec VPN

• Осуществлять транспортировку и защиту трафика non-IP протоколов


41






IPsec VPN - Отказоустойчивость

42

Площадка 1

IPsec VPN HUB

Площадка 2

Площадка 3

IPsec VPN Spoke 1

IPsec VPN Spoke 2

Топология «Hub-and-Spoke»

Точка отказа

• С применением технологии VRRP

• С применением технологии GRE

Два механизма обеспечения отказоустойчивости:

IPsec


Отказоустойчивость IPsec - VRRP Stateless

43

Площадка 2


Hub 1

SpokeHub 2

VRRP

IKE keepalive (10 sec)

• Необходим рестарт IPsec-соединения

• Потеря трафика при переключении

• Детектирование отказа осуществляется средствами IKE


VR

Отказоустойчивость IPsec - VRRP Stateless

44

Площадка 2


Spoke

VR

VRRP

IKE keepalive (10 sec)

1. IPsec-соединение активно между Spoke и Hub 1 (active VRRP node)


10.0.0.1

.254

10.0.0.2

2. Hub 1 выходит из строя и его место занимает Hub 2

3. Hub 2 не имеет информации о туннелях IPsec и не отвечает на IKE-запросы, поэтому Spoke терминирует IPsec-соединение

4. Spoke инициирует новое IPsec-соединение к Hub 2 (10.0.0.254)

Hub 1

Hub 2

Отказоустойчивость IPsec - VRRP Stateful

45

• Рестарт IPsec-соединения не требуется

• Нет потери трафика при переключении

• Копирование информации о состоянии

• Stateful Switchover (SSO) - для многих протоколов

• State Synchronization Protocol (SSP) - только для IPsec

Площадка 2


Spoke

VRRP IPsec туннель

VR

SSO/SSPIKE keepalive (10 sec)

Hub 1

Hub 2

Отказоустойчивость IPsec - VRRP Stateful

46

Площадка 2


Spoke

VRRP IPsec туннель

VR

SSO/SSPIKE keepalive (10 sec)

Hub 1

Hub 2

1. IPsec-соединение активно между Spoke и Hub 1 (active VRRP node)

2. Hub 1 выходит из строя и его место занимает Hub 2

3. Информация о состоянии туннелей IPsec скопирована на Hub 2

4. IPsec-соединение по прежнему активно, однако теперь IPsec-пакеты проходят между Spoke и Hub 2

Инф. о состоянии

Инф. о состоянии

Отказоустойчивость IPsec - Другой подход

47


Hub 1(Master)

Spoke

Hub 2


Отказоустойчивый кластер

Hub 3

• Шлюзы IPsec формируют отказоустойчивый кластер

• Master распределяет трафик IPsec между участниками кластера

• При отказе Master:

• Информация о состоянии туннеля сохраняется в кластере

• Туннель IPsec сохраняет работоспособность

• Роль Master берет на себя другое устройство кластера

Отказоустойчивость IPsec - Технология GRE

48

Площадка 2


Hub 1

SpokeHub 2

• Необходим запуск GRE и динамической маршрутизации

• Два GRE/IPsec-соединения в режиме Active-Active

• Нет потери трафика при переключении

• Детектирование отказа и переключение на резервное соединение осуществляется протоколом маршрутизации

Протокол маршрутизации

GRE/IPsec туннель


Отказоустойчивость IPsec - Технология GRE

49

Площадка 2


Hub 1

SpokeHub 2

Дополнительные возможности:

• Балансировка нагрузки

• Асимметричная маршрутизация



Площадка 2


Hub 1

SpokeHub 2

Приоритетный туннель GRE/IPsec


Входящий трафикИсходящий трафик

IPsec VPN - Качество обслуживания

50

Транспортный режим

• Для обеспечения качества обслуживания используется информация оригинального заголовка IP (поле ToS/DS)

Туннельный режим

• Информация о необходимом уровне QoS копируется из оригиналь-ного заголовка IP в новый заголовок


ESP header

IP header

TCP/UDP header

DataESP

trailerESP auth

L2 headerESP

headerIP

headerData

ESP trailer

ESP auth

TCP/UDP header

ESP, Транспортный режим

ESP, Туннельный режим authenticatedencrypted

authenticated

encrypted

IPsec VPN - Качество обслуживания (прод.)

51

Площадка 1


WAN Router

IPsecGateway

Access Router

ShapingPolicingQueuing

МаркировкаQoS

Шифрование IPsec

Единое устройство или набор устройств


Функциональность QoS можно вынести за пределы IPsec-устройства с целью повышения производительности


52






IPsec VPN - Масштабируемость

53

Площадка 1

Шлюз 1

Площадка 3

Площадка 4Площадка

5

Площадка 2

Для организации полносвязной топологии при построении IPsecVPN необходимо организовать n (n-1) / 2 соединений

Шлюз 2

Шлюз 3

Шлюз 4Шлюз 5

Group Encrypted Transport (GET) VPN

54

Площадка 1

Площадка 3

Площадка 4

• Tunnel-less IPsec VPN• Концепция «доверенной группы»• Каждый член группы может расшифровать любой пакет GET VPN

Площадка 5

Площадка 2

GET VPN

Шлюз 1

Шлюз 2

Шлюз 3

Шлюз 4Шлюз 5

GET VPN - Инкапсуляция

55

L2 headerESP

headerIP

headerTCP/UDP header

DataESP

trailerESP auth

GET VPN

Оригинальный IP заголовок сохраняется

• Исчезает понятие «туннель» а вместе с ним и p2p ориентация

• Native Routing вместо Overlay Routing

• Как следствие - отсутствуют проблемы с multicast-трафиком

L2 headerNEW IP header

ESP header

IP header

TCP/UDP header

DataESP

trailerESP auth

ESP, Туннельный режим

IP header

Копирование заголовка

GET VPN - Роли устройств

56

GM

KS

GET VPN

Data Plane

Data Plane Data Plane

Data Plane

Control Plane

GM GM

GM

KS = Key ServerGM = Group Member


57

Key Server (Control Plane)

• Определяет и хранит групповую политику безопасности:

• Методы аутентификации

• Алгоритмы шифрования и хеширования

• ACL определяющие «интересный» трафик

• Таймеры обновления ключей

• Распространяет и обновляет ключи

• Отправляет конфигурацию в каждый GM

Group Member (Data Plane)

• Получает конфигурацию от KS

• Инкапсулирует и шифрует трафик GET VPN


58

GM

KS

Data Plane

Data Plane Data Plane

Data Plane

Control Plane

GM GM

GM

KEK = Key Encryption KeyTEK = Transport Encryption Key

KS распространяет ключи KEK и TEK между членами группы

GET VPN - Выводы

59

Преимущества GET VPN перед традиционным IPsec VPN:

• За счет миграции к tunnel-less архитектуре

• Решена проблема масштабируемости

• Решена проблема репликации multicast-трафика

• Групповое управление политиками безопасности и ключами

• Интегрированный механизм распространения и обновления ключей

VPN. Теория и реальностьЧасть 2

Василий Прокопов[email protected]

4 декабря 2009

Задача #2

62

Сеть IP или MPLS

192.168.0.x /24 192.168.0.x /24

• Обеспечить L2-связность между двумя площадками

• Соединение точка-точка (point-to-point)

L2-связность

L2L2

Площадка 1 Площадка 2


63

Layer 2 VPN

Point-to-Point Multipoint


802.1Qay PBB-TE

L2TPv3 VPWS(EoMPLS)

VPLSH-VPLS

Point-to-Point L2 VPN

64

Поверх сети IP

• Ethernet AC• Frame Relay AC• ATM AC• PPP AC

L2TP = Layer 2 Tunneling ProtocolVPWS = Virtual Private Wire ServicesAC = Attachment Circuit

Поверх сети MPLS

• Ethernet (EoMPLS)• Frame Relay AC• ATM AC• PPP AC

VPWSL2TPv3

65

Вариант 1 решения задачи #1

L2TPv3

L2TPv3

66

L2TPv3 туннель

AC VC VC AC

• AC = Attachment Circuit

• VC = Virtual Circuit

L2 L2

LAC LAC

• LAC = L2TP Access Concentrator

L2TP Control Channel

L2TP Data Channel

Сеть IP

192.168.0.x /24 192.168.0.x /24


L2TPv3

67

Control Plane

• L2TP Control Channel (опционально)

• Динамическое установление L2TPv3 туннелей

• Мониторинг состояния туннелей для детектирования отказа

Data Plane

• 2 заголовка для инкапсуляции

• IP Header (PID = 115)

• Data Channel Header

• Session ID для идентификации VC

• Cookie (опционально)

L2TPv3 - Data Plane

68

Площадка 1

L2 L2

LAC LACL2TP Control Channel

L2TP Data Channel

L2 FrameIP Hdr

PID=115Data Channel

Hdr

Session ID (VC)Cookie

L2 Frame L2 Frame

192.168.0.x /24 192.168.0.x /24


69

Проблемы при использовании L2TPv3

5. Как следствие, усложняется задача обеспечения качества обслуживания вдоль маршрута

1. Не обеспечивается конфиденциальность

2. Не обеспечивается отказоустойчивость

3. Отсутствуют механизмы прокладки статического маршрута в сети оператора

4. Маршрут выбирается динамически протоколом маршрутизации

L2TPv3 - Конфиденциальность

70

• L2TP over IPsec обеспечивает защищенный L2 VPN-сервис

PSN

L2TPv3 туннель

AC AC

L2 L2

LAC LAC

IPsec туннельVC VC

192.168.0.x /24 192.168.0.x /24


Сеть IP

• Увеличивается объем служебной информации

• IPsec увеличивает нагрузку на LAC, снижая его производительность

L2TPv3 - Выбор маршрута

71

PSN

L2 L2LAC LAC

OSPF IS-IS

OSPF IS-IS

OSPF IS-IS

OSPF IS-IS

OSPF IS-IS

OSPF IS-IS

• Усложняется задача обеспечения QoS вдоль динамического маршрута

• Отсутствуют механизмы ручной прокладки маршрута

• Маршрут выбирается динамически, протоколом маршрутизации

• Нет возможности осуществлять балансировку нагрузки между неравноценными маршрутами

L2TPv3 - Качество обслуживания

72

L2TPv3 Hdr

IP Hdr(ToS = 160)

L2 FrameIP Hdr (ToS = 160)

L2 FrameIP Hdr (ToS =160)

pseudowire-class l2tpv3.pwip tos reflect

LAC

1. Сохранение оригинальной маркировки QoS:

L2TPv3

L2 Frame L2TPv3

HdrIP Hdr

(ToS = 160)L2 Frame

pseudowire-class l2tpv3.pwip tos value 160

LAC

2. Перемаркировка всех L2TPv3 пакетов:

L2TPv3

L2TPv3 - Качество обслуживания (прод.)

73

L2TPv3 Hdr

IP Hdr(DSCP = 46)

L2 FrameIP Hdr (Src: 10.3.0.5)

access-list 1 permit 10.3.0.0 0.0.0.255

class-map l2tpv3.netmatch access-group 1

policy-map l2tpv3.polclass l2tpv3.netset ip dscp tunnel 46

interface FastEthernet0/0service-policy input l2tpv3.pol

LAC

L2 FrameIP Hdr (Src: 10.3.0.5)

3. Маркировка определенных L2TPv3 пакетов:

L2TPv3

L2TPv3 - Отказоустойчивость туннеля

74

PSN

LAC

LAC

ФилиалЦентр

L2 AC

LAC

• Отказ устройства в облаке влечет за собой отказ туннеля 1

L2 AC

L2 AC

L2TPv3

XТуннель 2

IGP

Туннель 1

• Протокол маршрутизации автоматически проложит туннель 2 в обход отказавшего устройства

• Для клиента ситуация обернется кратковременной потерей пакетов

L2TPv3 - Отказоустойчивость LAC

75

LAC

LAC

ФилиалЦентр

L2 AC

LAC

• Отсутствует возможность автоматически парировать отказ LAC

L2 AC

L2 AC

• Клиент не сможет передавать данные при отказе LAC

• В отказоустойчивом сценарии необходимо иметь 2 LAC в филиале

L2TPv3

IGP

Туннель 1

XНеобходимо вручную

конфигурировать новое соединение L2TPv3

76

Вариант 2 решения задачи #1

VPWS (EoMPLS)

Ethernet over MPLS

77

Отличие технологии EoMPLS от L2TPv3 в том, что сервис L2 VPN предоставляется поверх сети MPLS

EoMPLS-сервис

MPLS Pseudowire

PE = Provider Edge

L2 L2

L2 PE L2 PETargeted LDP

Туннель MPLS

192.168.0.x /24 192.168.0.x /24

Площадка 1 Площадка 2IP/MPLS

EoMPLS

78

Control Plane

• Targeted LDP обеспечивает генерацию и обмен метками VPN между PE-устройствами

Data Plane

• 2 метки для инкапсуляции

• Внешняя метка (Tunnel Label)

• Определяет маршрут между PE-устройствами (LSP)

• Внутренняя метка (VPN Label)

• Идентифицирует MPLS PW

EoMPLS

79

AC

L2 PE L2PEP

P P

PТуннель MPLS

L2

VPN Label

L2Tunnel Label B

VPN Label

L2

L2

AC

VPN Label

L2Tunnel Label A

Targeted LDP

LDP LDP

EoMPLS - Отказоустойчивость

80

EoMPLSL2 PEФилиал

Центр

L2EoMPLS

L2

L2

X

• Парирование отказа PE-устройства

• Режим 1:1 или 1:N

• Режим Active-Standby

ОсновнойL2 PE

РезервныйL2 PE

EoMPLS - Отказоустойчивость: пример

81

L2 PEDSLAMBNG

Соединения PPPoE

3. Переход на резервное соединение EoMPLS не осуществляется, что приводит к блокировке трафика

1. Основной линейный модуль BNG теряет способность обрабатывать соединения PPPoE; BNG переходит на резервный модуль

2. Порт в направлении PE остается в активном состоянии

Карта 1X

Карта 2

Линия в активном состоянии

EoMPLS

EoMPLS

Блокировка трафика

ОсновнойL2 PE

РезервныйL2 PE

EoMPLS - Отказоустойчивость: пример

82

• Допустимо - запустить механизм детектирования отказов

• Идеально - объединить функций L2 PE и BNG в одном устройстве

Два варианта решения проблемы:

L2 PEDSLAM Карта 1

Карта 2

L2 PE

L2 PE

BNG

Единое устройство

EoMPLS

EoMPLS

PE

MPLS Traffic Engineering

83

PSN

L2 L2

MPLS-TERSVP-TE

MPLS-TERSVP-TE

MPLS-TERSVP-TE

MPLS-TERSVP-TE

P P

PP PE

MPLS-TEMPLS-TERSVP-TE

MPLS-TERSVP-TE

Запуск MPLS-TE предоставляет возможность:• Осуществлять балансировку нагрузки между маршрутами (UCLB)• Задавать предпочитаемый маршрут• Переключаться на резервный маршрут за время «менее 50 мс» (FRR)• Гарантировать качество обслуживания (RSVP-TE)

TE tunnel 2

Выводы

84

L2TPv3

Не требует запуск MPLS в сети IP

Не обеспечивает защиту от отказа LAC

Не может осуществлять балансировку нагрузки UCLB

Не может гарантировать QoS

EoMPLS

Требует запуск MPLS в сети IP

Обеспечивает защиту от отказа L2 PE

Может осуществлять балансировку UCLB (MPLS-TE)

Может гарантировать QoS (необходим запуск RSVP-TE)

Рекомендации

85

EoMPLS• Важна ли отказоустойчивость?• Нужны ли «50 мс»?• Нужен ли гарантированный QoS?

• Необходима ли балансировка нагрузки?

Функциональность

Сл

ож

но

сть

L2TPv3• Простота в угоду функциональности

86

Задача #3

Задача #3

87

Публичная сеть

PE

PE

PE

Клиент

• Задача Б - Обеспечить переключение клиентов с основного ЦОД на резервный

Модуль уд. доступа и VPN


Резервный ЦОД

ОсновнойЦОД

• Задача А - Обеспечить синхронизацию между ЦОД

Синхронизация

Вариант решения задачи #3

88

Публичная сеть

PE

PE

PE

Клиент

• FHRP - механизм из мира ЛВС в модуле удаленного доступа и VPN



Резервный ЦОД

ОсновнойЦОД

• Синхронизация осуществляется через частную сеть

FHRP Частная сеть

• Multipoint L2 VPN между клиентом и шлюзами FHRP

Multipoint L2 VPN

Multipoint L2 VPN

89

VPLS

Поверх сети MPLS

• Ethernet AC

• BGP/LDP

• Hierarchical VPLS

Metro Ethernet

Поверх сети Ethernet

• 802.1ad, PB

• 802.1ah, PBB

• 802.1Qay, PBB-TE

90


Virtual Private LAN Services (VPLS)

VPLS

91

VPLS эмулирует Ethernet-сервис в IP/MPLS сети оператора

PSNAC Сеть

оператора

PE

PE

PE

Филиал

ЦОД 1

ЦОД 2

VPLS

IP/MPLS

IGP

VPLS - Control Plane

92

PE


Участник VPLS Red



PE

1. IGP в сети оператора (OSPF, IS-IS)

2. LDP в сети оператора

3. Полносвязная топология PW а следовательно и Targeted-LDP сессий для каждого сервиса L2 VPN!

CE

P P

PP

LDP

LDP

LDP

LDP

LDPLDP

Full-mesh Targeted LDP

VFI

VFI

VFI

VFI

CE

CE

CE

VPLS - Зачем нужна полносвязная топология?

93

• Ethernet использует STP для предотвращения образования петель

• VPLS не имеет такого механизма, поэтому предусматривает:

• Организацию полносвязной логической топологии MPLS PW

• Как следствие, полносвязная топология сессий Targeted-LDP

• Запуск механизма Split-Horizon

PE

PE

PE PE

PE

PE

CE

CE

Split-Horizon

Полносвязная логическая топология MPLS PW

для каждого сервиса L2 VPN

Hierarchical VPLS

94

• Вводится дополнительный уровень иерархии - уровень агрегирования

PSN

PE-rs

MTU-s

MTU-sCPE

CPE

PE-rs PE-rs

PE-rs

MTU-s

Уровень агрегирования

Отключен Split-Horizon

Full-mesh PW,Split-HorizonMTU-s

PW

PE-rs - Provider Edge, L2/L3MTU-s - Multi-tenant unit, L2

• На уровне агрегирования отключен механизм Split-Horizon

Опорная сеть

Hierarchical VPLS (прод.)

95

Связь между PE-rs и MTU-s трактуется как Attachment Circuit, поэтому правила Split-Horizon на нее не распространяются

PSN

PE-rs

MTU-s

MTU-sCPE

CPE

PE-rs PE-rs

PE-rs

MTU-s

Split-HorizonВключен для PE-rs

Отключен для MTU-rs

AC

AC

PW


Hierarchical VPLS - Уровень агрегирования

96

PSN

PE-rs

MTU-s

MTU-sCPE

CPE

PE-rs PE-rs

PE-rs

MTU-s

802.1q / EoMPLS VPLS




Для изоляции трафика разных L2 VPN на уровне агрегирования применим любой механизм организации L2-туннелей

AC

AC

802.1q / EoMPLS

PW

VPLS Blue

VPLS Blue

Пример: H-VPLS с 802.1q на уровне агрегир.

97

MTU-s

CPE

PE-rs

CPE



VPLSRed

VPLS Green

MTU-s

CPE

CPE

Eth. Frame

802.1q VLAN 30

Eth. Frame

VPNLabel

Tunnel Label

Eth. Frame

802.1q VLAN 10

Full-mesh PW

VLAN per VPLS

VLAN 20

VLAN 30

VPLS Blue

VPLS Blue

Нерешенная проблема в H-VPLS

98

MTU-s

CPE

PE-rs

CPE



VPLSRed

VPLS Green

MTU-s

CPE

CPE

Full-mesh PW

Проблема масштабируемости в Control Plane решается за счет ограничения масштабируемости Data Plane

Необходимо хранить большое количество MAC-адресов в PE-rs

MAC-адреса VPLS Blue

MAC-адреса VPLS RedMAC-адреса VPLS Green

99


802.1ad PB и 802.1ah PBB

Предпосылки появления Metro Ethernet

100

1. Тенденция перехода от L3 к L2

• MPLS - сложно и дорого

2. Зачем эмулировать Ethernet если можно использовать сам Ethernet?

Эволюция стандартов Ethernet

101

S-TAG

TAGEthertype0x0800, IPv4

SA

DA

Ethertype0x8100

SA

DA

C-TAG

Ethertype0x88a8

SA

DA

Payload Payload Payload

EthernetFrame

802.1q

802.1adProvider Bridges

• TAG - для идентификации VLAN

• S-TAG = Service Tag

• C-TAG = Customer Tag

Ethertype0x8100

VLA

NV

MA

N

802.1ad - Распределение меток

102

PSN

PE

PE

PE

S-TAG (VPN) = 125C-Tag = 25C-Tag = 30C-Tag = 35

C-Tag = 25C-Tag = 30C-Tag = 35

• S-TAG идентифицирует L2 VPN клиента в сети оператора

• С-TAG соответствует номеру VLAN клиента

Multi-VLAN VC

ЦОД 1

Филиал

ЦОД 2

802.1ad

103

Control Plane

• Spanning-tree protocol (STP) и его разновидности

• Механизмы Ethernet

• Flooding

• Learning

Data Plane

• Использование тегов для инкапсуляции

• Service-Tag (S-Tag)

• Customer-Tag (C-Tag)

802.1ad - Data Plane

104

L2C-Tag

2L2

S-Tag125

PSN

PE

PE

PE

Multi-VLAN AC

VLAN ID 2

L2VLAN ID

2

Максимально возможное количество значений S-Tag, а следовательно и L2 VPN = 4094

ЦОД 1

Филиал

ЦОД 2

802.1ad - Недостатки

105

Сетьклиента

Сеть провайдера

802.1adСеть

клиента


• Оператор хранит информацию обо всех MAC-адресах в сетях клиентов

• Устройства оператора и клиента образуют общий STP-домен

• Большое время сходимости (даже для RSTP)

• Неэффективное использование альтернативных маршрутов

• Изменения в сети клиента повлекут пересчет дерева STP в сети провайдера

STP-домен,Широковещательный домен

Отсутствует четкая граница между сетью провайдера и

сетью клиента

Решение проблем - 802.1ah

106

S-TAG

C-TAG

SA

DA

Payload

802.1adProvider Bridges

S-TAG

C-TAG

SA

DA

Payload

802.1ahProvider Backbone Bridges

B-VID

I-SID

B-SA

B-DA

I-SID = Service Instance VLAN ID

B-VID = Backbone VLAN ID

B-DA = Backbone DA

B-SA = Backbone SA

Альтернативное название MAC-in-MAC

24-bit

• B-VID позволяет разделять Backbone на сегменты (TE)

До

п. з

аго

ло

вок

Eth

ern

et

• 24-битное поле I-SID позволяет организовать 16 млн. L2 VPN

Достоинства 802.1ah

107




Четкая граница между сетью провайдера и сетями клиентов

• Безопасность: клиенты не обладают информацией о MAC-адресах в сети провайдера; MAC-адреса клиентов хранятся только на PE устройствах;

• Масштабируемость: разделение широковещательных и STP-доменов;

Четкая граница между сетью провайдера и

сетью клиента

802.1ah

UNI

UNI

UNI

MAC-адреса клиентов

MAC-адреса провайдера

Нерешенные проблемы

108

• Необходим переход к connection-oriented природе, что позволит:

• Гарантировать качество обслуживания

• Осуществлять Traffic Engineering

• IP уже прошел этот путь, получив MPLS в качестве «помощника»

• Ethernet тоже нуждается в таком «помощнике» ...

Обладая рядом достоинств, технология 802.1ah не ушла от использования STP и традиционных механизмов (flooding и learning) в

Control Plane, тем самым сохраняя connectionless природу Ethernet

109

802.1Qay PBB-TE

Традиционные механизмы Ethernet

110

• Learning - MAC-адрес отправителя фрейма добавляется в MAC-таблицу коммутатора

Связка MAC + VLAN ID

• VLAN ID определяет loop-free домен

• Адрес MAC однозначно определяет точку назначения в пределах домена

• Flooding - фрейм с неизвестным адресом назначения отправляется во всех направленияхМеханизмы хороши для

небольших сетей и неэффективны в

крупных сетях MAN

Control Plane

• STP - несет ответственность за организацию loop-free топологии

Data Plane

Если задавать loop-free домен вручную, тогда значение VLAN ID можно использовать для иных целей

802.1Qay - Переход от традиционных принципов

111

Туннели задаются вручную

• Исчезает необходимость использовать STP

• VLAN ID + MAC идентифицируют туннель

PE

VLAN 48

VLAN 50

Frame

DA = 2222.2222.2222

4 разных маршрута соответствуют одному

MAC-адресу

802.1Qay (PBB TE)

112

S-TAG

C-TAG

SA

DA

Payload

802.1ah PBB

B-VID

I-SID

B-SA

B-DA

• Коммутация осуществляется на базе информации MAC + VLAN (как и ранее)

B-VID - Определяет один из альтернативных маршрутов до места

назначения

B-DA - MAC-адрес точки назначения

• Отключаются традиционные механизмы

• Learning

• Flooding

• STP

Management Plane несет ответственность за обмен

необходимой информацией

802.1Qay - Management Plane

113

PSN

L2 L2

PE1 PE2P

P P

P

Protection path

DA: PE2VLAN 55

PBB-TE

DA: PE2VLAN 45

Management Plane

802.1Qay (PBB TE)

114

Control Plane

• Network Management System (NMS)

Data Plane (аналогичен 802.1ah)

• Дополнительный Ethernet-заголовок

• Использование тегов для инкапсуляции

• I-SID - идентифицирует L2 VPN

• B-VID - определяет туннель в сети оператора

802.1Qay - Выводы

115

• Гарантированный QoS на вдоль маршрута

• Балансировка нагрузки между маршрутами

• Быстрый переход на резервный маршрут (802.1ag)

Переход к connection-oriented природе с технологией 802.1Qay позволяет сетям Metro Ethernet выйти на новый уровень

• Возможность прокладывать статические маршруты

Metro Eth. vs VPLS - Выводы и рекомендации

116

Metro Ethernet

Native Ethernet

Необходима поддержка только на PE-устройствах

Балансировка нагрузки между маршрутами (PBB-TE)

Гарантированый QoS (PBB-TE)

VPLS

Эмуляция механизмов Ethernet (L2 over L3 over L2)

Необходима поддержка MPLS на всех устройствах

Балансировка нагрузки между маршрутами (MPLS-TE)

Гарантированный QoS (необходим запуск RSVP-TE)

Запуск четырех протоколов в Control Plane

117

QoS / Hierarchical QoS

Традиционная сеть без QoS

118

Площадка 1

CE 1

Площадка 2

Площадка 3

Сеть оператора

CE 2

CE 3

PE 1

PE 2

PE 3

Модель Best-Effort

• Негарантированная доставка

• Задержка может быть недопустимой

First-in-first-out (FIFO)

Сеть с QoS

119

Площадка 1

CE 1

Площадка 2

Площадка 3

Сеть IP/MPLS

CE 2

CE 3

PE 1

PE 2

PE 3

1. Packet Classification2. Congestion Avoidance

3. Congestion Management 4. Traffic Policing / Shaping

QoS

Недостатки традиционного QoS

120

PE 1

Участник 1VPN Green

Участник 1VPN Red

VPN Red


Участник 2VPN Red

PE 2


VPN Green

Традиционный QoS может управлять политиками качества обслуживания для каждого из участников, но не может

предоставлять QoS для всей VPN в целом (или наоборот)

1 уровень иерархии

2 уровень иерархии

Hierarchical QoS

121

Classifier

Service 1

Virtual Port 1

Service 2

Service 3

Virtual Port 2

S S

SS S

S S

Session Scheduler

VC Scheduler

VC Group Scheduler

VP Scheduler

Physical port Scheduler

IP Ethernet

• DSL Forum TR-059 определяет базовую модель H-QoS

• H-QoS поддерживает до 5 уровней иерархии

• На каждом уровне свой планировщик

S = Scheduler

Service 1

Service 2

Service 3

H-QoS на примере VPLS

122

PE

VFI GreenУчастник

VPLS Green




PE


L2 VPN Red

L2 VPN Green

3 уровня H-QoSна стороне CE

5 уровней H-QoSна стороне PE

H-QoS на стороне CE

123

Сессия

Логическийинтерфейс

Физический интерфейс

• Сессия

• Трафик участника VPN

• 8 очередей для 8 сервисов

• Логический интерфейс

• Каждому участнику VPN соответствует свой логический интерфейс

• Физический интерфейс

• Объединяет несколько логических интерфейсов

H-QoS на стороне PE

124

Физический интерфейс

Логическийинтерфейс

Туннель

Сессия

VPN

• Сессия

• Трафик участника VPN

• 8 очередей для 8 сервисов

• VPN

• VPN агрегирует трафик ряда участников

• Метка VPLS L2 VPN

• Туннель

• В туннеле циркулирует трафик принадлежащий разным VPN

• Метка MPLS LSP

• Логический интерфейс

• Объединяет несколько туннелей

• Физический интерфейс

125

Спасибо за внимание

VPN. Теория и реальность · 2017. 7. 27. · Layer 2 Layer 3 IPSec GRE Point-to-Point Multipoint MPLS VPN 802.1ad PB 802.1ah PBB 802.1Qay PBB-TE L2TPv3 VPWS (EoMPLS)

Documents