roteamento b original v1
TRANSCRIPT
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados1
Curso de RoteamentoMódulo B
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Direitos Autorais
Esta apostila foi totalmente desenvolvida pela equipe da MDBrasil.
Todo o material aqui contido está destinado ao uso e estudopessoal de seus portadores, não podendo ser distribuído aterceiros. É vedada a sua utilização em treinamentoscomerciais, mesmo que gratuitos, apresentações públicas ou,em qualquer outra forma que não para o uso em estudosprivados.
A reprodução total ou parcial dos textos e ou figuras e tabelasaqui presentes, está expressamente proibida, podendosomente ser feita com a autorização por escrito da empresaMD Brasil – Tecnologia da Informação Ltda.
Contatos com a empresa podem ser feitos pelo e-mail:[email protected]
2
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Internet
Sistemas Autônomos
Protocolo BGP
3
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
A Internet é formada por várias redes distintas que se interligam. Cada uma destas redes tem uma administração técnica independente e são chamadas de Sistemas Autônomos.
Seu AS
Sistemas autônomos e a Internet
©md1302192041AS-1
AS-2
AS-3
4
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
AS-1
O protocolo BGP é o “idioma” que AS, fala com AS, para que as redes troquem informações de roteamento e todos os destinos sejam alcançáveis
AS-2 Seu AS
AS-3BGP
BGP BGPBGP
BGP
Sistemas autônomos, Internet e o
protocolo BGP
©md1302192041
5
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Sistema Autônomo (AS)
Uma definição formal para um Sistema Autônomo (AS) pode ser dada por:
“coleção de prefixos de roteamento conectados pelo Protocolo IP, sob o controle de um ou mais operadores de rede que apresenta uma política comum e claramente definida de roteamento para a Internet”
Na prática, você se torna um AS, através de um processo administrativo que encaminha à entidade regional que controla os recursos de numeração da Internet (no nosso caso a LACNIC)
Sistema Autônomo
©md1302192042
6
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Sistemas Autônomos
(AS)
Números para sistemas autônomos:
Inicialmente foram reservados 16 bits para os números AS (máximo de 65.535);
AS’s de 64512 a 65535 são números reservados para AS’s privados;
Com a previsão do esgotamento dos AS’s de 16 bits, criaram-se os AS’s de 32 bits;
Na Internet convivem AS’s de 32 e 16 bits, mesmo com roteadores que não suportam AS’s de 16 bits, através de uma técnica de transição;
RouterOS suporta AS de 32 bits.
Sistemas Autônomos
©md1302192042
7
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
1 – É necessário ter pelo menos 2 operadoras fornecendo link.NÃO! Isso não é necessário. Se você tem link com
apenas uma operadora PODE sim tirar seu AS.
2 – Isso é só para provedor muito grande!NÃO! Se você tem 250 clientes (e 2 links) ou 500
clientes (e um só link) já pode tirar seu AS e pedir seu bloco de IP’s.
3 – Custa caro! NÃO! Por exemplo, uma alocação de um /22 (1024 IP’s)
custa R$ 2.300,00/ano, (R$ 191,67 por mês)
Mitos em relação a se tornar um AS e
obter seu bloco de IP’s
8
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Protocolo BGP
9
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Para lidar com todo o tráfego da Internet, o BGP deve:
A Internet e o protocolo BGP
Ser um protocolo escalável e capaz de lidar com uma quantidade enorme de rotas, sempre crescente;
Ter robustez e confiabilidade;
Prover ferramentas que possibilitem de certa influenciar em tráfegos externos que não estão sob o controle direto do administrador;
10
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Características do BGP
Pode ser considerado um protocolo do tipo “vetor de distância”, nos quais cada AS representa um salto de roteamento;
O BGP não leva em conta a topologia interna de cada AS, existindo apenas a informação de como alcançar as redes;
A corrente versão do BGP é a versão 4, especificada na RFC-4271
A Internet e o protocolo BGP
11
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Princípios básicos:
Protocolo BGP
Opera trocando informações sobre a alcançabilidade das redes por mensagens de NLRI (Network Layer Reachability Information)
As mensagens de NLRI possuem um ou mais prefixos de redes e atributos do BGP com os quais esses prefixos estão associados;
As informações são transportadas sobre uma conexão TCP (porta 179) que garante a integridade dos dados;
Peers são configurados de forma estática pelos seus administradores.
12
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Administradores configuram ambos os lados;
A sessão TCP é estabelecida e depois dela a sessão BGP;
Informações de rotas são trocadas até a convergência total;
Após isso, somente informações de UPDATE para manutenção;
Mensagens de keepalive indicam a disponibilidade do peer.
AS-2AS-1
©md1302200234
Protocolo BGP
13
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Estados da sessão BGP
3 - Active 2 - Connect
4-OpenSent 1-Idle
5-OpenConfirm
6-Established
KEEPALIVE
NOTIFICATION
NOTIFICATION
KEEPALIVE
Esperando por um keepalive ou Notificationde um peer
OPENOPEN
NOTIFICATION
Esperando pela conexão TCP
Esperando pelo evento start
Tentando adquirir um peer
Negociação de vizinho completa
KEEPALIVE
UPDATE©md1302200235
14
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Mensagens do BGP
OPEN
Primeira mensagem enviada após o estabelecimento da conexão TCP e confirmada com um KEEPALIVE;
KEEPALIVE
Mensagens trocadas de 60 em 60 segundos para verificar o estado do peer;
UPDATE
Informação de prefixos de rede em si;
NOTIFICATION
Enviada quando ocorre um erro
Mensagem opcional:
ROUTE REFRESH
Pede ao vizinho para enviar as rotas novamente
AS-2AS-1
©md1302200234
15
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Mensagens do BGP - OPEN
OPEN
Primeira mensagem enviada após o estabelecimento da conexão TCP e confirmada com um KEEPALIVE;
Versão
Meu número AS
Tamanho param. op.
Parâmetros opcionais (variável)
Hold Time
Identificador BGP
16
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Componentes da mensagem OPEN
BGP Router ID: Configurado pelo administrador (formato de IPv4). Se
deixado branco, assume como Router ID o maior endereço IP configurado
no roteador.
My AS: Número AS do remetente
Hold Time: Tempo máximo entre mensagens sucessivas de keepalive e
update do remetente. Default = 180 segundos. Caso Hold Time = 0 roteador
não envia keepalive;
Version: Versão do BGP (corrente BGPv4)
Autenticação: Caso esteja sendo usada autenticação MD5 entre os peers
17
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Componentes da mensagem UPDATE
NLRI (Network Layer Reachability Information):
Lista dos prefixos de rede alcançáveis por esse caminho
Withdrawn Routes:
Lista dos prefixos de rede que estão sendo retiradas de serviço
Path Attributes:
Atributos dos prefixos anunciados (ou retirados).
Prefixos de rede Atributo1, Atributo2, Atributo3, .....
18
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Tipos de atributos
Atributos
Bem conhecidos
(Well Known)
Mandatórios
Discricionários
Opcionais
Transitivos
Intransitivos
Reconhecidos por todas
implementações BGP
Reconhecidos
opcionalmente
Presentes em todas
mensagens de update
Podem ou não estar
presentes nas mensagens
de update
Propagados para outros
roteadores, mesmo se
não suportados
Não propagados para
outros roteadores©md1302201203
19
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Atributos Bem Conhecidos Mandatórios
Os atributos bem conhecidos mandatórios são:
AS-Path:
Sequencia de AS’s por onde uma rede é acessível
Next-Hop:
Endereço IP do roteador do próximo salto
Origin:
Informa como a rota foi gerada: igp, egp ou incompleta (redistribuída)
20
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Atributos bem conhecidos
discricionários
Os atributos bem conhecidos discricionários são:
Local Preference:
Atributo utilizado para escolher um caminho preferencial de saída dentro de um AS.
Atomic Aggregate:
Esse atributo é inserido em uma rota quando o roteador que a originou fez uma sumarização (agregação) de rotas.
21
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Atributos opcionais
Intransitivos:
MED:
Multi Exit Discriminator utilizado para discriminar tráfego quando se tem mais de uma conexão para um mesmo AS;
Transitivos:
Community:
Valor numérico que pode ser inserido no anúncio com a finalidade de rotular uma determinada rota.
22
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Entendendo os atributos
Atributo AS-Path
O atributo AS-Path, contém uma lista dos AS’s pelos quais um determinado anúncio de rede passou.
Cada AS dentro do AS-Path é contado como um salto único no caminho, sendo um dos critérios utilizados para a escolha da melhor rota
É possível fazer manipulações de AS-Path, inserindo saltos fictícios para “prejudicar” um determinado caminho
Prefixo de rede AS-Path = AS-X, AS-Y, AS-Z, ... Outros atributos
Mensagem de update
23
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Entendendo o atributo AS-Path
©md1302200202
AS-100
AS-400
AS-200
AS-300
Rede 1.1.0.0/20
AS-Path 200, 100
AS-Path 300, 200, 100
REDE 1.1.0.0/20 AS-Path=300,200,100
AS-Path 100
24
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Entendendo o atributo AS-Path
Ao receber o a anúncio da rede 1.1.0.0/20, com o AS-Path 300, 200, 100, o AS-400 sabe que para chegar a essa rede tem que passar pelos AS’s 300, 200 e 100
25
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Prevenção de loopings de roteamento
©md1302200202
AS-100
AS-400
AS-200
AS-300
Rede 1.1.0.0/20
AS-Path 200, 100
AS-Path 300, 200, 100
AS-Path 100
AS-Path 400, 300, 200, 100
Ao ver seu próprio número AS, dentro do AS-Path, o BGP descarta o anúncio
26
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Entendendo os atributos
Atributo Next-Hop
O atributo Next-Hop indica o endereço IP do roteador que serve para o gateway daquela rede anunciada;
Normalmente o Next-Hop é o endereço IP do último roteador que fez o anúncio do prefixo de rede (comportamento típico do BGP entre AS’s diferentes);
Esse comportamento pode ser diferente em casos particulares, como quando o BGP é utilizado internamente em um AS ou em caso de mídia compartilhada;
Prefixo de rede Next-Hop = 10.10.10.10 Outros atributos
27
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Entendendo o atributo Next-Hop
©md1302201736
AS-100
AS-400
AS-200
AS-300
Next-Hop=10.1.1.5
REDE 1.1.0.0/20 AS-Path=300,200,100
10.1.1.1
10.1.1.5
Next-Hop=10.1.1.1
Next-Hop=10.1.1.9
10.1.1.9
Next-Hop=10.1.1.9
28
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Next-Hop com mídia compartilhada
©md1302201755
AS-10
AS-30
Rede 1.1.0.0/20
AS-20
10.1.1.1
10.1.1.2
10.1.1.3
REDE 1.1.0.0/20 AS-Path=10 Next-Hop=10.1.1.1
Estando na mesma subnet, o next-hop se mantém inalterado para otimizar o encaminhamento de pacotes.
REDE 1.1.0.0/20 AS-Path=10,20 Next-Hop=10.1.1.1
29
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Algoritmo de decisão do BGP
Uma vez que uma rota seja recebida por um roteador BGP:
1) É feito o processo de next-hop lookup (roteamento módulo A) para se determinar o se o gateway é alcançável e válido
2) É verificado se o atributo AS-Path não contém o endereço de AS local (para evitar loopings)
3) A rota não está rejeitada por filtros de roteamento
4) A primeira rota recebida é instalada e considerada o melhor caminho.
Prefixos de rede Atributo1, Atributo2, Atributo3, .....
30
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Algoritmo de decisão do BGP
1) Prefere a rota com maior WEIGHT (default = 0);
2) Prefere a rota com maior LOCAL-PREFERENCE (default = 100);
3) Prefere a rota com o menor AS-Path;
4) Prefere a rota originada localmente por agregação de rota ou por anúncio do próprio BGP;
5) Prefere a rota com a menor ORIGIN (igp < egp < incomplete);
6) Prefere a rota com a menor MED (default = 0);
7) Prefere a rota aprendidas por eBGP do que por iBGP;
8) Prefere a rota que vem do roteador com menor Router ID;
9) Prefere a rota com a menor lista de cluster de refletor de rotas (default = 0);
10) Prefere a rota que vem do vizinho com menor endereço IP.
Novas rotas recebidas passam pelo processo anterior e eventualmente
podem substituir a anterior pelos critérios abaixo:
31
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
eBGP
eBGP
BGP externo e BGP interno
©md1302201839
AS-10
AS-40
AS-30
R2
R1
R3
eBGP
iBGP
iBGP:Peerings entre roteadores do mesmo AS
eBGP:Peerings entre roteadores de AS’s externos AS-20
32
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
eBGP e iBGP
• Questões para discussão:
• 1) Havendo protocolos específicos para roteamento interno
como o OSPF, por exemplo, qual a razão pela qual
necessitaríamos usar o iBGP?
• 2) Os protocolos de roteamento interno normalmente
permitem que as rotas recebidas externamente por BGP
sejam distribuídas internamente. Porque então não usar essa
opção ao invés de iBGP?
• 3) O comportamento de um roteador falando iBGP é diferente
em relação ao eBGP. Qual seria o detalhe de configuração
que faz com que o roteador “saiba” que ele deve se
comportar como iBGP ou eBGP?
33
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Técnica de Split Horizon para o BGP
• Split Horizon é uma técnica utilizada em roteamento para
evitar que um esquema de roteamento crie loops, tornando
efetivamente roteamento mais eficiente.
• Quando um roteador em uma rede recebe um pacote de
informação de roteamento, ele não envia a mesma
informação de volta pelo caminho no qual a informação foi
recebida (ou seja, ao roteador adjacente que enviou a
informação). Ele somente envia as informações para outros
caminhos para que não haja a possibilidade do pacote ser
roteado de volta ao caminho originador.
• No BGP, o roteador tem dois “mundos” - o que é eBGP e o
que iBGP
34
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
1) Um BGP speaker pode anunciar para seus vizinhos iBGP os prefixos IP que aprendeu a partir de eBGP speakers.
eBGP
Regras do Split Horizon para o BGP
©md1302201839
AS-10
AS-40
AS-30
AS-20
R2
R1
R3
35
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
2) Um BGP speaker pode anunciar para seus vizinhos eBGP os prefixos IP que aprendeu a partir de iBGP speakers.
eBGP
Regras do Split Horizon para o BGP
©md1302201839
AS-10
AS-40
AS-30
AS-20
R2
R1
R3
36
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
3) Um iBGP speaker NÃO pode anunciar para seus vizinhos iBGP os prefixos IP que aprendeu a partir de iBGP speakers.
eBGP
Regras do Split Horizon para o BGP
©md1302201839
AS-10
AS-40
AS-30
AS-20
R2
R1
R3
37
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenários Práticos
38
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Evolução dos cenários
• Cenário 1 – Single Homed
Internet
Operadora Transito 1
SEU AS
©md1302192043
39
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
• Cenário 2 – Single Homed + PTT
Internet
Operadora Transito 1
SEU AS
PTT
AS1
AS1©md1302192044
Evolução dos cenários
40
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
• Cenário 3 – Dual Homed +
PTT
Internet
Operadora Transito 1
SEU AS
PTT
AS1
AS2
Operadora Transito 2
©md1302192045
Evolução dos cenários
41
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
• Cenário 4 – Dual Homed + PTT + iBGP
Internet
PTT
AS1
AS2
©md1302192258
TR2
TR1
Evolução dos cenários
42
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário I
Single-homed
43
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Preparação do cenário inicial
Grupo 1
R11, ASN=65011
PtP 172.16.11.2/30
R12, ASN=65012
PtP 172.16.12.2/30
R22, ASN=65022
PtP 172.16.22.2/30
R21, ASN=65021
PtP 172.16.21.2/30
RGR, ASN=650GR
PtP 172.16.GR.2/30
Grupo 2
R00, ASN=65000
172.16.0.GR.254/30
44
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Configurando a instancia e o Router ID
Grupo=G Router=R
ASN=650GR
Router ID=10.0.G.R
O RouterOS possibilita várias instancias do BGP no mesmo roteador;
Router ID é um identificador do roteador em forma de IP. Caso deixado em
branco será automaticamente computado escolhendo o menor IP
configurado no roteador;
R00, ASN=65000
PtP 172.16.21.2/30Exemplo para o R21
45
Recomenda-se sua configuração.
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Configurando o peer BGP
Grupo=G Router=R
AS remoto = 65000
IP remoto = 172.16.GR.1
Informar o número do AS e o endereço IP remotos e checar se a
sessão e estabelecida
R00, ASN=65000
PtP 172.16.21.2/30
Conf do R21 Conf do R00
46
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Configurando e publicando a rede do AS
21.21.0.2/20
21.21.0.1/20
Em networks indica-se quais redes oBGP deve originar (anunciar) a partirdesse roteador;
Com Synchronization habilitada umarede é anunciada somente se acorrespondente rota esteja presente naFIB;
Desabilitando o Synchronization, a redeé anunciada independentemente deestar na tabela;
Desabilitar a Sincronização ajuda o BGPconvergir mais rapidamente.
Rede de cada AS:
GR.GR.0.0/20
47
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Testando os resultados
Testar a conectividade entre laptops;
Verificar a tabela de rotas recebidas;
Simular um sequestro de rotas e discutir o comportamento do BGP;
Escolher Full routing ou partial routing?
Propor medidas para melhorar o atual setup.
48
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Filtrando os anúncios
Por default nada é filtrado e, uma vez que se estabeleçaum peer BGP, todos os anúncios desse peer serãorecebidos e irão para a RIB do BGP (e eventualmente aFIB). Da mesma forma, todas as redes anunciadas emnetworks serão publicadas para todos os peers ativos.
Os filtros de roteamento permitem que sejam controladostanto os anúncios que ingressam, como os que saem doroteador.
OperadoraTR1
Seu AS
©md1302192046
49
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Entendendo os filtros
Classificadores por características do prefixo, protocolo, marcas de roteamento, etc.
Classificadores por características dos atributos BGP existentes na rota.
Ações a serem tomadas com a rota, no sentido de aceitar, descartar, etc.
Ações a serem tomadas para modificar os atributos do BGP da rota.
Classificadores Ações
50
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Trabalhando com filtros
Quais seriam os filtros apropriados para essa topologiasingle-homed em questão?
Implementar e checar os resultados;
Propor uma medida para combater o sequestro de rotas.
OperadoraTR1
Seu AS
©md1302192046
51
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Tratamento de endereços BOGONS
• Endereços BOGONS são endereços públicos não reservados mas que ainda não foram alocados para tráfego.
Traditional bogons: Lista de prefixos ainda não alocados para os RIR’s;
Full bogons: lista de prefixos ainda não alocados pelos RIR’s para provedores/clientes finais
• Daremos um tratamento especial aos prefixos BOGONS, não descartando-os, mas colocando-os em blackhole.
52
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Tratamento de endereços BOGONS
• Para a obtenção de informações de prefixos bogons de forma automática, estabeleceremos uma sessão BGP com a Cymru –
http://www.team-cymru.org/
O roteador da cymru, passará as rotas bogons, com uma determinada COMMUNITY (65332:888)
53
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Atributo Community
• Uma community nada mais é que um rótulo, um número que serve como marcador para uma rota ou grupo de rotas e que identificará essa rota ou grupo de rotas para alguma ação específica.
• Exemplo: O Cymru insere a Community 65332:888 nas rotas que ela publica como BOGONS. Todas rotas recebidas do Cymru, que estejam com essa Community são tratadas como BOGONS e a elas é dada uma ação específica.
• Communities são números de 32 bits e por convenção, o formato é de dois números de 16 bits separados por “:”, da seguinte forma:
• AS_que_definiu_a_Community:Número_qualquer
54
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Fechando a sessão com o Cymru
1) Tentar fechar uma sessão com o Cymru (todos roteadores)
• AS: 65332
• IP: 38.229.66.20
• Quais os problemas encontrados para o fechamento?
55
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
BGP Multihop
• Quando a sessão BGP não é fechada na interface diretamente conectada é necessário informar ao BGP que a conexão é multihop e qual é o número de saltos para encontrar o peer.
56
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Filtrando as rotas do Cymru
• Aceitando as rotas do Cymru e colocando-as em blackhole: Evitando outras
entradas e saídas:
57
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Fechando a sessão com a HE
1) Fechar um túnel 6to4 com a HE (todos roteadores)
• IP: 216.218.229.118
• 2) Configurar IPv6 local
• IPv6 local = 2001:db8:GR::GR/64
• 3) Fechar sessão BGP
• AS: 6939
• IPv6 = 2001:db8:GR::1
• (Marcar a address Family IPv6)
58
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Fechando a sessão com a HE
1) Verificar as rotas IPv6 recebidas
• 2) Publicar suas redes IPv6 2001:GR::0/32
• 3) Configurar um IPv6 no seu roteador 2001:GR::1/64
• 4) Checar conectividade V6 2001:a::1
59
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário II
Single-Homed + PTT
60
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Definição de PTT
• PTT – Ponto de Troca de Tráfego (em inglês IXP - Internet Exchange Point)
• Solução de Rede com o objetivo de viabilizar a conexão direta entre as entidades que compõem a Internet, os Sistemas Autônomos (AS).
• Um PTT otimiza a interconexão entre AS, possibilitando:
– Melhor qualidade (menor latência) – evita intermediários externos;
– Menor custo;
– Maior organização da estrutura de rede regional (pontos concentradores).
61
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Evolução dos cenários
• Cenário 2 – Single Homed + PTT
Internet
Operadora Transito 1
SEU AS
PTT
AS1
AS1©md1302192044
62
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Configurando a conectividade física
• Nosso provedor hipotético tem a conectividade física adquirida do operador TR1, de quem compra IP dedicado para acesso à Internet e irá adquirir desse mesmo fornecedor transporte de camada 2 até o PTT.
• Desta forma, pelo mesmo enlace deverão circular os dois serviços separadamente.
• Usaremos para tanto Vlan’s diferentes para as duas finalidades.
63
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Dados para a configuração das Vlan’s
• Vlan de trânsito:
Nome*: VlanGR
VlanID: GR
IP = 172.16.GR.2 (o mesmo anterior passado para a Vlan)
• Vlan com o PTT:
Nome*: VlanPTT
VlanID: 100
IP = 172.30.0.GR/23
*opcional
64
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Configurando as conexões com os participantes do PTT
• No PTT temos vários tipos de acordo de troca de tráfego e o mais comum para provedores de acesso é o ATM – Acordo de Troca de Tráfego Multilateral.
• Nosso provedor hipotético aderiu ao ATM, ou seja, trocará tráfego entre todos os participantes aderentes ao ATM. Em princípio isso pressupõe que cada AS feche uma sessão BGP com todos os outros.
Em nossa sala de aula, quantas conexões TCP teremos que estabelecer?
• Imaginando que temos 500 participantes do ATM em um PTT de fato, quantas conexões TCP ao todo teriam que ser suportadas pela estrutura do PTT?
65
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Refletores de Rotas (RouteReflectors)
• Conceito de Route-Reflector
66
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Configurando a conectividade com o PTT
• Ao invés de estabelecermos conexões um a um, faremos todos conexões com um roteador do PTT que servirá para propagar as rotas de todos os outros.
• Dados para a conectividade:
• AS do PTT: 65555
• IP do refletor de rotas do PTT: 172.30.0.1
67
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Analisando os resultados
Verificar as tabelas de rotas;
Qual foi a rota preferida por exemplo para o AS65011, chegar na rede do AS 65021?
Fazer uma análise dos AS-Path’s de cada rota. Oque precisa ser ajustado para que o PTT sejasempre escolhido como a melhor rota?
O que acontece se o AS 65011 corta seu transitoIP com a Internet mas mantém a conexão com oPTT?
68
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Trabalhando com filtros
Quais seriam os filtrosapropriados que evitamo efeito de transitoindesejado?
Implementar e checaros resultados
TR1
Seu AS
©md1302192046
PTT
69
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Alguns filtros de boas práticas
• Implementaremos como padrão alguns filtros de entradas baseados em “boas práticas” que serão comuns a todos os peers:
Descartar o recebimento do seu próprio prefixo (e sub redes);
Descartar redes privadas e reservadas previstas na RFC 5735;
Descartar a rota default (pois estamos recebendo full routing);
Descartar anúncios de redes menores que /24;
Descartar anúncios que tenham mais de X AS’s no AS-Path;
Limitar a quantidade de prefixos recebidos de um peer (não é filtro).
• Questão: É necessário descartar o recebimento do próprio número AS no AS-Path?
70
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
RFC 5735 – Tabela resumida (1/2)
Address Block Present Use Reference
----------------------------------------------------------------------------------
• 0.0.0.0/8 "This" Network RFC 1122, Section 3.2.1.3
• 10.0.0.0/8 Private-Use Networks RFC 1918
• 127.0.0.0/8 Loopback RFC 1122, Section 3.2.1.3
• 169.254.0.0/16 Link Local RFC 3927
• 172.16.0.0/12 Private-Use Networks RFC 1918
• 192.0.0.0/24 IETF Protocol Assignments RFC 5736
• 192.0.2.0/24 TEST-NET-1 RFC 5737
• 192.88.99.0/24 6to4 Relay Anycast RFC 3068
71
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
RFC 5735 – Tabela resumida (2/2)
Address Block Present Use Reference
-----------------------------------------------------------------------------------
• 192.168.0.0/16 Private-Use Networks RFC 1918
• 198.18.0.0/15 Device Benchmark Testing RFC 2544
• 198.51.100.0/24 TEST-NET-2 RFC 5737
• 203.0.113.0/24 TEST-NET-3 RFC 5737
• 224.0.0.0/4 Multicast RFC 3171
• 240.0.0.0/4 Reserved for Future Use RFC 1112, Sect 4
• 255.255.255.255/32Limited Broadcast RFC 919, Section 7 RFC 922, Section 7
72
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Trabalhando com filtros
Fazer os filtros indicados(selecionar pelo menos 3da RFC5735)
Implementar e checaros resultados
TR1
Seu AS
©md1302192046
PTT
73
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário III
Dual-Homed + PTT
74
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário III – Dual Homed + PTT
• Neste cenário os roteadores RG1 e RG2 se interligarão, sendo que RG2, será o segundo provedor de transito para RG1
R11, ASN=65011
PtP 172.16.11.2/30
R12, ASN=65012
PtP 172.16.12.2/30
R22, ASN=65022
PtP 172.16.22.2/30
R21, ASN=65021
PtP 172.16.21.2/30
Grupo 1 Grupo 2
75
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário III – Dual Homed + PTT
Internet
Operadora Transito 1
SEU AS
PTT
AS1
AS2
Operadora Transito 2
©md1302192045
76
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário III – Dual Homed + PTT
Estabelecer os peers BGP
Adaptar os filtros existentes
R11, ASN=65011
PtP 172.16.11.2/30
R12, ASN=65012
PtP 172.16.12.2/30
R22, ASN=65022
PtP 172.16.22.2/30
R21, ASN=65021
PtP 172.16.21.2/30
Grupo 1 Grupo 2
77
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de tráfego de download e upload
78
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de tráfego
• Princípios básicos:
1) Nosso download é consequência de como o resto do mundo nos enxerga e portanto, resultado de como manipulamos nossos anúncios;
2) Nosso upload é consequência de como enxergamos o resto do mundo e portanto, resultado de como aceitamos as rotas que nos anunciam;
3) O tráfego de download e upload não tem qualquer relação entre si;
79
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de tráfego
1) Prefere a rota com maior WEIGHT (default = 0);
2) Prefere a rota com maior LOCAL-PREFERENCE (default = 100);
3) Prefere a rota com o menor AS-Path;
4) Prefere a rota originada localmente por agregação de rota ou por anúncio do próprio BGP;
5) Prefere a rota com a menor ORIGIN (igp < egp < incomplete);
6) Prefere a rota com a menor MED (default = 0);
7) Prefere a rota aprendidas por eBGP do que por iBGP;
8) Prefere a rota que vem do roteador com menor Router ID;
9) Prefere a rota com menor lista de cluster de refletor de rotas (default = 0);
10) Prefere a rota que vem do vizinho com menor endereço IP.
A manipulação de tráfego se dará pelo tratamento dos atributos do BGP
que são analisados na seguinte ordem:
80
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de tráfego
• No RouterOs os atributos são manipulados com a configuração de filtros de roteamento da seguinte forma:
1) Se downloads são consequências de como anunciamos nossas rotas para o mundo, filtros para controlar downloads tem que ser colocados nas saídas de nossos peers;
2) Se uploads são consequências de como recebemos as rotas do mundo, filtros para manipular uploads tem que ser colocados nas entradas de nossos peers;
81
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de tráfego
• Ferramentas para diagnóstico de resultados de uma política de roteamento:
• 1) Ferramentas (mais ou menos) mentirosas:
Ping, traceroute, torch, bandwidth test.
• 2) Onde consultar:
Resultados de políticas de upload: Nossa tabela de rotas
Resultados de políticas de download: Nossas rotas nos Looking glasses
82
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de uploads
• Para influenciar diretamente em um roteador, manipulando como este envia seu tráfego, temos basicamente dois atributos que podem ser manipulados:
Weight
Local-Preference
• Ambos terão o mesmo efeito prático quando se tratar de um roteador único, sendo que o Weight é o primeiro critério a ser analisado da lista dos atributos do BGP.
83
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de uploads - Weight
• Weight
• Dá um “peso” determinado
para as rotas recebidas por
um determinado peer. Rotas
com maior peso, tem
preferência. O padrão é
Weight=0
• Weight de fato não é um
atributo verdadeiro do BGP,
pois não se propaga dentro
do anúncio BGP. Vale
apenas para o roteador onde
foi configurado.
TR1
©md130230052
PTT
1.1.0.0/20Weight=10
1.1.0.0/20Weight=0
84
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de uploadsLocal-Preference
• Local-Preference
• Seta uma preferência para as
rotas recebidas por um
determinado peer. Rotas com
maior Local-Preference, tem
preferência. O padrão é
Local-Preference=100
• Local-Preference é um
atributo que se propaga
dentro do AS em que foi
definido, sendo informado a
todos roteadores. Não se
propaga para outros AS’s.
TR1
©md130230108
PTT
1.1.0.0/20LP =150
1.1.0.0/20LP = 100
85
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de uploads - LAB
• Weight e Local Preference
• Verifique por onde está fluindo o seu tráfego
nesse momento.
• Utilizando Weight force com que esse tráfego
saia pelo outro caminho.
• Repita o procedimento, só que usando Local
Preference.
86
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de downloads
Basicamente há 4 formas de se influenciar em como os downloads chegam em seu AS;
Controle de publicações de redes mais ou menos específicas;
Manipulações de envio do atributo AS-Path
Manipulação do atributo MED
Uso de Communities, quando definidas por terceiros
87
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de downloadsAtributo MED
MED (Multi Exit Discriminator) é uma sinalização de um AS para outro vizinho;
Indica o caminho preferencial para a entrada do tráfego em um AS;
O caminho sinalizado com a menor MED será o escolhido pelo AS vizinho para o envio do tráfego. Default = 0;
Funciona somente quando há duas ou mais conexõesentre dois AS’s.
TR1
©md1302230153
PTT
MED=20
MED=30
AS-X
88
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de downloadsAtributo MED
• Funcionamento do atributo MED
• No exemplo ao lado o Roteador do PTT compara os valores de MED recebidos do AS-X e escolhe para envio do tráfego o de MED = 20
• O valor de MED = 10 anunciado por TR1 é ignorado pois MED é critério de decisão somente quando há 2 ou mais conexões entre AS’s.
TR1
©md1302230153
PTT
MED=20
MED=30
MED=10
AS-X
89
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de downloadsAnúncios mais ou menos
específicos• Seja o cenário abaixo no qual o
administrador do AS-X quer “equilibrar” os downloads e ainda ter redundância, utilizando política de anúncios.
• Supondo que os endereços IP estão igualmente distribuídos no AS, ele faz os anúncios da primeira metade do /20 por um peer e da segunda pelo outro.
• Para que haja redundância, o anúncio do /20 total é feito pelos dois peers
TR1
©md130230052
TR2
1.1.0.0/211.1.0.0/20
1.1.8.0/211.1.0.0/20
AS-X
90
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de downloads por anúncios mais ou menos
específicos - LAB
Faça o anúncio de metade dos seus prefixos para a operadora de transito-2 e a outra metade para a operadora de transito-1. Anuncie o /20 total pelas duas;
Cheque os resultados;
O que acontece com o PTT?;
Discutir os efeitos colaterais desse tipo de política
91
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de downloadsTécnica de AS-Path prepend
• Técnica de AS-Path prepend – antes de fazer prepend
AS-20
AS-10
©md1302230258
AS-30
1 Gbps
100 Mbps1.1.0.0/20
Direção do tráfego
92
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de downloadsTécnica de AS-Path prepend
• Técnica de AS-Path prepend – “prependando” 2 vezes o número AS
AS-20
AS-10
©md1302230258
AS-30
1 Gbps
100 Mbps1.1.0.0/20
Direção do tráfego
93
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Manipulação de downloads porTécnica de AS-Path prepend
LAB
Desfaça os anúncios específicos do LAB anterior;
Verifique como suas rotas estão aparecendo nos looking glasses e constate que os participantes do PTT o encontram pelo PTT;
Utilizando a técnica de AS-Path prepend, faça com que todo o tráfego, inclusive dos participantes do PTT seja encaminhado pelo operador de transito 2.
94
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário IV
iBGP com 4 roteadores
operadora de transito com 2
links e PTT
95
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário IV – iBGP com 4 roteadores, duas conexões de
trânsito + PTT
Montar a estrutura física abaixo
Retirar todos os filtros existentes
ASN = 65002
Grupo 1Grupo 2
ASN = 65001
96
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário IV – conectividade IP
Grupo G
ASN = 6500G
192.168.G.0/30
192.168.G.8/30
192.168.G.4/30 192.168.G.12/30
12
5
6
9 10
13
14
RG1RG2
RG3 RG4
97
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Interfaces de Loopback
• Em roteamento dinâmico é bastante comum o uso de interfaces de loopback, que são interfaces virtuais associadas a um roteador.
• Interfaces de loopback permanecem sempre ativas (up), mesmo que as interfaces físicas estejam inativas (down). Isso possibilita que um roteador, que seja referenciado por uma interface de loopback, seja alcançado por diferentes caminhos em caso de falhas de alguma(s) interface(s).
• O Mikrotik RouterOS possui uma interface de loopback nativa que não é acessível para configurações, mas podem ser criadas outras interfaces de loopback. Existem várias formas de se fazer isso, sendo a mais fácil a criação de uma bridge sem qualquer interface associada a ela.
• /interface bridge add name=loopback
98
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário IV – Interfaces de loopback
• Criar as interfaces de loopback e configurar os IP’s da seguinte forma:
• Grupo = G
• Roteador = R
• IP = 10.0.G.R
99
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário IV – iBGP 4 roteadores + trânsito + PTT
InternetPTT
AS1
AS2
©md1302192258
TR1
100
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
iBGP:Peerings entre roteadores do mesmo AS
eBGP:Peerings entre roteadores de AS’s externos
eBGP
eBGP
BGP externo e BGP interno
©md1302201839
AS-10
AS-40
AS-30
AS-20
R2
R1
R3
eBGP
iBGP
101
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
eBGP e iBGP
• Questões para discussão:
1) Havendo protocolos específicos para roteamento interno como o OSPF, por exemplo, qual a razão pela qual necessitaríamos usar o iBGP?
2) Os protocolos de roteamento interno normalmente permitem que as rotas recebidas externamente por BGP sejam distribuídas internamente. Porque então não usar essa opção ao invés de iBGP?
3) O comportamento de um roteador falando iBGP é diferente em relação ao eBGP. Qual seria o detalhe de configuração que faz com que o roteador “saiba” que ele deve se comportar como iBGP ou eBGP?
102
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Técnica de Split Horizon para o BGP
• Split Horizon é uma técnica utilizada em roteamento para evitar que um esquema de roteamento crie loops, tornando efetivamente roteamento mais eficiente.
• Quando um roteador em uma rede recebe um pacote de informação de roteamento, ele não envia a mesma informação de volta pelo caminho no qual a informação foi recebida (ou seja, ao roteador adjacente que enviou a informação). Ele somente envia as informações para outros caminhos para que não haja a possibilidade do pacote ser roteado de volta ao caminho originador.
• No BGP, o roteador tem dois “mundos” – o que é eBGP e o que iBGP
103
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
1) Um BGP speaker pode anunciar para seus vizinhos iBGP os prefixos IP que aprendeu a partir de eBGP speakers.
eBGP
Regras do Split Horizon para o BGP
©md1302201839
AS-10
AS-40
AS-30
AS-20
R2
R1
R3
104
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
2) Um BGP speaker pode anunciar para seus vizinhos iBGP os prefixos IP que aprendeu a partir de eBGP speakers.
eBGP©md1302201839
AS-10
AS-40
AS-30
AS-20
R2
R1
R3
105
Regras do Split Horizon para o BGP
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
3) Um iBGP speaker NÃO pode anunciar para seus vizinhos iBGP os prefixos IP que aprendeu a partir de iBGP speakers.
eBGP©md1302201839
AS-10
AS-40
AS-30
AS-20
R2
R1
R3
106
Regras do Split Horizon para o BGP
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário IVConfigurações de conectividade
• Devido às regras de Split Horizon do iBGP, é necessário que haja Full Mesh entre os roteadores participantes do iBGP. Ou seja, cada roteador fechará sessão BGP com todos os outros.
• Para garantir a redundância de caminhos as sessões deverão ser estabelecidas nas interfaces de loopback. Portanto deveremos:
1) Para que as interfaces de loopback se “enxerguem” um IGP deverá ser configurado – utilizar para tanto o OSPF (configurar um OSPF básico);
2) Testar o OSPF configurado pingando a partir do seu roteador, todas as interfaces de loopback dos vizinhos;
3) Estabelecer as sessões iBGP e reportar os resultados.
107
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário IVForçando a loopback
• O protocolo BGP é estabelecido sobre uma sessão TCP. O endereço IP de origem da sessão normalmente é o da interface de saída. Portanto deveremos forçar que o IP de origem seja o IP da interface de loopback.
ou
108
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário IVDistribuições de rotas
• Uma vez estabelecidas todas as sessões iBGP, verificar como estão instaladas as rotas.
• Comparar as rotas nos roteadores que tem conectividade externa direta (1 e 4 de cada grupo) com os que não tem conectividade externa direta (2 e 3)
Qual é a diferença básica?
Analisar o porque desse comportamento.
109
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Atributo Next-Hop
©md1302201736
AS-100
AS-400
AS-200
AS-300
Next-Hop=10.1.1.5
REDE 1.1.0.0/20AS-
Path=300,200,100
10.1.1.1
10.1.1.5
Next-Hop=10.1.1.1
Next-Hop=10.1.1.9
10.1.1.9
Next-Hop=10.1.1.9
110
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Atributo Next-Hop
O atributo Next-Hop indica o endereço IP do roteador que serve para o gateway daquela rede anunciada;
Normalmente o Next-Hop é o endereço IP do último roteador que fez o anúncio do prefixo de rede (comportamento típico do BGP entre AS’s diferentes);
No caso do iBGP os anúncios não são alterados e portanto o next-hop recebido pelo roteador de borda permanece o mesmo quando este anuncia para dentro da rede.
Prefixo de rede Next-Hop = 10.10.10.10 Outros atributos
111
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário IVForçando o next-hop
• Para que o next-hop anunciado para dentro da rede seja alcançável, os roteadores de borda devem colocar-se como next-hop.
Aplicar esta configuração e checar os resultados nas rotas instaladas em todos os roteadores.
112
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Cenário IVLaboratórios adicionais
• Com base em tudo que foi visto até o momento, cada AS deverá configurar os filtros e anúncios apropriados, que garantam:
1) Desabilitar a conectividade com o PTT. Depois disso, fazer com que os uploads de todos roteadores do AS sejam feitos via o link ser feitos pelo link estabelecido com a operadora pelo roteador G1, exceto o do roteador G4
2) Testar o OSPF configurado pingando a partir do seu roteador, todas as interfaces de loopback dos vizinhos;
3) Estabelecer as sessões iBGP e reportar os resultados.
113
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
MPLS - Multi Protocol Label Switching
114
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
MPLS não é considerado um procotolo, mas um framework multi função. Este framework incorpora conceitos, mecanismos e protocolos para implementar melhorias às tecnologias de camada 2 e camada 3 do modelo OSI.
Principais vantagens:
Coexistência de múltiplos tipos de tráfego na mesma rede;
Gerência e redundância em caso de falhas; Alta performance de encaminhamento.
MPLS – Multi Protocol Label Switching
115
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
O MPLS se encaixa no modelo OSI?
Sendo uma estrutura que agrega melhorias para a camada 2 e para a
camada 3 do modelo OSI torna-se difícil encaixá-lo dentro das
camadas desse modelo.
O MPLS por si só não pode ser considerada uma camada do modelo
OSI, uma vez que não têm um formato uniforme para o transporte de
dados a partir da camada de rede: utiliza-se um cabeçalho sobre
SONET ou Ethernet, o qual utiliza o VPI / VCI ATM existente, etc. No
entanto, uma função individual do MPLS poderia ser considerada como
camada 3 ou função de camada 2 do modelo OSI.
Referência: http://www.brocade.com/solutions-technology/technology/ethernet-
technology/mpls.page
116
MPLS – Multi Protocol Label Switching
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Substitui a decisão de roteamento IP por pacotes (baseada em campos
do cabeçalho IP, normalmente endereço IP de destino) e tabelas de
roteamento. Esta abordagem acelera o processo de roteamento porque
a pesquisa do próximo salto (hop) se torna muito simples comparado ao
roteamento por lookup.
Eficiência do encaminhamento de pacotes é a maior vantagem do MPLS.
117
MPLS – Multi Protocol Label Switching
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Pode ser usado com qualquer protocolo da camada 3;
Padrão definido com base em diversas tecnologias similares;
Definido como uma camada intermediária entre as camadas 2 e 3, fazendo com que estas se “encaixem” melhor;
Também chamado de Layer 2.5.
O cabeçalho pode ser formado por um ou vários campos 32bit:
Label (20 bits) - RótuloEXP (3 bits) – Classe do Serviço experimental)End of stack flag(1 bit) – Fim da pilhaTTL (8 bits) – Tempo de vida
Cabeçalho MPLS
118
MPLS – Multi Protocol Label Switching
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Como o MPLS funciona:
Roteadores nas extremidades da nuvem MPLS adicionam rótulos (labels) no cabeçalho do pacote IP;
O rótulo é baseado em algum critério (ex.: endereço IP de destino) e é utilizado para o encaminhamento nos próximos roteadores (nós);
Os roteadores na saída das extremidades da nuvem MPLS removem os rótulos e entregam o pacote IP na interface apropriada.
©md1402041914
IPWorld
IP World
MPLSWorld
©Copyright md brasil - direitos reservados119
MPLS – Multi Protocol Label Switching
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
MPLS - Terminologia
Label Switch Router (LSR) – Todo roteador que suporta o MPLS é um LSR. O LSR é responsável por encaminhar o tráfego de dados no LSP.
Existem 4 tipos diferentes de LSR:
Ingress Router – É a única entrada de dados do LSP no
MPLS. O Ipv4 é encapsulado no MPLS e adicionado o label pelo LabelPush Operation. Todo LSP tem que ter um e somente um Ingress Router;
Transit Router – Todos os roteadores localizados no meio do
LSP são considerados Transit Router. O máximo de roteadores em um LSP são 255 e temos 2 deles para entrada e saída, portanto o máximo de Transit Routers são 253;
120
Label Switch Path (LSP) – Cada caminho de rede
criado pelo MPLS é um LSP. Esses caminhos são unidirecionais e se limitam ao AS ou domínio da rede. O LSP é um caminho só de ida.
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Penultimate Router – Um dos Transit Router do LSP, o penúltimo, tem uma função específica: Ele faz o Label Pop Operation que é a retirada da informação MPLS do pacote. Depois de consultar a tabela switching MPLS ele envia o pacote IPv4 para o último roteador do LSP;
Egress Router – É o ponto final do LSP. Todo LSP tem que ter um e somente um Egress Router que entrega o pacote Ipv4 para o destino.
121
MPLS - Terminologia
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Alguns rótulos (labels) são reservados pelo IETF para uso específico:
0 - IPv4 Explicit NULL – Esse rótulo é usado somente quando o IPv4 segue o cabeçalho MPLS;
1 - Router Alert Label – Indica que o pacote deve ser enviado para processamento no Routing Engine e não deve ser encaminhado como um pacote normal;
2 - IPv6 Explicit NULL – Válido apenas quando o IPv6 segue o cabeçalho MPLS.
122
MPLS - Terminologia
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
3 - Implicit NULL – Esse valor não deve aparecer no cabeçalho do MPLS. Um
roteador recebendo esse rótulo do vizinho precedente ao fluxo informa que ele deve
remover os rótulos antes de entregar para o próximo roteador. É usado no
Penultimate Router;
4 até 15 – Reservado para uso futuro;
0 até 1023 – Uso dos rótulos.
Observação: São 1024 rótulos entre os roteadores e não para a nuvem MPLS.
123
MPLS - Terminologia
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
MPLS – Funcionamento Básico
Quando um pacote é encaminhado de um roteador para outro através de um protocolo de rede sem conexão, cada roteador analisa este pacote e toma decisões independentes sobre para onde enviar o pacote. Isto significa que cada roteador analisa o cabeçalho e roda o seu próprio algoritmo de roteamento.
Porém os cabeçalhos dos pacotes contém muito mais informação do que é preciso para se determinar para onde será o próximo salto (hop). No entanto, a tarefa de rotear um pacote através de determinada rede pode ser separada em duas operações distintas:
124
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
A primeira seria a de determinar a FEC (Forwarding Equivalence
Class), que seriam todas as possibilidades de encaminhamento de um
pacote através da rede.
A segunda correlaciona cada FEC com um próximo salto. Cada FEC
é relacionada a um LSP. Os LSP são caminhos determinados dentro da
nuvem MPLS. Uma FEC pode ser associada a mais de um LSP, porém
com todos apresentando mesma origem e mesmo destino.
FEC = CEE (Classe de Equivalência de Encaminhamento)
125
MPLS – Funcionamento Básico
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
No MPLS a associação do pacote com uma determinada FEC é feita apenas uma vez, quando o pacote entra na rede através do LER (Label Edge Router) - figura acima. A FEC a qual o pacote está associado é codificada através de um rótulo de tamanho fixo que é inserido entre a camada de enlace (link layer) e a camada de rede (network layer).
126
MPLS – Funcionamento Básico
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Nos saltos subseqüentes não há nenhuma análise do cabeçalho da camada de rede do pacote. A cada Roteador Comutador de Rótulos (Label Switch Router – LSR) pelo qual o pacote passa, os rótulos são trocados pois cada rótulo representa um índice na tabela de encaminhamento do próximo roteador. Sendo assim, quando um pacote rotulado chega, o roteador procura em sua NHLFE (Next Hop Label ForwardingEntry) pelo índice representado pelo rótulo e ao encontrar este índice o roteador substitui o rótulo de entrada por um rótulo de saída associado à FEC a que pertence o pacote. Após completada a operação de troca de rótulos o pacote é encaminhado pela interface que está especificada na tabela de roteamento.
Quando o pacote chega ao LER de saída da rede MPLS, o rótulo é removido e o pacote é encaminhado pela interface associada à FEC a qual pertence o pacote.
127
MPLS – Funcionamento Básico
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
MPLS em ação
©md1402051035
MPLS World
Dst-IP Out Label
1.1.1.1 A
Assign Label
In-Label Out-Label
A B
Label Swapping
IP
1.1.1.1In-Label Out-Label
B C
Label Swapping
In Label Dst-IP
C 1.1.1.1
Remove Label
©Copyright md brasil - direitos reservados 128
MPLS – Funcionamento Básico
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Distribuição de rótulos:
Existem 3 métodos para a distribuição de rótulos:
LABEL DISTRIBUTION
©md1402051807
LDPLabel Distribution Protocol
RSVP-TEResource Reservation Protocol
Traffic Engineering
BGPBorder Gateway Protocol
129
MPLS – Funcionamento Básico
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
LDP (Label Distribution Protocol)
LDP é usado entre dois nós da rede MPLS para estabelecer e manter a tabela de rótulos;
LDP tem quatro funções:
Descoberta;
Gerência;
Anúncios;
Notificações.
LDP
130
MPLS – Funcionamento Básico
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
LDP (Label Distribution Protocol)
Para manter a operação MPLS correta, a distribuição de rótulos deve ser transmitida com confiabilidade. O TCP é usado para estabelecer as sessões entre os LSR’s;
UDP é usado para funções de descoberta e anúncios. Essas mensagens são enviadas para 224.0.0.2, onde é pressuposto que todos os roteadores sejam confiáveis;
Criptografia MD5 pode ser usadoa para as mensagens LDP (RFC5036 session 2.9) mas ainda não é suportado no RouterOS.
LDP
©Copyright md brasil - direitos reservados 131
MPLS – Funcionamento Básico
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
RSVP-TE (Resource Reservation Protocol –Traffic Engineering)
RSVP-TE é uma extensão do protocolo RSVP e suporta a reserva de recursos através da rede IP;
Possibilidade de estabelecer um LSP usando uma rota completa ou parcialmente explícita;
Estabelece restrições para o LSP, como limitação de banda e propriedades de links.
RSVP TE
©Copyright md brasil - direitos reservados 132
MPLS – Funcionamento Básico
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
BGP (Border Gateway Protocol)
BGP pode ser usado para transportar vários protocolos além do IPv4. (BGP Multiprotocol ou M-BGP)
No MPLS podemos usar o BGP para sinalizar informações sobre:
VPN’s de camada 2
VPN’s de camada 3 (VPNv4)
©Copyright md brasil - direitos reservados 133
MPLS – Funcionamento Básico
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
MPLS – Aplicação
Na forma mais simples o MPLS pode ser pensado para melhorar o roteamento - os rótulos são distribuídos por meio do protocolo LDP (Label DistribuitionProtocol) para rotas que estão ativas e pacotes rotulados pelo mesmo caminho que pacotes não rotulados.
MPLS permite a criação de Redes Virtuais Privadas garantindo um isolamento completo do tráfego com a criação de tabelas de "labels" (usadas para roteamento) exclusivas de cada VPN.
Além disso é possível realizar QoS (Quality of Service) com a priorização de aplicações críticas, dando um tratamento diferenciado para o tráfego entre os diferentes pontos da VPN. QoS cria as condições necessárias para o melhor uso dos recursos da rede, permitindo também o tráfego de voz e vídeo.
134
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Levando em conta a complexidade, novos protocolos e aplicações que o
MPLS introduz e as diferenças de conceitos acrescentadas aos
roteadores/bridges da rede, recomenda-se a compreensão profunda dos
conceitos antes de implementar em uma rede em produção.
Links para estudo e pesquisa:
http://wiki.mikrotik.com/wiki/MPLS
http://en.wikipedia.org/wiki/Multiprotocol_Label_Switching
http://www.ietf.org/rfc/rfc3031.txt
http://www.amazon.com/MPLS-Fundamentals-Luc-Ghein/dp/1587051974
135
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Engenharia de Tráfego com Túneis TEAplicação de QoS
136
Cenário
Nuvem MPLS homogênea entre os roteadores
OSPF entre os roteadores
Utilização de interfaces loopback
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Túneis TE é uma forma de estabelecermos um LSP em uma nuvem MPLS. É utilizado o protocolo RSVP (Resource Reservation Protocol) e a finalidade do túnel é semelhante ao LDP, mas com algumas características adicionais:
Possibilidade de estabelecer um LSP usando uma rota completa ou parcialmente explícita;
Estabelece restrições para o LSP, como limitação de banda e propriedades de links.
137
Engenharia de Tráfego com Túneis TEAplicação de QoS
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Túneis TE são iniciados no Ingress Router. O roteador envia mensagens RSVP Path contendo os parâmetros necessários para o último roteador do LSP. Roteadores ao longo do caminho (LSRs) transmitem as mensagens para o Next Hop, assim como as restrições do LSP. Assim que as mensagens atingem o final do túnel, o Egress Router envia mensagens RSVP Resv na direção oposta. Cada LSR que recebe estas mensagens, aloca largura de banda necessária no link. Uma vez que o Egress Router recebe uma mensagem RSVP Resv de sucesso, o túnel é estabelecido. O túnel é atualizado periodicamente usando as mensagens de RSVP Path e RSVP Resv.
138
Engenharia de Tráfego com Túneis TEAplicação de QoS
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Características do MPLS TE:
Por padrão o Egress Router de um túnel TE anuncia um rótulo EXPLICIT NULL para que não ocorra o Penultimate Hop Popping (isto é feito para transmitir as informações de QoS – campo EXP do cabeçalho MPLS). A configuração da “loopback” neste caso, é apenas para que as extremidades do túnel não sejam afetadas pelas mudanças de estado do link;
Para usar CSPF para selecionar os caminhos para os túneis, o OSPF deve estar configurado e operacional em toda a nuvem MPLS.
Podemos encaminhar o tráfego para um Túnel TE através de roteamento ou usando túneis VPLS já construídos, configurando apenas o Túnel TE como tranporte do mesmo, desta forma podemos inserir restrições ao mesmo como a limitação de banda.
139
Engenharia de Tráfego com Túneis TEAplicação de QoS
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Conectividade entre os roteadores, interfaces loopback e OSPF
Configurar endereçamento IP entre os roteadores e interface “loopback”;
Configurar OSPF entre os roteadores configurando na instância o mpls-
te-router-id e mpls-te-area.
Para o êxito da instalação precisamos de informações de alcançabilidade
das interfaces loopback em cada roteador. O CSPF (extensão do OSPF) é
configurado para transportar as informações das reservas dos túneis TE.
140
Engenharia de Tráfego com Túneis TE
Laboratório
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
MPLS – Reserva dos recursos
No menu mpls traffic-eng interface adicionar 10 Mbps no parâmetro
bandwidth para cada interface que participará do mpls (as mesmas
que participam do OSPF).
As configurações são as mesmas em todos os roteadores, alterando
apenas as interfaces que terão as reservas configuradas, ou seja, as
interfaces que estão escutando o OSPF exceto a loopback, pois não
existe necessidade de reserva para a mesma. A reserva de banda não
se traduz em limitação de banda, a mesma deverá ser imposta nas
configurações do próprio túnel TE.
141
Engenharia de Tráfego com Túneis TE
Laboratório
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Configuração dos túneis TE
Nos roteadores G1R3 e G2R3, configurar um tunnel path com as rotas restritas aos saltos (roteadores) que desejamos encaminhar o túnel e outro dinâmico, não esquecendo, em ambos, de definir o uso do CSPF;
Criar o túnel TE no menu Interfaces, entre os roteadores G1R3 e G2R3, definindo a largura da banda do túnel assim como o limite da mesma, os caminhos primário e secundário além de habilitar o parâmetro record-route.
142
Engenharia de Tráfego com Túneis TE
Laboratório
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
São exibidos os rótulos atribuídos pelo MPLS, o caminho do túnel, a reserva de banda e a limitação de banda.
143
[admin@G1R3] > interface traffic-eng monitor 0
tunnel-id: 1
primary-path-state: established
primary-path: toG2R3
secondary-path-state: not-necessary
active-path: toG2R3
active-lspid: 1
active-label: 16
explicit-route: S:192.168.1.5/32,S:192.168.1.2/32,S:192.168.1.1/32,
S:172.16.11.2/32,S:172.16.11.1/32,S:172.16.21.1/32,
S:172.16.21.2/32,S:192.168.2.1/32,S:192.168.2.2/32,
S:192.168.2.5/32,S:192.168.2.6/32
recorded-route: 192.168.1.2[16],172.16.11.2[16],172.16.21.1[16],
192.168.2.1[16],192.168.2.5[16],192.168.2.6[0]
reserved-bandwidth: 5.0Mbps
rate-limit: 5.1Mbps
rate-measured-last: 0bps
rate-measured-highest: 0bps
Engenharia de Tráfego com Túneis TE
Laboratório
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Note que a largura de banda restante na interface diminuiu. Isso significa que, se vários túneis são criados e a largura de banda total, na interface em questão, for utilizada, o túnel tentará um caminho diferente.
Túneis TE são unidirecionais, ou seja, o túnel será executado em uma direção mas não em outra se os recursos integrais são reservados.
144
[admin@G1R3] > mpls traffic-eng interface print
Flags: X - disabled, I - invalid
# INTERFACE BANDWIDTH TE-METRIC
REMAINING-BW
0 ether3 10Mbps 1 5.0Mbps
1 ether4 10Mbps 1 10.0Mbps
Engenharia de Tráfego com Túneis TE
Laboratório
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Em seguida vamos configurar o endereçamento para os túneis;
Configurar no menu “ip route” rota estática para a rede local do roteador do outro ladro do túnel apontando como rota padrão o IP da extremidade do túnel com marca de rota e, finalmente, definir na guia “rules” uma regra de lookup para esta marca, assim como o destino.
Definir as políticas de rota, baseadas nas marcas criadas para os túneis apontando como rota padrão o IP da extremidade do túnel.
145
G1R3
/ip address
add address=99.99.99.1/30 disabled=no interface=toG2R3
G2R3
/ip address
add address=99.99.99.2/30 disabled=no interface=toG1R3
Engenharia de Tráfego com Túneis TE
Laboratório
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Para verificar se o tráfego realmente é encaminhado pelo túnel TE e o rótulo está ativo, utilizamos o traceroute.
Como observado, o rótulo MPLS é gravado pelo caminho.
146
[admin@G1R3] > too trac 99.99.99.2
# ADDRESS RT1 RT2 RT3 STATUS
1 192.168.1.5 9ms 4ms 3ms <MPLS:L=16,E=0>
2 192.168.1.1 4ms 3ms 3ms <MPLS:L=16,E=0>
3 172.16.11.1 5ms 2ms 3ms <MPLS:L=16,E=0>
4 172.16.21.2 5ms 4ms 3ms <MPLS:L=16,E=0>
5 192.168.2.2 4ms 2ms 4ms <MPLS:L=16,E=0>
6 99.99.99.2 3ms 4ms 3ms
Engenharia de Tráfego com Túneis TE
Laboratório
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 147
Engenharia de Tráfego com Túneis TE
Laboratório
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Podemos observar que ao utilizar o serviço Bandwidth Test, a partir do G1R3 com destino à rede local 10.2.3.0/24 a limitação de banda é aplicada.
Desta forma podemos ter vários serviços entre os roteadores configurados com uma taxa de banda exclusiva e garantir assim o QoS ao longo do caminho.
Utilizamos caminhos distintos para a configuração dos túneis, onde o tráfego de G1R3 para G2R3 segue através dos roteadores G1R2,G1R1,RC,G2R1 e G2R2 e o tráfego de G2R3 para G1R3 segue pelos roteadores G2R4, RC e G1R4.
148
Engenharia de Tráfego com Túneis TE
Laboratório
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 149
Engenharia de Tráfego com Túneis TE
Laboratório
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Túneis TE não mudam os caminhos ativos automaticamente. Quando usamos caminhos dinâmicos é necessário informações do OSPF para recalcular os mesmos, no caso de falha de algum link. Como utilizamos caminhos estáticos primários, precisamos reotimizar o caminho através de intervalos de tempo específicos.
150
G1R3
/interface traffic-eng set toG2R3 reoptimize-interval=5s
G2R3
/interface traffic-eng set toG1R3 reoptimize-interval=5s
Engenharia de Tráfego com Túneis TE
Laboratório
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 151
Mesmo com um roteador ao longo do caminho, como R2G2 ou R1G2, conseguimos conectar a R3 e continuamos com a banda disponível através do túnel.
Engenharia de Tráfego com Túneis TE
Laboratório
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 152
MPLS – LDP
MPLS LDP
Rótulos MPLS são assinados e distribuidos pelo protocolo LDP (Label Distribution Protocol).
Pré-requisitos do LDPConectividade IP – configurado apropriadamente (estático, OSPF, RIP) entre todos os hosts.
Endereço IP “loopback” anexo a uma interface virtual (recomendado).
Nuvem MPLS homogênea – todos os dispositivos dentro da nuvem MPLS devem suportar MPLS.
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 153
Laboratório LDP
Acessar o menu MPLS, guia LDP Interface e botão LDP Settings.
Configurar o Transport Address e LSR ID com o IP da loopback. Ainda na guia LDP Interface, adicionar as interfaces que participam do MPLS. Somente os MPLS Forwarders deverão adicionar mais de uma interface.
Verificar na guia LDP Neighbor se o MPLS está fechado com os vizinhos
Atente para os endereços que o MPLS está negociando
Verificar na guia Forwarding Table, os rótulos criados dinamicamente e os IPs de destino.
MPLS – LDP
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 154
VPLS é um serviço multi-ponto.
Todos os sites em uma instância VPLS parecem estar em uma mesma rede local, independente de sua localização
Aproveita-se das vantagens da tecnologia Ethernet, como baixo custo e familiaridade do meio corporativo com a tecnologia.
CE (Client Edge):roteador ou switch localizado no cliente.
PE (Provider Edge): dispositivo onde a VPN origina-se e termina, onde todos os túneis são estabelecidos para a conexão com todos os outros PEs.
MPLS Cloud (núcleo): rede que interconecta os PEs. Não participa da funcionalidade VPN. O tráfego é simplesmente comutado com base em rótulos MPLS.
Em uma rede L2 MPLS VPN, o PE não é um peer para o roteador CE e não mantém tabelas de roteamento separadas.
O tráfego L2 entrante simplesmente é mapeado para o túnel apropriado.
VPLS (Virtual Private LAN Services)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
MPLS
VPNs L2 estabelecem um túnel entre roteadores Ingress (PE) e Egress (PE) que pode transportar qualquer protocolo;
O equipamento do Customer Edge (CE) pode ser um simplesroteador ou dispositivo de camada 2.
CE1 CE2
Router or Switch
Router or Switch
PE1 PE2
Layer2 VPN
©md1402160942
IPv4, IPv6, IPX etc.
155
VPLS (Virtual Private LAN Services)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 156
©md1402160942
LSP to PE2
PE2
LSP to PE1VC1 VC2
PE1
Cada VPN L2 estabelece um Circuito Virtual (VC) onde um VC é uma éspecie de LSP “dentro” de outro LSP.
VPLS (Virtual Private LAN Services)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Rótulo do Túnel e Rótulo do VC
Os LSPs são responsáveis por conectar PEs e VCs para transportar os frames dos CEs;
Layer 2Header
Label 1 Label 2 Ethernet payload
For the LSP VC Label
©md1402091442
157
VPLS (Virtual Private LAN Services)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
VPLS (Virtual Private LAN Service)
VPLS é usado como VPNs L2 ponto-multiponto;
VPLS cria uma rede mesh completa de VCs (para cada direção);
VPNs são identificadas por um ID único de 32 bits.
Layer 2Header
Label 1 Label 2 Ethernet payload
For the LSP VC Label
©md1402091442
158
VPLS (Virtual Private LAN Services)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 159
Como o VPLS funciona (1/3)
Como um switch, aprende os endereços MAC em portas físicas, roteadores PE aprendem os VCs;
Cada roteador PE mantém, para cada VPN, uma tabela de encaminhamento separada, chamada de VFI (Virtual Forwarding Instance);
VC12VC21
XX:XX:XX:XX:XX:X1XX:XX:XX:XX:XX:X2
©md1402161239
5
8
VPLS (Virtual Private LAN Services)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 160
Como o VPLS funciona (2/3)
Quando um roteador PE recebe um frame destinado a um endereço MAC que ainda não está em sua tabela, ele anuncia o frame para todos os VCs. Quando recebe uma resposta, o roteador PE insere uma entrada para o MAC que aponta para o VC que respondeu.
VPLS ID MAC Address VC Port
100:0 XX:XX:XX:XX:XX:X1 --- 5
100:0 XX:XX:XX:XX:XX:X2 VC12 ---
VC12VC21
XX:XX:XX:XX:XX:X1XX:XX:XX:XX:XX:X2
VPLS ID MAC Address VC Port
100:0 XX:XX:XX:XX:XX:X1 VC12 ---
100:0 XX:XX:XX:XX:XX:X2 --- 8
©md1402161239
5
8
VPLS (Virtual Private LAN Services)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 161
Como o VPLS funciona (3/3)
Roteadores PE aprendem somente os endereços MAC das VPNs que pertecem aos mesmos;
Roteadores P não aprendem endereços MAC; eles apenas encaminham tráfego baseado nos rótulos MPLS.
VC12VC21
VPLS (Virtual Private LAN Services)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 162
Nos roteadores R2 e R4 ou R1 e R3, acessar o menu VPLS e adicionar um túnel VPLS, conforme imagem.
Atente para o Remote Peer, que deverá ser o endereço da loopback e o VPLS ID que deverá ser o mesmo em ambos os lados. Verifique se o túnel está ativo (running).
Laboratório VPLS
Adicione uma nova bridge e insira em ports a interface da rede local e o túnel VPLS.
Configure um endereço IP da mesma rede, sem nehuma rota padrão, em ambos os hosts (PC) que estão conectados através do túnel, e realize testes de conectividade.
VPLS (Virtual Private LAN Services)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 163
Acesse novamente o menu MPLS guia Fowarding Table e note as expressões impl-null.
Processamento do Pacote ao longo do LSP
O roteador de origem (Ingress Router) faz uma verificação nas rotas IPv4 onde está o endereço de destino. Ele encontra o next hop e descobre o LSP até ele. Um cabeçalho MPLS é adicionado ao pacote com o rótulo daquele segmento;
O próximo roteador (Transit Router) recebe o pacote, faz a verificação na tabela de encaminhamento MPLS e a operação de troca de rótulo. O pacote é então encaminhado para o next hop ao longo do LSP;
O penúltimo roteador (Penultimate Router) recebe o pacote com o novo rótulo e faz a verificação na tabela MPLS. Descobre que o próximo roteador é o roteador final (Egress Router) e retira o cabeçalho MPLS do pacote encaminhando somente o pacote IPv4.
O roteador de destino (Egress Router) verifica o destino na tabela de roteamento e encaminha o pacote.
Laboratório VPLS
VPLS (Virtual Private LAN Services)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
A obrigação da entrega dos pacotes com o rótulo do túnel até o ponto final do túnel, explica o recomendação da configuração para se usar os endereços IP "loopback” para os pontos remotos. Quando um nó da rede estabelece sessões LDP com outro nó que possui uma rede IP conectada, o penúltimo hop popping não ocorre, pois ocorre no nó anterior, portanto anuncia um rótulo nulo implícito. Isso faz com que roteadores com as mesmas redes conectadas não recebam pacotes do rótulo do túnel, gerando resultados imprevisíveis ou encaminhamento de pacotes de maneira errada.
Pontos da extremidade do túnel VPLS, quando diretamente conectados, não há transporte de rótulos que poderão utilizar entre si, porque ambos instruem um ao outro ser penúltimo roteador hop popping para o seu endereço do final do túnel.
Laboratório VPLS
VPLS (Virtual Private LAN Services)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 165
MTU
Quando um roteador encapsula o frame Ethernet em um túnel VPLS, ele verifica se o tamanho do pacote + VPLS CW (control word) + rótulos MPLS excede o tamanho do MTU MPLS da interface. Se isso ocorrer ele fragmentará o frame. Para evitar este comportamento (fragmentação) é indicado que se configure o MTU da interface MPLS.
/mpls interface set 0 mpls-mtu=1526
Laboratório VPLS
VPLS (Virtual Private LAN Services)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
L2VPN (VPLS BGP)
BGP e túneis VPLS, em geral, servem a dois propósitos:
autodiscovery: não há necessidade de configurar um túnel VPLS com todos os roteadores, desde que haja meios para entregar BGP NLRI (Network Layer Reachability Information) entre os mesmos - roteadores descobrem as extremidades dos túneis através dos anúncios BGP;
sinalização: rótulos utilizados para os túneis VPLS são distribuídos pelos anúncios do BGP. Isso significa que não há necessidade de sessões LDP entre as extremidades do túnel.
166
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
L2VPN (VPLS BGP)
167
A troca BGP NLRI entre roteadores significa que necessitamos de full mesh estabelecido nas sessões BGP entre os roteadores que formam o VPLS ou uso do route reflector.
Utilizando BGP route reflector, acrescentar um novo site ao VPLS é uma tarefa mais simples – o roteador conectado ao novo site deve apenas configurar o RR.
A desvantagem de utilizar BGP VPLS são os requisitos das configurações do BGP, que exigem do administrador de redes conhecimento adequado do BGP. Desta forma, é aconselhável o uso do LDP se a quantidade de túneis VPLS e sites interconectados é pequena.
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
L2VPN (VPLS BGP)
168
Cenário
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 169
Configurar o IGP (OSPF) entre os roteadores do ASConfigurar o BGP full mesh entre os roteadores do ASConfigurar o MPLS entre os roteadores do AS
Para habilitar a entrega VPLS NLRI , devemos usar o BGP multiprotocolo (MBGP). Isto é feito configurando l2vpn nos peers BGP o address-families nos roteadores que estabelecerão os túneis.
Laboratório
Não há necessidade de distribuir qualquer rota ou mesmo configurações IP sobre as sessões BGP para a troca VPLS NLRI, no entanto é obrigatório especificar o address-families = l2vpn.
L2VPN (VPLS BGP)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 170
Endereços de loopback dos roteadores são usados como endereços dos BGP peers (o endereço local é atualizado por meio de update-source). Os peers BGP quando originam VPLS NRLI especificam o endereço local como nexthop e o VPLS usa o nexthop como o endereço da extremidade do túnel, através dos rótulos, para garantir a entrega ao nexthop.
Configurar ethernet bridging
O BGP VPLS cria os túneis dinamicamente quando os BGP NLRIs são recebidos. Portanto, não há necessidade de configurar as interfaces VPLS. Mesmo assim, a entrega dos pacotes de maneira transparente, através do VPLS, deve ser configurada. Devemos criar bridges nos roteadores que estabelecerão os túneis e inserir em ports as interfaces conectadas ao cliente.
Laboratório
L2VPN (VPLS BGP)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 171
Configurar instâncias BGP VPLS
Ao configurarmos o BGP VPLS, os anúncios dizem que o roteador pertence a algum túnel VPLS. Ao receber estes anúncios, outros roteadores do mesmo VPLS estabelecem o túnel com o mesmo.
Laboratório
L2VPN (VPLS BGP)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 172
Conclusão
Route-Distinguisher (RD) especifica o valor que será anexado ao VPLS NLRI para os roteadores que não conseguem distinguir os anúncios com a mesma informação. Isto implica que um único RD deve ser usado para cada VPLS e é obrigatório para cada túnel.
Podemos também acrescentar novos sites a novos roteadores, bastando para tal, configurar o bgp peer, instâncias BGP VPLS e bridge.
Laboratório
L2VPN (VPLS BGP)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
VPNs de camada 3 são usadas para encaminhar tráfegoIPv4 através da nuvem MPLS usando um LSP.
Baseado nas RFC 2547 e 2547bis (BGP/MPLS)
MPLS
Layer3 VPN ©md1402160942
IPv4.
IPv4IPv4
IPv4.
CE1PE1 CE1
CE1
P
VRF (Virtual Routing and Forwarding)
173
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
MPLS Cloud
©md1402041914
CE
Customer Network
Customer Network
CE
PE
P
Provider Edge
Router
ProviderRouter
Customer Edge
Router
Customer Edge
Router
Terminologia
174
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 175
Com VPNs de camada 3 podemos compartilhar a mesma infraestrutura e executar, separadamente, VRFs sem sobreposição de prefixos.
MPLS
©md1402041908
VPN1
VPN2
VPN1
VPN2
192.168.0.0/24
192.168.0.0/24
192.168.1.0/24
192.168.1.0/24
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Vários protocolos de roteamento podem ser usados com L3 VPN.
MPLS©md1402090941
VPN2 VPN2
CE-PE Routes:Static, OSPF,
eBGP
Internal Routes:OSPF
CE-PE Routes:Static, OSPF,
eBGP
PE-PE Routes:iBGP
176
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 177
Customer Edge Router (CE): É o roteador do cliente. As redes dos clientes são divulgadas utilizando protocolos como RIP, OSPF e BGP.
Provider Edge Router (PE): São os roteadores entre a rede IP do cliente e a rede MPLS do ISP. Na rede MPLS cada PE se comunica com os demais PEs da mesma VPN usando IBGP e extensões MBGP. Os PEs contém VRFs para cada VPN. Essas tabelas contém todas as rotas entre o PE e o CE e os LSPs para cada PE que faz parte da mesma VPN. As entradas dessas tabelas são propagadas para todos os PEs da mesma VPN, mas nunca para os roteadores (P), porque eles não precisam dessa informação, já que usam apenas LSPs para fazer comutação do tráfego.
Virtual Routing and Forwarding Table (VRF) : É a tabela de roteamento distinta para cada cliente, por isso permite a sobreposição de endereços IP.
Provider MPLS Domain formado por Provider Routers (P): que são os roteadores do ISP.
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 178
Rotas com os CE são trocadas usando RIP, OSPG, BGP ou rotas estáticas
Rotas internas à rede MPLS são descobertas usando OSPF ou rotas estáticas
Os LSPs são formados usando LDP, RSVP ou configuração estática
CE
CE
PE
PE
PE
PE
P
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 179
Para realizar uma VPN MPLS é necessário o conhecimento de alguns atributos que são utilizados nos roteadores PEs, que são:
RD (Route Distinguisher)
RT (Route Targets)
M-BGP (Multi Protocol Border Gateway Protocol)
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Route Distinguisher (RD) [1/2]
Cada roteador PE recebe atualizações via BGP de outros roteadores PE;
O comportamento padrão do BGP seria escolher apenas uma rota com base em critérios de decisão do próprio BGP;
Por conta da possibilidade de sobreposição de prefixos Ips, é utilizado um atributo chamado Route Distinguisher (RD)para separar as rotas de diferentes;
O RD é um identificador único de 64 bits que é inserido na frente do IPv4.
180
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Route Distinguisher (RD) [2/2]
O resultado da soma: Route Distinguisher + IPv4 é umnúmero binário igual a 96 (64 + 32).
Route Distinguisher IPv4 Address
Esta combinação cria uma nova família de endereços, chamada VPN-IPv4 ou VPNv4.
181
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Route Target (RT) [1/2]
Como afimardo anteriormente, um site (CE) pode participar de várias VPNs;
Para separar o tráfego das VPNs de um site que participa de várias VPNs, impedir um roteador PE de aceitar rotas de VPNs que não pertençam a ele os atributos das comunidades extendidas do BGP são usados;
Route Target (RT) é um atributo inserido em cada rota anunciada indicando a qual VPN a mesma pertence.
182
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 183
Route Target (RT) [2/2]
Cada VPN possui um valor único para o Route Target;
Quanto um roteador PE recebe uma atualização de rotas ele verifica, baseado no RT, se aquela informação faz parte das VPNs que o mesmo utiliza e em caso positivo aceita, do contrário, descarta;
O RT (Route Target) é um atributo que indica uma coleção de VRFs pelo qual um roteador PE irá distribuir as rotas, ou seja, ele indica quais rotas devem ser importadas e exportadas pelo MBGP, permitindo assim que possa haver conversação entre diferentes VRFs, e que também possa ser feito restrições de importação e exportação de rotas.
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Roteadores PE inserem um rótulo para os prefixos de cada VPN (Route Distinguisher);
Rótulos, RD e prefixos são trocados entre os PEs pelo MBGP;
Um PE conhecem cada PE responsável por uma(s) VPN(s) na nuvem MPLS;
Quando um pacote deixa o roteador PE de ingresso , ele tem ao menos 2 rótulos, um para identifcar a VPN e o prefixo de destino e outro para o MPLS.
Como as VPNs L3 funcionam
184
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Quando um PE recebe o pacote destinado a um site remoto, dois rótulos são inseridos:
Layer 2Header
Label 1 Label 2 IP Datagram
For the LSP For destination Network
©md1402091442
Como as VPNs L3 funcionam
185
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
MPLS
MPLS VPN L3 em ação
O CE1 envia um pacote para o CE2 e o roteador PE insere 2 rótulos. O primeiro rótulo é usado ao longo do LSP. O penultimate router remove o primeiro rótulo e o último roteador da nuvem MPLS remove o segundo rótulo.
Label1 Label2 Label2
Packet to CE2 Packet to CE2
CE1 CE2
©md1402091443
186
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Um detalhe importante sobre VPNs L3 é o “compartilhamento” de um roteador PE para lidar com diferentes VRFs.
©md1402072125
VPN1Site A
VPN2
VPN1Site B
VPN3
VRF for VPN1
VRF for VPN2
VRF for VPN3
Global Routing Table – OSPF
BGP
187
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Laboratório
188
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Configurar a conectividade IP entre os roteadores PE, com o protocolo iBGP e a comunidade estendida VPNv4, além de definir a VRF e distribuição das rotas conectadas para a mesma;
Configurar o MPLS LDP definindo o IP loopback como Transport Address;
Configurar rotas estáticas entre os roteadores definindo onde se encontram os IPs das interfaceS “loopback”;
Criar uma VRF para cada roteador PE, definindo o RD e a importação e exportação do RT, associada à interface de comunicação ao CE;
Realizar testes de conectividade entre os CEs.
Laboratório
189
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados 190
[admin@G1R1] > ip route print detail where routing-mark=VRFG2R3
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
0 A S dst-address=10.1.2.0/24 gateway=192.168.1.2
gateway-status=192.168.1.2 on VRFG2R3 reachable via ether4
distance=1 scope=30 target-scope=10 routing-mark=VRFG2R3
1 ADb dst-address=10.2.3.0/24 gateway=10.0.2.4
gateway-status=10.0.2.4 recursive via 172.16.11.1 ether6 distance=200
scope=40 target-scope=30 routing-mark=VRFG2R3 bgp-local-pref=100
bgp-origin=incomplete bgp-ext-communities="RT:0:100"
2 ADC dst-address=192.168.1.0/30 pref-src=192.168.1.1 gateway=ether4
gateway-status=ether4 reachable distance=0 scope=10
routing-mark=VRFG2R3
3 ADb dst-address=192.168.2.8/30 gateway=10.0.2.4
gateway-status=10.0.2.4 recursive via 172.16.11.1 ether6 distance=200
scope=40 target-scope=30 routing-mark=VRFG2R3 bgp-local-pref=100
bgp-origin=incomplete bgp-ext-communities="RT:0:100"
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Verificando nas tabelas de rotas do roteador G1R1 podemos notar que o prefixo 192.168.1.0/30 é uma rota conectada que pertence a uma interface configurada para a VRF VRFG2R3. A rede 192.168.2.8/30 foi anunciado via BGP como rota de VPNv4 do G2R3 e é importado na tabela de roteamento VRF porque a configuração de importação do RT é compatível com as comunidades extendidas do BGP. As redes locais que gerenciamos através dos PE’s, realizando a configuração da mesma de forma estática e associadas às tabelas VRFs existentes nos roteadores PE, também fazem parte das tabelas VRF’s e dos anúncios através das comunidades extendidas do BGP.
Conclusões
191
VRF (Virtual Routing and Forwarding)
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Dúvidas
?
192
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Laboratório Final
Abram um new terminal
193
/system reset configuration no-defaults=yes
©Copyright md brasil - direitos reservados©Copyright md brasil - direitos reservados
Obrigado!!
Edson Veloso Sergio Souza Wardner Maia
[email protected] [email protected] [email protected]
194