Bettina Kauth. kauth@noc.dfn.de

Bettina Kauth kauth@noc.dfn.de 1

Möglichkeiten, zur direkten Kopplung von Standorten oder Instituten über das X-WiN Schalten von phys. Verbindungen/Wellenlängen Tunneling MPLS basierte Virtual Private Networks (VPN) 2

MPLS - Grundzüge MPLS Multiprotocol Label Switching IP MPLS Ethernet, SDH, ATM, PPP, etc. Physikal Layer 3

MPLS - Grundzüge Forwarding-Entscheidung wird anhand von Labels getroffen Labels repräsentieren FEC (Forwarding Equivilence Class) Gruppe von IP-Paketen, die auf die gleiche Art geforwarded werden Labelinformation wird zwischen benachbarten Routern ausgetauscht Labels nur lokal gültig 4

MPLS - Grundzüge Carrier Backbone LDP CE1 PE1 P P PE2 CE2 P Data Data 5

MPLS - Grundzüge MPLS ermöglicht Traffic-Engineering in IP-Netzen Aufbau von (parallelen) Overlay-Strukturen möglich Pseudowire Virtual Private Networks (VPNs) 6

MPLS-basierte VPNs Übergang zum VPN am Zugangsrouter (XR) Anwender-Schnittstelle (KR) kann als L2-Schnittstelle oder L3-Schnittstelle definiert werden. Zugangsinterface wird exklusiv für VPN genutzt Physikalisches Interface oder Subinterface möglich Dienstgüte im VPN entspricht der Dienstgüte des X-WiNs Kein MPLS beim Anwender notwendig 7

L2-VPN CE PE Pseudo wire X WiN MPLS enabled Provider Edge (PE) PE Customer Edge (CE) Vlan CE 8

L2-VPN Layer 2 Tunnel XR (XWiN-Router) interface GigabitEthernet9/39.756 Konfigurations- description Interface zum Anwender beispiel encapsulation dot1q 756 xconnect 188.1.201.6 pw-class l2vpn! pseudowire-class l2vpn encapsulation mpls end 9

L2-VPN Etablierte Technik im X-WiN VPN-Traffic ggü. anderem X-WiN-Traffic separiert L2-Schnittstelle (im X-WIN: Ethernet) Aufbau von VLANs möglich IP -> Routingintelligenz liegt beim Anwender (Einsatz privater Adressen möglich, Security) Skaliert nicht 10

L2-VPN 6WiN-MPLS-VPN Ethernet NR NR Hamburg L2 Tunnel Essen CR CR NR CR G WiN CR NR Berlin Frankfurt CR El Erlangen NR 11

L3-VPN CE CE PE PE CE PE L3 VPN X WiN XR XR 12

L3-VPN Anwender erhält IP-Schnittstelle zum VPN VRF (Virtual Routing and Forwarding) enthält IP-Routen, CEF-Table und assoziierte Interfaces eines VPNs. 13

L3-VPN Layer 3 VPN Konfigurations- beispiel XR (XWiN-Router) interface GigabitEthernet9/39 description Interface zum Anwender ip address 188.1.248.9 255.255.255.252 ip vrf forwarding test! ip vrf test rd 680:100 route-target export 680:10 route-target import 680:10 14

L3-VPN xr-stu1#sh bgp vpnv4 unicast vrf testt Network Next Hop Metric LocPrf Weight Path Route Distinguisher: 680:100 (default for vrf test) *>i10.1.0.0/25 188.1.201.66 0 100 0 65501? *> 10.2.0.0 /25 188.1.248.10 0 0 65072 i *> 10.108.128.0/19 188.1.248.10 0 0 65072 i *>i10.12.224.0/19 188.1.201.66 0 100 0 65501? *>i10.14.96.0/19 188.1.201.26 0 100 0 65005 i 15

L3-VPN xr-stu1#sh hbgp vpnv4 unicast vrf ftest t10100/25 10.1.0.0/25 BGP routing table entry for 680:100:10.1.0.0/25, version 56 Paths: (1 available, best #1, table fhg) Advertised to update-groups: 2 12 188.1.201.66 (metric 260) from 188.1.201.66 (188.1.200.66) Origin incomplete, metric 0, localpref 100, valid, internal, best Extended Community: RT:680:10 mpls labels in/out nolabel/729 16

L3-VPN Layer 3 VPN Konfigurations- beispiel XR (XWiN-Router) router bgp 680! Neighbor: XR (PE) address-family vpnv4 neighbor 188.1.201.26 activate neighbor 188.1.201.26 send-community extended!! Neighbor: Anwender (CE) address-family ipv4 vrf test no synchronization neighbor 188.1.248.10 remote-as 65072 neighbor 188.1.248.10 activate neighbor 188.1.248.10 as-override neighbor 188.1.248.10 route-map vpn-in in neighbor 188.1.248.101 10 route-map vpn-out out 17

L3-VPN Anwender erhält IP-Schnittstelle zum VPN VRF (Virtual Routing and Forwarding) enthält IP-Routen, CEF-Table und assoziierte Interfaces eines VPNs. Routingübergang XR KR: statisch oder BGP XRs tauschen VRF-Routinginfo über M-BGP aus VPN-Traffic ggü. anderem X-WiN-Traffic separiert (-> Einsatz privater Adressen möglich, Security) Skaliert gut, einfach zu erweitern 18

L3-VPN Unterstützte Features IPv4/IPv6 unicast und IPv4 multicast QOS: transparentes Durchreichen der QOS-Parameter Netflow-Accounting ab V.9 19

Pilotprojekt L3-VPN für die FGH Standorte Birlinghoven, München und Stuttgart Konfiguration beim Anwender lehnt sich an die Standard- BGP Konfiguration im X-WiN an Schalten von Backup-Links möglich 20

L3-VPN-Dienst Noch nicht abgeschlossen Integration in die 24-Hotline Erweiterte Linküberwachung durch Überwachung der BGP-Sessions Auswerten der Netflowdaten 21

Zusammenfassung Universelles Werkzeug zur Topologiegestaltung Voraussetzung beim Anwender: Anschluss ans X-WiN Gestaltung des VPNs nach Anwenderbedarf 22

23

Carrier-Supporting-Carrier LDP BB LDP Backbone Carrier LDP CSC CE1 CSC PE1 P P CSC PE2 CSC CE2 CE2 Site_B P Site_A Customer Carrier Backbone Carrier Customer Carrier LDP IPv4+ label LDP IPv4+ label LDP CSC CE1 CSC PE1 P P CSC PE2 CSC CE2 BR1 Other customer P BR2 Other customer A 24

CSC Austausch von Labels zwischen PE und CE Schnittstelle PE/CE unterstützt L2/L3-VPN BackboneCarrier importiert t nur Linkrouten in Backbone- VRF (Entweder mit LDP + IGP oder BGP) CEs tauschen Routinginformation über IP-Netze aus -> Aufbau einer Routinginfrastruktur Zweites Szenario: Customer Carrier-Netz ist MPLS enabled und QOS-Support/IPv6 nur für das zweite Szenario möglich CE muss labeling und MBGP unterstützen (Überprüfen: CE Hardware/Software + Interoperabilität mit Cisco) 25

26

GRE-Tunneling Universität Y G WiN GRE Tunnel ZR Pot G WiN PoP Munich Universität X XR Hub IPv4 Access Link 27

L2-VPN Layer 2 Tunnel Example XR (XWiN-Router) interface GigabitEthernet9/39.756 encapsulation dot1q 756 no snmp trap link-status xconnect 188.1.201.6 pw-class l2vpn! pseudowire-class l2vpn encapsulation mpls end Pseudo wire at CR-Erl: unidirectional MPLS-tunnel connects local VLAN with the corresponding PE-Router (CR-Ber) Packets from CE (NR-Erl) will be tagged with a MPLS header 28

L2-VPN Layer 2 Tunnel Example NR-Erlangen (Dual-Stack-Router) interface FastEthernet0/0.756 description l2tp local nr -> nr-ber1 encapsulation dot1q 756 ipv6 address 2001:638:0:6::2/64 ipv6 router isis isisi ipv6 metric 1 NR-Berlin (Dual-Stack-Router) interface FastEthernet0/0.756 description l2tp local nr -> nr-erl1 encapsulation dot1q 756 ipv6 address 2001:638:0:6::1/64 ipv6 router isis isis ipv6 metric 1 29

CSC_ LDP: LDP only on PE CE Customer Carrier LDP BB LDP Backbone Carrier Customer Carrier LDP CSC CE1 CSC PE1 P P CSC PE2 CSC CE2 CE2 Site_B P Site_A Label *Label swap + Label Pop IGP Pop VPN Imposition Imposition Swap + Forward Label Label Label swapped and becomes CC IGP Label to C CE2 VPN label in BC for address C CE2 BC IGP label pushed on stack for C PE2 This label used to forward through BC BC IGP labels popped CC VPN labels popped *MP BGP generates VPN label (red) ibgp between CSC CE and CSC CE does not generate any labels! IGP label (at CSC PE) is mapped to VPN label on CSC PE

CSC_BGP: BGP on PE CE Customer Carrier Backbone Carrier Customer Carrier LDP IPv4+ label LDP IPv4+ label LDP CSC CE1 CSC PE1 P P CSC PE2 CSC CE2 BR1 Other customer P BR2 Other customer A Label Label Label swap + Label Pop IGP IGP IGP VPN Imposition ii bls Swapping Imposition Swap + Forward Label Label Swap Label Pop Label Pop CC VPN Label to Cust A CC IGP Label to CSC BR2 CC IGP Label to C BR2 Label swapped and becomes VPN label in BC for address C BR2 BC IGP label pushed on stack for PE2 This label used to forward through BC BC IGP labels popped CC IGP labels popped exposing original VPN label

Feature Support Feature MPLS/VPN CSC_LDP CSC_BGP IPv4 multicast Yes, it is done in global routing table No (LDP only for IPv4 unicast) IPv6 unicast 6VPE No 6VPE (LDP only for IPv4 unicast) m6pe/m6vpe No No No Yes Services for Customer Carrier (L3/L2VPN) Netflow Accounting im VRF L3VPN L3VPN / L2VPN L3VPN / L2VPN Yes, version 9 Info needed Info needed Backbone Carrier MPLS/VPN, CSC_LDP, and CSC_BGP can be operated in parallel on the backbone carrier`s network

Feature Support Feature MPLS/VPN CSC_LDP CSC_BGP QoS Uniform mode / short pipe mode no Uniform mode/ short pipe mode mapping to exp bit Hardware (cisco) 7600 as PE 7600 as CSC PE 7600 as CSC PE Software SR train SR train SR train Hardware /Software vendor interoperability PE CE link: physical / logical i/f CE PE: IGP /BGP CE PE: IGP + LDP CE PE: BGP with send label option Main i/f, sub i/f ; SVI, loopback Main i/f, sub i/f ; SVI, loopback Main i/f, sub i/f ; SVI, loopback

X-WiN IPv4 unicast/multicast IPv6 unicast/multicast MPLS enabled 34