OP6 MPLS. Benjamin Baron

Transcription

1 OP6 MPLS Benjamin Baron

2 Contexte Dans le milieu des années 1990, beaucoup de fournisseurs d accès à Internet migraient leur infrastructure de coeur vers IP-over-ATM Plus de bande passante Meilleure performance d acheminement Supporte le traffic engineering Cependant, ATM n est pas parfait Limitations de bande passante 20% cell tax (dû à l overhead) Circuits virtuels à la place du hop-by-hop (IP) Vient alors MPLS en 1997, développé par l IETF 2

3 MPLS est un protocole de couche 2.5 L3 IP MPLS L2 ATM, Frame Relay, Ethernet, PPP L1 SDH, ODH, WDN, CSMA 3

4 MPLS Multi Protocol Label Switching Protocole d encapsulation de couche 2.5 Utilise des Labels ajoutés aux paquets pour transporter des données Les paquets MPLS peuvent se reposer sur d autres protocoles (ex : ATM, Frame Relay, PPP, Ethernet) D autres technologies de couche Liaison peuvent être encapsulées dans les paquets MPLS Utilise une entête simplifiée pour l acheminement Permet d éviter le longest prefix match (LPM) pour un acheminement à haute fréquence 4

5 MPLS est la fondation de services à valeur ajoutée VPNs IP+ Traffic engineering IP+ATM Optical GMPLS * over MPLS MPLS Infrastructure réseau 5

6 MPLS IP Edge IP partout Coeur MPLS 6

7 MPLS CE CE CE PE Domaine MPLS PE CE PE P P P PE CE P (Provider) routeur = Label Switching Router (LSR) Achemine du trafic MPLS dans le domaine MPLS PE (Provider Edge) routeur = Edge Router (LSR) Insère (push) et supprime (pop) des labels MPLS CE (Customer Edge) routeur Connecte les clients du fournisseur au réseau MPLS 7

8 Tunneling Encapsulation IP in IP Ethernet IP header IP header IP data IP data Ethernet in IP (VXLAN) Ethernet IP header VXLAN header UDP header Ethernet VXLAN data Ethernet data Ethernet in IP (GRE) Ethernet IP header GRE header Ethernet GRE data Ethernet data IP in MPLS Ethernet MPLS header IP header MPLS data IP data 8

9 Flows Séquence de paquets IP d une adresse IP source vers une adresse IP destination Un flow peut être identifié par : < Adresse IP source, adresse IP destination > < Adresse IP source, port source, adresse IP destination, port destination > Avec ces paramètres, le routeur IP décide si un paquet est isolé ou fait partie d un flow 9

10 Forwarding Equivalent Class (FEC) Mécanisme pour associer un paquet L2/3 à un label utilisé par un routeur PE (Provider Edge) Fait partie de l opération d insertion de label (push) Grouper les paquets qui doivent être traités pareillement Plusieurs associations possibles Adresses/Préfixes des hôtes Groupes d adresses Identifiants de circuit L2 (ATM, FR, PPP, Ethernet) Virtual Forwarding Instance (VFI), utilisé pour VPLS Switch Port VLAN ID VLAN pcp MAC src MAC dst Eth type IP Src IP Dst IP ToS IP Prot 10

11 Label shim header 20 bits 3 bits 1b 8 bits Label COS S TTL Entête L2 Entête MPLS Entête L3 La composante d acheminement est le Label, encapsulé entre l entête L2 et l entête IP Un label représente la FEC qui lui a été assignée Si la technologie de couche L2 supporte les labels (ATM VPI/ VCI, Frame Relay DLCI), alors label MPLS encapsulé en L2 11

12 Label stack MPLS Type = 0x8847 (MPLS-IP) S = 0 S = 0 S = 1 Entête L2 Top Middle Bottom Entête IP L identification du protocole de couche supérieure se détermine en fonction de la valeur du champ Type de l entête L2 Type = 0x8000 : Unlabeled IP Unicast Type = 0x8847 : Labeled IP Unicast avec au moins un label Type = 0x8848 : Labeled IP Multicast avec au moins un label 12

13 Acheminement basé sur les labels Hybride entre communication de paquets et de circuits Circuit logique entre une source et une destination Paquets avec différents labels multiplexés sur un lien Acheminement : Paquet : label de taille fixe dans l entête Acheminement : correspondance entre le label et un lien sortant 1 lien 7 lien 14 lien

14 Swap des labels à chaque saut Problème : utiliser un label sur tout le chemin Chaque chemin consomme un label unique Consomme tout l espace des labels dans le réseau Label swapping pour réutiliser les labels Faire correspondre un label à une nouvelle valeur à chaque saut Table contient ancien label : prochain lien : nouveau label 1 2 1:7:20 2:7:53 lien :14:78 53:8:42 lien 14 lien 8

15 CE CE Opérations sur les labels MPLS PE Domaine MPLS PE CE CE PE P P PE CE push swap swap pop Insertion du label (push) : par le routeur entrant PE (ingress) Label switching : par les routeurs P qui acheminent le paquet Suppression du label (pop) : par le routeur sortant PE (egress) 15

16 Plan de contrôle vs Plan de données Contrôle des informations et des labels échangés entre routeurs adjacents Protocole d échange de labels comme LDP (Label Distribution Protocol), BGP ou RSVP (Resource Reservation Protocol) Exécute les opérations PUSH, LABEL SWAP et POP Utilisation d une Label Forwarding Information Base (LFIB) pour acheminer les paquets avec les bons labels LFIB remplie par les protocoles d échange de label

17 Routage IP vs Routage MPLS Vers. TTL IHL Identifier TOS Protocol R D F TTL -= 1, jeter si TTL = 0 Lookup de la route (iface de sortie) Fragmenter le paquet pour MTU? Recalculer checksum de l entête Exécuter QoS (changer la valeur de DSCP/ToS, mettre le paquet dans une file prioritaire) M F Source IP address Destination IP address Options + padding Total Length Fragment offset Header checksum Label COS S TTL Lookup de l interface de sortie avec le label et du label de sortie Copie du label de sortie dans l entête TTL -= 1, jeter si TTL = 0 Exécuter QoS (mettre le paquet MPLS dans une file prioritaire) Le label MPLS a une taille de 20 bits (~1m d entrées) -> maîtrise de la mémoire occupée pour stocker les labels et utilisation d un direct index pour le lookup des labels Pas de checksum à calculer (cher)

18 Architecture d un routeur IP EIGRP OSPF BGP Routing Information Base Plan contrôle Plan données Packet in Forwarding Information Base Packet out 18

19 Architecture d un LSR (Label Switch Router) Échange d info. de routage EIGRP OSPF BGP LDP Échange de labels Routing Information Base Label Information Base Plan contrôle Plan données Forwarding Information Base Labeled Packet in Label Forwarding Information Base 19 Labeled Packet out

20 LDP Label Distribution Protocol Distribution des labels propagée dans le sens montant (de la destination vers la source) pour établir un label switching path Messages LDP hello : découvrir les voisins sur les liens (IP broadcast/ multicast + UDP) Session LDP entre voisins via connexion TCP (comme BGP) Chaque LSR crée des correspondances entre préfixe IP/FEC et label pour les réseaux auquel il est connecté et distribue les labels à ses voisins dans le sens montant Les voisins remplissent leur LIB avec les correspondances LDP reçues des voisins dans les sens montant et descendant Les LSR distribuent les correspondances aux LSR voisins Les LSR remplissent leur LFIB avec les labels reçus des voisins du sens descendant (vers la destination) 20

21 LDP Label Distribution Protocol Distribution des labels propagée dans le sens montant (de la destination vers la source) pour établir un label switching path push pop For use label 32 For use label Source Sens montant 21 Destination

22 Allocation des labels Les protocoles de routage IP sont utilisés pour construire les tables de routage IP (RIB) sur tous les LSR Les FIB sont construites à partir des RIB, sans label initialement RIB de A Réseau X Next hop B RIB de C Réseau Next hop FIB de A X D Réseau Next hop Label X B C D X A B RIB de B Réseau Next hop E RIB de E Réseau Next hop X C X C 22

23 Allocation des labels Chaque LSR alloue un label pour chaque destination dans la RIB Chaque label a une signification locale Les allocations de labels sont asynchrones LSR B alloue le label 25 pour la destination X C D X A B RIB de B Réseau Next hop X C E 23

24 Stockage des labels Les LIB (Label Information Base) et LFIB (Label Forwarding Information Base) doivent être initialisées pour le LSR qui alloue le label L action POP enlève le label du paquet acheminement d un paquet IP RIB de B Réseau Next hop X C LIB de B Réseau LSR Label X Local 25 LFIB de B Label Action Next hop 25 POP C LSR B alloue le label 25 pour la destination X C D X A B E 24

25 Distribution des labels Le label alloué est annoncé à tous les LSR voisins, qu ils soient dans le sens montant ou descendant par rapport à la destination LIB de B Réseau LSR Label X Local 25 LSR B alloue le label 25 pour la destination X X = 25 X = 25 C D X A B X = 25 E 25

26 Distribution des labels Chaque LSR stocke dans sa LIB les labels reçus de ses voisins Les LSR de bordure (comme A) qui reçoivent les labels depuis leur next hop stockent les informations de label dans leur FIB (pour pouvoir faire un PUSH) LIB de A Réseau LSR Label X B 25 X = 25 X = 25 C D X A FIB de A Réseau Next hop Label B X = 25 E LIB de E Réseau LSR Label X B 25 X B 25 26

27 Propagation des paquets Les paquets IP acheminés sont libellés seulement sur le chemin où les labels ont déjà été alloués 1 IP: X A FIB de A Réseau Next hop Label X B 25 LFIB de B Label Action Next hop 3 Lab: POP C 2 B 4 IP: X 5 Lookup du label dans la LFIB : le label est changé (SWAP) ou enlevé (POP) E C Lookup de l adresse de destination dans la FIB : si un label existe, alors le paquet est libellé D X 27

28 Distribution des labels Chaque LSR va finalement assigner un label pour chaque destination LIB de C LFIB de C Réseau LSR Label Label Action Next hop X B POP C Local 47 X = 47 X = 47 C D X A B LIB de B E X = 47 LSR C alloue le label 47 pour la destination X Réseau LSR Label X Local 25 C 47 28

29 Remplir la LFIB Le LSR B a déjà alloué un label au réseau X et créé une entrée dans sa LFIB Le label sortant (47) est inséré dans la LFIB une fois celui-ci reçu par le LSR next hop (C) dans le sens descendant vers la destination FIB de B Réseau Next hop Label X C 47 LIB de B LFIB de B Réseau LSR Label Label Action Next hop X Local C C 47 X = 47 X = 47 C D X A B E X = 47 LSR C alloue le label 47 pour la destination X 29

30 Propagation des paquets 1 IP: X A Les paquets IP acheminés sont libellés seulement sur le chemin où les labels ont déjà été alloués Lookup du label dans la LFIB : le label est enlevé (POP) Lookup du label dans la LFIB : le label est changé (SWAP) FIB de A Réseau Next hop Label X B 25 LFIB de B Label Action Next hop 3 Lab: C 2 B Lab: 47 5 E 6 LFIB de B Label Action Next hop 47 POP C C IP: X Lookup de l adresse de destination dans la FIB : si un label existe, alors le paquet est libellé 7 D X 30

31 Remplir la LFIB Chaque LSR stocke les informations reçues dans sa LIB Les LSR qui reçoivent un label depuis leur LSR next hop remplissent également leur FIB IP FIB de B LFIB de B LIB de B Réseau Next hop Label Label Action Next hop Réseau LSR Label X C C X Local 25 C 47 X = 47 C X = 47 D X A B E X = 47 LIB de E Réseau LSR Label FIB de E LFIB de E Local 26 Réseau Next hop Label Label Action Next hop X B 25 X C C C 47 31

32 Exécution du protocole LDP Création d un LSP (Label Switching Path) Le protocole de routage détermine le chemin Les labels sont propagés par LDP pour convertir le chemin en LSP A A X 77 X B B C X 16 X D D X 23 X 34 X E H G G 34 pop X pop pop 34 I H X

33 Protocoles de distribution de labels RSVP BGP Resource Reservation Protocol Utilisé dans MPLS TE (Traffic Engineering) Utilisation du mécanisme de contrôle d admission du protocole RSVP pour créer des LSP avec bande passante Les requêtes pour les labels sont envoyées dans les messages PATH et les correspondances sont faites avec les messages RESV Border Gateway Protocol Utilisé dans le context de MPLS VPNs Utilise les extensions multiprotocol de BGP Les routeurs LSR doivent être des pairs BGP Les correspondances de labels sont transportées dans des NLRI (Network Layer Reachability Information)

34 MPLS L3 VPN

35 VPN Virtual Private Network Un VPN est un terme générique pour désigner un réseau et une architecture de service qui : Fournit une connectivité contrôlée à des entités (entreprise) Connectivité peut être permanente ou intermittente Pas d interférences entre le réseau publique et privé Contrôle d accès et authentification Traffic engineering avec allocation dynamique de ressources Est privée puisque le service émule un réseau local au sein de l entité Est virtuel puisqu une architecture commune est partagée par plusieurs VPNs et par le trafic d autres services 35

36 VPN Virtual Private Network Regional office Regional office Regional office Regional office Regional office Regional office Internet Roaming users Head office 36

37 MPLS-VPN Regional office Regional office Regional office Regional office Regional office Regional office Backbone MPLS Roaming users Head office 37

38 L2/L3 VPN Permet de transporter n importe quel trafic L2/L3 sur un réseau MPLS Routeur PE (Provider Edge) Réseau du fournisseur de service Routeur PE (Provider Edge) LSP -> Émulation d un lien physique ATM Frame Relay PPP Ethernet HDLC Plusieurs encapsulations possibles

39 VPN Virtual Private Network Site 1 Site 2 Site 3 CE CE CE PE PE Backbone MPLS P P P PE PE CE CE Site 4 Site 5 P (Provider) routeur = Label Switching Router (LSR) Achemine du trafic MPLS dans le domaine MPLS PE (Provider Edge) routeur = Edge Router (LSR) Insère (push) et supprime (pop) des labels MPLS CE (Customer Edge) routeur Connecte les clients du fournisseur au réseau MPLS 39

40 MPLS VPN FIB de PE1 Réseau Next hop Label PE2 P1 20 PE3 P1 30 PE4 P1 40 P1 * POP P2 P1 22 P3 P1 23 PE1 P1 P3 PE2 PE3 P2 PE4 Tous les routeurs (PE et P) exécutent un protocole IGP et un protocole de distribution de label Forwarding MPLS est utilisé dans le coeur du réseau 40

41 Tables de routage spécifiques au PE Site 1 CE1 PE1 Backbone MPLS Site 2 CE2 P1 P2 Table de routage spécifique au client VPN Table de routage globale (OSPF, BGP) Client 1 RIB VRF Client 2 RIB VRF 41

42 VRF Virtual Routing and Forwarding Diviser un routeur physique en plusieurs routeurs virtuels Site 1 Gi1/1 VRF VRF Site 2 Gi1/2 Mémoire (où les FIB et RIB sont stockées) est divisée entre les VRF Interfaces du routeur sont rattachées aux VRF Chaque VRF contient une RIB et une FIB Pas de virtualisation de l interface d administration 42

43 VRF Virtual Routing and Forwarding Site 1 CE1 PE1 Backbone MPLS Site 2 CE2 Le PE installe les routes du backbone MPLS (IGP) dans sa table de routage globale Le PE installe les routes VPN dans les tables de routage VRF Les clients VPN peuvent utiliser des adresses IP overlapping P1 P2 43

44 MP-BGP Update Multi-Protocol BGP 8 octets 4 octets 8 octets 3 octets 1: Route Distinguisher IPv4 Route Target Label VPNv4 Le préfixe du client VPN (ex : ) est convertie en une adresses VPNv4 en suffixant l adresse IPv4 au RD Permet d avoir une adresse unique dans le réseau MPLS Le Route Distinguisher (RD) est configuré dans le le VRF du PE RD n est pas un attribut BGP, juste un champ du VRF 44

45 MP-BGP Update Multi-Protocol BGP 8 octets 4 octets 8 octets 3 octets 1: :2 Route Distinguisher IPv4 Route Target Label VPNv4 Le route-target (RT) identifie le VRF pour le préfixe VPNv4 reçu Attribut étendu du community de 8 octets Chaque VRF est configuré avec un ensemble de RT au PE RT identifie les routes VPN associées aux VRFs Les RT attachés aux routes VPN sont annoncés aux autres PE 45

46 MP-BGP Update Multi-Protocol BGP 8 octets 4 octets 8 octets 3 octets 1: :2 50 Route Distinguisher IPv4 Route Target Label VPNv4 Le PE alloue un label pour le préfixe VPNv4 (pas un attribut) Le PE fait correspondre l attribut NEXT-HOP à son adresse lo Les adresses de PE utilisées comme BGP NEXT-HOP doivent être uniques au sein du backbone IGP 46

47 Plan contrôle MPLS VPN Site /24 1 CE /24 NEXT-HOP: CE1 PE1 2 3 Backbone MPLS PE2 1. PE1 reçoit une annonce IPv4 de CE1 (ebgp, OSPF, RIP, IS-IS, EIGRP ) 2. PE1 traduit le préfixe en adresse VPNv4 et construit un message MP-iBGP Update Associe les valeurs RT (ex : RT: 1:2) par configuration VRF Change l attribut BGP NEXT-HOP pour son interface lo Alloue un label (ex : 100) et l installe dans sa FIB / LFIB 3. PE1 envoie le message MP-iBGP Update aux autres PE du réseau P MP-iBGP Update RD : NEXT-HOP: PE1 RT: 1:2, Label: 100 P P CE2 Site 2 47

48 Plan contrôle MPLS VPN Site /24 1 CE /24 NEXT-HOP: CE1 PE1 2 3 P MP-iBGP Update RD : NEXT-HOP: PE1 RT: 1:2, Label: 100 Backbone MPLS PE2 4. PE2 reçoit l annonce de PE1 et vérifie si la RT 1:2 est importable dans une des VRF (configurée avec la commande import RT ). Si c est le cas : PE2 traduit le préfixe VPNv4 en préfixe IPv4 PE2 met à jour l entrée associée à /24 de la FIB de la VRF correspondante avec le label PE2 annonce le préfixe IPv4 à CE2 (ebgp, OSPF, RIP, IS-IS, EIGRP ) P P CE2 Site /24 4 NEXT-HOP: PE2 5 48

49 Plan données MPLS VPN Site 1 CE1 FIB Globale de PE1 Réseau Next hop PE2 P1, Lab: 50 FIB Globale de PE2 Réseau Next hop PE1 P3, Lab: 25 CE2 Site /24 PE1 Backbone MPLS PE2 P1 P2 P3 FIB VRF de PE2 Réseau Next hop /24 P3, Lab: 100 Table d acheminement globale Stocke les routes NEXT-HOP associées avec des labels apprises via IGP Labels appris via LDP Table d acheminement VRF Stocke les routes VPN associées avec des labels apprises via BGP Labels appris via MP-BGP 49

50 Plan données MPLS VPN Site 1 CE1 CE2 Site /24 PE1 paquet IP PE paquet IP P1 P paquet MPLS P2 PE2 met deux labels MPLS pour chaque paquet adressé à la destination VPN Le label extérieur est appris via LDP (via une route IGP) Le label intérieur est appris via MP-BGP (adresse VPN) PE1 récupère le paquet IP (depuis le paquet MPLS) et l achemine vers CE1 50

51 VPLS Virtual Private LAN service

52 VPLS Virtual Private LAN service Architecture pour Ethernet Multipoint Services (EMS) au dessus de MPLS. Le réseau VPLS émule un bridge L2 IEEE Ethernet (switch virtuel). Topologies de type full mesh ou Hub-Spoke CE1 MPLS WAN CE2 Site 1 PE1 PE2 Site 2 Site 3 PE3 CE3 52

53 Composants de VPLS Liens (PE-PE) Les routeurs PE utilisent les Virtual Forwarding Instance (VFI) pour établir un full mesh de Labeled Switched Path (LSP) de connexions virtuelles (VC) émulées entre les routeurs PE en portmode ou VLAN ID Plan contrôle VPLS Full mesh de sessions LDP targeted pour négocier les correspondances entre les connexions virtuelles et les labels Auto-apprentissage des adresses MAC avec les VFI Plan données VPLS Un ensemble connecté de Virtual Forwarding Instance (VFI) forme une instance VPLS identifiée par un VPN ID 53

54 VPLS Virtual Private LAN service CE Échange de labels VC via des sessions LDP-Targeted Full Mesh PE PE CE VFI VFI VFI Tunnel LSP Tunnel LSP MPLS WAN Tunnel LSP VFI VFI VFI 54

55 MPLS-TE Traffic Engineering

56 Traffic Engineering Congestion due aux changements de trafic Actualités (élections), trading en ligne, coupe du monde Meilleure utilisation de la bande passante disponible Éviter de router le trafic sur les chemins les plus courts Dimensionner le réseau TE améliore la disponibilité agrégée du réseau Éviter les routeurs ou liens en panne Fast ReRoute de manière transparente 56

57 Le problème avec le chemin le plus court FIB de A Routeur Next hop Coût B B 10 C C 10 D C 20 E B 20 E B 20 F B 30 G B 30 A Fibre (156Mbps) 80Mbps C B DSL (45Mbps) 35Mbps drop! D E F G IP utilise un routage de coût minimum basé sur la destination, de fait, les chemins alternatifs sont sous-utilisés Le routeur A envoie du trafic vers F (40 Mbps) et G (40 Mbps) Grosse perte de paquets sur le lien B E Changer le chemin pour A C D E n aide pas 57

58 Avec MPLS-TE FIB de A Routeur Next hop Coût B B 10 B F C C 10 D C 20 E B 20 E B 20 F Tunnel 0 30 G Tunnel 1 30 A Fibre (156Mbps) 40Mbps C 40Mbps DSL (45Mbps) D E G Le routeur A voit tous les liens et leur caractéristiques (ex : bande passante reservable) Le routeur A calcule les chemins différents du plus court chemin et crée deux tunnels 58

59 A MPLS-TE Composants B F TE-LSP E G C D Link Information Distribution (ISIS-TE, OSPF-TE) Caractéristiques des liens (Interfaces, bande passante reservable ) données via les inondations de Link State Advertisments Les routeurs construisent un Topology Database Path calculation (CSPF) Path setup / LSP Signaling (RSVP-TE) Acheminement du trafic dans les tunnels 59

60 Trouver le chemin le plus court vers G avec 8Mbps A MPLS-TE Path calculation B 10 3 E G C 10 D Les routeurs TE peuvent exécuter du routage à contraintes Les contraintes et la topologie servent au calcul des chemins L algorithme Shortest-path-first ignore les liens ne satisfaisant pas les contraintes (ex : en bande passante) Les tunnels peuvent être signalés une fois un chemin trouvé 4 F 60

61 MPLS-TE Path setup A B TE-LSP F LFIB de C Label in Label out, iface RESV, L: 16 C PATH 17 16, 0 D Les tunnels sont signalés avec les extensions TE de RSVP Des soft states sont maintenus : Avec des messages PATH envoyés périodiquement dans le sens descendant Avec des messages RESV envoyés périodiquement dans le sens montant LFIB construite en utilisant les labels RSVP alloués par les messages RESV envoyés dans le sens montant E G 61

62 MPLS-TE Fast ReRoute (FRR) A B E F C Tunnel primaire : Tunnel backup : D A B E F B D F (préprovisionné) Recovery / Failover : ~50 ms (variable) Protection de chemin, lien, noeud Route automatiquement autour des noeuds/lien en panne G 62

63 MPLS-TE 1-Hop tunnel (FRR) Tunnel Backup Backbone du fournisseur de service Site A Site B Tunnel primaire 1-hop Besoin : Protéger des chemins et minimiser les pertes de paquets Solution : déployer MPLS-TE FastReRoute pour un temps de failover < 50ms avec des tunnels 1-hop + backup 63

64 MPLS-TE Gestion de la congestion MPLS-TE : Tunnel pour soulager les points de congestion Backbone du fournisseur de service Plus courts liens en congestion Besoin : gérer la congestion aux points éparpillés dans le réseau Solution : déployer MPLS-TE sur les points de congestion Internet 64

65 Conclusion MPLS plus performant que IP Lookup plus rapide (exact match vs LPM) Table d acheminement plus petites (label de 20 bits vs 32) Tunnels MPLS VPN, VPLS utilisent l encapsulation Traffic Engineering TE améliore la disponibilité agrégée du réseau Challenges Complexité du protocole et de la configuration Difficile de collecter des données de mesure 65