2. Topik bahasan
- Konsep VPN
- Parameter Layer-3 VPN
-VRF,RD,RT,MPBGP
- Mekanisme Pertukaran Informasi Routing
- Mekanisme Traffic Forwarding
3. Konsep VPN
VPN merupakan jaringan komunikasi lokal (privat) yang
terhubung melalui media jaringan publik (shared network)
4. Model VPN MPLS
Customer site Customer site
Service Provider Network
CE CE
P PE
PE
CE P PE
Virtual Circuit (VC)
5. Komponen VPN MPLS
VPN Site
Provider Router Provider Edge
Customer Edge
CE CE
VPN A VPN A
P PE
PE CE
CE
CE P
VPN B
VPN B
PE
CE CE
CE - Customer Edge, perangkat kastamer yang secara langsung terhubung dengan
service provider
PE -Provider Edge, merupakan perangkat yang berada di dalam jaringan provider yang
terhubung dengan CE dan bertanggung jawab untuk memberikan akses layanan VPN
P - Provider, merupakan perangkat yang berada di dalam jaringan provider yang tidak
terhubung langsung dengan CE dan bertanggung jawab untuk fungsi routing dan
forwarding
8. Parameter Layer-3 VPN MPLS
Beberapa parameter penting pada router PE yang berperan
dalam membangun Layer-3 VPN :
VRF,
Route Distinguisher (RD),
Route Target (RT),
Propagasi Route : MP-BGP
Forwarding Paket berdasarkan Label
9. VPN Routing & Forwarding Instances (VRF)
VPN Routing Table
VPN-A
CE
Grogol PE
VPN-A CE VRF for VPN-A
IGP & non-
Cawang VPN BGP
VPN-B CE VRF for VPN-B
Bekasi
Global Routing Table
Multiple VRF menyediakan pemisahan antar kastamer yang berbeda
10. VRF - Virtual Routing Forwarding
Setiap VPN membutuhkan VRF yang terpisah pada setiap
router PE
Menyediakan isolasi VPN
Mengijinkan overlap private IP Address
VRF merupakan suatu virtual router
VRF diasosiasikan dengan Interface/sub-interface yang
terhubung dengan CE,
PE mengelola forwarding table untuk setiap site VPN
Route dalam VRF akan didistribusikan ke site yang lain
(biasanya terhubung dengan PE lain) dari VPN yang sama.
12. MP-BGP - (MultiProtocol BGP)
BGP V4 hanya mendukung ipv4
MP-BGP dapat mendukung pengirimana informasi route
multi protokol (IPv6, IPX,dll.).
MP-BGP menambahkan 2(dua) atribut pada NLRI (Network
Layer Reachability Information):
MP_REACH_NLRI dan MP_UNREACH_NLRI
13. MP_REACH_NLRI
AFI=1, SAFI (Subsequent Address Family Identifier)=128
menunjukkan bahwa, NLRI membawa informasi alamat VPN.
(RD ditambah IP v4 prefix , disebut dengan alamat VPN V4.)
14. MP_REACH_NLRI
Detail tambahan informasi pada NLRI( (Network Layer Reachability
Information))
MP_REACH_NLRI:
address-family : VPN-IPV4 address-family :
next-hop: Loopback address of PE router
NLRI:
label: 24 bit,the same as MPLS label, but without TTL.
prefix: RD:64bit+ip prefix
Daftar Route Target (RT)
Extended_Communities(RT1)
Extended_Communities(RT2)
Extended_Communities(RT3)
15. MP-BGP update
VPNv4 Address
Route Target
Label yang digunakan untuk forwarding paket VPN
Atribut BGP yang lain (AS-Path, Local Preference, MED,
standard community …)
Multiprotocol BGP (MP-BGP) digunakan pada MPLS VPN
untuk melakukan pertukaran VPNv4 prefix.
16. Route Distinguisher (RD)
Digunakan untuk merubah bentuk non-unique 32-bit adress
IPv4 user kedalam 96-bit unik VPNv4 address.
RD digunakan untuk identifikasi VRF instances.
membedakan IPV4 yang sama dari VPN yang berbeda
VRF instances yang berbeda, HARUS mempunyai RD yang
berbeda
RD dikonfigurasi pada router PE untuk setiap VRF
17. Format Route Distinguisher
0 AS Number Assigned Number
1 IP Address Assigned Number
2 AS Number Assigned Number
18. Format Route Distinguisher
8 byte = 64 bit
Administrator field berisi Autonomous System Number
(ASN) dari IANA
Assigned Number field ditetapkan oleh provider
Format : AS:number atau IPaddress:number
Contoh RD :
100:1
172.1.1.1:1
20. VPNv4
Route VPNv4
Ingress PE menambahkan RD pada IPv4 prefix yang diterima
dari setiap CE
Address VPNv4 hanya dipertukarkan antar PE menggunakan
MP-BGP
Egress PE melakukan konversi VPNv4 menjadi IPv4 sebelum
memasuki routing table
VPNv4 hanya digunakan pada control plane
Data plane menggunakan MPLS
21. Format VPNv4
VPN-IP address = Route Distinguisher (RD) + IP address
12 byte = 8 byte + 4 byte
96 bit
Contoh : 10458:22:10.1.0.0/16 atau 1.1.1.1:33:10.1.0.0/16
23. Route Target
untuk mengidentifikasi VRF pada saat router PE
mendistribusikan route
import/export route dari/ke VRF
Mempunyai format yang sama dengan RD
Type(0x0002) AS#(16bit) Value(32bit)
Type(0x0102) IP address(32bit) Value(32bit)
24. Route Target
Setiap VRF Instances diknfigurasi 2 Route Target :
Export RT
Atribut export RT ditambahkan pada paket, ketika PE mengirimkan
MP-iBGP updates
Import RT
Ketika MP-BGP update diterima suatu PE, hanya lokal VRF yang
mempunyai daftar import RT yang sama yang dapat mengambil
data tersebut.
25. Distribusi Route VRF
P Router
CE Router PE PE CE Router
Site MP-iBGP Site
Router PE mendistribusikan informasi route VRF lokal melalui jaringan
backbone MPLS/VPN
PE pengirim, melakukan export route VRF lokal melalui MP-iBGP
(dengan atribut export-route target)
PE penerima, melakukan import route ke VRF yang sesuai (dengan
atribut import-route target).
26. RT pada Intranet
VPN A MPLS/VPN Backbone
VPN A
Site-1 & Site -2 routes
Site- Site-3 & Site -4 routes
Site-
SITE -1 RT=VPN -A RT=VPN -A SITE -3
MP-iBGP
P Router
SITE -2 Site-1 routes
Site- Site-1 routes
Site- SITE -4
Site-2 routes
Site- Site-2 routes
Site-
VPN A Site-3 routes
Site- Site-3 routes
Site- VPN A
Site-4 routes Site-4 routes
28. Komponen VRF pada MP-BGP
MP-iBGP
BGP, OSPF, RIPv2 update PE PE
for 149.27.2.0/24,NH=CE-1
VPN-v4 update:
RD:1:27:149.27.2.0/24,
Next-hop=PE-1
CE-1
RT=VPN-A, CE-2
Label=(28)
29. Arsitektur BGP/MPLS VPN
Terdiri atas 2 komponen :
Control plane:
Menggunakan VRF didalam router PE untuk memisahkan VPN
yang berbeda.
Menggunakan LDP/RSVP untuk mendistribusikan LSP label
dalam mencapai remote PE
Menggunakan MP-BGP untuk mendistribusikan VPN route dan
VPN label antar PE
Forwarding plane : dual stack
30. Arsitektur BGP/MPLS VPN
Forwarding Plane
Trafik diforward dengan menggunakan 2 label :
1. LSP Label
untuk menjangkau remote PE (BGP next-hop) .
2. VPN label
untuk identifikasi interface VPN pada remote PE :
Layer 2 Label Label IP Datagram
Header 1 2
LSP Label didistribusikan oleh LDP atau RSVP
VPN Label didistribusikan oleh BGP, along with the VPN-IP
address.
Remote PE membuat keputusan forwarding berdasarkan
VPN Label
31. Model Routing MPLS VPN
Routing MPLS VPN-Perspektif CE router,
Routing MPLS VPN-Perspektif overall user,
Routing MPLS VPN-Perspektif P router,
Routing MPLS VPN- Perspektif PE router.
32. Routing MPLS VPN - Perspektif CE router
Router CE menjalankan routing standar dan bertukar
routing update dengan router PE
EBGP, OSPF, RIPv2, EIGRP, and static route
33. Routing MPLS VPN - Perspektif overall user
Dari sudut pandang customer, router PE terlihat sebagai core router
yang menggunakan backbone BGP,
Router P tidak terlihat dari customer
34. Routing MPLS VPN - Perspektif P Router
Router P tidak mengambil bagian didalam routing MPLS
VPN dan tidak membawa route VPN.
Router P berkomunikasi dengan PE router pada backbone
Internet Gateway Protocol (IGP) dan saling bertukar
informasi tentang global subnetwork (core link dan
loopback).
35. Routing MPLS VPN - Perspektif PE Router
PE Router :
melakukan pertukaran route VPN dengan router CE melalui routing
protokol yang berjalan didalam virtual routing table
Melakukan pertukaran route pada sisi core dengan router P melalui
core IGP
melakukan route VPNv4 dengan router PE yang lain melalui sesi
MP-BGP
36. Routing MPLS VPN - Perspektif PE router
Routing tables on PE-Routers.
PE mempunyai 2 routing table :
Global routing table , berisi informasi route untuk semua router
PE dan P (core route)
VRF (VPN routing & forwarding) table, berisi informasi tabel
routing dan forwarding untuk CE yang terhubung langsung
38. Pertukaran Informasi Routing (1/7)
VPN A
VPN A
Site-2
Site-1 MP-BGP session
CE-2
CE-1 PE-2
VRF PE-1 VRF
VRF CE-4
CE-3 VRF
VPN B
OSPF
Site-1 Site-2
10.1/16 1
Router CE meng-advertise route ke router PE
menggunakan teknik routing tradisional (OSPF, IS-IS, RIP,
BGP, and static routes)
39. Pertukaran Informasi Routing (2/7)
VPN A
VPN A
Site-2
Site-1 MP-BGP session
CE-2
CE-1 PE-2
VRF PE-1 VRF
VRF CE-4
CE-3 VRF
VPN B
OSPF
Site-1 Site-2
2 10458:23:10.1/16 10.1/16
Pada VRF, IPv4 dikonversi menjadi VPNv4
40. Pertukaran Informasi Routing (3/7)
VPN A
VPN A
Site-2
Site-1 MP-BGP session
CE-2
CE-1 PE-2
VRF PE-1 VRF
VRF CE-4
CE-3 VRF
VPN B
OSPF
Site-1 Site-2
10458:23:10.1/16 10.1/16
3 “VPN RED” Export
VRF diasosiasikan dengan export - Route Target
VRF meng-export Route Target “VPN RED”
41. Pertukaran Informasi Routing (4/7)
VPN A
VPN A
Site-2
Site-1 MP-BGP session
CE-1 PE-2 CE-2
VRF PE-1 VRF
VRF CE-4
CE-3 VRF
VPN B
OSPF
Site-1 Site-2
10458:23:10.1/16 10.1/16
4 “VPN RED” Export
BGP Label
Next Hop PE-2
VPNv4 di-advertise ke PE yang lain
Inner label (“BGP/VPN Label”)
Extended communities
• Route Target
BGP next hop
42. Pertukaran Informasi Routing (5/7)
VPN A
VPN A
Site-2
Site-1 MP-BGP session
CE-1 PE-2 CE-2
VRF PE-1 VRF
VRF CE-4
CE-3 VRF
VPN B
OSPF
Site-1 Site-2
10458:23:10.1/16 10.1/16
MP-BGP
“VPN RED” Import “VPN RED” Export
BGP Label
5
Next Hop PE-2
Setiap router PE dikonfigur dengan import Route Target
Jika import Route Target sesuai dengan atribut Route Target
yang terdapata pada route BGP, route di-copy pada VRF yang
sesuai
10458:23:10.1/16 di-copy pada red VRF, bukan pada blue VRF
43. Pertukaran Informasi Routing (6/7)
VPN A
VPN A
Site-2
Site-1 MP-BGP session
CE-1 PE-2 CE-2
VRF PE-1 VRF
VRF CE-4
CE-3 VRF
VPN B
OSPF
Site-1 Site-2
10458:23:10.1/16 10.1/16
MP-BGP
“VPN RED” Import “VPN RED” Export
10458:23:10.1/16 BGP Label
6 BGP Label (inner) Next Hop PE-2
MPLS Label (outer)
Setiap route VPNv4 dalam VRF diasosiasikan dengan :
Inner (VRF) label, dibawa dalam BGP update
Outer Label untuk menjangkau router PE
44. Pertukaran Informasi Routing (7/7)
VPN A
VPN A
Site-2
Site-1 MP-BGP session
CE-2
CE-1 PE-2
VRF PE-1 VRF
VRF CE-4
CE-3 VRF
VPN B
Site-1 Site-2
7
10.1/16 Next Hop PE-1
Route IPv4 yang diasosiasikan dengan VRF tertentu, di-
advertise ke CE,
Menggunakan routing standar
46. Data Flow (1/7)
VPN A VPN A
Site-2
Site-1
CE-2
CE-1
VRF PE-1 LSP 1 PE-2
VRF
VRF CE-4
CE-3 VRF
VPN B
VPN B
Site-1 Site-2
10/8
Sebelum Forwarding data, LSP harus disetup pada backbone MPLS dari
PE-to-PE
Setup LSP menggunakan signaling LDP atau RSVP
47. Data Flow (2/7)
VPN A VPN A
Site-2
Site-1
CE-2
CE-1
VRF PE-1 LSP PE-2
VRF
VRF CE-4
CE-3 VRF
VPN B
VPN B
Site-1 Site-2
IP 10/8
2 10.1.2.3
Router CE melakukan lookup IPv4 tradisional dan
mengirimkan paket ke router PE
48. Data Flow (3/7)
VPN A VPN A
Site-2
Site-1
3
CE-2
CE-1
VRF PE-1 LSP PE-2
VRF
VRF CE-4
CE-3 VRF
VPN B
VPN B
Site-1 Site-2
IP 10/8
10.1.2.3
Router PE mengasosiasikan VRF yang sesuai untuk inbound interface
Paket dienkapsulasi dengan 2 label :
Bgp/VPN Label
MPLS Label
49. Data Flow (4/7)
VPN A
VPN A
Site-2
Site-1
CE-2
CE-1
VRF PE-1 LSP PE-2
VRF
4 CE-4
CE-3 VRF VRF
MPLS Label VPN B
VPN B
Site-1 BGP Label Site-2
IP 10.1.2.3
IP 10.1.2.3 10/8
Paket diteruskan dengan dua-level label stack
Outer - MPLS label
Identifikasi LSP yang menuju egress PE
• Inner - BGP/VPN label
Identifikasi outgoing interface dari egress PE ke CE
50. Data Flow (5/7)
VPN A
VPN A
Site-2
Site-1
CE-2
CE-1 PE-2
VRF PE-1 VRF
VRF CE-4
CE-3 VRF
VPN B
VPN B
MPLS Label
Site-1 Site-2
BGP Label
IP 10.1.2.3 10/8
5
Setelah paket keluar dari ingress PE, outer MPLS label
digunakan untuk forwarding data pada jaringan backbone
Router P tidak mengetahui informasi VPN
51. Data Flow (6/7)
VPN A
VPN A
Site-2
Site-1
CE-2
CE-1 PE-2
VRF PE-1 VRF
6 VRF CE-4
CE-3 VRF
VPN B
VPN B BGP Label
Site-1 Site-2
IP 10.1.2.3
10/8
Penultimate hop popping (router sebelum egress PE)
menghapus outer label
52. Data Flow (7/7)
VPN A
VPN A
Site-2
Site-1
CE-2
CE-1 PE-2
VRF PE-1 VRF
VRF CE-4
CE-3 VRF
VPN B
VPN B
Site-1 Site-2
7
IP 10.1.2.3 10/8
Inner label dihapus pada egress PE router
Paket IPv4 dikirim ke outbound interface yang diasosiasikan
dengan label.