En la actualidad es muy frecuente escuchar el trmino
VPN, debido a la gran demanda de redes privadas por parte de empresas y organismos, y dada su fuerte insercin en el mercado de los Service Providers (SPs). Si bien han aparecido nuevos protocolos y tecnologas que proponen mejorar las prestaciones, reducir los costos, incrementar los niveles de seguridad o extender los mtodos de acceso, el concepto VPN lleva ms de una dcada en el mercado sin modificarse. Una VPN es una red (corporativa, educativa, etc.) en la que los distintos sitios que la conforman son conectados utilizando una infraestructura compartida, per o quedando independiente y aislada de otras redes. La infraestructura compartida normalmente es provista por un Service Provider ( quien administra los recursos y mantiene las polticas de acceso y seguridad dentro de su red) o hasta incluso tambin podra serlo la misma Internet. Existen dos modelos principales de VPNs, las Overlay y las Peer-to-Peer. Overlay: Es aquella VPN en donde el Service Provider emula una Lnea Virtual entre los sitios remotos del cliente mediante, por ejemplo, un Permanent Virtual Circuit (PVC) de Frame Relay o ATM. Este modelo puede incluir tanto tneles GRE (Generic Routing Encapsulation) como IPSec (IP Security). Una restriccin importante en las Overlay VPNs es que cuando se agrega un nuevo sitio a esta clase de VPN hay que reconfigurar todos los Customer Edge Routers (CEs) correspondientes a dicha VPN. Peer-to-Peer: En este modelo el SP y su cliente intercambian informacin de enrutamiento en cada interconexin que poseen entre los routers PE y CE (Provider Edge y Customer Edge). El SP es el responsable de redistribuir y suministrar la informacin de enrutamiento ptima a los otros CE de la misma VPN. Como el equipamiento del SP puede ser compartido entre una o ms VPNs, es ste quien debe aislar el trfico de los distintos clientes; esto puede ser implementando por medio de Access Control Lists (ACLs). La topologa de una VPN tambin puede ser diversa, como por ejemplo: Hub and Spoke: En donde los distintos sitios de una compaa estn conectados al Headquarter, que puede proveer o no comunicacin entre sucursales. Similar a una Topologa de Estrella. Full Mesh: En donde todos los sitios de la VPN estn "conectados" entre s. Las redes con topologa Full Mesh pueden implicar altos costos de mantenimiento y administracin. Partial Mesh: Se establecen relaciones de "algunos con algunos" dentro de la VPN. Esta topologa se presenta como una solucin cuando no se tienen los recursos necesarios o bien cuando no hace falta tener una relacin "todos con todos". Beneficios MPLS/VPN Optima relacin costo/ beneficio. Alto grado de rendimiento. Es flexible y escalable para futuras necesidades. Entrega la seguridad requerida para una solucin de VPN. Diferentes Clases de Servicios (CoS) que permiten el transporte eficiente de voz, video, aplicaciones interactivas y no interactivas, en la misma conexin y servicio. 1 MPLS/VPN (Multiprotocol Label Switching/VPN) Las MPLS/VPN combinan los beneficios de las Overlay VPNs y las Peer-to-Peer VPNs. Como el primer modelo de VPNs, ofrecen niveles de seguridad similares y la separacin entre los distintos clientes; como las Peer- to-Peer VPNs, entregan la flexibilidad de aprovisionamiento para el SP y la administracin para el cliente y el proveedor. Por otro lado, la MPLS/VPN es implementada en la infraestructura del SP, lo que independiza al servicio de VPN del equipamiento y la carga administrativa por parte del cliente. Esto, a su vez, trae aparejadas otras ventajas no menos importantes. Al no requerirse un Hardware especfico ni "poderoso" como CPE (Customer Premise Equipment) para realizar funciones complejas e intensivas como la encr i pt aci n y/o autenticacin de los datos, se disminuyen fuertemente los costos de la solucin. En cuanto a la Informacin de enrutamiento, el SP mantiene un conocimiento total de todos los sitios de una VPN y, de manera gil y dinmica, se le informa a los CEs Routers; existiendo distintas alternativas: BGP, RIP, OSPF. De esta forma la carga administrativa y compleja que implica el control de enrutamiento en el lado del cliente se transforma en algo sencillo, preciso y eficiente. En relacin a los niveles de seguridad entregados, una MPLS/VPN puede ser comparada con los mtodos tradicionales como los Circuitos Virtuales de Frame Relay o ATM. Cabe aclarar que en ninguno de estos casos la encriptacin de los datos est implcita. Todos estos beneficios, determinan una ptima relacin costo / beneficio, manteniendo un alto grado de rendimiento, siendo flexible y escalable para futuras necesidades, soportando distintas Clases de Servicio (CoS) para servir eficientemente aplicaciones interactivas y no interactivas, y, sobre todo, entregando la seguridad requerida para una solucin de VPN. SOBRE MPLS La arquitectura de MPLS est basada en la asignacin de una o ms etiquetas de 32 bits cada una (Label) a cada paquete IP*. *MPLS soporta el uso de otros protocolos, como por ejemplo Frame Relay, PPP y Ethernet, entre otros. Esto implica que una vez que a un paquete se le insert un Label (PUSH), los routers dentro del dominio MPLS utilizarn la breve informacin de los labels para decidir qu y cmo tienen que cumplir su tarea en lugar de inspeccionar el encabezado IP para tal fin. Bsicamente el paradigma de MPLS consiste en conmutar paquetes mediante la lectura y reemplazo de labels (etiquetas), funcin conocida como SWAP. El ltimo router del dominio MPLS, llamado Egress LSR o Egress PE, remueve el label (POP) y lo enva en formato IP convencional. (ver figura 1). Una de las principales aplicaciones que Multiprotocol Label Switching (MPLS) introduce es la posibilidad de implementar VPNs basadas en MPLS, llamadas MPLS/VPNs. Esto se logra bsicamente mediante la asignacin de dos etiquetas a cada paquete (de aqu en adelante Labels). El primero y externo (outer) -llamado Route Label- que especifica como formar el camino - denominado Label Switching Path (LSP)- (contina en la pgina siguiente). Porque IFX MPLS VPN ? Porque IFX posee la mayor cobertura en Latinoamrica para ofrecer servicios basados MPLS con la calidad y seguridad requerida por corporaciones y empresas. Ampliando su cobertura mediante acuerdos que le permiten brindar soluciones MPLS en otras regiones (EE. UU. / Europa). Porque tiene la red con infraestructura propia de mayor capilaridad en la regin y un grupo de soporte especializado que puede atender las 24 horas del da, los 365 das del ao, las necesidades de sus clientes. L2 Header Label IP Packet IP packet IP packet
fig.1 IP packet IP packet + Label Label Swapping IP packet + Label IP packet IP packet IP packet Label Imposition (PUSH) (POP) Label Deposition 2 hasta llegar al Egress PE y el segundo e interno (inner) - llamado VPN Label- para indicarle al Egress PE a qu VPN corresponde el paquete en cuestin. A continuacin se explicarn cules son los elementos principales en el modelo de MPLS/VPNS. VPN Routing & Forwarding Instance (VRFs): Las alternativas que ofrecen las MPLS/VPN estn basadas principalmente en el uso de VRFs en los Edge LSR. Un VRF puede ser visto como un Router Virtual, el cual contiene su propia tabla de enrutamiento junto a su propia tabla de envo/conmutacin (Forwarding Information Base FIB) a la que se le asignan las interfaces que conectan la red del SP con los dispositivos del cliente. Dentro de los beneficios de las MPLS/VPN se mencion el aislamiento de clientes, tal es as que distintos clientes pueden utilizar su propio plan de direccionamiento IPv4, excepto que los clientes necesiten conectividad entre s.
Route Distinguisher (RD):
El Route Distinguisher es el atributo que diferencia el "mismo" prefijo o ruta del cliente A por el de B. Un RD (64 bits) es insertado al principio (Prepended) de cada prefijo IPv4, que en conjunto conforman un VPNv4 prefix. El RD es un simple nmero que no hereda ningn significado, slo se usa para diferenciar los prefijos IPv4 entre distintas VPNs o set de VPNs. Debido a su estructura, compuesta por 3 campos: Type, Administrator Field y Assigned Number, se permite la utiliza cin de un espacio VPNv4 por cada Service Provider; esto se logra gracias al Administrator Field, en donde se coloca generalmente el ASN del SP en cuestin. Distribucin Prefijos VPNv4 El anuncio de los prefijos VPNv4 de cada VPN entre los P Routers es realizado mediante BGPv4 y sus extensiones de transporte multiprotocolo (Multiprotocol BGP). La eleccin de MP-BGP para la distribucin de fundamentalmente de las caractersticas de este protocolo. Si bien protocolos IGP como EIGRP o IS-IS fueron concebidos con soporte Multi Protocolo, BGP soporta una cantidad importante de prefijos en comparacin a cualquier IGP y contiene una cantidad importante de atributos por cada prefijo, siendo esto lo que, entre otras cosas, hizo que MP-BGP fuera seleccionado para esta funcin. En cuanto al intercambio de informacin de rutas entre el PE y CE tambin existen distintas alternativas. Se puede lograr por medio de enrutamiento esttico o bien con el uso de protocolos de enrutamiento dinmico, pudiendo ser: RIP, OSPF, EIGRP y BGP. Control de Distribucin y Extended Attributes: A nivel general ya vimos como se distribuyen los prefijos VPNv4 entre PEs y sus vecinos P y PEs, y tambin cmo intercambian prefijos IPv4 los PEs y CEs; que luego con el RD impuesto sern VPNv4 dentro del dominio MPLS.
Existen distintos atributos que permiten el control y manejo de prefijos VPNv4, entre ellos el Route Target (RT). El Route Target es un atributo que lleva asociado cada prefijo VPNv4 como un Extended Attribute. Cada VRF tiene asociado uno o ms Route Targets, atributo con el cual se marcan a los prefijos insertados en cada VRF; recibidos desde un CE o bien por rutas estticas. De aqu en adelante cada PE Router seleccionar, de acuerdo a los RT pre-configurados a cada VRF, qu prefijos VPNv4 debe seleccionar e insertar o advertir. Nota: En caso que un PE Router reciba un mismo prefijo VPNv4, seleccionar uno solo, utilizando el algoritmo de decisin de BGP.
El proceso de advertir e importar prefijos puede variar,
debido a que el Route Target se especifica como Import Route Target y como Export Router Target. Aunque en algunas ocasiones estos pueden coincidir, esto no siempre puede ser lo deseado. Esto permite tal flexibilidad que el administrador puede definir qu prefijos se exportan de un VRF A a otro VRF B e importar prefijos del VRF C al A y no al B. 3 Route Label VPN Label IP Packet Administrator Field Assigned Number Type Field Route Distinguisher Ex: 18747:1234567 Forwarding Paradigm: Lo anteriormente expuesto permite estar en condiciones de entender cmo se logran IP VPNs con la arquitectura de MPLS. Para concluir con este modelo, a continuacin presentamos un grfico que ejemplifica cmo es la vida de un paquete que viaja a travs de una MPLS/VPN. 4 Glosario: ACL: Access Control List ASN: Autonomous System Number BGP: Border Gateway Protocol CE: Customer Edge Router EIGRP: Enhanced Interior Gateway Routing Protocol FIB: Forwarding Information Base GRE: Generic Routing Encapsulation IETF: Internet Engineering Task Force (www.ietf.org) IGP: Interior Gateway Protocol IPSEC: IP Security ISIS: Intermediate System-Intermediate System (IGP) LDP: Label Distribution Protocol LSP: Label Switching Path LSR: Label Switch Router MPLS: Multiprotocol Label Switching OSPF: Open Shortest Path First P: Provider Router PE: Provider Edge Router PVC: Permanent Virtual Circuit (Frame Relay/ATM) RFC: Request for comments RD : Route Distinguisher RIP: Routing Information Protocol RT: Route Target VPN: Virtual Private Network VRF: Virtual Routing and Forwarding Instace Internet Engineering Task Force (IETF) RFCs RFC 791 - Internet Protocol RFC 1771 - A Border Gateway Protocol 4 (BGP-4) RFC 1997 - BGP Communities Attribute RFC 2547 - BGP/MPLS RFC 2858 - Multiprotocol Extensions for BGP4 RFC 3031 - Multiprotocol Label Switching Architecture RFC 3032 - MPLS Label Stack Encoding RFC 3036 - LDP Specification RFC 3037 - LDP Applicability RFC 3107 - Carrying Label Information in BGP4
5 IFX Corporation (OTCBB: FUTR.OB) Derechos Reservados. IFX Argentina: Av. Belgrano 1586 piso 11, (1093) Ciudad de Buenos Aires, Argentina. Tel.: (5411) 4104-2400. Contacto: info@ifxnw.com.ar - IFX Brasil: Av. Naes Unidas, 13797, bloco 3 - 20 andar, 04794-000 - So Paulo/SP. Tel.: 11-3365-5858. Fax: 11-3365-5857. Ventas: comercial@ifx.com.br. Soporte Tcnico: noc@ifxnetworks.com - IFX Chile: Apoquindo 3000 of. 602, Las Condes, Tel.: 562-374-4500. Fax: 562- 374-4580. Contacto: info@ifxnw.cl - IFX Colombia: Carrera 69 # 43 B- 44 Piso 5 , Bogota. Tel.: 3693000. Fax: 3693003 / Cali: Edificio Torre de Cali, Calle 19 Norte # 2N-29 Of 3901, Cali. Tel.: (572) 6600877 - Fax. (572) 6686105. Contacto: info@ifxnetworks.com.co / Medelln: Edificio Sudameris, Carrera 43 A # 1 Sur-100 Of 1604, Medellin. Tel.: (574)3113204 / 3112974 - Fax. (574) 3113204. Contacto: info@ifxnetworks.com.co -IFX Guatemala: Ciudad de Guatemala, 13 Calle, 3-40, zona 10. Edicifio Atlantis, Oficina 604. Tel.: (502) 3672021 to 23, Contacto: info@ifxnw.com.gt - IFX Mxico: IFX Distrito Federal: Gonzalez de Cossio No. 6, Colonia Del Valle, Mxico, D.F. CP 03100, Tel.: (55) 5147-9911. Fax. (55) 5147-9910. / Toluca: Felipe Villanueva No. 710, Colonia Morelos CP 50120, Tel.: (52) 7222-194624 - Fax. (52) 7222-125803 / Monterrey: Boulevard Acapulco Nro. 4006, Colonia Valle de las Brisas - CP 64790, Tel.: (83) 8357-8000, Fax. (83) 8357-8000 - IFX Panam: Ave. Samuel Lewis, Torre HSBC, Planta Baja, Local Nro. 3, Panam. Tel.: 507-263-8727. Fax: 507-263-7042, Contacto: info@ifx.com.pa - IFX Venezuela: Av. Ppal de El Bosque c/calle Santa Luca; Torre Credicard, piso 5, Oficina 56, Chacaito, Caracas. Tel.: 582.12.952.36.55. Fax: 582.12.953.81.09. - IFX Uruguay: Plaza Independencia 831, Edificio Plaza Mayor, Oficina 1204, Montevideo Uruguay, 11200. Tel.: 598-2908-2930. Fax: 598-2900-0314 . Contacto: info@ifxnw.com.uy. - IFX USA: 15050 NW 79th Court - 200, Miami Lakes,Florida,33016. Tel.: 305.512.1100 / 305.512.1170 - Fax : 305.512.4220 - Ventas: E-mail : sales@ifxcorp.com.