03 VPN l23 PDF

VPNs de Camada 2 e 3 usando
MPLS
1
Foundry Networks Confidential & Proprietary
January 2003
2002 Foundry Net works, Inc.
Agenda
Objetivos
Introduo
VPNs de Camada 3
VPNs de Camada 2
Conexes Ponto- a- Ponto
Conexes Ponto- Multiponto
Camada 2 ou Camada 3 ?
Concluses
Objetivos
Apresentar os conceitos bsicos que envolvem a

criao de VPNs de Camada 2 e 3 usando MPLS
Avaliar os prs e contras de abordagens de
Camada 2 e Camada 3 para implantao de VPNs
usando MPLS.
Introduo
A t ecnologia MPLS est recebendo m uita ateno dos

provedores de servio nos lt im os anos. Originalm ent e ela
foi usada para Engenharia de Trfego.
Atualm ente, MPLS est sendo usado tam bm para
im plant ao de VPNs. Num a m esm a rede MPLS podem ser
criadas vrias Virtual Private Networks (VPNs), que
perm item o com part ilham ento de um m esm o backbone
com t ot al segregao de trfego entre clientes diferentes.
Os provedores de servio t m duas alt ernat ivas:
Criar VPNs com servios de Camada 3
Criar VPNs com servios de Camada 2
VPNs de Camada 3
O padro de fato para m ontagem de VPNs de Cam ada 3

com MPLS est descrit o na RFC 2547. Um a nova verso,
cham ada RFC 2 5 4 7 bis ou BGP/ MPLS, j est sendo usada
por diversos fabricantes.
Esse m t odo usa t abelas de roteam ento IP (baseadas em
endereos IP de destino) para enviar o trfego atravs da
rede da operadora usando um LSP (Label Swit ched Path).
So definidos quatro com ponent es bsicos:
Customer Edge Router (CE)

Provider Edge Router (PE)
Virtual Routing and Forwarding Table (VRF)
Provider MPLS Domain, formado por Provider Routers (P)
Componentes de uma VPN de Camada 3

CE
PE
PE
VRF
Rotas trocadas usando RIP,
EBGP, OSPF ou rotas estticas
Rotas internas rede
MPLS so descobertas
usando OSPF
Rotas disponveis atravs

dos PEs so trocadas
usando BGP
MPLS
VRF
PE
PE
CE
Os LSPs so formados usando LDP, RSVP ou

configurao esttica
Os roteadores CE oferecem conectividade com as redes dos clientes e com os PEs. As

redes do cliente so divulgadas para o PE usando usando RIP, OSPF, BGP ou rotas
estticas.
Na rede MPLS cada PE se comunica com os demais PEs da mesma VPN usando IBGP e
ex tenses de MBGP. Um PE que recebe um pacote de um CE chamado Ingress LER.
Um PE que transmite um pacote para um CE chamado Egress LER.
Os PEs contm VRFs para cada VPN. Essas tabelas contm todas as rotas entre o PE e o
CE e os LSPs para cada PE que faz parte da mesma VPN.
As entradas dessas tabelas so propagadas para todos os PEs da mesma VPN, mas
nunca para os roteadores (P), porque eles no precisam dessa informao, j que usam
apenas LSPs para fazer comutao do trfego.
Mecanismos Utilizados - VRFs
VPNs de Cam ada 3 usando MPLS possuem duas im port ant es

caract ersticas:
Suporte para endereos pblicos nicos do lado do cliente, e
tambm endereos privados no- nicos, permitindo
sobreposio de endereos.
Suporte para sobreposio de VPNs, onde um site pode
pertencer a mais de uma VPN.
Para perm itir sobreposio (ou repet io) de endereos, so

criadas m ltiplas tabelas de rot eam ent o nos rot eadores PEs.
Essas t abelas so cham adas VRFs (VPN Routing and
Forwarding tables) e m ant m isoladas as redes de cada
VPN.
Para cada VPN ex ist ent e em um PE corresponde um a VRF,
m esm o que essa VPN esteja dist ribuda em vrios sit es
diferent es.
Mecanismos Utilizados Route

Distinguisher
Uma implicao da sobreposio de rotas que um PE que recebe

atualizaes de seus vizinhos via BGP poder receber rotas
conflitantes ou repetidas, que pertencem a VPNs diferentes.
Para identificar rotas pertencentes a VPNs diferentes (e evitar que
BGP selecione uma e descarte as outras), um atributo chamado
Router Distinguiser (RD), usando 8 octetos, prefixado a cada
rota anunciada.
O resultado um endereo de 12 octetos (4 para o endereo IP e 8
para o RD) que cria uma nova famlia de endereos, chamada VPNIPv4. Esses prefix os so transportados pelo protocolo MBGP.
Os roteadores que recebem esse endereo usa o campo RD para
distinguir uma VPN da outra.
Ao anunciar uma rota VPN- IPv4, um PE tambm inclui um label
representando essa rota na mensagem BGP, e ajusta o parmetro
BGP NEXT_HOP igual ao seu prprio endereo.
Como a rede do provedor inteira MPLS, cada roteador PE pode
alcanar qualquer outro roteador PE atravs de um LSP. Os LSPs
podem ser criados por LDP ou RSVP/ TE.
Relao entre VRFs e RDs
Os RDs servem apenas para diferenciar rotas entre

VPNs diferentes. Eles no influenciam na
distribuio das rotas.
Um RD fica associado a um VRF, de forma que
todos os prefix os anunciados por essa VRF vo
usar esse RD.
Faz sentido configurar o mesmo RD para VRFs
pertencentes mesma VPN. Normalmente, cada
VPN ter um RD nico.
Isso no significa que VRFs de sites que pertencem
a vrias VPNs possuem vrios RDs. As VRFs desses
sites continuam tendo um nico RD.
Mecanismos Utilizados Route Target
Para separar o t rfego de sites que participam de vrias

VPNs, evitando que um PE aceite rot as de VPNs que ele no
t ransport a so usados atributos de com unidades estendidas
de BGP.
O atributo Route Target includo com cada rot a
anunciada para indicar a VPN qual essa rot a pert ence.
Cada VPN recebe um valor nico para Route Target.
Quando um rot eador PE recebe um anncio de rota com
esse at ribut o, ele verifica se a VPN correspondente faz part e
do grupo de VPNs com as quais ele trabalha. Caso
afirm at ivo, a rot a aceita; caso negativo a rot a
descartada.
Isso evita que t odos os PEs trabalhem com t odas as rotas de
t odas as VPNs ex ist ent es na operadora, fato que poderia
causar problem as de escalabilidade.
Combinando RDs e Route Targets
Tom em os o ex em plo de um cliente que usa um a VPN para

acessar sua Intranet e outra para a Ex t ranet , cada um a com
um conjunto de rot as diferentes.
Na figura ao lado, o client e A, no site 1, trabalha na VPN1 e
na VPN2.
As rot as para esse site
so anunciadas pelo
rot eador PE usando um
nico RD, porm com
dois Route Target
diferent es: um para VPN1
e out ro para VPN2.
Esse PE vai aceit ar rot as
de out ros PEs apenas se
os prefix os recebidos
fizerem parte da VPN1 e
VPN2.
Labels em VPNs de Camada 3
Quando um PE recebe um pacote com dest ino para um sit e

rem oto, ele insere dois labels no pacot e.
O label m ais ex terno para o LSP que conduz at o BGP
NEXT_HOP.
O label m ais int erno est associado com o destino final, e foi
aprendido com um a m ensagem BGP recebidas de um peer.
Mecanismo de Transporte
Usado para transmitir o pacote at o primeiro roteador P
da nuvem MPLS
CE 1
Ingress
LER (PE)
O penltimo roteador P remove o

label ex terno
Label Label
Ex terno Interno Pacote
P
Pacote enviado para

CE 2
Label Pacote
Interno
O label interno usado para enviar o

pacote at CE 2
MPLS
Label Pacote
Interno
O Egress PE remove o label

interno e envia o pacote
para CE 2
Pacote
Egress
LER (PE)
CE 2
Quando um pacote transmitido de um CE para um Ingress PE, esse PE

adiciona o Label Interno, obtido do Egress PE atravs do anncio de rotas
com IBGP, e adiciona o Label Ex terno, obtido do LSP que conduz ao Egress
PE.
O pacote comutado pelos roteadores P usando apenas o Label Externo.
O penltimo roteador P remove o Label Ex terno e envia o pacote ao
Egress PE.
O Egress PE usa o Label Interno para identificar o CE para onde o pacote
deve ser transmitido. Ele remove o Label Interno e transmite o pacote para
VRFs sem MPLS
Na prtica, VRF perm it e que o roteador seja dividido em

rot eadores virtuais, cada um com seu prprio conjunto de
int erfaces, t abelas de roteam ento e com ut ao.
Isso perm ite que um provedor de servios usando a RFC
2547bis suport e duas ou m ais VPNs com endeream ent o IP
repetido na m esm a interface ou rot eador.
Um a variao dessa tecnologia, cham ada Mult i- VRF ou VRFLit e, ut iliza VRFs sem usar MPLS.
Mult i- VRF utiliza port as de entrada para dist inguir as rot as
de VPNs diferentes a form a tabelas de com utao virtuais
associando um a ou m ais int erfaces de Cam ada 3 para cada
VRF. Essas int erfaces podem ser fsicas ou virtuais.
Exemplo usando Multi- VRF

100.1.2.0/ 24
100.1.3.0/ 24
Esta conexo
carrega trfego de
duas VRFs
CE 1
PE 1
100.1.2.0/ 24 CE 2
100.1.3.0/ 24
CE 3
100.2.2.0/ 24
100.2.3.0/ 24
PE 2
CE 4
100.2.2.0/ 24
100.2.3.0/ 24
Os rot eadores CE 1 e CE 4 so CEs para a VPN Rosa e os

roteadores CE 2 e CE 4 so CEs para a VPN Verde. Os CEs
precisam rodar RIP, OSPF, BGP ou sim plesm ente rotas
est t icas.
Os dois PEs suportam VRF, e precisam estar conectados em
Cam ada 3, seja diret am ente ou atravs de swit ches.
As duas VPNs so form adas por VRF com ex at am ente as
m esm as redes.
Para garant ir isolam ent o entre rot as de VPNs diferent es,
cada VRF configurado com um RD diferente.
VPNs de Camada 2
VPNs de Cam ada 2 perm it em m aior separao lgica entre a

rede da operadora e a rede do usurio, isto , no ex ist e
t roca de rotas entre os PEs e CEs.
VPNs de Cam ada 2 usando MPLS oferecem servios de
t ransport e de fram es de um sit e para outro, de form a
t otalm ente t ransparente e independent e dos protocolos de
Cam ada 3. Dessa form a, a operadora pode transport ar IPv4,
IPv6, IPX, DECNet , OSI, et c.
H dois m todos de conex o:
Conex o Ponto- a- Ponto
Conex o Ponto- Multiponto
Conexes Ponto- a- Ponto
Os padres de fato para est abelecim ento de conex es

ponto- a- ponto esto definidos por dois draft s:
draft- martini- l2circuit- trans- mpls
draft- martini- l2circuit- encap- mpls
Esses drafts apresentam o conceit o de Circuitos Virt uais

(VCs).
Um LSP funciona com o um t nel transport ando vrios VCs,
enquanto que o VC efet ivam ent e o circuit o que t ransporta
os fram es do usurio.
VC 1
VC 2
CE
PE
PE
CE
LSP Tunnel t o R2
R1
R2
LSP Tunnel to R1
Tunel Label e VC Label
Na verdade, o VC outro LSP dentro do LSP original. O LSP

de t nel faz a conex o ent re dois PEs e o VC carrega os
fram es de um nico usurio.
Os VCs so uni- direcionais. necessrio um par de VCs para
com unicao bi- direcional.
De novo encontram os um fram e contendo dois labels:
Um label associado ao tnel que conduz ao PE destino (Tunnel
label)
Um label associado ao VC que contm os frames do usurio e
conduz ao site associado ao PE destino (VC label)
Os LSPs de t nel ent re os rot eadores PE podem ser criados

usando RSVP/ TE ou LDP. J os LSPs de VCs sem pre so
criados usando- se LDP.
Na borda da rede da operadora o roteador PE encapsula os
fram es do usurio, adiciona o label de VC e o label de t nel
e envia o fram e pelo LSP de t nel.
Na outra ponta do LSP de t nel, o PE receptor ret ira o label
de t nel, det erm ina a porta de usurio para enviar o fram e
com base no label de VC, ex t rai o fram e de Cam ada 2
original e o envia pela port a determ inada.
Exemplo de VPN Ponto- a- Ponto
Usando conex es pont o- a- ponto um a operadora pode

oferecer servios sim ilares a linhas privadas ou PVCs de
Fram e Relay, em um a rede IP com int erfaces PoS, Gig e 10
Gig
Conexo Ponto- Multiponto
O objet ivo t ransport ar fram es de Cam ada 2 atravs de

um a rede MPLS para m lt iplos sites que com pe um a
m esm a VPN.
Para uso m ais eficiente da banda da operadora, o fram e
deve ser enviado apenas para o PE que est diretam ent e
conectado ao site de dest ino, ao invs de ser t ransm itido
para todos os PEs do backbone.
Isso conseguido com utando- se os fram es com base no
endereo MAC de dest ino.
A form a popular para im plem entar essa soluo cham ada
Virtual Privat e LAN Service (VPLS).
Essa t ecnologia est descrit a no docum ento draft- lasserrevkom pellappvpn- vpls.
Mecanismos Utilizados VPN ID
VPLS cria um a m alha com plet a de VCs (para cada sent ido de
t rfego) ent re os PEs que est o conect ados aos sit es que
fazem part e da VPN.
As VPNs dos clientes so identificadas com um VPN ID
nico, form ado por 32 bit s. Ex istem propost as para
ex pandir esse ident ificador para 56 ou 64 bits e para criar
um servio de resoluo de nom es entre st rings de t ex to e
os nm eros de VPN.
Not em que VPLS, m esm o sendo um servio de Cam ada 2,
no ut iliza VLAN IDs para identificar a qual VPN pert ence
um determ inado fram e. S os labels associados aos fram es
possuem significado para com utao atravs do backbone.
Portant o, a lim itao de 4095 VLANs ex istente em IEEE
802.1Q no se aplica a VPNs usando VPLS.
Um PE m antm um a t abela separada, cham ada Virtual

Forwarding Instance (VFI), para cada VPN que ele possui.
Os rot eadores do t ipo PE aprendem endereos MAC do
m esm o jeit o que swit ches convencionais, ex ceto pelo fat o
que os fram es so recebidos atravs de VCs e no port as
fsicas.
Por ex em plo, se o PE1 recebe um fram e com endereo de
origem MAC X sobre o VC M, ele cria um a entrada na sua
t abela de endereos MAC que associa o endereo MAC X
com o VC N, que o out ro VC na direo opost a de M.
VC M
VC N
Virtual Forwarding Table para

PE1
VPN ID
MAC
VC
Porta
100
100
----
--1
PE1
PE2
CE
CE
1
VPN ID
100
MAC Y
MAC X
Quando PE1 recebe um fram e de um usurio diret am ente

conectado para o destino X, ele consult a a tabela de
endereos e encontra a associao com o VC N. Assim , ele
encapsula o fram e e o envia pelo VC N.
Se PE2 recebe um fram e com destino Y, que no aparece na
sua t abela de endereos, ele transm ite o fram e para t odos
os VCs da VPN. Quando chegar um a resposta com endereo
de origem Y, ele cria um a ent rada apont ando para o VC
onde Y reside.
VC M
VC N
Virtual Forwarding Table para PE2
PE2
PE1
CE
CE
1
VPN ID
100
MAC Y
VPN ID
MAC
VC
Porta
100
100
----
--1
MAC X
Exemplo de VPN Ponto- Multiponto
Um PE aprende apenas os endereos MAC das VPNS que ele possui.

Um roteador do tipo P (no est ex ibido est dentro da nuvem
MPLS) nunca aprende endereos MAC; eles apenas fazem comutao
baseada em labels.
VPLS no Usa Spanning Tree
Diferent e dos switches convencionais, rot eadores PE no

precisam rodar Spanning Tree para im plem ent ar um a rede
redundant e sem loops.
Com o VPLS est baseado em MPLS, VPLS ut iliza os
m ecanism os de proteo e recuperao ex istent es em
MPLS.
Alm disso, com o VPLS utiliza um a m alha com plet a de VCs
ent re os PEs de um a VPN (um PE se conect a a qualquer
outro usando apenas 1 hop), VPLS pode ut ilizar um a regra
do tipo split horizon para transport a fram es:
Se um frame de um cliente recebido por um VC em uma VPN,
esse frame s pode ser transmitido para um cliente diretamente
conectado, e no de volta para a mesma VPN (usando outro VC).
Essa regra e a m alha com pleta de VCs perm ite m ontar redes
sem loops sem usar Spanning Tree.
Redes Sobrepostas
Na figura abaix o, o client e A do site 1 participa da VPN 1 e VPN

2. Para separar o trfego de cada VPN, o sites dos client es
podem ser conectados a port as diferent es do roteador PE, um a
para cada VPN.
Com o alternat iva, o trfego pert encente s duas VPNs pode ser
m ult iplex ado sobre a m esm a conex o fsica usando- se dois
VLAN IDs diferent es. Tam bm podem ser usados IEEE 802.1Q
com VLAN aggregation para aum entar a escalabilidade das
VLANs e evitar que o t ag da operadora coincida com o tag do
usurio.
Ao cont rrio das VPNs de Cam ada 3,
o t rabalho de controlar as rotas que
so anunciadas em cada VPN
perm anecem com o responsabilidade
do cliente, j que os roteadores PE
no lidam com rot as.
Configurao Bsica
Criando um a instncia de VPLS

PE1(config)# router mpls
PE1(config-mpls)# vpls TESTE 40000
PE1(config-mpls-vpls-TESTE)#
- Os demais PEs da mesma VPN devem ser configurados com o mesmo
VPN ID
Criando a m alha de PEs

PE1(config-mpls-vpls-TESTE)# vpls-peer 192.168.2.100 192.168.2.101
- A malha de VCs vai ser formada entre os peers usando o protocolo LDP
Fazendo a associao de port as fsicas

PE1(config-mpls-vpls-TESTE)# vlan 200
PE1(config-mpls-vpls-TESTE-vlan-200)# tagged e 3/11
PE1(config-mpls-vpls-TESTE-vlan-200)# untagged e 2/1
Exibindo as VPNs
Ex ibindo um sum rio das inst ncias de VPLS

PE1# show mpls vpls summary
Virtual Private LAN Service summary:
Total VPLS configured: 1, maximum number of VPLS: 2048
Total VPLS peers configured: 3, total peers operational: 3
VC label allocation range size: 32
Maximum VPLS mac entries allowed: 8192, currently installed: 200
Ex ibindo det alhes de um a instncia de VPLS

PE1# show mpls vpls TESTE detail
VPLS TESTE, Id 100, Max mac entries: 2048
Total vlans: 1, Tagged ports: 1 (1 Up), Untagged
Vlan 200
Tagged: ethe 3/11
Untagged: ethe 2/1
Total VC labels allocated: 32 (983040-983071)
Total VPLS peers: 2 (2 Operational)
Peer address: 192.168.2.100, State: Operational,
Tnnl: tnl0(1025), LDP session: Up, Local VC lbl:
Peer address: 192.168.2.101, State: Operational,
Tnnl: tnl0(1026), LDP session: Up, Local VC lbl:
ports 1 (1 Up)
Uptime:
983040,
Uptime:
983042,
28 min
Remote VC lbl: 983041
27 min
Remote VC lbl: 983043
Exibindo as Tabelas
Ex ibindo um a VFI
PE1# show mac vpls TESTE
Total VPLS mac entries in the table: 10 (Local: 5, Remote: 5)
MAC Address
===========
===
0016.0100.1501
0016.0100.1502
0016.0100.1503
0016.0100.1504
0016.0100.1601
0016.0100.1602
0016.0100.1603
0016.0100.1604
0016.0100.1605
0016.0100.1606
R
R
R
L
L
R
R
L
L
L
L/R
==
983072
983045
983054
----------983076
983088
----------------
VC
====
5/1
5/1
5/1
2/1
3/11
5/1
5/1
2/1
3/11
2/1
Port
VLAN/Peer
=========
192.168.2.100
192.168.2.100
192.168.2.100
200
200
192.168.2.100
192.168.2.100
200
200
200
Camada 2 ou Camada 3?
Vrios aspect os devem ser observados para um a deciso sobre

o tipo de VPN a ser usado:
Tipo de trfego suportado;

Formas de conex o;
Escalabilidade;
Complex idade na implantao;
Complex idade no provisionamento dos servios;
Complex idade do gerenciamento e manuteno;
Custos da implantao;
Custos do gerenciamento e manuteno.
Esses aspect os sero analisados a seguir.
Tipos de Trfego Suportado
Obviamente, VPNs de Camada 3 suportam apenas

trfego IP. VPNs de Camada 2 suportam qualquer
protocolo: IPv4, IPv6, IPX, DECNet, OSI, etc.
Muitas empresas ainda usam outros protocolos
alm de IP, portanto VPNs de Camada 2 so uma
opo mais interessante.
Outro motivo para usar VPNs de Camada 2 o
suporte para IPv6. As VPNs de Camada 3 por
enquanto suportam apenas IPv4. Sero necessrias
modificaes nos padres e possivelmente
atualizao de hardware para os roteadores PE
suportarem VPN- IPv6.
Formas de Conexo
Existem vrias topologias possveis de conex o:
1.
2.
3.
4.
5.
Ponto- a- ponto
Estrela
Malha parcial
Malha completa
VPNs sobrepostas
Uma VPN de Camada 3 funciona bem nos cenrios 1, 4 e 5,

permitindo acesso transparente aos roteadores CE.
Uma VPN de Camada 2 funciona bem nos cenrios 1, 2, 3 e 4. Nos
cenrios 2 e 3 mais fcil usar VCs em Camada 2 do que controlar
rotas com BGP em Camada 3.
O cenrio 5 tambm vivel usando Camada 2, mas requer mais
configuraes no CE onde ocorre sobreposio: ele ter que
controlar quais rotas so anunciadas em cada VPN, por isso essa
forma no to transparente como em Camada 3.
Escalabilidade
H semelhanas na escalabilidade de VPNs de Camada 2 e Camada

3. Um limitante para ambas solues o nmero mximo de LSPs
e/ ou VCs suportados em um LSR.
Outro fator limitante o tamanho mx imo do arquivo de
configurao que pode ser armazenado em um roteador PE, visto
que o arquivo de configurao conter informao sobre todas as
VPNs dos clientes:
Em Camada 3 o arquivo contm definies de VRFs, RDs, comunidades
estendidas e polticas de BGP.
Em Camada 2 o arquivo contm definies de VPN IDs, VCs com cada PE
remoto e portas fsicas associadas a cada VPN. Usar servios de autodiscovery permite diminuir bastante o tamanho do arquivo de
configurao.
Em Camada 3, outro limitante o nmero de rotas que pode ser

armazenada em cada PE, porque cada VPN (ou VRF) ter seu prprio
conjunto de rotas. Usar sumarizao de rotas alivia esse prolema.
Em Camada 2, outro limitante o nmero de entradas nas tabelas
de endereos em cada PE. Isso pode ser aliviado limitando- se o
nmero de endereos MAC admitidos em cada VPN.
Implantao
A im plant ao de um a soluo de Cam ada 3 requer LSRs de

alto desem penho capazes de m anipular m ltiplas t abelas de
roteam ento e com utao na borda de rede. Ela t am bm
ex ige o uso de BGP peering ent re esses roteadores. Se o
provedor j usa BGP ex t ensivam ent e, um a VPN de Cam ada 3
faz bastante sentido.
Em uma im plant ao de Camada 2 os roteadores PE podem
ser m ais simples, porque no necessrio est abelecer
sesses BGP entre os peers. Essa um a boa soluo para
provedores que no ut ilizam BGP m aciam ente.
Em qualquer caso, devem ser configurados os LSPs entre os
PEs para o t ransporte dos dados de um PE para out ro.
Provisionamento
Para um a soluo de Cam ada 3, o provisionam ento de

servio vai ex igir desenhar toda a topologia de roteam ento
requerida pelo client e. Isso im plica definir a relao de VPNs
com os VRFs, (um VRF por VPN ou um a VRF para vrias
VPNs) configurar cada VRF contendo os conjuntos de rotas
de cada VPN, os valores para RD e Route Target para cada
VPN e finalmente todas as regras de BGP que iro com por
as VRFs de cada VPN.
Provisionar um a soluo de VPN em Cam ada 2 mais
simples. Cada PE de um a VPN necessita est abelecer VCs
com os dem ais PEs da m esm a VPN. A seguir, as portas
fsicas dos PEs so m apeadas para a VPN desejada. J est o
disponveis prot ocolos de aut o- discovery que t ornam o
t rabalho de configurao m anual dos VCs desnecessrio.
Gerenciamento
Gerenciar uma VPN de Camada 3 mais complicado, porque a maior

parte do trabalho de configurao e troubleshooting envolve lidar
com as sesses de BGP e polticas de distribuio de rotas. Alm
disso, cada VPN corresponde a um VRF com sua prpria tabela de
roteamento e polticas de BGP individuais, ao invs de uma nica
tabela e polticas globais. Os arquivos de configurao ficam
bastante grandes, o que dificulta a procura de erros na
configurao.
Uma soluo de Camada 2 mais simples porque o provedor no
precisa lidar com as rotas dos clientes nem controlar sua
distribuio. Como no necessrio usar BGP, as tarefas de
gerenciamento e troubleshooting ficam muito mais simples. As
atividades que sobram so a configurao dos VCs que constituem a
VPN e as portas associadas VPN, alm da monitorao das tabelas
de endereos MAC e VCs para cada VPN (VFIs).
Custos
Norm alm ent e um a soluo de Cam ada 3 ser m ais cust osa
que um a soluo de Cam ada 2, devido ao fat o que os
equipam entos que suport am VPNs de Cam ada 3 so m ais
sofist icados e potent es.
Da m esm a form a, os custos de im plantao, gerenciam ento
e m anuteno so m aiores para um a VPN de Cam ada 3,
pelas m esm as razes apresentadas no slide anterior.
Concluses
Um a VPN de Cam ada 3 suporta apenas IP com roteam ento,

suport ando m ltiplas VPNs usando polt icas de rotas
definidas por BGP.
Solues de Cam ada 2 so um a abordagem m ais nova para
criao de VPNs. Ela oferece um a soluo de com ut ao de
fram es de Cam ada 2, o que t orna a VPN transparent e para
qualquer protocolo de Cam ada 3. So usados circuit os
virt uais para criao das m ltiplas VPNs.
A escolha de um a ou outra abordagem deve considerar os
pontos fortes e fracos de cada alt ernat iva, os requisitos
atuais e fut uros do servio a ser im plant ado, a infraest rut ura ex ist ente e os cust os envolvidos.
Referncias
White Paper IP/ MPLS- Based VPNs Layer- 3 vs Layer- 2 ht tp

:/ / www.foundrynet .com / solut ions/ appNotes/ MPLS_L3vsL2.ht m l

03 VPN l23 PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

03 VPN l23 PDF

Caricato da

Copyright:

Formati disponibili

VPNs de Camada 2 e 3 usando

Foundry Networks Confidential & Proprietary

2002 Foundry Net works, Inc.

2004 Foundry Net works, Inc.

Apresentar os conceitos bsicos que envolvem a

2004 Foundry Net works, Inc.

A t ecnologia MPLS est recebendo m uita ateno dos

2004 Foundry Net works, Inc.

O padro de fato para m ontagem de VPNs de Cam ada 3

Customer Edge Router (CE)

2004 Foundry Net works, Inc.

Componentes de uma VPN de Camada 3

Rotas disponveis atravs

Os LSPs so formados usando LDP, RSVP ou

Os roteadores CE oferecem conectividade com as redes dos clientes e com os PEs. As

Mecanismos Utilizados - VRFs

VPNs de Cam ada 3 usando MPLS possuem duas im port ant es

Para perm itir sobreposio (ou repet io) de endereos, so

2004 Foundry Net works, Inc.

Mecanismos Utilizados Route

Uma implicao da sobreposio de rotas que um PE que recebe

2004 Foundry Net works, Inc.

Relao entre VRFs e RDs

Os RDs servem apenas para diferenciar rotas entre

2004 Foundry Net works, Inc.

Mecanismos Utilizados Route Target

Para separar o t rfego de sites que participam de vrias

2004 Foundry Net works, Inc.

Combinando RDs e Route Targets

Tom em os o ex em plo de um cliente que usa um a VPN para

2004 Foundry Net works, Inc.

Labels em VPNs de Camada 3

Quando um PE recebe um pacote com dest ino para um sit e

2004 Foundry Net works, Inc.

O penltimo roteador P remove o

Pacote enviado para

O label interno usado para enviar o

O Egress PE remove o label

Quando um pacote transmitido de um CE para um Ingress PE, esse PE

VRFs sem MPLS

Na prtica, VRF perm it e que o roteador seja dividido em

2004 Foundry Net works, Inc.

Exemplo usando Multi- VRF

Os rot eadores CE 1 e CE 4 so CEs para a VPN Rosa e os

VPNs de Cam ada 2 perm it em m aior separao lgica entre a

2004 Foundry Net works, Inc.

Conexes Ponto- a- Ponto

Os padres de fato para est abelecim ento de conex es

Esses drafts apresentam o conceit o de Circuitos Virt uais

2004 Foundry Net works, Inc.

Tunel Label e VC Label

Na verdade, o VC outro LSP dentro do LSP original. O LSP

2004 Foundry Net works, Inc.

Os LSPs de t nel ent re os rot eadores PE podem ser criados

2004 Foundry Net works, Inc.

Exemplo de VPN Ponto- a- Ponto

Usando conex es pont o- a- ponto um a operadora pode

Conexo Ponto- Multiponto

O objet ivo t ransport ar fram es de Cam ada 2 atravs de

2004 Foundry Net works, Inc.

Mecanismos Utilizados VPN ID

2004 Foundry Net works, Inc.

Um PE m antm um a t abela separada, cham ada Virtual