Italiano - Studio Reti

Transcript

VPN
Virtual Private Network
Mario Baldi
Synchrodyne Networks, Inc.
mbaldi[at]synchrodyne.com
VPN - 1
© M. Baldi: si veda pagina 2
Nota di Copyright
Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle
leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo
ed i copyright relativi alle slide (ivi inclusi, ma non limitatamente, ogni
immagine, fotografia, animazione, video, audio, musica e testo) sono di
proprietà degli autori indicati a pag. 1.
Ogni utilizzazione o riproduzione (ivi incluse, ma non limitatamente, le
riproduzioni su supporti magnetici, su reti di calcolatori e stampate) in
toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a
priori, da parte degli autori.
L’informazione contenuta in queste slide è ritenuta essere accurata alla
data della redazione. Essa è fornita per scopi meramente didattici e non
per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni
caso essa è soggetta a cambiamenti senza preavviso. Gli autori non
assumono alcuna responsabilità per il contenuto di queste slide (ivi
incluse, ma non limitatamente, la correttezza, completezza,
applicabilità, aggiornamento dell’informazione).
In ogni caso non può essere dichiarata conformità all’informazione
contenuta in queste slide.
In ogni caso questa nota di copyright non deve mai essere rimossa e
deve essere riportata anche in utilizzi parziali.
VPN - 2
Definizione
Virtual
rete privata
VirtualPrivate
PrivateNetwork
Network ((rete
privatavirtuale)
virtuale)
Connettività
Connettivitàper
pergli
gliutenti
utentisu
sudi
diuna
unainfrastruttura
infrastrutturapubblica
pubblica
imponendo
imponendole
lepolitiche
politichecome
comese
sesi
siusasse
usasseuna
unarete
reteprivata
privata

Infrastruttura condivisa
Rete

privata o pubblica
Per esempio quella di un Internet Service
Provider
IP
Frame Relay
Comunicazione
ATM
sicura
Internet

Politiche
Indirizzamento,
affidabilità, ecc.
VPN - 3
sicurezza, qualità del servizio,
Perchè VPN?
Le reti private sono basate su
Linee private affittate (CDN)
Soluzioni dial-up interurbane
Le VPN permettono di abbattere i costi di
queste soluzioni costose
VPN - 4
Classificazione

VPN di accesso
Accesso
remoto su una infrastruttura
condivisa
ISDN, PSTN, cable modem, DSL

Intranet VPN
Collega
filiali

sede aziendale principale, uffici remoti,
Extranet VPN
Collega
ad una rete aziendale clienti, fornitori,
partner, o comunità di interesse
VPN - 5
Fornitura di servizi VPN

Overlay Model
Serivizi
(gestiti) basati su IPSec
Svariati tunnel altamente magliati

Ogni VPN gateway
deve “conoscere”
gli altri
Peer Model
Model
Overlay
Access L2TP, PPTP
Intranet IPSec
Rete
Extranet IPSec
MPLS
Ogni VPN gateway “conosce” solamente il
router di accesso del service povider

Peer
-MPLS
MPLS
Scambio di informazioni di routing
La rete pubblica diffonde informazioni di routing
La
rete pubblica inoltra il traffico tra i gateway
della stessa VPN
VPN - 6
Tassonomia di tecnologie per VPN
VPN
VPN
Overlay
OverlayModel
Model
Peer
PeerModel
Model
Layer
Layer22
VPN
VPN
Layer
Layer33
VPN
VPN
Dedicated
Dedicated
Router
Router
Frame
Frame ATM MPLS
ATM MPLS
Relay
Relay
PPTP
PPTP IPsec
IPsec
L2TP
L2TP
BGP
BGP
CPE Based
Provider Provisioned
VPN - 7
MPLS
MPLS
Shared
Shared
Router
Router
VR
VR
Tunneling

A e B sono indirizzi aziendali
Non
devono essere pubblici
Il tunneling rende possibile il funzionamento
Il tunneling di per se non garantisce sicurezza

A
B
Corporate
Network
Internet
Corporate
Network
Tunnel
VPN gateway X
VPN gateway Y
IP
IPHeader
Header IP
IPHeader
Header
from
fromXXto
toYY
VPN - 8
from
fromAAto
toBB
Payload
Payload
VPN di accesso: due modalità
operative
VPN - 9
VPN di accesso
1.
2.
3.
4.
5.
6.
7.
8.
VPN - 10
Remote user initiates PPP connection with
NAS that accepts the call
NAS identifies remote user
NAS initiates L2TP or PPTP tunnel to desired
corporate gateway (access server)
Corporare gateway authenticates remote
user according to corporate security policy
Corporate gateway confirms acceptance of
tunnel
NAS logs acceptance and/or traffic (optional)
Corporate gateway performs PPP
negotiations with remote users (e.g.,
IPaddress assignment)
End-to-end data tunneled between user and
corporate gateway
Protocolli per VPN di accesso

L2TP (Layer 2 Tunneling Protocol)
Non
è largamente implementato
Indipendente dal protocollo di livello 2
Sicurezza basata su IPsec

Robusta
PPTP (Point-to-Point Tunneling Protocol)
Microsoft,

Apple, …
Integrato nel dial-up networking
Multiprotocollo
Autenticazione
e cifratura deboli
Gestione delle chiavi proprietaria
VPN - 11
Vantaggi del Virtual Dial-Up

Autenticazione e sicurezza
Fatte
dal VPN Gateway
Politiche e informazioni della rete aziendale
Cifratura basata su IPsec

Autorizzazione
Fatta
dal VPN Gateway
Politiche e informazioni della rete aziendale

Allocazione degli indirizzi
Indirizzi
aziendali sono allocati dinamicamente
Stesso tipo di accesso di quando si è collegati
direttamente
VPN - 12
VPN basate su IPsec
Tunnel IPsec tra VPN gateway
Cifratura
Autenticazione
Imbustamento
A
Corporate
Network
B
Internet
Tunnel
VPN (IPsec) gateway X
VPN (IPsec) gateway Y
VPN - 13
Corporate
Network
VPN Gateway and Firewall

Inside
No
inspection of VPN traffic
VPN gateway protected by firewall

Parallel
Potential

uncontrolled access
Outside
VPN
gateway protected by access router
Consistent policy

Integrated
Maximum
VPN Gateway
Encrypted
flexibility traffic
Decrypted traffic
Internet
Public
Intranet
Firewall
VPN - 14
Private
Intranet
VPN Gateway and NAT

Authentication Header (AH)

IP addresses are part of AH checksum
calculation → packets discarded
Transport mode
IP
address of IPSec tunnel peer is not what
expected → packets discarded
No PAT (Protocol Address Translation)
Tunnel mode

IP
address within secure packet can be
changed before entering the gateway

E.g., same addresses in two different VPN sites
Most
often NAT is not needed on external
packet
VPN - 15
VPN Gateway and IDS
IDS is usually outside the firewall
No control on VPN traffic
Multiple IDS probes

Outside
firewall
Inside VPN gateway
VPN Gateway
Firewall
Internet
Access
router
Public
Intranet
IDS probe
VPN - 16
Private
Intranet
IDS probe
VPN peer basate su IP

Dedicated router
Il
service provider realizza una rete di router
dedicati ad un cliente
Utilizzabile solo per grossi clienti

Shared/virtual router
Il
provider crea istanze di router dedicati ad un
cliente all’interno dei router fisici
Router di fascia alta permettono di avere
centinaia di router virtuali

Tabella di routing e protocolli di routing per
istanza
Supporto nel sistema operativo e tramite ASIC
Comunicazione
VPN - 17
tramite tunnel IPsec o GRE
VPN MPLS di livello 2: PWE3
Pseudo Wire Emulation End-to-End
Vari servizi sulla stessa rete:

IP,
ma anche leased lines, frame relay, ATM,
Ethernet
Customer edge (CE) device offre interfaccia di
servizio nativa
Il traffico è trasportato su un LSP tra i CE
Due etichette

Esterna

- usata per il routing nella rete
Identifica il punto di accesso alla rete
Interna
- multiplexing di vari utenti collegati al
punto di accesso
VPN - 18
VPN MPLS di livello 2: PWE3

Ci possono essere apparati interni alla rete
Per
esempio uno switch ATM all’interno della
rete del service provider su cui sono attestati
LSP
Prevalentemente instaurazione manuale di
LSP
Proposte per uso di LDP e BGP

VPN - 19
VPN MPLS di livello 3

Soluzioni provider provisioned
Politiche
della VPN realizzate dal service
provider
Non serve esperienza da parte del clienti

Scalabilità
Utilizzo

su larga scala
Due alternative
RFC2547bis

Inizialmente spinto da Cisco
Approccio attualmente più utilizzato
Virtual

VPN - 20
(BGP)
router
Inizialmente spinto da Nortel e Lucent
Componenti della soluzione
MPLS/BGP

VRF (VPN Routing and Forwarding) table
Associata
ad una o più porte
Informazioni per l’inoltro dei pacchetti ricevuti
da tali porte
VRF
Corporate
Network
Provider
(P) Router
Corporate
Network
Customer
Edge (CE)
Router
Corporate
Network
VPN - 21
Provider Network
Provider Edge (PE) Router
Corporate
Network
Piano di controllo
Routing exchange at edges
Route filtering

PE
routers determine which routes to install in
VRF

Support for overlapping address spaces
VPN-IPv4

Address family
Route Distinguisher + IPv4 address
Route
Route
Distinguisher
Distinguisher
VPN - 22
IP
IPAddress
Address
MPLS VPN Components
CE router creates adjacency with PE router
It advertises its destinations
It receives advertisements of other VPN
destinations
Static routing, or
IGP (Interior Gateway Protocol)
(e.g.,
OSPF, RIP)
E-BGP (Exterior-Border Gateway Protocol)
PE router does not keep routes for all VPNs

VPN - 23
MPLS VPN Components

PE routers
Exchange

routing information
I-BGP (Interior-Border Gateway Protocol)
Are
ingress and egress LSR (Label Switch
Router) for the backbone

P routers have routes to PE routers only
Corporate
Network
Provider
(P) Router
Corporate
Network
Provider
Edge (PE)
Router
Corporate
Network
VPN - 24
Customer
Edge (CE)
Router
Provider Network
Corporate
Network
Piano di controllo

Creazione di LSP attraverso la dorsale
I-BGP
porta informazioni sulle etichette
LDP (Label Distribution Protocol) e/o
RSVP (Resource reSerVation Protocol)
Maglia di LSP tra i router PE della stessa VPN
Corporate
Network
VFR
LSP
(Label Switched Path)
Corporate
Network
Customer
Edge (CE)
Router
Corporate
Network
VPN - 25
Provider Network
Provider Edge (PE) Router
Corporate
Network
Packet Routing
Packet from 10.2.3.4 to 10.1.3.8
Default gateway → PE2 router
VFR
10.1.3.8
CE1
10.2/16
PE1
LSP (L2)
CE2
Provider Network
10.1/16
VPN - 26
PE2
10.2.3.4
Packet Routing

PE2 looks-up VRF
MPLS
label advertised by PE1 for 10.1/16: L1
BGP next hop (PE1)
Outgoing interface for LSP to PE1
Initial label for LSP from PE2 to PE1: L2
VFR
10.1.3.8
CE1
10.2/16
PE1
LSP (L2)
CE2
Provider Network
10.1/16
VPN - 27
PE2
10.2.3.4
Packet Routing
PE2 pushes L1 and L2 on label stack
P routers forward packet to PE1 using L2
Last hop before PE1 pops L2
PE1 receives packet with L1

PE1
pops L1: plain IP packet
PE1 uses L1 to route packet to proper output
interface
CE1
IP Payload
VPN - 28
PE1
L1
IP
ad
o
l
Pay
LSP (L2)
L2/L1 IP Payload
PE2
Vantaggi

Non ci sono vincoli sul piano di indirizzamento
Unicità
degli indirizzi solo all’interno della VPN
I router CE non scambiano informazioni di
routing tra di loro
Il cliente non deve gestire la dorsale
Il gestore non ha una dorsale per ogni cliente
La VPN può essere definita attraverso le reti di
vari provider
Sicurezza equivalente a quella di Frame relay o
ATM

Isolamento
del traffico
No cifratura (confidenzialità)

VPN - 29
Supporto di QoS (qualità di servizio) mediante
gli experimental bit di MPLS
Supporto Multi-Protocol

Access VPN
Trasparente

L2TP e PPTP
Overlay (basato IPsec)
Generic

Trasporto di qualsiasi protocolo all’interno di IP
Peer (basate su MPLS)
Insito
VPN - 30
Routing Encapsulation (GRE)
in MPLS (Multi-Protocol Label Switching)
Riferimenti bibliografici
E. Rosen and Y. Rekhter, “BGP/MPLS VPNs,”
RFC 2547, March 1999.
E. Rosen et al., “BGP/MPLS VPNs,” <draftrosen-rfc2547bis-02.txt>, July 2000.
C. Semeria, “RFC 2547bis: BGP/MPLS VPN
Fundamentals,” Juniper Networks, White
paper 200012-001, March 2001.
IETF MPLS Working Group,
http://www.ietf.org/html.charters/mplscharter.html

VPN - 31
Riferimenti bibliografici
Hanks, S., Editor, "Generic Routing
Encapsulation over IPv4", RFC 1702, October
1994.
Brian Browne, “Best Practices For VPN
Implementation,”Business Communication
Review, March 2001.
http://www.ietf.org/html.charters/l2vpncharter.html
http://www.ietf.org/html.charters/l3vpncharter.html

VPN - 32