Introduktion til MPLS



Relaterede dokumenter
Netværk, WAN teknik. Introduktion til VPN. Afdeling A Odense. WAN kredsløb. Hovedkontor Viborg. Afdeling B Roskilde

IP version 6. Kapitel 1:Introduktion til IPv6. Ikke flere IP adresser?

Sikkerhed på net. - en introduktion! Netteknik

Introduktion til BGP 4 Border Gateway Protocol version 4

QoS. - prioritering af pakketransporten! Netteknik 1

Cisco ASA Vejledning. Opsætning af Site-to-Site VPN

Internet Protokollen. - IP er arbejdshesten på næsten alle netværk! Netteknik 1

Hvad er KRYPTERING? Metoder Der findes to forskellige krypteringsmetoder: Symmetrisk og asymmetrisk (offentlig-nøgle) kryptering.

Bilag 1 Produktspecifikation

Routeren. - og lag 3 switchen! Netteknik 1

Route-tabellen. Routertabel R2. Routertabel R3. Routertabel R1. Routertabel R4 NETVÆRK SENDES TIL

Quality of Service. - en introduktion! IP telefoni kursus

Introduktion til Quality of Service

IP Telefoni. IP telefoni introduktion. TDC IP telefoni Scale

QoS Design overblik. Agenda. QoS på L3. Trafiktyper. QoS principper. Voice Best-Effort. Klassifikation og mærkning Policing Queing

Internet Protocol (IP)

Bilag 4: Service Level Agreement SLA

QoS Design overblik. QoS på L3

IP Telefoni En naturlig udvikling?

NETVÆRKSKURSUS Oktober November jmt

ARP og ICMP. - service protokoller, som vi ikke kan undvære! Netteknik 1

Camp om Kryptering. Datasikkerhed, RSA kryptering og faktorisering. Rasmus Lauritsen. August 27,

Bilag 1: Produktspecifikation for Ethernet Transmission af

Sentinel (Dynamisk IP) til ZyWALL (Statisk IP) VPN Tunnel

Produktspecifikationer DSL forbindelse Version 2.2

General setup. General konfiguration. Rasmus Elmholt V1.0

PRODUKTDOKUMENTATION FLEXFONE INTERNET

Netteknik 1. AMU kursus nr Netteknik 1 (AMU 44947) - anvendelse af teknologier og begreber. Formålet med kursus

IP version 6. Kapitel 2: IPv6 adresser. Baseret på bogen: Cisco Self-study: Implementing Cisco IPv6 Networks Henrik Thomsen V1.0.

Konfidentialitet og kryptografi 31. januar, Jakob I. Pagter

Network. Netværks design. Region Syd Grundlæggende netværk

Avancerede Datanet. Udviklingen i Netværksarkitekturer. Ole Brun Madsen Professor Department of Control Engineering University of Aalborg

Bilag 4: Service Level Agreement SLA

IPv6 sameksistens med IPv4. af Laurent Flindt Muller & Jakob Pedersen

TCP/IP stakken. TCP/IP Protokollen består af 5 lag:

It-sikkerhedstekst ST4

Af Marc Skov Madsen PhD-studerende Aarhus Universitet

IPv6 Hvor er vi i dag? Erik Løth el@nworks.dk

Rådgivning når viden gør en forskel

H.323. Protocol suite. En ITU standard til VoIP

IP version 6. Kapitel 3: IPv6 in Depth Baseret på bogen: Cisco Self-study: Implementing Cisco IPv6 Networks Henrik Thomsen V1.0.

Bilag 1d: Produktspecifikation for ebsa Multicast og VOD

Netværkslaget Rutning og sammenkobling

VLAN. - mange logiske net på ét fysisk! Netteknik 1

Bilag 1b. Infrastruktur & Kapacitet

Infrastruktur i hjemmet og begreber

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

Datatekniker med infrastruktur som speciale

Router U270 funktionsbeskrivelse

VLAN - Virtual Local Area Network

Netteknik 1. AMU kursus nr Netværk grundlæggende ( AMU Netteknik 1 ) - anvendelse af teknologier og begreber. Formålet med kursus

IP routing. - flytter pakkerne effektivt på lag 3! Netteknik 1

Note omkring RSA kryptering. Gert Læssøe Mikkelsen Datalogisk institut Aarhus Universitet

VLAN. VLAN og Trunks. Region Syd Grundlæggende netværk

Computer Networks Specielt om Infrastrukturer og Teknologi

Hosted NextGen Firewall

Datatekniker med infrastruktur som speciale

Bilag 1c: EVPN DSL produktspecifikation

Matematikken bag kryptering og signering NemID RSA Foredrag i UNF

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

Netteknik 1. - anvendelse af teknologier og begreber. AMU kursus nr

It-sikkerhedstekst ST2

Cisco ASA Introduktion & vejledning. Opsætning af Site-to-Site VPN

Køreplan Matematik 1 - FORÅR 2005

VLAN. - mange logiske net på ét fysisk! Netteknik 1

Kryptologi 101 (og lidt om PGP)

Hvorfor er sikker kommunikation vigtig? Kursusgang 1: Introduktion. Symmetrisk kryptering. Kursets tre dele. Formål

TCP & UDP. - de transportansvarlige på lag 4. Netteknik 1

Bilag 1e: Produktspecifikation for ebsa Enkanals QoS

VLAN, Trunk & VTP. VLAN: Virtual Local Area Network

Netværksdesign I. Rasmus Elmholt Netværksdesign I Side 1 af 6 RaEl@mercantec.dk

beskrivelse af netværket på NOVI

Februar Vejledning til Danske Vandværkers Sikker mail-løsning

Fortroligt dokument. Matematisk projekt

Note omkring RSA kryptering. Gert Læssøe Mikkelsen Datalogisk institut Aarhus Universitet

Bilag 1a. Produktspecifikation for Adgang BSA Kabel-tv net

Managed LAN: Produktspecifikationer Version: 2.1

Transkript:

Introduktion til MPLS Henrik Thomsen/EUC MIDT 2005 VPN -Traffic Engineering 1

Datasikkerhed Kryptering Data sikkerheds begreber Confidentiality - Fortrolighed Kun tiltænkte modtagere ser indhold Authentication Pålidelighed Data modtaget er det samme som afsenderen sendte, samt at afsenderen er den rigtige afsender. Integrity Checking Helheds check At data ikke er blevet ændret mellem afsender og modtager Non-Repuditation Ikke fornægtelse Afsender kan ikke senere nægte at have sendt data 2

Tunneling En tunnel er en vej mellem to enheder typisk to Gateways hvorigennem trafik kan passere uændret. Kryptering At kryptere en besked er at prøve at gøre beskeden umulig at læse mellem afsender og modtager At de-kryptere en besked er at gøre den læselig igen. 3

Kryptering og Tunneling Kryptering sikrer uvedkommende tyder data Kryptering af hele IP pakken, sikrer hemmeligholdelse af identitet på afsender og modtager. (Originale IP adresser) Symmetrisk og Asymmetriske nøgler Symmetrisk nøgle Samme nøgle anvendes til kryptering og dekryptering Udveksling af hemmelige nøgler en sikkerheds risiko Asymetriske nøgler Forskellige nøgler anvendes til kryptering og dekryptering Udveksling af offentlige nøgler ingen sikkerheds risiko. 4

Asymmetriske nøgler Alice sender Bob sin offentlige nøgle i en almindelig mail Kære Alice Konto er 445542 Pin kode er 2345 Hilsen Bob Bob XYZ12345 Kryptering med Alices offentlige nøgle 0x,fAkwle#kfwj ef9kssdksjed fs98,w2jksejd Fbq3s<dkjhbY wuh329+8ihf GO.uGwe)fkjF we923>9qh8 Usikkert netværk (Internettet) 0x,fAkwle#kfwj ef9kssdksjed fs98,w2jksejd Fbq3s<dkjhbY wuh329+8ihf GO.uGwe)fkjF we923>9qh8 ABC98765 De-kryptering med Alices hemmelige nøgle Alice Kære Alice Konto er 445542234 Pin kode er 2345 Hilsen Bob Nøglerne fungerer matematisk ved at anvende meget store primtal. (200 cifre eller mere) Alice kan sende data til Bob, ved at få hans offentlige nøgle IPsec: IP Security Architecture IPsec er et end-to-end sikkerheds system Kan anvendes mellem IP Hosts og/eller Gateways IPsec giver Confidentiality Kryptering Authentication Afsenders identitet Integrity Checking Data modtaget = data sendt Replay protection Optaget data kan ikke gensendes IPsec anvender tunneling og kryptering IP datagrammet pakkes ind i en ny IP pakke 5

IPsec: IP Security Architecture IPsec er en tilføjelse til IPv4 IPsec er indbygget i IPv6 som standard IPsec anvendes ofte i forbindelse med L2TP Layer 2 Tunneling Protocol PPP protokollen som er en data link protokol sendes også gennem tunnelen. (Validering PAP, CHAP) IPsec kan anvendes med en Preshared Key Forhåndsdelt nøgle som indtastes. Mere information Hvis du vil finde mere information om sikkerhed, vira mv. kan du prøve følgende hjemmesider: http://www.icsalabs.com/ og http://www.symantec.com/avcenter/ Her kan du også følge med i den aktuelle situation omkring sikkerhedstruslerne på nettet 6

MPLS Multi Protocol Label Switching MPLS - Princip IP Pakken udvides med en 32 bits MPLS Label i Kant Routere. Routere undervejs switcher på Label der peger mod modtager. Label forwarding/switching er simplere end IP Forwarding. Simplicitet i Backbone, kompleksitet i kant Routere Lukket kommunikation mellem Viborg og Frederiksberg. (VPN) Virtual Private Network 7

TDC s VPN MPLS løsning Kundens lokationer bindes sammen i lukket netværk. Transport via IP-nettet i lukket gruppe. Internet adgang laves separat. Hastigheder fra 512 Kbps til 1 Gbps Eksisterende adresseplan bevares. IP adresser uden betydning da pakker Lables *Oplysninger indhentet 13/08/2004 MPLS Begreber Forwarding Component Har ansvaret for overførsel af MPLS pakker Vej mellem afsender og modtager er fastsat. En vej mellem to MPLS endepunkter kaldes en LSP (Label Switch Path) En LSP er Unidirektionel. Der skal anvendes en LSP i begge retninger for bidirektionel kommunikation 8

MPLS Begreber Control Component Har ansvaret for at finde vej mellem afsender og modtager. Én gang for alle pakker Ikke som IP Forwarding, hvor hver pakke lever sit eget liv. LDP - Label Distribution Protocol Etablerer en best effort LSP. RSVP Ressource Reservation Protocol QoS og Traffic Engineering er mulig. MPLS Forwarding Component LER: Label Edge Router Ingress LER: Sætter label på IP Pakke Egress LER: Fjerner label fra Pakke LSR: Label Switch Router Sender Pakke videre til næste MPLS enablede Router 9

MPLS Forwarding Component LIB: Label Information Base LSR/LER har informationer om alle Labels den må bære Label udskiftes i LSR til Label der passer med nabo LSR Nabo LSR er har aftale om Labels der må bæres på Link imellem dem LSR LSR LER LER Ingress LSR LSR Egress Kunde A - Viborg IP Net Backbone IP opsamlingsnet (Kant Routere) Kunde A - Frederiksberg IP Pakke IP Pakke IP pakke MPLS labeled IP pakke MPLS labeled IP pakke MPLS labeled IP Pakke IP Pakke MPLS Et eksempel 10

MPLS - Header Uafhængig af Lag 2 teknologi Ved overførsel via ATM anvendes VPI/VCI som label CoS: Class of Service IP CoS kan kopieres ind i MPLS Header S: Stack Der kan være flere Labels. Flere MPLS Headere. S = 1 Sidste label S = 0 Der er flere labels TTL: Time To Live Som ved IP. Antal HOP RFC2547bis En MPLS VPN løsning Meget skalerbar Mange kunder. (100.000 1.000.000) Store VPN løsninger Op til tusinder af tilslutninger pr. kunde. VPN Virtual Private Network 11

MPLS Et lukket netværk P2 Kunde A 172.17.0.0/16 Kunde A 172.16.0.0/16 P1 LER1 P2 Kunde B 172.16.0.0/16 P4 P1 LSR1 P4 LSR3 P1 LSR LSR Provider P1 P5 LSR2 P6 P1 P1 LER2 P3 Kunde B 172.17.0.0/16 P2 LER2 Kunde A 172.18.0.0/16 P3 Kunde B 172.18.0.0/16 MPLS Flere labels MPLS Label 1 sættes på Pushes på Ingress Router Flere Labels kan sættes på Pushes Anvendes til at tunnelle gennem backbone net. Labels kan Pushes og Popes af MPLS Routere. Ingres LER Pusher 2 labels Label 1 anvendes af Egrees LER til at identificere VPN kunde Label 2 anvendes af LSR ere til at finde vej mellem Ingres og Egrees Routere Label 2 anvendes som tunnel mellem LER ere 12

MPLS Flere labels MPLS Control Component MPLS fungerer i et konvergeret netværk Anvender for eksempel BGP som IGP Nyere på stammen er MP-BGP Multi Protocol BGP 13

Hvad er et VPN Et VPN er et antal tilslutninger til et Backbone net som må udveksle trafik. Medlemmerne i et VPN må ikke udveksle trafik med andre. Et privat net. Et VPN er defineres af et sæt regler der Definerer connectivitet og QoS mellem tilslutninger i VPN et. Traffic Engineering Kunsten at vælge bestemte veje gennem netværket for at Få en optimal udnyttelse af netværksressourcer. Routenings protokoller er ikke perfekte IGP ere udnytter ikke alle Links optimalt MPLS giver mulighed for at angive den eksakte vej gennem nettet 14

TDC VPN kunde løsninger Routerbaseret VPN VPN forbindelsen etableres imellem CPE Routerne. Kan anvendes på alle tilslutninger til Internet Netbaseret VPN Anvender MPLS VPN mellem sites Giver større sikkerhed 15

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback