VPN на основе технологии MPLS


Презентация изнутри:

Слайд 0

VPN на основе технологии MPLS


Слайд 1

Технология BGP/MPLS VPN (RFC 2547) Хорошее приближение предлагаемых сервисов к свойствам сервисов частной сети: Безопасность на уровне сетей с виртуальными каналами Пропускная способность может быть гарантирована на основе QoS Возможность оказания дополнительных услуг на уровне IP-сетей Легко внедряется и обслуживается Отличная масштабируемость


Слайд 2

Безопасность MPLS VPN Вопросы, требующие ответа: Как сделать раздельной адресацию? Как сделать маршрутизацию раздельной? Как скрыть сетевую магистраль? Как устранить уязвимость к атакам типа DoS и вторжениям в сеть?


Слайд 3

MPLS VPN CE клиента A PE (LER) Домен MPLS PE (LER) CE клиента B CE клиента B CE клиента A P (LSR) Site 1 клиента А Site 3 клиента А Site 2 клиента А Site 3 клиента B Site 4 клиента B Site 1 клиента B Site 2 клиента B


Слайд 4

Терминология CE (Customer Edge) router – пограничный маршрутизатор клиента, часть его VPN PE (Provider Edge) router – пограничный маршрутизатор провайдера, реализующий интерфейс с CE PE = edge LSR, LER P router – маршрутизатор магистральной сети провайдера, ничего не знающий о VPN P = LSR На маршрутизаторах P протокол BGP не выполняется, они ничего не знают о VPN


Слайд 5

Терминология Сайт Набор сетей, являющихся частью VPN клиента и расположенных географически рядом друг с другом Сайт соединен с магистральной сетью VPN одной или более связями PE/CE Сайт может быть частью разных VPN


Слайд 6

поддержка MPLS маршрутизаторы P, являющиеся частью сети провайдера внутренние интерфейсы пограничнх маршрутизаторов PE поддержка VPN Только PE «знают» о существовании VPN Поэтому маршрутизаторы PE являются функционально более сложными, чем P


Слайд 7

Компоненты MPLS VPN P PE6 Сайт 1 VPNB Сайт 1 VPNA Сайт 1 VPNC CE Сети клиента Сеть провайдера Сайт 2 VPNA Сайт 2 VPNB Сайт 3 VPNB Сайт 3 VPNA Сайт 4 VPNA Сайт 2 VPNC PE1 PE2 PE3 PE5 PE4 CE CE CE CE CE CE CE CE P P P P P P P P Пограничный маршрутизатор клиента - Пограничный маршрутизатор провайдера


Слайд 8

Парадокс обеспечения абсолютной изолированности при сохранении полной связности. При создании VPN на базе IP-сети сложно проблема состоит в достижении изолированности   Решение: Для изоляции - автоматическая фильтрация маршрутных объявлений Для связности - применение туннелей для передачи клиентского трафика по внутренней сети провайдера.


Слайд 9

Сети клиентов Сеть провайдера Изоляция сетей клиентов и использование туннелей BGP BGP BGP BGP IGP IGP Туннели для трафика данных Маршрутные объявления


Слайд 10

Разделение маршрутов в MPLS VPN Маршруты BGP не распространяются внутри домена MPLS Пограничные маршрутизаторы провайдера PE для каждого подключенного к ним сайта имеют независимые таблицы маршрутизации и продвижения VRF (VPN Routing and Forwarding)


Слайд 11

VPN_A VPN_A VPN_B 10.3.0.0 10.1.0.0 11.5.0.0 P P P P PE PE CE CE CE iBGP sessions PE обмениваются между собой маршрутной информацией по протоколу MP-BGP P и PE используют общий протокол IGP


Слайд 12

PE - виртуальный маршрутизатор IGP IGP IGP P P P Сайт A Сайт B CE CE PE Глобальная таблица маршрутизации VRF A VRF B Сеть провайдера BGP


Слайд 13

Несколько сайтов, относящихся к одной VPN и подключенных к одному PE могут иметь общую VRF


Слайд 14

Маршруты, получаемые PE от некоторого CE о сетях сайта, заносятся в соответствующую VRF. VRF также пополняется протоколом MP-BGP – об адресах сетей других сайтов данной VPN Маршруты, которые PE получает из магистральной сети по протоколу IGP , заносятся в глобальную таблицу Глобальная таблица VRF VRF Таблица коммутации MPLS


Слайд 15

PE VPN Backbone IGP iBGP session PE P P P P


Слайд 16

Независимость адресных пространств Адресные пространства каждой VPN включают уникальные глобальные адреса Интернет либо частные (private) адреса (RFC 1819)   Вопрос: почему не сделать выбор адресов в пределах VPN совершенно произвольным, ограниченным только общими правилами адресации стека TCP/IP?


Слайд 17

Независимость адресных пространств Важно: адреса узлов в разных сайтах одной и той же VPN, не должны совпадать но адреса в разных VPN могут совпадать


Слайд 18

3 VPN Разделяемая магистральная сеть CE Router 10.2.2.2 CE Router 10.2.2.3 CE Router 10.2.2.4 CE Router 10.2.2.2 CE Router 3.3.3.3 Использование отдельных VRF позволяет ограничиться требованием уникальности адресных пространств на уровне VPN


Слайд 19

Проблема совпадения адресов BGP изначально был рассчитан на использование глобально уникальных адресов IPv4 Проблема: при совпадении адресов в объявлениях в таблицу VRF заносится только один «кратчайший» маршрут. Решение - вместо потенциально неоднозначных адресов IPv4 используются расширенные однозначные адреса VPN-IPv4


Слайд 20

Различитель адресов Используются модифицированные адреса VPN-IPv4 к каждому маршруту IPv4 добавлен 64-битный признак маршрута (route distinguisher, RD), один и тот же для всех маршрутов сайта Для обмена через ядро MPLS этими новыми адресами VPN-IPv4 используется MP-BGP 64 бит RD 32 бит IPv4


Слайд 21

Type = 0 - в поле Administrator IP-адрес (4 байта) Type=1 - в поле Administrator NAS (2 байта) Assigned number (AN) – уникальное число выбираемое провайдером Type Структура различителя маршрутов RD


Слайд 22

CE2 CE1 PE1 BGP BGP PE2 Сайт 1 VPNA BGP PE3 CE4 CE3 CE5 Сайт 2 VPNA Сайт 3 VPNA VRF1А VRF1В VRF2А VRF3А Маршрутные объявления MP-BGP IP=123.45.67.89 Сайт 1 VPNB Сайт 2 VPNB VRF2В Адрес IPv4=10.1.0.0 Объявление BGP RD=123.45.67.89:2 Int7 IP=123.45. 7.5 RD=123.45.67.89:1 Export = GREEN Import = GREEN RD=123.43.15.3:1 Export = GREEN Import = GREEN IP=123.43.15.3 RD=123.43.15.3:2 Export = RED Import = RED RD=123.43.25.3:1 Export = GREEN Import = GREEN


Слайд 23

Адреса VPN-IPv4 используются только в объявлениях MP-BGP В таблицах VRF –только адреса IPv4 RFC 2547bis не требует, чтобы все маршруты внутри одной VPN индексировались одним и тем же значением RD Принципиально важно, чтобы RD разных VPN не совпадали.


Слайд 24

Маршрутное объявление MP-BGP Адрес сети назначения в формате VPN-IPv4 Адрес следующего маршрутизатора (BGP next hop) . Метка (label VPN) – уникально определяет внешний интерфейс маршрутизатора PE Расширенные атрибуты сообщества (Extended community attributes


Слайд 25

Расширенные атрибуты сообщества (Extended community attributes), -Route-target, RT –идентифицирует набор сайтов, входящих в данную VPN, которым PE должен посылать маршруты. Значение route-target в объявлении export target policy, заданной при конфигурировании таблицы VRF Формат атрибута route-target аналогичен формату различителя маршрутов RD, что обеспечивает его уникальность в пределах всех VPN.


Слайд 26

PE VPN Backbone IGP iBGP session PE P P P P Передается информация о маршрутах в сайтах заказчика. В сообщении содержатся следующие данные:


Слайд 27

Содержимое обновлений BGP VPN-IPV4 address= RD (64) и IPv4 address(32) RD конфигурируется для каждой VRF


Слайд 28

Содержимое обновлений BGP Next Hop в формате VPN-IPV4, где RD =0


Слайд 29

Содержимое обновлений BGP Метка VPN: Метка второго уровня (exterior label), распределяется протоколом BGP Указывает на VPN -интерфейс выходного маршрутизатора PE и в конечном счете на VPN Метка может быть назначена только тем маршрутизатором, адрес которого указан в качестве Next-Hop атрибута (Downstream Unsolicited)


Слайд 30

Содержимое обновлений BGP Extended Community attribute (64) Site of Origin (SOO): идентифицирует сайт- источник маршрута Route-target (RT): идентифицирует набор сайтов, которым должен быть передан данный маршрут (соответствует всем сайтам одной VPN)


Слайд 31

Трансляция объявлений о маршрутах В VRF имеется запись о маршруте: Net = 10.1.0.0, Next-Hop=CE1 На PE происходит трансляция: VPN-IPv4: 123.45.67.89:1:10.1.0.0 Next-hop=123.45.7.5 Lvpn=7  RT=Green


Слайд 32

CE2 CE1 PE1 BGP BGP PE2 Сайт 1 VPNA BGP PE3 CE4 CE3 CE5 Сайт 2 VPNA Сайт 3 VPNA VRF1А VRF1В VRF2А VRF3А Маршрутные объявления MP-BGP IP=123.45.67.89 Сайт 1 VPNB Сайт 2 VPNB VRF2В Адрес IPv4=10.1.0.0 Объявление BGP RD=123.45.67.89:2 Int7 IP=123.45. 7.5 RD=123.45.67.89:1 Export = GREEN Import = GREEN RD=123.43.15.3:1 Export = GREEN Import = GREEN IP=123.43.15.3 RD=123.43.15.3:2 Export = RED Import = RED RD=123.43.25.3:1 Export = GREEN Import = GREEN


Слайд 33

(1) PE маршрутизатор получает из сайта заказчика обновление IPv4 EBGP, RIPv2, Static PE-1 VPN Backbone IGP PE-2 P P P P BGP,OSPF,RIPv2 update Net1, Next-Hop=CE-1 CE-1 CE-2 Трансляция маршрутных обновлений на границе домена MPLS


Слайд 34

(2) PE транслирует это обновление в формат VPN-IPv4, для этого Добавляет к адресу сети RD Назначает SOO и RT Переписывает значение поля Next-Hop Назначает метку, жестко связанную с VRF Посылает сообщение MP-iBGP всем соседям PE-1 VPN Backbone IGP PE-2 P P P P BGP,OSPF,RIPv2 update Net1, Next-Hop=CE-1 VPN-IPv4 update: RD:Net1, SOO=Site1, RT=Green, Next-hop=PE-1 Label=(intCE1) CE-1 CE-2


Слайд 35

PE-1 VPN Backbone IGP PE-2 P P P P BGP,RIPv2 update Net1, Next-Hop=CE-1 VPN-IPv4 update: RD:Net1, Next-hop=PE-1 SOO=Site1, RT=Green, Label=(intCE1) CE-1 IPv4 update Net1 CE-2 (3) Все PE-получатели MP-BGP-сообщений: - транслируют полученное обновление в формат IPv4 - помещают маршрут в таблицы VRF, связанные с сайтами, указанными атрибутом RT


Слайд 36

Обработка сообщения BGP Сообщение о маршруте принимается всеми PE и запись о нем (адрес и метка) заносится в соответствующие VRF в зависимости от указаний в атрибутах Extended Community. Использование данного сообщения при продвижении пакета Каждый раз, когда из сайта заказчика в сеть MPLS отправляется пакет с данным адресом назначения, по таблице VRF определяется метка, вставляется в заголовок MPLS пакета для отправки по нужному пути второго уровня иерархии.


Слайд 37

PE VPN Backbone IGP iBGP session PE P P P P


Слайд 38


Слайд 39

VRF для site-1 N1,NH=CE1 N2,NH=PE2 N3,NH=PE3 PE1 PE3 PE2 N1 N2 Обновления VPN-IPv4 между PE RD:N1, NH=PE1,Label=IntCE1, RT=Blue RD:N2, NH=PE2,Label=IntCE2, RT=Blue RD:N3, NH=PE3,Label=IntCE3, RT=Blue IntCE1 IntCE3 N1 NH=CE1 Routing Table для CE1 N1, Local N2, PE1 N3, PE1 EBGP/RIP/Static VRF для site-3 N1,NH=PE1 N2,NH=PE2 N3,NH=CE3 Routing Table для CE3 N1, PE3 N2, PE3 N3, Local N3 NH=CE3 EBGP/RIP/Static Site-2 IntCE2 Routing Table для CE2 N1,NH=PE2 N2,Local N3,NH=PE2 VRF для site-2 N1,NH=PE1 N2,NH=CE2 N3,NH=PE3 Обмен маршрутами между сайтами одной VPN


Слайд 40

PE2 PE1 CE1 CE2 P1 P2 IGP Label(PE2) VPN Label IP packet PE1 получает IP-пакет Просматривает VRF данного сайта Находит маршрут BGP c меткой второго уровня (VPN label) Извлекает из VRF Next-Hop (PE2) По таблице коммутации PE1 определяет для адреса PE2 метку первого уровня (IGP label). CE3


Слайд 41


Слайд 42

Сокрытие магистрали провайдера MPLS VPN Интерфейс между VPN осуществляет BGP, не требуется раскрывать никакой информации о магистрали Информация требуется только когда протокол маршрутизации работает между CE и PE Если требуется этого избежать, то можно занести маршруты вручную Функция traceroute отключена


Слайд 43

Что видит клиент MPLS VPN? CE Router клиента A LER MPLS-домен LER CE Router клиента B CE Router клиента B CE Router Customer A Адресацию глобальных связей между CE клиента и PE провайдера видят только клиенты, относящиеся к этой же VPN


Слайд 44

Устойчивость MPLS VPN к атакам Имеется возможность задать объект атаки в сети провайдера - IP-адрес глобальной связи (WAN link) Главная цель – обеспечить защищенность каждой VPN от атак из других VPN. Из VPN, подключенной к тому же самому PE Через магистральную сеть


Слайд 45

Клиент A CE Клиент A CE Клиент B CE Клиент B CE Атака маршрутизатора провайдера через сеть LER LER LSR Атака из соседней VPN CE знает адрес PE


Слайд 46

Устойчивость MPLS VPN к атакам Два возможных пути атаки в MPLS VPN Атака на PE Атака на сигнальный механизм MPLS (на внутренние LSR)


Слайд 47

Атаки на PE DoS-атака на PE. Затопление обновлениями таблиц маршрутизации Несанкционированный доступ к PE Могут быть проведены такие же атаки как и на маршрутизаторы ISP. Используются те же методы предотвращения.


Слайд 48

Предотвращение атак на PE Несанкционированный доступ к PE В access-list заносятся записи, запрещающие доступ к PE по telnet из CE. Затопление маршрутными обновлениями Использование аутентификации в протоколах маршрутизации Настроить access-list так, чтобы сообщения других протоколов маршрутизации не пропускались Ограничения общего количества маршрутов в VRF Ограничения общего количество маршрутов, которые могут быть приняты BGP во время одной сессии


Слайд 49

Атака на систему сигнализации MPLS VPN Пакеты передаются по магистральной сети на основании меток Метки назначаются протоколами продвижения меток LDP/RSVP Возможно ли подменить метку (аналогично IP-спуфингу)?


Слайд 50

Спуфинг меток в MPLS Связь между CE и PE является IP интерфейсом, не использующим метки PE router ни при каких обстоятельствах не принимает по этому интерфейсу пакетов с меткой При получении пакета с меткой по интерфейсу с CE маршрутизатор PE отбрасывает его Протокол LDP может использовать аутентификацию на основе MD-5


Слайд 51

MPLS обеспечивает безопасные коммуникации для создания экономичных корпоративных сетей


×

HTML:





Ссылка: