VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI LV-4 er Skriptum und Literatur: http://www2.seceng.informatik.tu-darmstadt.de/vpn10/ Wolfgang BÖHMER, TU-Darmstadt, Hochschulstr. 10, D-64289 Darmstadt, Dep. of Computer Science, Security Engineering Group Email: wboehmer@cdc.informatik.tu-darmstadt.de VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt
Vorlesungsinhalt LV-4 QoS in IP Netzen Dienstgüten (Cos) und (QoS) in IP-Netzen Integrierte Dienste und differenzierte Dienste Das Warteschlangenproblem Routing und Switching / ein Vergleich Das Ende der Flexibilität oder das N2-Problem Route at the edge schwitch at the Core / Hybride Netzstrukturen Multi-Protocol Label Switching (MPLS) Label distribution Label switched Path Messungen von QoS Aktive und passive Messungen Übungen Literatur VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 2
Dienstgüte (Cos) und (QoS) in IP-Netzen Quality-of-Service (QoS) Dienstgüten für eine einzelne Session, wie Latenzzeit, Jitter, Paketverlustrate Class-of-Service (CoS) gleichartige Datenströme werden in eine Klasse zusammengefaßt Dienstklasse setzt sich aus Untergruppen von Dienstgüte-Parameter zusammen Eigenschaften der Klassen stehen im direkten Verhältnis zu den Anwendungen VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 3
Dienstgüte (QoS) Alle Verfahren/Techniken die den Datenfluß im LAN/WAN so beeinflussen, dass ein Dienst mit einer festgelegten Qualität beim Empfänger ankommt. Charakterisierung eines Dienstes der beim Nutzer unmittelbar sichtbar wird. (Ende-zu-Ende) Qualität der Dienste wird an bestimmten Parametern gemessen. Im Fall eines Netz- bzw. VPN-Outsourcing können diese mit Service-Vereinbarungen gekoppelt werden. (SLA) Warum ist eine Messung von QoS erforderlich? Vorbereitung: Ausreichender Ressourcenbedarf, Kosten/Nutzen Überwachung: Ermittlung von Engpässen Kostenabrechnungen: Accounting und Billing okay? VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 4
Definitionsschwächen in der Dienstgüte Nachteil: Es gibt keine allgemeingültige Definition der Dienstgüte ITU-T favorisiert ein hierarchisches Model, das ATM als Basistechnik voraussetzt und drei Dienstklassen definiert ABT, DBR, SBR. ITU-X641-QoS: A set of qualities related to the collective behavior of one or more objects. Alle Verfahren, die den Datenfluss in LANs und/oder WANs so beeinflussen, dass der Dienst mit einer festgelegten Qualität beim Empfänger ankommt. ATM-Technik verknüpft die Dienstgüte mit Service-Parameter einer virtuellen Verbindung IETF hält für Echtzeitanforderungen mehrere Ansätze parat. In IPv6 Neudefinition des Flow- Label-Field, Priorisierung des Datenverkehrs mit DiffServ und Bandbreitenreservierung mit IntServ. MPLS zur Priorisierung OSI-Referenzmodell definiert Dienste, die von der Vermittlungsschicht an die übergeordnete Transportschicht angeboten werden. Beim Verbindungsaufbau werden gleichzeitig Dienstgüteparameter vereinbart Ergebnis: In der Praxis wird QoS durch proprietäre Lösungen bestimmt Keine herstellerübergreifende Lösung in Sichtweite VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 5
Typische Dienstgüteparameter Bandbreite: minimale, mittlere, maximale Verzögerung: inklusive der mit Jitter bezeichneten zeitlichen Schwankungen Zuverlässigkeit: gegenüber Ausfällen, Störungen und Übertragungsfehlern Verfügbarkeit: Bit- und Paketfehlerraten Allerdings dürfen durch QoS-Parameter andere Dienste nicht betroffen sein. Erforderlich sind QoS-Kontrollmaßnahmen RFC-1633 schlägt eine individuelle Behandlung und Kontrolle von Verkehrsflüssen nicht nur Ende-zu-Ende sondern auch bei Vermittlungsknoten vor. Priorisierung mittels Reservierung durch Zugangskontrolle und Signalisierung Granulierung der Dienstklassen kontra Verkehrsflüsse und Verbindungen VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 6
Integrierte und differenzierte Dienste (RSVP) RSVP ist ein Signalisierungsprotokoll und kein Routing-Protokoll (RFC-2205 bis 2210) Idee baut auf eine Reihe von Kontrollmechanismen auf. Ziel: gerechte Ressourcenaufteilung Zulassungskontrolle Reservierung in der Puffer-Bearbeitung bei Vermittlungsknoten Es werden neben der regulären best-effort Klassen drei weitere eingeführt Hard Realtime Delay Adaptive Elastic Applikations VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 7
Beispiel: Realtime Varianten hard, delay, elastic VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 8
RSVP in der Anwendung Signalisierung in einer Wolke VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 9
RSVP in der Anwendung Beispiel einer Signalisierung VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 10
Differenzierte Dienste (DiffServ) Klasseneinteilung in unterschiedliche Gruppen jeglicher Verkehr muss seiner Gruppenzugehörigkeit eingeordnet werden Re-definition des Servicetype-Feld (TOS) im IPv4 Header 64 Serviceklassen wurden definiert bezogen auf 3 Kategorien (PHB) jede Klasse ist mit einem anderen Verhalten der Router gekoppelt DiffServ definiert 3 PHB-Service-Level: (EF) Expedited Forwarding (101100) (DF) Default Forwarding (000000) (AF) Assured Forwarding VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 11
DiffServ in der Anwendung (Per-Hop- Behavior) Datenströme werden zu Aggregates zusammengefasst Nicht jeder Datenfluss muss verwaltet werden (anders als bei InteServ) Daten folgen einem Domain-Konzept. Zuordnung erfolgt über das DSCP-Feld DiffServ erwartet von einem Router eine Warteschlangen Behandlung und Management zur Priorisierung der Pakete Paketbehandlung wird durch das DSCP-Feld gesteuert. Stark abhängig von der Router-kapazität und Konfigurierung VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 12
Warteschlangenverhalten (ungewichtet) VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 13
DiffServ: Warteschlangenverhalten Warteschlangen interpretieren das DS-Feld im IP-Header Unterschiedliche Ansätze eines Warteschlangenverhaltens (Queue, Priorität) Strict priority queuing (PQ) Weighted fair queuing (WFQ) Class-based queuing (CBQ) Weight round robin (WRR) VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 14
Routing und Switching Weiterleitungsmechanismus wird durch hop-by-hop bestimmt. Netztopologie wird z.b. mit OSPF erreicht. Zeitraubender Prozess auf Layer-3 den nächsten hop zu bestimmen. Label-Swapping Technologie einfach und in Hardware abbildbar. Verkehrssteuerung über definierte Wege erleichtert Netzwerkmanagement. Im Core-Bereich wird typischerweise geswitcht. VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 15
Das N2-Problem bei Virtual Circuits (VC) VC VC = n (n-1) / 2 VC Beispiel: VC 1.) n = 4 -> VC = 6 2.) n = 5 -> VC =? VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 16
MPLS als Königsweg Route at the edge, switch at the core PACKET ROUTING HYBRID CIRCUIT SWITCHING IP MPLS +IP ATM MPLS + IP kombiniert das Beste von IP- und das von der Circuit Switching Technologies. ATM und Frame Relay sind nicht so einfach in der Lage gleiches wie MPLS für IP zu bieten. VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 17
MPLS Label Distribution Beispiel Label Verteilung 3 Request: 47.1 3 1 47.1 1 Request: 47.1 2 1 Mapping: 0.40 2 47.3 3 47.2 2 VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 18
Label Switched Path (LSP) 3 3 IP 47.1.1.11 47.1 2 1 2 1 47.3 3 2 47.2 IP 47.1.1.1 VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 19
Messungen von QoS Aktive Messungen, Es muss hierzu ein ein Versuchsaufbau mit einem Netzwerk (VPN) erfolgen, in dem dann Pakete verschickt werden können. Auf Basis der verschickten Pakete können dann unterschiedliche Laufzeit Messungen erfolgen. Pakete können mit einem Traffic-Generator erzeugt werden und unterschiedlich gesteuert werden (vgl. DITG) Passive Messungen, Es wird in einem bestehenden Verkehrsfluss (WLAN) nicht eingegriffen, sondern die Pakete werden mitgeschnitten. (vgl. http://www.qos-info.org/ ). Eine oft durchgeführte Messung ist die Bestimmung der maximalen Datenrate und wie stark die Datenrate von der Signalqualität abhängt. In diesem Beispiel kann die Signalstärke des Senders über SNMP beim Empfänger abgefragt werden. Des Weiteren läuft auf dem Empfänger oder auf einem daran direkt angeschlossenem Gerät Iperf im UDP-Server-Mode VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 20
Framework für Metriken IPPM IP Performance Metrics Rahmenwerk für Metrikdefinitionen Gute konkrete Grundlage im IP-Bereich Keine konkrete Implementierung von Messverfahren Fokus auf Messungen der Transportprotokolle im Internet http://datatracker.ietf.org/wg/ippm/charter/ RTFM Real Time Flow Measurement passives Verfahren Traffic Flows in IP-Netzen, Flow = Auswahl des Traffic (MAC, IP.Port) Rule sets RFC 2722, RFC 2724, IETF Paketfluss erlaubt leichte Berechnung der Verlustrate und Delay http://datatracker.ietf.org/wg/rtfm/charter/ VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 21
Messvoraussetzungen für aktive Messungen D-ITG (Distributed Internet Traffic Generator) http://www.grid.unina.it/software/itg/ VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 22
Quantifizierung von QoS Anforderungen mittels formaler Methoden nach den Ideen von F.Arbab Beispiel: Zur theoretischen Abschätzung von Multiplexern, um eine korrekte Bestimmung der CIR in einem Frame-Relay vornehmen zu können. In den letzen Dekaden wurden verschiedene stochastische quantitative Methoden eingesetzt, um dieses Anforderungen zu befriedigen, z.b. stochastische Petri-Netze, Interaktive Markov- Ketten, etc. F. Arbab (CWI, Amsterdam) hat mit seinen ABT/REO Modellen und den constraint Automaton Konzepten, den derzeit am weitesten an der Realität angenäherte Vorgehensweise. VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 23
Definition eines abstrakten Datenstroms für QoS Betrachtungen Es ist notwendig einen Datenstrom zu definieren, der dann weiter verwendet wird. Es wird ein zeitabhängiger Datenstrom z.b. für einen Port A definiert. Es gilt das als Datenstrom und als Zeitstrom definiert wird. VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 24
Übungen zur Vorlesung VPN Virtual Private Networks ÜBUNGEN V03 VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 25
Übung-Ü03 1. Was wird bei der MPLS-Technologie benötigt, um QoS umsetzen zu können? Nicht gemeint ist in diesem Zusammenhang (RSVP-TE, LSP) 2. Wie kann QoS-Service gemessen werden, bitte skizieren Sie jeweils einen Versuchsaufbau für eine aktive und passive Messung. 3. Warum wird in MPLS-Domains kein Diff-Serv bzw. IntServ benötigt? 4. Gibt es auch QoS Ansätze auf Layer-2 im LAN? (falls ja, welche?) 5. Was wird unter Dienstgüten verstanden, und wozu werden diese benötigt? 6. Welche Anforderungen sind bei Voice-over-IP (VoIP) zu stellen? 7. Welche(s) Protokoll(e) wird/werden für VoIP eingesetzt? 8. Werden QoS-Parameter subjektiv oder objektiv gemessen? Begründen Sie Ihre Antwort Falls Sie eine Übung einreichen möchten, dann bitte in der folgenden Nomenklatur für die Datei LV04-Ü03-Name.pdf VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 26
Literatur Vgl. Skript zur Vorlesung Netzwerkanalyse mit Linux PRTG- Manual Dipl. Arbeit, Universität München, Abbildung von QoS-Parametern auf eine geschichtete Messarchitektur, F. Uhl, 2003 VPN-Virtual Private Networks Vorlesung 2000096VI WS10-11 TU-Darmstadt Folie 27