UNIVERSITATEA POLITEHNICAFACULTATEA DE ELECTRONICA TELECOMUNICATII SI TEHNOLOGIA INFORMATIEI

Proiect Retele de CalculatoareServiciul LAN virtual privat (VPLS)

Prof. coordonator: Studenti:Stefan Stancescu Petrescu Mihai Gabriel

Olaru Gheorghe Stefan

BUCURESTI 2015

CUPRINS

1. Introducere i generalită i ș ț - Olaru Gheorghe Stefan1.1. VLAN

1.2. VPS

1.3. VPLS

2. Modelul topologic pentru VPLS - Petrescu Mihai Gabriel2.1. General

2.2. Flooding i Forwardingș2.3. Învă area adreseiț2.4. Tipologia de tunel

2.5. Bucla liberă VPLS

3. Arhitectura - Petrescu Mihai Gabriel3.1. H-VPLS

3.2. Exemple de configura ieț3.3. Caracteristici

2

1. Introducere i generalită iș ț

1.1. VLAN (Virtual Local Area Networks)Performan a unei re ele este un factor cheie în productivitateaț ț

unei organiza ii. Una dintre tehnologiile utilizate pentru a îmbunătă iț ț performan a re elei este separarea domeniilor de broadcast mari înț ț unele mai mici. In mod implicit, dispozitivele nivelului 3 (Re ea) dinț modelul OSI, cum ar fi routerele vor bloca traficul de broadcast la o interfa ă. Cu toate acestea, routerele au, în mod normal, un numărț limitat de interfe e LAN. Rolul principal al unui router este de a facilitaț traficul de mesaje între re ele, nu de a furniza acces la re eaț ț dispozitivelor destina ie din sistem (de exemplu PC-urile, serverele). ț

Rolul de a asigura acces într-o re ea LAN este în mod normalț rezervat pentru un switch de re ea. O re ea locală virtuală (VLAN) poateț ț fi creată pe un switch de nivel 2 al nivelului OSI (Legătură de date) pentru a reduce dimensiunea domeniilor de broadcast, similar cu un dispozitiv de nivel 3. VLAN-uri sunt de obicei încorporate în proiectarea re elei ceea ce facilitează rolul acesteia de a îndeplini obiectivele uneiț companii. În timp ce VLAN-urile sunt utilizate în principal în re eleleț locale, implementări moderne ale acestora le permit să cuprindă re eleț de tip WLAN (wireless), MAN(metropolitan) i WAN(de arie largă).ș

Arhitec ii de re ea crează VLAN-uri pentru a furniza serviciile deț ț segmentare oferite în mod obi nuit numai de routere în configura iileș ț LAN. VLAN abordează aspecte precum scalabilitatea, securitatea i deș managementul re elei. Routerele în topologii VLAN asigură filtrele deț broadcast, securitatea, sumarizarea adreselor i gestionarea fluxului deș trafic. Prin defini ie, switch-urile nu pot acoperi traficul IP întreț VLAN-uri, întrucât acest lucru ar încălca integritatea domeniului de broadcast de tip VLAN.

VLAN-urile pot ajuta, de asemenea, la crearea a multiple re ele deț nivel 3 pe o singură infrastructură fizică. De exemplu, dacă un server DHCP este conectat la un switch, acesta va servi orice gazdă configurată pentru DHCP i conectată la acel switch. Prin utilizarea VLAN-urilor,ș re eaua poate fi u or împăr ită astfel încât unele gazde nu vor folosiț ș ț

3

acel server DHCP i vor ob ine adresele local-link (adresele de re eaș ț ț care sunt valabile numai pentru comunica iile din segmentul de re eaț ț (link) sau domeniul de broadcast la care gazda este conectată) sau o adresă de la un server DHCP diferit.

VLAN-uri sunt elemente de nivel 2 comparate cu subre elele IP,ț care sunt elemente de nivel 3. Într-un mediu care utilizează VLAN-uri, o rela ie unu-la-unu există în mod regulat între VLAN-uri i subre ele IP,ț ș ț de i este posibil să existe mai multe subre ele pe un singur VLAN. VLANș ț

i subre elele IP oferă elemente independente de nivel 2 i 3 care suntș ț ș mapate una de cealaltă, această coresponden ă fiind utilă în timpulț procesului de proiectare a re elei. ț

Prin utilizarea VLAN-uri, se pot controla modelele de trafic iș astfel se va reac iona rapid la relocări. VLAN oferă flexibilitatea deț adaptabilitate la schimbările cerin elor de re ea i permite oț ț ș administrare mai simplificată a acesteia.

VLAN-urile pot fi folosite pentru a parti iona o re ea locală în mai ț țmulte segmente distincte. De exemplu:

Producere Voce peste IP (VoIP) Management de re eaț Re ea de stocare (SAN)ț Re ea de gazdeț Zonă demilitarizată (DMZ) Separare Client (ISP) – Internet service provider

într-o infrastructură comună partajată între trunchiuri VLAN poate oferi un nivel foarte ridicat de securitate, cu o mare flexibilitate pentru un cost relativ redus. Calitatea sistemelor de servicii pot optimiza traficul pe link-urile de trunchi în timp real (VoIP) sau cu cerin e reduse deț laten ă (SAN). ț

VLAN-uri pot fi, de asemenea, utilizate într-un mediu colar sauș de lucru pentru a asigura un acces mai u or la re ele locale, pentru aș ț permite o administrare u oară, precum i pentru a evita întreruperi înș ș re ea.ț

4

1.2. VPS (Virtual Private Server)

Un server privat virtual (VPS) este o ma ină virtuală vândută caș un serviciu de către un serviciu de găzduire de Internet.

Un VPS rulează propria copie a unui sistem de operare, iar clien iiț au acces la nivel de superuser la acea instan ă a sistemului de operare,ț astfel încât să poată instala aproape orice software care ruleaza pe acel sistem de operare. Pentru a avea mai multe întrebuin ări acestea suntț func ional echivalente cu un server fizic dedicat, i fiind definite prinț ș intermediul software-ului sunt în măsură să devină mult mai u or deș creat i configurat. Acestea au pre uri mult mai mici decât un serverș ț fizic echivalent, dar întrucât partajează hardware-ul fizic de bază cu alte VPS-uri, performan a poate fi mai scăzută i poate depinde de volumulț ș de procesare al altor instan e pe acela i nod hardware.ț ș

For a de virtualizare a serverelor este similară cu cea care aț condus la dezvoltarea de time-sharing i multiprogramming în trecut.ș De i resursele sunt încă partajate, ca i în modelul time-sharing,ș ș virtualizarea, în func ie de tipul utilizat, oferă un nivel mai ridicat alț securită ii, deoarece serverele virtuale individuale sunt în mare parteț izolate unul de altul i pot rula propriile lor sistem de operare cuș drepturi depline astfel incat pot fi repornite în mod independent, ca o instan ă virtual. ț

Parti ionarea unui singur server atfel încât să apară ca multipleț servere a devenit din ce în ce mai comun pe microcalculatoare de la lansarea VMware ESX Server în 2001. Server-ul fizic rulează în mod tipic un hypervisor, care este însărcinat cu crearea, eliberarea i gestionareaș resurselor sistemelor de operare gazdă sau a ma inilor virtuale. Acestorș sisteme de operare gazdă le este alocată o parte a resurselor serverului fizic, de obicei, într-un mod în care gazda nu este con tientă de oriceș alte resurse fizice cu excep ia celor alocate de către hypervisor. ț

Pe măsură ce un VPS rulează propria copie a sistemului său de operare, clien ii au acces la nivel de superuser asupra instan eiț ț sistemului de operare, i pot instala aproape orice software care ruleazăș

5

pe sistemul de operare, însă datorită numărului de clien i deț virtualizare ce rulează pe o singură ma ină, un VPS are în general CPUș time, memorie RAM i spa iu pe disc limitate. ș ț

De i VMware i Hyper-V domină în sfera virtualizării de tipș ș corporativ, ele sunt mai pu in frecvente pentru furnizorii de VPS, înț principal din cauza costurilor i limitărilor, ace tia folosind produse,ș ș cum ar fi OpenVZ, Virtuozzo, Xen sau KVM.

Trecerea la un server dedicat reprezintă un angajament mare ce presupune timp i bani. În timp ce serverele dedicate sunt o op iuneș ț excelentă, implementarea solutiei de trecere de la un server partajat la unul dedicate este un pas destul de mare. Din fericire există o cale de mijloc. Această cale de mijloc este un Virtual Private Server, sau VPS.

6

1.3. VPLS

Ethernet a devenit tehnologia predominantă pentru conexiunea Local Area Network (LAN) i câ tigă acceptan ă drept o tehnologie deș ș ț acces, în special în re elele de tip Metropolitan i Wide Area (MAN,ț ș WAN). Motiva ia primară în spatele Virtual Private LAN Services (VPLS)ț este de a oferi conectivitate între site-uri ale clien ilor dispersateț geografic pe teritoriul MAN i WAN ca i cum ar fi conectate folosindș ș LAN.

Aplica ia destinată utilizatorului final poate fi împăr ită în ț țurmătoarele 2 categorii:

Conectivitatea între routerele cliente: aplica ie LAN de routereț Conectivitatea între switch-urile Ethernet cliente: aplica ie LANț

de switch-uri

Broadcast-ul i serviciile multicast sunt disponibile peste LAN-șurile tradi ionale. Site-urile care apar in aceluia i domeniu deț ț ș broadcast i care sunt conectate printr-o re ea MPLS se a teaptă caș ț ș traficul broadcast, multicast i unicast să fie directionat cătreș loca i(i)a(le) corectă(e). Acest lucru necesită procesul de learning/agingț al adresei MAC pe bază de pseudowire (o emulare de conexiune punct-la-punct într-o re ea de comutare a pachetelor (PSN)) i replicare deț ș pachete peste pseudowire-uri pentru trafic multicast / broadcast iș pentru flooding-ul de trafic cu destina ie unicast necunoscută.ț

7

2. Modelul topologic pentru VPLS2.1. General

O interfa ă care participă la un VPLS trebuie să fie în măsură săț inunde (flood), înainteze(forward) i să filtreze cadre Ethernet. Setul deș dispozitive PE(Provider Edge device) interconectate prin intermediul PWs(Pseudowires) apare ca un singur LAN emulat pentru clientul X; in figura de mai jos este realizata o topologie simpla VPLS in care un client are 3 site-uri conectate in retea, CE-urile (Customer Edge device) reprezentand dispozitivele client:

Fiecare PE va forma adresa MAC de la distan ă (remote) aț asocia iilor PW i va asocia adrese MAC direct ata ate clientilor care seț ș ș confruntă cu porturile locale. Acest lucru este modelat pe standardul IEEE 802.1 MAC învă are adresă (learning address).ț

Exemple specifice folosind tunele de transport MPLS si alte tunele care pot fi utilizate de PWS(a a cum se men ionează în [RFC4447]) - deș ț exemplu, GRE(Generic Routing Encapsulation), L2TP(Layer Two Tunneling Protocol), IPSec(IP security) - pot fi, de asemenea, folosite, atâta timp cât pot fi identificate PE-urile de origine, întrucât acestea sunt utilizate în procesul de învă are de adrese MAC.ț

    Domeniul de aplicare al VPLS se situează în interiorul PE-urilor din furnizorul de servicii re ea, subliniind faptul că în afară de delimitareaț serviciu clien i, forma de acces la un site client nu este relevantă pentruț VPLS [L2VPN-REQ]. Cu alte cuvinte, circuitul de atasament (AC –

8

Attachment Circuit – legatura intre un CE si un PE ce conecteaza un client cu furnizorul de servicii de retea) - conectat la client ar putea fi un port Ethernet fizic, un port logic (tag-ul) Ethernet, un ATM PVC care transportă cadre Ethernet, etc, sau chiar un PW Ethernet.

2.2. Flooding si ForwadingUnul dintre atributele unui serviciu Ethernet este că toate cadrele

trimise adreselor de broadcast i celor cu destina ie necunoscută aș ț adresei MAC sunt inundate (se face flooding) la toate porturile. Pentru a realiza inunda ii în cadrul serviciului de furnizare a re elei, toateț ț cadrele cu destinatie necunoscuta de tip unicast, broadcast, multicast sunt inundate peste PWs-urile corespunzătoare către toate nodurile PE participante în VPLS, precum i către toate AC-urile. ș

Cadrele multicast sunt un caz special i nu trebuie neapărat să fieș trimise tuturor membrilor VPN. Pentru simplificare, implicit se utilizează transmiterea prin broadcast a cadrelor de tip multicast.

Pentru a transmite un cadru, un PE trebuie să poată asocia o destina ie de adresă MAC cu un PW. Este nerezonabil i, probabil,ț ș imposibil de solicitat ca PE-urile să configureze static o asociere folosind fiecare posibilă adresă MAC destina ie cu un PW. Prin urmare, PE-urileț capabile din punct de vedere VPLS trebuie să aibă capacitatea de a învă a dinamic adrese MAC atât pe AC-uri cât i pe PW-uri i de aț ș ș transmite i reproduce pachete pe ambele AC i PW.ș ș

2.3. Învă area adreseițSpre deosebire de VPN-urile de tip BGP (Border Gateway

Protocol) [RFC4364], informa ia accesibilă nu este promovată iț ș distribuită prin intermediul unui plan de control (parte a arhitecturii unui ruter care se ocupa cu crearea structurii retelei, a tabelelor de rutare ce definesc drumul pe care il parcurge un pachet de la sursa la destinatie). Asadar, nebeneficiind de aceste informatii, intervine tehnica de invatare a adresei care va determina in mod dinamic, in functie de structura retelei, legaturile ce lipsesc. Accesibilitatea se ob ine prinț învă are de func ii de legătură standard în planul de date, adica prinț ț comutarea de pachete dupa realizarea cailor de acces de la surse la destinatii, actiune realizata in faza anterioara (planul de date reprezinta,

9

de fapt, deplasare pachetelor pe rutele determinate in planul de control).

Când un pachet ajunge pe un PW, dacă adresa MAC sursă este necunoscută, aceasta trebuie să fie asociată cu PW, astfel încât pachetele de ie ire către acea adresă MAC să poată fi livrate peste PW-ul asociat.ș De asemenea, când un pachet ajunge pe un AC, în cazul în care adresa MAC sursă este necunoscută, aceasta trebuie să fie asociată cu AC, astfel încât pachetele de ie ire către adresa MAC să poată fi livrate pe AC-ulș asociat.

Învă area standard, filtrarea i ac iunile de forwarding, a a cumț ș ț ș sunt definite în [802.1D-ORIG], [802.1D-REV], i [802.1Q], sunt necesareș atunci când starea unui PW sau AC se schimbă.

2.4. Tipologia de tunelSe presupune că routerele PE au capacitatea de a stabili/crea

tuneluri transport. Tunelurile sunt stabilite între PE-uri pentru a agrega traficul. PW-urile sunt semnalate la demultiplexarea cadrelor Ethernet încapsulate din mai multe instan e VPLS care traversează tunelurile deț transport.

Într-o conexiune L2VPN Ethernet, devine responsabilitatea serviciului furnizor de a crea topologia-buclă gratuit. Se defineste că topologia unei VPLS este o plasă(mesh) completa(full - în care toate nodurile sunt interconectate) de PWS. Aceast tip de re ea oferă oț conexiune continuă i dispune de algoritmi de reconfigurare în caz deș noduri blocate sau neopera ionale. Scopul principal al acestor algoritmiț este de a găsi cea mai bună rută pentru a ocoli nodurile neopera ionaleț

i de a transmite până la destina ie pachetele de date, în ciudaș ț dificultă ilor.ț

2.5. VPLS de tip bucla liberăDacă topologia VPLS nu este una de tip full mesh, ca cea descrisa

anterior, atunci pentru două PE-uri ce nu sunt conectate direct prin intermediul PW-urilor, ar trebui să se utilizeze un PE intermediar la schimbarea pachetelor. Această topologie ar necesita utilizarea unui protocol ce elimina automat si logic buclele de retea, de exemplu STP

10

(Spanning Tree Protocol - protocol de comunicatii care are ca scop asigurarea redundantei retelei).

În schimb, o topologie de tip full mesh de PW-uri se stabile teș între PE-uri. Din moment ce fiecare PE este acum conectat în mod direct la toate celelalte PE-uri în VPLS prin intermediul unui PW, nu mai este necesară schimbarea de pachete, i se poate crea o regulă simplă deș tipul loop-breaking (fără bucle): regula "split horizon". Aceasta metoda este una de prevenire a buclelor de rutare; principiul de baza este unul simplu: informatia despre rutarea unui anumit pachet nu este niciodata trimisa inapoi, de la sursa de la care a fost primita. Aplicand aceasta regula in cazul nostu, rezulta ca unui PE ii este interzis sa transmita trafic de la un PW la altul în aceea i topologie mesh VPLS, astfelș evitandu-se crearea de bucle.

Clien ii au permisiunea de a rula protocolul STP (de exemplu, a aț ș cum este definit în [802.1D-REV]), de exemplu atunci când un client are legături folosite pentru a furniza redundan ă în caz de e ec în VPLS. Înț ș acest caz, BPDU-urile (Bridge Protocol Data Unit) STP sunt pur i simpluș tunelate prin furnizorul de cloud.

11

3. Arhitectura

3.1. H-VPLS

H-VPLS este o ierarhina de versiune al Protocolului de Distribuire a Etichetei (LDP) fiind formata din doua nivele.

In esenta putem spune ca H-VPLS incearca sa adreseze doua tipuri diferite de probleme:

- Prima ar fi probleme scalabilitatea continuta in VPLS- A doua este posibilitatea de a extinde domeniul VPLS catre locurile inferiore stabilind folosirea de device-uri mai simpliste.

In cadrul datelor emise de Ethernet Edge H-VPLS sunt transmise doar cadrele clientilor, iar delimitatorii de servicii sunt locali pentru tag-urile PE si etichetele VC (Circuit Virtual), etc. Pe langa asta mai permit si optiuni de design ierarhic.

12

3.2. Exemple de configuratie

Intr-o configuratie full-mesh, fiecare router PE creaza o relatie de transmitere a pachetelor multipunct la multipunct cu toate celelalte routere PE din domeniul VPLS folosind o instanta virtuala de transmitere (VFI). Un pachet VLAN sau Ethernet primit de la un client al retelei poate fi transmis mai departe catre una sau mai multe interfete sau circuitele virtuale emulate in domeniul VPLS. Pentru a evita ca pachetele trimise prin broadcast sa creeze bucle in interiorul retelei, nicun pachet primit de la un circuit virtual nu poate fi trimis catre orice alt circuit virtual de pe un router PE.

Acesta este un exemplu de configuratie VPLS

Configuratia pe PE 1

Crearea de instante de switch-uri virtuale si circuite virtuale asociate.

l2 vfi PE1-VPLS-A manual vpn id 100 neighbor 2.2.2.2 encapsulation mpls neighbor 3.3.3.3 encapsulation mplsinterface Loopback 0 ip address 1.1.1.1 255.255.255.255

Configuratie pentru interfetele dispozitivelor CE

13

interface FastEthernet0/0 switchport switchport mode dot1qtunnel switchport access vlan 100

Circuitul atasat este asociat cu interfata de corcuit virtual

interface vlan 100 no ip address xconnect vfi PE1-VPLS-A

Activarea in Stratul al 2-lea a instantei VLAN

vlan 100state active

Pentru celelalte doua PE-uri se foloseste codul anterior cu modificarea numelui router-ului si a ip-urilor vecinilor.

Pentru a vedea informatiile despre statusul VC se foloseste comanda:show mpls 12 vc

Aceasta are ca rezultat:

14

3.3. Caracteristici

Caracteristici ale VPN-urilor:

Una dintre caracteristici este reprezentata de posibilitatea de auto-descoperire a apartenentei la domeniul VPN ce reduce posibilele erori aparute la crearea configuratiei VPN-ului. (mecanismul de auto-descoperire se realizeaza prin capabilitatea PE-urilor de a transmite catre alte PE-uri, propria adresa IP si lista membrilor VPN-ului configurata pe acel PE; odata primite aceste informatii, PE-ul isi va putea stabili caracteristicile conexiunii VPN)

Semnalizarea de conexiuni între aparate PE asociate cu un VPN Transmiterea de cadre

AToM (Any Transport over MPLS) foloseste interfata bazata pe transmiterea pachetelor.VPLS folose te 802.1Q IEEE (este standardul de retea ce suport șLAN-urile pe o retea Ethernet)

Prevenirea Buclei MPLS Core va folosi un full mesh de PWS-uri i metoda "split-șhorizon" explicata in capitolul anterior

Avantaje: Corespunzator pentru implementări ale clientilor mici Latenta scazuta Rapiditate, securitate si omogenitatea retelei

Dezavantaje: Nicio scalabilitate ierarhice Din cauza faptului ca nu este un sistem ierarhic ca cel al

adreselor IP este mai complicat manipulearea unui numar mare de adrese MAC

Nu este scalabil la un numar mare de locatii

15

Bibliografie

1. http://en.wikipedia.org/wiki/Virtual_private_server2. http://en.wikipedia.org/wiki/Virtual_LAN3. http://www.ciscopress.com/articles/article.asp?

p=2181837&seqNum=34. Book - Cisco IOS® MPLS 5. Book - Lasserre & Kompella - Virtual Private LAN

Service over LDP6. http://www.digitalpacific.com.au/blog/an-

introduction-to-vps/

16