realizacija sigurnih mpls vpn mreza na bazi ip sec protokola

UNIVERZITET U SARAJEVU ELEKTROTEHNIKI FAKULTET ODSJEK ZA TELEKOMUNIKACIJE

SEMINARSKI RADTema: Realizacija sigurnih MPLS VPN mrea na bazi IP Sec protokola

Studenti: orbadi Muharem Malibegovi Alen Bubalo Ajdin Sarajevo,11.01.2012.god.

Realizacija sigurnih MPLS VPN mrea na bazi IPSec protokola

SADRAJUvod ..........................................................................................................................................3 1. VPN (Virtual Private Network) ........................................................................................... 4 1.1. emu slue VPN mree ......................................................................................................5 1.2. Implementacija VPN-ova ..................................................................................................6 1.3. Layer 2 VPN mree (Frame Relay, VLAN) .......................................................................6 2. MPLS (MultiProtocol Label Switching) ................................................................................7 2.1. MPLS-bazirane VPN mree .............................................................................................10 2.2. Osobine MPLS-bazirane VPN mree ...............................................................................10 2.3. Realizacija MPLS VPN mrea .........................................................................................12 2.4. Nain rada MPLS VPN mrea ..........................................................................................13 2.5. MPLS prometno ininjerstvo ........................................................................................15

2.6. MPLS TE DiffServ arhitektura ........................................................................................16 3. IP Sec protokol .......................................................................................................................20 3.1. Primjena IP Sec na VPN mree ........................................................................................21 3.2. Osnovne osobine IP Sec protokola ..................................................................................21 3.3. Modovi rada IP Sec-a ......................................................................................................22 3.3.1. Transportni mod .....................................................................................................22 3.3.2. Tuneliranje ............................................................................................................23 3.4. Protokoli IP Sec-a ............................................................................................................25 3.4.1. AH protokol ..........................................................................................................25 3.4.2. ESP protokol .........................................................................................................27 3.4.3. IKE protokol .........................................................................................................28 4. ZAKLJUAK ........................................................................................................................30 5. PRAKTINI DIO ..................................................................................................................31 LITERATURA .......................................................................................................................35

2


UvodMree zasnovane na Internet protokolu IP (engl. Internet Protocol) dominiraju u oblasti telekomunikacionih mrea u ovoj deceniji. S obzirom na svoju jednostavnost Internet servisi kao to su WWW, email, FTP (engl. File Transfer Protocol) itd. postali su opte prihvaeni standardi i unijeli su pravu revoluciju i u ivot obinog ovjeka. Vie se skoro i ne moe zamisliti rad bez mogunosti pristupa Internetu, a E-biznis i intraneti i ekstraneti su neminovnost dananjeg poslovanja. Sve vea potreba za povezivanjem u korporacijama, zahvaljujui sve veem broju aplikacija zasnovanih na Internetu, primorava kompanije da upravljanje svojim regionalnim mreama povjere javnim dobavljaima Internet usluga. S druge strane, to samo jo naglaava potrebu za poveanjem bezbjednosti u javnim mreama. VPN (engl. Virtual Private Networks) prua istovremeno ogromnu fleksibilnost u zadovoljavanju potreba povezivanja i poboljavaju bezbjednost. Bezbjednost je briga svakog rukovodioca, a VPN tehnologija je pravi izbor za bezbjednu IP (engl. Internet Protocol) komunikaciju. Sa VPN, saobraaj odreene grupe korisnika prolazi transparentno kroz mreu na nain koji uspjeno razvrstava taj saobraaj od ostalih paketa u mrei, pruajui garancije u pogledu performansi i sigurnosti. Izgradnja, funkcionisanje i stabilnost mrea danas postaju sve bitniji faktor u funkcionisanju poslovnih sistema, a stalni napredak telekomunikacionih tehnologija doveo je do konvergencije vie mrea sa pojedinanim servisima kao to su javna telefonska mrea, mrea za prenos podataka, kablovska televizija i drugo u jedinstvenu infrastrukturu koja podrava sve telekomunikacione servise multiservisnu telekomunikacionu mreu sa komutacijom labela (MPLS-Multi Protocol Label Switching).

3


1. VPN (Virtual Private Network)VPN (Virtual Private Network) je skup zatienih konekcija izmeu udaljenih korisnikih lokacija realizovanih unutar neke javne ili privatne mree. Ovakve mree zovemo privatnim, jer resurse ovih konekcija mogu koristiti samo organizacije koje su njihov vlasnik. One su privatne i sa aspekta routiranja i adresnog plana, odnosno routing algoritmi i adresni plan su potpuno neovisni o drugim mreama. Mrea je virtuelna, jer se konekcije formiraju koritenjem samo jednog dijela instaliranih resursa javne mree za prenos podataka. Historijski gledano, X.25 je prvi WAN protokol koji je omoguio izgradnju VPN mrea na javnim mreama za prenos podataka. Prevashodna uloga ovako izgraenih mrea je smanjenje telekomunikacijskih trokova efikasnijim koritenjem infrastrukture uz istovremeno ouvanje sigurnosti i integriteta podataka. Postoje dva tipa praktine realizacije mree preko koje mogu da se ostvare VPN. To su pokriveni (engl. Overlay) i ravnopravni (engl. Peer) model. Ravnopravni model e najverovatnije potisnuti pokriveni model. Iako su VPN reenja zasnovana na ovom drugom modelu uobiajena danas, ovi tipovi rjeenja imaju nekoliko velikih problema koji ograniavaju razvoj VPN servisa. Overlay model zasniva se na kreiranju veza, a ne mrea. Svako mjesto (vor) poseduje ruter koji je povezan linkovima taka-taka do rutera na drugim mjestima unutar VPN-a. Ovo komplikuje, odnosno poveava broj potrebnih izmjena u konfiguraciji, prilikom dodavanja novog vora u postojeu mreu. Kod VPN-a gdje se zahtjeva potpuna povezanost vorova u mrei, to ukljuuje promjene u konfiguraciji na svim postojeim vorovima, zbog toga to je svakom od njih potrebna dodatna veza taka-taka do tog novog mjesta. Zbog toga VPN koriste peer model i nekonektivnu arhitekturu na sloju 3. Peer model zahtjeva da korisniki vor ''gleda'' na samo jedan PE ruter, nasuprot svim drugim CE ruterima ili krajnjim korisnikim ruterima u istoj VPN. Nekonektivna arhitektura dozvoljava kreiranje VPNa na sloju 3, eliminiui potrebu za tunelima. MPLS obezbjeuje efikasan mehanizam za podravanje VPN. Sa VPN, saobraaj odreene grupe korisnika prolazi transparentno kroz mreu na nain koji uspjeno razvrstava taj saobraaj od ostalih paketa u mrei, pruajui garancije u pogledu performansi i sigurnosti. Ove mree moraju da budu skalabilne, ekonomine i sposobne da izau u susret irokom opsegu zahtjeva korisnika, gdje spadaju pouzdanost i sigurnost, kvalitet servisa i mogunost povezivanja svakog-sa-svakim. One moraju da ponude kompletno pruanje multimedijalnih servisa kako bi privukle nove korisnike. MPLS se javlja kao kljuna tehnologija za mree nove generacije, posebno u optikim mreama. VPN bazirane na MPLS obezbeuju fleksibilnu povezanost i skalabilnost to su odlike mrea sa IP, kao i tajnost i kvalitet servisa. S obzirom na to da MPLS bazirane VPN umanjuju kompleksnost i cijenu mree, one dozvoljavaju davaocima servisa da svoje usluge pruaju mnogo raznovrsnijoj bazi malih i srednjih organizacija i ustanova. Za realizaciju MPLS VPN mrea je dovoljna samo jedna konekcija od njihovog rutera do krajnjeg rutera provajdera. Krajnji ruter stavlja labele na pakete i 4


prenosi ih kroz MPLS jezgro sve do krajnjeg rutera najblieg odreditu. Sa ovom tehnologijom, davaoci servisa sada mogu ponuditi korisnicima VPN sa QoS, omoguenim Internetom, intranetom i ekstranetom, i paketskom telefonijom bez kompleksnosti koje su ove aplikacije prethodno zahtjevale kako bi proirile servisne ponude i stvorile dodatne prihode.

1.1. emu slue VPN mreePrivatne WAN mree poslovnih korporacija vie nisu orijentirane samo na uvezivanje LAN mrea fiksnim vezama. Globalizacija i integracija ekonomskog prostora uslovljavaju da udaljeni pojedinani korisnici (uposlenici koji rade od kue, mobilni uposlenici kao i vanjski poslovni partneri) trebaju u svakom trenutku, nezavisno od mjesta na kome se nalaze pristup raunarskim resursima koji se nalaze unutar ovakvih privatnih mrea. Zbog toga, klasine privatne WAN mree realizirane iskljuivo fiksnim konekcijama trebaju biti proirene adekvatnim tehnikim rjeenjima koja e omoguiti pristup i ovakvom tipu korisnika. Gotovo sve privatne poslovne WAN mree e u budunosti biti zamijenjene VPN baziranim WAN poslovnim mreama. Osnovni razlozi za to su: 1. znaajno manja cijena izgradnje mree u odnosu na tradicionalne privatne mree 2. omoguavanje E-commerca i Internet ekonomije : VPN je znatno fleksibilnija i skalabilnija arhitektura mree, u odnosu na klasine privatne WAN mree. One omoguavaju vrlo brzo i vrlo jeftino poveanje broja (npr. bez dodatnih ulaganja koriste sve raspoloive ulaze ISP-a) udaljenih ureda, internacionalnih lokacija, mobilnih korisnika u raomingu i sl. 3. znaajno manji trokovi i napori u odravanju vlastite mree: Vei dio poslova odravanja se odvija u okviru mree provider-a koji nudi ovu uslugu 4. jednostavnija mrena topologija: Upotrebom IP backbone mree eliminiraju se permanetni krugovi (PVC) koji su se ostvarivali putem Frame Relay ili ATM mrea i time uzrokovali punu mesh strukturu privatne WAN mree, to je pored kompleksnoti znaajno poveavalo i cijenu realizacije ovakve mree.

5


1.2. Implementacija VPN-ovaSavremeno drutvo nosi veliki tehniko-tehnoloki napredak. Digitalizacija i globalizacija su osnovne znaajke ovog novog doba. Kada je biznis u pitanju postoje samo dva pravila: 'biti bri i bolji od drugih' i 'biti prisutan gdje god postoje konzumenti'. Zadovoljiti ova dva pravila znai imati fleksibilnu, iroko rasprostranjenu mreu poslovnica i razvijen sistem razmjene informacija izmeu njih samih, te sa poslovnim partnerima, dobavljaima i samim korisnicima. Brza, pouzdana, selektivna i zatiena razmjena informacija namee potrebu za posjedovanjem privatnih mrea. Naini realizacije ovakvih mrea sa tehnikog aspekta su ve obraeni. Postoji irok spektar mogunosti poevi od privatnih mrea (leased line) preko layer 2 VPN mrea (frame relay i ATM), layer 3 VPN mrea (IP/Internet) do MPLS baziranih VPN-ova. Svako od ovih rjeenja ima svoje prednosti/mane (layer 2 mree: garantovan QoS, visok stepen sigurnosti/mala skalabilnost, prostorna ogranienost, layer 3 mree: globalni karakter, best effort, remote access/smanjena sigurnost i problematian QoS, MPLS bazirane VPN mree: visok stepen sigurnosti, garantovan QoS, izuzetno velika skalabilnost). Odabir tehnologije kojom e mrea biti realizovana zavisi od mnogo faktora specifinih za svaku organizaciju ponaosob, ali generalni zahtjevi koji se postavljaju pred ove mree su: sigurnost, pouzdanost, dostupnost, garantovani QoS i naravno cijena uspostave i odravanja. Svaki od ovih parametara ima svoj teinski faktor i u zavisnosti od njih se i odabire odreena tehnologija za izgradnju VPN mree.

1.3. Layer 2 VPN mree (Frame Relay, VLAN)Layer 2 VPN mree spadaju mree realizovane koritenjem resursa Frame Relay i ATM mrea (Slika 1).

Slika 1. Layer 2 VPN mree

6


Ovaj tip VPN mrea se realizuje formiranjem stalnih virtuelnih kanala koji obezbjeuju punu zatitu korisnikim podacima. Injektiranje paketa u ovakvu VPN mreu mogue je jedino kroz fiziki interface na koji je vezana korisnika oprema. Odlike ovakvih mrea su velika sigurnost i garantovani QoS (Quality of Service). Nedostaci su relativno veliki trokovi zakupa krugova i kompleksna uspostava. Naime, kod realizacije ovakvih mrea javlja se 'n(n-1)/2' problem, odnosno ukoliko treba povezati n lokacija davaoc usluge treba definisati n(n-1)/2 konekcija ukoliko se eli obezbijediti komunikacija 'svako sa svakim', odnosno potpuna mesh topologija. Problem postaje sve znaajniji sa porastom broja korisnika i poveanjem broja njihovih lokacija. Dodatni problem je obezbjeenje QoS sa kraja na kraj. Kako korisnik vlasnik VPN mree upravlja rubnim router-ima na kojima se vri mapiranje IP QoS u layer 2 QoS parametre, potrebno je posjedovati znanje ne samo o IP routiranju nego i o Layer 3 QoS parametrima, layer 2 QoS parametara i nainima njihovog povezivanja to ponekada predstavlja znaajan problem vlasniku ovakvih VPN mrea. VPN mree realizovane sa jednim od layer 2 protokola mogu da nose i IP i IPX i SNA/SDLC protokole to nije sluaj sa recimo IPSec protokolom koji moe da nosi samo IP saobraaj, a za ostale protokole moraju postojati Proxy serveri ija je uloga prevoenje ostalih protokola u IP protokol to opet dovodi do dodatnih trokova, proirenja zaglavlja paketa kao i vremena procesiranja unutar ureaja.

2. MPLS (MultiProtocol Label Switching)MPLS (engl. MultiProtocol Label Switching), razvijen od strane IETF-MPLS grupe 1997. godine predstavlja tehniku komutacije labela izmeu linkova kojom se podrava vie razliitih protokola (engl. multiprotocol) sa mrenog sloja OSI modela, dok odrednica (engl. Label switching) oznaava upotrebljenu tehniku komutacije labela izmeu linkova . Komutacija labela viestrukim protokolom, MPLS, predstavlja arhitekturu u okviru IETF standarda koja omoguava takvo upravljanje saobraajem i Qo podrku, ijom primjenom se ubrzava prosljeivanje paketa. Prosljeivanje paketa se vri na osnovu labela (etiketa) kratke duine koje se smjetaju izmeu zaglavlja sloja linka podataka i sloja mree. Na osnovu sadraja labele vri se prosljeivanje paketa kroz mreu, pri emu je znaaj labele na lokalnom nivou. Na ovaj nain se izbjegava veliko kanjenje pri prenosu paketa. Pri usmjeravanju paketa kroz vor, labela se skida sa paketa i mijenja se odgovarajuom kojom se dalje usmjerava kroz mreu.Ovim mehanizmom se postie velika brzina prenosa kroz kimenu MPLS mreu. MPLS smanjuje iznos procesiranja po paketu koji je potreban kod svakog rutera u mrei sa IP, poveavajui jo vie performanse rutera. MPLS kombinuje karakteristike IP rutiranja na treem nivou i komutacije na drugom sloju. Zbog toga se ovaj protokol ponekad naziva protokol sloja 2.. Dok ruteri zahtjevaju inteligentan mreni nivo koji odreuje gdje treba prosljediti pakete, sa druge strane komutatori imaju jednostavan zadatak da poalju paket na sljedei vor, i samim tim su jednostavniji, bri i jeftiniji.

7


Slika 2.1. MPLS heder tj. zaglavlje paketa

Kod MPLS-a prenos podataka se vri preko putanja komutiranih na osnovu labele LSP (engl. Label-Switched Paths). To je sekvenca labela na svakom pojedinanom voru du puta od izvora do odredita. LSP se uspostavljaju ili prije prenosa podataka (engl. controldriven) ili po detekciji odreenih tokova podataka (engl. data-driven). Labele, na kojima se baziraju specifini identifikatori za protokol, prosljeuju se koritenjem protokola za prosljeivanje labela LDP (engl. Label Distribution Protocol), koritenjem protokola rezervacije resursa, ili pak uz pomo protokola rutiranja kao to su protokol graninog mrenog prolaza BGP (engl. Border Gateway Protocol) i OSPF (engl. Open Shortest Path First). Svaki paket podataka sa sobom nosi labele tokom svog puta do odredita. Velika brzina komutacije podataka mogua je jer su labele fiksne duine umetnute na samom poetku paketa (ili elije) i mogu biti iskoritene za brzu komutaciju paketa izmeu linkova. Labele su zapravo kratke i fiksne duine od 20 bita, to predstavlja osnovu zaglavlja paketa (shim header-a) tj. 32 bita hedera tj. identifikacijske oznake paketa, to je prikazano na slici 3.11:

Slika 2.2. Shim header

8


Rad MPLS mrea, predstavljen na Slici 2, bazira se na sljedeim elementima i funkcijama: CE (engl. Customer Edge) pristup korisnika, PE (engl. Provider Edge) ili LER (engl. Label Edge Router) ulazni ruter sa labelom. 1. Prije nego to se saobraaj prosljedi kroz MPLS mreu, PE (LER) ruteri uspostavljaju LSP putanje prema ostalim ruterima. 2. Saobraaj koji ne pripada MPLS domenu (Frame Relay, ATM, Ethernet i dr.) alje se od strane korisnike mree preko CE rutera ka ulaznom PE ruteru na granici MPLS mree. 3. PE ruter dodjeljuje paket odreenoj klasi FEC (engl. Forwarding Equivalence Class), a zatim dodaje odgovarajuu MPLS labelu (labele) paketu. 4. Paket se dalje alje preko LSP, pri emu svaki unutranji P (engl. Provider) ruter mijenja labele shodno informaciji iz LIB-a (engl. Label Information Base) radi prenosa paketa prema sljedeem skoku. 5. Na izlaznom PE ruteru se uklanja posljednja labela i paket se dalje prosljeuje na bazi tradicionalnih postupaka rutiranja. 6. Na kraju paket se prenosi ka odredinom CE ruteru i dalje ka korisnikoj mrei.

Slika 2.3. Osnovni elementi MPLS mree

Poto je uspostavljena signalizacija u mrei, svaki MPLS ruter stvara informacionu bazu o labeli (LIB), odnosno tabelu koja odreuje kako se paketi prosljeuju. Ova tabela povezuje svaku labelu sa odgovarajuim FEC-om i izlaznim portom kako bi se usmjeravali paketi kroz mreu. LIB se uspostavlja sa slinom ulogom kao i informaciona baza prosljeivanja, FIB (engl. Forwarding Information Base) koja se javlja kod tradicionalnih rutera.

9


2.1. MPLS-bazirane VPN mreeZajednika karakteristika svih do sada opisanih tehnologija koritenih za realizaciju VPN mrea je injenica da se za njihovu uspostavu koristi takozvani 'overlay' model (kroz mreu davaoca usluge prave se 'point-to-point' konekcije-virtuelni krugovi ili IP tuneli- koji povezuju korisnike lokacije). Veliki nedostatak ovakvog modela je mala skalabilnost, odnosno ve ranije pomenuti problem uspostavljanja i upravljanja velikim brojem korisnikih VPN mrea. MPLS tehnologija je prva koja nudi novi pristup prilikom izgradnje VPN mrea u formi 'peer' modela. Osnovna karakteristika ovog modela je izuzetno velika skalabilnost koja je posljedica injenice da sa routing aspekta bilo koji od korisnikih ureaja vezanih na javnu mreu moe ostvariti konekciju sa bilo kojim ureajem u toj mrei, dok je u 'overlay' modelu, mogao ostvariti konekciju iskljuivo sa jednim ureajem na drugom kraju veze kroz layer 2 link ili IP tunel, obezbjeen od davaoca usluge. VPN mree izgraene na bazi MPLS tehnologije su kombinacija MPLS protokola i neke od routing tehnologija (BGP, OSPF, RIP). Kod MPLS baziranih VPN-ova mehanizam uspostave veza izmeu krajnjih lokacija se zove 'ograniena' (constrain) distribucija routing informacija.

2.2. Osobine MPLS-bazirane VPN mreeMPLS VPN omoguavaju davateljima usluga da izgrade skalabilne VPN mree i da pri tome ponude sljedee usluge : - Usluge bez uspostavljanja veze: kada se VPN formiraju bez predhodnog uspostavljanja veze nisu potrebni tuneli i enkripcija za mrenu privatnost, pa se na taj nain znaajno umanjuje sloenost mree. - Centralizovane usluge: izgradnja VPN na sloju 3 OSI modela dozvoljava isporuku usluga grupi korisnika koji su u VPN-u. Njima se mogu ponuditi nove IP usluge kao to su: Multicast Kvaliteta usluge, QoS Telefonska podrka - Skalabilnost: Ako se VPN formira koritenjem spojno orijentisanih modela, overlay modela, Frame Relay ili ATM, glavni nedostatak e pri tome biti nedostatak skalabilnosti. Pored toga, spojno orijentisane VPN bez potpune povezanosti korisnikih lokacija nisu optimalne. Nasuprot tome, VPN zasnovane na MPLS-u koriste peer model i arhitekturu bez predhodnog uspostavljanja veze sloja 3 za visoko skalabilna VPN rjeenja. Takva arhitektura dozvoljava kreiranje VPN eliminiui pri tome potrebu za tunelima ili VC-ima. Skalabilnost se ogleda i u dijeljenju VPN putanja izmeu PE router-a i u buduem dijeljenju VPN i IGP putanja izmeu PE i P- router-a iz jezgre davatelja. PE router-i moraju da odravaju VPN putanje za korisnike odreene VPN, dok P router-i ne odravaju nikakve VPN putanje. To poveava skalabilnost jezgra davatelja usluga i osigurava da nijedan ureaj ne moe biti usko grlo za skalabilnost.

10


- Sigurnost: MPLS VPN nude isti stepen sigurnosti kao i spojno orjentisane VPN. Paketi iz jedne VPN ne mogu nepanjom da stignu do druge VPN mree. Na rubu mree davatelja usluge zagarantovano je smetanje primljenih paketa korisnika na pravu VPN. Na okosnici, VPN promet se odrava odvojeno. Zlonamjerno ometanje (spoofing) je praktino nemogue jer su paketi dobijeni od korisnika IP paketi. Ti se paketi moraju primiti na odreenom interface-u da bi bili jedinstveno identifikovani VPN labelom. - Jednostavnost kreiranja: Za potpuno iskoritavanje VPN, korisnicima mora biti jednostavno da kreiraju nove VPN i nove korisnike lokacije. Poto MPLS VPN ne zahtjeva predhodno uspostavljanje veze, nisu potrebne nikakve predhodne mape ni topologije. Mogue je dodati lokacije intranetima i ekstranetima i oformiti zatvorene korisnike grupe. Kada se VPN ostvari na taj nain, omogueno je dodavanje bilo koje lokacije u VPN, i samim tim je maksimizirana fleksibilnost u formiranju intraneta i ekstraneta.

- Fleksibilno adresiranje: Kako bi se VPN usluge nainile prihvatljivijim, korisnici davatelja usluga mogu da koriste sopstveni adresni plan, nezavisan od adresnog plana drugih korisnika. Mnogi korisnici imaju privatni adresni prostor i ne ele da investiraju i vrijeme i novac u konvertovanje u javne IP adrese kako bi omoguili povezivanje u intranet. MPLS VPN dozvoljavaju korisnicima da nastave sa koritenjem sopstvenih adresnih prostora bez potrebe za NAT-om, obezbjeujui javni i privatni izgled adresa. NAT je neophodan samo ako dvije VPN sa preklapajuim adresnim prostorima ele da komuniciraju. Tako korisnici mogu da koriste sopstvene neregistrovane privatne adrese i komuniciraju slobodno sa javnom IP mreom. - Podrka integrisanim klasama usluga (CoS): Klasa usluga je karakteristika MPLS koja omoguava mrenim administratorima da obezbjede razliite tipove usluga preko MPLS mree. Usluge mogu biti specificirane na razliite naine, na primjer podeavanjem IP bita prioriteta u IP paketu. U snabdjevanju razliitim uslugama, MPLS CoS nudi: klasifikaciju paketa (paketi su klasifikovani na rubu mree prije nego to im se pridrue labele); izbjegavanje zaguenja (razdvajaju se klase paketa prema vjerovatnoi propadanja); i upravljanje zaguenjem (razlikuju se klase paketa u zavisnosti od propusnog opsega i graninog kanjenja). - MPLS VPN su jedinstvene jer se mogu izgraditi preko viestruke mrene arhitekture, ukljuujui tu IP, ATM, Frame Relay i hibridne mree.

11


2.3. Realizacija MPLS VPN mrea

Slika 2.4. VPN mree realizovane u MPLS tehnologiji Pretpostavka za realizaciju prenosa podataka kroz MPLS mreu je da router-i ve imaju popunjene routing tabele, odnosno da je dolo do prethodne razmjene routing informacija. Proces razmjene routing informacija se odvija u sljedeih pet koraka: Routing informacije se alju od korisnikog (CE-Customer Equipment) do router-a davaoca usluge (PE-Provider Equipment) na strani A. Mogue je koristiti statike rute, RIP, OSPF ili BGP. U PE router-u se te informacije unose u BGP routing tabelu davaoca usluge na strani A. Routing informacije izmeu mrea davalaca usluge, tj. izmedju PE router-a se prenose pomou BGP protokola. Prihvatanje routing informacija iz BGP-ja u PE router-u davaoca usluge na strani B. Slanje routing informacija od router-a davaoca usluge do korisnikog router-a na strani B koritenjem jedne od vie moguih opcija (statike rute, RIP, OSPF ili BGP).

Ograniena distribucija routing informacija radi na principu filtriranja baziranog na BGPjevom 'community' (zajednikom) atributu, koji djeluje kao identifikator pridruen nekoj ruti. Tako u koraku broj 2, PE router, pridruuje odgovarajui, ranije definisani, 'zajedniki atribut' odreenoj ruti, na osnovu kojeg e opet u koraku broj 4, ta ruta biti izdvojena iz BGP-ja davaoca usluge i proslijeena korisnikom router-u. Upravo je ovaj mehanizam zasluan za 'peer' model, jer postoji samo razmjena routing informacija izmeu korisnikog CE i direktno vezanog PE router-a (Slika 5), odnosno broj 'peer router-a' je potpuno neovisan o veliini VPN mree. Tako, prilikom dodavanja nove ili demontae ve postojee lokacije, iz korisnike VPN mree, treba konfigurisati samo direktno vezani PE router, a ne i sve ostale rubne router-e sa 12


kojima e biti ili su bile uspostavljene konekcije. Vano je naglasiti i to da PE router-i procesiraju samo rute VPN mrea ije su lokacije direktno vezane za taj router, a ne i rute VPN mrea koje nemaju na njega direktno vezane lokacije. Ograniena distribucija routing informacija je neophodna, ali ne i dovoljna za pravilno upravljanje konekcijama. Ovo je posljedica injenice da PE router moe podravati vie VPN mrea i ukoliko ima definisanu samo jednu tabelu prosljeivanja onda ona treba sadravati sve rute za sve VPN-ove podrane na ovom router-u. To znai da bi potencijalno bilo mogue da paketi budu prosljeivani iz jednog VPN-a u drugi. Rjeenje ovog problema je formiranje vie tabela prosljeivanja. Ukoliko je vie lokacija jednog VPN-a vezano na isti PE router, onda oni dijele jednu tabelu prosljeivanja, u suprotnom, svakoj lokaciji (pristupnom portu) pripada samo jedna tabela. Ove se tabele pune iz dva izvora. Prvi izvor je direktno vezani CE router, a drugi su ostali PE router-i iz mree. Rute dobijene iz drugog izvora podlijeu filtriranju na osnovu BGP 'community' atributa, te se u odgovarajue tabele smjetaju samo rute iz pripadnih VPN mrea. Poseban problem kod izgradnje MPLS baziranih VPN-ova je injenica da ukoliko se koristi BGP protokol on podrazumijeva da su sve IP adrese u mrei jedinstvene. To naravno u praksi nikada nije sluaj, jer je rije o privatnim mreama unutar kojih se najee koristi isti blok IP adresa (privatne adrese definisane u RFC 1918). Dakle, nuno je adrese koje to nisu, napraviti jedinstvenim. To se postie dodavanjem polja fiksne duine na obinu IP adresu. Ovo polje se zove Route Distinguisher (RD) i sastoji se iz tri polja: Type (2 okteta) Autonomous System Number (2 okteta) Assigned Number (4 okteta)

Autonomous System Number (AS Number) sadri autonomni broj VPN davaoca usluge. Assigned Number definie sam davaoc usluge i obino je jedinstven za jedan VPN. Sa stanovita BGP-a, upravljanje ovakvim, proirenim IP adresama (VPN-IP adrese), je potpuno jednako kao upravljanje obinim IP adresama. Ove adrese se formiraju na PE router-u. Po primitku rute od CE rutera i nakon identifikacije kojem VPN-u ona pripada, PE router ovakve adrese proiruje sa unaprijed, za taj VPN definisanim RD-om, u VPN-IP adrese i potom ih unosi u BGP i obratno. Bitno je jo dodati da se VPN-IP adrese koriste samo u routing protokolima (za formiranje routing tabela), a ne i u zaglavlju IP paketa, odnosno one se ne koriste za prenos paketa. Prosljeivanje paketa se radi pomou MPLS-a.

2.4. Nain rada MPLS VPN mreaLako je uoiti da je sa aspekta MPLS-a PE router u stvari Label Edge Router (LER), koji paketima sa ulaza u mreu pridruuje odgovarajue labele i obrnuto, skida ih na adekvatnom PE router-u na izlazu iz mree davaoca usluge. Kada CE poalje paket direktno vezanom PE routeru, on na osnovu porta kroz koji je paket stigao identifikuje kojoj VPN mrei paket pripada, odnosno odredi koju tabelu prosljeivanja (Forwarding Information Base, FIB) treba razmatrati. Potom se radi uobiajeno pretraivanje ove tabele koristei odredinu adresu iz zaglavlja paketa. Na osnovu ovoga dodaje odgovarajuu labelu na paket i prosljedjuje ga u mreu (Slika 2.5.). 13


Slika 2.5. Proces odabira odgovarajue labele za VPN U cilju poveanja skalabilnosti koristi se hijerarhisko rout-iranje, odnosno koriste se ne jedan, nego dva nivoa labela. Koritenje ove tehnike dovodi do toga da P router-i ne procesiraju VPN routing informacije, nego procesiraju samo labele prvog nivoa; one koje se koriste za prosljeivanje paketa od ulaznog do izlaznog PE router-a. Labele drugog hijerarhiskog nivoa se procesiraju samo na PE router-ima, odnosno koriste se za prosljeivanje na izlaznom PE router-u. Labele prvog nivoa se kroz mreu distribuiraju sa LDP, RSVP ili CR-LDP. Labele drugog nivoa se distribuiraju pomou recimo BGP protokola zajedno sa VPN-IP rutama (Slika 2.6.).

Slika 2.6. Hijerarhisko rutiranje u MPLS mrei Osim izuzetno velike skalabilnosti koju obezbjeuje hijerarhijsko rutiranje, osnovna prednost MPLS baziranih VPN-ova je sigurnost koja je jednaka sigurnosti koju pruaju layer 2 VPN mree. Ovo je posljedica injenice da se transfer paketa radi komutacijom labela, a ne tradicionalnim IP usmjeravanjem odnosno, LSP se terminira samo na rubnim-PE router-ima. LSP nikada ne zapoinje niti zavrava na router-ima u sredini mree. LSP se u PE router-u 14


pridruuje odreenoj tabeli prosljeivanja, ona interface-u na router-u, a on odreenoj VPN mrei. Ubacivanje paketa u ovakvu VPN mreu je mogue samo kroz iinterface na PE router-u pridruenom toj VPN mrei. Sa aspekta QoS-a, MPLS bazirani VPN-ovi, pruaju iste mogunosti kao ATM mree. Ovo je posljedica klasificiranja saobraaja i labeliranja na ivicama mree, te ga je mogue podijeliti u razliite klase prema kanjenju ili nivou prioriteta.

2.5. MPLS prometno ininjerstvoMPLS TE (MPLS Traffic Engineering) tehnologija igra veoma bitnu ulogu u implementaciji mrenih servisa koji zahtijevaju odreene garancije za kvalitet usluge (QoS). Mree bazirane na MPLS tehnologiji koriste prirodne TE mehanizme da bi minimizirali zaguenja u mrei i na taj nain poboljali mreene performanse. TE je u stanju da izmijeni postojee usmjeriteljske sheme u cilju efikasnijeg rasporeivanja prometnih tokova prema raspoloivim mrenim resursima. Efikasnije eme za rasporeivanje mogu u mnogome reducirati pojavu zaguenja na mrei te poboljati kvalitet usluge u vidu smanjenja kanjenja prilikom pristizanja paketa na odredite, reduciranja broja pogreno poslatih i izgubljenih paketa. Povijesno, IP mree su se oslanjale na optimizaciju temeljne mrene infrastrukture ili posebna podavanja IGP protokola u cilju zadovoljavanja zahtijeva prometnog inenjerstva. Umjesto toga MPLS tehnologija koristi postojeu infrastrukturu IP mrenih protokola te koristi ugraene sposobnosti prosljeivanja da bi obezbijedila naizgled prirodan TE mehanizam. Osnovna ideja prometnog inenjerstva uzima u obzir nain usmjeravanja mrenog prometa tako da se pokuaju izbjei sva mogua zaguenja unutar mree te se povea cjelokupna propusnost. Da bi se ispunio pomenuti cilj mogue je korisiti nekoliko tehnika prometnog inenjerstva, a jedna od njih svakako je i tehnika bazirana na MPLS tehnologiji. Uvoenjem MPLS TE-a namee se niz razliith mogunosti sa visokim stepenom granularnosti u cilju postizanja efikasnog prometnog inenjerstva u sklopu IP/MPLS mrea. Za razliku od IP koji koristi metodu usmjeravanja sa zadanom destinacijskom IP adresom, MPLS tehnologija podrava simultano koritenje usmjeravanja baziranog na destinacijskog adresi i eksplicitnog usmjeravanja koje je mogue koristiti zahvaljujui RSVP odnosno LDP protokolu. Naime, prije nego to se izvri mapiranje paketa na LSP, vri se kompletno uspostavljanje i signaliziranje LSP od ingress do egress vora tako da se tano odrede intermedijarni vorovi te izvri alokacija resursa na njima pomou nekog od signalizacijskih protokola. Svaki zahtjev za uspostvljanjem LSP-a stie do usmjeriteljskog posuitelja koji oreuje eksplicitnu rutu za LSP. Zahtjev prema posluitelju stie direktno ili preko ingress usmjeritelja koji prvi zaprima ovaj zahtjev. Nakon toga se vri propagiranje informacija o eksplicitnoj ruti preko svih vorova koji se nalaze

15


du predviene putanje, te se uz pomo signalizacijsih mehanizama vri rezervacija bandwitha (eng. bandwith, propusni opseg) na svakom od linkova. Za proraun eksplicitnih ruta uzima se pretpostavka da usmjeritlajski posluitelji posjeduju znanje o trenutnoj topologiji mree i dostupnim kapacitetima. Ove informacije obezbjeuju se kroz postojee usmjeriteljske protokole odnosno njihov ekstenzije. Za RSVP protokol definirana su odreena proirenja u vidu EXPLICIT_ROUTE objekta za podrku eksplicitnom usmjeravanju. MPLS takoer podrava i usmjeravanje uz postojea ogranienja (constraint-based routing). Kao to je ve spomenuto IGP protokol za proraunavanje informacija na osnovu kojih e se vriti daljnje usmjeravanje, koristi jednostranu metriku. Umjesto takvog pristupa, usmjeravanje uz zadata ogranienja uzima u obzir i druge parametre koji se odnose na mrena ogranienja i dostupnost resursa. Za distribuciju ovih informacija MPLS TE koristi postojee link-state protokole kao to su IS-IS i OSPF. Osnovna ideja MPLS TE-a je da iskoristi postojee TE LSP puteve ili tunele za prosljeivanje mrenog prometa i da se pri tome uzmu u obzir nametnuta ogranienja vezana za mernu topologiju i dostupnost mrenih resursa, a sve u cilju maksimalnog iskoritavanja mrenih kapaciteta. Neke od osnovnih funkcionalnosti MPLS TE-a su : Distribucija informacija o linkovima Izraunavanje puta Optimizacija resursa TE LSP signalizacija, MPLS prometno inenjersto sa proirenjima za DiffServ arhitekturu Protekcijska shema (Network Recovery) u sluaju ispada nekog od linkova Tuneliranje i stavljanje labela na stog (MPLS VPN-ovi)

2.6. MPLS TE DiffServ arhitekturaOptimiziranje iskoritenosti mrenih resursa u IP mreema moe se kontrolisati na svakom od usmjeritelja za ije resurse se planira uraditi optimiizacioni model, na jedan od sljedea 3 naina: Planiranje kapciteta na nain da se prilagodi prospusni opseg na linkovima, odnsono da se izvri preraspodjela i alociranje propusnog opsega namjenjog odgovarajuim meuspremnicima prema stvarnim potrebama mrenog sustava to bi povealo brzinu servisiranja i iskoritenosti mree; Koritenjem mehanizama podatkovnih putanja upravljajui razliitim klasama prometa sa odgovarajuim meuspremnicima podataka, te rasporeivanjem meuspremnika i dodjeljivanjem razliitih prioriteta pristupa i brzine servisiranja, mogue je poveati iskorisitvost po prometnim klasama, u odnosu na postavljene 16


QoS zahtjeve. Fundamentalni mehanizmi podatkovnih putanja su DiffServ model definiran od strane IETF-a te ekstenzije MPLS-a koje pruaju podrku navedenom modelu; Koritenjem mehanizama u kontrolnoj ravni - modificirajui putanje podatkovnih tokova, postoji mogunost pronalaska putanje du koje nivo iskoritenosti resursa koji direkno uestvuju izgradnji navdene, je nii nego je to sluaj prilikom koritenjem obinog SPF-a. Mehanizmi kontrolne ravni koji se koriste u MPLS/IP mreama su: metoda prilagoavanje IGP metrike, MPLS TE i DiffServ-aware Traffic Engineering (DS-TE).

Differentiated Service (DiffServ) arhitektura predstavlja efikasno i skalabilno rjeenje koje osigurava QoS u Internet Protocol (IP) mreama, a osnovni cilj mu je diferenciranje servisa na nivou mree, tako da razliite aplikacije ukljuujui i real-time promet dobiju garanciju o kvaliteti usluge. U cilju optimiziranja prijenosnih resursa, ovoj arhitekturi se moraju dodati efikasni TE mehanizmi. MPLS tehnologija predstavlja prikladanu metodu za osiguranje TE funkcionalnosti kao to su rezervacija resursa, tolerancija na pogreke i optimizacija iskoritenosti resursa. Kombinirana uporaba DiffServ i MPLS arhitekture predstavlja atraktivno rjeenje problema osiguranja QoS za multimedijski promet uz efikasno iskoritenje mrenih resursa. Rezultat ove integracije je DiffServ-aware Traffic Engineering (DS-TE). Ovaj model omoguava da MPLS-TE spozna klase usluge (Class of Servce, CoS) i osigura rezervaciju resursa sa CoS granularnou, te MPLS toleranciju na pogreke na CoS razini. U cilju omoguavanja DS-TE funkcionalnosti, potrebna je razmjena DiffServ, MPLS i TE informacija izmedu usmjeritelja u kontrolnoj ravni posredstvom dinamikog signalizacijskog protokola. Jedan od najveih izazova ove arhitekture je odabir signalizacijskog protokola, s obzirom da ne postoji generikisignalizacijski protokol. Standardizirana su tri signalizacijska protokola koja se mogu koristiti u MPLS mreama: Label Distribution Protocol (LDP), CRLDP i RSVP-TE. Kako LDP prua jedino osnovne funkcionalnosti i ne podrava TE mehanizme, ne moe se koristiti u DS-TE mreama. Preostala dva rjeenja omoguavaju TE funkcionalnosti kao to su uspostava Label Switched Path (LSP), rezervacija propusnog opsega za LSP, te Fast Rerouting (FRR) mehanizmi, to predstavlja klju za ispunjavanje QoS zahtjeva. Za razliku od CR-LDP, RSVP-TE je najee koriteni signalizacijski protokol. U praksi se preferira proirivanje postojeih protokola kada god je to mogue, prvenstveno zbog napora koji je potrebno uloiti u dizajn, standardizaciju, razvoj i otklanjanje pogreki novih protokola. Iz tog razloga je RSVP-TE odabran kao MPLS signalizacijski protokol, dok se odustalo od daljnjeg razvoja CR-LDP protokola. IETF je u okviru radnih grupa pokrenuo istraivake aktivnosti u svrhu razvoja proirenja RSVP protokola kako bi podrao funkcionalnosti DiffServ-aware MPLS mrea. Resource Reservation Protocol Traffic Engineering (RSVP-TE) je odabran kao MPLS signalizacijski protokol, dok je obustavljen rad na daljnjem razvoju Constraint based Routing Label Distribution Protocol (CR-LDP). RSVP-TE predstavlja proirenje RSVP protokola koji je razvijen u okviru Integrated Services (IntServ) arhitekture. S obzirom na nedostatke temeljnog RSVP protokola kao QoS signalizacijskog protokola, potrebno je 17


izvriti njegovu optimizaciju. RSVP-TE je signalizacijski protokol za MPLS TE, koji poiva na RSVP protokolu uz dodatak proirenja za MPLS TE i MPSL DiffServ. RSVP-TE koristi RSVP poruke za uspostavu, odravanje (osvjeavanje) i prekid TE LSP-a, te signalizaciju pogreaka. RSVP-TE se koristi u MPLS okruenju koje se razlikuje u odnosu na okruenje za koje je dizajniran originalni RSVP. U MPLS mreama ne dolazi do este i brze promjene LSP-a. Kao rezultat, RSVP-TE ne mora manipulirati velikim brojem novih ili modificiranih poruka. Veina razmjenjivanih poruka predstavljaju poruke osvjeavanja koje se upravljaju mehanizmima definiranim u RFC 2961. Definiranje ovog dodatka ini RSVP-TE idealnim za TE LSP unutar MPLS mree. Iako se uz TE dodatak moe razmatrati izvan QoS konteksta, RSVP protokol predstavlja primarni QoS signalizacijski protokol u IP mreama. DiffServ model omoguava diferenciranje usluga u mrei tako da se razliitim aplikacijama dodijeli odgovarajua razina usluge uz zadravanje visokog stupnja skalabilnosti. Osnovna pretpostavka DiffServ mrea je da usmjeritelji unutar jezgra mree upravljaju paketima razliitih prometnih tokova vrei njihovo prosljeivanje uporabom razliitih PerHop Behavior (PHB). PHB se odreuje na temelju Differentiated Services Codepoint(DSCP) oznake unutar IP polja zaglavlja. Rubni usmjeritelji pridruuju DSCP oznaku paketima na ulazu u DiffServ mreu. Prednost ove sheme lei u injenici da se vie prometnih tokova moe grupirati u jedan tok i proslijediti koritenjem istog PHB-a. Kljuni elementi DiffServ arhitekture su prikazani na slici 2.7.. Funkcionalni blok za klasificiranje i kondicioniranje prometa se obino smjeta na ulazu/izlazu mree.

Slika 2.7. DiffServ arhitektura Klasificiranje prometa moe se vriti na temelju bilo kojeg polja zaglavlja. Za klasificiranje se moe koristiti prijenosni protokol, izvorina ili odredina IP adresa i sl. Nakon klasificiranja pristupa se kondicioniranju prometa. Kondicioniranje prometa se vri uporabom sljedeih elementa: mjera (meter), oznaiva (marker), oblikovatelj (shaper) i odbaciva (dropper).

18


Mjera se koristi za usporedivanje klasificiranih tokova sa ugovorenim prometnim profilom da bi se odredila pripadnost danom profilu. Prometni profil se uobiajeno temelji na token bucket algoritmu. Oznaiva postavlja DS polje zaglavlja paketa sukladno radu mjeraa. Oblikovatelj izaziva zakanjenje, a odbaiva odbacivanje nekih paketa klasificiranog toka kako bi se taj tok usuglasio sa specificiranim prometnim profilom prije ulaska u DiffServ jezgro. PHB karakterizira vanjski opazivo prosljedivanje paketa odgovarajueg prometnog toka. PHB se moe specificirati u smislu dijeljenja resursa (npr. propusnog opsega linka, meuspremnika i prioriteta pristupa meuspremnicima) ili u smislu relativnih QoS karakteristika (npr. razina kanjenja/varijacija kanjenja i razina gubitaka paketa). IETF je specificirao odreeni broj PHB-a meu kojima se izdvajaju Default PHB, Class Selector (CS) PHB, Expedited Forwarding (EF) PHB i Assured Forwarding (AF) PHB grupe. Default PHB odgovara uobiajenom best-effort nainu prosljeivanja paketa koji je dostupan u svim usmjeriteljima za standardnu vrstu prometa ija je odgovornost jednostavno prosljeivanje to je mogue vie paketa. Default PHB je namijenjen za promet koji nema posebne QoS zahtjeve. Prije pojave DiffServ arhitekture, IP mree su koristile Precedence polje unutar Type of Service (ToS) okteta IP zaglavlja za oznaavanje prioriteta. IETFje izvrio redefiniranje ToS okteta u DS polje za DiffServ mree. U cilju odravanja kompatibilnosti sa mrenim uredajima koji jo uvijek koriste Precedence polje, unutar DiffServ arhitekture je definiran CS PHB . EF PHB prua uslugu prosljeivanja paketa sa malim iznosom kanjenja, varijacije kanjenja i gubitka paketa. EF PHB garantira da se promet posluuje brzinom koja je najmanje jednaka konfiguriranoj minimalnoj brzini posluivanja. AF PHB grupe su namijenjene aplikacijama koje zahtijevaju malu razinu gubitka paketa sve dok grupirani promet ostaje unutar korisnikog/pretplatnikog profila. Prosljeivanje paketa se vri u jednu od 4 AF klase. Unutar svake AF klase paketu se pridruuje jedan od 3 prioriteta odbacivanja. Svaki PHB se oznaava sa AFij pri emu i oznaava AF klasu, a j prioritet odbacivanja. Svakoj AF klasi su dodijeljeni resursi ukljuujui i propusni opseg. Prosljeivanje je neovisno izmedu AF klasa. Unutar AF klase, paketi sa vrijednou prioriteta p mogu imati manji iznos gubitaka u odnosu na pakete sa vrijednou prioriteta q, ako je p

realizacija sigurnih mpls vpn mreza na bazi ip sec protokola

Documents