VPN - Virtual Private Network                                Rosmida Syarif Edvian
Topik bahasan                        - Konsep VPN                - Parameter Layer-3 VPN                      -VRF,RD,RT,M...
Konsep VPN     VPN merupakan jaringan komunikasi lokal (privat) yang     terhubung melalui media jaringan publik (shared n...
Model VPN MPLS      Customer site                                              Customer site                           Ser...
Komponen VPN MPLS              VPN Site                                               Provider Router   Provider Edge     ...
Tipe VPN
• Layer 3 VPN MPLS- BGP/MPLS VPN (RFC 2547bis)
Parameter Layer-3 VPN MPLS     Beberapa parameter penting pada router PE yang berperan     dalam membangun Layer-3 VPN :  ...
VPN Routing & Forwarding Instances (VRF)                                                 VPN Routing Table   VPN-A        ...
VRF - Virtual Routing Forwarding      Setiap VPN membutuhkan VRF yang terpisah pada setiap      router PE        Menyedia...
MP-BGP : MultiProtocol BGP
MP-BGP - (MultiProtocol BGP)      BGP V4 hanya mendukung ipv4      MP-BGP dapat mendukung pengirimana informasi route     ...
MP_REACH_NLRI    AFI=1, SAFI (Subsequent Address Family Identifier)=128    menunjukkan bahwa, NLRI membawa informasi alama...
MP_REACH_NLRIDetail tambahan informasi pada NLRI( (Network Layer ReachabilityInformation))     MP_REACH_NLRI:     address-...
MP-BGP update     VPNv4 Address     Route Target     Label yang digunakan untuk forwarding paket VPN     Atribut BGP yang ...
Route Distinguisher (RD)      Digunakan untuk merubah bentuk non-unique 32-bit adress      IPv4 user kedalam 96-bit unik V...
Format Route Distinguisher          0      AS Number           Assigned Number          1             IP Address         A...
Format Route Distinguisher      8 byte = 64 bit      Administrator field berisi Autonomous System Number      (ASN) dari I...
Overlapping IPv4      VPN A dan B menggunakan alamat yang sama
VPNv4   Route VPNv4     Ingress PE menambahkan RD pada IPv4 prefix yang diterima      dari setiap CE     Address VPNv4 h...
Format VPNv4  VPN-IP address = Route Distinguisher (RD) + IP address  12 byte = 8 byte + 4 byte    96 bit  Contoh : 10458...
VPNv4
Route Target      untuk mengidentifikasi VRF pada saat router PE      mendistribusikan route        import/export route d...
Route Target      Setiap VRF Instances diknfigurasi 2 Route Target :        Export RT            Atribut export RT ditam...
Distribusi Route VRF                                P Router        CE Router        PE                PE         CE Route...
RT pada Intranet  VPN A                               MPLS/VPN Backbone                                                   ...
RT pada Extranet
Komponen VRF pada MP-BGP                                     MP-iBGP BGP, OSPF, RIPv2 update     PE                       ...
Arsitektur BGP/MPLS VPN   Terdiri atas 2 komponen :     Control plane:       Menggunakan VRF didalam router PE untuk memi...
Arsitektur BGP/MPLS VPNForwarding Plane       Trafik diforward dengan menggunakan 2 label :         1. LSP Label         ...
Model Routing MPLS VPN   Routing MPLS VPN-Perspektif CE router,   Routing MPLS VPN-Perspektif overall user,   Routing MPLS...
Routing MPLS VPN - Perspektif CE router      Router CE menjalankan routing standar dan bertukar      routing update dengan...
Routing MPLS VPN - Perspektif overall user    Dari sudut pandang customer, router PE terlihat sebagai core router    yang ...
Routing MPLS VPN - Perspektif P Router      Router P tidak mengambil bagian didalam routing MPLS      VPN dan tidak membaw...
Routing MPLS VPN - Perspektif PE Router  PE Router :    melakukan pertukaran route VPN dengan router CE melalui routing   ...
Routing MPLS VPN - Perspektif PE routerRouting tables on PE-Routers.  PE mempunyai 2 routing table :    Global routing tab...
Control Plane :Mekanisme Pertukaran Informasi Routing
Pertukaran Informasi Routing (1/7)                                                                              VPN A     ...
Pertukaran Informasi Routing (2/7)                                                                                VPN A   ...
Pertukaran Informasi Routing (3/7)                                                                                  VPN A ...
Pertukaran Informasi Routing (4/7)                                                                                     VPN...
Pertukaran Informasi Routing (5/7)                                                                                    VPN ...
Pertukaran Informasi Routing (6/7)                                                                                  VPN A ...
Pertukaran Informasi Routing (7/7)                                                                           VPN A     VPN...
Forwarding Plane :Mekanisme Traffic forwarding
Data Flow (1/7)      VPN A                                                                    VPN A                       ...
Data Flow (2/7)      VPN A                                                      VPN A                                     ...
Data Flow (3/7)      VPN A                                                                VPN A                           ...
Data Flow (4/7)                                                                                     VPN A    VPN A        ...
Data Flow (5/7)                                                                   VPN A    VPN A                          ...
Data Flow (6/7)                                                                 VPN A    VPN A                            ...
Data Flow (7/7)                                                                     VPN A    VPN A                        ...
Terima Kasih
Upcoming SlideShare
Loading in …5
×

Layer-3 VPN

2,662 views

Published on

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,662
On SlideShare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
291
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Layer-3 VPN

  1. 1. VPN - Virtual Private Network Rosmida Syarif Edvian
  2. 2. Topik bahasan - Konsep VPN - Parameter Layer-3 VPN -VRF,RD,RT,MPBGP - Mekanisme Pertukaran Informasi Routing - Mekanisme Traffic Forwarding
  3. 3. Konsep VPN VPN merupakan jaringan komunikasi lokal (privat) yang terhubung melalui media jaringan publik (shared network)
  4. 4. Model VPN MPLS Customer site Customer site Service Provider Network CE CE P PE PE CE P PE Virtual Circuit (VC)
  5. 5. Komponen VPN MPLS VPN Site Provider Router Provider Edge Customer Edge CE CE VPN A VPN A P PE PE CE CE CE P VPN B VPN B PE CE CE CE - Customer Edge, perangkat kastamer yang secara langsung terhubung dengan service provider PE -Provider Edge, merupakan perangkat yang berada di dalam jaringan provider yang terhubung dengan CE dan bertanggung jawab untuk memberikan akses layanan VPN P - Provider, merupakan perangkat yang berada di dalam jaringan provider yang tidak terhubung langsung dengan CE dan bertanggung jawab untuk fungsi routing dan forwarding
  6. 6. Tipe VPN
  7. 7. • Layer 3 VPN MPLS- BGP/MPLS VPN (RFC 2547bis)
  8. 8. Parameter Layer-3 VPN MPLS Beberapa parameter penting pada router PE yang berperan dalam membangun Layer-3 VPN :  VRF,  Route Distinguisher (RD),  Route Target (RT),  Propagasi Route : MP-BGP  Forwarding Paket berdasarkan Label
  9. 9. VPN Routing & Forwarding Instances (VRF) VPN Routing Table VPN-A CE Grogol PE VPN-A CE VRF for VPN-A IGP & non- Cawang VPN BGP VPN-B CE VRF for VPN-B Bekasi Global Routing Table Multiple VRF menyediakan pemisahan antar kastamer yang berbeda
  10. 10. VRF - Virtual Routing Forwarding Setiap VPN membutuhkan VRF yang terpisah pada setiap router PE  Menyediakan isolasi VPN  Mengijinkan overlap private IP Address VRF merupakan suatu virtual router VRF diasosiasikan dengan Interface/sub-interface yang terhubung dengan CE, PE mengelola forwarding table untuk setiap site VPN Route dalam VRF akan didistribusikan ke site yang lain (biasanya terhubung dengan PE lain) dari VPN yang sama.
  11. 11. MP-BGP : MultiProtocol BGP
  12. 12. MP-BGP - (MultiProtocol BGP) BGP V4 hanya mendukung ipv4 MP-BGP dapat mendukung pengirimana informasi route multi protokol (IPv6, IPX,dll.). MP-BGP menambahkan 2(dua) atribut pada NLRI (Network Layer Reachability Information):  MP_REACH_NLRI dan MP_UNREACH_NLRI
  13. 13. MP_REACH_NLRI AFI=1, SAFI (Subsequent Address Family Identifier)=128 menunjukkan bahwa, NLRI membawa informasi alamat VPN. (RD ditambah IP v4 prefix , disebut dengan alamat VPN V4.)
  14. 14. MP_REACH_NLRIDetail tambahan informasi pada NLRI( (Network Layer ReachabilityInformation)) MP_REACH_NLRI: address-family : VPN-IPV4 address-family : next-hop: Loopback address of PE router NLRI: label: 24 bit,the same as MPLS label, but without TTL. prefix: RD:64bit+ip prefix Daftar Route Target (RT) Extended_Communities(RT1) Extended_Communities(RT2) Extended_Communities(RT3)
  15. 15. MP-BGP update VPNv4 Address Route Target Label yang digunakan untuk forwarding paket VPN Atribut BGP yang lain (AS-Path, Local Preference, MED, standard community …) Multiprotocol BGP (MP-BGP) digunakan pada MPLS VPN untuk melakukan pertukaran VPNv4 prefix.
  16. 16. Route Distinguisher (RD) Digunakan untuk merubah bentuk non-unique 32-bit adress IPv4 user kedalam 96-bit unik VPNv4 address. RD digunakan untuk identifikasi VRF instances.  membedakan IPV4 yang sama dari VPN yang berbeda VRF instances yang berbeda, HARUS mempunyai RD yang berbeda RD dikonfigurasi pada router PE untuk setiap VRF
  17. 17. Format Route Distinguisher 0 AS Number Assigned Number 1 IP Address Assigned Number 2 AS Number Assigned Number
  18. 18. Format Route Distinguisher 8 byte = 64 bit Administrator field berisi Autonomous System Number (ASN) dari IANA Assigned Number field ditetapkan oleh provider Format : AS:number atau IPaddress:number Contoh RD :  100:1  172.1.1.1:1
  19. 19. Overlapping IPv4 VPN A dan B menggunakan alamat yang sama
  20. 20. VPNv4 Route VPNv4  Ingress PE menambahkan RD pada IPv4 prefix yang diterima dari setiap CE  Address VPNv4 hanya dipertukarkan antar PE menggunakan MP-BGP  Egress PE melakukan konversi VPNv4 menjadi IPv4 sebelum memasuki routing table VPNv4 hanya digunakan pada control plane  Data plane menggunakan MPLS
  21. 21. Format VPNv4 VPN-IP address = Route Distinguisher (RD) + IP address 12 byte = 8 byte + 4 byte  96 bit Contoh : 10458:22:10.1.0.0/16 atau 1.1.1.1:33:10.1.0.0/16
  22. 22. VPNv4
  23. 23. Route Target untuk mengidentifikasi VRF pada saat router PE mendistribusikan route  import/export route dari/ke VRF Mempunyai format yang sama dengan RD Type(0x0002) AS#(16bit) Value(32bit) Type(0x0102) IP address(32bit) Value(32bit)
  24. 24. Route Target Setiap VRF Instances diknfigurasi 2 Route Target :  Export RT  Atribut export RT ditambahkan pada paket, ketika PE mengirimkan MP-iBGP updates  Import RT  Ketika MP-BGP update diterima suatu PE, hanya lokal VRF yang mempunyai daftar import RT yang sama yang dapat mengambil data tersebut.
  25. 25. Distribusi Route VRF P Router CE Router PE PE CE Router Site MP-iBGP Site Router PE mendistribusikan informasi route VRF lokal melalui jaringan backbone MPLS/VPN PE pengirim, melakukan export route VRF lokal melalui MP-iBGP (dengan atribut export-route target) PE penerima, melakukan import route ke VRF yang sesuai (dengan atribut import-route target).
  26. 26. RT pada Intranet VPN A MPLS/VPN Backbone VPN A Site-1 & Site -2 routes Site- Site-3 & Site -4 routes Site- SITE -1 RT=VPN -A RT=VPN -A SITE -3 MP-iBGP P Router SITE -2 Site-1 routes Site- Site-1 routes Site- SITE -4 Site-2 routes Site- Site-2 routes Site- VPN A Site-3 routes Site- Site-3 routes Site- VPN A Site-4 routes Site-4 routes
  27. 27. RT pada Extranet
  28. 28. Komponen VRF pada MP-BGP MP-iBGP BGP, OSPF, RIPv2 update PE PE for 149.27.2.0/24,NH=CE-1 VPN-v4 update: RD:1:27:149.27.2.0/24, Next-hop=PE-1 CE-1 RT=VPN-A, CE-2 Label=(28)
  29. 29. Arsitektur BGP/MPLS VPN Terdiri atas 2 komponen : Control plane:  Menggunakan VRF didalam router PE untuk memisahkan VPN yang berbeda.  Menggunakan LDP/RSVP untuk mendistribusikan LSP label dalam mencapai remote PE  Menggunakan MP-BGP untuk mendistribusikan VPN route dan VPN label antar PE Forwarding plane : dual stack
  30. 30. Arsitektur BGP/MPLS VPNForwarding Plane Trafik diforward dengan menggunakan 2 label :  1. LSP Label  untuk menjangkau remote PE (BGP next-hop) .  2. VPN label  untuk identifikasi interface VPN pada remote PE : Layer 2 Label Label IP Datagram Header 1 2 LSP Label didistribusikan oleh LDP atau RSVP VPN Label didistribusikan oleh BGP, along with the VPN-IP address. Remote PE membuat keputusan forwarding berdasarkan VPN Label
  31. 31. Model Routing MPLS VPN Routing MPLS VPN-Perspektif CE router, Routing MPLS VPN-Perspektif overall user, Routing MPLS VPN-Perspektif P router, Routing MPLS VPN- Perspektif PE router.
  32. 32. Routing MPLS VPN - Perspektif CE router Router CE menjalankan routing standar dan bertukar routing update dengan router PE  EBGP, OSPF, RIPv2, EIGRP, and static route
  33. 33. Routing MPLS VPN - Perspektif overall user Dari sudut pandang customer, router PE terlihat sebagai core router yang menggunakan backbone BGP, Router P tidak terlihat dari customer
  34. 34. Routing MPLS VPN - Perspektif P Router Router P tidak mengambil bagian didalam routing MPLS VPN dan tidak membawa route VPN. Router P berkomunikasi dengan PE router pada backbone Internet Gateway Protocol (IGP) dan saling bertukar informasi tentang global subnetwork (core link dan loopback).
  35. 35. Routing MPLS VPN - Perspektif PE Router PE Router : melakukan pertukaran route VPN dengan router CE melalui routing protokol yang berjalan didalam virtual routing table Melakukan pertukaran route pada sisi core dengan router P melalui core IGP melakukan route VPNv4 dengan router PE yang lain melalui sesi MP-BGP
  36. 36. Routing MPLS VPN - Perspektif PE routerRouting tables on PE-Routers. PE mempunyai 2 routing table : Global routing table , berisi informasi route untuk semua router PE dan P (core route) VRF (VPN routing & forwarding) table, berisi informasi tabel routing dan forwarding untuk CE yang terhubung langsung
  37. 37. Control Plane :Mekanisme Pertukaran Informasi Routing
  38. 38. Pertukaran Informasi Routing (1/7) VPN A VPN A Site-2 Site-1 MP-BGP session CE-2 CE-1 PE-2 VRF PE-1 VRF VRF CE-4 CE-3 VRF VPN B OSPF Site-1 Site-2 10.1/16 1 Router CE meng-advertise route ke router PE  menggunakan teknik routing tradisional (OSPF, IS-IS, RIP, BGP, and static routes)
  39. 39. Pertukaran Informasi Routing (2/7) VPN A VPN A Site-2 Site-1 MP-BGP session CE-2 CE-1 PE-2 VRF PE-1 VRF VRF CE-4 CE-3 VRF VPN B OSPF Site-1 Site-2 2 10458:23:10.1/16 10.1/16 Pada VRF, IPv4 dikonversi menjadi VPNv4
  40. 40. Pertukaran Informasi Routing (3/7) VPN A VPN A Site-2 Site-1 MP-BGP session CE-2 CE-1 PE-2 VRF PE-1 VRF VRF CE-4 CE-3 VRF VPN B OSPF Site-1 Site-2 10458:23:10.1/16 10.1/16 3 “VPN RED” Export VRF diasosiasikan dengan export - Route Target  VRF meng-export Route Target “VPN RED”
  41. 41. Pertukaran Informasi Routing (4/7) VPN A VPN A Site-2 Site-1 MP-BGP session CE-1 PE-2 CE-2 VRF PE-1 VRF VRF CE-4 CE-3 VRF VPN B OSPF Site-1 Site-2 10458:23:10.1/16 10.1/16 4 “VPN RED” Export BGP Label Next Hop PE-2 VPNv4 di-advertise ke PE yang lain  Inner label (“BGP/VPN Label”)  Extended communities  • Route Target  BGP next hop
  42. 42. Pertukaran Informasi Routing (5/7) VPN A VPN A Site-2 Site-1 MP-BGP session CE-1 PE-2 CE-2 VRF PE-1 VRF VRF CE-4 CE-3 VRF VPN B OSPF Site-1 Site-2 10458:23:10.1/16 10.1/16 MP-BGP “VPN RED” Import “VPN RED” Export BGP Label 5 Next Hop PE-2 Setiap router PE dikonfigur dengan import Route Target  Jika import Route Target sesuai dengan atribut Route Target yang terdapata pada route BGP, route di-copy pada VRF yang sesuai  10458:23:10.1/16 di-copy pada red VRF, bukan pada blue VRF
  43. 43. Pertukaran Informasi Routing (6/7) VPN A VPN A Site-2 Site-1 MP-BGP session CE-1 PE-2 CE-2 VRF PE-1 VRF VRF CE-4 CE-3 VRF VPN B OSPF Site-1 Site-2 10458:23:10.1/16 10.1/16 MP-BGP “VPN RED” Import “VPN RED” Export 10458:23:10.1/16 BGP Label 6 BGP Label (inner) Next Hop PE-2 MPLS Label (outer) Setiap route VPNv4 dalam VRF diasosiasikan dengan :  Inner (VRF) label, dibawa dalam BGP update  Outer Label untuk menjangkau router PE
  44. 44. Pertukaran Informasi Routing (7/7) VPN A VPN A Site-2 Site-1 MP-BGP session CE-2 CE-1 PE-2 VRF PE-1 VRF VRF CE-4 CE-3 VRF VPN B Site-1 Site-2 7 10.1/16 Next Hop PE-1 Route IPv4 yang diasosiasikan dengan VRF tertentu, di- advertise ke CE,  Menggunakan routing standar
  45. 45. Forwarding Plane :Mekanisme Traffic forwarding
  46. 46. Data Flow (1/7) VPN A VPN A Site-2 Site-1 CE-2 CE-1 VRF PE-1 LSP 1 PE-2 VRF VRF CE-4 CE-3 VRF VPN B VPN B Site-1 Site-2 10/8 Sebelum Forwarding data, LSP harus disetup pada backbone MPLS dari PE-to-PE  Setup LSP menggunakan signaling LDP atau RSVP
  47. 47. Data Flow (2/7) VPN A VPN A Site-2 Site-1 CE-2 CE-1 VRF PE-1 LSP PE-2 VRF VRF CE-4 CE-3 VRF VPN B VPN B Site-1 Site-2 IP 10/8 2 10.1.2.3 Router CE melakukan lookup IPv4 tradisional dan mengirimkan paket ke router PE
  48. 48. Data Flow (3/7) VPN A VPN A Site-2 Site-1 3 CE-2 CE-1 VRF PE-1 LSP PE-2 VRF VRF CE-4 CE-3 VRF VPN B VPN B Site-1 Site-2 IP 10/8 10.1.2.3 Router PE mengasosiasikan VRF yang sesuai untuk inbound interface Paket dienkapsulasi dengan 2 label :  Bgp/VPN Label  MPLS Label
  49. 49. Data Flow (4/7) VPN A VPN A Site-2 Site-1 CE-2 CE-1 VRF PE-1 LSP PE-2 VRF 4 CE-4 CE-3 VRF VRF MPLS Label VPN B VPN B Site-1 BGP Label Site-2 IP 10.1.2.3 IP 10.1.2.3 10/8 Paket diteruskan dengan dua-level label stack  Outer - MPLS label  Identifikasi LSP yang menuju egress PE  • Inner - BGP/VPN label  Identifikasi outgoing interface dari egress PE ke CE
  50. 50. Data Flow (5/7) VPN A VPN A Site-2 Site-1 CE-2 CE-1 PE-2 VRF PE-1 VRF VRF CE-4 CE-3 VRF VPN B VPN B MPLS Label Site-1 Site-2 BGP Label IP 10.1.2.3 10/8 5 Setelah paket keluar dari ingress PE, outer MPLS label digunakan untuk forwarding data pada jaringan backbone  Router P tidak mengetahui informasi VPN
  51. 51. Data Flow (6/7) VPN A VPN A Site-2 Site-1 CE-2 CE-1 PE-2 VRF PE-1 VRF 6 VRF CE-4 CE-3 VRF VPN B VPN B BGP Label Site-1 Site-2 IP 10.1.2.3 10/8 Penultimate hop popping (router sebelum egress PE) menghapus outer label
  52. 52. Data Flow (7/7) VPN A VPN A Site-2 Site-1 CE-2 CE-1 PE-2 VRF PE-1 VRF VRF CE-4 CE-3 VRF VPN B VPN B Site-1 Site-2 7 IP 10.1.2.3 10/8 Inner label dihapus pada egress PE router Paket IPv4 dikirim ke outbound interface yang diasosiasikan dengan label.
  53. 53. Terima Kasih

×