Contribución a las redes privadas virtuales sobre MPLS

Texto completo

(1)Título: “Contribución a las Redes Privadas Virtuales sobre MPLS”.. Tesis presentada en opción al Titulo Académico de Master en Telemática.. Maestría de Telemática. Autor: Ing. Adianet González Reyes. Tutor: Dr. Félix Alvarez Paliza. 2007.

(2) Resumen. La Empresa de Telecomunicaciones de Cuba SA (ETECSA) desde sus inicios se propuso ser una empresa de avanzada, competitiva, de clase internacional y con una constante transformación en función de brindar un servicio de excelencia a sus clientes y dar una respuesta eficiente al desarrollo del país. Para alcanzar estos objetivos, se trazó estrategias tecnológicas para la evolución de las redes de telecomunicaciones en correspondencia con las tendencias más avanzadas, una de ellas la migración hacia una red convergente. ETECSA tiene como orgullo ser el soporte de la informatización del país, propiciando el desarrollo de la cultura, la ciencia, la educación y el de la población en general en concordancia con los principios de la sociedad cubana. El presente trabajo analiza las posibilidades técnicas que hoy posee la red y expone elementos que contribuyan a la explotación de un servicio subyacente (VPLS) en el backbone IP/MPLS puesto en marcha por ETECSA recientemente. Se analizan los conceptos y los principios de funcionamiento de la tecnología VPLS, se analizan las posibilidades que representan las herramientas de operación, administración y mantenimiento para ofertar calidad de servicio. y se proponen sectores de la vida. económica y social del país para quienes sería un servicio atrayente..

(3) Índice. Introducción........................................................................................................................... 1 Capítulo I. Redes Privadas Virtuales. ................................................................................... 5 1.1 Introducción .............................................................................................................................. 5 1.2 Atributos de la arquitectura VPN.............................................................................................. 6 1.3 Clasificación de las Redes Privadas Virtuales. ......................................................................... 7 1.4 Evolución de las VPN ............................................................................................................. 10 1.5 MPLS. ..................................................................................................................................... 11 1.6 Arquitectura MPLS. ................................................................................................................ 13 1.7 Tendencias .............................................................................................................................. 17. Capítulo II. Redes Privadas Virtuales de Capa 2 ............................................................... 22 2.1 VPWS ..................................................................................................................................... 22 2.2 VPLS. Descripción de la solución .......................................................................................... 23 2.3 Tecnología PseudoWire .......................................................................................................... 26 2.4 Funcionamiento VPLS ............................................................................................................ 29 2.5 Modos De Señalización Para El Establecimiento De Los Pseudowires ................................ 31 2.6 VPLS Jerárquico ..................................................................................................................... 36 2.7 Variantes del Servicio VPLS .................................................................................................. 40 2.8 VPLS Confiabilidad ................................................................................................................ 42 2.9 La Gestión De Las Redes Y Los Servicios ............................................................................. 44. Capítulo III Posibilidades de ofertar el servicio VPLS ...................................................... 48 3.1 Condiciones técnicas para brindar el servicio VPLS en el país .............................................. 48 3.2 Posibles Escenarios de Aplicación para VPLS ....................................................................... 54 3.3 Consideraciones para el servicio VPLS .................................................................................. 59 3.4 Provisión del servicio VPLS. .................................................................................................. 62 3.5 Lista de Proveedores de servicios de redes VPLS .................................................................. 65 3.6 Consideraciones económicas .................................................................................................. 65. Conclusiones y Recomendaciones ...................................................................................... 67 Referencias Bibliográficas .................................................................................................. 69 Glosario de Términos y Siglas............................................................................................. 72.

(4) Índice de Figuras. Figura 1.1 Taxonomía de las tecnologías PPVPN………………………………………….8 Figura 1.2 Arquitectura de una VPN sobre MPLS………………………………………....10 Figura 1.3 Esquema Funcional del MPLS………………...……………………………......13 Figura 1.4 Formato del paquete MPLS…………………………………………………......14 Figura 1.5 Componentes que conforman MPLS…………..………..………………..…......16 Figura 1.6 Crecimiento de tráfico por protocolo………..….…………………………........19 Figura 1.7 Organización IETF……………………………………………………………...20 Figura 2.1 Modelo de Referencia VPWS…………………………………………………..23 Figura 2.2 Modelo de Referencia VPLS…………………………………………………...24 Figura 2.3 Señalización Pseudowire………………………………………………………26 Figura 2.4 Modelo de Referencia PWE3…………………………………………………..27 Fig. 2.5 Pila de Protocolos de Referencia para PWE (Pseudo Wired Ethernet)…………...28 Figura 2.6 Construyendo un pseudowire…………………………………………….…….28 Figura 2.7 Aprendizaje del MAC y envío de paquetes…………………………………….31 Figure 2.8 Procedimiento de establecimiento/liberación de un PW con LDP……………..32 Figure 2.9 Procedimiento de establecimiento/liberación de un PW con BGP……………..34 Figura 2.10 Modelo de referencia VPLS (Hub and spoke)………………………………...38 Figura 2.11 Construyendo un servicio VPLS multiproveedor……………………………..39 Figure 2.12 HVPLS solución en el modo MP-EBGP……………………………………...40 Figura 2.13 Modelo router interconnect service...................................................................41 Figura 2.14 Modelo switch interconnect service…………………………………………..42 Figura 2.15 Esquema CE Dual-Homing…………………………………………………...43 Figura 2.16 Interconneción H-VPLS Redundante de dos áreas separadas geográficamente ..............................................................................................................................................44 Figura 3.1 Evolución de los servicios de datos en el período 2005-2006…………………51 Figura 3.2 Evolución de los servicios de datos para el año 2008…………………………52 Figura 3.3 Topología de la Red de Datos………………………………………………….53 Figura 3.4 Ejemplo Kompella VPLS………...…………………………………………….63.

(5) Índice de Tablas. Table 2.1 Comparación de los modos de señalización LDP/ BGP ………………………..35 Tabla 2.2 Resumen de los servicios de diagnósticos………………………………………46.

(6) _______________________________________________________________Introducción. Introducción Tradicionalmente, las empresas con diversas sedes, dispersas geográficamente, han unido sus redes locales a través de líneas dedicadas punto a punto, unas veces reales, y otras veces mediante circuitos virtuales dedicados. Tras varios años de evolución, hay una gran variedad de servicios ofertados en los que es posible elegir desde la tecnología de transmisión hasta el grado de gestión que se le pide al operador. Tecnologías como X.25, Frame Relay o ATM se han destacado a lo largo del tiempo como las más utilizadas. Se trata de tecnologías que aún tienen demanda, a pesar de los años que llevan en servicio (especialmente las dos primeras). Los servicios ofertados varían desde la simple interconexión entre dos centros, pasando por la creación de una red privada real (APN), o red privada virtual (VPN) que conecte varios centros de una empresa, hasta los servicios integrales de comunicaciones que agrupen todos los servicios de voz y datos de una empresa. No sólo se vende la capacidad de comunicación, sino también la gestión y supervisión de las infraestructuras. Las arquitecturas de redes existentes son soluciones tanto complejas como ineficientes pues obligan a los operadores a mantener dos infraestructuras diferentes: la de tráfico Internet (sobre una red puramente IP) y la de circuitos (sobre ATM/FR) a la vez que no se aprovechan al máximo los recursos de la red. Además, impulsados por los avances de la tecnología y la necesidad de suministrar más contenido, han surgido nuevos servicios de banda ancha para usuarios empresariales, que ofrecen a los proveedores de servicios un medio para generar ingresos adicionales y compensar la erosión de ingresos por voz. Después de la introducción de MPLS (Conmutación por etiquetas multiprotocolos) a finales de los noventa, se definieron nuevos tipos de VPN. La aceptación por los proveedores de servicio de MPLS, como la tecnología de red de convergencia a elegir, llevó a poner una gran atención en las redes privadas virtuales (Virtual Private Network, VPN) basadas en MPLS, que ofrecen fácil suministro de servicios dentro de las redes de los proveedores de servicios. La tecnología de redes privadas virtuales capa 3, fueron las primeras favorecidas por los suministradores de tecnologías, pero con el decursar de los años la balanza se inclina hacia las redes privadas virtuales de capa 2 que proveen conectividad transparente multipunto independientemente del protocolo que utilice el cliente que contrata el servicio. [1]. 1.

(7) _______________________________________________________________Introducción Desde el surgimiento de la Empresa de Telecomunicaciones de Cuba, en el año 1994, tuvo. entre. sus. objetivos. acometer. el. desarrollo. y. modernización. de. las. telecomunicaciones en el país. Con el proceso inversionista llevado a cabo durante todos estos años, alcanzando en el 2005 la extensión de la conectividad de datos hasta las cabeceras municipales, se propicia el desarrollo y ampliación de redes como INFOMED, MINED y otros, dando un fuerte impulso a los planes de informatización de la sociedad. Ante el cambio tecnológico que estaban experimentando los suministradores de equipos de telecomunicaciones, la necesidad de dar respuesta en corto plazo a las demandas de conectividad a las obras asociadas a la Batalla de Ideas y la existencia aún de un gran número de líneas analógicas en pequeñas centrales de municipios y localidades, se decide iniciar en el 2006 el proceso de migración hacia las redes NGN. ETECSA introduce la tecnología MPLS habilitando un Backbone Nacional para la conducción de los tráficos IP y tecnología XDSL en las cabeceras municipales. [2] Con la introducción por parte de ETECSA de tecnología MPLS, se ofrece una oportunidad para los clientes que cuentan con intranets de satisfacer las necesidades de conectividad de todas sus sedes, a través de servicios de redes privadas virtuales sobre MPLS. Ante la insuficiente conectividad entre las sedes de empresas que poseen redes corporativas y hoy soportan sus enlaces sólo sobre Frame Relay, el ambicioso plan de crear condiciones para garantizar la informatización de la sociedad cubana y poder transitar hacia una sociedad basada en el conocimiento, unido al crecimiento previsto de aplicaciones (Telemedicina, Educación a distancia, Teletrabajo), nos planteamos la siguiente hipótesis: Un estudio de los servicios de redes privadas virtuales existentes, conjuntamente con. un. análisis. de. las. condiciones. de. conectividad. y. servicios. de. telecomunicaciones en el país, permitirá elaborar un conjunto de recomendaciones que contribuyan a la oferta y puesta en operación de una Red Privada Virtual obteniendo el máximo de beneficios económicos y operacionales. El presente trabajo tiene por objetivo fundamental evaluar las VPN haciendo énfasis en VPLS como una arquitectura flexible, fiable y escalable que pueda convertirse en el. 2.

(8) _______________________________________________________________Introducción núcleo de las comunicaciones de datos para las redes empresariales, así como de entidades gubernamentales, y como tareas específicas nos propusimos: •. Estudiar las tendencias de mercado, teniendo en cuenta estudios y pronósticos publicados sobre el tema.. •. Analizar las principales características de las redes privadas virtuales, profundizando en la propuesta VPLS.. •. Caracterizar los escenarios en los que son propicios la aplicación de VPLS.. •. Arribar a conclusiones y recomendaciones que le sirvan a ETECSA, como proveedor de servicios, desplegar exitosamente servicios VPLS.. Con el presente proyecto se esperan los siguientes resultados: §. Sistematizar el estudio del tema de forma tal que constituya un material de consulta.. §. Disponer de un conjunto de valoraciones que permitan proyectar y explotar eficientemente un servicio que se encuentra disponible en el equipamiento adquirido recientemente por ETECSA.. Evaluación del impacto social El impacto social se expresa en la satisfacción que se le brindará al cliente al incrementarse la calidad y diversidad del servicio. Propiciará el desarrollo de redes de sectores priorizados como salud, educación y otros programas que hoy forman parte de la batalla de ideas. Evaluación del impacto económico La oferta de servicios VPLS representará una nueva fuente de ingresos para ETECSA, y el contar con trabajos sobre el tema le será útil para poner en operación dichas redes acortando los plazos de puesta en marcha. La metodología seguida durante la investigación fue la de una extensa búsqueda bibliográfica para lo que se consultaron numerosas revistas y libros en formato electrónico sobre el tema disponibles en Internet, así como de otros materiales que se encuentran en las bibliotecas de ETECSA obteniéndose información actualizada. Luego se procedió al. 3.

(9) _______________________________________________________________Introducción análisis, clasificación y síntesis de todo el material consultado. Se revisaron los estándares que abordan el tema de las redes privadas virtuales. Se tuvo en cuenta. además las consultas realizadas a especialistas de la Gerencia de Planeamiento e Inversiones de DATOS sobre los planes de ETECSA para el desarrollo futuro de las redes de datos en el país. El trabajo de investigación cuenta con la siguiente estructura: •. Introducción. •. Capítulo 1: Estado del Arte. En este capítulo se da una panorámica de las redes privadas virtuales, cómo ha sido su desarrollo, cuál es su estado actual y tendencias.. •. Capítulo 2: Redes Privadas Virtuales de Capa 2. Este capítulo está dedicado al estudio de de las redes privadas virtuales de capa 2 sobre MPLS. Aquí se describen cuáles son sus componentes, los estándares en los que se basa, se hace una descripción funcional de VPLS como sistema y se describen las herramientas. con las. que cuenta para. la. operación,. administración. y. mantenimiento (OAM). •. Capítulo 3: Posibilidades de ofertar el servicio VPLS. En este capítulo se exponen las condiciones que presenta ETECSA, los requisitos y sectores de aplicación para ofertar servicios VPLS.. •. Conclusiones y Recomendaciones.. •. Referencias Bibliográficas.. •. Glosario de Términos.. 4.

(10) _______________________________________________________________Capítulo I. Capítulo I. Redes Privadas Virtuales. 1.1 Introducción En la RFC 3809 se plantea que la conectividad para redes corporativas ha sido suplida por proveedores de servicio, fundamentalmente con conexiones Frame Relay (FR) o Asynchronous Transfer Mode (ATM), y más recientemente con Ethernet y túneles IP. Este tipo de red, que interconecta un número de sitios sobre una infraestructura de red compartida es denominada Red Privada Virtual (Virtual Private Network,VPN). [3] Una red privada virtual (Virtual Private Network, VPN) es la extensión de una red privada que abarca conexiones a través de redes compartidas o públicas como Internet. Una VPN le permite enviar datos entre dos computadoras a través de una forma compartida o pública de una red interna que emule las propiedades de una conexión privada punto a punto. Si los sitios pertenecen a una misma organización, la red privada es una intranet, si pertenecen a distintas organizaciones con intereses comunes se le denomina extranet. [4] Para las empresas, VPN es un servicio que cumple con sus requerimientos, que favorece el éxito y buen desarrollo de las mismas debido a las considerables ventajas que ofrecen desde el punto de vista económico, de flexibilidad y escalabilidad. Las razones más comunes por las que una empresa se decide a poner en operación una VPN son: •. Proveer conectividad a los recursos de la red corporativa.. •. Disminuir costos (al no requerir de líneas arrendadas). •. Ofrecer acceso seguro a los empleados que trabajan en. la. casa o en localizaciones remotas. •. Permitir conectividad a los usuarios móviles desde sitios remotos. Con el empleo de líneas privadas, la empresa tendría que pagar una tasa alta y fija independientemente de si éstas se utilizan temporalmente y en un porciento inferior de la capacidad contratada; sin embargo con una VPN, al emplear una infraestructura pública, el costo de miles de cables es compartido por un gran número de usuarios. Se estima que la modificación de pasar de una red privada real (APN) a una red privada virtual (VPN) permite rebajar los costos de comunicaciones de una empresa entre un 20% y un 40%.[5]. 5.

(11) _______________________________________________________________Capítulo I Para los operadores de redes, ofrecer servicios de redes privadas virtuales representa una solución al dilema de cómo controlar los costos y al mismo tiempo aumentar los ingresos. Al simplificarse la topología de las redes, se reducen los gastos de operación e inversión.. 1.2 Atributos de la arquitectura VPN El propósito principal de las VPNs es el de ofrecer a los clientes conectividad sobre una infraestructura compartida con las mismas políticas que se disfrutan en una red privada. Una solución VPN debe proteger contra intrusiones y sabotajes, posibilitando el tráfico de datos críticos en una forma confiable y puntual, y la ventaja de ser administrado. A continuación se describen algunos atributos fundamentales de la arquitectura VPN[6] [7]: Escalabilidad La arquitectura VPN debe adaptarse para encontrarse con cambios en las necesidades del ancho de banda y conectividad. Un proveedor de servicios VPN debe ser capaz de proporcionar respuestas rápidas de provisión. Esto requiere la habilidad de escalar la VPN para adecuar un crecimiento no planificado a demanda del cliente. Los proveedores de servicios que tienen el potencial para soportar decenas de miles de VPNs sobre la misma red, maximizan sus ingresos y obtienen los frutos de su potencial. Seguridad Es esencial que los datos permanezcan protegidos y confidenciales en la VPN. Los paquetes del cliente son encapsulados e intercambiados entre los nodos que conforman el dominio MPLS solo atendiendo a la etiqueta VPN.. Por consiguiente, el nivel de. seguridad que se provee es similar al ofrecido por circuitos virtuales ATM/FR. QoS El soporte de QoS posibilita a la VPN a priorizar el tráfico de datos críticos o sensibles al retraso tales como voz y video, y también para administrar congestión a través de tasas de ancho de banda variables. Capacidad de Gestión Las tareas de gestión de una VPN incluyen:. 6.

(12) _______________________________________________________________Capítulo I •. Provisión: Proceso de implementación y activación de servicios para los clientes. El objetivo aquí es. acelerar y automatizar los esfuerzos requeridos desde que el. servicio se solicita (el usuario se suscribe) hasta que el usuario puede empezar a utilizarlo. •. Instalación de políticas de seguridad y QoS.. •. Administración y cambios de las VPNs.. •. Facturación. •. Soporte de acuerdos de niveles de servicio (SLAs).. Fiabilidad y Redundancia La VPN debe ser capaz de proporcionar una alta disponibilidad del servicio que los clientes esperan y requieren. Una combinación de fiabilidad y redundancia es la clave para mantener la continuidad del servicio y la recuperación ante fallas. Es necesario tener en cuenta que la redundancia implica recursos adicionales, y por tanto, recursos adicionales a ser administrados lo que podría traer problemas en grandes redes con la escalabilidad si no se emplean arquitecturas de redes adecuadas.. 1.3 Clasificación de las Redes Privadas Virtuales. Con la llegada de MPLS se abrieron nuevas posibilidades de ofrecer servicios VPN. Las MPLS VPN pueden combinar la ingeniería de tráfico para proporcionar todas las funciones de VPN y un poderoso potencial de QoS. Estas poseen gran fiabilidad y seguridad y una fuerte capacidad de administración y escalabilidad. Existen variadas vías de clasificación de las VPN. Las redes privadas virtuales ofertadas por el proveedor de servicios (Provider Provisioned Virtual Private Network, PPVPN) pueden clasificarse de la siguiente forma [3] [7, 8]:. 7.

(13) _______________________________________________________________Capítulo I. Figura 1.1 Taxonomía de las tecnologías PPVPN.. El proveedor de servicios (Service Provider, SP) es la organización propietaria de la infraestructura (el equipamiento y el medio de transmisión) con la que brinda emulación de líneas dedicadas a los clientes. Luego, una estrategia de VPN en la cual la red del proveedor de servicio no tiene conocimiento de la VPN del cliente se clasifica como basada en CE. Esta información se limita al equipo CE. Todos los procedimientos de la VPN son realizados por los dispositivos CE, y el PE no se entera de ninguna forma que el tráfico que está cursando es tráfico VPN. Mientras que una estrategia de VPN en la cual la red del proveedor de servicio es usada para interconectar sitios. del cliente usando recursos compartidos, se clasifica como. basada en PE. Específicamente, el dispositivo PE gobierna la VPN, aísla los usuarios de una VPN de los usuarios de otra. Precisamente, por el control que ejerce el dispositivo PE, el dispositivo CE puede comportarse como si estuviera conectado a una red privada. Específicamente, el CE en una VPN basada en PE no debe requerir ningún cambio en sus funciones al ser conectada a una PPVPN en lugar de una red privada. El dispositivo PE conoce que el tráfico que cursa es tráfico VPN. Envían el tráfico, (a través de túneles) basado en la dirección de destino IP del paquete, y opcionalmente basado en otras informaciones en la cabecera IP del paquete. Los dispositivos PE son en sí mismos los puntos terminales del túnel. Los túneles pueden hacer uso de varias. 8.

(14) _______________________________________________________________Capítulo I encapsulaciones para enviar el tráfico sobre la red del proveedor (tales como, IPsec o túneles MPLS) Por otro lado se tiene una estrategia de VPN basada en PE en la cual el router PE mantiene un router lógico completo para cada VPN que soporta y se denomina Router Virtual (VR). Cada router lógico mantiene una tabla de envío única y ejecuta una instancia única de protocolos de ruteo. [9] Otra estrategia de VPN basada en PE en la cual cada router PE mantiene un número de tablas diferentes de envío es la de BGP/MPLS IP VPN. Una es la tabla de envío por defecto, mientras que las otras son tablas VRF (VPN Routing and Forwarding). En cada PE, el operador necesitará configurar un VRF por cada VPN a la que está conectado el PE considerado. El término 2547 ha sido usado por el L3VPN(grupo de trabajo del IETF) para describir las extensiones de las VPNs definidas por la RFC 2547. Este término ha sido reemplazado por BGP/MPLS IP VPNs [10] [11] El nombre del dispositivo (switch o router) que se encuentra en el borde de cada sitio del cliente con la funcionalidad requerida en las premisas del cliente para acceder a la red del proveedor de servicios, es el de CE. El equipo puede pertenecer y gestionarse por el cliente o por el proveedor de servicios. Mientras que los PE son los dispositivos que se encuentran en el borde del proveedor y se conectan a los dispositivos CE. El dispositivo PE es donde reside toda la inteligencia de VPN. Los P son los dispositivos que se encuentran en el núcleo de la red y que no tienen interfaces directas a los clientes. Un servicio de cable privado virtual (Virtual Private Wire Service, VPWS) es un circuito punto a punto que conecta dos dispositivos CE. El CE en la red del cliente es conectado a un PE a través de un AC en la red del proveedor. El término VLL (Virtual LAN Leased) fue usado para definir este servicio y ha sido reemplazado por VPWS. [12] Una de las variantes más interesantes es la de VPLS, también conocido como TLS (servicio de LAN transparente) o servicio E-LAN. Es un servicio del proveedor que emula la plena funcionalidad de una red de área local (LAN) tradicional. Una VPLS (Virtual. 9.

(15) _______________________________________________________________Capítulo I Private LAN Service) permite conectar segmentos LAN sobre una red conmutada de paquetes (PSN) y se comporten como una simple LAN. El término VPLS reemplazó al de VPSN (Virtual Private Switched Network). Otra clasificación es la IPLS, es muy similar a VPLS excepto que : •. Asume que los dispositivos CE son hosts o routers, no switches.. •. Solo transporta tráfico IP. [12]. Figura 1.2 Arquitectura de una VPN sobre MPLS. 1.4 Evolución de las VPN El sector corporativo siempre ha requerido la implementación de enlaces privados para transportar de forma segura toda su información confidencial. A mediados de los 90 las organizaciones comenzaron a utilizar enlaces Frame Relay en lugar de líneas arrendadas incentivadas fundamentalmente por un sustancial incremento del tráfico de paquetes, además del aspecto económico y la fiabilidad mejorada de los servicios públicos.. 10.

(16) _______________________________________________________________Capítulo I Con el tiempo Frame Relay se convirtió en una tecnología fuerte, basada en estándares y ampliamente difundida, ya que a través de los acuerdos de niveles de servicio (Service Level Agree, SLA) proporciona calidad de servicio; garantiza seguridad , excelente razón precio / comportamiento, y es fácil de implementar y usar. ATM comenzó a ser una opción para las empresas que deseaban implementar VPN ya que garantiza calidad de servicio, y permite aumentar el volumen de información a transmitir y el empleo de aplicaciones multimedia. ATM constituye una tecnología muy rápida y eficiente a cambio de mayores costos. En particular en Cuba, al no brindarse accesos de usuarios ATM, FR constituye la única alternativa para Circuitos Virtuales Permanentes (PVC, permanent virtual circuit) de velocidades de 2Mbps, y la alternativa más económica y ágil para velocidades menores. Frame Relay y ATM, ofrecen características implícitas de seguridad para las VPNs y respuesta predeterminada. Ambas constituyen tecnologías orientadas a la conexión. Frame Relay permite establecer PVCs entre los diversos nodos que conforman la VPN. La seguridad y las garantías las proporcionan la separación de tráficos por PVC y el caudal asegurado (CIR). De igual manera sucede con ATM, con diversas categorías. Pero estas soluciones presentan inconvenientes desde el punto de vista de escalabilidad al tener que establecer cada PVC entre nodos, con la complejidad que esto supone al proveedor en la gestión y costos asociados. Si se desea tener conectados a todos con todos, en una topología totalmente mallada, añadir un nuevo emplazamiento supone reconfigurar todos los CPEs del cliente y restablecer todos los PVCs. Se presentan desventajas en cuanto a la poca flexibilidad en el establecimiento y gestión del servicio, así como en el crecimiento cuando se quieren añadir nuevos emplazamientos, presentándose problemas de crecimiento exponencial, lo que significa que en caso de tener N nodos, hay que proveer N*(N-1) PVCs, y esto puede resultar en una cantidad excesiva. Así para interconectar 50 nodos, se necesitarían 2450 circuitos virtuales.. 1.5 MPLS. La amplia difusión, el alcance a nivel mundial que tiene Internet y lo económica que resulta provocaron que muchos clientes que contrataban servicios de acceso a esta red global. 11.

(17) _______________________________________________________________Capítulo I comenzaran a contratar servicio de VPN mediante internet. Pero internet es una red pública, abierta y completamente insegura. La seguridad se comenzó a garantizar a través del empleo de técnicas y protocolos de seguridad sólo en los extremos y no interna, presentándose el mismo problema de escalabilidad mencionado anteriormente. Al ser IP un protocolo no orientado a la conexión los paquetes de tamaño variable son puestos en la red sin conocer qué ruta tomarán, esta decisión se realiza en cada nodo de la red, teniendo éste que analizar completamente el encabezado del paquete. Esto genera una carga a los nodos intermedios que no permite una rápida entrega. Además por no conocerse la ruta que tomará el paquete y por no tener un identificador único que diferencie una conexión de otra, no se puede tener garantía de la calidad del servicio en todo el recorrido a través de la red, volviéndolo poco apropiado para aplicaciones en tiempo real o canales compartidos de alta congestión. Internet a pesar de que constituye la solución más económica para una VPN no brinda ancho de banda garantizado, siendo esta una de sus principales desventajas. MPLS (conmutación por etiquetas multiprotocolo) ha evolucionado desde una tecnología diseñada para añadir prestaciones de conmutación de paquetes a redes de núcleo IP (protocolo Internet) hasta una que potencia la gestionabilidad y la flexibilidad y añade facilidades de diseño de tráfico y QoS (calidad de servicio) a dichas redes. En consecuencia, MPLS tiene ahora el potencial para soportar servicios con niveles de disponibilidad y QoS que cuestionan los atributos de las tecnologías tradicionales, como ATM (modo de transferencia asíncrono). Si bien las tecnologías de Capa 2 como Frame Relay y ATM han sido desde hace tiempo un soporte principal de las ofertas de servicios VPN de los proveedores de servicios, las redes privadas virtuales IP, ahora mejoradas con MPLS, se han convertido en firmes sucesoras. La arquitectura MPLS describe los mecanismos para ejecutar conmutación de etiquetas combinando los beneficios del envío de paquetes basado en conmutación de Nivel 2 con los beneficios del enrutamiento de Nivel 3. De igual forma a las redes de Nivel 2 tradicionales, Frame Relay y ATM, MPLS asigna etiquetas para transportar paquetes. El mecanismo de envío consiste en el intercambio de etiquetas de longitud fija, que portan información para los nodos que intervienen sobre como procesar y enviar los datos.. 12.

(18) _______________________________________________________________Capítulo I MPLS establece una clara separación entre las funciones de envío (forwarding) y control (routing). La componente de control, o plano de control, es la encargada del intercambio de información con los otros routers que conforman el dominio MPLS para la construcción y el mantenimiento de las tablas de encaminamiento. La componente de envío, o plano de datos, examina la etiqueta del paquete y lo encamina según la entrada correspondiente en la tabla de envío. La separación de la componente de control de la de envío permite implementar y modificar cada una de ellas de forma independiente, observando como requisito indispensable la comunicación entre ambas componentes a través de la actualización de la tabla de envío. En la figura 1.3 se muestran las componentes funcionales de control y envío. [13]. Figura 1.3 Esquema Funcional del MPLS. 1.6 Arquitectura MPLS. Las especificaciones del IETF definen que MPLS funciona sobre cualquier tipo de transporte: PPP, LAN, ATM, Frame Relay, etc. Por ello, si la tecnología de nivel 2 empleada no soporta un campo para etiquetas (por ejemplo, enlaces PPP o LAN) se emplea una cabecera genérica MPLS de 4 octetos, que contiene un campo específico para la etiqueta y que se inserta entre la cabecera del nivel 2 y la del nivel 3, como se muestra en la figura 1.4. Sin embargo, si el protocolo de transporte de datos contiene ya. 13.

(19) _______________________________________________________________Capítulo I un campo para etiquetas (como ocurre con los campos VPI/VCI de ATM y DLCI de Frame Relay), se utilizan esos campos para las etiquetas.. Figura 1.4 Formato del paquete MPLS. MPLS soporta la colocación de múltiples etiquetas a un solo paquete con estructura jerárquica. Las etiquetas se organizan en una pila o “stack” con una forma last-in, first-out (LIFO), formando la llamada pila de etiquetas o “label stack”. La aplicación fundamental es durante la operación de tunneling. Cada etiqueta identifica una “clase equivalente de envío”(Forwarding Equivalente Class, FEC). Una FEC es un conjunto de paquetes que se envían sobre el mismo camino, aún cuando sus destinos finales sean diferentes, y que comparten requerimientos similares para su transporte. La asignación de un paquete a una FEC en particular se realiza solo en el momento de su ingreso al dominio MPLS. Un LSP (Label Switched Path) es el circuito virtual que siguen por la red todos los paquetes asignados a la misma FEC. La característica esencial de los LSPs es que se forman mediante las etiquetas, es decir, los LSPs no son más que un camino formado por una serie de nodos etiquetados, denominados LSR, permitiendo que un paquete sea enviado por un intercambio de etiquetas de un nodo MPLS a otro. El LSP configurado para un FEC es unidireccional, por tanto los paquetes de regreso deben tomar otro LSP. Los LSPs pueden ser establecidos mediante dos métodos: salto a salto (Hop by Hop) y Ruta explícita. En el primero, el protocolo de distribución de etiquetas (LDP) consultará la tabla de enrutamiento IP para tomar la decisión de que ruta seguir desde el nodo origen al destino para la construcción del LSP. Se utiliza la tabla de enrutamiento presente en los equipos como consecuencia de la ejecución de algún protocolo de enrutamiento IP, por ejemplo RIP, OSPF, IGRP, EIGRP, BGP, etc. [14] Mientras que el segundo método, posee como característica principal que los recursos pueden ser reservados a lo largo de la ruta desde el LER de ingreso, asegurando calidad de servicio mediante el uso de. 14.

(20) _______________________________________________________________Capítulo I protocolos de enrutamiento tales como CR-LDP (Constraint Routing- Label Distribution Protocol) o el RSVP-TE (Resource Reservation Protocol- Traffic Engineering). Los LSRs son enrutadores o conmutadores diseñados para el intercambio de etiquetas según una tabla de envío, que se construye con la información proporcionada por la componente de control. Al primer LSR que interviene en un LSP se le denomina LSR de entrada (LSR Ingress) y al LSR de salida se le denomina LSR Egress y de forma general se le denominan LSR de borde (LSR Edge, LER) y son la interface de los conmutadores que no soportan MPLS, con el dominio MPLS. Otra definición de LER puede ser la de un enrutador que ejecuta cualquier imposición de etiquetas (push) o quitar etiquetas (pop) en las fronteras de la red MPLS. Es de destacar que la denominación de los LSRs de borde es aplicada según la dirección del flujo, de forma tal que un LER puede a la vez ser de entrada (Ingress) y salida (Egress). Los nodos que se encuentran en el núcleo del dominio MPLS se denominan LSRs de tránsito. Los términos upstream(ascendente) y downstream(descendente) son frecuentemente usados para definir en que sentido lo routers son atravesados. Cuando se dice que un nodo es upstream y otro es downstream con respecto a una unión (etiqueta-FEC), significa “únicamente” que etiqueta en particular representa a una FEC en paquetes que viajan del nodo upstream al nodo downstream (sinificado local de la etiqueta). La arquitectura MPLS define dos esquemas de distribución de etiquetas: •. En demanda: Cuando un LSR solicita de su próximo salto para un FEC en particular, una etiqueta sujeta a ese FEC.. •. No solicitada: Cuando un LSR distribuye uniones de etiquetas a LSRs que no tienen un requerimiento explícito.. Ambas técnicas pueden ser usadas en la misma red y al mismo tiempo, requiriendo que los LSR upstream y downstream lleguen a un acuerdo sobre que técnica usar. [14] Cada LSR mantiene dos tablas, las cuales toman información relevante para la componente de envío. La tabla de envío o LIB, contiene la información referente a las etiquetas de entrada/salida, asociada a un FEC particular y el puerto correspondiente para el envío del paquete. A esta tabla también suele denominarse FTN (FEC To NHLFE, entrada de envío de etiquetas al próximo salto, Next Hop Label Forwarding Entry) ya que relaciona una FEC a uno o varios NHLFEs y es implementada únicamente en los ruteadores de borde (LERs) de la red MPLS.. 15.

(21) _______________________________________________________________Capítulo I Cuando un LSR identifica el FEC asociado con un nuevo prefijo, este selecciona una etiqueta de la pila de etiquetas libres y hace una entrada en la LIB. La segunda tabla conocida como base de información de envío de etiqueta (FLIB, Forward Label Information Base), se emplea durante el envío de paquetes y contiene sólo las etiquetas que están siendo utilizadas por la componente de envío de MPLS. FLIB es el equivalente MPLS de la matriz de conmutación de un conmutador ATM. La etiqueta identifica al grupo de paquetes que será despachado al próximo salto; esta tabla también se conoce como NHLFE. Para enviar un paquete recibido, el LSR examina la etiqueta más alta de la pila de etiquetas, para esto utiliza el mapeo de etiquetas entrantes (ILM, Incomming Labeling Map), que establece un mapeo entre cada etiqueta entrante y un conjunto de NHLFE y de entre los NHLFE se elige uno para el envío de los paquetes, desarrolla una operación sobre le pila de etiquetas del paquete para luego enviar el resultado.. Figura 1.5 Componentes que conforman MPLS. Funcionamiento A través del ejemplo de la figura 1.5 ilustraremos las operaciones necesarias para el tránsito de los paquetes a tráves del dominio MPLS, del LER1 al LER2. [14] Al inicio el LER1 (Ingress LSR) puede no tener ninguna etiqueta asignada para el paquete que ingresa debido a que es la primera ocurrencia de petición de envío o es el primer paquete que arriba. Primero se buscará o se construirá la ruta. El LER 1 iniciara la petición hacia el LSR 1 y posteriormente esta se propagará por toda la ruta (LSR2, LER2).. 16.

(22) _______________________________________________________________Capítulo I Para distribuir la información sobre las etiquetas (información de señalización), que se realiza en forma descendente desde el nodo destino al origen se emplean los protocolos: RSVP(Resource Reservation Protocol) o LDP (Label Distribution Protocol). Cada enrutador de tránsito o intermedio (LSR1, LSR2) recibirá una etiqueta en su enlace con el enrutador ascendente (upstream), por ejemplo, la etiqueta entrante del LSR2 se convierte en la etiqueta saliente del LSR1. En la medida que se asignan etiquetas al LSR, se crean registros en la tabla de envío que contienen la relación entre el puerto y la etiqueta de entrada con el puerto y la etiqueta de salida. El LER1 insertará la etiqueta en su LIB y enviará el paquete al LSR1. Cada LSR (1,2) examinará la etiqueta que viene acompañando el paquete entrante y remplazará en el paquete dicha etiqueta entrante con una etiqueta de salida (label swapping). Cuando el paquete llega al LER2, removerá o quitará la etiqueta (pop), pues el paquete está saliendo del dominio MPLS hacia el nodo de destino.. 1.7 Tendencias Con el despliegue de MPLS las IP VPN han sido favorecidas. MPLS les proporciona un modelo de red que en lugar de establecer conexiones extremo a extremo entre los distintos emplazamientos de una VPN, lo que existen son conexiones IP a una "nube común" en las que solamente pueden entrar los miembros de la misma VPN. Las "nubes" que representan las distintas VPNs se implementan mediante los caminos LSPs creados por el mecanismo de intercambio de etiquetas MPLS. Los LSPs son similares a los túneles en cuanto a que la red transporta los paquetes del usuario (incluyendo las cabeceras) sin examinar el contenido, a base de encapsularlos sobre otro protocolo. Entre las ventajas se encuentran: •. La provisión de servicio es sencilla: una nueva conexión afecta a un solo router.. •. Permiten mantener garantías QoS extremo a extremo, pudiendo separar flujos de tráfico por aplicaciones en diferentes clases.. 17.

(23) _______________________________________________________________Capítulo I •. Permite aprovechar las posibilidades de ingeniería de tráfico para poder garantizar los parámetros críticos y la respuesta global de la red (ancho banda, retardo, fluctuación...), lo que es necesario para un servicio completo VPN.. La solución de BGP (protocolo de pasarela de frontera)/MPLS IP fue aceptada rápidamente por los proveedores de servicios. En el método BGP/MPLS (también conocida como VPNs 2547bis), el proveedor de servicios usa BGP para distribuir información de alcanzabilidad IP entre sitios que pertenecen a la misma VPN. Los routers P son inconcientes del protocolo de ruteo intercambiado entre los routers PE. Los routers PE utilizan túneles LSPs para enviar paquetes VPN capa3 de un PE a otro a través de la red MPLS.[10] Pero existen varias consideraciones que hacen de esta solución la menos viable frente a soluciones emergentes de nivel 2. Entre ellas tenemos: •. Las VPNs BGP requieren un sólido conocimiento de protocolos de ruteo a fin de administrarlos correctamente, es por esto que los sistemas de provisionamiento de servicios son requeridos para disminuir la carga del administrador.. •. Las VPNs capa3 solo transportan tráfico IP. Aunque IP es universal, puede ser que existan aplicaciones que requieran IPX o AppleTalk o cualquier otro protocolo no-IP.. •. En términos de escalabilidad, la mayor dificultad se encuentra en el número de rutas que son mantenidas por los routers. En la práctica, se recomienda como solución el resumen de rutas.. •. El cliente comparte la información de rutas con el proveedor.. •. No existe una clara demarcación entre las redes del cliente y el operador.. Los analistas consideran el año 2006 como el de la verdadera explosión de IP MPLS y que a lo largo de los próximos años hasta el 2009, estas VPN se estabilizaran debido al crecimiento de la nueva generación de soluciones de conectividad de nivel 2 basadas en Ethernet. [15]. 18.

(24) _______________________________________________________________Capítulo I Pongamos atención a la figura 1.6 que está debajo, servicios tales como ATM y Frame Relay están ahora declinando. Sin embargo, IP sobre MPLS y ethernet tienen un rápido desarrollo.. Fig 1.6 Crecimiento de tráfico por protocolo (Fuente: Infonetics en Feb 07). La otra gran beneficiada de la sustitución de Frame Relay y ATM son los servicios Ethernet, tecnología que ha conseguido saltar de la red de área local (LAN) hasta la red de área extensa (WAN). Sobre la adopción de Ethernet pesan más de 30 años de experiencias acumuladas, con muy buenos resultados. Los proveedores de servicios han rebasado las limitaciones de Ethernet de tamaño y geográficas, simplificando las fronteras entre redes LAN, MAN y WAN con el surgimiento de la tecnología MPLS. Las empresas pueden conectar oficinas en diferentes países o continentes, y parecen conectadas a una simple red de área local virtual (VLAN). Las soluciones son conocidas como VPWS y VPLS,. siendo la segunda variante la más atractiva. Las compañías suministradoras de tecnologías y los proveedores de servicios han unido sus esfuerzos para estandarizar la tecnología VPLS. Entre los. suministradores de. equipos VPLS más importantes a nivel mundial se encuentran Alcatel-Lucent, Huawei, Juniper, Riverstone y Atrica. Notablemente menos visible ha sido Cisco, mientras Marconi y Nortel están actualmente ausentes, aunque el mercado aún es muy joven. [16] [17]. 19.

(25) _______________________________________________________________Capítulo I El VPLS está siendo definido por el grupo de tareas sobre ingeniería de Internet (IETF). En la siguiente figura se muestra la división del IETF en sus múltiples áreas de trabajo. El grupo de trabajo L2VPN es el responsable de establecer los estándares para VPLS, mientras el grupo de trabajo PWE3 establece los estándares para los pseudos-wires, que constituyen los túneles que soportan a VPLS.. Figura 1.7 Organización IETF. El grupo de trabajo L2VPN produjo recientemente dos documentos separados, RFC 4761 y RFC 4762 que realizan funciones similares utilizando diferentes protocolos de señalización. [18] [19] En RFC 4762 se describe una solución de redes VPLS (Virtual Private LAN Service) utilizando. pseudowires, un servicio previamente implementado sobre otras tecnologías y. conocidos históricamente como “túneles Martini”. Se detallan las funciones del plano de control de las etiquetas PW(pseudowire) de señalización, extendiendo la RFC 4447 [20]. En RFC 4761 se detallan las funciones que son necesarias para ofrecer VPLS, y se describe como los mecanismos de auto-descubrimiento y señalización utilizan Protocolo de Borde Multiprotocolo (BGP) como el protocolo del plano de control.. 20.

(26) _______________________________________________________________Capítulo I Existen varias compañías que comercializan software y hardware para la implementación de VPLS. En función de la compañía se emplean uno u otros protocolos, que provean confiabilidad, seguridad y facilidades para la administración de la red y control de los túneles. En cuanto al hardware cada suministrador intenta ofrecer equipos más rápidos, fáciles de instalar y de tamaño reducido. Es importante para la implantación de una VPN elegir un proveedor adecuado. A partir del estudio realizado durante esta investigación podemos concluir que en la actualidad MPLS es la tecnología preferida por los proveedores de servicios para implementar VPN. Los servicios de VPN ofrecidos sobre MPLS tales como las VPWS, VPLS y las IP-VPN han ganado terreno a las redes tradicionales Frame Relay y ATM por las demandas de las empresas de servicios cada vez más eficientes y menos costosos. A las redes VPLS se les ha augurado un futuro promisorio por las ventajas que ofrece tanto a los proveedores de servicios como a los clientes.. 21.

(27) _______________________________________________________________Capítulo II. Capítulo II. Redes Privadas Virtuales de Capa 2 Hoy en día está cobrando gran importancia la tecnología Ethernet dentro de las redes de acceso como alternativa mucho más barata y escalable que las tradicionales tecnologías de circuitos. Entre los servicios que más de moda están en este entorno son los servicios VPLS (Virtual Private LAN Service) y VPWS. VPLS y VPWS son formas innovadoras de proveer Redes Privadas virtuales basadas en servicios MPLS. Este capítulo da una visión general de estas tecnologías y los beneficios que ofrecen tanto desde el punto de vista del cliente como del proveedor.. 2.1 VPWS VPWS es la más simple de la dos tecnologías. Esta ofrece un pseudo-wire entre dos puntos, y emula un servicio arrendado entre 2 terminales. Un servicio VPWS es ideal en situaciones cuando los patrones de tráfico en una empresa, donde sus sitios se encuentran dispersos geográficamente, son fundamentalmente entre dos locaciones seleccionadas. Para la carga útil, la trama Ethernet entrante del cliente es encapsulada dentro de la carga útil de la trama MPLS de salida, por consiguiente se incrementa el tamaño resultante de la trama a ser transportada en la red VPWS. Los routers adyacentes a lo largo de un LSP necesitan ponerse de acuerdo en cuanto a la etiqueta de túnel a ser usada: esto es logrado como parte de la señalización MPLS ( ej. Ya sea por LDP o por RSVP-TE si la ingeniería de tráfico es deseada). Más adelante profundizaremos en las definiciones, cuando analicemos el servicio VPLS. La Figura 2.1 brinda un ejemplo simple de un servicio VPWS ofrecido a un Cliente A sobre una red MPLS.. 22.

(28) _______________________________________________________________Capítulo II. Figura 2.1 Modelo de Referencia VPWS. 2.2 VPLS. Descripción de la solución VPLS (Virtual Private LAN Services) es un tipo de servicio que posibilita a los usuarios conectarse desde múltiples sitios dispersos geográficamente, justamente como si estuvieran directamente conectados a la LAN, en un dominio único puenteado sobre una red MPLS/IP gestionada por el proveedor [18]. El servicio VPLS utiliza una interfaz Ethernet con el cliente, simplificando la frontera LAN/WAN (red de área extensa) y permitiendo un aprovisionamiento rápido y flexible del servicio. Una red con VPLS consta de CEs (bordes de cliente), PEs (bordes de proveedor) y de una red central MPLS: El dispositivo CE es un router o conmutador situado en las instalaciones del cliente; puede pertenecer y gestionarse por el cliente o por el proveedor de servicios. Se conecta al PE mediante un AC (circuito de conexión). En el caso de VPLS, se asume que Ethernet es la interfaz entre CE y PE. El dispositivo PE es donde reside toda la inteligencia de VPN, donde el VPLS comienza y termina y donde se establecen todos los túneles necesarios para conectar con todos los otros PEs. Ya que el VPLS es un servicio Ethernet de capa 2, el PE debe ser capaz de conocer, puentear y replicar el MAC (control de acceso a los medios) en base a VPLSs. La red central MPLS/IP interconecta los PEs; no participa realmente en la funcionalidad de VPN. El tráfico se conmuta simplemente basándose en etiquetas MPLS. La base de cualquier servicio VPN multipunto (VPN IP o VPLS) es una malla completa de túneles MPLS (LSPs – trayectos conmutados por etiquetas, también llamados túneles externos) que se establecen entre todos los PEs que participan en el servicio VPN. LDP. 23.

(29) _______________________________________________________________Capítulo II (protocolo de distribución de etiqueta) se utiliza para establecer estos túneles; alternativamente se puede utilizar RSVP-TE (protocolo de reserva de recurso – ingeniería de tráfico) o una combinación de LDP y RSVPTE. Las VPNs multipunto pueden crearse encima de esta malla completa, ocultando la complejidad de la VPN desde los routers centrales.. Figura 2.2 Modelo de Referencia VPLS. Para cada instancia VPLS (VSI) se crea una malla completa de túneles internos (llamados pseudowires) entre todos los PEs que participan en la instancia VPLS. Para el sistema VPLS el PW es un canal directo del AC local a su par para transmitir transparentemente los datos de usuario. Un mecanismo de auto-detección localiza todos los PEs que participan en la instancia VPLS. Este mecanismo no se ha incluido en las especificaciones previas, de esta forma el proveedor de servicio puede configurar el PE con las identidades de todos los otros PEs en un VPLS concreto, o puede seleccionar el mecanismo de autodetección que prefiera, por ejemplo, RADIUS (servicio de autenticación remota de marcación de entrada de usuario). [21] [22] [23]. 24.

(30) _______________________________________________________________Capítulo II La tecnología pseudowire está normalizada por el IETF (grupo de tareas sobre ingeniería de Internet) en el grupo de trabajo PWE3 (Pseudo Wire Emulation Edge to Edge) [24]. Los PWs son conocidos históricamente como “túneles Martini”, y a las extensiones al protocolo LDP para permitir la señalización de PWs se las denomina frecuentemente “señalización Martini”. Existe otro protocolo que facilita la señalización de pseudowires, el protocolo Borde Multiprotocolo (BGP). Un PW consta de un par de LSPs unidireccionales punto-a-punto de un solo salto en direcciones opuestas, cada uno identificado por una etiqueta PW, también llamada VC (conexión virtual). Para una red VPLS con n PE, existirán n*(n-1)/2 pseudo-wires o n*(n-1) LSPs. Las etiquetas PW se intercambian entre un par de PEs usando el mencionado protocolo de señalización LDP. El identificador VPLS se intercambia con las etiquetas, así ambos PWs pueden enlazarse y asociarse a una instancia VPLS particular. A observar que este intercambio de etiquetas PW tiene que darse entre cada pareja de PEs participantes en una instancia VPLS concreta, y que las etiquetas PW tienen solamente un significado local entre cada una de esas parejas. La creación de PWs con una pareja de LSPs permite a un PE participar en el aprendizaje del MAC: cuando PE recibe una trama Ethernet con una dirección de fuente MAC desconocida, PE sabe en qué VC se envió. Los routers PE deben soportar todas las prestaciones “clásicas” Ethernet, como aprendizaje del MAC, replicación y envío de paquetes. Conocen las direcciones MAC de la fuente MAC del tráfico que llega a sus puertos de acceso y de red. Desde un punto de vista funcional, esto significa que los PEs deben implementar un puente por cada instancia VPLS, al que se le suele llamar VB (puente virtual). La funcionalidad VB se lleva a cabo en el PE mediante una FIB (retransmisión de base de información) para cada VPLS; esta FIB se popula con todas las direcciones MAC aprendidas. Todo el tráfico se conmuta en base a las direcciones MAC y se reenvía entre todos los routers PE participantes, usando túneles LSP. Los paquetes desconocidos (es decir, las direcciones de destino MAC que no han sido aprendidas) se replican y reenvían en todos los LSPs a todos los routers PE que participan en ese servicio hasta que responde la estación de destino y la dirección MAC es aprendida por los routers PE asociados con dicho servicio.. 25.

(31) _______________________________________________________________Capítulo II Para evitar bucles de reenvío se usa la regla llamada “Split Horizon (partir el horizonte)”. En el contexto VPLS, esta regla significa que un PE nunca debe enviar un paquete a un PW si ese paquete se ha recibido de un PW. Esto asegura que el tráfico no pueda formar un bucle sobre la red de backbone usando PWs. El hecho de que haya siempre una malla completa de PWs entre los dispositivos PE asegura que cada paquete emitido alcanzará su destino dentro del VPLS. 0 0 3( 0 3/ 6. 3(. 3H. 3H. 9%. 0. 9% 3H. 3H 3H 3H. 3(. 9%. 0. 3(. Figura 2.3 Señalización Pseudowire. 2.3 Tecnología PseudoWire Pseudo Wire Emulation Edge-to-Edge (PWE3) es un mecanismo que emula los atributos esenciales de servicios tales como ATM, Frame Relay o Ethernet sobre una red conmutada de paquetes (Packet Switched Network, PSN). Las funciones requeridas de los PWs incluyen encapsulación de los paquetes que arriban a la puerta de ingreso, y el transporte de estos a través de un trayecto o túnel, y otras operaciones para. emular el. comportamiento del servicio tan fielmente como sea posible. Para la perspectiva del cliente, el PW es percibido como un enlace o circuito no compartido. [25] Modelo de referencia de PWE3 Un pseudo-wire (PW) es una conexión entre dos dispositivos de borde del proveedor (PE), los cuales conectan dos circuitos de conexión (Attachment Circuits, ACs). Un AC puede ser un. Frame Relay DLCI, un ATM VPI/VCI, una puerta Ethernet, una VLAN, un. enlace HDLC, una conexión PPP, un MPLS LSP, etc.. 26.

(32) _______________________________________________________________Capítulo II. Figura 2.4 Modelo de Referencia PWE3. Durante el establecimiento de un PW, los dos PEs serán configurados o intercambiaran información automáticamente sobre el servicio a ser emulado de forma tal que posteriormente conozcan cómo procesar el paquete que le llega del otro terminal. Después que un PW es establecido entre dos PEs, las tramas recibidas por un PE de un AC son encapsuladas y enviadas sobre el PW hacia el PE remoto, donde las tramas nativas son reconstruidas y enviadas así el otro CE. Cuando un paquete se debe enviar desde PE1 a PE2 correspondiente a una trama ethernet de entrada, se realiza la imposición de una etiqueta MPLS para formar el túnel PSN (denominada “etiqueta PSN”). Ésta información nos permite decirle al equipo PE2 qué hacer con el paquete que recibe, por ello es necesaria otra etiqueta la cuál se denomina “etiqueta PW”. En conclusión al igual que en el caso de BGP/MPLS VPNs se utiliza un pila de etiquetas de profundidad 2 [26]. La etiqueta PW no es visible hasta que el paquete llega al equipo PE2, toda la conmutación para el LSP se realiza a través de la etiqueta PSN. En la figura 2.5 se muestra la pila de protocolos que ilustra este punto.. 27.

(33) _______________________________________________________________Capítulo II. Figura 2.5 Pila de Protocolos de Referencia para PWE (Pseudo Wired Ethernet).. La etiqueta PW puede interpretarse como la puerta Ethernet de salida o el identificador de VLAN de salida. El proceso es unidireccional y permite por ejemplo que dentro de una misma conexión, el identificador de VLAN en un extremo no coincida con el identificador en el otro. En este caso debemos decir que quien tiene la tarea de realizar la sobreescritura de los identificadores de VLAN son los PE de entrada. Hay que destacar que un número ilimitado de etiquetas PWs pueden viajar a través de un sólo túnel PSN. En la figura 2.6 se ejemplifica la secuencia para la construcción de un PW.. Figura 2.6 Construyendo un PW. 28.

(34) _______________________________________________________________Capítulo II 2.4 Funcionamiento VPLS A continuación describiremos de forma simplificada el funcionamiento de una red VPLS. Es condición necesaria que exista una malla completa de túneles MPLS entre los cuatro PEs conectados a la red MPLS. Debe crearse una instancia VPLS identificada por Svc-id 101 (identificador de servicio 101) entre PE1, PE2 y PE3; PE4 no participa en la instancia VPLS considerada. Se considera que esta configuración se determinó usando un mecanismo de auto-detección no especificado. M1, M2, M3 y M4 son estaciones finales en distintas localizaciones del cliente y sus ACs a sus respectivos dispositivos PE (ver Figura 2.6) han sido configurados en los PEs para pertenecer a una instancia VPLS concreta: Svc-id 101. [27] Creación de los pseudowires Se necesita crear tres PWs, cada uno con un par de LSPs unidireccionales, o conexiones virtuales. Para señalizar la etiqueta-VC entre PEs, cada PE inicia una sesión que tiene como objetivo el PE par y le comunica qué etiqueta VC usar cuando envía paquetes al VPLS en cuestión. La instancia VPLS específica se identifica en el intercambio de señalización usando un identificador de servicio (p. ej., Svc-id 101). En el ejemplo de abajo, PE1 indica a PE2: “si tienes tráfico que enviarme por Svc-id 101, usa el pe2-1 de la etiqueta VC en el encapsulado de paquetes”. A su vez, PE2 indica a PE1: “si tienes tráfico que enviarme por Svc-id 101, usa la etiqueta pe1-2 de la etiqueta VC en el encapsulado de paquetes”. De este modo se crea el primer PW. Aprendizaje del MAC y envío de paquetes Una vez que creada la instancia VPLS con Svc-id 101, pueden enviarse los primeros paquetes y comienza el aprendizaje del MAC. Se supone que M3 está enviando un paquete al PE2 destinado a M1 (M3 y M1 quedan identificados por una sola dirección MAC), según se muestra en la Figura 2.7: PE2 recibe el paquete y reconoce (desde la dirección MAC de la fuente) que ese M3 se puede alcanzar en el puerto local 1/1/2:0; almacena esta información en el FIB para Svcid 101.. 29.

(35) _______________________________________________________________Capítulo II PE2 no conoce todavía el M1 de la dirección MAC de destino, así que inunda el paquete a PE1 con el pe2-1 de la etiqueta VC (en el túnel externo MPLS correspondiente) y a PE3 con el pe2-3 de la etiqueta VC (en el túnel externo MPLS correspondiente). PE1 conoce por el pe2-1 de la etiqueta VC que M3 está detrás de PE2 y almacena esta información en el FIB para Svcid 101. PE3 sabe por el pe2-3 de la etiqueta VC que M3 está detrás de PE2 y almacena esta información en el FIB para Svcid 101. PE1 retira el pe2-1 de la etiqueta, no conoce el M1 de destino e inunda el paquete a los puertos 1/1/1:100 y 1/1/1:200; PE1 no inunda el paquete a PE3 debido a la regla SplitHorizon. PE3 retira el pe2-3 de la etiqueta, no conoce el M1 de destino y envía el paquete al puerto 1/1/2:0; PE3 no inunda el paquete a PE1 debido a la regla del Split-Horizon. M1 recibe el paquete. Cuando M1 recibe el paquete de M3, responde con un paquete a M3 (ver Figura 2.6): PE1 recibe el paquete de M1, reconoce que M1 está en el puerto local 1/1/1:100 y almacena esta información en el FIB para Svc-id 101. PE1 ya sabe que M3 se puede alcanzar vía PE2 y, por ello, solamente envía el paquete a PE2 usando la etiqueta VC pe1-2. PE2 recibe el paquete para M3 y sabe que M3 es accesible por el puerto 1/1/2:0. M3 recibe el paquete.. 30.

(36) _______________________________________________________________Capítulo II VPLS Svc-id=101. MAC. Localización. Integración. M3. Local. 1/1/2:0. M1. Remoto. Túnel a PE1. 0 0 3( 0 3/ 6. 3( 9%. 0. 9%. 9%. VPLS Svc-id=101. 3(. MAC. Localización. Integración. M3. Remoto. Túnel a PE2. M1. Local. 1/1/1:100. 3(. VPLS Svc-id=101. 0. HQYtD SDTXHW HD0. 0. UHVSRQGH D 0. 0. MAC Localización. Integración. M3. Túnel a PE2. Remoto. Figura 2.7 Aprendizaje del MAC y envío de paquetes. El aprendizaje de direcciones MAC remotas. necesita de un mecanismo de. envejecimiento (aging) para remover las entradas relacionadas con etiquetas VC que no se han usado en mucho tiempo. Después que un paquete es recibido, el temporizador de envejecimiento (aging timer) correspondiente a las direcciones fuente será reiniciado. De igual forma, todas las direcciones MAC aprendidas en la VSI local deber ser aged.. 2.5 Modos De Señalización Para El Establecimiento De Los Pseudowires Existen 2 modos de señalización para el establecimiento de un túnel PW: LDP [18] y MPBGP [19] Cuando el protocolo LDP es usado para la señalización, el TLV del estándar LDP es extendido para portar la información VPLS. Dos tipos de TLV FEC son añadidos: tipo128 y tipo129. La secuencia de distribución de etiquetas durante el establecimiento del PWs adopta el modo descendente no solicitado (downstream unsolicited, DU) y la retención de etiquetas adopta el modo liberal de retención de etiquetas. Las conexiones LDP usadas para intercambiar señalización VC deben ser configuradas al modo remoto.. 31.

(37) _______________________________________________________________Capítulo II La figura 2.8 que a continuación se muestra, ilustra un procedimiento característico de establecimiento y liberación del PW con el modo de señalización LDP. Cuando el PE1 es configurado con un VSI (Virtual Switch Instance) y PE2 es especificado como su par, una etiqueta será distribuida para la sesión y un mensaje será enviado al PE2 (mapping message),. si la sesión entre PE1 y PE2 ha sido establecida. Con la recepción del. mensaje, PE2 chequeará si el mismo VSI ha sido configurado localmente. Si el VSI fue configurado localmente con el mismo VSI ID y tipo de encapsulación, esto indica que los VSIs en los dos PEs están en la misma VPN. El PW será establecido para PE2. Lo mismo sucede con PE1 después de recibir el mensaje de mapeo de PE2. Cuando PE1 no necesita enviar por más tiempo paquetes hacia PE2 (por ejemplo, el cliente remueve la designación de PE2 como su par), este enviará un mensaje withdraw, PE2 liberará el PW y retornará un mensaje release. PE1 liberará la etiqueta y desconectará el PW después de recibir el mensaje. Cuando se utiliza la señalización LDP se le llama VPLS Martini.. Figura 2.8 Procedimiento de establecimiento/liberación de un PW con LDP. 32.

(38) _______________________________________________________________Capítulo II Cuando el Protocolo de Borde Multiprotocolo (BGP) es usado para la señalización, la extensión de BGP (RFC 2283) es usada para transmitir la información de los miembros VPLS[28]. Los atributos MP-reach y MP-unreach transmiten la información de la etiqueta VPLS y los atributos de la comunidad extendida trasmiten la información de los parámetros de interface. La membresía VPN es determinada por el RD (Route Distinguish) y el VPN-TARGET que son transmitidos en el atributo de comunidad extendida. Las siguientes definiciones son usadas en las redes VPLS basadas en BGP: •. VPLS Edge ID (VE ID): Identifica el VE (VPLS Edge) implicado en la instancia VPLS (Independientemente del número interfaces lógicas o físicas involucradas).. •. Route Distinguisher (RD): 6 bytes insertados en cada NLRI intercambiado entre PEs que únicamente identifican a la instancia VPLS. El RD (será configurado en cada VE) está en el formato ASNumber: Number donde:. •. o. ASNumber (2 Byte): Identifica el AS.. o. Number (4 Byte) ID: Progresivo asociado a la instancia VPLS.. Instancia Tipo: Identifica la instancia de ruteo particular. En este caso es establecido para VPLS.. •. Número de sitios: Número total de VE implicados en la instancia VPLS considerada.. •. Route Target Import/Export: En un marco de trabajo VPN MPLS/IP generalmente determina la topología lógica VPN. En el caso VPLS, RT Import/Export debe tener el mismo valor entre todos los PEs participantes para crear una topología totalmente mallada. Generalmente, para propósitos de trabajo, es preferido que RT tenga el mismo valor de RD.. La figura que a continuación se muestra, ilustra un procedimiento característico de establecimiento y liberación del PW con el modo de señalización BGP. Cuando el PE1 es configurado con un VSI (Virtual Switch Instance) y tiene una sesión BGP establecida al PE2 y la familia de direcciones VPLS es habilitada en esta sesión, una etiqueta será distribuida a la sesión BGP y un mensaje update que porta el atributo MP-REACH será enviado al PE2. Con la recepción del mensaje update, PE2 chequeará si el mismo VSI ha. 33.

(39) _______________________________________________________________Capítulo II sido localmente configurado. Si el mismo VSI ha sido configurado localmente y el VPNTARGET coincide, esto indica que los VSIs en los dos PEs están en la misma VPN. El PW será establecido para PE2. Lo mismo sucede con PE1 después de recibir el mensaje update de PE2. Cuando PE1 no necesita enviar por más tiempo paquetes hacia PE2 (por ejemplo, el cliente remueve la designación de PE2 como su par), este enviará un mensaje update que porta el atributo MP-UNREACH mientras desconecta el PW y libera la etiqueta al mismo tiempo. PE2 liberará el PW después de recibir el mensaje update del PE1. Cuando se utiliza la señalización BGP se le llama VPLS Kompella.. Figura 2.9 Procedimiento de establecimiento/liberación de un PW con BGP. Comparando los modos de señalización PW tenemos que: 1. El protocolo LDP es muy simple y tiene bajos requerimientos para los PEs. Sin embargo, el LDP no provee a los miembros de la VPN mecanismo de autodescubrimiento y la membresía debe ser configurada manualmente. En. 34.