MPLS VPNs

Einführung

Es gibt einige aktuelle Tendenzen, welche die Vernetzung betreffen:

  • Erhöhte Anforderungen an die Sicherheit; Wunsch nach Firewall-Lösungen nicht nur am Übergang zum Internet, sondern auch am Übergang vom Netz der Organisation zum Netz der organisatorischen Einheit (OE).
  • Unterbringung einer OE an verschiedenen Standorten, so dass OE räumlich getrennt ist.
  • Verkleinerung der Broadcast-Domain (Schicht 2, L2) zur Erhöhung der Betriebssicherheit, was Reichweite der VLANs beschneidet.

Diesen Umständen tragen die konventionellen Netz-Konzepte nur beschränkt Rechnung.

Prinzip

Im IP-Providerumfeld musste schon vor einiger Zeit eine Lösung gefunden werden, um die IP-Netze der Kunden des Providers voneinander getrennt über das Core-Netz des Providers, welches ebenfalls oft auf IP basiert, zu übertragen. Dazu hat der Netzausrüster Cisco Systems das Konzept der Layer 3-MPLS VPNs entwickelt, welches ursprünglich im RFC 2547 und neu im RFC 4364 dokumentiert ist. Die Grundidee ist folgende: Über ein zentrales IP-Netz sollen die IP-Netze verschiedener Kunden getrennt voneinander übertragen werden - die Idee des VPNs. Auf den Routern wird die Routingtabelle in Form von VRFs virtualisiert. Zwischen den Routern wird das Verfahren MPLS eingesetzt, um die Datenpakete der verschiedenen Netze getrennt voneinander zu übertragen. Mittels des Routingprotokolls BGP werden die einzelnen VPNs geroutet. Dieses Konzept kann nun ebenfalls auf der Ebene einer Organisation eingesetzt werden, um die Netze der OEs voneinander zu trennen und den eingangs aufgeführten Tendenzen zu begegnen.

Situation an der UZH

An der UZH wurden in den vergangenen zwei bis drei Jahren sämtliche Core- und Distribution-Router/Switches durch Modelle ausgetauscht, welche MPLS VPNs unterstützen; es wurden Firewalls beschafft und ein Konzept entwickelt, wie MPLS VPNs an der UZH aufgebaut werden können. Als erste Instanzen sollen im Rahmen eines Sicherheitszonen-Konzepts die Datacenter-Netze der Informatikdienste auf MPLS VPNs umgestellt werden. Auch die Verbindungen der NWAP-Netze (Netzwerkarbeitplatz-/Notebook Docking-Netze) zum zentralen Gate (Validierung) sind in Umstellung auf MPLS VPN begriffen. Ein Angebot für einzelne OEs (Institute) ist für 2010 geplant.

Realisierung im NUZ

Ein VPN (Virtual Private Network), also ein virtuelles, abgeschottetes Netz, ist in diesem Zusammenhang als eine Gruppierung der pro Standort verschiedenen IP-Netze einer OE zu verstehen. Eine OE hat also nicht mehr ein einziges IP-Netz, sondern pro Standort wird eines eingerichtet. Auf den Routern gibt es für jeweils ein VPN eine virtuelle Routing-Instanz (Virtual Routing and Forwarding, VRF). Mit MPLS werden die Router so miteinander verbunden, dass die Datenpakete nicht mit denjenigen anderer OEs vermischt werden. Jede dieser Gruppierungen hat auch Anschluss an eine zentrale Firewall, auf welcher wiederum für jedes VPN bzw. jede OE eine dedizierte, virtuelle Firewall läuft. Diese virtuelle Firewall verfügt über ein Web-GUI, welches die weitgehend unabhängige Konfiguration durch die OE selbst erlaubt. Erst hinter dieser virtuellen Firewall werden die nun abgesicherten VPNs in einem zentralen Router (Fusion-Router) zusammengeführt, damit Verbindungen zwischen den VPNs untereinander, dem restlichen Netz und dem Internet möglich werden.

Die Zeichnung «Konzept der MPLS VPNs nach RFC 4364» zeigt den prinzipiellen Aufbau dieses Systems.

Gegeben sind 3 Gebäude (1-3) und 4 Institute (A-C). Alle Institute haben Räumlichkeiten in jedem der Gebäude. Den Instituten werden in dieser Zeichnung Farben zugeordnet: A=rot, B=blau, C=grün, D=orange. Es wird nun für jedes Institut in jedem Gebäude ein IP-Netz - dessen Grösse auf die Anzahl vorhandener Rechner zugeschnitten ist - eingerichtet (was im Zeichen der Knappheit von IPv4-Adressen übrigens einen weniger idealen Umstand dieses Konzepts darstellt). Diese IP-Netze werden in der Zeichnung in Varianten der Hauptfarbe des Instituts dargestellt, z.B. rot -> leuchtendrot, rosa und dunkelrot.

Dann wird für jedes Institut ein VPN gebildet. Zu einem VPN gehören alle IP-Netze mit den jeweiligen Farbvarianten, z.B. für VPN A/rot die leuchtendrot, rosa und dunkelrot gezeichneten IP-Netze. Ein VPN hat immer einen (kurzen) Namen, z.B. InstA. Auf allen Gebäude-Routern, auf welchen ein VPN geroutet werden soll, muss eine virtuelle Routing-Instanz konfiguriert werden. In dieser Routing-Instanz endet das Ethernet/VLAN, welches zum jeweiligen IP-Netz gehört. Die Datenpakete eines VPNs werden mit speziellen Markierungen (Labels) versehen und über eine gemeinsame IP-Verbindung vom Gebäude-Router via den Core-Router zu den anderen Gebäude-Routern und zum VX-Router transportiert.

Die Verbindung innerhalb der IP-Netze eines VPNs in den 3 Gebäuden passiert also direkt zwischen den Gebäude-Routern (via den Core-Router). Zwischen diesen IP-Netzen wird IP geroutet. Es handelt sich also nicht um eine Ethernet- oder L2-Verbindung. Broadcasts und Service Advertisements bleiben auf das einzelne IP-Netz im Gebäude beschränkt.

Wird eine Verbindung zwischen den verschiedenen VPNs oder zum Internet benötigt, verläuft der Weg anders. Ein spezieller Distribution-Router, der VX-Router (VPN Exchange), hat ebenfalls eine virtuelle Routing-Instanz für jedes VPN, welche via MPLS mit den anderen Routern verbunden ist. Auf dem VX-Router werden die MPLS-VPNs wieder auf einzelne Ethernets umgesetzt, welche über einen sog. Trunk zum Fusion-Router geführt werden.

Der Fusion-Router ist dadurch nicht mehr direkt mit MPLS verbunden. Dafür beinhaltet er die Firewall-Module, auf welchen für jedes VPN eine virtuelle Firewall konfiguriert wird - in der Zeichnung also die virt. Firewalls A-D. Die vom VX-Router durch den Trunk ankommenden Ethernets für jedes VPN werden auf die innere Seite der jeweiligen virt. Firewall geführt. Auf der äusseren Seite der virt. Firewalls führen wiederum einzelne Ethernets zum eigentlichen Router. Dieser ist nun nicht mehr virtuell, sondern es gibt eine einzige, globale Instanz. An dieser Stelle werden alle VPNs (nach der Firewall) miteinander verbunden, und von da aus geht es dann auch weiter zum restlichen, noch nicht auf VPNs umgestellten Netz und via eine weitere Router-/Firewall-Kombination zum Internet.

Details

Was ist in dieser Zeichnung nicht enthalten, was wurde vereinfacht?

  • Redundante Ausführung wichtiger Systeme: Der Core-Router, der VX-Router und der Fusion-Router inkl. Firewalls sind doppelt vorhanden. Bei einem Ausfall einer Komponente wird innerhalb max. ca. 10 s auf eine redundante Komponente umgeschaltet. Die Gebäude-Router sind jedoch - wie gezeichnet - nur einfach vorhanden.
  • Die bei MPLS VPNs üblichen Bezeichnungen: Die Gebäude-/Distribution-Router werden als sog. PE-Router (Provider Edge) bezeichnet, die Core-Router als P-Router (Provider) bezeichnet.
  • Routing-Protokolle: Zur Organisation des VPN-Routings wird das Protokoll iBGP eingesetzt, während für das Routing der gemeinsamen IP-Verbindungen zwischen den Routern weiterhin OSPF benutzt wird.
  • Route Reflector: iBGP benötigt für die n:n-Vernetzung der PE-Router einen sog. Route Reflector, damit nicht alle Routing-Beziehungen auf den einzelnen PE-Routern konfiguriert werden müssen - das wären n(n-1)/2 Beziehungen, bei 31 PE-Routern beispielsweise 465. Stattdessen werden auf den PE-Routern nur Routing-Beziehungen zum Route Reflector definiert. Die Funktion des Route Reflectors kann auf den Core-Routern definiert und somit auch redundant angeboten werden.
  • L3-Switches: Bei den erwähnten Routern handelt es sich immer um sog. L3-Switches, das bedeutet Geräte, welche sowohl die Funktion eines Ethernet-Switchs (L2) als auch eines Routers (L3) in sich vereinen.

Geplantes Angebot und Rahmenbedingungen

Geplantes Angebot der Informatikdienste (voraussichtlich ab 2010, zuerst für einzelne OEs):

  • Je ein MPLS VPN für jede OE (d.h. ein Institut), welches mehrere unterschiedliche Standorte der OE gruppiert.
  • Eine virtuelle Firewall-Instanz pro VPN mit einem Standard-Setup und einem Web-GUI zur Anpassung an die Bedürfnisse der OE.
  • Eine OE, welche sich nur an einem Standort befindet, kann dennoch ein VPN erhalten, um eine virtuelle Firewall-Instanz nutzen zu können.

Rahmenbedingungen:

  • Ausgenommen sind Standorte, welche nicht über Glasfasern erschlossen sind (Mietleitungen Cu oder E1). Dort steht MPLS VPN nämlich nicht zur Verfügung.
  • Die Verantwortung für die Konfiguration der virtuellen Firewall-Instanz liegt zu 100% bei der OE.
  • Das Web-GUI der virtuellen Firewall-Instanz basiert auf Java und ist vom Hersteller gegeben, d.h. vom Kunden nicht anpassbar. Es ist nicht mit allen Browsern und Java-Versionen kompatibel. Die jeweilige Version ist vom Firewall-Betriebssystem abhängig und ändert deshalb bei einem Systemupgrade der Firewall. Bei Security-relevanten Upgrades passiert dies kurzfristig ohne vorherige Ankündigung.