Inter VRF leaking w środowisku sieci enterprise WAN

PLNOG 2015

Piotr Papis

Trochę założeń…

Enterprise WAN czyli sieć organizacji posiadającej własne centra przetwarzania danych, geograficznie wydzielone:• oddziały,• sieci technologiczne,• klientów zewnętrznych itp.

W skład sieci rozległej przedsiębiorstwa (Enterprise WAN) wchodzi:

• Warstwa fizyczna czyli określona topologia urządzeń aktywnych tworzących rdzeń sieci (routery P/PE), oraz węzły „brzegowe” (routery CE),

• Warstwa logiczna sieci rozległej, czyli zestaw określonych technologii. Jeśli mówimy o VPN L3 (VRF) to w środowisku sieci WAN wymagana jest implementacja MPLS/MP-BGP (MP-BGP przynajmniej na routerach PE),

• VRF – (Virtual Routing & Forwarding) z punktu widzenia urządzeń oznacza instancję na routerze PE, posiadającą własne interfejsy, tablicę RIB, „data plane” oraz zestaw określonych protokołów i reguł zarządzających zawartością RIB. Z logicznego punktu widzenia VRF to nic innego niż określona grupa użytkowników, systemów i aplikacji.

MPLS/MP-BGP

Oddział „A” Oddział „B” TAN

Klient zewn.CPD 2CPD 1

Topologia sieci Enterprise WAN

N *VRF N *VRF VRF

N *VRF N *VRFN *VRF

Podział sieci na wirtualne instancje ma przede wszystkim na celu:• Zapewnienie rozdzielności systemów firmy, klientów,• Separację tzw. „domen awarii”,• Zapewnienie maksymalnie wysokiego poziomu

skalowalności sieci• Uproszczenie struktury sieci jako całości (przejrzysta

hierarchia sieci)

• ruch typu „południe - północ” zamyka się w obrębie jednej instancji VRF, pomiędzy lokalizacjami połączonymi do rdzenia sieci (prefiksy rozgłaszane są na drodze redystrybucji lub natywnie w protokole obsługującym daną instancję),

• ruch typu „wschód – zachód” oznacza de facto przepływ prefiksów pomiędzy poszczególnymi instancjami VRF. Określa się go jako „Inter-VRF leaking”. Z punktu widzenia działania sieci organizacji jest to bardzo ważna kwestia – kto z kim (co z czym) może komunikować się pomiędzy VPN. Inter-VRF leaking (czyli przepływ „wschód – zachód”) wymaga zastosowania specjalnej konfiguracji wykorzystującej protokół BGP i atrybut extended community rt

Kierunki przepływów tras

R1

C 192.168.0.0/24

R3

VRF Art import

1:1

NH R1 192.168.0.0/24extc-rt 1:1

NH R2 [via VRF A] 172.16.0.0/24

extc-rt 1:2

R2

VRF Art export 1:1rt import 1:1

C 10.0.0.0/24

VRF Brt export 1:3,1:4

rt import 1:2

C 172.16.0.0/24

NH R2 [via VRF B] 10.0.0.0/24extc-rt 1:4

VRF Art export 1:1,1:2rt import 1:1,1:4

Wymagane polisy

C 10.1.0.0/24

MPLS/MP-BGP AS 65ABC

Atrybut Route Target extCommunity

• Route Target extCommunity opisany jest w RFC 4364,,

• Przeznaczony jest do stosowania w sieciach zbudowanych w oparciu o MPLS VPN, jako narzędzie optymalizujące dystrybucję tras w sieci, rozszerzające skalowalność sieci,

• Route Target extCommunity identyfikuje grupę routerów, które mogą otrzymać trasy, przenoszące dany atrybut,

• Prefiksowi może być przypisany więcej niż jeden atrybut extend community rt,

• Atrybut extend community rt może mieć różną formę, np.: jako prefiks IP, ASPLAIN, ASDOT, numer (16 lub 32 bitowy)

BGP AS 65ABC

Działanie atrybutu Route Target extCommunity:

VRF Art import 2:2

10.0.0.0/24

extc-rt 2:2

R1

R2

BGP analizuje atrybut extend communityrt, jeśli w którymkolwiek z VRF znajduje się taki sam import, prefiks instalowany jest w jego tablicy.Wykorzystujemy odpowiednie, łatwo edytowalne polisy

Komponenty update’u MP-BGP

Modele Inter-VRF leaking

..czyli sposób implementacji Inter VRF Leaking w sieci Enterprise WAN

Modele Inter-VRF leaking możemy zaimplementować stosując umownie:

• model scentralizowany („hub&spoke”) – konfiguracja na dedykowanych routerach

• model rozproszony – konfigurowany na brzegowych routerach rdzenia sieci (PE)

Każdy z tych modeli posiada swoje ograniczenia i wymaga uwzględnienia wszystkich elementów sieci, w której ma być wdrażany (znaczna przewaga jednego z typów ruchu, poziom skomplikowania przepływów, przepustowość łącz, rozmiar sieci (np. liczba routerów PE), wpływ na obecnie funkcjonujące rozwiązania)

MPLS/MP-BGP

BGP AS 65ABC

BGP AS 65DEF

Model „hub&spoke”

VRF B

VRF C

VRF A

VRF B

VRF D

VRF A

VRF BVRF A

VRF A,B,C,D

Systemy nadrzędneIGP

172.16.0.0/24extc-rt 1:2

[via VRF D] 172.16.0.0/24extc-rt 1:2, 1:4

polisa exportowa –dodaj extc-rt 1:4VRF B VRF DVRF A VRF C

rt-import1:4

VRF lite

• Zastosowanie przy znaczącejprzewadze ruchu „klient-serwer”(północ – południe), do jednegolub dwóch ośrodków nadrzędnych

• Pozwala na centralizację polisprzy bardzo skomplikowanejcharakterystyceprzepływów wsch. – zach.,

• Konieczny do wydzieleniadodatkowy segment dystrybucyjny

• Odrębny segment (BGP AS)stanowi „DMZ” dla rdzenia sieci

• Podstawowa wada – koniecznośćwymuszania nieoptymalnychścieżek routingu

• I jeszcze leaking lokalny

Wymiana lokalna CE (lokalne VRF)

Oddział

VRF CVRF D

VRF F

MPLS/MP-BGP

BGP AS 65ABC

Model „rozproszony”

VRF B

VRF C

VRF A

VRF B

VRF D

VRF A

VRF BVRF A

Systemy nadrzędneIGP

172.16.0.0/24extc-rt 1:2

[via VRF D] 172.16.0.0/24extc-rt 1:2, 1:4

polisa exportowa –dodaj extc-rt 1:4

VRF Crt-import

1:4

• Zastosowanie przy znaczącejprzewadze ruchu „klient-klient”,

• Pozwala na zachowanieoptymalnych ścieżek routingu,

• „Odciążenie” pracy rdzenia sieci,• Gdy routery CE pracują pod

kontrolą protokołów IGP koniecznesą redystrybucje na routera P/PE(należy unikać redystrybucji IGP doBGP na routerach tworzących rdzeńsieci)

• Podstawowa wada – rozproszeniepolis, komplikacja zarządzania,

REDYSTRYBUCJE

n*routery PE

Wymiana lokalna CE (lokalne VRF)

Oddział

VRF D VRF C

VRF F

Inne sposoby realizacji Inter VRF Leaking

PBR • brak sieci docelowej w tablicy• utrudniona diagnostyka problemów

Firewalle• konieczność kierowania na firewalle strumieni ruchu, których nie jest w stanie

odpowiednio przetwarzać (zabezpieczać)

Inter-AS MPLS• konieczność hierarchizacji (podzielenia) rdzenia, technologia adresowana do