La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Firewall -2 Firewall  Router con funzionalità aggiuntive collocato tra una rete privata e il resto di Internet  Inoltra/filtra i pacchetti che lo.

Presentazioni simili


Presentazione sul tema: "Firewall -2 Firewall  Router con funzionalità aggiuntive collocato tra una rete privata e il resto di Internet  Inoltra/filtra i pacchetti che lo."— Transcript della presentazione:

1

2 Firewall

3 -2 Firewall  Router con funzionalità aggiuntive collocato tra una rete privata e il resto di Internet  Inoltra/filtra i pacchetti che lo attraversano  Permette di avere politiche di sicurezza centralizzate  Spesso integrato con NAT

4 -3 Firewall  Il firewall (lett. muro tagliafuoco) è un dispositivo hardware o software che permette di proteggere e quindi filtrare il traffico da e verso un singolo PC, o una rete LAN, al fine di evitare accessi non autorizzati.  Il traffico diretto alla rete deve attraversare questo dispositivo creando una barriera inattaccabile con cui offrire sicurezza alla LAN  Esso ispeziona il flusso di dati, intervenendo in base a regole che l’amministratore ha deciso.  I firewall di ultima generazione hanno la caratteristica “stateful inspection” cioè di tener traccia delle connessioni che li attraversano verificandone lo stato.

5 -4 Funzioni di un Firewall  Un FIREWALL svolge, normalmente, le funzioni di filtro e mascheramento di pacchetti IP:  INPUT determina cosa può ARRIVARE  OUTPUT determina cosa può USCIRE  FORWARDING inoltra un pacchetto dall’interno verso l’esterno e viceversa  PRE/POSTROUTING utilizzando la tecnica NAT maschera l’indirizzo reale dei PC di una lan, con il proprio (come abitualmente per VPN)

6 -5 Componenti di un Firewall  Packet-filtering  Network Layer  Application level gateway (Proxy)  Session Layer  Circuit level gateway  Transport Layer  NAT e VPN  Spesso ma non necessariamente presenti tutte insieme

7 -6 Packet Filtering (Network Layer)  Filtraggio basato su header pacchetti (su ogni singolo pkt)  IP source/destination  UDP/TCP Source/destination port  ICMP message type  Payload (UDP, TCP, tunnel…

8 -7 - Il firewall ha una tabella di filtraggio - Tipicamente ogni riga e’ una 4-pla (SourceIP, SourcePort, DestIP, DestPort) ( , *, , 80 ) (*,*, , 80 ) Packet Filtering (Network Layer)

9 -8 Application Gateway-Proxy (Session Layer)  Un proxy per ogni applicazione  Il proxy si comporta come un server verso il client locale e come un client verso il server remoto  Si può disabilitare traffico IP tra interno ed esterno e si possono far interagire con l’esterno soltanto le applicazioni presenti nel proxy

10 -9 Proxy Server Gateway TCP Connection 1 Server FTP Proxy HTTP Proxy HTTPS Proxy DNS Server bmrc.berkeley.edu “Open TCP Connection 2 Si può permettere l’accesso al proxy solo ad alcuni host sulla rete “interna” seguendo tecniche di autenticazione diverse (IP, dominio etc.)

11 -10 Esempi di proxy specifici  Http:  filtraggio delle URL (client/server)  blocco di alcune porte  azioni diversificate in relazione a indirizzo IP sorgente  FTP:  meccanismi antivirus  Posta elettronica  meccanismo antispam  meccanismi antivirus

12 -11 Proxy - FTP

13 -12 Circuit Level Gateway (Transport Layer)  Si tratta in pratica di un proxy a livello di trasporto (UDP o TCP)  Permette il funzionamento di tutte le applicazioni che rispettano le specifiche a livello di trasporto  Esempio: si decide di permettere tutto e solo il traffico TCP e, per UDP, soltanto quello DNS - Tutte le applicazioni basate su TCP funzionano senza modifiche e cosi’ pure il DNS

14 -13 Dove effettuare il filtraggio Firewall Rete interna 1 Internet (rete esterna) Rete interna 3 Rete interna 2 In ingresso: - so da quale interfaccia arriva il pacchetto proteggo il sistema locale In uscita: - gestisco anche il traffico generato localmente

15 -14 Firewall Architecture

16 -15 Packet Filtering Architecture  Economico - Semplicemente un router che fa packet filtering (Network Layer)  Regole: di solito tutto il traffico che non è esplicitamente consentito è vietato

17 -16 Dual Homed Architecture  Almeno due interfacce di rete (e relativi indirizzi IP)  Tutto ciò che non è permesso è vietato  Non è possibile traffico IP diretto tra interno ed esterno  Può inglobare packet filtering, application gw, circuit level gw

18 -17 Screened Host Architecture  Application GW, packet filter e circuit level GW - Accesso ai server locali dall’esterno soltanto attraverso il GW - Accesso verso la rete esterna anche senza passare dal GW

19 -18 DeMilitarized Zone (DMZ)  Come per la Screened host architecture ma con un ulteriore router interno  Massimo grado di sicurezza  Solo i server pubblici stanno nella dmz

20 -19 Firewall IPCOP

21 -20 Caratteristiche  IPCop è una mini-distribuzione GNU/Linux opensource. Garantisce un’efficiente sicurezza perimetrale della rete impedendo intrusioni esterne non autorizzate  L’immagine iso di circa 45 MB è scaricabile direttamente dal sito  IPCop è un’ottima soluzione per piccole reti, reti aziendali. Può essere adattata ad ogni esigenza e può essere usata anche su hardware piuttosto datato  La sua gestione avviene mediante un'interfaccia Web accessibile da qualsiasi PC connesso alla rete ed anche da remoto  Il progetto IPCop è stato sviluppato dal 2001 e risulta ormai un prodotto maturo che riscuote successo in una vasta comunità di utilizzatori  Fa da application gateway (proxy) per WEB e DNS  Fa da packet filtering e circuit level filtering  Implementa NAT/PAT  Gestisce VPN LAN-to-LAN e client-to-LAN  Gestisce DMZ

22 -21 Caratteristiche  Firewall basato su Netfilter/Iptables con kernel 2.4.X  File system ext3 e supporto device SCSI.  Supporto per quattro interfacce di rete.  Supporto modem (analogici, ISDN, ADSL).  Supporto DMZ.  Supporto server SSH per connessioni remote.  Gestione NAT/PAT.  Supporto server NTP per sincronizzare data e ora a due schede.  IDS (Intrusion Detection System) su tutte le schede di rete.  Gestione VPN.  Supporto proxy per il Web.  Caching e Dynamic DNS.  Logging avanzato per ogni tipo di servizio.  Grafici di stato e di traffico.  Amministrazione e gestione attraverso il browser (http e https).  Possibilità di patches e updates.  Backup e Restore della configurazione.

23 -22 Interfacce di rete  Gli adattatori di rete sono individuati con dei colori:  RED rappresenta l’interfaccia connessa ad internet.  GREEN rappresenta l’interfaccia per la rete interna.  BLUE rappresenta l’interfaccia per una seconda rete interna o per una rete wireless.  ORANGE rappresenta l’interfaccia per un’eventuale zona DMZ in cui si trovano server che offrono servizi all’esterno.  L’applicazione minima prevede due interfacce di rete, quella verso internet (RED) e quella verso la rete locale (GREEN) da proteggere.  Nel caso in cui esistono due reti locali che devono rimanere fisicamente separate si utilizza anche l’interfaccia BLUE.

24 -23 Schema funzionale

25 -24 Tipi di Configurazione  GREEN + RED  (LAN + WAN) (2 schede di rete)  GREEN + ORANGE + RED  (LAN + DMZ + WAN) (3 schede di rete)  GREEN + BLUE + RED  (LAN + rete wi-fi + WAN) (3 schede di rete, 1 AP)  GREEN + BLUE + ORANGE + RED  (LAN + rete wi-fi + DMZ + WAN) (4 schede di rete, 1 AP)

26 -25 Configurazione (Web)

27 -26 Tipologie di Servizi  SISTEMA Inizio | Aggiornamenti | Password | Accesso SSH | Impostazioni interfaccia | Salvataggio | Arresto | Crediti  STATO Stato sistema | Stato rete | Grafici di sistema | Grafici traffico | Grafici proxy | Connessioni  NETWORK Connessioni | Upload | Modem | Alias IP  SERVIZI Proxy | Server DHCP | DNS dinamico | Modifica host | Time server | Gestione banda | Rilevamento intrusioni  FIREWALL Port forwarding | Accesso esterno | DMZ pinholes  VPN VPN  LOG Impostazioni log | Sommario log | Log proxy | Log di sistema

28 -27 Servizi: accesso ssh

29 -28 Servizi: rilevamento intrusioni (SNORT)

30 -29 Servizi: Web Proxy (Squid)

31 -30 Servizi: Accesso esterno (management)

32 -31 Servizi: NTP

33 -32 Servizi: Port forwarding (accesso a risorse interne)

34 -33 Servizi: gestione DMZ  Permette l’accesso dalla rete ORANGE e dalla BLU ai servizi della GREEN

35 -34 Servizi: VPN

36 -35 ADDONS  IPCop può essere reso più performante e più versatile mediante l’installazione di alcuni moduli o software aggiuntivi detti “ADDONS”.  La lista dei siti web, dove scaricare gli addons in formato tar.gz, è presente sul sito ufficiale sezione “Addons”.  I più forniti sono:

37 -36 ADDONS  Gli addons possono essere installati in due modi: 1. Installazione tramite shell 2. Installazione lato web dopo aver installato Addon Server  Addon Server è un modulo che permette l’installazione di addons compatibili con la versione di IPCop utilizzata.  Supporta l’installazione solamente degli addons disponibili nella relativa pagina web.

38 -37 TIPI di ADDONS  BLOCK-OUT-TRAFFIC (www.blockouttraffic.de) Blocca tutto il traffico in uscita non autorizzato  ADVPROXY (www.advproxy.net) Frontend avanzato di Squid  URLFILTER (www.urlfilter.net) Web content filter basato su SquidGuard.  COP+ (home.earthlink.net/~copplus) Web content filter basato su DansGuardian  COPFILTER (www.copfilter.org) Scansiona e filtra il traffico da virus e spam  OPENVPN (www.zerina.de) Per implementare in modo semplice una VPN client- to-LAN

39 -38 Firewall alternativi  ASTARO SECURITY LINUX Distribuzione commerciale con comoda interfaccia web e notevoli funzionalità: firewall, VPN, antivirus, antispam, content filtering, antispyware, intrusion IDS  SMOOTHWALL Storica distribuzione per firewall con la versione Express (free) e versioni commerciali. Supporto VPN, antivirus, antispam, content filtering, antispyware, intrusion detection, kernel 2.6.x  ENDIAN Progetto tutto italiano dedicato alla protezione delle reti. Esiste una versione opensource e una commerciale. Supporta in modo nativo antivirus, antispam, content filtering, IDS oltre ai normali servizi di firewalling e di rete  DEVIL LINUX Può essere caricata direttamente da CD o USB. Ha un kernel hardened con GRSecurity e una interfaccia testuale per la gestione del sistema  M0n0WALL Non è basata su Linux ma su FreeBSD. Ha una comoda interfaccia, supporto DHCPd, IPSEC, PPTP, SNMP. Notare che usa ipfilter e non iptables.

40 -39 Esempio di VPN LAN-to-LAN

41 -40 Ipsec.conf  config setup  interfaces="ipsec0=eth0"  klipsdebug=none  plutodebug=none  plutoload=%search  plutostart=%search  conn %default  keyingtries=0  conn site1-site2  left=  leftsubnet= /24  leftnexthop=  right=  rightsubnet= /24  rightnexthop=  auto=start  authby=rsasig    leftrsasigkey=0x--left-public-key  rightrsasigkey=0x--right-public-key

42 -41 IPCOP-VPN

43 -42 IPCOP-VPN

44 -43 IPCOP-VPN

45 -44 IPCOP_VPN

46 -45 IPCOP-VPN

47 -46 IPCOP-VPN

48 -47 IPCOP-VPN

49 -48 IPCOP-OPENVPN

50 -49 RETI MPLS (Multi Protocol Label Switching)

51 -50 Perchè MPLS  Possibilità per una rete aziendale di avere:  Linee di “backup automatiche” (ridondanza, alta affidabilità) in caso di link failure  Traffic Engineering: per la creazione di percorsi per il traffico dati indipendenti dalle tabelle di routing IP classiche (load balancing sulla rete)  pacchetti con stessa destinazione instradati su link diversi (load balancing)  QoS: MPLS può lavorare in congiunzione a DiffServ e IntServ  QoS garantita  VPN: MPLS permette la creazione di VPN  Alta efficienza di Routing (Label Switching)  Multi-protocol support

52 -51 MPLS-Obiettivi  Migliorare le prestazioni, l’affidabilità e la scalabilità del routing IP  Definire un meccanismo unico di trasporto adatto ad una molteplicità di protocolli diversi (interoperabilità)  Definito dall’IETF dal 2001 (RFC 3031, 3032)

53 -52 Principali caratteristiche di MPLS 1. QoS support 2. Traffic Engineering 3. Virtual Private Networks (VPN) 4. Multiprotocol support

54 -53 QoS support  DiffServ e IntServ hanno entrambi controindicazioni  I network provider hanno necessità di  Garantire specifici quantitativi di banda per determinate applicazioni  Controllare la latenza / jitter  Garantire i livelli di QoS specificati  Configurare la QoS in base agli utenti  MPLS fornisce un framework connection- oriented all’interno del quale è possibile soddisfare questi requisiti

55 -54 Traffic Engineering  Il routing “tradizionale” IP (e.g., OSPF) non prevede cammini multipli e opera su base pacchetto.  MPLS opera su base flusso permettendo di usare route multiple tra punti di ingresso / uscita dalla rete.  MPLS dà possibilità di rerouting in caso di link failure o traffic overhead

56 -55 Virtual Private Networks  MPLS permette di ottenere: 1. Separazione dei flussi di una VPN da quelli del normale traffico 2. Garantire ai flussi della VPN un elevato grado di sicurezza  Inoltre: MPLS non ha necessità di “vedere” nemmeno l’header IP, per cui si possono creare VPN con crittazione anche degli header IP (senza doverlo rispecificare all’esterno)

57 -56 Multiprotocol support  MPLS non si basa su alcuna tecnologia in particolare, è possibile avere switch:  IP MPLS  ATM MPLS  Frame Relay MPLS  Inoltre gli switch MPLS-enabled possono coesistere con switch non-MPLS  MPLS può “trasportare” qualsiasi tipo di protocollo, non soltanto IP -> multiprotocollo

58 -57 Routing classico e Label Switching  Routing Classico  E’ tipico dei “tradizionali” Router IP  Ambiente non orientato alla connessione (connectionless)  Uso degli indirizzi espliciti per instradare il pacchetto  Prestazioni limitate  Label Switching  Commutazione basata su etichetta (simile ad ATM  livello 2 e su apparati proprietari)  Ambiente orientato alla connessione (connection oriented)  Identificazioni di flussi e uso di etichette  Prestazioni elevate

59 -58 Label Switching: Generalità  È una tecnica di instradamento che introduce meccanismi orientati alla commutazione di circuito in ambienti a commutazione di pacchetto realizzando reti a commutazione di etichetta o label switching  L’idea di base è quella di associare a tutti i pacchetti un breve identificativo di lunghezza fissa detto Label, questa sarà utilizzata, dagli apparati di rete, per effettuare un instradamento veloce basato sul suo valore

60 -59 Label Switching : Instradamento tradizionale  Nei router convenzionali la decisione di instradamento è presa solo sulla base dell’indirizzo IP di destinazione (sul percorso più breve)  Non c’è controllo sull’instradamento

61 -60 Label Switching : Instradamento con etichette  Il label switching consente di assegnare etichette diverse a flussi diversi anche se diretti alla stessa destinazione  I router instradano i pacchetti in base all’etichetta  Si ottiene un controllo delle rotte seguite dai flussi di traffico, consentendo un efficace bilanciamento del traffico

62 -61 MPLS: Storia  Il principale limite delle varie soluzioni label switching è che sono proprietarie e non interoperabili  Quasi tutte le soluzioni offerte dai vendor richiedono ATM come substrato, e quindi non possono operare con protocolli come Frame Relay, PPP, Ethernet, etc.  IETF nel gennaio 1997 ha dato vita all’ MPLS Working Group al fine integrare le varie proposte in modo da produrre uno standard multivendor e multiprotocollo  Il risultato è stato MPLS

63 -62 MPLS: Pila ISO/OSI  All’interno della pila ISO/OSI MPLS si colloca in uno strato intermedio compreso tra rete e il data-link  Risulta quindi indipendente sia dalla sottorete di trasporto (Frame Relay, ATM, SDH etc.) sia dai protocolli di rete adottati

64 -63 Label Switching  La funzione di switching è eseguita esclusivamente mediante l’elaborazione delle label  Label Switching Router (LSR)  esamina la label associata al pacchetto sul link entrante  determina la porta d’uscita  sostituisce la vecchia etichetta con la nuova valida sul link d’uscita (label swapping)  trasferisce in uscita il pacchetto  Riduzione delle dimensioni delle routing table  Il numero di entry di una routing table è dell’ordine del numero di FEC sui link entranti e uscenti ad un LSR (e non degli host/reti di destinazione)

65 -64 Label Switching  Forwarding Equivalent Class (FEC)  aggregato di pacchetti che deve avere lo stesso trattamento in rete (es. stessa destinazione, stessa QoS)  il numero delle FEC è sicuramente inferiore al numero di destinazioni  Label  identifica la FEC a cui appartiene un pacchetto  lunghezza costante e breve validità locale (limitata ad un link tra due router)

66 -65 MPLS: Processo di instradamento e FEC  Nel processo di instradamento di un pacchetto possono essere individuate due fasi  ricavare dall’ intestazione le informazioni necessarie per inserirlo in una determinata classe FEC  ricavare le informazioni per l’instradamento dalla tabella di routing (o tabella FEC-To-Next-Hop) in base alla classe FEC di appartenenza  Una FEC può essere quindi considerata come una classe di pacchetti che il router inoltra sulla stessa rotta

67 -66 MPLS: Posizionamento dell’ etichetta  La label è una entità breve e di lunghezza fissa chiamata shim header  Non codifica indirizzi di rete  E’ trasportata assieme al pacchetto, tipicamente è inserita tra l’intestazione del protocollo di livello due e prima dell’intestazione IP

68 -67 Codifica delle Label

69 -68 MPLS: Struttura dello Shim Header  LABEL: è l’etichetta vera e propria utilizzata per il trasferimento  Exp: 3 bit riservati per uso sperimentale (potrebbe indicare la classe di servizio a cui il pacchetto appartiene)  S: è un bit usato nella tecnica di label stacking in reti MPLS gerarchiche  è possibile utilizzare MPLS su diversi livelli di instradamento chiamati domini (simile al concetto di routing gerarchico)  quando si entra in un dominio MPLS, viene aggiunta un’etichetta MPLS valida in quel dominio che viene rimossa quando se ne esce  se non ci sono ulteriori etichette S = 1, altrimenti S = 0  TTL: tempo di vita del pacchetto

70 -69 ROUTE AT EDGE, SWITCH IN CORE IP Forwarding LABEL SWITCHING IP Forwarding IP #L1IP#L2IP#L3 IP

71 -70 Label Switching  Accesso diretto alla routing table  La coppia (port, label) determina la funzione da applicare alla label  Pushing (assegnazione)  primo router MPLS  Swapping (conversione)  router intermedio MPLS  Popping (eliminazione)  ultimo routing MPLS  La coppia (port, label) determina l’uscita (port, label)

72 -71 Allocazione delle Label  Binding  Operazione di assegnazione di una label ad una FEC  La definizione delle FEC e le assegnazioni delle label sono effettuate prima dell’invio dei pacchetti dati  E’ necessaria una fase di instaurazione preventiva  La distribuzione delle etichette può essere effettuata mediante Un protocollo di segnalazione (Label Distribution Protocol) La configurazione dei router (binding statico)  L’assegnazione può essere ad esempio basata su prefisso di destinazione (destination prefix) livello di qualità di servizio (QoS level)  Local binding  Assegnazione di una label ad una FEC eseguita autonomamente da un router  Remote binding  Assegnazione di un etichetta ad una FEC eseguita da un router remoto e comunicata al router mediante messaggi di segnalazione

73 -72 Terminologia MPLS  Label Switched Path (LSP)  percorso che un pacchetto appartenente ad un certa FEC segue attraverso un dominio MPLS  concatenazione di link in cui è attiva la label switching  tunnel in cui transitano i pacchetti IP (MPLS Tunnel)

74 -73 Terminologia MPLS  Label Switching Router (LSR)  eseguono le funzioni di forwarding dei pacchetti MPLS  sono anche in grado di eseguire tutte le funzioni dello strato IP  gestiscono i protocolli di segnalazione MPLS (es. Label Distribution Protocol)

75 -74 Terminologia MPLS  Ingress LSR  È il router da cui inizia un LSP  Processa il traffico IP entrante al dominio MPLS  Assegna ai pacchetti la FEC appropriata  Genera le label (label pushing) e forma i MPLS-PDU

76 -75 Terminologia MPLS  Transit LSR  È un router intermedio di un LSP  Processa il traffico all’interno di un dominio MPLS  Esegue il forwarding delle MPLS-PDU e l’elaborazione delle label (label swapping)

77 -76 Terminologia MPLS  Egress LSR  È l’ultimo router di un LSP  Processa il traffico uscente da un dominio MPLS  Rimuove le label MPLS (label popping) e estrae i pacchetti IP

78 -77 MPLS: Funzionamento  L’ LSR di ingresso al backbone MPLS analizza l’intestazione IP del pacchetto, classifica il pacchetto, aggiunge la label e lo trasmette al next hop LSR  All’interno del dominio MPLS gli LSR instradano il pacchetto lungo il LSP in accordo con la label specificata  L’ LSR di uscita rimuove la label ed il pacchetto viene instradato all’indirizzo destinazione in base all’indirizzo IP (cioè nel modo tradizionale).

79 -78 MPLS: Rete di esempio

80 -79 MPLS: Esempio di instradamento

81 -80 Esempio di Label Switching

82 -81 Label Distribution Protocol (LDP)  Protocollo di controllo  Insieme procedure con cui un LSR comunica ad un altro LSR l’esecuzione di un binding tra label e FEC  Due LSR che comunicano mediante un Label Distribution Protocol sono detti Label Distribution Peer  L’architettura MPLS non impone l’uso di uno specifico Label Distribution Protocol  Protocolli LDP proposti BGP (estensione) RSVP (estensione) MPLS-LDP CR-LDP

83 -82 Allocazione delle Label  MPLS supporta due metodologie di allocazione delle label  Controllo indipendente (Independent Control)  Controllo ordinato (Ordered Control)  Independent Control  Ogni LSR assegna e distribuisce le label in modo indipendente (Local Binding) dagli altri  Ordered Control  l’allocazione e la distribuzione delle label avviene in modo ordinato in un ordine prestabilito tra gli LSR di ogni LSP (Remote Binding)  E’ più lento del controllo indipendente, ma consente un maggiore controllo sulla rete da parte dell’operatore

84 -83 Allocazione delle Label  L’assegnazione di una label ad una FEC è effettuata dall’LSR a valle (Downstream binding)  Downstream On Demand  Un LSR riceve una richiesta di allocazione di una label dal LSR a monte  Unsolicited Downstream  Distribuzione delle etichette anche in assenza di richieste esplicite

85 -84 MPLS Label Distribution Mapping: 0.40 Request: 47.1 Mapping: 0.50 Request: 47.1 Ingress router Egress router

86 -85 Label Switched Path (LSP) IP

87 -86 Label Stack  Un pacchetto MPLS può trasportare diverse label  Un LSR elabora sempre e solo la label più esterna  Vantaggi  Gerarchia di routing  Aggregazione di LSP individuali in “trunk” LSP (facilità di gestione  su certe tratte gestione unica di LSP diversi, table più snelle)  Virtual Private Networks (VPNs)

88 -87 Label Stack Snellezza tabelle

89 -88 Label Stack  Grandi reti possono essere divise in diversi domini su cui vengono applicate tecniche di traffic engineering diverse TE domain 1 TE domain 2 TE domain 3 LSP stitching LSR

90 -89 Tabelle di Forwarding  Un record di una tabella di forwarding in un LSR contiene  L’ uscita verso cui deve essere rilanciato il pacchetto (next hop)  L’operazione che deve essere effettuata sulla label entrante Label swapping –Conversione della label più esterna da quella valida sul link entrante a quella valida sul link uscente Label popping –Eliminazione della label più esterna Label pushing –Introduzione di una nuova label in testa allo stack  Le operazioni di label swapping e di label pushing possono essere svolte sullo stesso pacchetto dallo stesso LSR

91 -90 Penultimate Hop Popping  E’ conveniente rimuovere una label al penultimo LSR di un LSP per ridurre la complessità dell’elaborazioni eseguite dall’ultimo LSR

92 -91 Instradamento MPLS  Instradamento hop-by-hop (hop-by-hop routing)  Un LSR sceglie il next hop dell’LSP indipendentemente dagli altri LSP  Approccio classico IP  Instradamento esplicito (Explicit Routing)  Strictly explicit routing vengono specificati tutti gli LSR che saranno attraversati dall’LSP  Loosely explicit routing vengono specificati parte degli LSR che saranno attraversati dall’LSP  On-line (run-time): Constraint Based Routing (CBR)  Off-line (pre-stabilito): algoritmi di pianificazione  E’ utilizzato per il supporto di funzioni di ingegneria del traffico

93 -92 Segnalazione MPLS  E’ necessario un protocollo di segnalazione per  Coordinare la distribuzione delle label  Consentire l’instaurazione di LSP espliciti  Consentire la prenotazione di banda (QoS)  Gestire le Classi of Servizio (QoS)  Riassegnazione delle risorse (in caso di re-routing)  Possibili protocolli di segnalazione MPLS  Label Distribution Protocol (LDP)  Resource Reservation Protocol (RSVP)  Constrained Routing with LDP (CR-LDP)

94 -93 Traffic Engineering A B C D Traffic engineering è il processo di mappatura della domanda di traffico sulla rete Demand Network Topology Scopo del traffic engineering: Massimizzare l’utilizzo di link e nodi attraverso la rete Predisporre i link in modo da avere delay e qos garantite Distribuire il traffico su diversi link Garantire link alternativi per fare il re-routing del traffico in caso di link failure Soddisfare i requisiti (policy) imposti dal network operator Possibile grazie all’Explicit Routing

95 -94 Perchè Traffic Engineering? What problem are we trying to solve with Traffic Engineering?

96 -95 Breve Storia  Primi anni 90  Internet ha un numero relativamente ridotto di router e link da gestire e configurare  La gestione e configurazione può essere fatta manualmente  Protocolli di routing IGP (Interior Gateway Protocol) con ricerca del cammino più breve erano sufficienti

97 -96 IGP routing  Il traffico inviato ad A o B segue il cammino più breve (o con metrica inferiore) A B C

98 -97 IGP routing  Traffic engineering  Fare il reinstradamento del flusso di traffico indirizzato ad A attraverso C causa un reinstradamento anche del traffico verso B!  Alcuni link diventano sotto utilizzati o sovrautilizzati A B C

99 -98 IGP routing  Problemi Alcuni link risultano poco sfurttati Alcuni link risultano sovraccaricati Tutto il traffico segue il cammino IGP più breve  Aggiustare continuamente le metriche IGP aggiunge instabilità alla rete

100 -99 Breve Storia  Metà anni 90  Grande crescita di Internet  Router troppo lenti  Metric engineering di IGP troppo complessa  Il calcolo delle tabelle di routing IGP era topology driven, non traffic driven

101 -100 Why Traffic Engineering?  C’era la necessità di una soluzione più granulare e deterministica “A major goal of Internet Traffic Engineering is to facilitate efficient and reliable network operations while simultaneously optimizing network resource utilization and performance.” RFC 2702 Requirements for Traffic Engineering over MPLS

102 -101 Vantaggi di MPLS  Concepito inizialmente per rendere I router più veloci Analisi di label più veloce che il match su routing classico  Non c’è attualmente più questa necessità (oggi l’HW dà prestazioni notevoli anche sullo switching classico)  Il valore aggiunto di MPLS è oggi soprattutto il traffic engineering

103 -102 Router Based Traffic Engineering  Standard IGP routing San Francisco New York / /16

104 -103 Router Based Traffic Engineering  Costruire cammini unidirezionali attraverso la rete senza usare la metrica IGP shortest path San Francisco IGP shortest path Traffic engineered path New York

105 -104 Router Based Traffic Engineering  I preffissi IP possono ora essere legati a percorsi label switching (LSP) San Francisco New York / /16

106 Reti Private - NAT The Traffic Engineering System TE Tunnel CLI Router NetworkTraffic Engineering Tools Configuration Collection Traffic Analysis Traffic Engineering Design and Modeling StatisticsStatistics

107 -106 Reinstradamento  Iniziato dall’ingress LSR  Eccezione è il reinstradamento veloce di breve periodo in caso di link failure (vedi dopo)  Condizioni che determinano un reinstradamento  Cammini migliori si rendono disponibili  Link failure  Cambiamento manuale nella configurazione  Fatto prima dell’interruzione del vecchio cammino  Viene stabilito il nuovo LSP  Viene inoltrato il traffic al nuovo LSP  Viene dismesso il vecchio LSP

108 -107 Reinstradamento veloce (link failure)  Gestito anche dall’ingress router (che cerca una strada alternativa di lungo termine), ma gestito nell’immediato dal nodo che rileva il link failure  Cammini alternativi immediatamente disponibili (il nodo a monte del link failure cerca strade alternative di breve termine)

109 -108 Reinstradamento veloce (link failure)  Si utilizza una soluzione immediata a breve termine per limitare la perdita di pacchetti  Se un nodo o un link sono inutilizzabili, il nodo precedente  Cambia percorso immediatamente cercando una strada a breve termine  Segnala il link failure all’ingress LSR  Solo l’ingress LSR conosce i vincoli e le policy  Ingress LSR calcola la strada alternativa Basandosi su cammini secondari configurati  Inizia la procedura di re-routing a lungo termine

110 -109 Esempio  LSP primario da A ad E A C B D E F

111 -110 Esempio  Reinstradamento veloce di breve termine  A crea cammini alternativi attorno a B  B crea cammini alternativi attorno a C  C crea cammini alternativi attorno a D A D C B E F

112 -111 Esempio – Soluzione di breve periodo  Il link da B a C fallisce  B immediatamente crea un cammino alternativo attorno a C  B segnala ad A che è avvenuto un link failure A D C B E F

113 -112 Esempio – Soluzione di lungo periodo  A calcola e segnala un nuovo cammino primario A D C B E F

114 -113 Local Protection via a Bypass Tunnel R2 R3 R6 R4 R8 R7 R1 R10 R9 R5 Primary Paths Bypass Tunnel Backup Paths

115 -114 Path Protection R2 R3 R6 R4 R8 R7 R1 R10 R9 R5 Primary Path Backup Path

116 -115 Interoperabilità  MPLS può lavorare con molti supporti e protocolli sia a livello Data Link Layer (2) che Network Layer (3) Ethernet PPP (SONET, DS-3 etc.) ATM Frame Relay

117 -116 MPLS: Sfatare i miti  Esistono alcuni miti riguardo il ruolo di MPLS  “MPLS utilizzato per aumentare la velocità delle IP route lookup” sebbene questo sia stato uno degli obiettivi originari delle soluzioni proprietarie nella metà delgi anni ’90, i recenti progressi nella tecnologia del silicio consentono di effettuare una IP route lookup alla stessa velocità di una lookup MPLS  “MPLS è stato progettato per eliminare completamente la necessità del routing IP convenzionale” l’ analisi di un pacchetto a livello 3 è fondamentale per la sicurezza gli host non implementano MPLS, quindi i pacchetti IP trasmessi da un host devono essere elaborati a livello 3 almeno dal primo e dall’ultimo router se un LSR esamina l’header IP ed assegna una label, la label rappresenta una route aggregata (sarebbe impensabile avere un LSP per ciascun host su Internet), questo significa che, in qualche punto lungo il tragitto, l’header IP dovrà essere riesaminato a livello 3 per determinare una granularità più fine per continuare l’instradamento

118 Reti Private - NAT MPLS-VPN VPN A/Site 1 VPN A/Site 2 VPN A/Site 3 VPN B/Site 2 VPN B/Site 1 VPN B/Site 3 CE A1 CE B3 CE A3 CE B2 CE A2 CE 1 B1 CE 2 B1 PE 1 PE 2 PE 3 P1P1 P2P2 P3P3 MPLS

119 Reti Private - NAT MPLS-VPN VPN A/Site 1 VPN A/Site 2 VPN A/Site 3 VPN B/Site 2 VPN B/Site 1 VPN B/Site 3 CE A1 CE B3 CE A3 CE B2 CE A2 CE 1 B1 CE 2 B1 PE 1 PE 2 PE 3 P1P1 P2P2 MPLS Two-level labelled packets

120 -119 MPLS-VPN Rete IP pubblica con VPN multiple Reti IP private BGP/MPLS VPN Network Vs.

121 -120 Enterprise C Enterprise A Enterprise B Intranet VPN 10 Extranet VPN 20 Internet Backbone— “VPN 0” MPLS-VPN  VPN identificate univocamente da Label + VPN ID  forwarding disgiunto dall’IP addressing  Data privacy ottenuta logicamente mediante label switched path separati Enterprise B Enterprise A

122 -121 CE PE IGP (e.g. OSPF)/TDP eBGP/ Static/RIP iBGP MPLS-VPN 1. Viene usato IGP per la raggiungibilità locale (dei router MPLS) 2. CE (customer edge) e PE (provider edge) scambiano routing info (IP) 3. I vari PEs scambiano VPN routing info (VPN-IP) via mBGP (RFC2283) 4. LDP è usato nel core network (per segnaletica)

123 -122 Cust A VPN 15 Cust A VPN 15 Cust B VPN 354 (15) (354) (354) (15) (15) Private View Internet Scale VPN Controlled Route Distribution via Selective Advertisement MPLS-VPN Cust A VPN 15 Cust B VPN 354 Public View Forwarding Examples IN OUT (15) (15) (15) (15) (15) (354) (354)

124 -123 MPLS  GMPLS  GMPLS - Generalized MPLS  MPLS è stato progettato per 802.x, ATM, Frame Relay…  Ora ci sono le reti lambda switched, SDH, etc.  Serve qualcosa di più… generale

125 -124 Focus di GMPLS  Lo scopo di GMPLS è di estendere i concetti di MANGEMENT propri di MPLS a reti di natura diversa e di estendere l’introperabilità  E’ un set di protocolli di management degli LSP e di setup degli LSP sui diversi tipi di rete  In particolare il focus è sul setup degli LSP, sul mantenimento della QoS e sul miglioramento della fault-tolerance della rete  E’ un work-in-progress, mentre l’adozione di MPLS è un dato di fatto, l’evoluzione e l’uso su larga scala di GMPLS è tuttora un’incognita


Scaricare ppt "Firewall -2 Firewall  Router con funzionalità aggiuntive collocato tra una rete privata e il resto di Internet  Inoltra/filtra i pacchetti che lo."

Presentazioni simili


Annunci Google