layer-3 vpn
TRANSCRIPT
VPN - Virtual Private Network
Rosmida Syarif Edvian
Topik bahasan
- Konsep VPN
- Parameter Layer-3 VPN
-VRF,RD,RT,MPBGP
- Mekanisme Pertukaran Informasi Routing
- Mekanisme Traffic Forwarding
Konsep VPN
VPN merupakan jaringan komunikasi lokal (privat) yang
terhubung melalui media jaringan publik (shared network)
Model VPN MPLS
PEPE
CE
PE
P
PCE
Service Provider Network
CE
Customer site Customer site
Virtual Circuit (VC)
Komponen VPN MPLS
CE - Customer Edge, perangkat kastamer yang secara langsung terhubung dengan
service provider
PE -Provider Edge, merupakan perangkat yang berada di dalam jaringan provider yang
terhubung dengan CE dan bertanggung jawab untuk memberikan akses layanan VPN
P - Provider, merupakan perangkat yang berada di dalam jaringan provider yang tidak
terhubung langsung dengan CE dan bertanggung jawab untuk fungsi routing dan
forwarding
PEPE
CE
PE
P
PCE
VPN A
Provider Router
CE
Provider Edge
Customer Edge
VPN A
VPN BVPN B
VPN Site
CE
CE CE
CE
Tipe VPN
• Layer 3 VPN MPLS
- BGP/MPLS VPN (RFC 2547bis)
Parameter Layer-3 VPN MPLS
Beberapa parameter penting pada router PE yang berperan
dalam membangun Layer-3 VPN :
VRF,
Route Distinguisher (RD),
Route Target (RT),
Propagasi Route : MP-BGP
Forwarding Paket berdasarkan Label
VPN Routing & Forwarding Instances (VRF)
PE
CE
VPN-A
VPN-A
CEVPN-B
VRF for VPN-A
VRF for VPN-B
CE
Multiple VRF menyediakan pemisahan antar kastamer yang berbeda
IGP & non-
VPN BGP
Grogol
Cawang
Bekasi
Global Routing Table
VPN Routing Table
VRF - Virtual Routing Forwarding
Setiap VPN membutuhkan VRF yang terpisah pada setiap
router PE
Menyediakan isolasi VPN
Mengijinkan overlap private IP Address
VRF merupakan suatu virtual router
VRF diasosiasikan dengan Interface/sub-interface yang
terhubung dengan CE,
PE mengelola forwarding table untuk setiap site VPN
Route dalam VRF akan didistribusikan ke site yang lain
(biasanya terhubung dengan PE lain) dari VPN yang sama.
MP-BGP : MultiProtocol BGP
MP-BGP - (MultiProtocol BGP)
BGP V4 hanya mendukung ipv4
MP-BGP dapat mendukung pengirimana informasi route
multi protokol (IPv6, IPX,dll.).
MP-BGP menambahkan 2(dua) atribut pada NLRI (Network
Layer Reachability Information):
MP_REACH_NLRI dan MP_UNREACH_NLRI
MP_REACH_NLRI
AFI=1, SAFI (Subsequent Address Family Identifier)=128
menunjukkan bahwa, NLRI membawa informasi alamat VPN.
(RD ditambah IP v4 prefix , disebut dengan alamat VPN V4.)
MP_REACH_NLRI
MP_REACH_NLRI:
address-family : VPN-IPV4 address-family :
next-hop: Loopback address of PE router
NLRI:
label: 24 bit,the same as MPLS label, but without TTL.
prefix: RD:64bit+ip prefix
Extended_Communities(RT1)
Extended_Communities(RT2)
Extended_Communities(RT3)
Detail tambahan informasi pada NLRI( (Network Layer Reachability
Information))
Daftar Route Target (RT)
MP-BGP update
VPNv4 Address
Route Target
Label yang digunakan untuk forwarding paket VPN
Atribut BGP yang lain (AS-Path, Local Preference, MED,
standard community …)
Multiprotocol BGP (MP-BGP) digunakan pada MPLS VPN
untuk melakukan pertukaran VPNv4 prefix.
Route Distinguisher (RD)
Digunakan untuk merubah bentuk non-unique 32-bit adress
IPv4 user kedalam 96-bit unik VPNv4 address.
RD digunakan untuk identifikasi VRF instances.
membedakan IPV4 yang sama dari VPN yang berbeda
VRF instances yang berbeda, HARUS mempunyai RD yang
berbeda
RD dikonfigurasi pada router PE untuk setiap VRF
Format Route Distinguisher
0
1
2
AS Number Assigned Number
IP Address Assigned Number
AS Number Assigned Number
Format Route Distinguisher
8 byte = 64 bit
Administrator field berisi Autonomous System Number
(ASN) dari IANA
Assigned Number field ditetapkan oleh provider
Format : AS:number atau IPaddress:number
Contoh RD :
100:1
172.1.1.1:1
Overlapping IPv4
VPN A dan B menggunakan alamat yang sama
VPNv4
Route VPNv4
Ingress PE menambahkan RD pada IPv4 prefix yang diterima
dari setiap CE
Address VPNv4 hanya dipertukarkan antar PE menggunakan
MP-BGP
Egress PE melakukan konversi VPNv4 menjadi IPv4 sebelum
memasuki routing table
VPNv4 hanya digunakan pada control plane
Data plane menggunakan MPLS
Format VPNv4
VPN-IP address = Route Distinguisher (RD) + IP address
12 byte = 8 byte + 4 byte
96 bit
Contoh : 10458:22:10.1.0.0/16 atau 1.1.1.1:33:10.1.0.0/16
VPNv4
Route Target
untuk mengidentifikasi VRF pada saat router PE
mendistribusikan route
import/export route dari/ke VRF
Mempunyai format yang sama dengan RD
Type(0x0002) AS#(16bit) Value(32bit)
Type(0x0102) IP address(32bit) Value(32bit)
Route Target
Setiap VRF Instances diknfigurasi 2 Route Target :
Export RT
Atribut export RT ditambahkan pada paket, ketika PE mengirimkan
MP-iBGP updates
Import RT
Ketika MP-BGP update diterima suatu PE, hanya lokal VRF yang
mempunyai daftar import RT yang sama yang dapat mengambil
data tersebut.
Distribusi Route VRF
PE PECE Router CE Router
P Router
Site SiteMP-iBGP
Router PE mendistribusikan informasi route VRF lokal melalui jaringan
backbone MPLS/VPN
PE pengirim, melakukan export route VRF lokal melalui MP-iBGP
(dengan atribut export-route target)
PE penerima, melakukan import route ke VRF yang sesuai (dengan
atribut import-route target).
RT pada Intranet
P RouterP Router
MPLS/VPN BackboneMPLS/VPN BackboneVPN AVPN A
VPN A
SITESITE--22
VPN A
SiteSite--1 routes 1 routes
SiteSite--2 routes 2 routes
SiteSite--3 routes 3 routes
SiteSite--4 routes4 routes
MP-iBGP
SiteSite--3 & Site3 & Site--4 routes 4 routes
RT=VPNRT=VPN --AA
SiteSite--1 & Site1 & Site--2 routes 2 routes
RT=VPNRT=VPN --AA
SiteSite--1 routes 1 routes
SiteSite--2 routes 2 routes
SiteSite--3 routes 3 routes
SiteSite--4 routes4 routes
SITESITE--11 SITESITE--33
SITESITE--44
RT pada Extranet
Komponen VRF pada MP-BGP
PE
CE-1
MP-iBGPPEBGP, OSPF, RIPv2 update
for 149.27.2.0/24,NH=CE-1VPN-v4 update:RD:1:27:149.27.2.0/24, Next-hop=PE-1RT=VPN-A,
Label=(28)
CE-2
Arsitektur BGP/MPLS VPN
Terdiri atas 2 komponen :
Control plane:
Menggunakan VRF didalam router PE untuk memisahkan VPN
yang berbeda.
Menggunakan LDP/RSVP untuk mendistribusikan LSP label
dalam mencapai remote PE
Menggunakan MP-BGP untuk mendistribusikan VPN route dan
VPN label antar PE
Forwarding plane : dual stack
Arsitektur BGP/MPLS VPNForwarding Plane
Trafik diforward dengan menggunakan 2 label :
1. LSP Label untuk menjangkau remote PE (BGP next-hop) .
2. VPN label untuk identifikasi interface VPN pada remote PE :
LSP Label didistribusikan oleh LDP atau RSVP
VPN Label didistribusikan oleh BGP, along with the VPN-IP address.
Remote PE membuat keputusan forwarding berdasarkan VPN Label
IP DatagramLabel
2
Label
1
Layer 2
Header
Model Routing MPLS VPN
Routing MPLS VPN-Perspektif CE router,
Routing MPLS VPN-Perspektif overall user,
Routing MPLS VPN-Perspektif P router,
Routing MPLS VPN- Perspektif PE router.
Routing MPLS VPN - Perspektif CE router
Router CE menjalankan routing standar dan bertukar
routing update dengan router PE
EBGP, OSPF, RIPv2, EIGRP, and static route
Routing MPLS VPN - Perspektif overall user
Dari sudut pandang customer, router PE terlihat sebagai core router
yang menggunakan backbone BGP,
Router P tidak terlihat dari customer
Routing MPLS VPN - Perspektif P Router
Router P tidak mengambil bagian didalam routing MPLS
VPN dan tidak membawa route VPN.
Router P berkomunikasi dengan PE router pada backbone
Internet Gateway Protocol (IGP) dan saling bertukar
informasi tentang global subnetwork (core link dan
loopback).
Routing MPLS VPN - Perspektif PE Router
PE Router :
melakukan pertukaran route VPN dengan router CE melalui routing
protokol yang berjalan didalam virtual routing table
Melakukan pertukaran route pada sisi core dengan router P melalui
core IGP
melakukan route VPNv4 dengan router PE yang lain melalui sesi
MP-BGP
PE mempunyai 2 routing table :
Global routing table , berisi informasi route untuk semua router
PE dan P (core route)
VRF (VPN routing & forwarding) table, berisi informasi tabel
routing dan forwarding untuk CE yang terhubung langsung
Routing MPLS VPN - Perspektif PE router
Routing tables on PE-Routers.
Control Plane :
Mekanisme Pertukaran Informasi Routing
Pertukaran Informasi Routing (1/7)
Router CE meng-advertise route ke router PE
menggunakan teknik routing tradisional (OSPF, IS-IS, RIP,
BGP, and static routes)
VRF
VRF
VRF
VRF
VPN AVPN A
MP-BGP session
VPN B
Site-1
Site-1
Site-2
Site-2
CE-1CE-2
CE-3CE-4
PE-1PE-2
OSPF
10.1/16 1
Pertukaran Informasi Routing (2/7)
Pada VRF, IPv4 dikonversi menjadi VPNv4
VRF
VRF
VRF
VRF
VPN AVPN A
MP-BGP session
VPN B
Site-1
Site-1
Site-2
Site-2
CE-1CE-2
CE-3CE-4
PE-1PE-2
OSPF
10.1/1610458:23:10.1/162
Pertukaran Informasi Routing (3/7)
VRF diasosiasikan dengan export - Route Target
VRF meng-export Route Target “VPN RED”
VRF
VRF
VRF
VRF
VPN AVPN A
MP-BGP session
VPN B
Site-1
Site-1
Site-2
Site-2
CE-1CE-2
CE-3CE-4
PE-1PE-2
OSPF
10.1/1610458:23:10.1/163 “VPN RED” Export
Pertukaran Informasi Routing (4/7)
VPNv4 di-advertise ke PE yang lain
Inner label (“BGP/VPN Label”)
Extended communities • Route Target
BGP next hop
VRF
VRF
VRF
VRF
VPN AVPN A
MP-BGP session
VPN B
Site-1
Site-1
Site-2
Site-2
CE-1CE-2
CE-3CE-4
PE-1PE-2
OSPF
10.1/1610458:23:10.1/164 “VPN RED” Export
BGP Label
Next Hop PE-2
Pertukaran Informasi Routing (5/7)
Setiap router PE dikonfigur dengan import Route Target
Jika import Route Target sesuai dengan atribut Route Target
yang terdapata pada route BGP, route di-copy pada VRF yang
sesuai
10458:23:10.1/16 di-copy pada red VRF, bukan pada blue VRF
VRF
VRF
VRF
VRF
VPN AVPN A
MP-BGP session
VPN B
Site-1
Site-1
Site-2
Site-2
CE-1CE-2
CE-3CE-4
PE-1PE-2
OSPF
10.1/1610458:23:10.1/16
5
“VPN RED” Export
BGP Label
Next Hop PE-2
“VPN RED” Import MP-BGP
Pertukaran Informasi Routing (6/7)
Setiap route VPNv4 dalam VRF diasosiasikan dengan :
Inner (VRF) label, dibawa dalam BGP update
Outer Label untuk menjangkau router PE
VRF
VRF
VRF
VRF
VPN AVPN A
MP-BGP session
VPN B
Site-1
Site-1
Site-2
Site-2
CE-1CE-2
CE-3CE-4
PE-1PE-2
OSPF
10.1/1610458:23:10.1/16
6
“VPN RED” Export
BGP Label
Next Hop PE-2
“VPN RED” Import MP-BGP
10458:23:10.1/16
BGP Label (inner)
MPLS Label (outer)
Pertukaran Informasi Routing (7/7)
Route IPv4 yang diasosiasikan dengan VRF tertentu, di-
advertise ke CE,
Menggunakan routing standar
VRF
VRF
VRF
VRF
VPN AVPN A
MP-BGP session
VPN B
Site-1
Site-1
Site-2
Site-2
CE-1CE-2
CE-3CE-4
PE-1PE-2
10.1/16 Next Hop PE-1
7
Forwarding Plane :
Mekanisme Traffic forwarding
Data Flow (1/7)
Sebelum Forwarding data, LSP harus disetup pada backbone MPLS dari
PE-to-PE
Setup LSP menggunakan signaling LDP atau RSVP
VRF
VRF
VRF
VRF
VPN AVPN A
LSP
VPN B
Site-1
Site-1
Site-2
Site-2
CE-1CE-2
CE-3CE-4
PE-1PE-2
VPN B
10/8
1
Data Flow (2/7)
Router CE melakukan lookup IPv4 tradisional dan
mengirimkan paket ke router PE
VRF
VRF
VRF
VRF
VPN AVPN A
LSP
VPN B
Site-1
Site-1
Site-2
Site-2
CE-1CE-2
CE-3CE-4
PE-1PE-2
VPN B
10/8IP
10.1.2.32
Data Flow (3/7)
Router PE mengasosiasikan VRF yang sesuai untuk inbound interface
Paket dienkapsulasi dengan 2 label :
Bgp/VPN Label
MPLS Label
VRF
VRF
VRF
VRF
VPN AVPN A
LSP
VPN B
Site-1
Site-1
Site-2
Site-2
CE-1CE-2
CE-3CE-4
PE-1PE-2
VPN B
10/8IP
10.1.2.3
3
Data Flow (4/7)
Paket diteruskan dengan dua-level label stack Outer - MPLS label
Identifikasi LSP yang menuju egress PE
• Inner - BGP/VPN label Identifikasi outgoing interface dari egress PE ke CE
VRF
VRF
VRF
VRF
VPN AVPN A
LSP
VPN B
Site-1
Site-1
Site-2
Site-2
CE-1CE-2
CE-3CE-4
PE-1PE-2
VPN B
10/8IP 10.1.2.3
4
BGP Label
MPLS Label
IP 10.1.2.3
Data Flow (5/7)
Setelah paket keluar dari ingress PE, outer MPLS label
digunakan untuk forwarding data pada jaringan backbone
Router P tidak mengetahui informasi VPN
VRF
VRF
VRF
VRF
VPN AVPN A
VPN B
Site-1
Site-1
Site-2
Site-2
CE-1CE-2
CE-3CE-4
PE-1PE-2
VPN B
10/8
5
BGP Label
MPLS Label
IP 10.1.2.3
Data Flow (6/7)
Penultimate hop popping (router sebelum egress PE)
menghapus outer label
VRF
VRF
VRF
VRF
VPN AVPN A
VPN B
Site-1
Site-1
Site-2
Site-2
CE-1CE-2
CE-3CE-4
PE-1PE-2
VPN B
10/8
6
BGP Label
IP 10.1.2.3
Data Flow (7/7)
Inner label dihapus pada egress PE router
Paket IPv4 dikirim ke outbound interface yang diasosiasikan
dengan label.
VRF
VRF
VRF
VRF
VPN AVPN A
VPN B
Site-1
Site-1
Site-2
Site-2
CE-1CE-2
CE-3CE-4
PE-1PE-2
VPN B
10/8
7
IP 10.1.2.3
Terima Kasih