Title: IRISRed Experiencias con MPLS y VPNs de nivel 2
1IRIS-RedExperiencias con MPLS y VPNs de nivel
2 Puesta en producción del servicio laura.serrano_at_
rediris.es
2Grupo IRISRedAgenda
- Generalidades
- Pruebas y configuración en una red de proveedor
- Crear LSP
- Crear VPN de nivel 2
- Monitorización y otros
- Pruebas e interacción con el cliente
- CE1 y CE2 ethenet
- CE1 ethenet y CE2 dot1.q
- CE1 y CE2 sonet
- Resumen
- Servicio ofrecido y líneas futuras
3Grupo IRISRedGeneralidades
- MPLS
- Protocolo de nivel 2.5
- VPNs y Calidad de servivio
- LSP
- Estáticos o dinámicos
- RSVP LDP
- RSVP -gt protocolo de reserva de recursos empleado
especialmente para proporcionar calidad de
servicio - LDP -gt protocolo de distribución de etiquetas
- Nota RSVP más complejo en su configuración y
mantenimiento aunque proporciona mecanismos de
reserva de recursos no proporcionados por LDP lo
que lo hace más atractivo en entornos acotados
4Grupo IRISRedGeneralidades
- VPNs
- Nivel 2
- Punto a punto -gt Martini, kompela
- Multipunto -gt VPLS
- Nivel 3 -gt MPLS/BGP
- Relativo al servicio prestado
- VPNs nivel 2 punto a punto
- Configuración, funcionamiento, monitorización,
limitaciones - Pruebas desde la perspectiva del proveedor
- Pruebas desde la perspectiva del cliente
5Grupo IRISRedPruebas y configuración en una red
de proveedor
- Consideraciones previas
- RSVP y draft Martini
- Entorno Juniper
- Pasos para configuración de una L2 VPN punto a
punto - Crear LSP entre los PE routers
- Configurar MPLS y RSVP
- Definir camino/os strict o loose
- Asociar camino/os a LSP
- Crear VPN para usuarios finales
- Definir un CCC en el PE hacia el cliente
- Circuito de nivel 2
- Configurar LDP
- Monitorización
6Grupo IRISRedCrear LSP
- Crear LSP entre los PE routers
- PE router -gt router extremo en la red de
proveedor - Routers de entrada y salida del LSP
- P router -gt router intermedio a lo largo del
camino - Routers de tránsito
7Grupo IRISRedCrear LSP
LO 130.206.202.254
LO 62.40.102-13
P-1
RSVP
RSVP
PE-1
PE-2
130.206.240.9/10
62.40.103.45/46
P-2
P-3
130.206.240.22/21
62.40.103.61/62
RSVP
RSVP
RSVP
130.206.240.13/14
8Grupo IRISRedCrear LSP
- Camino principal pasando por P-1
LO 130.206.202.254
LO 62.40.102-13
P-1
RSVP
RSVP
PE-1
PE-2
130.206.240.9/10
62.40.103.45/46
P-2
P-3
130.206.240.22/21
62.40.103.61/62
RSVP
RSVP
RSVP
130.206.240.13/14
9Grupo IRISRedCrear LSP
- Camino principal pasando por P-1
LO 130.206.202.254
LO 62.40.102-13
P-1
RSVP
RSVP
PE-1
PE-2
130.206.240.9/10
62.40.103.45/46
P-2
P-3
130.206.240.22/21
62.40.103.61/62
RSVP
RSVP
RSVP
130.206.240.13/14
10Grupo IRISRedCrear LSP
- Camino de respaldo pasando por P-2
11Grupo IRISRedCrear LSP
- Comprobar estado del LSP
- Nota Un LSP es UNIDIRECCIONAL, habría que
definir el camino de vuelta
12Grupo IRISRedCrear VPN de nivel 2
- Crear L2 VPN entre los PEs hacia el cliente
- CE -gt Dispositivo extremo en la red del cliente
- Conmutador de nivel 2, router, la propia
máquina...
P-1
PE-1
PE-2
RSVP
RSVP
P-2
P-3
RSVP
RSVP
RSVP
CE-1
CE-2
13Grupo IRISRedCrear VPN de nivel 2
- Interfaz entre PE y CE -gt (CCC)
LO 62.40.102-13
LO 130.206.202.254
P-1
PE-1
PE-2
RSVP
RSVP
P-2
P-3
RSVP
RSVP
RSVP
CE-1
CE-2
14Grupo IRISRedCrear VPN de nivel 2
- Configurar circuito de nivel 2 entre PE-1 y PE-2
LO 62.40.102-13
LO 130.206.202.254
P-1
PE-1
PE-2
RSVP
RSVP
LDP
LDP
P-2
P-3
RSVP
RSVP
RSVP
CE-1
CE-2
15Grupo IRISRedCrear VPN de nivel 2
- Comprobar estado de la VPN
- Nota Martini emplea LDP como protocolo para el
establecimiento de la VPN. La vecindad LDP se
establece extremo a extremo entre los PEs
16Grupo IRISRedMonitorización y otros
- Tráfico en el LSP
- En el propio router
- MIB de Juniper
- mib-jnx-mpls.txt -gt .1.3.6.1.4.1.2636.3.2 (Junos
6.1) - LSPs configurados, tráfico total cursado a través
de ellos, nombre, camino utilizado en su
recorrido,... - Nota No es posible obtener estadísticas de
tráfico en el router de salida del LSP cuando se
usa RSVP por cuestiones de implementación
17Grupo IRISRedMonitorización y otros
- Tráfico en la VPN
- Aplicando contadores en la interfaz entre PE y CE
- MIB de Juniper
- mib-jnx-vpn.txt -gt .1.3.6.1.4.1.2636.3.26
- Estado, tiempo de vida, tráfico entrante y
saliente... - Nota La MIB ha sido probada para Junos 6.1 sin
éxito. Juniper dice que está correctamente
implementada en Junos 6.4. En espera de
comprobación
18Grupo IRISRedMonitorización y otros
- Ejemplo obtenido con MIB-MPLS
- Ejemplo de transmisión de tráfico desde UPC hasta
New York entre dos máquinas con direccionamiento
privado conectadas por una VPN de nivel 2 a
través de GEÁNT - http//www.juniper.net/techpubs/software/junos/jun
os61/swconfig61-net-mgmt/html/snmp-mibs.html - No olvidar Permitir el tráfico RSVP en todos los
routers que forman parte del camino para
establecer el LSP y el tráfico LDP en los PE
routers (entre sus loopbacks) para poder
establecer la VPN.
19Grupo IRISRedPruebas e interacción con el cliente
- Consideraciones previas
- RedIRIS es una red de proveedor
- Dificultad para definir un escenario real PE-CE
- Casos de estudio
- CE1 y CE2 ethernet
- Estaciones SUN conectadas directamente al router
mediante FE - CE1 ethernet y CE2 dot1.q
- Estación SUN conectada al router con FE y
- Catalyst 6509 conectado al router mediante GE
- CE1 y CE2 sonet
- Interconectar dos routers mediante L2 VPN sin
alterar el routing normal de cada uno - Nota La encapsulación en los extremos PE debe
ser la misma
20Grupo IRISRedPruebas e interacción con el cliente
PE-2
PE-1
CE-2
CE-1
RSVP
192.168.0.2
192.168.0.4
21Grupo IRISRedPruebas e interacción con el cliente
- Configuración análoga de la VPN en ambos extremos
- Encapsulación ethernet-ccc hacia la máquina
cliente - Asignación de direccionamiento privado en ambas
máquinas
22Grupo IRISRedPruebas e interacción con el cliente
23Grupo IRISRedPruebas e interacción con el cliente
- Configuración análoga de la VPN en ambos extremos
- Circuito tcc hacia el cliente -gt interworking
- Asignación de direccionamiento privado en ambas
máquinas
24Grupo IRISRedPruebas e interacción con el cliente
- Configuración en el cliente
- Configuración del conmutador a nivel 2
- Puerto entre router y conmutador en trunk
(802.1q) - La máquina final pertenerce a la vlan
identificada por el vlan-id el el router (669)
CE-2
PE-2
port 5/37
port 3/6
192.168.0.2
25Grupo IRISRedPruebas e interacción con el cliente
- CE1 y CE2 sonet con routing diferenciado
CE-1
CE-2
PE-2
PE-1
192.168.0.1
192.168.0.2
RSVP
26Grupo IRISRedPruebas e interacción con el cliente
- Circuito CCC entre PE y CE
- SONET -gt frame-relay-ccc
- Para tener routing diferenciado es preciso dlci's
diferenciados - dlci lt 512 Tráfico IP
- dlci gt 512 Circuito CCC
- Configuración de circuito de nivel 2 análogo a
casos anteriores - Nota Si se pretenden conectar mediante una VPN
dos máquinas, de manera que cada una de ellas
tenga routing diferenciado, es preciso configurar
dos circuitos dedicados, uno de nivel 2 para la
VPN y uno de nivel 3.
27Grupo IRISRedResumen
- Crear LSP entre PEs
- Configurar circuito de nivel 2 para VPN (borrador
Martini) - Configurar un CCC entre PE y CE
- La encapsulación en ambos extremos de la VPN
(PE) debe ser análoga - Mismo tecnología de enlace entre PE y CE -gt CCC
- Distinta tecnología del enlace -gt TCC
- Nota Una VPN de nivel 2 tan sólo permite
interconectar a nivel 2 dispositivos ubicados en
distintos puntos, si queremos tener tráfico IP es
preciso configurar un circuito adicional dedicado
en el que se configure nivel 3
28Grupo IRISRedServicio ofrecido y líneas futuras
- Actualmente -gt Servicio de VPNs de nivel 2
punto-punto - Entorno de proveedor Juniper
- LSPs definidos de manera semiestática (no cspf
rsvp) - Borrador Martini
- Líneas futuras
- Profundizar en VPNs de nivel 2 punto a punto
- Interoperatividad Juniper-Cisco
- LSPs dinámicos
- Borrador kompella
- etc
- VPLS
- VPNs de nivel 2 punto-multipunto
- Calidad de servicio sobre MPLS
29Grupo IRISRedCómo solicitar el servicio de VPNs?
- Para solicitar el servicio
- Descripción y formulario disponible en
- http//www.rediris.es/red/vpn/
- Parámetros del servicio
- VPN de nivel 2 punto a punto
- Conexiones de nivel 2 esporádicas
- RedIRIS entregará una VLAN en ambos extremos de
la VPN - Si se requiere algún otro tipo de terminación
hacia el cliente (ethernet-ccc, framerelay-ccc,
hdlc-ccc...) deberá ser indicado explícitamente - La solicitud debe realizarse con una semana de
antelación para la comprobación del correcto
funcionamiento de la VPN - Por el momento la tramitación de la solicitud es
realizará manualmente interactuando con el
solicitante para realizar las pruebas necesarias.