IFX MPLS/VPN White Paper

En la actualidad es muy frecuente escuchar el trmino

VPN, debido a la gran demanda de redes privadas por
parte de empresas y organismos, y dada su fuerte
insercin en el mercado de los Service Providers (SPs).
Si bien han aparecido nuevos protocolos y tecnologas
que proponen mejorar las prestaciones, reducir los
costos, incrementar los niveles de seguridad o
extender los mtodos de acceso, el concepto VPN lleva
ms de una dcada en el
mercado sin modificarse.
Una VPN es una red
(corporativa, educativa, etc.)
en la que los distintos sitios
que la conforman son
conectados utilizando una
infraestructura compartida,
per o quedando
independiente y aislada de
otras redes.
La infraestructura compartida
normalmente es provista por
un Service Provider ( quien
administra los recursos y
mantiene las polticas de
acceso y seguridad dentro de
su red) o hasta incluso
tambin podra serlo la
misma Internet.
Existen dos modelos
principales de VPNs, las
Overlay y las Peer-to-Peer.
Overlay: Es aquella VPN en
donde el Service Provider emula una Lnea Virtual
entre los sitios remotos del cliente mediante, por
ejemplo, un Permanent Virtual Circuit (PVC) de Frame
Relay o ATM. Este modelo puede incluir tanto tneles
GRE (Generic Routing Encapsulation) como IPSec (IP
Security).
Una restriccin importante en las Overlay VPNs es que
cuando se agrega un nuevo sitio a esta clase de VPN
hay que reconfigurar todos los Customer Edge Routers
(CEs) correspondientes a dicha VPN.
Peer-to-Peer: En este modelo el SP y su cliente
intercambian informacin de enrutamiento en cada
interconexin que poseen entre los routers PE y CE
(Provider Edge y Customer Edge). El SP es el
responsable de redistribuir y suministrar la informacin
de enrutamiento ptima a los otros CE de la misma VPN.
Como el equipamiento del SP puede ser compartido
entre una o ms VPNs, es ste quien debe aislar el
trfico de los distintos clientes; esto puede ser
implementando por medio de Access Control Lists
(ACLs).
La topologa de una VPN tambin puede ser diversa,
como por ejemplo:
Hub and Spoke: En donde los
distintos sitios de una
compaa estn conectados
al Headquarter, que puede
proveer o no comunicacin
entre sucursales. Similar a
una Topologa de Estrella.
Full Mesh: En donde todos
los sitios de la VPN estn
"conectados" entre s. Las
redes con topologa Full Mesh
pueden implicar altos costos
de mantenimiento y
administracin.
Partial Mesh: Se establecen
relaciones de "algunos con
algunos" dentro de la VPN.
Esta topologa se presenta
como una solucin cuando no
se tienen los recursos
necesarios o bien cuando no
hace falta tener una relacin
"todos con todos".
Beneficios MPLS/VPN
Optima relacin costo/ beneficio.
Alto grado de rendimiento.
Es flexible y escalable para
futuras necesidades.
Entrega la seguridad requerida
para una solucin de VPN.
Diferentes Clases de Servicios
(CoS) que permiten el transporte
eficiente de voz, video, aplicaciones
interactivas y no interactivas, en la
misma conexin y servicio.
1
MPLS/VPN (Multiprotocol Label Switching/VPN)
Las MPLS/VPN combinan los beneficios de las Overlay
VPNs y las Peer-to-Peer VPNs. Como el primer modelo
de VPNs, ofrecen niveles de seguridad similares y la
separacin entre los distintos clientes; como las Peer-
to-Peer VPNs, entregan la flexibilidad de
aprovisionamiento para el SP y la administracin para
el cliente y el proveedor.
Por otro lado, la MPLS/VPN es implementada en la
infraestructura del SP, lo que independiza al servicio
de VPN del equipamiento y la carga administrativa por
parte del cliente. Esto, a su
vez, trae aparejadas otras
ventajas no menos
importantes.
Al no requerirse un Hardware
especfico ni "poderoso"
como CPE (Customer Premise
Equipment) para realizar
funciones complejas e
intensivas como la
encr i pt aci n y/o
autenticacin de los datos,
se disminuyen fuertemente
los costos de la solucin.
En cuanto a la Informacin de
enrutamiento, el SP
mantiene un conocimiento
total de todos los sitios de
una VPN y, de manera gil y
dinmica, se le informa a los
CEs Routers; existiendo
distintas alternativas: BGP,
RIP, OSPF. De esta forma la
carga administrativa y compleja que implica el control
de enrutamiento en el lado del cliente se transforma
en algo sencillo, preciso y eficiente.
En relacin a los niveles de seguridad entregados, una
MPLS/VPN puede ser comparada con los mtodos
tradicionales como los Circuitos Virtuales de Frame
Relay o ATM. Cabe aclarar que en ninguno de estos
casos la encriptacin de los datos est implcita.
Todos estos beneficios, determinan una ptima relacin
costo / beneficio, manteniendo un alto grado de
rendimiento, siendo flexible y escalable para futuras
necesidades, soportando distintas Clases de Servicio
(CoS) para servir eficientemente aplicaciones
interactivas y no interactivas, y, sobre todo, entregando
la seguridad requerida para una solucin de VPN.
SOBRE MPLS
La arquitectura de MPLS est basada en la asignacin
de una o ms etiquetas de 32 bits cada una (Label) a
cada paquete IP*.
*MPLS soporta el uso de otros protocolos, como por ejemplo Frame
Relay, PPP y Ethernet, entre otros.
Esto implica que una vez que a
un paquete se le insert un
Label (PUSH), los routers
dentro del dominio MPLS
utilizarn la breve informacin
de los labels para decidir qu y
cmo tienen que cumplir su
tarea en lugar de inspeccionar
el encabezado IP para tal fin.
Bsicamente el paradigma de
MPLS consiste en conmutar
paquetes mediante la lectura y
reemplazo de labels
(etiquetas), funcin conocida
como SWAP.
El ltimo router del dominio
MPLS, llamado Egress LSR o
Egress PE, remueve el label
(POP) y lo enva en formato IP
convencional. (ver figura 1).
Una de las principales
aplicaciones que Multiprotocol
Label Switching (MPLS)
introduce es la posibilidad de implementar VPNs basadas
en MPLS, llamadas MPLS/VPNs. Esto se logra
bsicamente mediante la asignacin de dos etiquetas a
cada paquete (de aqu en adelante Labels). El primero y
externo (outer) -llamado Route Label- que especifica
como formar el camino - denominado Label Switching
Path (LSP)- (contina en la pgina siguiente).
Porque IFX MPLS VPN ?
Porque IFX posee la mayor cobertura en
Latinoamrica para ofrecer servicios
basados MPLS con la calidad y seguridad
requerida por corporaciones y empresas.
Ampliando su cobertura mediante
acuerdos que le permiten brindar
soluciones MPLS en otras regiones (EE.
UU. / Europa).
Porque tiene la red con infraestructura
propia de mayor capilaridad en la regin y
un grupo de soporte especializado que
puede atender las 24 horas del da, los 365
das del ao, las necesidades de sus
clientes.
L2 Header Label IP Packet
IP packet IP packet

fig.1
IP packet IP packet + Label
Label Swapping
IP packet + Label IP packet IP packet IP packet
Label Imposition
(PUSH) (POP)
Label Deposition
2
hasta llegar al Egress PE y el segundo e interno (inner) -
llamado VPN Label- para indicarle al Egress PE a qu VPN
corresponde el paquete en cuestin.
A continuacin se explicarn cules son los elementos
principales en el modelo de MPLS/VPNS.
VPN Routing & Forwarding Instance
(VRFs):
Las alternativas que ofrecen las MPLS/VPN estn
basadas principalmente en el uso de VRFs en los Edge
LSR. Un VRF puede ser visto como un Router Virtual, el
cual contiene su propia tabla de enrutamiento junto a su
propia tabla de envo/conmutacin (Forwarding
Information Base FIB) a la que se le asignan las
interfaces que conectan la red del SP con los
dispositivos del cliente.
Dentro de los beneficios de las MPLS/VPN se mencion
el aislamiento de clientes, tal es as que distintos
clientes pueden utilizar su propio plan de
direccionamiento IPv4, excepto que los clientes
necesiten conectividad entre s.

Route Distinguisher (RD):

El Route Distinguisher es el atributo que diferencia el
"mismo" prefijo o ruta del cliente A por el de B. Un RD
(64 bits) es insertado al principio (Prepended) de cada
prefijo IPv4, que en conjunto conforman un VPNv4
prefix. El RD es un simple nmero que no hereda ningn
significado, slo se usa para diferenciar los prefijos IPv4
entre distintas VPNs o set de VPNs. Debido a su
estructura, compuesta por 3 campos: Type,
Administrator Field y Assigned Number, se permite la
utiliza cin de un espacio VPNv4 por cada Service
Provider; esto se logra gracias al Administrator Field, en
donde se coloca generalmente el ASN del SP en
cuestin.
Distribucin Prefijos VPNv4
El anuncio de los prefijos VPNv4 de cada VPN entre los P
Routers es realizado mediante BGPv4 y sus extensiones
de transporte multiprotocolo (Multiprotocol BGP).
La eleccin de MP-BGP para la distribucin de
fundamentalmente de las caractersticas de este
protocolo. Si bien protocolos IGP como EIGRP o IS-IS
fueron concebidos con soporte Multi Protocolo, BGP
soporta una cantidad importante de prefijos en
comparacin a cualquier IGP y contiene una cantidad
importante de atributos por cada prefijo, siendo esto lo
que, entre otras cosas, hizo que MP-BGP fuera
seleccionado para esta funcin.
En cuanto al intercambio de informacin de rutas entre
el PE y CE tambin existen distintas alternativas. Se
puede lograr por medio de enrutamiento esttico o
bien con el uso de protocolos de enrutamiento
dinmico, pudiendo ser: RIP, OSPF, EIGRP y BGP.
Control de Distribucin y Extended
Attributes:
A nivel general ya vimos como se distribuyen los
prefijos VPNv4 entre PEs y sus vecinos P y PEs, y
tambin cmo intercambian prefijos IPv4 los PEs y CEs;
que luego con el RD impuesto sern VPNv4 dentro del
dominio MPLS.

Existen distintos atributos que permiten el control y
manejo de prefijos VPNv4, entre ellos el Route Target
(RT). El Route Target es un atributo que lleva asociado
cada prefijo VPNv4 como un Extended Attribute.
Cada VRF tiene asociado uno o ms Route Targets,
atributo con el cual se marcan a los prefijos insertados
en cada VRF; recibidos desde un CE o bien por rutas
estticas. De aqu en adelante cada PE Router
seleccionar, de acuerdo a los RT pre-configurados a
cada VRF, qu prefijos VPNv4 debe seleccionar e
insertar o advertir.
Nota: En caso que un PE Router reciba un mismo
prefijo VPNv4, seleccionar uno solo, utilizando el
algoritmo de decisin de BGP.

El proceso de advertir e importar prefijos puede variar,

debido a que el Route Target se especifica como
Import Route Target y como Export Router Target.
Aunque en algunas ocasiones estos pueden coincidir,
esto no siempre puede ser lo deseado. Esto permite
tal flexibilidad que el administrador puede definir qu
prefijos se exportan de un VRF A a otro VRF B e
importar prefijos del VRF C al A y no al B.
3
Route Label VPN Label IP Packet
Administrator
Field
Assigned
Number
Type
Field
Route Distinguisher
Ex: 18747:1234567
Forwarding Paradigm:
Lo anteriormente expuesto permite estar en
condiciones de entender cmo se logran IP VPNs con la
arquitectura de MPLS.
Para concluir con este modelo, a continuacin
presentamos un grfico que ejemplifica cmo es la vida
de un paquete que viaja a travs de una MPLS/VPN.
4
Glosario:
ACL: Access Control List
ASN: Autonomous System Number
BGP: Border Gateway Protocol
CE: Customer Edge Router
EIGRP: Enhanced Interior Gateway Routing Protocol
FIB: Forwarding Information Base
GRE: Generic Routing Encapsulation
IETF: Internet Engineering Task Force (www.ietf.org)
IGP: Interior Gateway Protocol
IPSEC: IP Security
ISIS: Intermediate System-Intermediate System (IGP)
LDP: Label Distribution Protocol
LSP: Label Switching Path
LSR: Label Switch Router
MPLS: Multiprotocol Label Switching
OSPF: Open Shortest Path First
P: Provider Router
PE: Provider Edge Router
PVC: Permanent Virtual Circuit (Frame Relay/ATM)
RFC: Request for comments
RD : Route Distinguisher
RIP: Routing Information Protocol
RT: Route Target
VPN: Virtual Private Network
VRF: Virtual Routing and Forwarding Instace
Internet Engineering Task Force (IETF) RFCs
RFC 791 - Internet Protocol
RFC 1771 - A Border Gateway Protocol 4 (BGP-4)
RFC 1997 - BGP Communities Attribute
RFC 2547 - BGP/MPLS
RFC 2858 - Multiprotocol Extensions for BGP4
RFC 3031 - Multiprotocol Label Switching Architecture
RFC 3032 - MPLS Label Stack Encoding
RFC 3036 - LDP Specification
RFC 3037 - LDP Applicability
RFC 3107 - Carrying Label Information in BGP4

5
IFX Corporation (OTCBB: FUTR.OB) Derechos Reservados.
IFX Argentina: Av. Belgrano 1586 piso 11, (1093) Ciudad de Buenos Aires, Argentina. Tel.: (5411) 4104-2400. Contacto: info@ifxnw.com.ar - IFX
Brasil: Av. Naes Unidas, 13797, bloco 3 - 20 andar, 04794-000 - So Paulo/SP. Tel.: 11-3365-5858. Fax: 11-3365-5857. Ventas:
comercial@ifx.com.br. Soporte Tcnico: noc@ifxnetworks.com - IFX Chile: Apoquindo 3000 of. 602, Las Condes, Tel.: 562-374-4500. Fax: 562-
374-4580. Contacto: info@ifxnw.cl - IFX Colombia: Carrera 69 # 43 B- 44 Piso 5 , Bogota. Tel.: 3693000. Fax: 3693003 / Cali: Edificio Torre de Cali,
Calle 19 Norte # 2N-29 Of 3901, Cali. Tel.: (572) 6600877 - Fax. (572) 6686105. Contacto: info@ifxnetworks.com.co / Medelln: Edificio Sudameris,
Carrera 43 A # 1 Sur-100 Of 1604, Medellin. Tel.: (574)3113204 / 3112974 - Fax. (574) 3113204. Contacto: info@ifxnetworks.com.co -IFX
Guatemala: Ciudad de Guatemala, 13 Calle, 3-40, zona 10. Edicifio Atlantis, Oficina 604. Tel.: (502) 3672021 to 23, Contacto: info@ifxnw.com.gt -
IFX Mxico: IFX Distrito Federal: Gonzalez de Cossio No. 6, Colonia Del Valle, Mxico, D.F. CP 03100, Tel.: (55) 5147-9911. Fax. (55) 5147-9910. /
Toluca: Felipe Villanueva No. 710, Colonia Morelos CP 50120, Tel.: (52) 7222-194624 - Fax. (52) 7222-125803 / Monterrey: Boulevard Acapulco Nro.
4006, Colonia Valle de las Brisas - CP 64790, Tel.: (83) 8357-8000, Fax. (83) 8357-8000 - IFX Panam: Ave. Samuel Lewis, Torre HSBC, Planta Baja,
Local Nro. 3, Panam. Tel.: 507-263-8727. Fax: 507-263-7042, Contacto: info@ifx.com.pa - IFX Venezuela: Av. Ppal de El Bosque c/calle Santa
Luca; Torre Credicard, piso 5, Oficina 56, Chacaito, Caracas. Tel.: 582.12.952.36.55. Fax: 582.12.953.81.09. - IFX Uruguay: Plaza Independencia
831, Edificio Plaza Mayor, Oficina 1204, Montevideo Uruguay, 11200. Tel.: 598-2908-2930. Fax: 598-2900-0314 . Contacto: info@ifxnw.com.uy. - IFX
USA: 15050 NW 79th Court - 200, Miami Lakes,Florida,33016. Tel.: 305.512.1100 / 305.512.1170 - Fax : 305.512.4220 - Ventas: E-mail :
sales@ifxcorp.com.