Você está na página 1de 44

MUM Brasil 2013

Autenticao atravs de MPLS/VPLS


Eduardo Braum
Fernando Klabunde

MUM Brasil 2013

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


ndice da apresentao
* A estrutura da empresa
* Problemas vividos
* Solues estudadas e adotadas
* MPLS
* VPLS
* Estudos de caso
* Implementao
* Consideraes finais

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


A Empresa
* A mais de 13 anos na atividade de provedor de internet para
Carazinho e regio do planalto mdio gacho;
* Pertencente ao Grupo Razaoinfo de Passo Fundo/RS;
* Empresa lder do segmento Internet dentro da regio Norte do
Rio Grande do Sul com foco em prestar um servio de qualidade
e com alta tecnologia;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Estrutura
* Mais de 1Gb de link contratados com operadoras Telecom;
* Utilizao de AS e BGP com operadoras;
* Fibra-ptica para a entrega principal de link;
* Redundncia no recebimento de link atravs de rdios de
frequncia fechada;
* Hardwares mistos dentro do Data Center;
* Mais de 50 POPs para distribuio de sinal;
* Ampliando backbone Gpon para entrega de fibra ptica;
* Atualmente usando apenas FTTB e FTTC;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Estrutura antiga de rede
* Toda a rede em bridge;
* Autenticao do cliente atravs de IP;
* Controle de MAC por access-list;
* Seguidas quedas de rede por looping e/ou estouros de
broadcast;
* Performance baixa;
* Latncia alta;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


As alternativas - Parte I
* Segmentar a rede;
* Roteamento nas clulas;
* Hostspot no escritrio;
* PPPoE no escritrio - Soluo adotada em paralelo com a
estrutura antiga;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Resultado - Parte I
* De inicio funcionou bem;
* Um nico servidor no atendia toda a demanda;
* Necessrio direcionar os clientes para um segundo servidor;
* Rede estava crescendo muito rpido e problemas se
agravando;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


As Alternativas - Parte II
* Concentrar clientes PPPoE na clula;
* VLAN das clulas at os servidores;
* Segmentao fsica da rede (Isolar as clulas por porta de
rede em cada servidor);
* MPLS/VPLS (Criar uma nuvem MPLS e fazer o tunelamento
da clula at cada servidor) sendo est a adotada;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


MPLS
* O MPLS (Multiprotocol Label Switching) um protocolo de
roteamento baseado em pacotes rotulados;
* O objetivo de uma rede MPLS no o de se conectar diretamente
a sistemas finais. Ao invs disto ela uma rede de trnsito,
transportando pacotes entre pontos de entrada e sada;
* Padro que foi feito com base em diversas tecnologias similares
desenvolvidas por diferentes fabricantes. Ele referido por
documentos do IETF como sendo uma camada intermediria
entre as camadas 2 e 3, fazendo com que estas se encaixem
melhor;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Rede Bridge

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Rede Bridge
* Impossvel montar a nuvem MPLS em uma rede sem
equipamentos que suportem o protocolo MPLS;
* Rede vulnervel at mesmo a problemas com vrus nas
mquinas ligadas diretamente na rede;
* Clientes finais no devem ficar ligados diretamente no core da
rede, evitar de todas as maneiras deixar que qualquer
dispositivo que no tenha como finalidade o transporte aos
clientes estarem no core;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Rede Ideal

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Rede Ideal
* Independente da forma como o link chega at o n de rede
que atende o cliente, ser necessrio um equipamento que
suporte o protocolo MPLS;
* Cliente final com computador isolado por roteamento ou NAT
seja na antena(casa) ou no roteador(prdio);
* Somente equipamentos da empresa no core de rede,
impedindo qualquer tipo de looping tpico em redes Bridge
causados at mesmo por um cabo com as 2 pontas ligados no
mesmo Hub.

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


VPLS
* VPLS, ou Virtual Private LAN Service, usado para emular
uma rede local sobre uma rede MPLS;
* Na viso do cliente toda a rede do provedor vista como um
grande Hub;
* Toda comunicao entre os pontos interligados feita a nvel 2
da camada OSI. O provedor de servios analisar o pacote
apenas at a camada de enlace, ignorando completamente as
informaes no cabealho da camada de rede.

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


VPLS Viso do provedor

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


VPLS Viso do cliente

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Vantagens e Desvantagens
* Carga de CPU mais baixa que uma rede puramente roteada, o
roteador somente analisa o rtulo do pacote e encaminha ao
tnel via MPLS.
* Fornece transparncia a uma rede roteada, com segurana
efetiva, e com possibilidade de contingencia;

* Requer alto conhecimento tcnico;


* Requer anlise de MTU de toda a rede para que seja possvel
estabelecer os tneis;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Casos de estudo

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Casos de estudo

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Casos de estudo

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Servidor
* Adicionar interface LOOPBACK;
* Atrelar endereo /32 a LOOPBACK;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Servidor
* Adicionar endereo a interface em bridge com o destino a ser
configurado;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Servidor
* Menu: MPLS->MPLS;
* Adicionar a interface LOOPBACK em LDP Interface com seu
endereo /32 da LOOPBACK;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Servidor
* Menu: MPLS->MPLS;
* Acessar LDP Settings selecionar ENABLED;
* LSR ID e Transport Address dever ser o endereo /32 da LOOPBACK;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Servidor
* Menu: MPLS->MPLS->MPLS Interface;
* Todos equipamentos da bridge esto adequados para suportar MTU
maior que 1500?

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Servidor
* L2MTU
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Servidor
* Menu: MPLS->VPLS;
* Adicionar uma nova VPLS com o IP da LOOPBACK do destino;
* Designar um ID (Rtulo) para esse tnel;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Servidor
* Menu: IP->Routes;
* Informar a rota de onde est a LOOPBACK do outro equipamento;
* Obs: Pode ser implementado OSPF;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Servidor
* Menu: PPP->PPPoE Server;
* Adicionar um novo servidor PPPoE ao tnel VPLS criado;
* Poderia ser um Hotspot, ou at mesmo um IP na interface VPLS;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Destino
* Adicionar interface LOOPBACK;
* Atrelar endereo /32 a LOOPBACK;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Destino
* Adicionar endereo a interface em bridge com o servidor;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Destino
* Menu: MPLS->MPLS;
* Adicionar a interface LOOPBACK em LDP Interface com seu endereo /
32 da LOOPBACK;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Destino
* Menu: MPLS->MPLS;
* Acessar LDP Settings selecionar ENABLED;
* LSR ID e Transport Address dever ser o endereo /32 da LOOPBACK;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Destino
* Menu: MPLS->MPLS->MPLS Interface;
* Todos equipamentos da bridge esto adequados para suportar MTU
maior que 1500?

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Destino
* L2MTU
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Destino
* Menu: MPLS->VPLS;
* Adicionar uma nova VPLS com o IP da LOOPBACK do servidor;
* Designar o mesmo ID para esse tnel que j foi colocado no servidor;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Destino
* Menu: Bridge->Bridge;
* Adicionar uma nova bridge;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Destino
* Menu: Bridge->Ports;
* Adicionar a bridge que acabou de ser criada as interfaces onde os
clientes esto conectados e juntamente a isso a VPLS criada;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Configurao Destino
* Menu: IP->Routes;
* Adicionar a rota default, caso ela no seja o mesmo servidor que
estamos estabelecendo o tnel, informar a rota 1.1.1.1 -> 192.168.0.1;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Verificar Servidor
* O tnel deve ter sido estabelecido, vamos verificar;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Verificar Destino
* O tnel deve ter sido estabelecido, vamos verificar;

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Pronto!
Aps estas configuraes temos a rede com um tnel VPLS sobre MPLS
onde os clientes finais somente veem o trfego passante pelo tnel,
sendo assim, isolados da estrutura de transporte da rede (core) e de
outras clulas, prdios ou qualquer coisa fora do tnel.
Obs:
O tunelamento s se torna 100% eficiente quando feito na rede inteira,
quem est dentro de um tnel somente prejudica o trfego daquele tnel!
Se existirem clientes diretamente ligados ao core de rede e estes por
acaso derem um problema (looping, equipamento com problema, etc.) que
seja possvel prejudicar o core, ir prejudicar os tneis criados.
Cliente no core: NO!

Autenticao atravs de MPLS/VPLS

MUM Brasil 2013


Obrigado!

Eduardo Braum Gerente Tecnologia de Informao (54) 8429-2425


eduardo@wavetec.com.br
Fernando Klabunde Supervisor de Rede (54) 8429-2429
fernandok@wavetec.com.br

Autenticao atravs de MPLS/VPLS