Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Braum

    Enviado por

    Cci Teleco
    28 visualizações44 páginas
    O documento descreve como a empresa Wavetec implementou autenticação de clientes através de MPLS/VPLS para resolver problemas de desempenho e estabilidade na rede causados por uma estrutura antiga em bridge. A solução criou túneis VPLS sobre MPLS para isolar o tráfego de clientes entre pontos remotos, melhorando o roteamento e a segurança.

    Descrição original:

    Autenticação MPLS

    Título original

    braum

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    O documento descreve como a empresa Wavetec implementou autenticação de clientes através de MPLS/VPLS para resolver problemas de desempenho e estabilidade na rede causados por uma estrutura antiga em bridge. A solução criou túneis VPLS sobre MPLS para isolar o tráfego de clientes entre pontos remotos, melhorando o roteamento e a segurança.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    28 visualizações44 páginas

    Braum

    Enviado por

    Cci Teleco
    O documento descreve como a empresa Wavetec implementou autenticação de clientes através de MPLS/VPLS para resolver problemas de desempenho e estabilidade na rede causados por uma estrutura antiga em bridge. A solução criou túneis VPLS sobre MPLS para isolar o tráfego de clientes entre pontos remotos, melhorando o roteamento e a segurança.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 44

    MUM Brasil 2013

    Autenticao atravs de MPLS/VPLS


    Eduardo Braum
    Fernando Klabunde

    MUM Brasil 2013

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    ndice da apresentao
    * A estrutura da empresa
    * Problemas vividos
    * Solues estudadas e adotadas
    * MPLS
    * VPLS
    * Estudos de caso
    * Implementao
    * Consideraes finais

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    A Empresa
    * A mais de 13 anos na atividade de provedor de internet para
    Carazinho e regio do planalto mdio gacho;
    * Pertencente ao Grupo Razaoinfo de Passo Fundo/RS;
    * Empresa lder do segmento Internet dentro da regio Norte do
    Rio Grande do Sul com foco em prestar um servio de qualidade
    e com alta tecnologia;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Estrutura
    * Mais de 1Gb de link contratados com operadoras Telecom;
    * Utilizao de AS e BGP com operadoras;
    * Fibra-ptica para a entrega principal de link;
    * Redundncia no recebimento de link atravs de rdios de
    frequncia fechada;
    * Hardwares mistos dentro do Data Center;
    * Mais de 50 POPs para distribuio de sinal;
    * Ampliando backbone Gpon para entrega de fibra ptica;
    * Atualmente usando apenas FTTB e FTTC;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Estrutura antiga de rede
    * Toda a rede em bridge;
    * Autenticao do cliente atravs de IP;
    * Controle de MAC por access-list;
    * Seguidas quedas de rede por looping e/ou estouros de
    broadcast;
    * Performance baixa;
    * Latncia alta;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    As alternativas - Parte I
    * Segmentar a rede;
    * Roteamento nas clulas;
    * Hostspot no escritrio;
    * PPPoE no escritrio - Soluo adotada em paralelo com a
    estrutura antiga;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Resultado - Parte I
    * De inicio funcionou bem;
    * Um nico servidor no atendia toda a demanda;
    * Necessrio direcionar os clientes para um segundo servidor;
    * Rede estava crescendo muito rpido e problemas se
    agravando;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    As Alternativas - Parte II
    * Concentrar clientes PPPoE na clula;
    * VLAN das clulas at os servidores;
    * Segmentao fsica da rede (Isolar as clulas por porta de
    rede em cada servidor);
    * MPLS/VPLS (Criar uma nuvem MPLS e fazer o tunelamento
    da clula at cada servidor) sendo est a adotada;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    MPLS
    * O MPLS (Multiprotocol Label Switching) um protocolo de
    roteamento baseado em pacotes rotulados;
    * O objetivo de uma rede MPLS no o de se conectar diretamente
    a sistemas finais. Ao invs disto ela uma rede de trnsito,
    transportando pacotes entre pontos de entrada e sada;
    * Padro que foi feito com base em diversas tecnologias similares
    desenvolvidas por diferentes fabricantes. Ele referido por
    documentos do IETF como sendo uma camada intermediria
    entre as camadas 2 e 3, fazendo com que estas se encaixem
    melhor;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Rede Bridge

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Rede Bridge
    * Impossvel montar a nuvem MPLS em uma rede sem
    equipamentos que suportem o protocolo MPLS;
    * Rede vulnervel at mesmo a problemas com vrus nas
    mquinas ligadas diretamente na rede;
    * Clientes finais no devem ficar ligados diretamente no core da
    rede, evitar de todas as maneiras deixar que qualquer
    dispositivo que no tenha como finalidade o transporte aos
    clientes estarem no core;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Rede Ideal

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Rede Ideal
    * Independente da forma como o link chega at o n de rede
    que atende o cliente, ser necessrio um equipamento que
    suporte o protocolo MPLS;
    * Cliente final com computador isolado por roteamento ou NAT
    seja na antena(casa) ou no roteador(prdio);
    * Somente equipamentos da empresa no core de rede,
    impedindo qualquer tipo de looping tpico em redes Bridge
    causados at mesmo por um cabo com as 2 pontas ligados no
    mesmo Hub.

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    VPLS
    * VPLS, ou Virtual Private LAN Service, usado para emular
    uma rede local sobre uma rede MPLS;
    * Na viso do cliente toda a rede do provedor vista como um
    grande Hub;
    * Toda comunicao entre os pontos interligados feita a nvel 2
    da camada OSI. O provedor de servios analisar o pacote
    apenas at a camada de enlace, ignorando completamente as
    informaes no cabealho da camada de rede.

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    VPLS Viso do provedor

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    VPLS Viso do cliente

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Vantagens e Desvantagens
    * Carga de CPU mais baixa que uma rede puramente roteada, o
    roteador somente analisa o rtulo do pacote e encaminha ao
    tnel via MPLS.
    * Fornece transparncia a uma rede roteada, com segurana
    efetiva, e com possibilidade de contingencia;

    * Requer alto conhecimento tcnico;


    * Requer anlise de MTU de toda a rede para que seja possvel
    estabelecer os tneis;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Casos de estudo

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Casos de estudo

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Casos de estudo

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Servidor
    * Adicionar interface LOOPBACK;
    * Atrelar endereo /32 a LOOPBACK;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Servidor
    * Adicionar endereo a interface em bridge com o destino a ser
    configurado;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Servidor
    * Menu: MPLS->MPLS;
    * Adicionar a interface LOOPBACK em LDP Interface com seu
    endereo /32 da LOOPBACK;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Servidor
    * Menu: MPLS->MPLS;
    * Acessar LDP Settings selecionar ENABLED;
    * LSR ID e Transport Address dever ser o endereo /32 da LOOPBACK;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Servidor
    * Menu: MPLS->MPLS->MPLS Interface;
    * Todos equipamentos da bridge esto adequados para suportar MTU
    maior que 1500?

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Servidor
    * L2MTU
    http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Servidor
    * Menu: MPLS->VPLS;
    * Adicionar uma nova VPLS com o IP da LOOPBACK do destino;
    * Designar um ID (Rtulo) para esse tnel;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Servidor
    * Menu: IP->Routes;
    * Informar a rota de onde est a LOOPBACK do outro equipamento;
    * Obs: Pode ser implementado OSPF;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Servidor
    * Menu: PPP->PPPoE Server;
    * Adicionar um novo servidor PPPoE ao tnel VPLS criado;
    * Poderia ser um Hotspot, ou at mesmo um IP na interface VPLS;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Destino
    * Adicionar interface LOOPBACK;
    * Atrelar endereo /32 a LOOPBACK;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Destino
    * Adicionar endereo a interface em bridge com o servidor;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Destino
    * Menu: MPLS->MPLS;
    * Adicionar a interface LOOPBACK em LDP Interface com seu endereo /
    32 da LOOPBACK;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Destino
    * Menu: MPLS->MPLS;
    * Acessar LDP Settings selecionar ENABLED;
    * LSR ID e Transport Address dever ser o endereo /32 da LOOPBACK;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Destino
    * Menu: MPLS->MPLS->MPLS Interface;
    * Todos equipamentos da bridge esto adequados para suportar MTU
    maior que 1500?

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Destino
    * L2MTU
    http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Destino
    * Menu: MPLS->VPLS;
    * Adicionar uma nova VPLS com o IP da LOOPBACK do servidor;
    * Designar o mesmo ID para esse tnel que j foi colocado no servidor;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Destino
    * Menu: Bridge->Bridge;
    * Adicionar uma nova bridge;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Destino
    * Menu: Bridge->Ports;
    * Adicionar a bridge que acabou de ser criada as interfaces onde os
    clientes esto conectados e juntamente a isso a VPLS criada;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Configurao Destino
    * Menu: IP->Routes;
    * Adicionar a rota default, caso ela no seja o mesmo servidor que
    estamos estabelecendo o tnel, informar a rota 1.1.1.1 -> 192.168.0.1;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Verificar Servidor
    * O tnel deve ter sido estabelecido, vamos verificar;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Verificar Destino
    * O tnel deve ter sido estabelecido, vamos verificar;

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Pronto!
    Aps estas configuraes temos a rede com um tnel VPLS sobre MPLS
    onde os clientes finais somente veem o trfego passante pelo tnel,
    sendo assim, isolados da estrutura de transporte da rede (core) e de
    outras clulas, prdios ou qualquer coisa fora do tnel.
    Obs:
    O tunelamento s se torna 100% eficiente quando feito na rede inteira,
    quem est dentro de um tnel somente prejudica o trfego daquele tnel!
    Se existirem clientes diretamente ligados ao core de rede e estes por
    acaso derem um problema (looping, equipamento com problema, etc.) que
    seja possvel prejudicar o core, ir prejudicar os tneis criados.
    Cliente no core: NO!

    Autenticao atravs de MPLS/VPLS

    MUM Brasil 2013


    Obrigado!

    Eduardo Braum Gerente Tecnologia de Informao (54) 8429-2425


    eduardo@wavetec.com.br
    Fernando Klabunde Supervisor de Rede (54) 8429-2429
    fernandok@wavetec.com.br

    Autenticao atravs de MPLS/VPLS

    Você também pode gostar