INDICE

RESDUMEN DEDICATORIA AGRADECIMIENTOS INDICE Captulo I Fundamentos de Tesis Introduccin Objetivo de la Tesis Planteamiento y contexto del problema Justificacin 1

Limitaciones Estructura de la tesis CAPITULO II Marco Terico Fundamentos de MPLS Conceptos Bsicos de MPLS Evolucin de MPLS Caractersticas de MPLS Beneficios de MPLS Operacin de MPLS Arquitectura MPLS Elementos del Protocolo MPLS Asignacin de etiquetas de MPLS a los paquetes Captulo III Redes Privadas Virtuales Definicin de Redes Privadas Virtuales Captulo IV MPLS VPN Capitulo V Demostracin de MPLS

LISTA DE FIGURAS LISTA DE TABLAS GLOSARIO

CAPITULO 1 FUNDAMENTOS DE TESIS 1.1 INTRODUCCION Los proveedores de Servicio enfrentan muchos retos al tratar de satisfacer las necesidades de la empresa. Uno de esos retos es la necesidad brindar servicios de valor agregado. Los proveedores de Servicios deben preocuparse tanto con la proteccin de sus infraestructuras existentes y encontrar formas de generar nuevos servicios que actualmente no son compatibles con las tecnologas existentes. Un rea de necesidad actual es la de reenvo de paquetes.

El reenvo de paquetes del Protocolo de Internet Convencional tiene una serie de limitaciones, y mientras ms sucede eso los ISP se dan cuenta de que necesitan nuevos mtodos. El MPLS de Cisco fusiona la inteligencia del enrutamiento con el rendimiento del Switching y provee beneficios significativos a redes con una arquitectura de IP pura, as como aquellas que tienen IP y ATM o una mezcla de otras tecnologas de capa 2. La tecnologa MPLS es la clave para la escalabilidad de las Redes Privadas Virtuales (VPNs) y Calidad de Servicio (QoS) punto a punto, habilitando la utilizacin eficiente de las redes existentes para satisfacer el crecimiento futuro y la correccin rpida de fallas de enlace y fallas de nodo. La tecnologa tambin ayuda a ofrecer alta escalabilidad, servicios diferenciados IP punto a punto con una configuracin ms sencilla, administracin, y aprovisionamiento, tanto para los proveedores como para los subscriptores. A continuacin se presenta los fundamentos bsicos de MPLS, sus mecanismos de Switching, la arquitectura de MPLS, y todo lo necesario para poder entender lo que es MPLS y seguir con nuestro tema fundamental, que es la implementacin de una red MPLS pero sobre VPN.

Objetivo de la Tesis El presente documento tiene como objetivo definir un modelo para la implementacin de redes privadas virtuales con la tecnologa MPLS VPN, que permita a los ISPs entender la complejidad, ventajas y desventajas de sus implementaciones, y a los clientes comprender el beneficio de utilizar esta nueva tecnologa para obtener conectividad entre sucursales, acceso a internet y la posibilidad de transmitir voz sobre el mismo transporte de red. Planteamiento y Contexto del problema El crecimiento de las redes Internet Protocol (IP), en conjunto: 4

La necesidad de los ISPs de unificar sus estructuras de redes de telefona, datos y servicio para reducir costos operativos y de capacidad, acelerando as la implementacin de redes de prxima generacin (NGN: Next Generation Network).

Las necesidades de los clientes que adems de acceso a Internet buscan conectividad entre sus redes de sucursales o puntos de presencia en forma privada a menor costo, con servicios de valor agregado, desligndose de la operacin de stas y acordando niveles de servicios (Service Level Agredment SLA).

Son el motivo del desarrollo de este documento, que brinda herramientas para la decisin en el momento de implementar VPNs mas eficientes sobre sus redes proveedoras (Backbones), con menor costo y con visin de futuro. En base al contexto planteado y a lo largo de este documento trataremos de comprender que tecnologa adoptar y cuales sern las ventajas teniendo en cuenta la evolucin de las VPNs y las tecnologas existentes para implementarlas.

Justificacin Existen estndares variados de VPNs, pginas y foros que discuten las diferentes tecnologas, muestran graficas tericas e inducen al uso de la nueva tecnologa en VPNs (MPLS VPN), por lo que es necesario realizar un estudio de esta tecnologa y analizar el impacto de su implementacin, medir los beneficios y desventajas de esta evolucin. El modelo de diseo de redes MPLS VPN es necesario para comprender como esta tecnologa puede ser implementada sobre casos reales de transmisin de voz y datos. El desarrollo del modelo de diseo de redes MPLS VPN, se realizara en base a pruebas de laboratorio y podr utilizarse como base para el diseo de implementaciones en campo. 5

Limitaciones El anlisis de las tecnologas estudiadas y el modelo de diseo terico para la implementacin de MPLS VPN, contiene: Comparacin entre distintas tecnologas para soluciones de VPN y su evolucin. Estudio profundo de MPLS VPN Estudio general de IPSec, Frame Relay y ATM. Seguridad sobre redes privadas virtuales. Calidad de servicio sobre MPLS VPN

El desarrollo de este documento pretende: Generar un modelo de red y servicio general, el cual ser flexible para poder extrapolarse a otros servicios particulares. Describir los resultados de las pruebas realizadas en laboratorio sobre tecnologa Cisco System, que permitan avalar el caso terico. Analizar el impacto de implementacin de una red MPLS y la posibilidad de brindar VPNs sobre dicha red.

Estructura de la Tesis

CAPITULO 2 MARCO TERICO 2.1 Fundamentos MPLS Las topologas de maya parcial o de hub-and-spoke son una solucin menos costosa. Estas topologas usan un punto central para coordinar actividades, Sin embargo estas soluciones no proveen soluciones ptimas. Usando una topologa de malla parcial reduce el nmero de circuitos virtuales al mnimo nmero de circuitos que son necesarios para proveer un transporte ptimo entre sitios grandes. La topologa hub-and-spoke permite la reduccin definitiva en circuitos dentro de una topologa de malla parcial. Muchos sitios, o spoke, se conectan directamente a la central, o sitios, o hub, sin conectividad directa ocurriendo entre ellos. Para evitar puntos de fallo, la tecnologa hub-and-spoke a veces se extiende a una topologa hub-and-spoke redundante. 7

Concepto de MPLS MPLS (Multi-Protocol Label Switching) es una red privada IP que combina la flexibilidad de las comunicaciones punto a punto o Internet y la fiabilidad, calidad y seguridad de los servicios Private Line, Frame Relay o ATM. Ofrece niveles de rendimiento diferenciados y priorizacin del trfico, as como aplicaciones de voz y multimedia. Y todo ello es una nica red. MPLS es un mtodo para forwardear paquetes a travs de una red usando informacin contenida en etiquetas aadidas a los paquetes IP. Dichas etiquetas son insertadas entre los encabezados de capa 3 y los encabezados de capa 2 en el caso de las tecnologas de capa de enlace basadas en tramas o frames (Frame Relay, HDLC, etc.), y son contenidas dentro de los campos del VPI (Virtual Path Indetifier) y VCI (Virtual Channel Identifier) en el caso de las tecnologas basadas en celdas como lo es ATM. MPLS combina tecnologas de Switching de capa de enlace con tecnologas de ruteo de capa de red. El objetivo primario de MPLS es crear una malla de red flexible capaz de proveer performance y escalabilidad incrementales. Este hecho incluye proveer capacidades de Traffic Engineering y VPNs, que simultneamente ofrezcan Calidad de Servicio (QoS) mediante mltiples Clases de Servicio (CoS). Nota: El termino Multiprotocolo indica que la tcnica MPLS es aplicable a cualquier protocolo de capa de red, De todas manera, pondremos foco en este documento sobre el empleo del protocolo de capa de red IPv4. MPLS provee una combinacin de conmutacin de capa dos y enrutamiento de capa 3 para reenviar paquetes usando etiquetas de longitud mejorada. Usando MPLS en una red de rea amplia agrega muchas caractersticas tiles: MPLS ayuda a reducir el nmero de bsquedas de enrutamiento y puede cambiar los criterios de instalacin. Esta capacidad elimina la necesidad de ejecutar un determinado protocolo de enrutamiento en todos los dispositivos.

MPLS es un mecanismo de conmutacin que asigna etiquetas a los paquetes y luego utiliza las etiquetas para reenviar paquetes. 8

MPLS soporta transmisin de otros protocolos de TCP / IP. Conmutacin de etiquetas dentro de la red se produce de la misma manera, independientemente del protocolo de capa 3 que se utiliza.

Evolucin del MPLS La propuesta inicial de la tcnica de conmutacin basada en etiqueta consisti en proporcionar velocidades de conmutacin de capa 2 a la capa 3. Esta justificacin inicial para las tecnologas como MPLS dejo de ser percibida como un beneficio, ya que los nuevos switches de capa 3 lograban bsquedas de rutas en tablas, a suficiente velocidad como para soportar casi todos los tipos de interfaces disponibles. En cierta forma, el inters general en MPLS para ampliar se desarrollo motivo de la formacin del grupo de trabajo IETF MPLS en al ao 1997. MPLS ha evolucionado desde numerosas tecnologas pioneras incluyendo versiones propietarias de implementaciones de conmutacin de etiquetas (Label Switching) tales como Tag Switching de Cisco, Agregate Route-Based IP Switching (ARIS) de IBM, Cell-Switched Router de Toshiba, IP Switching de IPSILON y el IP Navigator de Lucen Technologies. Caractersticas de MPLS Su principal objetivo es crear redes flexibles y escalables con un incremento en el desempeo y la escalabilidad. Esto incluye Ingeniera de trfico y soporte de VPNs, el cual ofrece Calidad de Servicio (QoS) con mltiples clases de servicio (CoS). Las etiquetas son insertadas entre el encabezado de capa 3 y el encabezado de capa 2 para el paso de tecnologas basadas en frames.

Para tecnologas basadas en celdas, ATM por ejemplo estn contenidas en los campos del VPI y VCI.

Intenta conseguir las ventajas de ATM, pero sin sus inconvenientes.

MPLS se basa en el etiquetado de los paquetes en base a criterios de prioridad y/o calidad (QoS)

Asigna datagramas de cada flujo una etiqueta nica que permite la conmutacin rpida en los router intermedios (slo se mira la etiqueta, no la direccin de destino).

La idea de MPLS es realizar la conmutacin de los paquetes o datagramas en funcin de las etiquetas aadidas en capa 2 y etiquetar dichos paquetes segn la clasificacin establecida por la QoS en la SLA.

Por

lo

tanto

MPLS

es

una

tecnologa

que

permite

ofrecer

QoS,

independientemente de la red sobre la que se implementa.

El etiquetado en capa 2 permite ofrecer servicio multiprotocolo y ser portable sobre multitud de tecnologas de capa de enlace: ATM, FRAME RELAY, lneas dedicadas, LANs.

La plataforma de cisco soporta 3 mecanismos de conmutacin IP Proceso de conmutacin Conmutacin rpida Cisco Express Forwarding (CEF)

10

El ms reciente y preferido mecanismo de conmutacin de la plataforma de CISCO IOS es CEF, que incorpora lo mejor de los mecanismos de conmutacin previos. Uno de los beneficios de CEF es que este mecanismo soporta balanceo de carga por paquete, que fue previamente soportado slo por procesos de conmutacin, CEF tambin soporta balanceo de carga por origen y por destino, bsqueda de destino rpida y muchas otras caractersticas que no soportan otros mecanismos de conmutacin Debido a que existe una correlacin uno a uno entre las entradas FIB y entradas de la tabla de enrutamiento, el FIB contiene todas las rutas conocidas y elimina la necesidad de mantenimiento de cach de ruta que est asociado con las rutas de conmutacin como el cambio de conmutacin rpida y ptima. Ejemplo de Conmutacin IP estndar:

1. Cuando una actualizacin BGP es recibido y procesado en la tabla BGP, si la actualizacin es seleccionada como la mejor ruta, se crea una entrada en la tabla de enrutamiento. 11

2. Cuando el paquete llega por primera vez para este destino, el router trata de encontrar el destino en el cach de conmutacin rpida. Debido a que el destino no est en la cach de conmutacin rpida, proceso de cambio tiene que cambiar el paquete y una bsqueda recursiva se realiza para encontrar la interfaz de salida. Si la direccin de Capa 2 no se encuentra en la cach, una Address Resolution Protocol (ARP) se activa. En este ejemplo, si el destino est en la red 10.0.0.0 / 8, segn el BGP, el siguiente salto para llegar a esa red 172.16.3.4. Para llegar a la red 172.16.3.0/24, la interfaz de salida es Ethernet 0. Una vez que la va se encuentra, se crea una entrada en la cach de conmutacin rpida. 3. Todos los paquetes posteriores para el mismo destino son rpidos cambiado de acuerdo a un procedimiento de tres pasos:

El router procesa el paquete de inmediato, porque el cambio se produce en el cdigo de la interrupcin.

4. El router lleva a cabo operaciones de bsqueda rpida de destino, pero no las operaciones de bsqueda recursiva. La encapsulacin utiliza un pre generados de nivel 2 de encabezado que contiene el destino y origen de la capa 2 (MAC). (Ninguna solicitud de ARP o cach ARP de bsqueda es necesario.) Cuando un Router recibe un paquete que debe ser conmutado rpido, pero el destino del paquete no est en la cache de conmutacin, el paquete est en su lugar en el proceso de conmutacin. Para garantizar que los paquetes posteriores para el mismo prefijo de destino sean conmutados rpidamente, una completa tabla de enrutamiento de bsqueda se realiza y un entrada es creada en la cache de conmutacin rpida.

12

Arquitectura de Conmutacin CEF

2.2 Arquitectura del MPLS Para soportar mltiples protocolos, MPLS divide la arquitectura clsica del Routers en dos componentes principales: Plano de Control: Controla el intercambio de informacin de enrutamiento y el intercambio de la etiqueta entre los dispositivos adyacentes.

Plano de datos: Tambin conocido como el plano de reenvo, este plano de reenvo controles basados en las direcciones de destino sea o etiquetas. 2.2.1 El plano de control depende del protocolo de enrutamiento utilizado: Open Shortest Path First (OSPF) 13

Protocolo de Enrutamiento de Gateway Interior Mejorado (EIGRP) Sistema Intermedio a Sistema Intermedio (IS-IS) Protocolo de informacin de enrutamiento (RIP) BGP

El plano de control tambin requiere protocolos de intercambio de etiqueta, incluyendo el PLD MPLS y BGP, que es utilizado por MPLS VPN. MPLS Traffic Engineering utiliza RSVP para los recursos de reserva, o ancho de banda, en la red.

Cuando se habla de MPLS, hay dos trminos usados comnmente LSR: Un dispositivo que reenva paquetes primariamente basado en etiquetas EDGE LSR: Un dispositivo que primariamente etiqueta paquetes o elimina etiquetas LSR y EDGE LSR reenvan paquetes mediante decisiones de conmutacin basados en la etiqueta MPLS. LSR y EDGE LSR estn usualmente capacitados de hacer tanto conmutacin de etiquetas como enrutamiento IP. Sus nombres estn basados en la posicin del Routers y en el dominio MPLS. Los Routers que tiene todas las interfaces habilitadas para MPLS son llamados LSRs porque mayormente reenva paquetes etiquetados. Los Routers que tiene algunas interfaces que no estn habilitadas para MPLS estn usualmente en la frontera del dominio MPLS Sistemas-Autnomos (Ass). Estos Routers tambin reenvan paquetes basados en direcciones de destino IP y etiquetan los paquetes si la interface de salida est habilitada para MPLS.

El plano de control y el plano de datos en un LSR interactan y habilita la conmutacin de etiquetas y el reenvo de paquetes etiquetados.

Todos los LSRs deben realizar un nmero de funciones: 14

Intercambiar informacin de enrutamiento Intercambiar etiquetas Reenviar paquetes.

2.3 ASIGNACIN DE ETIQUETAS MPLS A LOS PAQUETES Asignacin de etiquetas en un modo de trama de etiquetas MPLS Son 4 los pasos que un Routers usa para la asignacin de etiquetas, la distribucin en una red de enrutamiento IP unicast y la funcionalidad del MPLS. Paso 1: El router intercambia informacin especificaciones del proveedor como OSPF, ISIS y EIGRP Paso2: Se generan etiquetas locales. Una etiqueta nica de nivel local es asignada a cada destino Ip que es encontrado en la tabla de enrutamiento principal y almacenado en la tabla de etiquetas de informacin base (LIB). Paso3: Etiquetas locales son propagadas a Routers adyacentes, donde esas etiquetas pueden ser usadas como etiquetas de siguiente salto. Paso4: Cada LSR construye su LIB, LFIB, y estructura de datos FIB basados en etiquetas recibidos. Como se lleva a cabo el reenvo de un paquete depende en que si el paquete es un paquete IP o un paquete etiquetado. Un paquete IP entrante es reenviado usando la tabla FIB y puede ser enviado como un paquete IP o como un paquete IP etiquetado. Un paquete entrante es reenviado usando la tabla LFIB y enviado como un paquete IP etiquetado. Si un router no recibe una etiqueta del router del siguiente salto, la etiqueta es removida y el paquete IP sin etiqueta es enviado.

PHP (PENULTIMATE HOP POPPING) 15

Usando PHP, un LSR quita le etiqueta ms externa de un paquete MPLS etiquetado antes de pasar el paquete a un LSR de frontera adyacente. La implementacin de PHP en las redes ofrecen ciertas caractersticas de calidad de servicio (QoS) toma una especial consideracin, y consecuentemente slo ciertos Routers en una red que tiene MPLS habilitado realizan la tarea. Por ejemplo los Routers de salida en la frontera de una red MPLS no usaran PHP.

Sin PHP, el LSR de borde tendra que realizar al menos dos consultas de etiqueta: La etiqueta externa: Esta etiqueta indica que el paquete estaba destinado a tener la etiqueta despojada en este router.

La etiqueta interna: Esta etiqueta identifica la instancia de VRF VIRTUAL ROUTING/FORWARDING usar para las bsquedas posteriores de enrutamiento IP.

CAPITULO III 16

REDES PRIVADAS VIRTUALES Definicin de VPN (Virtual Private Network) Actualmente el termino de VPN o Red Privada Virtual puede aplicase a varios concepto, ya que dependiendo del contexto, una VPN puede ser entendida como una red empresarial o una simple conexin entre PCs. Si bien este trmino entonces puede ser utilizado con diversos significados, este documento utiliza el trmino VPN definindolo como una red privada que utiliza virtualmente los recursos compartidos o pblicos de los proveedores de servicios. Entonces una red privada (red dedicada, accedida y administrada por sus propietarios), est constituida por recursos compartidos o pblicos (enlaces dedicados, circuitos virtuales y VPNs IP) de los proveedores de servicios, por lo que estos ltimos entienden a esa red privada como virtual por utilizar recursos compartidos. Los proveedores de servicios han brindado sus productos de redes virtuales a sus empresas clientes desde la introduccin de redes basadas en TDM y redes de conmutacin de paquetes de datos X.25. Ms recientemente, las redes basadas en Frame Relay y ATM con mltiples clases de servicios han reemplazado al X.25 y lneas dedicadas como TDM. Los proveedores de servicios contaban entonces con productos de VPN con redes fijas o basadas en la tasa de utilizacin de sus vnculos. El trmino de VPN ha sido utilizado por los proveedores de servicios para identificar circuitos virtuales de un grupo de usuarios desde la creacin y desarrollo de los servicios por X.25, Frame Relay y ATM. Recientemente, el trmino comenz a utilizarse por administradores de redes de empresas para identificar un grupo cerrado de usuarios con IP privadas. Por otro lado los clientes buscan unificar sus servicios de datos, voz y video. Ellos quieren servicios de administracin de IP con servicios de nivel agregado (SLA) y una calidad de servicio garantizada. La VPN basada en IP es rpidamente adoptada por la facilidad de consolidar servicios de datos, voz y video. Muchos proveedores de servicios estn ofreciendo aplicaciones de valor agregado sobre la base del transporte de sus redes VPNs. Servicios emergentes como e-commerce, hosting, voz sobre IP y aplicaciones de multimedia podran permitir a los proveedores de servicios generar nuevas ganancias y mantener una ventaja competitiva por una largo tiempo. Solamente dos arquitecturas de VPNs han evolucionado: IPSec y MPLS, estas tecnologas son diferentes pero complementarias. La VPN IP es la base que las compaas pueden utilizar para desarrollar o administrar servicios de valor agregado, incluyendo aplicaciones y almacenamiento de datos de redes comerciales y servicios de telefona. 17

En redes empresariales, las redes internas basadas en IP (Intranets) han cambiado sus aplicaciones de negocio a sus intranets para extenderse sobre redes de mayor alcance. Las compaas estn tambin adoptando la necesidad de sus clientes, proveedores, y socios utilizando Extranets. Con las Extranets, las compaas reducen los costos de los procesos de negocios facilitando la automatizacin de los procesos. Para tomar ventaja de sus oportunidades de negocio, los proveedores de servicio deben contar con una infraestructura de IP VPN que permita ofrecer servicio de redes privadas sobre una infraestructura compartida.

Necesidades de Servicio Servicios existentes: Por un largo tiempo han existido tecnologas para soportar las redes privadas virtuales, tal es el caso de Frame Relay y las lneas privadas. Las ventajas y desventajas de estas tecnologas, se muestran a continuacin:

Tecnologas

Frame Relay Las empresas eligieron los virtual de Frame Relay para tener un menor costo de implementacin y provisionar sus redes fcilmente, ms que las lneas privadas. El trfico de esta tecnologa es aislado ya que pasa por medio de una infraestructura pblica. Las empresas toman esto como seguro y rentable.

Lneas Privadas

Ventajas

Los circuitos dedicados generan un alto grado de control, calidad de servicio y un alto grado de seguridad para las empresas.

Desventajas Son menos costosas que Son muy costosas. las lneas privadas, pero ms costosas que las redes Dificultad para crecer en volumen, requiere de IP. circuitos dedicados desde No son muy escalables en cada sitio de la empresa redes grandes y se dificulta 18

el manejo virtuales (PVCs).

de circuitos hasta de los dems sitios. permanentes Difcil administracin, especialmente para redes No es flexible para conectar complejas y grandes. entre Extranets o accesos bsicos a internet.

Las empresas que mantienen sus redes de datos basadas en estos tipos de tecnologas, encuentran que estas desventajas sealadas en el cuadro anterior, pueden realmente estancar su crecimiento, debido a que las actuales tendencias impactan directamente a sus negocios: Incremento en la interconexin de empresas: La necesidad de intercambiar informacin y aplicativos de software, que permiten el negocio entre empresas y adems utilizar esta posibilidad como una estrategia de diferenciacin. Utilizacin de ancho de banda a bajo costo: Creciente demanda de banda a bajo precio, como son el acceso a internet por banda ancha utilizando las tecnologas DSL o cable modem. Incremento del desarrollo de aplicaciones de software basadas en IP: Crecimiento en aplicaciones basadas en IP, como aplicaciones de negocio web, e-mail y aquellas que permiten la implementacin de voz y video sobre IP. Presin sobre los costos: Reduccin de costos de capacidad y operacin, mejorando la eficiencia e incrementando la performance. Estas necesidades son algunas de las muchas que las empresas requieren hoy en da, sus implementaciones son un poco ms complejas, es por ello que los ISP estn trabajando para mejorar sus servicios.

Servicios en la Actualidad En la actualidad los ISP o proveedores de servicio, estn trabajando para mejorar el soporte de los requerimientos de las empresas, no solo para sus datos, sino tambin para la transmisin de voz y video. Adems la red del cliente debe proveer seguridad para la 19

conexin de los usuarios remotos, empleados y socios. Las empresas en la actualidad exigen estos servicios, pero a su vez tambin desean tener servicio a bajos costos y rentables. Mediante MPLS, los ISP ofrecen a sus clientes el transporte de sus redes de datos, dejando de lado la utilizacin de las redes tradicionales de lneas privadas y Frame Relay/ATM, sino evolucionando a redes IP VPN y dando a conocer algunos beneficios de esta tecnologa: Seguridad: Los niveles de seguridad otorgados por una red tradicional, pueden ser iguales a lo de una red del tipo IP VPN y con la ventaja que esta ltima est en constante evolucin y por ende permitir ms adelante crear nuevas herramientas para superarlas. Flexibilidad en el diseo de la red: Las empresas pueden cambiar sus tradicionales diseos de redes centralizadas hub-and-spoke hacia un diseo de todos los sitios interconectados en forma de maya full-mesh, para aplicaciones punto a punto. Conectividad any-to-any: La expresin any-to-any indica, la facilidad que tienen los clientes de interconectar sus sedes entre ellos. Las empresas pueden interconectar centrales, sucursales y sitios remotos por medio de una VPN IP. Acceso remoto: Evita la utilizacin de llamadas del tipo internacional o del tipo 0800 para realizar conexiones dial-up remotas y permitiendo realizar llamadas locales o arrendar acceso a internet local para luego despus ser parte de la VPN IP. Nuevas aplicaciones: El protocolo IP habilita la evolucin de las aplicaciones de software para transmitir datos, como lo son el e-mail, mensajera instantnea y web. Pero adicionalmente IP provee un mecanismo para aplicaciones multimedia, como suelen ser comunicaciones de voz, streaming de video, y entrega / distribucin de contenido. Interconexin con otras empresas: La conectividad entre empresas con relaciones del tipo sociedades o cliente-proveedor pueden ser conectadas en menor tiempo y con mayor flexibilidad conectando mltiples sitios utilizando una VPN IP que con una red tradicional. Adicionalmente en las redes Frame Relay, ATM esto podra requerir que ambas empresas estn subscritas al mismo ISP.

Evolucin de las Redes Privadas Virtuales Los proveedores de servicios han estado ofreciendo servicios de VPN a sus clientes corporativos desde la concepcopn de la redes TDM (lineas dedicadas punto a punto) y las 20

redes de paquetes X.25. Mas recientemente, dichas redes fueron reemplazadas por redes Frame Relay y ATM con multiples clases de servicio. El termino de VPN ha sido empleado por los proveedores de servicios para identifiacar a los grupos cerrados de circuitos virtuales de usuario desde la creacion de las redes X.25, Frame Relay, etc.; y mas recientemente, el termino ha sido usado para identificcar grupos de usuarios IP privados. Los clientes corporativos han reconocido las ventajas que proporciona la terciarizacion del servicio outsourcing de sus redes de servicios IP y la consolidacion de los servicio de voz, datos y video. Al mismo tiempo, solicitan la administracion de dichos servicios IP con acuerdos de nivel de servicio extremo a extremo (SLA: service-level agreements) y calidad de servicio garantizado (QoS). La VPN IP ha estado convirtiendose en la base de la pricision de servicios de voz, datos y video. Muchos proveedores de servicios se encuentran ofreciendo aplicacionmes de valor agregado sobre sus redes VPN de transporte. Los servicios emergentes, tales como ecommerce, aplicaicones de hosting (alamcenamiento), y aplicaciones de multimedia, permitiran a los proveedores de servicios generar una nueva ganancia incremental y mantener una ventaja competitiva a largo plazo. Dos tecnologias unicas y complementarias de arquitectura de VPN tales como IPSec y MPLS forman la base predominante para la provision de servicios consolidados. Las caracteristicas de IP VPN para MPLS permite desarrollar redes backbone de servicios escalables mediante VPNs de capa de red Ipv4. Mediante una IP VPN una compaa puede desarrollar y administrar servicios de valor agregado, incluyendo aplicaciones de datos y servicios de telefonia para negocios. En las redes corporativas las intranets basadas en IP han cambiado la manera de conducir los negocios empresariales, las compaias estan migrando sus aplicaciones comerciales hacia su intranet para luego extender la misma hacia redes extendidas (WAN). Al mismo tiempo, las compaias unifican las necesidades de sus clientes, proveedores y socios por medio de la implementacion de extranets, mediante las cuales, las com`paias facilitan la reduccion de costos de procesos de negocios, proporcionando cadenas de automatizacion, intercambio electronico de la informacion (EDI)., etc. Para 21

tomar ventaja de esta oportunidad de negocio, los proveedores de servicios deberan poseer una infraestructura de IP VPN capaz de proporcionar servicios a redes probadas sobre una red compartida.

Tecnologa MPLS VPN Arquitectura MPLS/VPN Las VPN han sido envueltas en un nmero de conceptos de redes virtuales, las cuales vemos a continuacin: Las Vlan permiten implementar aisladas redes de rea locales sobre una infraestructura fsica nica.

Las redes Privadas Virtuales de acceso telefnico (VPDNs) le permite utilizar el acceso telefnico en la infraestructura de un ISP para las conexiones de acceso telefnico privado.

VPN nos permite utilizar la infraestructura compartida de un ISP para implementar redes privadas. Existen 2 modelos de implementacin:

Superposicin de VPN: Incluye tecnologas como X.25, Frame Relay, ATM para capa 2 sobre VPN, y para capa 3 sobre VPN. Con la superposicin de redes Privadas Virtuales, los ISP proporcionan enlaces virtuales punto a punto entre las instalaciones del cliente. VPN punto a punto: Implementado con Routers y filtros respectivos, con los Routers por separado para cada cliente, o con la tecnologa MPLS VPN. Con VPN punto a punto, los ISP participan en el enrutamiento del cliente. Superposicin de VPN en las capas 1,2 y 3 22

VPN de Capa 1: El modelo de la capa 1 sobre VPN es mencionada solo por razones histricas. Esta implementacin adopta el tradicional Time Divisin Multiplexing (TDM). El ISP vende circuitos de Capa 1 del modelo OSI (tubos de bits) que se implementan con tecnologas como RDSI, nivel de servicio digital Zero (DS0), E1/T1, jerarqua de sincronizacin digital (SDH), y SONE. Esencialmente esto significa que el ISP asigna tuberas de bits y establece la capa fsica (Capa 1) de conectividad. El cliente implementa todas las capas superiores, tales como PPP, HDLC, y la propiedad intelectual. VPN de Capa 2: El modelo sobre capa 2 es una tradicional modelo de conmutacin WAN y es la base para las implementaciones tradicionales de VPN. Un recubrimiento de capa 2 sobre VPN es implementado con tecnologas como X.25, Frame Relay, ATM y Switched Multimegabit Data Service (SDMS). Usando el modelo de VPN capa 2, el ISP vende circuitos virtuales (VCs) entre las instalaciones del cliente como un reemplazo de enlaces dedicados punto a punto. El ISP es responsable del transporte de tramas de nivel 2 entre los sitios de los clientes, y el cliente es responsable de todas las capas superiores. VPN de Capa 3: Desde el punto de vista de nivel 3, las red de los ISP son invisibles a los Routers de los clientes que estn vinculados con enlaces emulados punto a punto. Un tnel IP permite que un destino se alcance de forma transparente, sin la necesidad de tener que conocer detalles de la topologa. Por lo tanto, las redes virtuales pueden ser creadas mediante la vinculacin de equipos desconectados, o equipos juntos a travs de un tnel. Los tneles tambin permiten el uso de una red privada a travs de las Backbone de los ISP sin la necesidad de NAT. El modelo de VPN de capa 3 establece tneles con GRE o con IPSec. Los protocolos de enrutamiento se ejecutan directamente entre los Routers del cliente que establecen adyacencias de enrutamiento intercambian informacin e enrutamiento. El ISP no tiene conocimiento del enrutamiento de los clientes y no tienen informacin acerca de los Routers de los clientes. La responsabilidad del ISP es simplemente proveer el transporte de los datos del cliente punto a punto entre las sedes del cliente. VPN punto a punto

23

El inconveniente ms significativo del modelo VPN de Capa 2 es la necesidad de los clientes para establecer enlaces punto a punto o Circuitos virtuales (VCs) entre sus sedes. El modelo Punto a Punto adopta un esquema simple de enrutamiento para el cliente. Tanto el ISP y las redes de los clientes utilizan el mismo protocolo de red, y el ncleo del ISP lleva todas las rutas de los clientes. Los Routers del proveedor de frontera (PE) intercambian informacin de enrutamiento con los Routers del cliente (CE), y los Routers CE y PE en cada sitio establecen adyacencias de enrutamiento de capa 3 entre ellos mismos. Debido a esta implementacin, el enrutamiento Punto a Punto entre sedes es ahora ptimo. Un despliegue completamente enmallado de enlaces punto a punto o VCs sobre el

Backbone del ISP ya no es requerida para el consecuente enrutamiento ptimo. Puesto que no hay superposicin de malla a que enfrentar, es fcil aadir nuevas sedes y dimensionamiento de capacidad de circuito, no se crean problemas. Debido a que ahora el ISP participa en el enrutamiento del cliente, el espacio de direcciones del proveedor asignado o de pblico tiene que ser desplegados en la red del cliente, por lo tanto el direccionamiento privado no es ms una opcin.

Ventajas y Desventajas de los modelos de Implementacin VPN Cada modelo de VPN tiene beneficios y desventajas. Desventajas de la Superposicin de VPN Existen 2 beneficios de la superposicin de VPN: 24

La superposicin de VPN son bien conocidos y fciles de implementar, tanto en los clientes como en el ISP

Los ISP no participan en el enrutamiento del cliente, haciendo del punto de demarcacin entre el ISP y el cliente, tareas fciles de administrar.

Existen 3 desventajas de la superposicin de VPN: VPN de capa 2 requiere una malla completa de Circuitos Virtuales entre las sedes del cliente para proveer un enrutamiento ptimo entre sedes.

Todos los VCs entre las sedes del cliente, tienen que ser provistos de forma manual, y el ancho de banda debe ser aprovisionado en una base site to site (lo cual no siempre es fcil de conseguir).

La implementacin de VPN de capa 3 basado en IP (con IPSec o GRE) incurre en altos gastos de encapsulacin desde los 20 bytes hasta los 80 bytes por datagrama de transporte.

Desventajas de las VPN Punto a Punto Hay 2 ventajas de las VPN Punto a Punto: Enrutamiento optimo entre los sitios del cliente sin ningn diseo especial o esfuerzo de configuracin.

Fcil aprovisionamiento de redes privadas virtuales adicionales o sitios de clientes, debido a que los ISP aprovisionan solo sitios individuales, no los enlaces entre los sitios individuales del cliente.

25

La mayor desventaja de la VPN Punto a Punto, se derivan de la participacin del ISP en el enrutamiento del cliente, tales como las siguientes situaciones:

El ISP se hace responsable del correcto enrutamiento del cliente y de la rpida convergencia de la red del cliente (C-network) a raz de una falla de enlace.

Los Routers ISP PE tienen que llevar todas las rutas de los clientes que estaban ocultas desde el ISP en el modelo de superposicin de VPN.

El ISP necesita un conocimiento detallado del enrutamiento fcilmente disponible en lo tradicionales equipos del ISP.

IP, que no est

Non-Service Provider-Related Drawbacks of Peer-to-Peer VPNs Adems de los inconvenientes relacionados con el ISP, VPNs de igual a igual tienen otros inconvenientes comunes. Los clientes tienen que compartir el mismo espacio de direccin global, adems de usar sus propias IPs publicas o apoyndose en las direcciones asignadas por el Proveedor. En ambos casos, al conectar un nuevo cliente a un servicio VPN Punto a Punto, usualmente requiere remuneracin de IP dentro de una red clase C. Esta es una operacin que la mayora de clientes son reacios a realizar. Las VPN Punto a Punto que son basadas en filtros de paquete tambin incurren en altos costos operativos. Estos costos son asociados con el mantenimiento del filtro del paquete y una degradacin del rendimiento. Las VPN Punto a Punto que se implementan con los Routers PE del cliente son ms fciles de mantener y pueden proporcionar un rendimiento ptimo de enrutamiento. Sin embargo, suelen ser ms caros porque cada cliente requiere un router dedicado en todos 26

los puntos de presencia (POP). Por lo tanto, este enfoque suele ser utilizado si el ISP tiene slo un pequeo nmero de grandes clientes. Arquitectura de MPLS La arquitectura de MPLS ofrece a los ISP una arquitectura VPN Punto a Punto que combina las mejores caractersticas de la superposicin de VPN (apoyado por la superposicin de los espacios de las direcciones del cliente) con las mejores caractersticas de VPN Punto a Punto.

Caractersticas de MPLS VPN Los Routers PE participan en el enrutamiento del cliente, garantizando el ptimo enrutamiento entre las sucursales del cliente.

Los Routers PE usan una tabla de enrutamiento virtual separada para cada cliente, dando lugar a un aislamiento perfecto entre clientes.

Los clientes pueden usar direcciones recursivas.

27

En este ejemplo de MPLS VPN, hay dos partes de la red:

Una parte controlada por el cliente (Red C) y una parte controlada por el Proveedor (Red P)

Las partes contiguas de la RED-C se denominan sitios, y estn vinculadas con la RED-P a travs de los Routers CE (Customer A Site 2, Customer A Site 3, y as sucesivamente). Los Routers CE se conectan con los Routers PE que sirven como dispositivos extremos de la RED-P. Los dispositivos CORE en la RED-P proveen transporte a travs de un proveedor Backbone y no tienen rutas al cliente.

28

Esta figura se muestra que la arquitectura de un router PE en un MPLS VPN es muy similar a la arquitectura de un POP el router dedicado PE del modelo Punto a Punto. La nica diferencia es que parte de la arquitectura del router PE es condensada dentro de un dispositivo fsico. A cada cliente se le asigna una tabla de enrutamiento independiente, o una tabla de enrutamiento y reenvo virtual (VRF). Esta tabla de enrutamiento corresponde al router dedicado PE en el tradicional modelo Punto a Punto. El enrutamiento a travs del proveedor Backbone esta realizado por otro proceso de enrutamiento que usa una tabla de enrutamiento IP global. La arquitectura MPLS VPN ofrece las mejores caractersticas de ambos; Superposicin de VPN y VPN Punto a Punto.

29

El software de los IOS de Cisco implementan aislamiento entre los clientes a travs de las tablas VRF. La parte del router PE sigue configurado y administrado como un dispositivo nico, no como un conjunto de Routers virtuales.

Propagacin de la Informacin de Enrutamiento a travs de la Red del Proveedor Aunque los VRF proveen aislamiento entre los clientes, la informacin de estas tablas de enrutamiento todava tienen que ser intercambiadas entre los Routers PE para habilitar las transferencia de datos entre los sitio que estn conectados a diferentes Routers PE. Por lo tanto, t debes elegir un protocolo de enrutamiento que pueda transportar todos los Routers del cliente a travs de la RED-P., manteniendo la independencia de cada uno de los espacios de direccin del cliente. La mejor solucin para el problema de la propagacin del router del cliente es la de correr un protocolo de enrutamiento entre los Routers PE que intercambiaran las rutas de los clientes sin la participacin de los Routers P.

La figura mostrada es escalable. Esto trae algunos beneficios: 30

El nmero de protocolos de enrutamiento que corre entre los Routers PE no aumenta con un nmero creciente de clientes.

Los Routers P no tienen rutas de clientes.

La decisin de diseo al lado es la opcin de ejecutar el protocolo de enrutamiento entre los Routers PE. Debido a que el numero total de rutas de lo clientes se espera que sea muy grande, el nico protocolo conocido con la escalabilidad necesaria es Border Gateway Protocol (BGP). Por lo tanto, BGP se utiliza en la arquitectura MPLS VPN para el transporte de las rutas de los clientes directamente entre Routers PE.

Describiendo la Tecnologa MPLS VPN Usando RDs en una MPLS VPN La arquitectura de MPLS VPN difiere de la solucin tradicional VPN Punto a Punto en el apoyo de la superposicin de espacios de direcciones del cliente. Al implementar el protocolo de enrutamiento BGP nica para el intercambio de todas las rutas de los clientes entre los Routers PE, surge una pregunta importante. Cmo se puede BGP propagar varios prefijos idnticos, pertenecientes a distintos clientes entre los Routers PE? La nica solucin para este dilema es la expansin de prefijos IP del cliente con un nico prefijo que haga nica las direcciones, incluso si las direcciones se haban solapado con anterioridad. MPLS VPN usa un prefijo de 64 bits llamado Distintivo de Ruta (RD) para convertir a los no nicos 32 bits de las direcciones IPv4 del cliente a 96 bits de direcciones nicas que puedan ser transportadas entre los Routers PE. 31

El RD es usado nicamente para transformar los no nicos 32 bits de las direcciones IPv4 del cliente en las direcciones nicas de VPN de 96 bits versin 4 (VPNv4). Estas direcciones son adems llamadas Direcciones VPN IPv4. Las direcciones de VPN IPv4 son intercambiadas solamente entre los Routers PE; las direcciones no se usan entre los Routers CE. La sesin BGP entre los Routers PE deben por lo tanto soportar el intercambio del prefijo tradicional IPv4 y el intercambio de prefijos VPN IPv4. Una sesin BGP entre Routers PE deben soportar mltiples protocolos , por lo que una sesin MBGP se establece.

32