Rețele VPN bazate pe MPLS

1. Conceptul MPLS (MultiProtocol Label Switching)

Defineste o noua paradigma de comutare de nivel 2 (legatura de date) si nivel 3 (retea) denumita comutarea cu etichete (mecanism de incapsulare de “nivel 2.5”).

MPLS aduce in retelele IP neorientate pe conexiune mecanismul de comutare orientat pe conexiune care sa constituie baza contractelor de garantare a serviciilor.

Etichetele MPLS sint rezolvarea : spun unui echipament de retea (ruter, switch) unde sa trimita pachetul si cum sa trimita pachetul. Eticheta MPLS : identificator de dimensiune fixa (20 biti), are semnificatie locala (la nivelul unui nod de retea) ; un pachet poate fi marcat cu mai multe etichete (stiva etichetelor – stiva de tip last-in first out); deoarece in cazul retelelor de tip Ethernet nu exista un cimp liber unde sa poata fi introdus discret antetul MPLS, s-a gasit solutia introducerii antetului MPLS intre headerul de nivel legatura de date si headerul de nivel retea.

Clase de echivalenta : subset de pachete care sint comutate in acceasi maniera ; cind un pachet intra intr-un domeniu de retea MPLS, nodul de intrare ii mapeaza o clasa de echivalenta in functie de prefixul adresei IP, identificatorul ruterului de iesire, flux (perechea adresa sursa- adresa destinatie)

O retea MPLS e alcatuita din noduri capabile de comutare pachete pe baza etichetelor asignate ; tipuri de noduri : ingress (de intrare) – pe unde intra traficul in retea, tranzit – in interiorul retelei (max 253), egress (de iesire) – pe unde iese traficul din retea.

Nodurile ingress si egress : rutere sau switchuri; ingress- analizeaza pachetele IP, stabilesc clasa de echivalenta si asigneaza o eticheta, egress – sterge eticheta, in cazul in care nu a fost stearsa de penultimul ruter din cale si ruteaza pachetul spre destinatie pe baza informatiei oferite de adresa IP destinatie din headerul IP.

Nodurile tranzit: rutere sau switchuri cu Tag Switch Controller; efectueaza operatii de interschimbare a etichetei si transmit pachetul urmatorului nod din cale.

LSP (Label Switched Path) : calea unidirectionala din retea pe care o urmeaza un pachet; poate sa nu fie calea cea mai scurta

Penultimate/ultimate hop pooping: eticheta este stearsa in penultimul/ultimul nod.

Operatii MPLS:

1. se utilizeaza un protocol de rutare (OSPF, EIGRP, IS-IS) pentru determinarea topologiei domeniului de retea

2. se utilizeaza un protocol de semnalizare (RSVP, LDP) pentru asignarea si distributia etichetelor

3. un pachet soseste la nodul ingress, este analizat si i se ataseaza o eticheta ; fiecare nod tranzit receptioneaza un pachet si efectueaza o cautare in tabela de comutare si o operatie de interschimbare a etichetelor. Penultimul nod din cale receptioneaza un pachet si efectueaza o cautare in tabela de comutare. Deoarce nodul egress a semnalizat eticheta 3, penultimul ruter sterge eticheta superioara si transmite pachetul. Daca nodul egress nu a semnalizat pachet cu eticheta 3 atunci nodul penultim transmite pachetul fara sa-i stearga eticheta. Nodul egress primeste un pachet IP nativ (in cazul penultimate hop popping) si executa : o cautare normala in tabela de rutare, transmisia catre ruterul care e indicat ca next hop.

Protocoale de semnalizare: RSPV (Resource Reservation Protocol), LDP (Label Distribution Protocol), CR-LDP (Constrained Routing LDP)

2. De ce retele virtuale private bazate pe tehnologia MPLS?

Retea virtuala privata : servicii private de retea utilizind o infrastructura publica

(infrastructura unui Service Provider).

1. retea virtuala : retelele par a fi separate la nivel fizic, dar de fapt nu sint deoarece se utilizeaza aceeasi infrastructura;

2. retea privata: fiecare retea VPN mentine tabele de rutare si adresare diferite.

Retelele VPN pot fi construite la nivel 2 (legatura de date) – model overlay, la nivel 3 (nivel retea) – model peer.

Tipuri de retele VPN :

- traditionale : Frame Relay, ATM (nivel 2)

- utilizator : L2TP si PPTP (nivel 2), IPSec (nivel 3)

- provider : bazate pe MPLS (nivel 2), BGP/MPLS VPN (nivel 3)

Modelele de retele VPN :

- overlay

- peer

Modelul overlay (VPN de nivel 2)

- construiesc trunchiuri private peste o infrastructura publica : linii inchiriate/ dial-up, circuite Frame Relay/ATM, tunele IP (GRE)

- o modalitate de realizare VPN prin utilizarea unui protocol de nivel legatura de date orientat pe conexiune (ATM, Frame Relay)

- fiecare site e conectat la reteaua providerului prin unul sau mai multe circuite virtuale

- circuitele virtuale sint comutate in reteaua providerului pentru a oferi conectivitate cu celelalte site-uri utilizator

- utilizatorul foloseste protocoale de rutare pentru a stabili adiacenta intre ruterele diverselor site-uri

- topologia de rutare e invizibila pentru provider (deoarece reteaua comuta trafic de nivel 2 prin circuitele virtuale)

- inteligenta este la nivel utilizator, echipamentele din backbone (reteau utilizator) nu participa la procese de nivel 3

- dezavantaje : problema scalabilitatii - adaugarea unui site nou implica construirea a (n-1)/2 conexiuni noi (n = numarul de site-uri conectate) ; construirea unui full-mesh