Reti e dintorni

Dicembre 2002 N 15

RETI E DINTORNI N 15

Pag. 2

EDITORIALE
ETHERNET nelle MAN Lutilizzo di Ethernet nelle reti metropolitane (Metropolitan Area Network o MAN) al posto di SDH/SONET sta riscuotendo molto interesse. Per supportare servizi IP come videoconferenza, video on demand, giochi interattivi e servizi integrati di voce, video e dati, linfrastruttura basata su Ethernet deve essere per in grado di offrire servizi personalizzati per ogni cliente. La Quality of Service (QoS) basata su IP e le Virtual LAN (VLAN) 802.1q sono due tecnologie che possono migliorare la gestione della banda Ethernet per soddisfare i requisiti dei servizi di nuova generazione. A ciascuno la sua classe La maggior parte dei servizi Ethernet richiedono la suddivisione dei clienti in alcuni classi di servizio predefinite. I Service Provider possono usare la QoS basata su IP per dividere il traffico in quattro classi distinte, ciascuna con un proprio segmento di banda e un livello di priorit. La classe con bassa latenza e basso jitter (cio con basso ritardo nellinvio dei pacchetti e con una bassa variazione dei ritardi) offre il supporto per applicazioni in real-time o comunque sensibili ai ritardi e al jitter, come Voice over IP. Lo "scheduling" (cio la gestione delle code) per i pacchetti in questa classe agisce in modo da ottenere una bassa latenza a priori. Inoltre, lo "shaping" (cio la gestione del flusso di dati utilizzando tecniche di buffering) mira al raggiungimento di un basso jitter. La classe a bassa latenza prevede che i pacchetti vengano "schedulati" per raggiungere fin dallinizio una bassa latenza. Questo traffico non richiede shaping, ma dovrebbe essere limitato a livello di rate in modo da non sottrarre completamente la banda al traffico a priorit inferiore. Queste due prime classi sono conformi alla classe di traffico Expedited Forwarding stabilita dallInternet Engineering Task Force (IETF) nella RFC 2598. La classe a bassa perdita fa in modo che ai pacchetti venga assegnato un peso maggiore nello scheduler, il che significa che verr assegnata loro pi banda, e sar anche assegnata una soglia pi alta, o pi buffering. Questa classe viene spesso usata per le applicazioni mission-critical. E equivalente al modello IETF Assured Forwarding (RFC 2597). Nella classe best-effort i pacchetti verranno "schedulati", cio inviati, non appena possibile. Questa classe usa la banda rimasta e dovrebbe risultare anche la meno costosa per il cliente.

Il supporto delle VLAN IEEE 802.1q offre invece la possibilit di segmentare logicamente gli utenti e il loro traffico su uninterfaccia condivisa, per esempio Gigabit Ethernet o Fast Ethernet. Lo standard IEEE 802.1q descrive due campi che sono stati aggiunti alla trama Ethernet per identificare il traffico e assegnargli una priorit: lidentificatore VLAN e i valori di priorit dellutente (802.1p). Il campo VLAN ID grande 12 bit, consentendo lidentificazione di un massimo di 4.096 VLAN distinte. Le trame "trattate" con questo campo vengono identificate dal valore 0x8100 nel campo Ethernet Protocol Type; segue poi leffettivo Protocol Type. Usando lo strumento delle VLAN, i Service Provider possono offrire servizi personalizzati assegnando un identificatore univoco per ogni cliente.

RETI E DINTORNI N 15

Pag. 3

DESCRIZIONE GENERALE DELLA COSTRUZIONE DI UNA WEB-FARM A PI LIVELLI PROTETTI

LOperazione pi comune per realizzare una rete a pi strati protetti, che separi gli Apparati di Front-End (es: Web Server ),da Apparati di Applicazione ( es: VideoStreaming Server ) e da Apparati di Back-End ( es: Host, DB SQL ), dividere con apparati di rete attivi i vari strati che la costituiscono, creando delle Virtual Lan per ogni servizio di cui si dispone, inserendovi un firewall per la protezione in ogni strato. In questo modo, ogni strato provveder singolarmente alla protezione da eventuali intrusioni dei vari apparati di Front e Back-end ed impedir laccesso alla rete privata di eventuali intrusori. La necessit di inserire pi apparati proposti alla protezione, si rende necessaria per aumentare il livello di protezione, sia verso la rete privata che verso gli apparati esposti allesterno e anche per eliminare problematiche di fault tollerance. Risulta pertanto necessario adoperare architetture parallele per raggiungere la scalabilit richiesta. Anche se la richiesta delle prestazioni globali pu essere raggiunta con un solo firewall, pi firewalls sono per spesso necessari per garantire una migliore ridondanza. Il problema che sorge per quello di evitare i percorsi asimmetrici: vero che si ottiene un load-balancing, ma anche vero che tale bilanciamento avviene a scapito della sicurezza. Volendo rimarcare questo punto, nella situazione riportata in figura, la sessione TCP in oggetto

Per risolvere questa problematica, necessario implementare un load-balancing, che memorizzi il percorso effettuato per la connessione e restituisca la sessione a chi la originalmente la inoltrata. Un Load balancing pu anche effettuare bilanciamento per pi protocolli, redirigendo la sessione a pi server,in modo da bilanciare il carico su gli apparati finali.La funzionalit di Content Switching erogata dai load-balance, aumenterebbe la qualit e la velocit del servizio erogato dagli eventuali server applicativi. Nellipotesi che vi siano pi di un Server Applicativo che eroghi gli stessi servizi o contenuti, sarebbe possibile, creare un unico indirizzo-IP (Virtual-IP), dove gli utenti indirizzino le loro richieste, mentre il Vip effettuer il bilanciamento delle sessioni ( server load-balancing ), in modo da sfruttare al meglio lutilizzo in percentuale dei server. E opportuno rilevare che la scelta del criterio di bilanciamento e selezione del server, oltre a essere vincolata dagli impatti sul corretto funzionamento o meno delle applicazioni client coinvolte, pu essere ottimizzata sulla base del contesto di rete. Ad esempio per traffico HTTP che non richieda la persistenza delle sessioni TCP/IP del client sullo stesso server reale, il criterio di bilanciamento round robin, oltre ad essere il pi semplice da implementare, anche quello meno ottimizzato, specialmente nel caso di server Web che si differenzino nettamente tra loro per le prestazioni offerte. Per questo tipo di traffico, criteri di bilanciamento pi efficaci sono: - Least Connections La nuova sessione client inviata sul server con il minor numero di connessioni attive. Tipicamente questo criterio viene integrato con lopzione Weighting, che introduce la possibilit di fornire pesi diversi ai server del gruppo, in ragione della loro diversa capacit in termini prestazionali. In questo modo la nuova sessione client verr inviata al server con il minor numero di connessioni normalizzate, permettendo un bilanciamento pesato delle connessioni tra i server del gruppo. Unulteriore opzione configurabile quella del Max. Connections, che consente di limitare il massimo numero di connessioni attive su un real server, per non penalizzare il livello di servizio degli utenti gi attestati sul server. - Response Time Questo criterio adotta la misurazione dei tempi di risposta dei server sulla base degli healthcheck effettuati ad intervalli regolari (configurabili), per la definizione del peso da assegnare ad ogni server reale. Pi veloce il tempo di risposta di un certo server reale, maggiore il suo peso, e maggiore sar il numero di connessioni che gli vengono assegnate. Il criterio adottato preferibilmente Least Connections, poich richiede meno risorse, e distribuisce il carico sui server (grazie alloperazione weighting) sulla base delle capacit prestazionali conosciute a priori.

verrebbe bloccata dal firewall che riceve il SYN-ACK senza aver visto passare il pacchetto di richiesta di SYN. Occorre quindi predisporre un Egress-Ingress Layer in grado di ricordare dove passato il primo pacchetto di quella sessione specifica.

RETI E DINTORNI N 15

Pag. 4

Esempio di Bilanciamento per Server:

Nota: Lutente effettua la richiesta http direttamente al virtual IP, questultimo a seconda lalgoritmo di bilanciamento distribuisce il carico, inviando la richiesta ad uno dei server Inoltre, per aumentare le perfomance e limitare lutilizzo dei Server Applicativi ( solo per server http ed ftp ), e possibile utilizzare la funzionalit di Caching, che mantengono in un database interno a gli apparati, le pagine html o contenuti ftp, di cui vengono messe a conoscenza. Esistono due modalit per effettuare il caching, la prima il Trasparent-Caching,la seconda modalit il Proxy Caching. Nella modalit Trasparent Caching, tutto il traffico http ed ftp, tramite delle policy di redirect applicate negli apparati attivi della rete, dirigono tutto il traffico http ed ftp alle cache, le quali se al loro interno hanno il contenuto richiesto, lo inviano allutente, altrimenti effettueranno il download della pagina o del contenuto richiesto, lo invieranno allutente e sar messo successivamente a disposizione di altri utenti che ne faranno richiesta. Nella seconda modalit, Proxy Caching, solitamente usata per la connessione ad Internet degli utenti,sfrutta la possibilit di configurare le cache come proxyserver, le richieste http ed ftp, vengono inviate direttamente dallutente alle cache, le quali svolgono le stesse operazione sopra citate. Nellipotesi che si usino le Cache Engine come ProxyServer, vi la possibilit di introdurre la funzionalit di Content Filtering, ossia la possibilit di filtrare e bloccare i contenuti richiesti dallutente, come siti non attendibili o proibiti ecc. La modalit di Content Filtering, prevede lattivazione di un abbonamento Web-Sense con un sito Web che eroghi questa funzionalit. I siti che erogano il servizio di web-sense, hanno un database aggiornato giornalmente dove vi la lista dei siti non attendibili o con delle restrizioni, come possono essere i siti porno, con questa funzionalit la cache, verificher ogni volta se il contenuto richiesto dallutente compreso nella lista, ed in caso positivo bloccher la richiesta di sessione. Di norma gli apparati cache vengono inseriti, tra il firewall ed eventuali web-server che espongono servizi verso internet, la quale avr il compito di effettuare il caching per gli utenti internet, in modo da limitare le connessioni dirette verso i web-server. Nellipotesi che nella web Farm vi siano dei Server che necessitano di connessioni protette (https), per lattivazione di particolari connessioni o per lautenticazione degli utenti, per limitare le sessioni a loro carico ed aumentare le performance di questultimi, possibile inserire un apparato che abbia la funzionalit di SSL-Accelerator. Questi tipi di apparati forniscono funzionalit di Client/Server Authentication, Key Exchange, SSL Handshake, Http to Https session. Un SSL-Accelerator pu sia, trasformare una comune sessione http in una sessione protetta https, sia mantenere una connessioni https nativa tra i client ed i server fungendo da terminatore della sessione per luna o laltra parte, in modo da svincolare i server dal mantenere le sessioni continuamante attive con tutti i client.

Nelle figure seguenti riportiamo gli esempi relativi alle due modalit di caching: Esempio della modalit Traparent-Proxy:

RETI E DINTORNI N 15

Pag. 5

Origin Web Servers

Alteon ACC Cache(s)

50%
hit

50%

1 3

miss

3
Internet

Alteon L4-7 Web Switch

Transparent Proxy

Nota: lutente richiede una pagina http ( 1 ),la sessione http viene catturata dal wsm che la dirige verso le cache ( 2 ), le quali soddisfano la richiesta, se la pagina gi presente nel database, la inviano al richiedente ( 3 ), altrimenti provvedono alla richiesta della pagina e successivamente la inoltrano allutente che ne ha fatto richiesta ( 3 ) Esempio della modalit reverse-proxy:

Nota: lutente richiede una pagina http ( 1 ) ,la sessione http viene indirizzata direttamente alla cache engine ( 2 ), le quali soddisfano la richiesta, se la pagina gi presente nel database, la inviano al richiedente ( 3 ), altrimenti provvedono alla richiesta della pagina e successivamente la inoltrano allutente che ne ha fatto richiesta ( 3 ).

Esempio di redirezione di una sessione http verso un SSL-Accelerator, che la trasforma in una sessione https:

RETI E DINTORNI N 15

Pag. 6

Il client attiva una sessione http verso il server, la sessione viene catturata da un apparato web switch che la redirige all SSL-Accelerator, il quale attiva una sessione https verso il client per lautenticazione, ed una sessione http verso il server Di seguito riportiamo uno schema di esempio di una rete a 3 livelli:

M. Guillaume

RETI E DINTORNI N 15

Pag. 7

VOIP su routers Cisco

Fino adesso abbiamo sentito parlare di Voce su IP ma non avevamo tanto bene le idee chiare sulla sua effettiva integrazione e implementazione nelle reti a commutazione di pacchetto. Come tutti sappiamo i principali sistemi di comunicazione tradizionale della voce si basano sulla commutazione di circuito. La connessione tra questi sistemi (Pbx o centrali telefoniche) pu avvenire con collegamenti analogici e collegamenti digitali: collegamenti analogici : circuiti a due fili : FxS e FxO circuiti a quattro fili : E&M collegamenti digitali : ISDN Basic ISDN Pri Linteroperabilit tra i centralini non possibile poich ogni produttore ha sviluppato un proprio protocollo per la connessione dei vari sistemi. E stato creato cos un protocollo chiamato QSIG (Q Signalling), che potesse interoperare con i diversi sistemi. Questo protocollo che si basa sulle specifiche di ITU-T Q.9xx offre servizi base, servizi supplementari ed compatibile con lo standard ISDN, permettendo cos la comunicazione tra centralini Pbx e la rete pubblica PSTN. Il protocollo QSIG pu: Interconnettere dispositivi sviluppati da diversi produttori Offrire servizi base per la comunicazione tra pbx Opera in configurazione a stella o maglia Opera su centrali telefoniche pubbliche e private Non impone restrizioni sul piano di numerazione Nonostante sono state sviluppate in seguito diverse versioni del protocollo Qsig tuttavia possibile che alcuni sistemi non siano interoperabili . Andiamo adesso a vedere come vengono integrati i servizi di fonia sulla rete a commutazione di pacchetto. Interfaccia analogica FXS : serve per collegare un telefono analogico , un fax o un modem. Interfaccia analogica FXO : serve per collegare un canale voce al PBX o CO. Interfaccia analogica E&M : serve per collegare un canale voce al PBX Interfaccia digitale ISDN BRI NT/TE : serve per collegare o un telefono Isdn o due canali voce al Pbx Interfaccia digitale ISDN PRI: serve per collegare 30 canali voce al PBX Cisco ha sviluppato questo tipo di interfacce che sono supportate nei routers dalla serie 1700 fino a 7200.

In questo modo i routers possono diventare dei gateway telefonici. Lintegrazione tra Pbx e routers pu avvenire in diverse modalit di configurazione: Voip con transparent CCS frame forwarding Voip con protocollo Qsig Voip con protocollo ETSI (IDSN) La differenza sostanziale quella con il Transparent CCS: Questa modalit permette di trasportare in modo trasparente i canali voce tradizionali a 64Kb con la limitazione che le sessioni Voip sono sempre attive, e quindi si occupa permanentemente la banda sul collegamento. La configurazione simula dei tradizionali trunk di giunzione tra i centralini. Sul canale di segnalazione D viaggiano alcuni servizi proprietari del Pbx che vengono trasportati trasparentemente sul collegamento.Questa funzionalit si chiama clear-channel. Gli altri due tipi di configurazione sono normali configurazioni di Voip. Isdn switch-type primari-net5 per la configurazione ETSI Isdn switch-type primari-qsig per la configurazione QSIG La comunicazione della voce attraverso i routers avviene con il protocollo standard H.323 , la quale trasporta i pacchetti IP codificati in voce. Le schede descritte prima hanno dei DSP (Digital Signal Processor) che decodificano i segnali analogici/digitali e li trasformano in pacchetti IP. I pacchetti IP possono successivamente essere compressi a secondo della codifica usata. Codifiche : - G.711ulaw PCM - G.711alaw PCM - G.726 ADPCM - G.728 LDCELP - G.729 CS-CELP - G.723 ACELP

64000 bps (US) 64000 bps (Europa) 32000 bps 15000 bps 8000 bps 5300 bps

Il protocollo H.323 composto da diversi strati trasporta la voce con il protocollo non connesso UDP. Ogni pacchetto voce avr in pi loverhead di : Header IP: 20Byte Header UDP: 12 byte Header RTP: 8 Byte pi il payload della voce. Prendiamo un esempio pratico: Per impostazione predefinita Cisco costruisce due campioni di voce G.729 ogni 10ms, generando in totale 50 pacchetti IP al secondo, ne consegue quindi che si

RETI E DINTORNI N 15

Pag. 8

avr un overhead di 16000 bps e un carico utile pari alla met, e cio 8000 bps. Si avr cos che per una codifica G.729 un canale voce IP occuper 24000 bps di banda al netto del protocollo di trasporto di livello 2 (header PPP,HDLC,ATM,Ethernet ecc.), che a secondo di quello che si usa aggiunger ancora overhead al pacchetto. In definitiva una conversazione VoIP su protocollo di trasporto HDLC occuper 25500 bps E possibile ridurre lintestazione da 40 a 2 o 4 byte con il comando ip rtp header-compression sotto linterfaccia seriale. Questo ha unenorme beneficio nei collegamenti a bassa velocit. Per dare priorit ai pacchetti voce nella rete IP si usa normalmente una tecnica chiamata LLQ (Low Latency Queuing). Questa tecnica assegna con priorit assoluta una certa banda ( in base alle chiamate voce) alle code in uscita nellinterfaccia di uscita dei pacchetti VoIP. La configurazione la seguente: Creo prima una classe che selezione un certo tipo di traffico class-map match-all voip match access-group 2 identifico il traffico voce access-list permit udp any any range 16384 32576 Configuro la policy per assegnare la priorit alla voce policy-map voce class voip priority 200( in Kbps) class class-default fair-queue assegno la policy sullinterfaccia di uscita della VoIP. service-policy output voce

Il collegamento sulla seriale IP punto-punto, le interfacce sui routers sono FXS ,la configurazione sar: R1# dial-peer voice 1 pots destination-pattern 300 port 1/0/0 dial-peer voice 2 pots destination-pattern 301 port 1/0/1 dial-peer voice 3 voip destination-pattern 2.. session-target ipv4 :10.1.1.2 R2# dial-peer voice 1 pots destination-pattern 200 port 1/0/0 dial-peer voice 2 pots destination-pattern 201 port 1/0/1 dial-peer voice 3 voip destination-pattern 3.. session-target ipv4 :10.1.1.1

Il comando dial-peer pots identifica i dispositivi di telefonia o trunk verso i PBX Il comando dial-peer voip identifica la sessione IP dove inviare i pacchetti voce. Il comando destination-pattern destinazione delle cifre digitate. Per meglio comprendere i flussi schematizziamo il circuito di chiamata: identifica la

di

chiamata

Configurazione Voip
Prendiamo un caso molto probabile di collegamento voce tra due routers:

Inbound POTS Call

Outbound Voip Call

Inbound Voip Call

Outbound POTS Call

301 10.1.1.1 R1 10.1.1.2

200

Le chiamate voice over Ip attraverso i gateway devono avere un percorso statico fino alla destinazione. Questi percorsi sono chiamati come nello schema seguente e il destination pattern usato per guidare i pacchetti a destinazione. Allarrivo di una chiamata voce ( inbound Pots call) il routers cerca un dial-peer voip su cui fare match. I digit sono rappresentati dalle cifre da 0 a 9, da lettere da A a D * e #. Il segno . rappresenta identifica una wildcard, qualsiasi cifra . Il routers non appena identificata la cifra nel destination-pattern apre la chiamata Voip al router selezionato inviando il resto

R2 201

300

RETI E DINTORNI N 15

Pag. 9

delle cifre inserite nel destination-pattern , altre cifre selezionate successivamente saranno scartate. Se per esempio abbiamo un destination-pattern 57.. e digitiamo 5769800 il router invier le cifre 5769 scartando le cifre 800 Quando un router riceve una chiamata Voip (inbound call Voip) cerca un dial-peer pots su cui fare match. Il router una volta identificato il pots dial peer, scarta le cifre inserite nel destination-pattern e invia il resto delle cifre equivalenti alla wildcard al dispositivo telefonico. Esistono metodi per identificare e abbreviare le cifre: - . qualsiasi cifra - [ ] range di cifre - T il router memorizza tutte le cifre prima del timeout - + indica che le cifre precedenti sono state inserite pi di una volta. - Per configurare il supporto dei modem su una chiamata VoIP bisogna configurare il dialpeer con la funzionalit modem passthrough.

Questa funzionalit fa si che il router si comporta da modem relay , riconoscendo se una chiamata sia voce o modem. Se la chiamata voce , applica il codec G.729 per la compressione , se modem non applica la compressione permettendo il trasporto dati. Nella configurazione tra centralini un altro comando importante isdn provocol-emulate [network | user ] Questo comando definisce se linterfaccia isdn sul router (sia BRI che PRI) a cui connesso il Pbx di tipo Master o Slave Se il centralino configurato come Slave linterfaccia sul router deve essere network Se il centralino configurato come Master linterfaccia sul router deve essere user

L. Natale

RETI E DINTORNI N 15

Pag. 10

VPN
Per realizzare le proprie WAN, le aziende si rivolgevano ad un operatore di rete pubblico per potere affittare delle linee dedicate al fine di realizzare una propria rete privata.

La Figura mostra un semplice scenario in cui unazienda con un quartier generale e due sedi decentrate ha realizzato la propria WAN tramite laffitto di linee dedicate. Il traffico dati tra le varie sedi scorre solo sulle linee dedicate le quali, essendo ad uso esclusivo dellazienda che le affitta, sono sicure, nel senso che nessun utente non autorizzato pu venire a conoscenza delle informazioni trasmesse. Questa soluzione per molto costosa sia perch laffitto di tali linee dipende da quanto esse siano lunghe, sia perch il loro costo fisso ed indipendente dal fatto che lazienda le utilizzi per il 10% o per il 100% del tempo. Un notevole progresso nella realizzazione di WAN aziendali stato raggiunto grazie allintroduzione di tecnologie di livello 2 quali ATM o Frame Relay (FR). Queste due tecnologie utilizzano entrambe il concetto di circuito virtuale: in base alle richieste di un cliente, un fornitore di servizi ATM o FR configura la propria rete in modo che tra due punti, ad esempio due sedi della rete aziendale, il traffico dati fluisca con determinate caratteristiche concordate in anticipo col cliente mediante accordi sul livello del servizio (SLA, Service Level Agreements). Il cliente ha bisogno soltanto di linee dedicate di breve lunghezza, che connettano le reti delle varie sedi ai Point of Presence (POP), ovvero a punti di accesso alla rete del fornitore del servizio ATM o FR, geograficamente sparsi sul territorio. In tal modo, il cliente non paga pi laffitto delle linee in base alla loro lunghezza, ma paga laccesso alla rete ed il livello di servizio desiderato. La Figura seguente rappresenta levoluzione dello scenario precedentemente descritto, dove le linee dedicate sono state sostituite dalle linee di accesso ai POP, e la nuvoletta rappresenta la rete del fornitore di servizi di rete.

Le tecnologie ATM e FR introducono un concetto importante: la condivisione della banda passante. La banda passante di un circuito virtuale pu cambiare nel tempo a seconda dellintensit del traffico dati che scorre sulla rete istante per istante. Il fornitore del servizio ATM o FR pu quindi dare delle garanzie sulla banda minima, media e di picco dei circuiti virtuali, e pu condividere parte della banda passante tra pi circuiti virtuali. A differenza delle linee dedicate, in questo caso la banda viene meglio sfruttata. Laffermazione di internet come architettura di rete presente ovunque ha subito posto il seguente interrogativo: si pu utilizzare internet per poter realizzare una WAN aziendale, ovvero interconnettere le sedi aziendali mediante dei collegamenti virtuali instaurabili dinamicamente e quindi non pi dedicati, che siano sicuri e con certe garanzie sulla qualit del servizio? La risposta a questo quesito risiede tutta nelle reti private virtuali (VPN, Virtual Private Network).

Motivazioni sulluso delle VPN

Lutilizzo delle VPN consente quindi di realizzare delle reti private sfruttando uninfrastruttura di rete pubblica o condivisa. I vantaggi che ne traggono sia i clienti che i fornitori di un servizio VPN sono molteplici. I clienti possono estendere le funzionalit delle proprie reti aziendali anche a siti sparsi su territorio oppure ad utenti che si collegano ad esse per via remota o tramite reti di terze parti. I vantaggi economici che se ne traggono sono molteplici, rispetto allutilizzo di WAN realizzate tramite linee dedicate: il fornitore pu condividere le stesse risorse della propria rete dorsale (banda, collegamenti ridondanti) tra pi clienti. Il vantaggio principale nellutilizzare le VPN anzich delle linee dedicate fondamentalmente un vantaggio economico di cui beneficiano sia i clienti che i fornitori del servizio. Laltro importante aspetto la flessibilit di gestione e di fornitura del servizio. Infatti, il fornitore spesso incaricato di gestire gran parte della complessit richiesta dalle VPN e ci gli consente di differenziare i servizi ai vari clienti. Dal loro canto, i clienti sono avvantaggiati perch possono rinegoziare dinamicamente dei parametri di rete per le loro VPN, pagando le risorse che utilizzano in pi, e quindi non sono pi vincolati da contratti rigidi, come avveniva nel caso delle linee dedicate.

Principali modelli usati nelle varie implementazioni

Le VPN possono essere realizzate in diversi modi e con diverse architetture di rete; ciascuna implementazione pu preferire, ad esempio, una rete switched ad una di tipo routed, oppure pu aumentare la complessit della rete dei siti dei clienti per alleggerire quella della rete dellISP.

RETI E DINTORNI N 12
Rivista interna Tecnonet SpA

Pag. 11

VPN CPE-Based: Col termine VPN CPE-based ci si riferisce ad un approccio nella realizzazione di una VPN in cui la complessit configurazione e gestione delle VPN risiede in gran parte nei dispositivi CE (anche detti CPE), appartenenti alla rete del cliente. In particolare i dispositivi CE si fanno carico di gestire la topologia virtuale ed infatti essi costituiscono le terminazioni estreme dei collegamenti virtuali che connettono i vari siti. In tal modo la rete dellISP viene alleggerita dallonere della gestione delle VPN, consentendo di concentrarsi maggiormente su come fornire la connettivit tra i vari PE con una certa banda e con certe garanzie di qualit del servizio (QoS, Qualit of Service).

LISP, in base alle esigenze del cliente, configurer la propria rete per fornirgli il servizio VPN desiderato, e la topologia virtuale scelta; questultima sar costituita da una rete di collegamenti virtuali aventi come terminazioni i dispositivi PE, i quali si fanno carico di creare e distruggere i collegamenti virtuali poich la topologia virtuale pu cambiare dinamicamente nel tempo. VPN Peer-Model: Nel modello peer (paritario), il cammino verso il quale verranno instradati i pacchetti appartenenti ad una VPN, viene stabilito da un algoritmo di routing che coinvolge tutti i nodi attraversati dal cammino stesso, ovvero ciascun nodo paritario con i suoi nodi adiacenti. Tutti i nodi rete dellISP (sia interni che periferici) quando inoltrano i pacchetti VPN sanno distinguere il loro colore, ovvero la VPN a cui appartengono.

Nel caso in cui il cliente volesse avere completa autonomia nella gestione della propria VPN (si parla in tal caso di customer provisioned VPN) egli dovr ricorrere a personale qualificato in grado di configurare i dispositivi CE; in alternativa egli pu delegare tale compito al proprio ISP (provider provisioned VPN). VPN Network-Based: In un approccio network-based, il servizio VPN viene completamente fornito dallISP, nascondendo lesistenza della VPN al cliente che lavora come in una normale rete aziendale. LISP investe nellacquisto di pi complessi e costosi dispositivi PE, per poter supportare le VPN. Il cliente, affidando tutta la gestione della propria VPN allISP, pu risparmiare sullacquisto dei dispositivi CE che saranno meno costosi rispetto al caso precedente, in quanto non dovranno gestire loro le VPN.

Il vantaggio nellusare questo modello quello di avere un instradamento efficiente ed una maggiore scalabilit, mentre lo svantaggio principale dovuto alluso di nodi VPNaware, ovvero in grado di distinguere i pacchetti (sia di dato che di controllo) delle varie VPN, anche nei nodi interni alla rete dellISP. Di conseguenza, la complessit nella gestione delle VPN risiede in tutti i nodi della rete. Esempi di modelli di tipo peer sono le reti tradizionali in cui viene effettuato il routing IP e le reti MPLS. VPN Overlay-Model: Al contrario, il modello overlay (soprastrato), nasconde i dettagli della rete interna dellISP, ovvero i nodi costituenti la

RETI E DINTORNI N 12
Rivista interna Tecnonet SpA

Pag. 12

rete interna non distinguono n il colore dei pacchetti VPN, n distinguono i pacchetti VPN da quelli non VPN; essi fungono esclusivamente da nodi di attraversamento (cut-through). I nodi VPN-aware saranno confinati nel bordo periferico della rete dellISP, mentre i nodi interni saranno VPNunaware. In altre parole, i nodi periferici sono paritari tra loro ma non lo sono con i nodi interni. Per i nodi periferici la rete interna opaca: essi sanno che possono raggiungere tramite essa i loro paritari, ma non conoscono il cammino che intraprenderanno i pacchetti al suo interno.

Questo fatto pu portare ad avere un instradamento non ottimo nella rete interna quando un nodo periferico deve raggiungere un suo paritario. Per ovviare a ci, tutti i nodi periferici richiedono una maglia di connessioni punto-punto, utilizzati sia per i dati che per il routing. Ci porta ad avere un notevole numero di collegamenti tra i nodi periferici ed un notevole scambio di messaggi di controllo, e di fatto limita il numero di nodi periferici che possono essere usati, con effetti negativi sulla scalabilit. Un esempio tipico di modello overlay la tecnica del tunneling. Riassumendo:

Sono molte infatti le soluzioni proposte, le quali focalizzano la loro attenzione su alcuni requisiti funzionali, quali ad esempio la sicurezza delle comunicazioni, la scalabilit dellarchitettura, la semplificazione della complessit di gestione e cos via. Ci ha portato a soluzioni per le VPN spesso mirate a soddisfare delle esigenze particolari dei clienti, in cui, ad esempio, viene curata la segretezza dei dati ma non la qualit del servizio, oppure la flessibilit di gestione a scapito dellefficienza. Di conseguenza, molte delle soluzioni VPN esistenti non sono compatibili tra di loro, e possono essere applicate solo in un singolo ISP. Questo fatto ha creato un forte interesse per le VPN basate sul protocollo IP, in modo da ricercare degli standard che consentano di creare delle soluzioni VPN funzionanti anche tra diversi ISP. I vari tipi di VPN appartengono a delle categorie che possono essere localizzate ad un ben preciso livello nella pila protocollare TCP/IP dove ciascun livello dominato da diversi protocolli e architetture. A livello fisico si trovano le reti private, non virtuali, realizzati mediante linee dedicate. La principale tecnologia utilizzata a questo livello quella dei canali diretti analogici o numerici (CDA e CDN rispettivamente). A livello data-link le architetture maggiormente utilizzate sono ATM (Asynchronous Transfer Mode) e Frame Relay. A livello rete il protocollo IP ad essere predominante. I collegamenti virtuali sono realizzati mediante la tecnica del tunneling e per poterli dotare di sicurezza o di qualit del servizio, si utilizzano dei protocolli, quali IPSec (IP Security) e RSVP (Reservation Protocol). Di recente sono state proposte anche delle soluzioni ibride e il caso pi rappresentativo costituito dal protocollo MPLS (Multi-Protocol Label Switching), il quale riesce a combinare delle caratteristiche comuni sia allarchitettura IP che a quella ATM, e per questo motivo si pone a met tra il livello rete ed il livello data-link. A livello trasporto ed applicazione sono presenti diversi protocolli che consentono di realizzare delle connessioni sicure tra applicazioni software. Tuttavia le VPN realizzate con protocolli a questi livelli non sono molto comuni. VPN a livello data-link: ATM e Frame Relay Le VPN a livello data-link sfruttano per la connettivit tra siti uninfrastruttura di rete pubblica di tipo switched (commutata). Il cuore di tale rete costituito infatti da switch ATM o FR, mentre i dispositivi periferici sono costituiti da router, in grado di comunicare col protocollo ATM o FR verso la rete commutata, e col protocollo utilizzato dal cliente, spesso IP, verso le reti delle varie sedi del cliente. Il punto di forza di queste tecnologie che si possono creare i circuiti virtuali in maniera estremamente flessibile. Il fornitore del servizio ATM o FR pu stipulare degli accordi sul livello del servizio (SLA), che garantiscono una percentuale sulla consegna dei

Tipi di VPN
Il servizio di rete privata virtuale pu essere realizzato in diversi modi e con diverse architetture di rete e ci spesso causa di confusione sulle discussioni riguardanti le VPN.

RETI E DINTORNI N 12
Rivista interna Tecnonet SpA

Pag. 13

frame di livello 2 del cliente. Spesso il cliente pu superare il cosiddetto CIR (Committed Information Rate), ovvero la velocit con cui invia i dati verso la rete del provider, quando la rete non congestionata. Nonostante la presenza di utili meccanismi quali il CIR, la rete ATM o FR molto conservativa; poich occorre sempre garantire una certa banda nei circuiti virtuali, i casi in cui si pu sfruttare la banda libera sono pochi. Ci non accade per esempio nei modelli di tipo best-effort quali internet. ATM e FR forniscono quindi dei circuiti virtuali di alta qualit e ci risulta essere la principale alternativa vantaggiosa rispetto alluso di linee dedicate. Gestire la configurazione dei circuiti virtuali, specialmente nel caso in cui se ne vogliano aggiungere di nuovi, risulta essere problematico e richiede particolare attenzione da parte del fornitore del servizio. Infatti, determinare in maniera intelligente i percorsi fisici che devono seguire i circuiti virtuali permette di ottenere maggiori prestazioni dalla rete. MPLS-VPN (Per i dettagli sulla tecnologia MPLS vedi larticolo pubblicato sul n 13 di Reti e Dintorni). Una funzionalit importante di MPLS che, una volta che tutti i LSR si sono scambiati le etichette e che quindi i vari LSP sono operativi, i LSR intermedi, per instradare correttamente i pacchetti, esaminano soltanto le informazioni contenute nelletichetta e non il contenuto del pacchetto. Per questo motivo i LSP di MPLS vengono considerati una forma di tunnel, e rappresentano quindi la realizzazione pratica dei collegamenti virtuali che connettono i LSR periferici. Di conseguenza, il contenuto dellintero pacchetto, compreso il preambolo IP, pu venire cifrato senza ripercussioni sullabilit della rete di inoltrare i pacchetti, garantendo quindi la sicurezza. Il traffico tra le varie VPN pu essere differenziato usando quindi dei tunnel LSP separati, e ciascun LSP pu essere dotato di una certa qualit del servizio. MPLS utilizza delle tecniche che si rifanno alla tecnologia Diffserv per differenziare il traffico dati allinterno della rete. VPN A LIVELLO RETE Il protocollo di livello rete pi usato attualmente il protocollo IP. A differenza di architetture emergenti, come MPLS, IP largamente utilizzato dalle reti di molti ISP; risulta quindi molto attraente realizzare il servizio VPN utilizzando tale protocollo. Tunneling La tecnica del tunneling consiste in un imbustamento orizzontale anzich verticale: mentre limbustamento verticale consiste nellimbustare un pacchetto di livello i in uno di livello i-1, quello orizzontale, ovvero il tunneling, consiste nellimbustare un pacchetto dentro un altro pacchetto dello stesso livello. La Figura seguente mostra come avviene limbustamento nel caso

in cui venga utilizzata la tecnica di tunneling pi semplice, ovvero il tunneling IP in IP [RFC 2003], in cui un intero pacchetto IP diventa il carico utile (payload) di un altro pacchetto IP.

Il pacchetto risultante possiede due preamboli (header) IP: il preambolo pi esterno (outer header) contiene gli indirizzi sorgente e destinazione dei router PE che costituiscono le terminazioni del tunnel, mentre il preambolo interno (inner header) contiene gli indirizzi originali del mittente e del destinatario appartenenti ai siti di una VPN. Mediante la tecnica del tunneling si pu fare in modo che il formato del pacchetto e/o il tipo di indirizzamento usato allinterno di una VPN sia totalmente scorrelato da quello usato per instradare i pacchetti tunnelizzati attraverso la dorsale IP. Creando una topologia di tunnel tra i vari PE si realizza a tutti gli effetti un overlay sulla dorsale IP ed il traffico inviato nel tunnel opaco alla dorsale IP sottostante. Linstaurazione di un tunnel richiede un consumo di risorse nei router e, a seconda di quale protocollo di tunneling viene usato, questo consumo pu essere pi o meno accentuato. Infatti, un tunnel richiede lallocazione di risorse sui due router che costituiscono le sue terminazioni (tunnel endpoints). Prima della fase di incapsulamento/decapsulamento, i due PE costituenti le due terminazioni estreme di un tunnel devono provvedere alla sua instaurazione (fase di tunnel setup). Nella fase di tunnel setup i due PE si accordano sui parametri da usare per il tunnel, coinvolgendo eventualmente anche i router P, interni alla rete, che apparterranno al cammino fisico corrispondente al tunnel. Verranno passati in rassegna alcuni protocolli per la creazione di varie tipologie di tunnel; non si vuole per entrare nel dettaglio su come funzionino i meccanismi dei vari protocolli, ma si vuole soltanto analizzarne vantaggi e svantaggi nel loro uso. Tunnel leggeri (IP in IP, GRE) Si definiscono tunnel leggeri i tunnel realizzati con luso di protocolli di tunneling che richiedono pochissime risorse sui router che li gestiscono. Questi protocolli non forniscono nessuna garanzia n sulla qualit del servizio, n sulla sicurezza (i dati viaggiano in chiaro sulla rete), ma realizzano la semplice connettivit VPN. Essi sono facili da implementare e non consumano risorse sui router della rete interna. I protocolli di tunneling maggiormente utilizzati per creare tunnel leggeri sono: IP in IP [RFC 2003] e GRE

RETI E DINTORNI N 12
Rivista interna Tecnonet SpA

Pag. 14

(Generic Routing Encapsulation) [RFC 1701]. Lunica pecca del protocollo IP in IP, la mancanza di un campo di multiplexing nel preambolo del pacchetto IP. E molto importante che un protocollo di tunneling supporti un campo di multiplexing; poich infatti un router PE pu gestire diverse VPN, esso deve essere in grado di smistare correttamente il traffico uscente dalla rete dellISP verso il giusto sito VPN. Nel protocollo GRE si utilizza come campo di multiplexing il campo key, contenuto nellheader GRE, originalmente pensato per lautenticazione della sorgente di un pacchetto. Il protocollo IP in IP, come stato gi detto, non possiede un campo di multiplexing; tuttavia si pu sfruttare il campo options, che offre il protocollo IP, per trasportare il VPN-ID, come mostrato in Figura.

Protezione dalle repliche: se dei dati cifrati vengono inviati pi volte al destinatario, esso deve essere in grado di riconoscerle come repliche; Segretezza: nessun altro allinfuori del destinatario deve essere capace di leggere i dati che verranno inviati.

Questi servizi di sicurezza vengono forniti da IPSec mediante dalluso di due protocolli: un protocollo che fornisce autenticazione ed integrit ma non segretezza, chiamato Authentication Header (AH) ed un protocollo che fornisce integrit e segretezza, chiamato Encapsulating Security Payload (ESP). Il protocollo ESP fornisce pi servizi rispetto al protocollo AH e di conseguenza risulta pi complicato e richiede maggiore risorse per il suo processamento. Ciascun protocollo pu funzionare in due modalit: modalit trasporto (transport mode) e modalit tunnel (tunnel mode), che sono due tipi di security association. La modalit trasporto viene utilizzata per fornire protezione per i protocolli di livello superiore, come TCP, UDP o ICMP, ma non per lheader IP. La modalit tunnel fornisce invece una protezione dellintero pacchetto IP, e questa modalit quella che di solito si preferisce per le VPN.

Tunnel sicuri (IPSec) Tra i vari protocolli di tunneling esistenti lunico ad offrire delle vere garanzie di sicurezza a livello rete il protocolli IPSec. Non bisogna pensare per che lutilizzo di tale protocollo sia lunico modo per garantire sicurezza al traffico VPN; infatti la sicurezza complessiva non prerogativa del protocollo di tunneling utilizzato, ma deve essere vista in un contesto pi ampio su come i pacchetti VPN vengono inoltrati nei tunnel. Ad esempio, se si sicuri che il traffico VPN attraversa la sola rete dellISP di appartenenza, non sono necessari meccanismi di sicurezza di elevata pesantezza computazionale, altrimenti necessari nel caso in cui tale traffico attraversasse le reti di altri ISP. Luso di tunnel sicuri richiede un notevole consumo di risorse nei router, ed quindi necessario poter scegliere tra i vari algoritmi di crittografia in modo da trovare il giusto compromesso tra livello di sicurezza e complessit computazionale per ogni contesto possibile. In tal caso IPSec risulta molto utile poich permette di scegliere lalgoritmo di crittografia. Un concetto chiave di IPSec la Security Association (SA), la quale permette di definire i parametri (algoritmi e chiavi di crittografia) di una comunicazione sicura tra due macchine. Inoltre in grado di offrire i seguenti servizi di sicurezza: Controllo degli accessi: soltanto utenti autorizzati devono avere accesso ad un particolare servizio di rete; Integrit dei dati: i dati devono arrivare a destinazione inalterati; Autenticazione dellorigine dei dati: chi riceve i dati deve essere in grado di identificare chi li ha inviati;

La Figura precedente illustra due diversi modi di protezione e autenticazione dei dati nelle modalit trasporto e tunnel. Il pacchetto IP originale viene arricchito con nuovi header e trailer del protocollo ESP, i quali contengono le informazioni per gestire la cifratura e decifratura di ogni pacchetto. Le comunicazioni sicure richiedono lo scambio di chiavi crittografiche tra mittente e destinatario. La gestione delle chiavi pu venire in modo manuale oppure automatico. Nella modalit manuale lamministratore di sistema configura manualmente le chiavi nei vari router, host, ecc., mentre nella modalit automatica la creazione e distribuzione delle chiavi viene effettuata da un apposito sistema automatico. Esistono due protocolli per la gestione automatica delle

RETI E DINTORNI N 12
Rivista interna Tecnonet SpA

Pag. 15

chiavi: IKE (Internet Key Exchange) e ISAKMP (Internet Security Association and Key Management Protocol). Tunnel con qualit del servizio I clienti possono richiedere allISP che le connessioni tra i propri siti VPN abbiano delle caratteristiche in qualche modo simili a quelle delle linee dedicate, ovvero possono richiedere che vengano rispettati i parametri tipici della qualit del servizio, quali probabilit di perdita dei pacchetti, latenza, jitter sul ritardo e garanzie di banda passante. In questa sede non si vuole entrare nel dettaglio dei vari meccanismi utilizzati per offrire QoS al traffico VPN; bisogna per considerare che le stesse metodologie sviluppate per assicurare la QoS sulle reti fisiche possono benissimo essere applicate anche alle reti virtuali. Servizi integrati / RSVP I servizi integrati (abbreviati IntServ, ovvero Integrated Services) consentono di offrire garanzie sulla QoS prenotando delle risorse sui router percorsi da un tunnel. RSVP (Reservation Protocol) un protocollo di segnalazione che consente ai router di effettuare prenotazioni delle loro risorse. Un router PE che vuole prenotare le risorse sui router costituenti il percorso fisico di un tunnel, invia un messaggio (PATH message) al PE dellaltra estremit del tunnel. Il PE remoto risponde con un messaggio (RESV message) che, attraversando i router P della rete interna, consente di prenotare le risorse relative alla richiesta. La Figura seguente mostra come avviene questo scambio di messaggi.

Servizi differenziati I servizi differenziati (abbreviati DiffServ, ovvero Differentiated Services) consentono di offrire garanzie sulla QoS classificando il traffico VPN in ingresso alla rete dellISP in modo da definire la classe di traffico di ogni pacchetto VPN; diverse classi di traffico riceveranno un trattamento diverso allinterno della dorsale. I router PE marcano ogni pacchetto proveniente dalle connessioni di accesso impostando un particolare valore nel campo DS (Differentiated Services) dellheader IP; un pacchetto marcato pu essere inoltrato immediatamente nella dorsale, ritardato per un certo tempo prima di essere inoltrato oppure pu essere scartato. I router P devono supportare i servizi differenziati; al giungere di un pacchetto marcato DS da un PE, essi lo inoltrano verso la prossima destinazione in accordo alla classe di servizio del pacchetto. Pacchetti appartenenti alla stessa classe di servizio riceveranno lo stesso trattamento, indipendentemente dalla VPN a cui appartengono. Di conseguenza, a differenza dei servizi integrati, non necessario mantenere un stato nella dorsale dellISP per ogni tunnel creato. Per questo motivo la soluzione DiffServ per garantire la QoS rappresenta una soluzione pi scalabile rispetto a IntServ.

R. Gaeta
Biblografia: Tesi di Laurea di Angelo Calafato

Prima di prenotare delle risorse, i router devono verificare che esse siano disponibili; lammissione di chiamata (call admission) consente di verificare che lammontare di risorse richieste non superi quelle disponibili. RSVP un protocollo che ha dei seri problemi di scalabilit. Esso richiede infatti che la rete dellISP mantenga uno stato per ogni tunnel con risorse prenotate, e il numero di stati aumenta col numero di prenotazioni effettuate; ci di fatto limita il numero di tunnel che possono essere instaurati nella rete dellISP. Inoltre il protocollo RSVP deve essere supportato da tutti i router della dorsale, sia P che PE. Si pu notare la differenza con il tunneling IP in IP, che di tipo non segnalato, ovvero la creazione del tunnel un fenomeno puramente locale, che coinvolge soltanto i router PE costituenti le due estremit del tunnel e non i router P.