MPLS VPN L3 Bc. Róbert Taraba Bc. Michal Gábor Abstrakt: Cieľom projektu je overiť funkčnosť MPLS VPN na 3. vrstve modelu OSI v zariadeniach Mikrotik, ktoré je realizované pomocou balíčka MPLS-4.13-mipsbe.npk. Klíčová slova: MPLS, VPN, L3, MK, Mikrotik, Routerboard, RouterOS, MPLS Winbox, CLI, Router, Hub, LDP, BGP, OSPF, mpls-4.13-mipsbe.npk 1 Úvod...2 2 Základné pojmy...3 2.1 MPLS...3 2.2 VPN...3 2.3 OSPF...3 2.4 BGP...4 2.5 Mikrotik...4 3 Cieľ testovania, voľba topológie siete...6 4 Konfigurácia zariadení...7 4.1 MK A (Router umiestnený v sieti zákazníka)...7 4.2 MK E (Router umiestnený v sieti zákazníka)...7 4.3 MK B (Router vo verejnej MPLS sieti)...8 4.4 MK C (Router vo verejnej MPLS sieti)...9 4.5 MK D (Router vo verejnej MPLS sieti)...9 5 Overenie funkčnosti...11 5.1 MK B...11 5.2 MK C...12 5.3 MK D...13 5.4 MK A a MK E...14 5.5 L3 spojenie medzi zákazníckymi počítačmi...15 5.6 Označená trasa medzi zákazníckymi pobočkami...17 6 Záver...18 7 Požitá literatúra...19 listopad 2010 1/19
1 Úvod MPLS 1 sa používa v IP sieťach najmä pre urýchlenie cesty paketov v sieti na základe princípu prepínaných značiek. Je založený na dodatočnom označkovaní IP paketov MPLS štítkom (label), ktorý je smerodatný pre smerovanie paketu v MPLS sieti. Jednou s dobre podporovaných technológii MPLS je aj VPN 2. VPN je sieťová počítačová technológia určená na prepojenie počítačov z rôznych lokalít do jednej virtuálnej počítačovej siete. Aj keď počítače môžu byť vo fyzicky nezávislých sieťach na rôznych miestach sveta, prostredníctvom virtuálnej privátnej siete medzi sebou môžu komunikovať, ako keby boli na jednom sieťovom segmente. V prípade, že sa nejedná o VPN P2P sieť je často nutné použiť VPN koncentrátor. VPN koncentrátor je zariadenie ktoré umožňuje pripojenie vzdialenému počítaču pomocou šifrovaného tunela do lokálnej siete. Pomocou tohto tunela umožňuje prideliť a smerovať IP adresu z rozsahu adries lokálnej siete. Našou úlohou je overiť funkčnosť balíčka mpls-4.13-mipsbe.npk, ktorý zabezpečuje používanie MPLS na platforme Mikrotik v spojení OSPF a BGP smerovaním. 1 Multiprotocol Label Switching 2 Virtual Private Network listopad 2010 2/19
2 Základné pojmy 2.1 MPLS MPLS je technológia, ktorá používa pre urýchlenie cesty paketu v sieti princíp prepínaných značiek. Router s podporou MPLS, LSR 3 vždy na okraji siete prichádzajúcemu paketu pridelí značku, ktorá sa potom ďalej používa pre identifikáciu cesty daného paketu v MPLS sieti a na predávanie medzi routrami vnútri MPLS siete. LSR potom môžu datagram predávať iba na základe svojich individuálnych jednoduchých tabuliek značiek. Všetky datagramy s rovnakou značkou sa predávajú vždy po rovnakej LSP 4 pomocou príslušného LSR v MPLS sieti. LSP je jednosmerná sekvencia LSR medzi PE 5 routrami. K MPLS sieti sú pripojené klientské siete prostredníctvom PE routrov, ktoré nepotrebujú disponovať podporou pre technológiu MPLS vystačia si iba s bežnými smerovacími protokolmi. Lokálna routrovacia tabuľka MPLS jednoznačne určuje smerovanie paketov tak, že pre každý paket, ktorý vstupuje do MPLS siete pridelí značku. Samotný riadiaci mechanizmus je na rozdiel od vlastného predávania datagramov podstatne komplexnejší a zložitejší. K výmene informácii o pridelených značkách medzi susednými routrami sa používa LDP 6. 2.2 VPN VPN 7, technológia sa stala preferovanou sieťovou technológiu pre budovanie súkromných WAN cez verejne zdieľanú infraštruktúru kvôli stupňu zabezpečenia, ktorý poskytuje pri prenose dát a je na rovnakej úrovni ako pri privátnej infraštruktúre. VPN technológia umožňuje flexibilné prepojenie a prenos dát medzi geograficky vzdialenými pobočkami. Dátové pakety sú šifrované pri odosielaní a dekódované na strane príjemcu. Vzhľadom na šifrovanie a autentifikáciu IP paketov pri posielaných cez siete VPN, dáta aj v prípade zachytenia, nie je možné rozkódovať bez šifrovacích kľúčov. VPN technológie udržiavajú bezpečnosť a súkromie najčastejšie pomocou IPSec. IPSec je komplexný súbor protokolov na sieťovej vrstve, ktorý ponúka tunelovanie, šifrovanie, autentifikáciu a overenie integrity dát. Uzly, ktoré spolu chcú komunikovať s využitím IPSec, sa musia najskôr dohodnúť na bezpečnostnej politike vo forme bezpečnostnej asociácie. 2.3 OSPF OSPF 8 je typickým predstaviteľom smerovacieho protokolu Link State. Veľkou výhodou oproti starším smerovacím protokolom napr. RIP je schopnosť pracovať v relatívne veľkých sieťach. Vychádza z algoritmu SPF, jeho prostredníctvom každý router v sieti vyhodnocuje najlepšiu cestu paketu k ľubovolnému uzlu siete. Ak router zistí, že niektorý z jeho susedov je nefunkčný alebo zistí nového suseda, LSA túto informáciu predá všetkým susedným routrom. Na základe LSA sú v každom routri vytvárané a aktualizované databázy topológie siete. Z databáze siete sa v každom routri vytvára stromový graf najkratšej cesty paketu v sieti. Ku každej hrane grafu je priradená zodpovedajúca cena. Potom je pomocou SPF vypočítaná kostra grafu, pričom náš router je vrcholom. Cieľom je odstrániť z grafu slučky a získať jedinú najvýhodnejšiu cestu do každej siete. Z celej takto vypočítanej cesty využijeme v smerovacej tabuľke iba Next-Hop, teda adresu najbližšieho routra na ktorý bude posielaná prevádzka do cieľovej siete. Ďalej do smerovacej tabuľky uložíme ešte sumárnu cenu tejto cesty. K aktualizáciám týchto správ dochádza v periodickom časovom intervale. Neprenášajú sa celé smerovacie tabuľky ale iba zmeny stavu liniek. Pre zníženie záťaže procesorov routrov a dátových liniek je výhodné rozdeliť sieť do oblastí. Šírenie Link State informácii je obmedzené iba na danú oblasť. Oblasť je logická skupina routrov a liniek medzi nimi. Routre poznajú detailne iba oblasť do ktorej patria a o ostatných oblastiach dostávajú iba súhrnné informácie. Oblasti sú navzájom prepojené pomocou hraničných routrov (ABR). Zvláštnu úlohu ma oblasť 0, často označovaná ako chrbticová oblasť, ktorá navzájom prepája všetky ostatné oblasti. 3 Label Switching Router 4 Label Switched Path 5 Provider Edge Router 6 Label Distribution Protokol 7 Virtual Private Network 8 Open Shortest Path Find listopad 2010 3/19
2.4 BGP Celý Internet je zložený z veľkého množstva autonómnych sieti poskytovateľov internetu (ISP 9 ). Každej takej sieti sa hovorí autonómny systém (AS) a každý ma svoje jedinečné číslo. Tieto siete sú medzi sebou navzájom chaoticky prepojené. Zariadenia v rámci každého AS majú pridelené IP adresy aspoň z jedného IP prefixu. Routery, ktoré sú na okraji siete a prepájajú AS s ostatnými AS, majú za úlohu informovať svoje okolie, že práve v ich AS sú k pripojené zariadenia s IP adresami daného rozsahu. Tieto informácie sa šíria pomocou BGP 10. Routre v susedných AS majú za úlohu šíriť informácie o existencii AS a IP rozsahu ďalej, iba pri nej poznamenajú, že táto sieť je dosiahnuteľná cez ich AS. A tak sa tieto informácie postupne šíria ďalej, až sa dostanú ku všetkým BGP znalým routerom v celom Internete. Vzhľadom k tomu, že informácie o sieťach sa šíria po Internete voľne občas sa stane, že sa opäť vrátia k pôvodnému routru, ktorý ich vyslal. Ak ten zistí, že na ceste, ktorá mu je redistribuovaná je jeho AS číslo, vyhodnotí, že táto cesta je slučka a ďalej ju už neukladá do pamäti a ani nedistribuuje ďalej. BGP routre v určitej zjednodušenej podobe poznajú topológiu celého Internetu. Ku každej smerovacej informácii v tabuľke je zároveň k dispozícii nielen smer, ale aj konkrétne uzly na trase, ktorou sa má paket vydať. Takýto postup zároveň umožňuje obmedzovať preposielanie paketov na základe administratívnych pravidiel bez ohľadu na zaťaženie jednotlivých ciest alebo dĺžku zvolenej cesty. Pokiaľ majú paket poslať do nejakej siete, pozrú sa do zoznamu možných ciest, ktoré sú k dispozícii a pošlú paket po najkratšej ceste z hľadiska počtu AS po ceste. Ďalšou dôležitou vlastnosťou je, že ak majú informácie o podsieťach s menšími IP rozsahmi resp. dlhších alebo špecifickejšími prefixmi, berú prioritne do úvahy o smerovaní túto cestu. Preto sa stáva, že ak ma záznam o sieti 100.1.1.0/22 na 2 AS a pre sieť 100.1.1.0/24 na 10 AS tak pošle paket určený pre IP 100.1.1.100 cez väčší počet AS. 2.5 Mikrotik Mikrotik je operačný systém routru, ktorý je založený na linuxovom jadre. Oficiálne bol publikovaný v roku 1995. Následné skúsenosti viedli k vývoju smerovacieho softwaru MikroTik v2, ktorý priniesol lepšiu stabilitu, ovládateľnosť a flexibilitu systému. Aktuálne stabilná verzia je 4.16. Vo fáze vývoja je verzia 5.0rc7, ktorá ma priniesť veľa vylepšení (užívateľské rozhranie, vylepšenie podpory pre IPv6, konfigurácia z mobilných zariadení). V súčasnosti má prioritné využite hlavne u lokálnych ISP. Obrázok 1: Mikrotik RB450G 9 Internet Service Provider 10 Border Gateway Protokol listopad 2010 4/19
Obrázok 2: Winbox listopad 2010 5/19
3 Cieľ testovania, voľba topológie siete Cieľom projektu je overiť funkčnosť L3 VPN na platforme Mikrotik. Snažili sme sa vybudovať sieť, v ktorej by sme mohli prepojiť jedného fiktívneho zákazníka pomocou L3 VPN. Na obrázku [3] je znázornená topológia vybudovanej siete. Všetky používane Mikrotik zariadenia sme aktualizovali na najnovšiu verziu firmwaru (4.16), samotná podpora MPLS je v Mikrotik zariadeniach už od verzie 3.0. Od verzie 4.0 je už vo verzii stable, doterajšie verzie pracovali pod balíčkom MPLS-TEST. Komunikácia s týmto OS je v súčasnosti zabezpečená pomocou GUI rozhrania WinBox alebo cez terminálové služby SSH, Telnet a nechýba ani RS323 konektor pre sériovú konzolu. My sme všetky nastavenia robili pomocou Winboxu a konzoly integrovanej vo Winboxe (CLI). Použili sme dve zariadenia Mikrotik RB 450G ako LER routre (MK B, MK D). Routre MK A a MK E sú tak isto zariadenia Mikrotik RB450G. Miesto týchto dvoch zariadení by sme mohli použiť aj iné routre ktoré by nemali podporu MPLS technológie. Čo sa týka smerovanie, použili sme vo vnútri VPN siete protokol OSPF. Samozrejme môže byť použitý iný protokol ale statické smerovanie. Ďalej sme použili jeden routrer Mikrotik RB 450G ako LSR routrer. Routre LSR a LER musia podporovať funkciu LDP a MPLS a naviac routre LER musia integrovať smerovací protokol BGP. Pre zachytenie spojenia v programe Wireshark sme použili Mikrotik Switch RB 250GS s OS SWOS v1.2, ktorý umožňuje zrkadlenie prevádzky na hardwarovom porte. Obrázok 3: Topológia MPLS VPN L3 siete listopad 2010 6/19
4 Konfigurácia zariadení Konfigurácia všetkých prvkov v našom prípade prebiehala prostredníctvom konzoly. Tá je štandardne dostupná cez telnet, ssh alebo cez klasický sériový port (nezávislosť od sieťových protokolov). Okrem tohto prístupu je možné použiť aj grafický nástroj Winbox, v ktorom je umožnené na konfiguráciu využiť grafické formuláre alebo CLI integrované vo Winboxe. Ešte pred začiatkom konfigurácie je vhodné upgradovať softwarové vybavenie routrov na najnovšiu stabilnú verziu operačného systému RouterOS. Pri nižšie popisovanej realizácií bola aktuálna verzia systému 4.16. Dá sa teda povedať že táto realizácia bude funkčná na verziách routeros 4.x. Výrobca zaručuje kompatibilitu aj na staršie verzie routeros 3.30 s nutným použitím voliteľného balíčka mpls-test. Pohľad na funkcionalitu jednotlivých prvkov je možné naznačiť v týchto krokoch: Routre v siete zákazníka: smerovanie OSPF, DHCP (voliteľné) PE routre: smerovanie BGP, smerovanie OSPF do zákazníckej siete (VRF), MPSL vo verejnej časti, redistribúcia OSPF cez BGP P routre: MPLS, (voliteľné) smerovanie BGP VPN prepojenie by mohlo byť konfigurované aj inými spôsobmi: BGP protokol by bol použitý iba na prenos VPN a vo verejnej infraštruktúre by mohlo použité napr. smerovanie OSPF. Na smerovanie v privátnych častiach by mohol byť použitý aj iný smerovací protokol napr. RIP alebo statické nastavenie smerovania. Nasledujúca časť bude obsahovať príkazy určené pre konzolu routeros. Zariadenia sú označené podľa schémy topológie od MK A až po MK E. 4.1 MK A (Router umiestnený v sieti zákazníka) Nastavenie ip adries na príslušných rozhraniach: rozhranie zákazníka /ip address add address=192.168.200.1/24 interface=eth5 rozhranie do verejnej siete /ip address add address=10.10.1.2/24 interface=eth1 OSPF smerovanie pre zákaznícku sieť /routing ospf network add network= 192.168.200.1/24 area=backbone voliteľné- nastavenie DHCP pre zákaznícku sieť, nasledujúci príkaz spustí sprievodcu nastavením, routeros nás bude postupne vyzývať na zadávanie parametrov nastavenia: /ip dhcp-server setup zadáme interface na ktorom bude DHPC server prideľovat adresy dhcp server interface: eth5 uvedieme sieťovú adresu dhcp address space: 192.168.200.0/24 pridáme bránu gateway for dhcp network: 192.168.200.1 nastavíme rozsah prideľovaných adries: addresses to give out: 192.168.200.20-192.168.200.30 pridáme DNS server dns servers: 192.168.200.1 nastvíme čas prepožičiavania adries lease time: 3d 4.2 MK E (Router umiestnený v sieti zákazníka) Nastavenie parametrov je do istej miery identické ako pri routri MK A. Nastavenie ip adries na príslušných rozhraniach: listopad 2010 7/19
rozhranie zákazníka /ip address add address=192.168.100.1/24 interface=eth5 rozhranie do verejnej siete /ip address add address=10.10.2.2/24 interface=eth1 OSPF smerovanie pre zákaznícku sieť /routing ospf network add network= 192.168.100.1/24 area=backbone voliteľné- nastavenie DHCP pre zákaznícku sieť, nasledujúci príkaz spustí sprievodcu nastavením, routeros nás bude postupne vyzývať na zadávanie parametrov nastavenia: /ip dhcp-server setup zadáme interface na ktorom bude DHPC server prideľovat adresy dhcp server interface: eth5 uvedieme sieťovú adresu dhcp address space: 192.168.100.0/24 pridáme bránu gateway for dhcp network: 192.168.100.1 nastavíme rozsah prideľovaných adries: addresses to give out: 192.168.100.20-192.168.100.30 pridáme DNS server dns servers: 192.168.100.1 nastvíme čas prepožičiavania adries lease time: 3d 4.3 MK B (Router vo verejnej MPLS sieti) Nastavenie ip adries na príslušných rozhraniach: rozhranie smerom k zákazníckemu routru /ip address add address=10.10.1.1/24 interface=eth1 rozhranie na susedný router vo verejnej sieti /ip address add address=10.1.1.1/24 interface=eth2 rozhranie loopback je v routeros riešené prostredníctvom rozhrania bridge /interface bridge add name=lobridge /ip address add address=10.10.10.1/32 interface=lobridge statické smerovanie na loopbacky susedných routrov /ip route add dst-address=10.10.10.2/32 gateway=10.1.1.2 /ip route add dst-address=10.10.10.3/32 gateway=10.1.1.2 priradenie VRF na rozhranie smerom k zákazníckemu routru /ip route vrf add routing-mark=vrf1 interfaces=eth1 route-distinguisher=10.1.1.1:111 import-route-targets=10.1.1.1:111 export-route-targets=10.1.1.1:111 nastavenie OSPF na tabulke s vrf1 smerom k zákazníkovi /routing ospf instance set default routing-table=vrf1 redistribute-bgp=as-type-1 /routing ospf network add network=10.10.1.0/24 area=backbone spustenie protokolu LDP na rozhraní, ktoré smeruje do verejnej siete, ako transportnú adresu nastavíme adresu loopbacku /mpls ldp set enabled=yes transport-address=10.10.10.1 /mpls ldp interface add interface=eth2 nastavenie smerovacieho protokolu BGP, pomocou ktorého sa bude redistribuovať aj informácia o smerovaní v zákazníckych sieťach (OSPF). Instancia BGP procesu je prednastavená v OS Mikrotik na listopad 2010 8/19
Defautl s číslom autonómneho systému 65530. Nieje nutné explicitne definovať číslo BGP procesu, môžeme použiť default instanciu. /routing bgp instance vrf add instance=default routing-mark=vrf1 redistribute-connected=yes redistribute-ospf=yes ako remote peer nastavíme adresu loopbacku susedného routra /routing bgp peer add remote-address=10.10.10.2 remote-as=65530 address-families=vpnv4 update-source=lobridge voliteľné- ak chceme, aby sa verejná MPSL javila z pohľadu zákazníka ako jeden hop, môžeme vypnúť šírenie TTL /mpls set propagate-ttl=no 4.4 MK C (Router vo verejnej MPLS sieti) Nastavenie ip adries na príslušných rozhraniach: rozhrania k susedným routrom /ip address add address=10.1.1.2/24 interface=eth1 /ip address add address=10.2.1.1/24 interface=eth2 rozhranie loopback je v routeros riešené prostredníctvom rozhrania bridge /interface bridge add name=lobridge /ip address add address=10.10.10.2/32 interface=lobridge statické smerovanie na loopbacky susedných routrov /ip route add dst-address=10.10.10.1/32 gateway=10.1.1.1 /ip route add dst-address=10.10.10.3/32 gateway=10.2.1.2 spustenie protokolu LDP na rozhraniach, ktoré sú vo vnútri verejnej siete /mpls ldp set enabled=yes transport-address=10.10.10.2 /mpls ldp interface add interface=eth1 /mpls ldp interface add interface=eth2 nastavenie smerovacieho protokolu BGP /routing bgp instance vrf add instance=default routing-mark=vrf1 redistribute-connected=yes redistribute-ospf=yes ako remote peer nastavíme adresy loopbackov susedných routrov /routing bgp peer add remote-address=10.10.10.1 remote-as=65530 route-reflect=yes address-families=vpnv4 update-source=lobridge /routing bgp peer add remote-address=10.10.10.3 remote-as=65530 route-reflect=yes address-families=vpnv4 update-source=lobridge voliteľné- ak chceme, aby sa verejná MPSL javila z pohľadu zákazníka ako jeden hop, môžeme vypnúť šírenie TTL /mpls set propagate-ttl=no Router MK C je možné vynechať z BGP smerovania a vytvoriť Peering iba medzi routrami MK B a MK D. Použitie MK C v BGP smerovaní zabezpečí prípadné jednoduché rozšírenie siete o ďalšie PE routre s VPN sieťami. MK C pracuje ako Route Reflector. 4.5 MK D (Router vo verejnej MPLS sieti) Nastavenie ip adries na príslušných rozhraniach: rozhranie smerom k zákazníckemu routru /ip address add address=10.20.2.1/24 interface=eth1 rozhranie na susedný router vo verejnej sieti /ip address add address=10.2.1.2/24 interface=eth2 listopad 2010 9/19
rozhranie loopback je v routeros riešené prostredníctvom rozhrania bridge /interface bridge add name=lobridge /ip address add address=10.10.10.3/32 interface=lobridge statické smerovanie na loopbacky susedných routrov /ip route add dst-address=10.10.10.1/32 gateway=10.2.1.1 /ip route add dst-address=10.10.10.2/32 gateway=10.2.1.1 priradenie VRF na rozhranie smerom k zákazníckemu routru /ip route vrf add routing-mark=vrf1 interfaces=eth1 route-distinguisher=10.1.1.1:111 import-route-targets=10.1.1.1:111 export-route-targets=10.1.1.1:111 nastavenie OSPF na tabulke s vrf1 smerom k zákazníkovi /routing ospf instance set default routing-table=vrf1 redistribute-bgp=as-type-1 /routing ospf network add network=10.20.2.0/24 area=backbone spustenie protokolu LDP na rozhraní, ktoré smeruje do verejnej siete, ako transportnú adresu nastavíme adresu loopbacku /mpls ldp set enabled=yes transport-address=10.10.10.3 /mpls ldp interface add interface=eth1 nastavenie smerovacieho protokolu BGP, pomocou ktorého sa bude redistribuovať aj informácia o smerovaní v zákazníckych sieťach (OSPF) /routing bgp instance vrf add instance=default routing-mark=vrf1 redistribute-connected=yes redistribute-ospf=yes ako remote peer nastavíme adresu loopbacku susedného routra /routing bgp peer add remote-address=10.10.10.2 remote-as=65530 address-families=vpnv4 update-source=lobridge voliteľné- ak chceme, aby sa verejná MPSL javila z pohľadu zákazníka ako jeden hop, môžeme vypnúť šírenie TTL /mpls set propagate-ttl=no listopad 2010 10/19
5 Overenie funkčnosti Ako už bolo spomínané v kapitole [ 3 ], chceme dosiahnuť prenos protokolu IP (L3) z privátnych pobočiek (zákazníckych strán) cez zdielanú infraštruktúru (autonómny systém). Vzhľadom na obmedzený počet routrov naša verejná časť pozostáva z 3 routrov a každá strana zákazníka disponuje jedným routrom. Overovanie funkčnosti siete začneme vo verejnej časti. 5.1 MK B Jedná sa o router, ktorý je na hranici verejnej siete (PE router). Smerovania tabuľka obsahuje záznami z verejnej siete a tagované záznami do VPN podľa VRF. V nasledujúcom obrázku je vidieť smery pre zákaznícke strany 192.168.100.0/24 je smerovane rekurzívne prostredníctvom BGP protokolu 10.10.10.3. Smerovanie na 192.168.200.0/24 je smerované mimo verejnej siete. Obrázok 4: Routrovacia tabuľka RB Ďalej môžeme overiť správnosť fungovania protokolu LDP, ktorý by mal určitým spôsobom označiť cesty vystavané podľa smerovacej tabuľky. Záznam pre 10.10.1.0/24 hovorí o odstránení značky, tento subnet je už mimo MPLS siete, preto je nutné značku 16 odstrániť. Záznam pre 10.10.10.3/32 čo je adresa loopbacku routra RD hovorí o ponechaní značky 17. Záznam pre 10.10.10.2/32 čo je adresa loopbacku routra RC hovorí o odstránení značky 18, odstránenie prebieha z dôvodu posledného hopu. Záznam pre subnet 192.168.200.0/24 zasa rieši odstraňovanie značky 21. Tento subnet je priamo podsieťou zákazníka, teda sa nepredpokladá že tam bude použitá technológia MPLS. Obrázok 5: Prepínacia tabuľka MPLS RB Pre ilustráciu môžeme uviesť ďalšie informácie o MPSL (Local a Remote Bindings), kde je možné vidieť, že všetky značky sú naučené z adresy 10.1.2.1 resp. susedný router RC. listopad 2010 11/19
Obrázok 6: MPLS Local a Remote Bindings RB Pre tento router môžeme zhodnotiť, že smerovacie tabuľky sú v priadku a protokol LDP správne označil možné trasy. 5.2 MK C Router MK C v konečnom dôsledku reprezentuje routre, ktoré sú umiestené niekde vo vnútri autonómneho systému(p routre). Jeho smerovacie tabuľky by teda vôbec nemali vedieť o privátnych podsieťach, ktoré sú cez tento systém smerované. Sú definované smery pre susedné routre. Tento router má nastavenú funkciu route-reflect=yes, to znemená, že nie je nutné konfigurovať medzi routrami full Mesh. Obrázok 7: Routrovacia tabuľka RC Prepínacia tabuľka pre protokol MPSL obsahuje 2 záznamy. Jedná sa o smery na susedné routre. Pri oboch smeroch je bude protokol MPLS odstraňovať značku, preto ďalšie routre v poradí su PE routre. Preposielanie paketom sa tak ďalej bude riadiť smerovaním. Obrázok 8: Prepínacia tabuľka MPLS RC listopad 2010 12/19
Pre ilustráciu môžeme uviesť ďalšie informácie o MPSL (Local a Remote Bindings), kde je možné vidieť, že všetky značky sú naučené z routrov MK B a MK D. Obrázok 9: MPLS Local a Remote Bindings RC 5.3 MK D Router MK D patrí tak ako router MK B k PE routrom, nachádzajúcim sa na okraji autonómneho systému. O Routrovacej tabuľke platí to, čo pri routri MK A (uvedené sú smery pre verejnú sieť aj zákaznícke smery). Obrázok 10: Routrovacia tabuľka RD Pri prepínacej tabuľke vidíme, že pre smer 10.10.10.1, čo je loopback na routri MK B sa značka 17 zmení na 16, pri ostatných možných smeroch sa značka odoberá. listopad 2010 13/19
Obrázok 11: Prepínacia tabuľka MPLS RD Ďalšie informácie o prepínaní poskytuje Local a Remote Bindings Obrázok 12: MPLS Local a Remote Bindings RD 5.4 MK A a MK E Tieto routre sa nachádzajú mimo MPSL mraku. Nemusia teda podporovať MPLS a LDP funkcionalitu. Čo sa týka smerovania, v tomto riešení je použitý protokol OSPF, ktorý je distribuovaný cez MPLS mrak. Je nutné aby smerovacie tabuľky mali záznam o podsieťach, ktoré majú byť prepojené cez VPN. Pri MK A je to záznam 192.168.100.0/24 cez 10.10.1.1 (PE router v MPSL sieti), o ďalšie smerovanie sa postará samotná MPLS sieť. Tak isto router MK E záznam 192.168.200.0/24 cez 10.10.2.1 (PE router v MPSL sieti). Je zrejmé, že zákaznícke routre nemajú vo svojich smerovacích tabuľkách informácie o smerovaní vo verejnej (MPLS sieti). listopad 2010 14/19
Obrázok 13: Routrovacia tabuľka MK A A MK E 5.5 L3 spojenie medzi zákazníckymi počítačmi Po celkom oživení a konvergencií smerovacích protokolov bolo možné pristúpiť k finálnemu testovaniu spojenia medzi samotnými PC v zákazníckych častiach. Na každom zákazníckom routri bol sprevádzkovaný DHCP server. PC v zákazníckej časti MK A dostal adresu: 192.168.200.30 PC v zákaznickej časti MK E dostal adresu: 192.168.100.29 Postupnosť routrov je vidno v nasledujúcich obrázkoch. Na zariadeniach vo verejnej MPSL siete bola nastavená funkcia /mpls set propagate-ttl=no, to znamená, že vo výpise neuvidíme P routri, ktoré sprostredkúvali a podieľali sa na L3 VPN spojení. Zákazník teda nebude mať informáciu o vnútornej topológii MPSL siete. Obrázok 14: Tracert z část MK A do časti MK E listopad 2010 15/19
Obrázok 15: Tracert z část MK E do časti MK A V ceste medzi MK B a MK C bol umiestnený nastaviteľný switch Mikrotik RB 250GS, pomocou ktorého sa zrkadlila prevádzka na iný hardwardový port. To nám umožnilo zachytiť prevádzku na paketovom analyzátore Wireshark. Môžeme teda preveriť tok správ protokolu LDP. Obrázok naznačuje komunikáciu medzi MK B a MK C Obrázok 16: Zachytené LDP pakety medzi MK B a MK C Ďalší obrázok ukazuje ako router MK B posiela susednému routru MK C informácie o adresách, ktoré ma pridelené na rozhraniach Obrázok 17: Správa Address message listopad 2010 16/19
Nasledujúci obrázok ukazuje odpoveď na ping, ktorý iniciovala stanica s adresou 192.168.100.29 na cieľovú stanicu 192.168.200.30. Môžeme si všimnúť hlavičky protokolu MPLS, ktoré hovoria o cestách označených značkami 16 a 19. Tieto značky sú uložené v Label Stack. Značka 19 patrí k značeniu cesty v zdielanej infraštruktúre a značka 16 je pre identifikáciu VPN. Obrázok 18: Zachytené LDP pakety medzi MK B a MK C 5.6 Označená trasa medzi zákazníckymi pobočkami Keďže máme k dispozícií jednotlivé prepínacie tabuľky routrov, môžeme teda načrtnúť ako sa budú pridávať, odoberať resp. meniť značky priradené na paketoch, ktoré smerujú medzi zákazníckymi stranami. Protokol LDP označuje cesty v oboch smeroch nezávisle resp. rôzne. Smer MK A MK E Router MK B pridá značku 17 a pošle na MK C Router MK C značku 17 odoberie, pretože ďalší router v ceste je PE a ďalej pošle na MK D Router MK D sa riadi smerovaním a odošle paket na MK E Smer MK E MK A Router MK D pridá značku 19 a pošle na MK C Router MK C značku 19 odoberie, pretože ďalší router v ceste je PE a ďalej pošle na MK B Router MK B sa riadi smerovaním a odošle paket na MK A Ak by sa stalo, že by prišiel paket na PE router ešte označkovaný, tak sa oddelenie značky uskutoční priamo na PE routri. Napr. router MK D, značka 16 pre smer do zákazníckej siete. listopad 2010 17/19
6 Záver Môžeme zhodnotiť, že sme na platforme Mikrotik otestovali funkčnosť nie len protokolu MPLS a LDP ale aj smerovania pomocou BGP, OSPF a neposlednom prípade aj DHPC servera a iných funkcií potrebných pre koncových klientov. Dá sa povedať, že sa cieľ testovania potvrdil a podarilo sa nám sprevádzkovať L3 VPN pomocou protokolu MPLS. Svedči tom kapitola [ 5 ], kde sú podrobne popísané jednotlivé testovania každého zariadenia a protokolu. Tento projekt môže poskytovať akýsi návod pre sprevádzkovanie podobných funkcií. Bohužiaľ pre nedostatok routrov Mikrotik sme mohli použiť v MPLS časti len 3 zariadenia. Predpokladáme však, že celý systém by fungoval aj na oveľa zložitejších topológiách. Nutnou podmienkou je naviazaný BGP peering medzi PE routrami, ktoré sa zúčastňujú na VPN a správne nastavenie distribúcie LDP protokolu. Ďalej môžeme predpokladať, že MPLS sieť bude oadresovaná verejným rozsahom adries. Dá sa povedať že zariadenia Mikrotik sú dobre konfigurovateľné, obsahujú aj dobre prepracované grafické užívateľské rozhranie, čo na iných platformách v takomto rozsahu chýba. Cez GUI je možné v podstate nastaviť všetky funkcie systému a čo chápeme ako hlavný benefit je, že sa užívateľské formuláre systému nemenia v každej verzií OS. Samotný operačný systém routeros sa hodnotí ako veľmi stabilný, je založený na linuxe. S určitosťou môžeme tvrdiť, že v chrbticovej časti internetu sa s takýmto využitím platformy Mikrotik asi nestretneme, no pre lokálnych poskytovateľov veľmi dobre poslúži napr. aj pre L3 VPN a nahradí tak finančne náročné profesionálne zariadenia. listopad 2010 18/19
7 Požitá literatúra [1] VPN. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, [cit. 2010-11-21]. Dostupné z WWW: <http://sk.wikipedia.org/wiki/vpn>. [2] Lupa.cz [online]. 2008 [cit. 2010-11-22]. Protokol BGP pod útokem. Dostupné z WWW: <http://www.lupa.cz/clanky/protokol-bgp-pod-utokem/>. [3] Owebu.cz [online]. 2008 [cit. 2010-11-22]. Protokol OSPF. Dostupné z WWW: <http://owebu.bloger.cz/pc-site/sitove-protokoly-xxi-cast-protokol-ospf>. [4] Techtext.cz [online]. 2008 [cit. 2010-11-22]. VPN Technology. Dostupné z WWW: <http://www.techtext.net/networks/virtual-private-network-vpn-technology.html>. [5] Manual:Layer-3 MPLS VPN example. In Wikipedia : the free encyclopedia[online]. St. Petersburg (Flor ida) : Wikipedia Foundation, [cit. 2010-11-27]. Dostupné z WWW: <http://wiki.mikrotik.com/wiki/manual:layer-3_mpls_vpn_example>. [6] MPLS na platformě Mikrotik. In MPLS na platformě Mikrotik [online]. 2008 [cit. 2010-11-27]. Dostupné z WWW: <http://wh.cs.vsb.cz/sps/images/1/13/mpls-mikrotik-dubnicky-hrubec.pdf>. listopad 2010 19/19