La capa de medios

1
La capa de Medios
Ángel Gómez
STBSVNM
ATM - IP MPLS
IMS SoftSwitch Plano Control
Plano Transporte
Plano Acceso
STB
TV
PC
IP Phone
ATA
SDH – G.709
ACCESO MÓVIL ACCESO FIJO
Martin Cooper

Índice
La Capa de Medios (Media Layer)
Redes Legacy (ATM e IP/ATM)
Redes IP de Siguiente Generación
Introducción a MPLS y VPLS
Redes Privadas Virtuales (VPN)
Ejemplos

3
Introducción
• La capa de medios (media layer) es el núcleo
común de encaminamiento de información en
las redes de Siguiente Generación (NGN).
• Está especializada en tratar paquetes
eficientemente a través de una asignación
dinámica de las capacidades de la red de
transporte de alta capacidad subyacente
(SDH, WDM, etc.) e incluye además
elementos para convertir otros formatos de
comunicación (circuitos) en formato de
paquete.
• La capa de medios necesita también una
capa de control que se encargue de
diferenciar tráficos de diferente naturaleza,
adaptar velocidades y mantener la calidad de
servicio
•La capa de medios es imprescindible para soportar las redes NGN, y su
despliegue es un equilibrio entre la demanda y las limitaciones en inversión de las
operadoras, que se encuentran con la necesidad de ofrecer nuevos y mejores
servicios y migrar las redes tradicionales basadas en conmutación de circuitos que
representan hoy más de mil millones de líneas.

5
¿Todavía ATM?
• Hasta hace poco tiempo, ATM se consideraba la tecnología más
adecuada para integrar todo tipo de servicios, especialmente para el
transporte de señales de gran ancho de banda en tiempo real.
• La mayor complejidad de gestión de las redes ATM, su menor
eficiencia, especialmente para el transporte de tráfico IP, así como
su escasa escalabilidad, hacen que ATM esté siendo desplazada
por redes IP avanzadas.
• No obstante, las importantes inversiones realizadas en esta
tecnología, en muchos casos por amortizar, han impedido su
desaparición.
 En una primera fase. ATM se desplegó
para “ahorrar E1” en redes de
conmutación de circuitos y servicios para
empresas.
 Más adelante se desplegó ATM
fundamentalmente para el núcleo de la
Red 3G y servicios ADSL.

6
Aplicaciones de ATM hoy
• Intercambio de información en tiempo real, dentro del
ámbito empresarial.
• Interconexión de Redes de Área Local (LAN)
• Interconexión de PABX.
• Acceso a Internet de alta velocidad.
• Videoconferencia de calidad.
• Voz en entorno corporativo.
• Interconexión DSLAM (ADSL).
• Core de redes de operadoras
• Distribución de Audio/Vídeo.
– Los codecs HD ya no disponen de este interfaz como estándar.

7
ATM vs xPLS
• Las soluciones ATM para el transporte de paquetes IP no son
óptimas
– ATM se utiliza para “emular” circuitos (“pseudowires”).
– La gestión es más compleja. Tenemos que gestionar dos redes (routers
IP y switches ATM).
– La eficiencia de ATM es baja, aproximadamente un 15% del tráfico es
información de gestión. En cambio, en redes IP con POS (Packet over
SDH) el consumo es el 3%
– MPLS proporciona mayores capacidades de conmutación.
• La industria no apuesta por ATM. Ha quedado limitada a
velocidades STM-4 y ya no hay nuevos desarrollos.
• MPLS ha desplazado a ATM en las nuevas redes IP
• También en el acceso ADSL, ATM empieza a ser sustituido por IP
(DSLAM ATM  DSLAM IP).
• Las redes GPON se han decantado por GEM (GPON Encapsulation
Method),definido por la G.984 desplazando a ATM como
mecanismo de transporte.

8
ATM vs Redes E-Man
• Las redes E-Man adolecen de los mismos problemas que las redes
IP, falta de control eficaz de la calidad de servicio extremo a
extremo, mayor complejidad en la conmutación, necesidad de
ingeniería de tráfico, etc.
• Pero las redes E-Man tienen costes de equipamiento y de operación
muy inferiores a las redes ATM ya que aprovechan toda la
tecnología ethernet y la economía de escala.
• Las redes E-Man manejan directamente tráfico ethernet y no
requieren una conversión compleja de protocolos y velocidades,
como ocurre en ATM.
• Las redes E-Man son fácilmente escalables mientras que, como se
comentó anteriormente, ATM no ha evolucionado.
• E-MAN + xPLS configuran la solución preferida para el transporte
IP.

Red ATM Móvil: Transporte ATM
Nodos PSAX
9
Función: Agregación tráfico UMTS (nE1s en E3/STM-1). Ahorra BW por
multiplexación Estadística.
Función: Transporte de E1s e2e entre MSCs
Supresión de canales libres (ahorro de BW).
Compresión (No activada)
Passport-3STM-1 Red ATM
H-PNNI
PSAX-4500
Passport-1
E3
PNNI
Passport-2 E3
PNNI
nxE1 ATM
nxE1 ATM
PSAX-4500
PassPort
PassPort
PassPort
NodoB-1
NodoB-X
RNC
Red ATM
H-PNNI
E1 lines
PSAX-4500
Passport-1STM-1
PNNI
Passport-2
STM-1
PNNI
SDH ADM
Equipment
STM-1c CES
APS
E1 lines
PSAX-4500
Passport-1 STM-1
PNNI
Passport-2
STM-1
PNNI
SDH ADM
Equipment
STM-1c CES
APS
PSAX-4500PSAX-4500
MSC-1
MSC-2
PassPort
PassPort PassPort
PassPort

Red ATM Móvil: Transporte Ethernet IUB
Pseudowires interfaz IUB (Nodo B-RNC)
– El Transporte del tráfico UMTS entre Nodos B y RNC se realiza en la actualidad
a través de una red ATM que permite la concentración de varios Nodos B en un
mismo RNC.
– De cada Nodo B sale uno o varios E1s ATM, que se transportan a través de la
red SDH de Telefónica hasta el nodo ATM más cercano.
– El equipo de Red ATM agrega el tráfico de varios Nodos B y lo entrega en el
RNC correspondiente.
10
Situación actual: Interface IUB-ATM
RED SDH
Red ATM TME
RNC1
RNC2
E1
E1
PVC ATM
principal
E1 E1
n x E1 IMA
STM-1
ATM
n x E1 IMA

Red ATM Móvil: Transporte Ethernet
– La previsión del aumento de la demanda de tráfico UMTS, hace que sea
necesario evolucionar a una arquitectura de red que absorba dicho
crecimiento, sin repercutir en costes de operación, y que vaya en línea con
las premisas de innovación y evolución tecnológica de Telefónica.
– El escenario final será el transporte Ethernet entre Nodo B y RNC.
11
Situación futura: Interface IUB-Ethernet

12
Pseudowires interfaz IUB (Nodo B-RNC) Calidad de Servicio.
ATM Cos DiffServ 802.1p
CBR EF 5
VBR-rt AF41 3
VBR-nrt AF31,32,33 3
VBR+ AF21,23 3
UBR BE 1
MAN
Nodo B
RNC
ATM CoS DiffServ 802.1p
Configurable Configurable

13
Pseudowires interfaz IUB (Nodo B-RNC) Retardo (Jitter).
<12 mseg< 10 msegJitter
<10 mseg<100 mseg< 5 mseg.< 30 mseg.Retardo
DATOS
Recomendación
DATOS
Límite
VOZ
Recomendación
VOZ
Límite
— El intercalado de equipamiento extra provocará retardos y
desviaciones por conmutación, encolado, serialización y propagación.

14
Distribución de sincronismo (IEEE 1588)

Red de ATM de Empresas
Descripción de la red
Red TxRed Tx
Backbone
Servicios X25
Servicios FR Servicios ATM
Red Tx
Rumba IP
TIC-Data centers
TIWS y Latam
DPN-100
Passport 7K
Passport 15K
•Red única totalmente escalable
•Equipos con tres tipos de routing
•No es conmutación
Servicios ADSL
Gigadsl
•254 Puntos de presencia
•992 Nodos de red + 561 en usuario
(BBVA, La Caixa, Repsol, El Corte Inglés, grupo
Recoletos, grupo Zeta, Heineken, Allianz, Zurich,
La Caixa, Renault, Daimlerchrysler Minist: AEAT,
DGT, MEH…)
Composición de
enlaces
<155M:685
155M: 169
622M:28
2.5G: 4

16
Los motores del cambio - Redes IP
• Crecimiento importante del tráfico IP en usuarios y empresas
– Mucho más flexible y económico que la informática departamental
Host.
– Nuevas aplicaciones corporativas sobre IP como el correo
electrónico.
– Continuo aumento de la penetración del IP en hogares, comercios
y empresas.
– Paquetes software sobre tecnología Web y procedimientos IP
• Las aplicaciones sobre IP son el método preferido para la
relación de la Empresa con sus usuarios y Proveedores
• Navegador WEB
– Interfaz común de aplicaciones.
– Es GRATIS
WEB + IP SOLUCION DOMINANTE

17
Ventajas competitivas de las Redes IP
• Modelo de Red adecuado a la naturaleza de la información actual
y futura.
• Red abierta. Facilitar la implantación de nuevas aplicaciones y el
mantenimiento ágil de la información.
• Red Flexible. Facilitar el acceso corporativo y externo a los
sistemas de información.
• Posibilidad de delegar servicios. Unificar los procedimientos
operativos de la red, utilizando la plataforma más adecuada.
• Ahorro de costes. Mantener para las empresas el equipamiento
actual en el Centro de Cálculo y en sus oficinas.
Solución Global Intranet
Transporte Red IP

18
Características de las Redes IP
• Red de Servicios.
– Permite optimizar los recursos, situándolos en la ubicación más
conveniente para el usuario.
– Para las empresas, ahorro de costes al compartir recursos.
Control y operación desde el núcleo corporativo.
– Externalización.
– Ahorro en costes de equipos, de red y gestión.
– Mejora de calidad.
• Obsolescencia
• Flexibilidad
• Pago por “uso del servicio”
Red Privada Virtual
Transporte + Servidores + Servicios
Servicios
Servidores
Transporte

19
Servicios en Redes IP
SERVICIOS DE RED
Red IP
SERVICIOS DE USUARIO
•Modelo colaborativo donde los servicios de usuario pueden construirse
utilizando bloques funcionales existentes en la red y proporcionados por el
operador o proveedor del servicio (ISP).
SERVICIOS DE USUARIO

20
Servicios de Red
• La eficacia de los servicios de un usuario hacia sus usuarios finales
depende del punto, desde donde se presten.
• Cuanto más cerca estén del usuario final se evitan tránsitos de la
información por la red, obteniendo así mejores tiempos de
respuesta, seguridad, calidad y precio.
• Esta razón lleva a desplazar parte de las aplicaciones residentes en
servidores del usuario a los servidores de red.
• Las Redes IP disponen de un conjunto de servicios que se han
agrupado en:
– Servicios de Inteligencia de Red.
– Servicios Básicos.
– Servicios de Valor Añadido.
– Servicios de Contexto.
• Estos servicios se prestan desde servidores distribuidos en los
Nodos de Acceso, o centralizados en los nodos de la malla Central
Red IP, según sea más conveniente de acuerdo al tipo de servicio.

21
Arquitectura la Red IP/ATM
ATM
R
R
P.P.P.
R ATM
MC ADSL
CATVMC
F.R.
RTB
RDSI
GSM
M
M
T
Nodo IP
Punto de Servicio
P.P.P.
ATM IP
Nodo IP Acceso
Nodo IP
Back-bone
R
SERVIDORES
DE usuario
T.G.
InterNet
Pasarelas
a otras Redes
Red IP
SERVIDORES
DE RED
No es una red “IP pura”.
Red de servicios integrados en la propia
red.

22
Arquitectura IP sobre ATM
• IP/ATM consiste en tener una nube central ATM rodeada de routers
en la periferia
• Se forman PVCs entre los routers de la periferia
• Los routers desconocen la topología real de la infraestructura ATM
• Los routers ven los PVCs como enlaces Pto. a Pto.

25
La Siguiente Generación de redes IP
• Las redes IP clásicas soportadas sobre ATM tienen
importantes limitaciones a la hora de satisfacer el
crecimiento explosivo de tráfico y soportar nuevos
servicios multimedia.
– Aumento del número de usuarios
– Acceso a mayores velocidades (xDSL, fibra, cable,...).
– Los nuevos servicios y aplicaciones requieren mayor ancho de
banda.
– Calidad de Servicio
– Soporte de NGN.
• El modelo de negocio también ha cambiado:
– Proveedores de Infraestructura  Proveedores de Servicios.
– Proveedores de Contenidos y Operadores “Over the Top”
http://mrtg.espanix.net/total-espanix/total-espanix-total

Requerimientos de las redes IP avanzadas
Fast
Convergence
High
Availability
Redundancy
Resilience
and Scale
Next Generation Services Networks Require
a Transport that Offers End-to-End:
Report
Measure
Test and
Verify
Provision
OAM
Point to
Point
Point to
Multipoint
Service
Flexibility
Mutipoint to
Multipoint
Traffic Classes
BW Guarantees
SLA
Guarantees
Traffic Priority

27
Atributos de Redes IP avanzadas
• Uso de MPLS (QoS, RPVs,..) y soporte Multicast.
• Red IP “pura”.
• Alta disponibilidad:
– Diseño robusto, fiable y escalable
– Duplicar en todo lo posible los elementos críticos.
– Dotar a los usuarios siempre de dos caminos alternativos a lo
largo de la red.
• Estructurada en dos niveles:
– Nivel de Acceso.
– Nivel de Tránsito (MPLS).
• Gestión de la red centralizada
– Tareas de operación, mantenimiento y administración de la red.

28
Arquitectura de alto nivel
• NIVEL DE ACCESO:
– Constituido por los Centros de Acceso (CAs) de usuarios. Termina y agrega
los accesos xDSL / FTTH
– Albega servidores para servicios básicos de Red y para Caché
• NIVEL DE TRÁNSITO:
– Constituido por los Routers de Tránsito (RT): GSR (Giga Switch Routers) de
alta capacidad, con conexiones POS 622 Mbit/s, 2,5 y 10 Gbit/s para conexión
de RTs.
– Alta disponibilidad: redundancias de equipos/interfaces y raparto de carga.
• NIVEL DE INTERCONEXIÓN:
– Constituido por los Routers de Conexión (RCs). Intefaces STM-4/16 POS con
RTs, y Gigabit Ethernet
– Soporte de mecanismos de tratamiento de clases diferenciadas en calidad
• RED DE GESTIÓN:
– Conectividad entre el Centro de Gestión de IP y los elementos de la red para
funciones de gestión.
– Implementada como una RPV (Red Privada Virtual) con MPLS.

29
Centro de Acceso de una red IP –ilustrativo-
Red de
consolas
Red de
GESTIÓN
Servidores red (RADIUS,
LDAP, DNS ,...) + CACHE
RTB/
RDSI
Accesos
permanentes
RED DE
TRÁNSITO
Centro
de Acceso
• nxSTM-m
• GbEth
STM-1 (MPLS/PPP/STM-1)
Conmutador Eth.Router
Routers de
Acceso (RA)BRAS
RAS
G.E./F.E.
POS
F.E.
F.E.
F.E.
F.E.
F.E.
STM-n
Gbit Eth
F.E.
PRI
Conmutadores
de nivel 4
F.E.
G.E./F.E.
F.E. = Fast Ethernet.
Gibabit EthernetG.E. =
POS = IP sobre SDH

30
Nivel de Acceso
• Los Centros de Acceso (CA) constituyen el primer nivel de la red IP.
Realizan la función de concentradores del tráfico de los usuarios.
• Diseño y configuración de ALTA DISPONIBILIDAD (no hay puntos
únicos de fallo):
– Conmutadores de nivel 4, routers de acceso, servidores, Caches
duplicados e interconectados en reparto de carga.
– Routers de acceso duplicados y conectados a red de tránsito (RT) en
reparto de carga.
• Los CA disponen de servidores para:
– Servicios Básicos de red (RADIUS, LDAP, DNS)
– Caché transparente (más rapidez en navegación, ahorro BW, ..).
– En estos Centros se soportan los servicios que requieren contenidos
locales.
• Algunos CA ubican Routers de Conexión (RC) (Gigaswitch Routers)
para conexión a Internet (nacional e internacional).

31
Nivel de Acceso
• Conexión usuarios-Red
– Posibilidad de que se conecten usuarios por medio de líneas dedicadas
E1, E3, STM-n y velocidades Ethernet (directamente al Router de
Acceso).
• Duplicidad de recursos críticos y la diversidad en caminos.
• Granja de servidores de caché en modo transparente:
– El SWITCH L4 intercepta todo tráfico de usuario enviando el tráfico
HTTP a los servidores de caché.
– El servidor de caché, busca el recurso y, si no la encuentra, conecta
con el servidor original para conseguirlo y enviárselo al usuario
• El SWITCH L4 hace balanceo de carga: optimiza tiempo de
respuesta.
• Gateway NAT: posibilita que los usuarios usen direcciones privadas
dentro de sus redes.
• Servidores RADIUS y DNS

32
Red de Tránsito MPLS
ESPANIX
Punto neutro
INTERNACIONAL
Router de
acceso
Router de
tránsito
Router de Conexión
con otras redes
CENTRO DE
ACCESO
CENTRO DE
ACCESO
CENTRO DE
ACCESO

33
Red de tránsito MPLS
• La red de tránsito se dedica a la conmutación de etiquetas MPLS.
• El núcleo de tránsito de la red está constituido por Centros de Tránsito
(CTs) conectados por enlaces POS STM-4/STM-16/STM-64 y 10G
• CTs: constituidos por GigaRouters (capacidad de conmutación >Gb/s).
• Elevada calidad, disponibilidad y escalabilidad.
– Protección a nivel de routing.
– Dimensionado con rutas redundantes.
• Cada centro está unido a otros dos distintos por un doble enlace.
• Soporte de calidad de servicio.
– Mecanismos de gestión de colas.
– Soporte de ingeniería de tráfico.
• Soporte de elevado número de usuarios con diferentes demandas de
servicio:
– Acceso a Internet.
– Redes privadas virtuales.
– Servicios multimedia.

34
Seguridad de la infraestructura
• Modelo de barreras jerárquicas de filtrado cada una con mayor nivel
de protección.
• Puntos de entrada:
– Centros de acceso
– Redes externas
• Recursos a proteger:
– Elementos de red y comunicaciones
– Servidores
– Servidores de Aplicaciones
– Redes Privadas Virtuales
– Centro de gestión de red

•TRÁFICO
LIMPIO
CORREO
•NAVEGACIÓN
•INTERNET
•PRESENCIA
•Antiphising
•Acceso Remoto y
seguro
•SEGURIDAD
IP
•Anti-DDoS
•La red como elemento
activo de Protección
Ejemplos Gestión de la Seguridad

•Centro de
Operaciones de
Seguridad
Monitorización y Correlación
de Eventos/Alertas
de Seguridad
•Administración
•de dispositivos
•de Seguridad
•Auditoría
•Técnica de
•Seguridad
•Alerta y Gestión
•de Amenazas/
• Vulnerabilidades
•Gestión
•de logs
Infraestructuras. Gestión de la Seguridad

Características más importantes de MPLS
• MPLS nació para acelerar el flujo de paquetes IP en redes ATM,
simplificando su diseño, gestión y funcionamiento.
• MPLS es una tecnología que encapsula tráfico de cualquier
protocolo de capa 3 utilizando una técnica de conmutación de
etiquetas a través de caminos virtuales establecidos en la red (LSP)
• MPLS persigue combinar la velocidad y el funcionamiento de capa
2 con la escalabilidad e inteligencia IP de la capa 3.
• MPLS se ha impuesto como la solución más adecuada para el
transporte de datos en modo paquete.
– Incorpora gran parte de las ventajas de las redes orientadas a conexión
– Infraestructura sencilla, un solo plano de control.
– Flexible y segura para incorporar nuevos servicios. Los routers del
borde de la nube MPLS pueden realizar funciones de seguridad,
gestión de tráfico, servicios de valor añadido, etc.
38

39
Características más importantes de MPLS
VPLS
Traffic
Engineer
Unicast
&multicast
L3 VPNs
MPLS
Infraestructura de transporte (SDH, OTN, ATM, FR…)
IP+Optical
GMPLS
Any
Transport
Over MPLS
• MPLS permite funcionalidades avanzadas
– Ingeniería de Tráfico  controlar dónde y cómo se encamina el
tráfico para priorizar servicios y evitar congestiones.
– Redes Privadas Virtuales  separación de servicios, recursos y
usuarios
– Calidad de Servicio  mecanismos de gestión de recursos y
priorización de tráfico.
– Resilencia (fast reroute)
– Implementar redes multiservicio, transportar cualquier servicio por la
misma infraestructura de red (soporte de NGN).

40
Componentes MPLS
• Dispositivos en la Red
– P (Provider) routers = label switching routers = core routers
– PE (Provider Edge) routers = edge LSR = provider edge device
• Protocolos
– IGP: core routing protocol, OSPF, EIGRP, IS-IS
– Label Distribution Protocol (LDP)
– Multiprotocol e/iBGP
– Resource reservation protocol (RSVP)
• Planos MPLS
– Plano de Control
– Plano de Forwarding
• Etiquestas MPLS
– Forwarding Equivalence Class (FEC)
– MPLS label
– MPLS label encapsulation

Dispositivos de Red MPLS
• P (Provider) routers = label switching routers = core routers
– Conmuta paquetes entre PE’s de entrada y salida
• PE (Provider Edge) routers = edge LSR = provider edge device
– Añaden/extraen las etiquetas MPLS de los paquetes IP. Proporcionan además
diferentes tipos de servicios e interconectan a los usuarios.
PE
P
P
P
P
PE
PE
PE
PE
PE

P
P
PE
PE
PE
PE
P
P
PE
PE
IGPRSVP
LDP
Protocolos utilizados en MPLS
 IGP: OSPF, EIGRP, IS-IS dentro de la “nube” MPLS  alcanzar el PE destino
 RSVP and/or LDP dentro de la “nube” MPLS  distribución de etiquetas, calidad
de servicio.
 MP-e/iBGP en los PE

44
Planos de Control y Fordwarding en MPLS
• MPLS basa su funcionamiento en dos premisas:
– La separación entre las funciones de control (routing) y de envío
(forwarding)
– El paradigma de intercambio de etiquetas para el envío de datos
El Plano de CONTROL:
Trata la forma de establecer los
caminos (LSP).
Se adapta a la topología y cambios en
la red.
Suelen funcionar sobre procesadores
de propósito general, fácilmente
reprogramables.
El Plano de FORWARDING:
Trata la forma de enviar las tramas
MPLS desde un puerto a otro del
router/switch.
Típicamente implementado en
hardware (ASICs o Network
Processors).

45

46
Funciones del Edge (Borde) y Core (Núcleo)
• En MPLS, además de los planos de control y fordwarding existen
dos grupos de funciones claramente diferenciadas.
– En el núcleo (MPLS  MPLS)
– Entre el borde/frontera (IP  MPLS)
• En el núcleo, lo único importante es que los routers conmuten las
tramas MPLS lo más rápida y eficientemente posible.
• En la frontera, la información IP todavía es visible, lo mismo que la
información del usuario y de la aplicación, en este lugar es donde
tienen lugar las acciones más importantes:
– Marcado de la prioridad de la trama
– Ajuste del flujo de las tramas de entrada a la nube MPLS
– Posible traducción de direcciones (NAT/PAT)
– Filtrado por una amplia variedad de criterios IP/TCP/UDP, etc.
– Autentificación, Firewall, Redirecciones a Cachés, etc.

47
• MPLS se sitúa en el nivel 2½ en el Modelo OSI, justo entre los niveles de
Red y Enlace.
• El camino entre los LSR se denomina LSP (Label Switched Path)

Funcionamiento básico de MPLS
1a. Construcción de las tablas de encaminamiento
Mediante protocolos internos de routing (e.g. OSPF, IS-IS)
1b. Creación de rutas LSP. LDP establece las
tablas de etiquetas entre nodos adyacentes
2. Edge LSR recibe el paquete, ejecuta
los servicios de valor añadido de capa
3, y “etiqueta” los paquetes 3. LSR conmuta los paquete
Utilizando “label Swapping”
4. Edge LSR quita
la etiqueta y
entrega el paquete

Etiquetas MPLS
LabelPPP Header Layer 2/L3 Packet
PPP Header
(Packet over SONET/SDH)
LabelMAC Header Layer 2/L3 PacketLAN MAC Label Header
Encapsulado de la etiqueta MPLS
COS/EXP = Class of Service: 3 Bits; S = Bottom of Stack; TTL = Time to Live
Label = Etiqueta, 20 bits (0-16 reservados)
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
Label # – 20bits EXP S TTL-8bits
Etiqueta MPLS

50
Tipos de LSP
•LSP punto a punto •LSP´s acoplados
• Es posible apilar varias etiquetas, es decir anidar unos LSPs dentro de
otro LSP. El LSR encamina en base a la etiqueta más externa del
paquete/celda. El interior no se altera.
• Esta facilidad tiene varias ventajas.
– Facilitar la agrupación de circuitos LSP → crecimiento de la red.
– Crear Redes Privadas Virtuales (túneles MPLS) → VPLS
– Reenrutamiento instantáneo (Fast Reroute)

51
LSP anidados (Encapsulación MPLS)

52
LSP anidados (Label Stacking)

53
Plano de control. Protocolos distribución
de etiquetas
• Su misión es asignar etiquetas MPLS a los diversos LSR de la nube
MPLS en base a las direcciones de red IP y distribuir estas
asociaciones de <etiquetas|subnet IP>.
• Para la simple distribución de etiquetas de manera automática:
– LDP (Label Distribution Protocol/RFC3036): nuevo protocolo
– BGP-4 con extensiones (RFC3107): protocolo existente enriquecido
• Para la distribución de etiquetas realizando Ingeniería de Tráfico, es
necesario un protocolo que sepa indicar las características de QoS
deseadas:
– CR-LDP: nuevo protocolo, extensión de LDP
– RSVP-TE: existente en IntServ con extensiones para trabajar en
entornos MPLS.

54
LDP
• LDP funciona sobre TCP (port 646) y utiliza las tablas de routing IP
existentes para la distribución de las etiquetas MPLS entre todos los
LSR.
• Antes de que la sesión TCP se establezca, los LSR descubren a
sus “vecinos”, mediante paquetes de “hello” (UDP port 646) de una
manera automática.
• Se crean entonces LSPs, que siguen el camino creado por el IGP,
la misma ruta que siguen los paquetes IP sin encapsular en MPLS.
• Posibilidad de extensión (CR-LDP)
• No sirve para imponer caminos al tráfico (no sirve para realizar
ingeniería de tráfico)

55
Ejemplo: Creación LSP con LDP

56

57

58

59

60

61

62

63

64

65
Ingeniería de Tráfico: CR-LDP y RSVP-TE
• La ingeniería de tráfico permite forzar caminos dentro de la red de
manera arbitraria o añadir condiciones de contorno, como el camino
más corto con un ancho de banda disponible específico, o escoger
un camino con mayor coste pero sin congestión. También pueden
escogerse caminos con mayor o menor prioridad sobre otros.
• Para poder imponer condiciones al camino que queremos que un
flujo de tráfico siga, debemos dotar a la red MPLS de nuevos
mecanismos que nos lo permitan.
• Es necesario introducir modificaciones sobre el protocolo LDP
• Utilizando CR-LDP y/o RSVP-S se consigue:
– Establecer LSP punto-a-punto entre LERs según un camino deseado
– Establecer unas garantías de QoS a este LSP (redundancia, BW, delay,
etc.)

66
Explicit Routing
• Con el “Routing Explícito”, imponemos al LSP una serie
de condiciones acerca de los nodos (LSR) por los que
debe o no debe transitar. Señala la ruta del LSP como
una secuencia de direcciones IP de LSR de la red
MPLS.
• Se realiza de 2 maneras:
– Estricta (Strict): si es obligatorio que los LSR estén conectados
de manera directa.
– Holgada (Loose): no es necesario especificar todos los LSR
(LSP se debe construir siempre en base a la tabla de routing IP
existente).
• Esta norma (loose) siempre se impone en el LER y
puede estar formada de varias secuencias de saltos de
ambos tipos.

68
Calidad de Servicio (I)
• Se usa para:
– Minimizar los retardos para el tráfico de voz.
– Priorizar el tráfico de usuarios VIP.
– Permitir que en caso de congestión circule cierto tipo de tráfico.
– Mantener siempre operativo el tráfico de gestión.
• El campo EXP de la cabecera MPLS se dimensionó
desde el principio para el soporte de QoS. ¿MPLS 3 bits
 IP 6 bits?
• Pero para clasificar en MPLS además de esos bits se
tiene la posibilidad de lanzar varios LSP en paralelo y
clasificar en función de éstos, con lo que las
posibilidades de clasificación son ilimitadas.

69
Calidad de Servicio (II)
• Se han definido dos tipos de LSP: E-LSP y L-LSP.
• E-LSP
– Este tipo de LSP usa el campo EXP para indicar distintos tipos
de tráfico.
– La Calidad de Servicio viene dada por el valor del campo EXP.
– La clasificación y el marcado van en función de ese campo.
• L-LSP
– En este caso, el campo EXP se ignora.
– El tratamiento del paquete viene dado únicamente por el valor
de la etiqueta
• Nota: A día de hoy, el sistema método E-LSP está
estandarizado. L-LSP existe en versiones propietarias,
pero aún no es un estándar su forma de procesar este
tipo de LSP.

70
Calidad de servicio (III)
• CAR:
– Gestión del Ancho de Banda
entrante/saliente
– Clasificación de los paquetes IP
(marca)
• CBFWQ:
– Divide el AB disponible entre las
Clases de Servicio
• WRED:
– Descarta paquetes de las interfaces
cercanas a la congestión de forma
aleatoria.
– Favorece a las clases de mayor
prioridad
– No realiza un descarte sistemático.

71
Disponibilidad (fast reroute)

72
Integración de redes multiservicio
• Posibilidad de transportar tráfico ATM&FR sobre LSP MPLS
mediante Ingeniería de Tráfico
• Es decir, encapsular ATM (típicamente) en MPLS.
• Interesante para realizar la migración de backbones ATM a
backbones MPLS.

© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 73
BRKRST-1101
14415_04_2008_c2
CustomerA
Remote Users/
Telecommuters
MPLS
Backbone
VPN B
PE2
VPN B
Local or
Direct
Dial ISP
HQ A
Internet
Provider
Networks
Branch Office
HQ C
HQ B
FR/ATM/
Carrier
Ethernet
VPN C
MPLS Use Case
P1 P2
VPN A
VPN A
VPN C
VPN B
PE3
Mobile
Backhaul
Shared/Managed Services
ERP
Video
Server
Hosted
Content
PE4
PE1
Mobile
Backhaul
P3 P4
VM
VM
VM
VM
Requirements: L2 pt-pt, L2 fully meshed, L3 fully meshed sites through HQ
site, all sites directly access Hosted content and the Internet with SLA
MPLS to
IPsec/PE
PE5

VPLS
• Las redes e-MAN proveen básicamente dos tipos de servicios E-
Line y E-Lan.
• En una misma MAN Las conexiones multipunto a multipunto
(Ethernet LAN) se construyen utilizando identificadores de VLAN,
para la separación lógica del tráfico.
• En una gran red metro el servicio es difícil de gestionar y a veces
imposible debido a la inestabilidad del protocolo Spanning tree,
broadcast, y otros problemas conocidos en grandes redes Ethernet.
Además, estas redes están limitadas en el número de usuarios que
pueden soportar, sólo 4096 VLAN Ids.
• VPLS proporciona mecanismo para extender conexiones
multipunto a multipunto Ethernet LAN entre varias redes metro.
• Para ello se apoya en las facilidades que proporcionan las redes
MPLS.
74
Redes VPLS

75
Virtual Private LAN Service (VPLS).
Virtual Private LAN Service (VPLS).
VPLS proporciona un servicio Ethernet Multipunto a Multipunto que puede abarcar una
o mas áreas metro y que proporciona conectividad entre múltiples sedes como si
estas estuviesen unidas en la misma LAN Ethernet
• Usa para Transporte IP/MPLS en vez de Spanning Treee.
• Usa para diferenciar tráfico, Etiquetas MPLS en vez de VLAN Ids.
Esto a resultado un mejora de la escalabilidad de VPLS como servicio.
 End-to-end architecture that allows MPLS
networks to provide Multipoint Ethernet
services
 It is “Virtual” because multiple instances of
this service share the same physical
infrastructure
 It is “Private” because each instance of the
service is independent and isolated from
one another
 It is “LAN Service” because it emulates
Layer 2 multipoint connectivity between
subscribers

© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 76
¿Porqué un servicio de capa 2?
 Muchos usuarios desean tener un control operativo
total sobre el enrutamiento.
 Privacidad del espacio de direccionamiento que no
tiene que ser compartida con la red del operador.
 El usuario tiene la opción de usar cualquier protocolo
de enrutamiento como no basado en IP (IPX,
AppleTalk)
 Los usuarios pueden utilizar un conmutador Ethernet
en lugar de un router en sus oficinas.
 Una única conexión emulando una red Ethernet LAN
(VPLS).
 Ventajas operativas dependiendo de la topología de
usuario (Sede Central – oficinas y movilidad).

VPLS está definido en el IETF
Application
General
Ops and Mgmt
Routing
Security
IETF
MPLS
Transport
Formerly PPVPN
workgroup
VPWS, VPLS, IPLS
BGP/MPLS VPNs (RFC
4364 was 2547bis)
IP VPNs using Virtual
Routers (RFC 2764)
CE based VPNs using
IPsec
Pseudo Wire Emulation
edge-to-edge
Forms the backbone
transport for VPLS
IAB
ISOC
Internet
L2VPN
L3VPN
PWE3

VPLS Components
N-PE
MPLS
Core
CE router
CE router
CE switch
CE router
CE router
CE switch
CE switch
CE router
Attachment circuits
Port or VLAN mode
Mesh of LSP between N-PEs
N-PE
N-PE
Pseudo Wires within LSP
Virtual Switch Interface (VSI)
terminates PW and provides
Ethernet bridge function
Targeted LDP between PEs to
exchange VC labels for Pseudo
Wires Attachment CE
can be a switch or
router

Virtual Switch Interface
 Flooding / Forwarding
MAC table instances per customer (port/vlan) for each PE
VFI will participate in learning and forwarding process
Associate ports to MAC, flood unknowns to all other ports
 Address Learning / Aging
LDP enhanced with additional MAC List TLV (label withdrawal)
MAC timers refreshed with incoming frames
 Loop Prevention
Create full-mesh of Pseudo Wire VCs (EoMPLS)
Unidirectional LSP carries VCs between pair of N-PE Per
A VPLS use “split horizon” concepts to prevent loops

80
VPLS
• Cada dominio VPLS esta compuesto de un número de PEs, en cada uno
de estos PEs se ejecuta una “instancia VPLS” que participa en este
particular dominio VPLS.
Si asumimos que hay un solo dominio VPLS por cada Empresa, solo
habrá una “instancia VPLS” ejecutándose en cada PE conectado a una
sede perteneciente a la Empresa.
• Una malla LSP debe ser construida entre todas las “instancias VPLS”
en cada una de los PEs de un dominio VPLS particular. LSPs no son
visibles en los otros routers y es ejecutado usando Etiquetas MPLS,
“Arquitectura VPN de RFC 2547”
Una vez la malla LSP esta construida, la “instancia VPLS” en un PE
particular puede recibir tramas Ethernet desde la sede del usuario y,
basándose en las direcciones MAC, conmuta estas tramas al LSP
apropiado. Esto es posible porque VPLS habilita al router PE para
funcionar como ‘un puente que aprende’ con una tabla MAC por
‘instancia VPLS’ en cada PE.
• La ‘instancia VPLS’ en el router PE tiene una tabla MAC que se
rellena mediante el análisis de las tramas, es decir, aprende, las
direcciones MAC como lo hace un switch Ethernet de hoy día.

81
VPLS
• VPLS: VPN de capa 2 multipunto bajo una red IP/MPLS.
• Usa interfaces Ethernet.
• Basado en un mallado total de LSP entre los LSR (PE) participantes de la
VPN, gracias al LDP.
• PW (pseudo-wire): par de LSP unidireccionales en direcciones opuestas,
con identificadores distintos (VC-label).
• Identificador de VPLS.
• Los PE hacen tareas típicas de nivel 2:
– Aprendizaje de direcciones MAC.
– Replicación de paquetes a través de túneles LSP para tráfico broadcast y
multicast.
– Inundación para paquetes unicast con destinatario desconocido.
• Los PE implementan, por tanto, un puente virtual (VB) por cada instancia
VPLS.
• Por cada instancia VPLS se mantiene una FIB (Forwarding Information
Base) donde se almacenan las direcciones MAC aprendidas.
• Los paquetes cuya MAC no se ha aprendido aún se copian y reenvían por
todos los LSP a los PE participantes de la VPN

86
Características básicas de VPLS
• Los estándares VPLS están definidos en:
– draft-ietf-ppvpn-vpls-ldp (VPLS-LDP)
– draft-ietf-ppvpn-vpls-bgp (VPLS-BGP)
• Ambos borradores describen como un servicio Ethernet multipunto
puede ser implementado pero difieren en como los circuitos se
establecen entre las ubicaciones.
• Para soportar VPLS un nodo PE necesita a ser capaz de transmitir
tramas desconocidas, retransmitir tráfico, aprender y recordar un
periodo de tiempo las direcciones MAC.
• En una red grande el número de LSP puede ser muy alto 
ineficiencia.
– H-VPLS (VPLS Jerárquico) resuelve este problema.
• Construido sobre la solución base de VPLS
• Libera a los PE de la necesidad de mantener el mallado total
• Centralización de funciones.
• Reducción de dispositivos a configurar.
• Servicio inter-metro (nivel global).

87
Implementación VPLS DRAFTS
• Autodescubrimiento: El método que se utiliza para que
los múltiples PE que participan en un dominio VPLS se
encuentran el uno al otro.
• Señalización: Que protocolo se utiliza para crear los
túneles y distribuir las etiquetas entre los PEs

88
Implementacion VPLS DRAFTS
draft Kompella draft Lasserre-Vkompella

89
CPEB1VPN B
LAN 1
VPN A
LAN 1
VPN B
LAN 1
CPEB2
CPEA2
CPEA1
VPN A
LAN 1
CPEA3
CPEB3
CPEA4
CPEB4
PE-rs1
PE-rs2
PE-rs3
PE-rs4P1
P2
P3
VPN A
LAN 1
VPN B
LAN 1
VPN A
LAN 1
VPN B
LAN 1
Red IP/MPLS
Ethernet
Ethernet
Ethernet
Ethernet
Ethernet
Etherne
t
Ethernet
Ethernet
Ethernet sobre MPLS
MPLS VPLS (Martini y Lasserre)

90
MPLS VPLS: “Red Equivalente”
CPEB1
VPN B
LAN 1
VPN A
LAN 1
VPN B
LAN 1
CPEB2
CPEA2
CPEA1
VPN A
LAN 1
CPEA3
CPEB3
CPEA4
CPEB4
VPN A
LAN 1
VPN B
LAN 1
VPN A
LAN 1
VPN B
LAN 1
Red IP /MPLS
Ethernet
Ethernet
Ethernet
Ethernet
Ethernet
Ethernet
Ethernet
Ethernet
VPN A
VPN B
Simula un bridge
Ethernet 802.1D

91
Escalabilidad VPLS (HVPLS)
• El grupo de trabajo del VPLS-LDP define como las VPLS
jerárquicas (HVPLS) pueden ser usadas para crear servicios VPLS
escalables
• Con una topología hub and spoke, donde VPLS PEs actuan como
hubs y simples switches sirven de terminación, es posible escalar
los planos de datos y de control, minimizando el número de LSPs
que hay que administrar, el número de conexiones y distribuir la
replicación de paquetes entre los nodos

92
Topologías VPLS
• Posibles topologías entre dos extremos para una VPN
• Fullmesh (malla completa) N*(N-1)
• Hub and spoke 2*(N-1)
• partial-mesh

93
Solución Nortel Networks
Ejemplo de VPN MPLS tradicional
Aumento de la escalabilidad y
simplicidad de las operaciones con
la Solución VPLS de Nortel Netwoks

94
Visión Cisco Systems
Componentes lógicos para una arquitectura de referencia VPLS:
1. VCs de Enlace
2. VCs emulados
3. Túneles emulados
4. Auto descubrimento
5. Auto configuración
6. VSI (Virtual Switches
Intances)
7. Túneles de enlace
8. VCs de extensión

95
Conclusiones
• Redes E-MAN:
– Ofrecen mecanismos más eficientes para transportar datos
Ethernet
– Requieren menos costes para habilitar servicios de datos
• MPLS:
– Permite conectividad segura y escalable entre destinatarios
– Posible solución para proporcionar QoS e Ingeniería de tráfico a
una red global
– Proporciona rendimiento consistente y garantizado para
aplicaciones críticas
• VPLS:
– Combina ventajas de Ethernet y MPLS para proporcionar VPN
multipunto de capa 2
– Requiere menos conexiones virtuales que ATM o FR para
conseguir una red completamente mallada

97
Introducción
• El entorno empresarial ha venido utilizando servicios tradicionales de Red
Privada y Red Privada Virtual (VPN) para la interconexión de sus diferentes
ubicaciones.
• Estos servicios han estado basados en conexiones de líneas punto-a-punto
(circuitos alquilados), circuitos virtuales X25, Frame Relay o servicios ATM,
e IP.
Hoy el reto consiste en
proporcionar un servicio a la
empresa tal que todas sus sedes
parezcan estar conectadas a la
misma LAN Ethernet,
independientemente de su
ubicación geográfica.
Tecnologías como MPLS/VPLS
se configuran como la solución
más adecuada para proporcionar
Servicios de Red Privada Virtual
(VPN) basados en Ethernet.

98
• Proporcionan conectividad sobre una infraestructura pública
compartida, con funcionalidades de red y seguridad equivalentes a las
de una red privada.
– Son servicios “gestionados” donde la empresa contrata accesos, caudales y clases
de servicio.
– El Operador puede ofrecer servicios adicionales como Cloud Privada Virtual p. ej.
• Las RPVs pueden construirse mediante túneles extremo a extremo y
con IPSec, sin necesidad de la intervención de la operadora, pero en
general son menos eficientes desde el punto de vista del rendimiento,
la disponibilidad, el mantenimiento y la seguridad.
• Las RPVs basadas en recursos de Operador, son conexiones a un
nube común (implementada normalmente sobre redes MPLS) y a la
que sólo pueden entrar los miembros por suscripción.
• Se mantiene en todo momento la visibilidad IP o N2 hacia el usuario,
que no sabe nada de las rutas MPLS sino que ve una Internet privada
(intranet) entre los miembros de su RPV.

Clasificacion de VPNs
CPE
Based
Layer 3
MPLS
VPN
Virtual
Router
GREIPSec
Layer 3
P2P VPWSEthernet
FrameRelay
PPP/HDLC
ATM/CellRelay
Ethernet(P2P)
FrameRelay
ATM
Ethernet(P2MP)
Ethernet(MP2MP)
Network
Based
Layer 2
VPLS
IPLS
VPN

100
• Clasificación VPNs según OSI:
• Nivel 3:
– Se implementan sobre el nivel de red.
– Tienen una mayor sobrecarga de información de control:
establecimiento y mantenimiento de los túneles, encaminamiento a
nivel de red...
– Más sencillas de implementar en redes MPLS
– Posibilidad de “acceder” a otros servicios de la red proporcionados por
el operador.
• Nivel 2:
– Utilizan las direcciones MAC para encaminamiento.
– Mayor complejidad para el proveedor.
– 2 tipos:
• Punto a punto: conjunto de líneas alquiladas.
• Multipunto: VPLS.

101

102
VPN de nivel 3RFC2547bis–PseudoWires no MPLS
CEB1
VPN B
LAN 1
VPN A
LAN 1
VPN B
LAN 2
CEB2
CEA2
CEA1
VPN A
LAN 2
CEA3
CEB3
CEA4
CEB4
PE1
PE2
PE3
PE4
VPN A
LAN 3
VPN B
LAN 3
VPN A
LAN 4
VPN B
LAN 4
Red IP10.1/16
10.1/16
10.2/16
10.2/16
10.3/16
10.3/16
10.4/16
10.4/16
Túnel GRE ó IPSec

103
VPN clásica de nivel 3. Desventajas
• DESVENTAJAS TÚNELES IP:
• están basadas en conexiones punto a punto (PVCs o túneles)
• la configuración es manual
• la provisión y gestión son complicadas; una nueva conexión supone alterar
todas las configuraciones
• plantean problemas de crecimiento al añadir nuevos túneles o circuitos
virtuales
• la gestión de QoS es posible en cierta medida, pero no se puede mantener
extremo a extremo a lo largo de la red, ya que no existen mecanismos que
sustenten los parámetros de calidad durante el transporte

104
VPN de nivel 3
ALTERNATIVA: MPLS
Las IP VPNs están basadas en un modelo topológico superpuesto sobre la
topología física existente, a base de túneles extremos a extremo (o circuitos virtuales)
entre cada par de routers de usuario en cada VPN.
En el modelo acoplado MPLS, en lugar de conexiones extremo a extremo entre los
distintos emplazamientos de una VPN, lo que hay son conexiones IP a una "nube
común" en las que solamente pueden entrar los miembros de la misma VPN.

105
VENTAJAS MPLS
• Proporcionan un modelo "acoplado" o "inteligente", ya que la red MPLS
"sabe" de la existencia de VPNs (lo que no ocurre con túneles ni PVCs)
• Evita la complejidad de los túneles y PVCs
• La provisión de servicio es sencilla: una nueva conexión afecta a un solo
router
• Tiene mayores opciones de crecimiento modular
• Permiten mantener garantías QoS extremo a extremo, pudiendo separar
flujos de tráfico por aplicaciones en diferentes clases, gracias al vínculo que
mantienen el campo EXP de las etiquetas MPLS con las clases definidas a
la entrada
• Permite aprovechar las posibilidades de ingeniería de tráfico para las poder
garantizar los parámetros críticos y la respuesta global de la red (ancho
banda, retardo, fluctuación...), lo que es necesario para un servicio
completo VPN
• Separar lo que es el envío de los datos de los procedimientos de
encaminamiento estándar IP, ha llevado a un acercamiento de los niveles 3
y 2, con el consiguiente beneficio en cuanto a rendimiento y flexibilidad de
esta arquitectura.

106
VPN sobre BGP/MPLS
• RFC 2547bis
• Construcción de túneles MPLS, mediante una doble indexación de
etiquetas.
• El primer nivel (inner label) permite identificar un paquete como
perteneciente a una VPN específica
• La segunda etiqueta (outer label) permite que el paquete viaje por la red
del proveedor desde el punto de entrada al de salida.
• BGP se usa en las inner label mientras que en las outer label es
independiente de las VPN, y depende del mecanismo elegido para
señalizar la red troncal del proveedor ( LDP o RSVP)
• El usuario sólo tiene que suministrar al proveedor el/los prefijos de red que
es capaz de alcanzar
• La seguridad se consigue gracias a la separación del tráfico en circuitos
virtuales
• Problemas: necesario confiar en la información de encaminamiento que
proporciona el usuario y no proporciona ningún soporte para IP Multicast

107
• Cada PE tiene tantas tablas de
forwarding como VPNs tenga definidas
y conectadas.
• Esta información se distribuye entre los
PE, sincronizándolas.

108
Beneficios de BGP MPLS VPN
• Conectividad WAN: Son ideales para conectar múltiples sitios dispersos
geográficamente, y puede ser desarrollada como una alternativa o
complemento a los servicios tradicionales como Frame Relay.
• Ubicuidad de BGP MPLS VPNs: toma la ventaja de la ubicuidad de las
redes IP, corriendo bajo múltiples redes de transporte.
• Dinámica y flexible: cambios en la topología de la red interna pueden ser
retransmitidos sobre VPN sin la necesidad de reconfigurar manualmente
nada en la red de servicios del proveedor.
• Compatibilidad: BGP MPLS VPN se puede proporcionar sobre los accesos
de los servicios existentes como Frame Relay, lineas dedicadas y ATM.
• Fácil integración: se puede integrar fácilmente con otros servicios IP como
acceso a Internet, servicios Web y IPSEC VPNs.
• Escalabilidad y fiable: BGP MPLS VPNs son muy escalables, con su
escalabilidad máxima solo limitada por BGP. Estas redes también son muy
fiables porque están basadas en BGP.

109
VPN de nivel 3. Limitaciones de BGP MPLS VPN
• Sólo IP: Estas redes solo pueden encaminar trafico IP.
• Enrutado compartido: BGP MPLS VPNs requieren que los usuarios compartan
información acerca de sus redes de dominios de enrutado al proveedor de servicios,
PE routers.
• CE router: Como el router del usuario necesita compartir información de enrutado
con los PE routers, el CE debe ser un router y no puede ser un dispositivo más
simple como en el caso de Ethernet que es un conmutador.
• Demanda en los routers PE: estas redes pueden exigir mucho a los routers PE,
porque estos necesitan mantener múltiples tablas privadas de enrutado.
• Red compleja: la red puede ser potencialmente sobrecargada por el uso de los
múltiples routers dinámicos.
• Estabilidad e integridad de la red: BGP MPLS VPNs puede afectar a la estabilidad y
por lo tanto a la integridad de la red del proveedor.
• Complejo para gestionar; estas redes pueden ser complejas de gestionar porque
requieren un router como CE, en vez de un dispositivo simple como el conmutador
de Ethernet.
• Sobrecarga de enrutado en el usuario: los usuarios tienen que configurar y gestionar
peering con el PE en vez de hacerlo solo entre sus routers.

110
• BGP/MPLS VPN (RFC 2547bis)
VPN de nivel 3
CEB1
VPN B
LAN 1
VPN A
LAN 1
VPN B
LAN 2
CEB2
CEA2
CEA1
VPN A
LAN 2
CEA3
CEB3
CEA4
CEB4
PE1
PE2
PE3
PE4P1
P2
P3
VPN A
LAN 3
VPN B
LAN 3
VPN A
LAN 4
VPN B
LAN 4
Red IP /MPLS
10.1/16
10.1/16
10.2/16
10.2/16
10.3/16
10.3/16
10.4/16
10.4/16

111
VPN de nivel 3 BGP/MPLS VPN: “Red Equivalente
CEB1
VPN B
LAN 1
VPN A
LAN 1
VPN B
LAN 2
CEB2
CEA2
CEA1
VPN A
LAN 2
CEA3
CEB3
CEA4
CEB4
VPN A
LAN 3
VPN B
LAN 3
VPN A
LAN 4
VPN B
LAN 4
10.1/16
10.1/16
10.2/16
10.2/16
10.3/16
10.3/16
10.4/16
10.4/16
VPN A
VPN B
Red IP /MPLS

ATM
AAL5/Cell
PPP
HDLC
Ethernet FR
VPN’s de nivel 2 L2VPN
IP
L2TPv3
Point-to-Point
ATM
AAL5/Cell
PPP
HDLC
Ethernet FR
VPWS
Point-to-Point
L2VPN
MPLS
VPLS/IPLS
Multipoint
Ethernet

113
VPN de nivel 2
• VPN MPLS “Martini”
• draft-martini-l2circuit-trans-mpls
• draft-martini-l2circuit-encap-mpls
• VPNs MPLS “Kompella”
• draft-kompella-ppvpn-l2vpn
• VPNs MPLS “Lasserre”
• draft-lasserre-vkompella-ppvpn-vpls-02
• draft-martini-l2circuit-encap-mpls

114
Emulación de circuito en MPLS y en VPLS

115
Referencias bibliográficas
• http://www.ietf.org
• E-MAN
– www.metroethernetforum.org/
• MPLS
– Recomendaciones 2702,2917
– Recomendaciones 3031,3032,3035,3036
– Recomendaciones 3063,3270,3346,3353
– http://www.mplsworld.com/
– http://www.mplsforum.org/
• VPLS
– http://www.vpls.org/
• Fabricantes:
– http://www.cisco.com
– http://www.alcatel.com
– http://www.riverstonenet.com

BRKRST-2102
14416_04_2008_c1
Abstract
 Multi Protocol Label Switching (MPLS) has been widely
adopted by the Network Operators to provide scalable
L2, L3 VPN, traffic engineering services etc.
Enterprises are fast adopting this technology to address
network segmentation and traffic separation needs.
This session covers MPLS Layer3 VPN, which is
the most adopted MPLS application. The session
will cover:
MPLS VPN Technology Overview (RFC2547/RFC4364)
MPLS/VPN Configuration Overview
MPLS/VPN-based services (multihoming, Hub&Spoke,
extranet, Internet, NAT, VRF-lite, etc.)
Best Practices

BRKRST-2102
14416_04_2008_c1
Terminology
 LSR: label switch router
 LSP: label switched path
The chain of labels that are swapped at each hop to get from one LSR to another
 VRF: VPN routing and forwarding
Mechanism in Cisco IOS® used to build per-customer RIB and FIB
 MP-BGP: multiprotocol BGP
 PE: provider edge router interfaces with CE routers
 P: provider (core) router, without knowledge of VPN
 VPNv4: address family used in BGP to carry MPLS-VPN routes
 RD: route distinguisher
Distinguish same network/mask prefix in different VRFs
 RT: route target
Extended community attribute used to control import and export policies
of VPN routes
 LFIB: label forwarding information base
 FIB: forwarding information base

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Technology
 More than one routing and forwarding tables
 Control plane—VPN route propagation
 Data or forwarding plane—VPN packet forwarding

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Technology
MPLS VPN Connection Model
PE
MPLS Backbone
MP-iBGP Session
PE
P P
P P
CE CE
CE
CE
P Routers
Sit inside the network
Forward packets by looking
at labels
P and PE routers share a
common IGP
PE Routers
Sit at the Edge
Use MPLS with P routers
Uses IP with CE routers
Distributes VPN information
through MP-BGP to other PE
routers

BRKRST-2102
14416_04_2008_c1
CE2
MPLS-VPN Technology
Separate Routing Tables at PE
PE
CE1
VPN 1
VPN 2
MPLS Backbone IGP (OSPF, ISIS)
Customer Specific Routing Table
 Routing (RIB) and forwarding table
(CEF) dedicated to VPN customer
VPN1 routing table
VPN2 routing table
 Referred to as VRF table for the
<named VPN>.
 “show ip route vrf <name>”
Global Routing Table
 Created when IP routing is
enabled on PE.
 Populated by OSPF, ISIS, etc.
inside the MPLS backbone
 “show ip route”

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Technology
Virtual Routing and Forwarding Instance (1)
 What’s a Virtual Routing and Forwarding (VRF) ?
VRF represents the VPN customer inside the SP MPLS network
Each VPN is associated with at least one VRF
 VRF must be defined (locally significant) on each PE and associated with
one or more PE-CE interfaces;
Privatize an interface, i.e., coloring of the interface
 Each VRF has a dedicated routing table and forwarding table,
and a dedicated instance of the routing protocol (static, RIP,
BGP, EIGRP, ISIS, OSPF)
PE is capable of VRF-aware routing protocol
 No changes needed at the CE
CE router runs whatever software
PE(conf)#interface Ser0/0
PE(conf)#ip vrf forwarding blue
PE(conf)#ip vrf green
CE2
PE
CE1
VPN 1
VPN 2
VRF Blue
VRF Green
Ser0/0

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Technology
Virtual Routing and Forwarding Instance (2)
 PE installs the routes, learned from CE routers or other PE routers,
in the appropriate VRF routing table(s).
More on this in the Control Plane slides later on.
 PE installs the IGP (backbone) routes in the global routing table
 VPN customers can use overlapping IP addresses
BGP plays a key role. Let’s understand few BGP specific details..…
CE2
PE
CE1
VPN 1
VPN 2
EBGP, OSPF, RIPv2, Static

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Technology: Control Plane
MP-BGP Customizes the VPN customer Routing Information as per
the locally configured VRF information at the PE -
 Route Distinguisher (RD)
 Route Target (RT)
 Label
8 Bytes
Route-Target
3 Bytes
Label
MP-BGP UPDATE message showing
only VPNv4 address, RT, Label
1:1
8 Bytes 4 Bytes
RD IPv4
VPNv4
10.1.1.0
The Control Plane for MPLS VPN Is Multi-Protocol BGP

BRKRST-2102
14416_04_2008_c1
MP-BGP UPDATE Message Capture
 This capture might
help to visualize how
the BGP UPDATE
message advertising
VPNv4 routes look
like.
 Notice the Path
Attributes.
MP_REACH_NLRI
1:1:200.1.62.4/30
Route Target 3:3

BRKRST-2102
14416_04_2008_c1
MPLS VPN Control Plane
MP-BGP Update Components: RD & VPNv4 Address
 VPN customer IPv4 address is converted into a VPNv4
address by appending RD to the IPv4 address i.e. 1:1:10.1.1.0
Makes the customer’s IPv4 route unique inside the SP MPLS network.
 Each VRF should* be configured with an RD at the PE
RD is what that defines the VRF
8 Bytes
Route-Target
3 Bytes
Label
MP-BGP update showing RD, RT, and label
1:1
8 Bytes 4 Bytes
RD IPv4
VPNv4
10.1.1.0
!
ip vrf green
rd 1:1
!
* After 12.4(3)T, 12.4(3) 12.2(32)S, 12.0(32)S etc., RD Configuration within
VRF Has Become Optional. Prior to that, It Was Mandatory.

BRKRST-2102
14416_04_2008_c1
MP-BGP Update Components: Route-Target
 Route-target (RT): identifies the VRF for the received
VPNv4 prefix. It is an 8-byte extended community attribute.
 Each VRF is configured with a set of RT(s) at the PE
RT helps to identify which VRF(s) get the VPN route !
ip vrf green
route-target import 1:1
route-target export 1:2
!
8 Bytes
Route-Target
3 Bytes
Label
MP-BGP update showing RD, RT, and Label
1:1
8 Bytes 4 Bytes
RD IPv4
VPNv4
10.1.1.0 2:2

BRKRST-2102
14416_04_2008_c1
MP-BGP Update Components: Label
 PE assigns a label for the VPNv4 prefix; Label is not an attribute.
Next-hop-self towards MP-iBGP neighbors by default i.e. PE sets the NEXT-
HOP attribute to its own address (loopback)
 PE addresses used as BGP next-hop must be uniquely known in
the backbone IGP
Do not summarize the PE loopback addresses in the core
3 Bytes
Label
MP-BGP update showing RD, RT, and label
1:1
8 Bytes 4 Bytes
RD IPv4
VPNv4
10.1.1.0 2:2 50
8 Bytes
Route-Target

BRKRST-2102
14416_04_2008_c1
MPLS VPN Control Plane:
Putting It All Together
1. PE1 receives an IPv4 update (eBGP/OSPF/ISIS/RIP/EIGRP)
2. PE1 translates it into VPNv4 address and constructs the MP-
iBGP UPDATE message
Associates the RT values (import RT value=1:2) per VRF configuration
Rewrites next-hop attribute to itself
Assigns a label (100, say); Installs it in the MPLS forwarding table.
3. PE1 sends MP-iBGP update to other PE routers
10.1.1.0/24
Next-Hop=CE-1
MP-iBGP Update:
RD:10.1.1.0
Next-Hop=PE-1
RT=1:2, Label=100
1
3
10.1.1.0/24
PE1 PE2
P
P P
P
CE2
MPLS Backbone
Site 1 Site 2
CE1
2

BRKRST-2102
14416_04_2008_c1
MPLS VPN Control Plane:
Putting It All Together
4. PE2 receives and checks whether the RT=1:2 is locally configured as
‘import RT’ within any VRF, if yes, then
PE2 translates VPNv4 prefix back in IPv4 prefix
Updates the VRF CEF Table for 10.1.1.0/24 with label=100
5. PE2 advertises this IPv4 prefix to CE2 (using whatever routing protocol)
5
10.1.1.0/24
Next-Hop=CE-1
MP-iBGP Update:
RD:10.1.1.0
Next-Hop=PE-1
RT=1:2, Label=100
10.1.1.0/24
Site 1 Site 2
10.1.1.0/24
Next-Hop=PE-2
1
3
PE2
PP
P P
MPLS Backbone
CE1
2 4
CE2
PE1

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Forwarding Plane
Review
Global Forwarding Table
(show ip cef)
 Stores Next-hop routes with associated
labels
 Next-hop routes learned through IGP
 Label learned through LDP/TDP
VRF Forwarding Table
(show ip cef vrf <vrf>)
 Stores VPN routes with associated labels
 VPN routes learned through BGP
 Labels learned through MP-BGP
10.1.1.0/24
Site 1 Site 2
VRF Green Forwarding Table
Dest  NextHop
10.1.1.0/24-PE1, label: 100
PE1 PE2
P4
P1 P2
P3
CE2CE1
Global Routing/Forwarding Table
Dest  Next-Hop
PE2  P3, Label: 50
Global Routing/Forwarding Table
Dest  Next-Hop
PE1  P2, Label: 25

BRKRST-2102
14416_04_2008_c1
10.1.1.0/24
PE1 PE2
CE2
CE1
Site 1 Site 2
10.1.1.1
10.1.1.110050
MPLS-VPN Forwarding Plane
Packet Forwarding
 PE2 imposes two labels (MPLS headers) for each packet going to
the VPN destination 10.1.1.1.
Outer label is LDP learned; Corresponds derived from an IGP route
Inner label is learned via MP-BGP; corresponds to the VPN address
 PE1 recovers the IP packet (from the received MPLS packet) and
forwards it to CE1.
10.1.1.1
10.1.1.1100
10.1.1.1 10025
IP Packet
MPLS Packet
IP Packet
P4
P1 P2
P3

BRKRST-2102
14416_04_2008_c1
MPLS Packet Capture
 This capture
might be helpful
if you never
captured an
MPLS packet
before.
Inner Label
Outer Label
IP packet
Ethernet Header

BRKRST-2102
14416_04_2008_c1
Agenda
 MPLS VPN Explained
 MPLS-VPN Services
1. Providing Load-Shared Traffic to the Multihomed VPN Sites
2. Providing Hub and Spoke Service to the VPN Customers
3. Providing MPLS VPN Extranet Service
4. Providing Internet Access Service to VPN Customers
5. Providing VRF-Selection Based Services
6. Providing Remote Access MPLS VPN
7. Providing VRF-Aware NAT Services
8. Providing QoS Service to VPNs
9. Providing Multicast Service to VPNs
10. Providing MPLS/VPN over IP Transport
11. Providing Multi-VRF CE Service
 Best Practices
 Conclusion

BRKRST-2102
14416_04_2008_c1
PE11
PE2
MPLS Backbone
PE12
CE1
Site A
171.68.2.0/24
Site B
CE2
RR
MPLS VPN Services:
1. Loadsharing for the VPN Traffic
 VPN sites (such as Site A) could be multihomed
 VPN customer may demand the traffic (to the
multihomed site) be loadshared
Route Advertisement

BRKRST-2102
14416_04_2008_c1
MPLS VPN Services:
1. Loadsharing for the VPN Traffic: Cases
PE2
MPLS Backbone
CE2
Traffic Flow
1 CE 2 PEs
CE1
Site A
171.68.2.0/24
PE11
RR
PE12
Site B
Site A
171.68.2.0/24
2 CEs  2 PEs
PE11
PE2
MPLS Backbone
PE12
Site B
CE2
RR
Traffic Flow
CE2
CE1

BRKRST-2102
14416_04_2008_c1
MPLS VPN Services:
1. Loadsharing for the VPN Traffic: Deployment
 How to deploy the loadsharing?
 Configure unique RD per VRF per PE for multihomed site/interfaces
Assuming RR exists
 Enable BGP multipath within the relevant BGP VRF address-family
at remote/receiving PE2 (why PE2?)
PE11
PE2
MPLS Backbone
PE12
CE1
Site A
171.68.2.0/24
Site B
CE2
RR
ip vrf green
rd 300:11
route-target both 1:1
1
ip vrf green
rd 300:12
1
router bgp 1
address-family ipv4 vrf green
maximum-paths eibgp 2
2
ip vrf green
rd 300:13
1

BRKRST-2102
14416_04_2008_c1
MPLS VPN Services:
1. VPN Fast Convergence—PE-CE Link Failure
 In a classic case, PE11, upon detecting the PE-CE link failure,
sends BGP message to withdraw all the related VPN routes from
the MPLS/VPN network
This results in the remote PE routers selecting the alternate bestpath
(if any), but until then, they keep sending the MPLS/VPN traffic to PE11,
which keeps dropping the traffic
 IOS and IOX now have incorporated a “Fast Local Repair” feature
to minimize the loss due to the PE-CE link failure from sec to msec
PE11
PE2
MPLS Backbone
PE12
171.68.2.0/24
RR VPN Traffic
Redirected VPN Traffic
Traffic Is
Dropped
by PE11
CE1 CE2
Site A Site B

BRKRST-2102
14416_04_2008_c1
MPLS VPN Services:
1. VPN Fast Convergence—PE-CE Link Failure
 This feature helps PE11 to minimize the traffic loss from sec to
msec, by redirecting the CE1 bound traffic to PE12 (with the right
label), which forwards the traffic to CE1
PE11 immediately reprograms the forwarding entry after selecting the alternate
BGP best path (which is via PE12)
 In parallel, PE11 sends the ‘BGP withdraw message’ to RR/PE2,
which will run the bestpath algorithm and removes the path learned
via PE11, and then adjust their forwarding entries via PE12
 This feature is independent of whether multipath is enabled
on PE2 or not, however, dependent on VPN site multihoming
PE2
MPLS Backbone
PE12
171.68.2.0/24
Traffic Is
Redirected
by PE11
VPN Traffic
Redirected VPN Traffic
Site A Site B
CE2CE1
PE11
RR

BRKRST-2102
14416_04_2008_c1
Agenda
 Best Practices
 Conclusion

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services:
2. Hub and Spoke Service to the VPN Customers
 Traditionally, VPN deployments were hub and spoke,
and need to continue for valid reasons
Spoke to spoke communication is via Hub site only
 Despite MPLS VPN’s implicit any-to-any, i.e.,
full-mesh connectivity, hub and spoke service
can easily be offered
Done with import and export of route-target (RT) values
Requires unique RD per VRF per PE
 PE routers can run any routing protocol with VPN
customer’ hub and spoke sites independently

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services:
2. Hub and Spoke Service: Configuration
PE-SA
PE-Hub
MPLS VPN Backbone
PE-SB
CE-SA
CE-SBSpoke B
Spoke A
171.68.1.0/24
171.68.2.0/24
Eth0/0.2
Eth0/0.1
ip vrf green-spoke1
description VRF for SPOKE A
rd 300:111
ip vrf green-spoke2
description VRF for SPOKE B
rd 300:112
ip vrf HUB-IN
description VRF for traffic to HUB
rd 300:12
ip vrf HUB-OUT
description VRF for traffic from HUB
rd 300:11
Note: Only VRF Configuration Is Shown Here

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services:
 If BGP is used between every PE and CE, then
as-override and allowas-in knobs must be used at
the PE_Hub*
Otherwise AS_PATH looping will occur
 If the spoke sites only need the default route from the
hub site, then it is possible to use a single interface
between PE-hub and CE-hub (instead of two interfaces
as shown on the previous slide)
Let CE-hub router advertise the default or aggregate
Avoid generating a BGP aggregate at the PE
* Configuration for this Is Shown on the Next Slide

BRKRST-2102
14416_04_2008_c1
router bgp <ASN>
address-family ipv4 vrf HUB-IN
neighbor <CE> allowas-in 2
MPLS-VPN Services:
PE-SA
PE-Hub
MPLS VPN Backbone
PE-SB
CE-SA
CE-SB
Spoke B
Spoke A
171.68.1.0/24
171.68.2.0/24
Eth0/0.2
Eth0/0.1
ip vrf green-spoke1
description VRF for SPOKE A
rd 300:111
ip vrf green-spoke2
description VRF for SPOKE B
rd 300:112
ip vrf HUB-IN
rd 300:12
router bgp <ASN>
address-family ipv4 vrf HUB-OUT
neighbor <CE> as-override
ip vrf HUB-OUT
rd 300:11

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services:
2. Hub and Spoke Service: Control Plane
 Two VRFs at the PE-hub:
VRF HUB_OUT to learn every spoke routes from remote PEs
VRF HUB_IN to advertise either summary 171.68.0.0/16 or specific routes to
remote PEs
 Import and export route-target within a VRF must be different
PE-SA
MPLS Backbone
PE-SB
CE-SA
CE-SB
Spoke B
Spoke A
VRF HUB-IN
VRF HUB-OUT
VRF HUB-OUT FIB and LFIB
Destination NextHop Label
171.68.1.0/24 PE-SA 40
171.68.2.0/24 PE-SB 50
171.68.1.0/24
VRF FIB and LFIB at PE-SA
171.68.0.0/16 PE-Hub 35
171.68.1.0/24 CE-SA
VRF FIB and LFIB at PE-SB
171.68.0.0/16 PE-Hub 35
171.68.2.0/24 CE-SB
171.68.2.0/24
VRF HUB-IN FIB
Destination NextHop
171.68.0.0/16 CE-H1
MP-iBGP update
171.68.0.0/16
Label 35
Route-Target 2:2
FIB—IP Forwarding Table
LFIB—MPLS Forwarding Table
MP-iBGP update
171.68.2.0/24
Label 50
Route-Target 1:1
MP-iBGP update
171.68.1.0/24
Label 40
Route-Target 1:1
PE-Hub

BRKRST-2102
14416_04_2008_c1
PE-SA
PE-Hub
MPLS Backbone
MPLS-VPN Services:
2. Hub and Spoke Service: Forwarding Plane
PE-SB
CE-SA
CE-SB
Spoke B
Spoke A
VRF HUB-IN
VRF HUB-OUT
171.68.1.0/24
171.68.2.0/24
L1 35 171.68.1.1
L2 40 171.68.1.1
171.68.1.1
L1 Is the Label to Get to PE-Hub
L2 Is the Label to Get to PE-SA
This Is How The Spoke-to-Spoke Traffic Flows
171.68.1.1

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services:
2. Hub and Spoke Service: Half-Duplex VRF
 Why do we need half-duplex VRF?
 If more than one spoke router (CE) connects to the
same PE router within the single VRF, then such
spokes can reach other without needing the hub
This defeats the purpose of doing hub and spoke
 Half-duplex VRF is the answer
Half-duplex VRF is specific to virtual-template* i.e., dial-user
 It requires two VRFs on the PE (spoke) router
Upstream VRF for spoke->hub communication
Downstream VRF for spoke<-hub communication
* Being Extended to Other Interfaces as Well

BRKRST-2102
14416_04_2008_c1
PE-SA
PE-Hub
MPLS Backbone
MPLS-VPN Services:
2. Hub and Spoke Service: Half-Duplex VRF
CE-SA
CE-SB
Spoke B
Spoke A
171.68.1.0/24
171.68.2.0/24
PE-SA installs the spoke routes only in downstream VRF i.e. blue-VRF
PE-SA forwards the incoming IP traffic (from Spokes) using the
upstream VRF i.e. red-vrf routing table
ip vrf HUB-IN
rd 300:12
Int virtual-template1
….
ip vrf forward red-vrf downstream blue-vrf
…
Upstream VRF Downstream VRF
ip vrf red-vrf
description VRF – upstream flow
rd 300:111
ip vrf blue-vrf
description VRF – downstream flow
rd 300:112
route-target export 1:1 ip vrf HUB-OUT
rd 300:11

BRKRST-2102
14416_04_2008_c1
Agenda
 Best Practices
 Conclusion

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services
3. Extranet VPN
 MPLS VPN, by default, isolates one VPN customer
from another
Separate virtual routing table for each VPN customer
 Communication between VPNs may be required
i.e., extranet
External intercompany communication (dealers with
manufacturer, retailer with wholesale provider, etc.)
Management VPN, shared-service VPN, etc.
 Needs right import and export route-target (RT) values
configuration within the VRFs
Export-map or import-map should be used

BRKRST-2102
14416_04_2008_c1
VPN_B Site#1
180.1.0.0/16
3. MPLS-VPN Services: Extranet VPN
Goal: Only VPN_A Site#1 to Be Reachable to VPN_B
171.68.0.0/16 PE1 PE2
MPLS Backbone
VPN_A Site#2
SO
P
VPN_A Site#1
ip vrf VPN_A
rd 3000:111
export map VPN_A_Export
import map VPN_A_Import
!
route-map VPN_A_Export permit 10
match ip address 1
set extcommunity rt 3000:2 additive
!
route-map VPN_A_Import permit 10
match ip address 2
!
access-list 1 permit 171.68.0.0 0.0.0.0
ip vrf VPN_B
rd 3000:222
export map VPN_B_Export
import map VPN_B_Import
!
route-map VPN_B_Export permit 10
match ip address 2
set extcommunity rt 3000:1 additive
!
route-map VPN_B_Import permit 10
match ip address 1
!
192.6.0.0/16
Only Site #1 of Both VPN_A and VPN_B Would Communicate
with Each Other, Site #2 Won’t Be Part of It

BRKRST-2102
14416_04_2008_c1
Agenda
 Best Practices
 Conclusion

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services
4. Internet Access Service to VPN Customers
 Internet access service could be provided as another
value-added service to VPN customers
 Security mechanism must be in place at both provider
network and customer network
To protect from the Internet vulnerabilities
 VPN customers benefit from the single point of contact
for both Intranet and Internet connectivity

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services
4. Internet Access: Different Methods of Service
Four Ways to Provide the Internet Service
1. VRF specific default route with “global” keyword
2. Separate PE-CE sub-interface (non-VRF)
3. Extranet with Internet-VRF
4. VRF-aware NAT

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services
4. Internet Access: Different Methods of Service
1. VRF specific default route
1.1 Static default route to move traffic from VRF to Internet
(global routing table)
1.2 Static routes for VPN customers to move traffic from Internet (global
routing table) to VRF
2. Separate PE-CE subinterface (non-VRF)
May run BGP to propagate Internet routes between PE and CE
VPN packets never leave VRF context; issue with overlapping VPN address
4. Extranet with Internet-VRF along with VRF-aware NAT
VPN packets never leave VRF context; works well with overlapping
VPN address

BRKRST-2102
14416_04_2008_c1
192.168.1.2
MPLS-VPN Services:
4.1 Internet Access: VRF Specific Default Route
 A default route, pointing to the
ASBR, is installed into the site
VRF at each PE
 The static route, pointing to the
VRF interface, is installed in the
global routing table and
redistributed into BGP
PE1
ASBR
CE1
MPLS Backbone
192.168.1.1
Internet GW
SO
P
PE1#
ip vrf VPN-A
rd 100:1
Interface Serial0
ip address 192.168.10.1 255.255.255.0
ip vrf forwarding VPN-A
Router bgp 100
no bgp default ipv4-unicast
redistribute static
neighbor 192.168.1.1 remote 100
neighbor 192.168.1.1 activate
neighbor 192.168.1.1 next-hop-self
neighbor 192.168.1.1 update-source loopback0
ip route vrf VPN-A 0.0.0.0 0.0.0.0 192.168.1.1 global
ip route 171.68.0.0 255.255.0.0 Serial0
Site1
Internet171.68.0.0/16

BRKRST-2102
14416_04_2008_c1
Disadvantages
 Using default route
for Internet
 Routing does not allow any
other default route for intra-
VPN routing Increasing size
of global routing table by
leaking VPN routes
 Static configuration
(possibility of traffic
blackholing)
MPLS-VPN Services: Internet Access
4.1 VRF Specific Default Route (Forwarding)
171.68.0.0/16
PE1 PE2
Se0
P
VRF Routing/FIB Table
Destination Label/Interface
0.0.0.0/0 192.168.1.1 (global)
Site-1 Serial 0
Global Routing/FIB Table
192.168.1.1/32 Label=30
171.68.0.0/16 Serial 0
IP Packet
D=Cisco.com
Label = 30
IP Packet
D=Cisco.com
Label = 35
IP Packet
D=171.68.1.1
Internet
Global Table and LFIB
192.168.1.2/32 Label=35
171.68.0.0/16 192.168.1.2
Internet Serial 0
192.168.1.2
IP Packet
D=171.68.1.1
Advantages
 Different Internet gateways
 Can be used for
different VRFs
 PE routers need not to
hold the Internet table
 Simple configuration
Site1
SO
MPLS Backbone
IP Packet
D=Cisco.com
IP Packet
D=171.68.1.1192.168.1.1

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services
4.2 Internet Access
1. VRF specific default route
1.1 Static default route to move traffic from VRF to Internet
(global routing table)
1.2 Static routes for VPN customers to move traffic from Internet (global
routing table) to VRF
2. Separate PE-CE sub-interface (non-VRF)
May run BGP to propagate Internet routes between PE and CE
VPN packets never leave VRF context; overlapping VPN addresses could be
a problem
4. Extranet with Internet-VRF along with VRF-aware NAT
VPN packets never leave VRF context; works well with overlapping
VPN addresses

BRKRST-2102
14416_04_2008_c1
 One sub-interface for VPN routing
associated to a VRF
 Another subinterface for Internet
routing associated to the global
routing table
 Could advertise full Internet routes or
a default route to CE
 The PE will need to advertise VPN
routes to the Internet (via global
routing table)
4.2 Internet Access Service to VPN
Customers Using Separate Subinterface (Config)
ip vrf VPN-A
rd 100:1
Interface Serial0.1
ip vrf forwarding VPN-A
ip address 192.168.20.1 255.255.255.0
frame-relay interface-dlci 100
!
Interface Serial0.2
ip address 171.68.10.1 255.255.255.0
frame-relay interface-dlci 200
!
Router bgp 100
no bgp default ipv4-unicast
neighbor 171.68.10.2 remote-as 502
171.68.0.0/16
PE1
ASBR
CE1
MPLS Backbone
Internet GW
192.168.1.1
Se0.2
P
BGP-4
Site1
192.168.1.2
Se0.1
InternetInternet

BRKRST-2102
14416_04_2008_c1
CE Routing Table
VPN Routes Serial0.1
Internet Routes Serial0.2
PE Global Table and FIB
Internet Routes 192.168.1.1
192.168.1.1 Label=30
Pros
CE Could Dual Home and
Perform Optimal Routing
Traffic Separation Done
by CE
Cons
PE to Hold Full Internet
Routes
BGP Complexities Introduced
in CE; CE1 May Need to
Aggregate to Avoid AS_PATH
Looping
171.68.0.0/16
PE1
PE2
MPLS Backbone
PE-Internet GW
192.168.1.1
S0.2
P
Site1
S0.1
InternetInternet
IP Packet
D=Cisco.com
192.168.1.2
IP Packet
D=Cisco.com
Internet Access Service to VPN Customer
4.2 Using Separate Subinterface (Forwarding)
Label = 30
IP Packet
D=Cisco.com

BRKRST-2102
14416_04_2008_c1
Internet Access Service
4.3 Extranet with Internet-VRF
 The Internet routes could be placed within the VRF
at the Internet-GW i.e., ASBR
 VRFs for customers could ‘extranet’ with the Internet
VRF and receive either default, partial or full
Internet routes
 Be careful if multiple customer VRFs, at the same PE,
are importing full Internet routes
 Works well only if the VPN customers don’t have
overlapping addresses

BRKRST-2102
14416_04_2008_c1
Internet Access Service
4.4 Internet Access Using VRF-Aware NAT
 If the VPN customers need Internet access without
Internet routes, then VRF-aware NAT can be used at
the Internet-GW i.e., ASBR
 The Internet GW doesn’t need to have Internet
routes either
 Overlapping VPN addresses is no longer a problem
 More in the “VRF-aware NAT” slides…

BRKRST-2102
14416_04_2008_c1
Agenda
 Best Practices
 Conclusion

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services
7. VRF-Aware NAT Services
 VPN customers could be using ‘overlapping’ IP address
i.e.,10.0.0.0/8
 Such VPN customers must NAT their traffic before
using either “Extranet” or “Internet” or any shared*
services
 PE is capable of NATting the VPN packets (eliminating
the need for an extra NAT device)
* VoIP, Hosted Content, Management, etc.

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services
7. VRF-Aware NAT Services
 Typically, inside interface(s) connect to private address
space and outside interface(s) connect to global
address space
NAT occurs after routing for traffic from inside-to-outside
interfaces
NAT occurs before routing for traffic from outside-to-inside
interfaces
 Each NAT entry is associated with the VRF
 Works on VPN packets in the following switch paths:
IP->IP, IP->MPLS and MPLS->IP

BRKRST-2102
14416_04_2008_c1
Internet
217.34.42.2.1
MPLS-VPN Services:
7. VRF-Aware NAT Services: Internet Access
PE-ASBR
MPLS Backbone
CE1
Blue VPN Site
10.1.1.0/24
CE2
10.1.1.0/24
Green VPN Site
IP NAT Inside
IP NAT Outside
VRF-Aware NAT Specific ConfigVRF Specific Config
ip nat pool pool-green 24.1.1.0 24.1.1.254 prefix-length 24
ip nat pool pool-blue 25.1.1.0 25.1.1.254 prefix-length 24
ip nat inside source list vpn-to-nat pool pool-green vrf green
ip nat inside source list vpn-to-nat pool pool-blue vrf blue
ip access-list standard vpn-to-nat
permit 10.1.1.0 0.0.0.255
ip route vrf green 0.0.0.0 0.0.0.0 217.34.42.2 global
ip route vrf blue 0.0.0.0 0.0.0.0 217.34.42.2 global
ip vrf green
rd 3000:111
ip vrf blue
rd 3000:222
router bgp 3000
address-family ipv4 vrf green
network 0.0.0.0
address-family ipv4 vrf blue
network 0.0.0.0
P
PE11
PE12

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services:
7. VRF-Aware NAT Services: Internet Access
MPLS Backbone
P
Traffic Flows
Internet
Src=10.1.1.1
Dest=Internet
Src=24.1.1.1
Dest=Internet
Src=10.1.1.1
Dest=Internet
Label=30
Src=10.1.1.1
Dest=Internet
IP Packet
MPLS Packet
NAT Table
VRF IP Source Global IP VRF-Table-Id
10.1.1.1 24.1.1.1 green
10.1.1.1 25.1.1.1 blue
 PE-ASBR removes the label from the
received MPLS packets per LFIB
 Performs NAT on the resulting
IP packets
 Forwards the packet to the internet
 Returning packets are NATed and
put back in the VRF context and
then routed
 This is also one of the ways to provide
Internet access to VPN customers
with or without overlapping addresses
PE11
PE12
PE-ASBR
CE1
Green VPN Site
10.1.1.0/24
CE2
Blue VPN Site
10.1.1.0/24
Src=25.1.1.1
Dest=Internet
IP Packet
Label=40
Src=10.1.1.1
Dest=Internet

BRKRST-2102
14416_04_2008_c1
Agenda
 Best Practices
 Conclusion

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services:
 Is it possible for an IP router to keep multiple customer
connections separated ?
Yes, “multi-VRF CE” a.k.a. vrf-lite can be used
 “Multi-VRF CE” provides multiple virtual routing tables
(and forwarding tables) per customer at the CE router
Not a feature but an application based on VRF implementation
Any routing protocol that is supported by normal VRF can be used in
a multi-VRF CE implementation
 Note that there is no MPLS functionality needed on the CE,
no label exchange between the CE and any router
(including PE) 
 One of the deployment models is to extend the VRFs to
the CE, another is to extend it further inside the Campus =>
Virtualization
Campus Virtualization blends really well

BRKRST-2102
14416_04_2008_c1
MPLS-VPN Services:
Campus
PE
Router
MPLS
Network
Multi-VRF
CE Router
SubInterface
Link *
PE
Router
Campus
One Deployment Model—Extending MPLS/VPN to CE
Vrf Green
Vrf Red
Vrf
Green
ip vrf green
rd 3000:111
ip vrf blue
rd 3000:222
ip vrf red
rd 3000:333
Vrf Green
Vrf Red
*SubInterface Link—Any Interface Type that Supports Sub Interfaces, FE-Vlan,
Frame Relay, ATM VCs
Vrf
Red
ip vrf green
rd 3000:111
ip vrf blue
rd 3000:222
Ip vrf red
rd 3000:333

BRKRST-2102
14416_04_2008_c1
Conclusion
 MPLS VPN is becoming a cheaper and faster
alternative to traditional l2vpn
Secured VPN
 MPLS-VPN paves the way for new revenue streams
VPN customers could outsource their layer3 to the provider
 Straightforward to configure any-to-any VPN topology
Partial-mesh, Hub and Spoke topologies can also be
easily deployed
 CsC and Inter-AS could be used to expand into
new markets
 VRF-aware services could be deployed to maximize
the investment

BRKRST-2102
14416_04_2008_c1
Recommended Reading
 Continue your Cisco Live
learning experience with further
reading from Cisco Press
 Check the Recommended
Reading flyer for suggested
books
Available Onsite at the Cisco Company Store

La capa de medios

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a La capa de medios

Similar a La capa de medios (20)

Último

Último (20)

La capa de medios