Tutorialmplscam2 PDF

Redes MPLS II: Introduo
Nos ltimos anos, as redes de computadores e telecomunicao sofreram inmeras transformaes. Com
os crescentes avanos nas reas tecnolgicas, contriburam para o desenvolvimento de sistemas de
transmisso de dados com alto desempenho. No final dos anos 90, foi introduzida no mercado mundial a
tecnologia MPLS (Multi Protocol Label Switching), onde se permitiu controlar a forma com que o trfego
flui atravs das redes IPs, otimizando o desempenho da rede e tambm melhorando o uso dos seus
recursos.
Em redes IPs tradicionais, o encaminhamento dos pacotes, requer uma pesquisa que compara o endereo
de destino do pacote com cada uma das entradas na tabela de roteamento, encaminhando cada um para a
sada correspondente. Esse procedimento repetido a cada n percorrido ao longo do caminho, da origem
ao destino. Isso de fato parece relativamente simples, porm, considerando que cada equipamento
processa milhares e as vezes milhes de pacotes por segundo, essa tarefa pode sobrecarregar a rede.
O MPLS uma tecnologia de encaminhamento de pacotes baseada em rtulos que vem sendo adotado
por operadoras para oferecer servios diferenciados com eficincia nos transportes de dados. Os produtos
oferecidos por operadoras baseados em MPLS, permitem disponibilizar no apenas velocidade de
conexo, mas tambm a diferenciao de trfego como Multimdia (Voz, Vdeo) e aplicaes crticas,
com garantias aplicveis de QoS (Quality of Service), atravs das classes de servio.
Atualmente o MPLS um passo fundamental para a escalabilidade da rede, considerado essencial para
um novo modelo de Internet no sculo XXI. MPLS relativamente jovem, porm vem sendo implantada
com xito em redes de grandes operadoras de servios em todo mundo.
Nesse trabalho ser abordada a utilizao de VPN camada 3 em redes MPLS como soluo na
segmentao de redes e segregao de trfego, provendo aos assinantes/clientes das operadoras de servio
a interligao de estaes distribudas em uma ampla rea geogrfica de maneira rpida e seguras.
Objetivos
Os objetivos deste trabalho foram divididos em objetivo geral e objetivos especficos.
O objetivo geral implementar uma soluo de VPN de camada 3 em redes MPLS, utilizando emuladores
como ferramenta de teste para demonstrar o desempenho e analise comparativa com outros tipos de redes.
Entre os objetivos especficos, destacam-se:
Estudar a tecnologia MPLS;
Estudar os tipos de roteamento;
Estudar as VRFs (VPN Routing and Forwarding Table) em uma estrutura MPLS;
Estudar os softwares utilizados na proposta;
Configurar as tecnologias de redes estudadas nos softwares utilizados;
Analisar o desempenho do funcionamento da implementao;
Comparar com outras estruturas de redes convencionais.
Abrangncia
Prope-se realizar um projeto de rede onde uma estrutura MPLS ser montada, configurada e analisada
atravs do uso de softwares, bem como emuladores de rede, emuladores de Sistemas Operacionais
esniffers.
O simulador de rede usado emula os IOS (Internetwork Operating System) que so os softwares que
rodam em roteadores da linha Cisco Systems, sendo que cada equipamento opera como uma mquina real,
com acesso a todas as funcionalidades e protocolos, podendo comportar uma topologia de rede ampla em
um nico computador. Nessa estrutura sero estudadas as formas de roteamento que
osbackbones (operadoras) usam para comunicar-se com outros backbones e roteadores de assinantes
(clientes) CPE (customer premises equipment), tendo como foco principal do trabalho, mostrar e
analisar o desempenho e vantagem da utilizao de VPNs de camada 3 em redes MPLS atravs de nuvem
privada.
A nuvem privada a forma utilizada por operadoras de servio para interligar vrios pontos de uma
mesma organizao isolando o trfego da nuvem pblica a qual todos tm acesso. As anlises sero
executadas atravs da utilizao de softwares especficos para o monitoramento de rede, capturando
dados e posteriormente a gerando grficos e relatrios. Assuntos como QoS, Engenharia de Trfego, VPN
de camada 2 e segurana no sero aprofundados, como tambm no sero implementadas solues
MPLS para a internet pblica.
Para esse estudo ser utilizado o programa GNS3 verso 0.7.2, um programa gratuito resultado de um
projeto open source que pode ser utilizado em diversos sistemas operacionais como Windows, Linux e
MacOS X. Com o GNS3 pode-se fazer praticamente tudo o que possvel fazer com roteadores e pix da
linha Cisco. O GN3 um gerenciador grfico que est ligado diretamente a outros 3 softwares:
Dynamips: o ncleo do programa que permite a emulao Cisco IOS.
Dynagen: um texto baseado em front-end para o Dynamips.
Qemu: uma mquina de fonte genrica e aberta emulador e virtualizador.
Este programa um emulador e no um simulador, pois utiliza as mesmas imagens binrias dos
equipamentos reais, proporcionando assim, num local que j possua estes equipamentos, a possibilidade
de testar uma nova verso do IOS antes mesmo de coloc-lo nos equipamentos reais.
A motivao do uso desse software nesse TCC, se deu principalmente por ser gratuito e permitir utilizar
os mesmos IOS dos roteadores, criando um ambiente de simulao que se aproxima bastante do ambiente
real.
Para virtualizao dos sistemas operacionais ser utilizado o Virtual Box na verso 3.2.8. Virtual Box
um software de virtualizao desenvolvido pela Oracle para arquiteturas de hardware x86 tambm
gratuito, que visa criar ambientes para instalao de sistemas distintos. Ele permite a instalao e
utilizao de um sistema operacional dentro de outro em pleno funcionamento, assim como seus
respectivos softwares, com dois ou mais computadores independentes simultaneamente, compartilhando
fisicamente o mesmo hardware.
O sistema operacional que ser virtualizado no Virtual Box para gerar o trfego nos ambientes do GNS3
ser o Ubunto na verso 10.4. Ubuntu um sistema operacional de cdigo aberto mais popular do mundo
2
na atualidade. Desenvolvido para notebooks, desktops e servidores, ele contm todos os aplicativos que
qualquer outro sistema operacional tem, em verses similares e livre de licenas.
Para anlise do trfego de rede ser utilizado o Wireshark. O um programa que verifica os pacotes
transmitidos pelo dispositivo de comunicao (placa de rede, placa de fax modem, etc.) do computador. O
propsito deste tipo de software, tambm conhecido como sniffer, detectar problemas de rede, conexes
suspeitas, auxiliar no desenvolvimento e resoluo de problemas. O programa analisa o trfego de pacotes
recebidos e organiza-os por protocolo. Todo o trfego de entrada e sada analisado e exibido em um
ambiente grfico de fcil visualizao contribuindo para a explicao dos casos.
Metodologia
Para a realizao deste trabalho sero adotados os seguintes procedimentos:
Reviso Bibliogrfica de todo assunto abordados no projeto.
Estudo das tecnologias de redes.
Estudo das tcnicas de roteamento.
Estudo da topologia a ser implementada.
Estudo dos softwares a serem utilizados na implementao.
Pesquisa dos equipamentos suportados pela topologia.
Levantamento das IOS (Internetwork Operating System) dos equipamentos.
Implementao da topologia nos simuladores.
Configurao dos equipamentos nos simuladores.
Descrever detalhes de analise e desempenho.
Tutoriais
O tutorial parte I apresentou inicialmente os conceitos sobre Redes de Computadores, e a seguir os
conceitos das Redes IP MPLS, e finalizou apresentando a parte I do modelo conceitual utilizado neste
trabalho, relativa configurao bsica do MPLS com o protocolo OSPF.
Este tutorial parte II apresenta as parte II (configurao do BGP/MPLS VPN) e III (configurao do IPsec
em Redes IP) do modelo conceitual, a seguir apresenta a anlise comparativa desses modelos, e finalizar
com os resultados alcanados.
Redes MPLS II: Modelo Conceitual 2 BGP/MPLS VPN

Esta seo continua a apresentao iniciada no tutorial parte I das experincias e implementaes que
foram realizadas, recorrendo o emulador GNS3, com o objetivo de estudar algumas caractersticas
fundamentais do MPLS e VPN camada 3 em MPLS.
A fim de facilitar o entendimento, a topologia proposta para anlise do trabalho ser novamente
apresentada conforme foi montada, atravs da ilustrao da figura 1:
Figura 1: Captura da topologia MPLS no GNS3

Fonte: Elaborao do autor, 2010
No cenrio acima, os roteadores usados para simular os equipamentos de ncleo Ps foram o Cisco 7200
com a verso de IOS c7200-jk9s-mz.124-13b.bin. Para os equipamentos PEs foram usados o modelo
Cisco 3725 com a verso de IOS c3725-adventerprisek9-mz.124-15.T5.bin. E para os equipamentos de
acesso ao cliente CEs o modelo Cisco 2691 com a verso de IOS c2691-adventerprisek9_ivs-mz.1249.T7.bin. A escolha das verses IOS usadas para formar a topologia foi outro fator importante. Cada
verso possui caractersticas e funcionalidades diferentes, com suporte a um conjunto especfico de
protocolos.
A escolha dos protocolos envolvidos na topologia, como protocolo de encapsulamento, de roteamento,
tneis tambm foi outro fator determinante. O objetivo foi montar toda a rede usando apenas protocolos
no proprietrios, ou seja, a mesma topologia poder ser implementada com roteadores de outros
fabricantes.
J os computadores emulados com o programa Virtual Box, foram usados uma imagem do sistema
operacional Ubuntu verso 10.4 para simular uma operao, gerando trfego pela rede MPLS de um
ponto a outro da rede. E a captura das informaes foi recorrida ao Wireshark em cada ponto ligado a um
par de roteadores.
Em todas as experincias descritas em cada tpico, foram usados os mesmo endereos de IP das
interfaces. Os testes e anlises sero de maneira separada e sequenciada.
Configurao do BGP/MPLS VPN

Nesse tpico ser abordada a constituio de VPNs camada 3 com suporte no MPLS. As configuraes a
seguir so referentes aos roteadores PEs e CEs conforme visto na Figura 20: Captura da topologia
MPLS no GNS3 da seo Modelo Conceitual 1 MPLS com OSPF do tutorial parte I. Da mesma
forma que no caso anterior relatado no tutorial parte I, as configuraes foram realizadas com a ajuda do
emulador GNS3, dando continuidade ao que j foi implementado.
Figura 2: Captura da topologia BGP/MPLS VPN em anlise do GNS3

As configuraes nessa seo restringem-se somente aos roteadores PEs e CEs, os roteadores de ncleo
Ps no precisaro sofrer qualquer alterao no que j foi implementado, j que sua participao nesse caso
prover o transporte dos pacotes rotulados no MPLS. O procedimento de configurao ser mostrado
somente nos roteadores CE1 e PE1, tendo em vista que as configuraes nos roteadores PE2, CE2, CE3 e
CE4, mudaram somente parmetros de endereamento IP conforme as tabelas 4 e 5, como
tambm hostname, senhas, e descriptions.
ROTEADORES
PE1
PE2
SERIAL 0/0
172.16.1.1/30
172.16.2.1/30
SERIAL 0/1
172.16.1.1/30
172.16.2.1/30
Tabela 1: Relao de endereo IP/interface dos roteadores PEs

ROTEADORES
CE1
CE2
CE3
CE4
SERIAL0/0
172.16.1.2/30
172.16.2.2/30
172.16.1.2/30
172.16.2.2/30
FASTEHERNET0/0
192.168.1.1/24
192.168.2.1/24
192.168.1.1/24
192.168.2.1/24
Tabela 2: Relao de endereo IP/interface dos roteadores CEs

As configuraes realizadas no PE1 seguem a seguinte sequncia:

Configurao da VRF VPN_A;
Configurao da VRF VPN_B;
Configurao de IP e protocolo para ativao de VPN_A na serial0/0;
Configurao de IP e protocolo para ativao de VPN_B na serial0/1;
Configurao do roteamento BGP;
Configurao do vizinho (loopback do roteador PE2) no BGP;
Configurao do BGP/MPLS VPN IPv4;
Configurao da VRF VPN_A no BGP/VPN;
Configurao da VRF VPN_B no BGP/VPN;
Configurao do roteamento esttico para cada VRF.
Na sequncia dos quadros 1, 2 e 3, pode-se observar que o endereamento IP das VPNs so iguais, e um
no interferir no outro, devido ao comando ip vrf forward vinculado a cada interface de sada para os
roteadores CEs. Em condies normais, sem o uso desse comando, o equipamento acusaria que um
mesmo endereo IP j esta em uso em outra interface no equipamento, recusando o comando ip
address com endereo IP na mesma faixa. Com o uso das VRFs, uma tabela de roteamento virtual
montada para cada uma das VRFs, dando total independncia da tabela de roteamento global do roteador.
No quadro 1 mostra a sequncia de comandos necessria para disponibilizar o recurso de VPN em MPLS
para os roteadores CEs. Em seguida nos quadros 2 e 3, exibido como ficou as configuraes no PE1 e
PE, omitindo alguns comandos que por padro j vem configurado.
ROUTER_PE_1> enable
ROUTER_PE_1# configure terminal
ROUTER_PE_1(config)# ip vrf VPN_A
ROUTER_PE_1(config-vrf)# rd 100:110
ROUTER_PE_1(config-vrf)# route-target export 100:110
ROUTER_PE_1(config-vrf)# route-target import 100:110
ROUTER_PE_1(config-vrf)# ip vrf VPN_B
ROUTER_PE_1(config-vrf)# rd 100:120
ROUTER_PE_1(config-vrf)# route-target export 100:120
ROUTER_PE_1(config-vrf)# route-target import 100:120
ROUTER_PE_1(config-vrf)# interface serial0/0
ROUTER_PE_1(config-if)# description ## ACESSO CE1 ##
ROUTER_PE_1(config-if)# ip vrf forwarding VPN_A
ROUTER_PE_1(config-if)# ip address 172.16.1.1 255.255.255.252
ROUTER_PE_1(config-if)# encapsulation PPP
ROUTER_PE_1(config-if)# no shutdown
ROUTER_PE_1(config-if)# interface serial0/1
ROUTER_PE_1(config-if)# description ## ACESSO CE2 ##
ROUTER_PE_1(config-if)# ip vrf forwarding VPN_B
ROUTER_PE_1(config-if)# ip address 172.16.1.1 255.255.255.252
ROUTER_PE_1(config-if)# encapsulation PPP
ROUTER_PE_1(config-if)# no shutdown
ROUTER_PE_1(config-if)# router bgp 100
ROUTER_PE_1(config-router)# neighbor 220.110.90.2 remote-as 100
ROUTER_PE_1(config-router)# neighbor 220.110.90.2 update-source Loopback0
ROUTER_PE_1(config-router)# neighbor 220.110.90.2 next-hop-self
ROUTER_PE_1(config-router)# no auto-summary
ROUTER_PE_1(config-router)# no synchronization
ROUTER_PE_1(config-router)# address-family ipv4
ROUTER_PE_1(config-router-af)# neighbor 220.110.90.2 activate
ROUTER_PE_1(config-router-af)# neighbor 220.110.90.2 send-community both
ROUTER_PE_1(config-router-af)# exit-address-family
ROUTER_PE_1(config-router)# address-family ipv4 vrf VPN_A
ROUTER_PE_1(config-router-af)# redistribute connected
ROUTER_PE_1(config-router-af)# redistribute static
ROUTER_PE_1(config-router-af)# no synchronization
ROUTER_PE_1(config-router)# address-family ipv4 vrf VPN_B
ROUTER_PE_1(config-router-af)# redistribute connected
ROUTER_PE_1(config-router-af)# redistribute static
ROUTER_PE_1(config-router-af)# no synchronization
ROUTER_PE_1(config-router)# exit
ROUTER_PE_1(config)# ip route vrf VPN_A 192.168.1.0 255.255.255.0 172.16.1.2
ROUTER_PE_1(config)# ip route vrf VPN_B 192.168.1.0 255.255.255.0 172.16.1.2
Quadro 1: Configurao de VPN MPLS no PE1

ROUTER_PE_1#show running-config
!
ip vrf VPN_A
rd 100:110
route-target export 100:110
route-target import 100:110
!
ip vrf VPN_B
rd 100:120
!
interface Loopback0
ip address 220.110.90.1 255.255.255.255
!
interface FastEthernet0/0
description ## ACESSO P2 ##
ip address 220.110.90.10 255.255.255.252
speed 100
full-duplex
mpls label protocol ldp
mpls ip
!
interface Serial0/0
description ## ACESSO CE1 ##
ip vrf forwarding VPN_A
ip address 172.16.1.1 255.255.255.252
encapsulation ppp
clock rate 128000
!
ip address 220.110.90.14 255.255.255.252
speed 100
full-duplex
mpls ip
!
interface Serial0/1
ip vrf forwarding VPN_B
ip address 172.16.1.1 255.255.255.252
encapsulation ppp
clock rate 128000
!
Quadro 2.a: Verificao das configuraes do roteador PE1 (parte inicial)

!
router ospf 1
log-adjacency-changes
network 220.110.90.1 0.0.0.0 area 0
network 220.110.90.10 0.0.0.0 area 0
network 220.110.90.14 0.0.0.0 area 0
!
router bgp 100
no synchronization
bgp log-neighbor-changes
neighbor 220.110.90.2 remote-as 100
neighbor 220.110.90.2 update-source Loopback0
neighbor 220.110.90.2 next-hop-self
no auto-summary
!
address-family vpnv4
neighbor 220.110.90.2 activate
neighbor 220.110.90.2 send-community both
exit-address-family
!
address-family ipv4 vrf VPN_B
redistribute connected
redistribute static
no synchronization
exit-address-family
!
address-family ipv4 vrf VPN_A
redistribute static
no synchronization
exit-address-family
!
ip forward-protocol nd
ip route vrf VPN_A 192.168.1.0 255.255.255.0 172.16.1.2
ip route vrf VPN_B 192.168.1.0 255.255.255.0 172.16.1.2
!
Quadro 2.b: Verificao das configuraes do roteador PE1 (parte final)

!
ip vrf VPN_A
rd 100:110
!
ip vrf VPN_B
rd 100:120
!
interface Loopback0
ip address 220.110.90.2 255.255.255.255
!
ip address 220.110.90.18 255.255.255.252
speed 100
full-duplex
mpls ip
!
interface Serial0/0
ip vrf forwarding VPN_A
ip address 172.16.2.1 255.255.255.252
encapsulation ppp
clock rate 128000
!
ip address 220.110.90.22 255.255.255.252
speed 100
full-duplex
mpls ip
!
interface Serial0/1
ip vrf forwarding VPN_B
ip address 172.16.2.1 255.255.255.252
encapsulation ppp
clock rate 128000
!
Quadro 3.a: Verificao das configuraes do roteador PE2 (parte inicial)
10
!
router ospf 1
network 220.110.90.2 0.0.0.0 area 0
network 220.110.90.18 0.0.0.0 area 0
network 220.110.90.22 0.0.0.0 area 0
!
router bgp 100
no synchronization
bgp log-neighbor-changes
neighbor 220.110.90.1 remote-as 100
neighbor 220.110.90.1 update-source Loopback0
neighbor 220.110.90.1 next-hop-self
no auto-summary
!
address-family vpnv4
neighbor 220.110.90.1 activate
neighbor 220.110.90.1 send-community both
exit-address-family
!
address-family ipv4 vrf VPN_B
redistribute static
no synchronization
exit-address-family
!
address-family ipv4 vrf VPN_A
redistribute static
no synchronization
exit-address-family
!
ip forward-protocol nd
ip route vrf VPN_A 192.168.2.0 255.255.255.0 172.16.2.2
ip route vrf VPN_B 192.168.2.0 255.255.255.0 172.16.2.2
!
Quadro 3.b: Verificao das configuraes do roteador PE2 (parte final)

Nos quadros 2 e 3, verificou-se como ficou as configuraes dos roteadores PE1 e PE2. Essas
configuraes garantem o acesso isolado dos roteadores CEs, onde o CE1 e CE2 fazem parte da VPN_A
e o CE3 e CE4 da VPN_B. Foi observado tambm que tanto a VPN_A quanto a VPN_B possuem as
mesmas caractersticas. Elas no precisariam necessariamente ser configuradas com as faixas IPs iguais,
mas foram configurados dessa maneira com a inteno de mostrar como uma rede no sobrepe outra. No
quadro 4 o mesmo procedimento foi realizado com os roteadores CEs.
11
Router>enable
Router# configure terminal
Router(config)#enable secret Ce1!+mp*
Router(config)#hostname ROUTER_CE_1
ROUTER_CE_1(config)# interface serial0/0
ROUTER_CE_1(config-if)# description ## ACESSO PE1 ##
ROUTER_CE_1(config-if)# ip address 172.16.1.2 255.255.255.252
ROUTER_CE_1(config-if)# encapsulation ppp
ROUTER_CE_1(config-if)# bandwidth 128
ROUTER_CE_1(config-if)# no shutdown
ROUTER_CE_1(config-if)# interface fastethernet0/0
ROUTER_CE_1(config-if)# description ## REDE LOCAL ##
ROUTER_CE_1(config-if)# ip address 192.168.1.1 255.255.255.0
ROUTER_CE_1(config-if)# no shutdown
ROUTER_CE_1(config-if)# ip dhcp pool host1
ROUTER_CE_1(dhcp-config)# network 192.168.1.0 255.255.255.0
ROUTER_CE_1(dhcp-config)# default-router 192.168.1.1 255.255.255.0
ROUTER_CE_1(dhcp-config)# exit
ROUTER_CE_1(config)# ip route 0.0.0.0 0.0.0.0 172.16.1.1
Quadro 4: Configuraes do CE1

Na configurao do roteador CE1 seguiu a seguinte sequncia:

Configurao de IP e protocolo para ativao da interface serial0/0;
Configurao de IP para ativao da interface fastehernet0/0;
Configurao do protocolo DHCP;
12
Configurao da rota esttica.

Foi adotado o DHCP (Dynamic Host Configuration Protocol), para dar mais comodidade ao usurio final,
j que esse protocolo proporciona a distribuio dinmica de IPs para a rede, nesse. A mesma
configurao foi inserida nos demais roteadores CEs, mudando apenas os parmetros de endereamento
IP nas interfaces, rotas e no DHCP, conforme a tabela 5. Nos quadros 5, 6, 7 e 8 verificou-se como
ficaram as configuraes nos CEs.
ROUTER_CE_1#show running-config
!
hostname ROUTER_CE_1
!
ip dhcp pool rede_local
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1 255.255.255.0
!
description ## REDE LOCAL ##
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
description ## ACESSO PE1 ##
bandwidth 128
ip address 172.16.1.2 255.255.255.252
encapsulation ppp
!
ip route 0.0.0.0 0.0.0.0 172.16.1.1
!
d
Quadro 5: Verificao das configuraes do CE1

13
!
network 192.168.2.0 255.255.255.0
default-router 192.268.2.1 255.255.255.0
!
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
bandwidth 128
ip address 172.16.2.2 255.255.255.252
encapsulation ppp
!
ip route 0.0.0.0 0.0.0.0 172.16.2.1
!

14
!
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1 255.255.255.0
!
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
bandwidth 128
ip address 172.16.1.2 255.255.255.252
encapsulation ppp
!
ip route 0.0.0.0 0.0.0.0 172.16.1.1
!

!
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1 255.255.255.0
!
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
bandwidth 128
ip address 172.16.2.2 255.255.255.252
encapsulation ppp
!
ip route 0.0.0.0 0.0.0.0 172.16.2.1
!

15
Como na seo anterior, algumas configuraes foram omitidas pelo fato de j virem configuradas por
padro nos equipamentos. Foi exibido o que de fato necessrio para o funcionamento.
Testes e Anlise do BGP/MPLS VPNs
Com os roteadores PEs e CEs devidamente configurados, o prximo passo foi verificar o funcionamento
e parmetros relevantes quanto ao funcionamento das VPNs em redes MPLS. Primeiro foi verificado as
informaes sobre o roteamento nos roteadores PE1 e PE2. No quadro 9 segue as informaes obtidas
com a sada do comando show ip router no roteador PE1.
ROUTER_PE_1#show ip route
-- Omitido -Gateway of last resort is not set
C
C
C
O
O
O
O
O
220.110.90.0/24 is variably subnetted, 8 subnets, 2 masks

220.110.90.8/30 is directly connected, FastEthernet0/0
220.110.90.12/30 is directly connected, FastEthernet0/1
220.110.90.1/32 is directly connected, Loopback0
220.110.90.2/32 [110/3] via 220.110.90.13, 08:20:46, FastEthernet0/1
[110/3] via 220.110.90.9, 08:21:17, FastEthernet0/0
Quadro 9: Verificao da tabela de roteamento do PE1

Observou-se na sada do comando show ip route, que na tabela de roteamento consta apenas os endereos
IPs globais, usados para a comunicao entre os roteadores Ps e PEs. Informaes sobre os endereos de
IPs usados nas VPNs no so apresentados na sada desse comando. Isso acontece devido a capacidade
que o VRF tem em isolar o roteamento usado nas VPNs, dos demais roteamentos do equipamento. Na
sada do comando show ip router vrf VPN_A e show ip router VPN_B, essa histria muda, apresentando
uma nova tabela de roteamento para cada VFR designada conforme os quadros 10 e 11.
16
ROUTER_PE_1#show ip route vrf VPN_A

B
172.16.2.2/32 [200/0] via 220.110.90.2, 08:26:54
C
172.16.1.0/30 is directly connected, Serial0/0
B
172.16.2.0/30 [200/0] via 220.110.90.2, 08:26:54
C
S 192.168.1.0/24 [1/0] via 172.16.1.2
B 192.168.2.0/24 [200/0] via 220.110.90.2, 08:26:54
Quadro 10: Verificao da tabela de roteamento da vrf VPN_A no PE1

ROUTER_PE_1#show ip route vrf VPN_B

B
172.16.2.2/32 [200/0] via 220.110.90.2, 08:30:01
C
B
172.16.2.0/30 [200/0] via 220.110.90.2, 08:30:01
C
S 192.168.1.0/24 [1/0] via 172.16.1.2
B 192.168.2.0/24 [200/0] via 220.110.90.2, 08:30:01
Quadro 11: Verificao da tabela de roteamento da vrf VPN_B no PE1

As linhas que precedem com B indica que para chegar nessa rede ser preciso passar pelo BGP. O S
so as rotas estticas usadas para o roteamento com os CEs, e o C como j foi visto, so as redes
diretamente conectadas as interfaces. Informaes sobre o roteamento das VPNs pode ser obtido atravs
do comando show ip bgp vpnv4 all, conforme mostrado no quadro abaixo.
17
ROUTER_PE_1#show ip bgp vpnv4 all

BGP table version is 25, local router ID is 220.110.90.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network
Next Hop
Metric LocPrf Weight Path
Route Distinguisher: 100:110 (default for vrf VPN_A)
*> 172.16.1.0/30
0.0.0.0
0
32768 ?
*> 172.16.1.2/32
0.0.0.0
0
32768 ?
*>i172.16.2.0/30
220.110.90.2
0
100
0?
*>i172.16.2.2/32
220.110.90.2
0
100
0?
*> 192.168.1.0
172.16.1.2
0
32768 ?
*>i192.168.2.0
220.110.90.2
0
100
0?
Route Distinguisher: 100:120 (default for vrf VPN_B)
*> 172.16.1.0/30
0.0.0.0
0
32768 ?
*> 172.16.1.2/32
0.0.0.0
0
32768 ?
*>i172.16.2.0/30
220.110.90.2
0
100
0?
*>i172.16.2.2/32
220.110.90.2
0
100
0?
*> 192.168.1.0
172.16.1.2
0
32768 ?
*>i192.168.2.0
220.110.90.2
0
100
0?
Quadro 12: Verificao da tabela de roteamento VPNv4 do BGP no PE1

Nas informaes mostradas no quadro 12, possvel ver todas as sadas das VRFs no BGP, como
tambm a redistribuio para as rotas estticas usadas paca a comunicao fim a fim dos CEs. Pode-se ver
tambm que as redes que no contm a sigla i de internal, so os IPs referentes aos endereo de WAN e
LAN dos roteadores CE1 e CE3, que no esto configuradas nos equipamentos PEs, e sim previstas no
roteamento esttico. No roteador PE2 o mesmo ocorre s que referentes aos endereos de WAN e LAN
dos roteadores CE2 e CE4, conforme o quadro 13.
18
ROUTER_PE_2#show ip bgp vpnv4 all

BGP table version is 25, local router ID is 220.110.90.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network
Next Hop
Metric LocPrf Weight Path
Route Distinguisher: 100:110 (default for vrf VPN_A)
*>i172.16.1.0/30
220.110.90.1
0 100
0?
*>i172.16.1.2/32
220.110.90.1
0 100
0?
*> 172.16.2.0/30
0.0.0.0
0
32768 ?
*> 172.16.2.2/32
0.0.0.0
0
32768 ?
*>i192.168.1.0
220.110.90.1
0 100
0?
*> 192.168.2.0
172.16.2.2
0
32768 ?
Route Distinguisher: 100:120 (default for vrf VPN_B)
*>i172.16.1.0/30
220.110.90.1
0 100
0?
*>i172.16.1.2/32
220.110.90.1
0 100
0?
*> 172.16.2.0/30
0.0.0.0
0
32768 ?
*> 172.16.2.2/32
0.0.0.0
0
32768 ?
*>i192.168.1.0
220.110.90.1
0 100
0?
*> 192.168.2.0
172.16.2.2
0
32768 ?
Quadro 13: Verificao da tabela de roteamento VPNv4 do BGP no PE2

Da mesma forma que o roteador no consegue visualizar os IPs das VPNs na sua tabela de roteamento
principal, tambm no conseguir receber respostada dos pacotes emitidos diretamente para esses IPs,
conforme teste abaixo.
ROUTER_PE_1#ping 172.16.1.1 repeat 50

Type escape sequence to abort.
Sending 50, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
..................................................
Success rate is 0 percent (0/50)
Quadro 14: Teste com pacotes ICMP para o ip da VPN_A do PE1

No quadro 14 pode-se observar que apesar do endereo IP 172.16.1.1 estar configurado na interface
serial0/0 do prprio roteador PE1, foram disparados 50 pacotes ICMP com 100% de perda. Isso mostra
que as redes das VRFs esto de fato isoladas do restante das redes. Para o PE1 poder realizar esse teste, o
comando ping precisa fazer uma chamada na VRF correspondente a rede. Abaixo o comando usado para
esse teste.
19
ROUTER_PE_1#ping vrf VPN_A 172.16.1.1 repeat 50

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (50/50), round-trip min/avg/max = 4/25/76 ms
Quadro 15: Teste com pacotes ICMP para o IP da VPN_A do PE1

Outro fator importante a ser analisado foi a tabela de encaminhamento dos rtulos MPLS. Como agora
novas redes foram atribudas aos roteadores PEs, a tabela MPLS sofreu alteraes conforme a sada do
comando show mpls forwarding-table, verificado nos dois roteadores PEs.
ROUTER_PE_1#show mpls forwarding-table

Local Outgoing
Prefix
Bytes tag
tag
tag or VC
or Tunnel Id
switched
16
Pop tag
220.110.90.4/32
0
17
Pop tag
220.110.90.3/32
0
18
19
220.110.90.2/32
0
17
220.110.90.2/32
0
19
Pop tag
220.110.90.16/30
0
20
Pop tag
220.110.90.20/30
0
21
Aggregate
172.16.1.0/30[V]
0
22
Untagged
172.16.1.2/32[V]
0
23
Untagged
192.168.1.0/24[V]
0
24
Aggregate
172.16.1.0/30[V]
0
25
Untagged
172.16.1.2/32[V]
0
26
Untagged
192.168.1.0/24[V]
0
Outgoing
interface
Fa0/0
Fa0/1
Fa0/1
Fa0/0
Fa0/0
Fa0/1
Next Hop
220.110.90.9
220.110.90.13
220.110.90.13
220.110.90.9
220.110.90.9
220.110.90.13
Se0/0
Se0/0
point2point
point2point
Se0/1
Se0/1
point2point
point2point
Quadro 16: Sada do comando show mpls forwarding-table do PE1

Conforme as informaes mostradas no quadro 16, a tabela de encaminhamento dos rtulos MPLS sofreu
alteraes quando comparada ao quadro 12 da seo Modelo Conceitual 1 MPLS com OSPF do
tutorial parte I. Para cada rede associada a uma VRFs, foi adicionado um novo rtulo. Observado tambm
que, mesmo contendo endereos IPs iguais, o mecanismo de encaminhamento MPLS tratar de maneira
diferenciada cada rede, tendo como base a associao das VRFs em cada interface. O
parmetro Aggregate significa que para esse prefixo, o rtulo ser removido do pacote, e ento ser feito
uma consulta na tabela de roteamento (nesse caso a tabela de roteamento da VRF). J o Untagged, indica
que o rtulo ser removido e encaminhado para o prximo salto. Os endereos 172.16.1.2/32 e
192.168.1.0/24, pertencem a roteadores CEs, no farem parte da rede MPLS, portanto no participaram
do processo LDP do MPLS.
20
Da mesma forma como foi mostrado no quadro 16, no quadro 17 as mesmas informaes foram coletadas
s que desta vez no ilustrando a sada no roteador PE2.
ROUTER_PE_2#show mpls forwarding-table

Local Outgoing
Prefix
Bytes tag
tag
tag or VC
or Tunnel Id
switched
16
Pop tag
220.110.90.4/32
0
17
Pop tag
220.110.90.3/32
0
18
18
220.110.90.1/32
0
16
220.110.90.1/32
0
19
Pop tag
220.110.90.8/30
0
20
Pop tag
220.110.90.12/30
0
21
Aggregate
172.16.2.0/30[V]
0
22
Untagged
172.16.2.2/32[V]
0
23
Untagged
192.168.2.0/24[V]
0
24
Aggregate
172.16.2.0/30[V]
0
25
Untagged
172.16.2.2/32[V]
0
26
Untagged
192.168.2.0/24[V]
0
Outgoing
interface
Fa0/0
Fa0/1
Fa0/1
Fa0/0
Fa0/0
Fa0/1
Next Hop
220.110.90.17
220.110.90.21
220.110.90.21
220.110.90.17
220.110.90.17
220.110.90.21
Se0/0
Se0/0
point2point
point2point
Se0/1
Se0/1
point2point
point2point
Quadro 17: Sada do comando show mpls forwarding-table do PE2

Depois de verificar o funcionamento da arquitetura BGP/VPN MPLS nos roteadores PEs, verificou-se
tambm o funcionamento entre os roteadores CEs. No quadro 18 mostra o resultado dos testes realizados
com pacotes ICMP disparados do roteador CE1 para o endereo da interface FastEthernet0/0 do CE2,
testando a conectividade da VPN_A, e entre CE3 e CE4 testando a conectividade da VPN_B mostrados
no quadro 19.
ROUTER_CE_1#ping 192.168.2.1 repeat 500

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!
Quadro 18: Teste com pacotes ICMP entre o CE1 e CE2

21

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!
Quadro 19: Teste com pacotes ICMP entre os roteadores CE3 e CE4
De acordo com os resultados verificados nos quadros 18 e 19, constatou-se que tanto a conectividade da
VPN_A quando da VPN_B est em perfeito funcionamento. Outro fator importante analisado tambm foi
o caminho percorrido entre CE1 e CE2 atravs do comando traceroute, conforme o quadro abaixo.
22
ROUTER_CE_1#traceroute 192.168.2.1

Tracing the route to 192.168.2.1
1 172.16.1.1 20 msec 12 msec 8 msec

2 220.110.90.13 36 msec 24 msec 16 msec
3 172.16.2.1 12 msec 8 msec 12 msec
4 172.16.2.2 16 msec 32 msec *
Quadro 20: Verificao do caminho entre o CE1 e CE2

Verificou-se no quadro 20 que o caminho percorrido entre os roteadores CE1 e CE2, conectados na
VPNA : CE1PE1 P1 PE2 CE2.
Apesar do IP pblico 220.110.90.13 referente ao roteador P1 aparecer no caminho percorrido at o CE2,

no possvel pingar nesse equipamento conforme mostrado no quadro 21.

U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.
Success rate is 0 percent (0/50)
Quadro 21: Verificao do caminho entre o CE1 e CE2
23
O retorno U significa nesse caso, que os pacotes esto sendo transmitidos do roteador CE1, porm o
roteador P1 no tem uma entrada na tabela de roteamento para retornar o pacote. Isso mostra que a
conexo da VPN de fato est isolada.
Sabendo-se que o caminho percorrido CE1PE1 P1 PE2 CE2, foi verificado como os
protocolos de roteamento fazem a convergncia de rota em caso de falhas.
No exemplo apresentado no quadro 22 foi provocado uma falha no P1 , colocando em shutdown a

interface FastEthernet1/1 que da acesso ao PE1, logo aps disparar os pacotes do CE1 para o C2. Segue o
teste abaixo:

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!
Quadro 22: Teste com pacotes ICMP entre o CE1 e CE2
24
ROUTER_P_1> enable
ROUTER_P_1# configure-terminal
ROUTER_P_1(config)# interface fastEthernet 1/1
ROUTER_P_1(config-if)# shutdown
ROUTER_P_1(config-if)#
*Nov
1 03:54:42.498: %OSPF-5-ADJCHG: Process 1, Nbr 220.110.90.1 on
FastEthernet1/1 from FULL to DOWN, Neighbor Down: Interface down or detached
*Nov 1 03:54:42.518: %LDP-5-NBRCHG: LDP Neighbor 220.110.90.1:0 (1) is
DOWN (Interface not operational)
*Nov 1 03:54:44.474: %LINK-5-CHANGED: Interface FastEthernet1/1, changed
state to administratively down
*Nov
1
03:54:44.478: %ENTITY_ALARM-6-INFO: ASSERT INFO Fa1/1
Physical Port Administrative State Down
*Nov
1 03:54:45.474: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet1/1, changed state to down
Quadro 23: Provocamento de falha na interface FastEhernet1/1 P1

ROUTER_CE_1#traceroute 192.168.2.1
Tracing the route to 192.168.2.1
1 172.16.1.1 12 msec 16 msec 4 msec
2 220.110.90.9 12 msec 16 msec 16 msec
3 172.16.2.1 8 msec 32 msec 72 msec
4 172.16.2.2 16 msec 28 msec *
Quadro 24: Verificao do caminho entre o CE1 e CE2 aps falha provocado no P1
Pode-se observar que a topologia proposta para analise, configurada com os protocolos de roteamento
OSPF (para comunicao da nuvem pblica) e BGP (para comunicao das VPNs em nuvem privada),
reagiu com rapidez falha. No quadro 21, observou-se que apenas 3 pacotes foram perdidos dos 500
disparados, isso devido ao poder de convergncia que o protocolo OSPF oferece. Posteriormente no
quadro 24 foi realizado novamente o comando traceroute, e mostrou que a converso da rota para o IP
220.110.90.9 do roteador P2, foi realizado com sucesso, traando a rota CE1PE1 P2 PE2 CE2.
Testes com Virtual Box
Os testes realizados nesse tpico tiveram um ponto de vista do usurio final. Para esse teste foi recorrido
ao Virtual Box. O sistema operacional virtualizado foi Ubuntu 10.4 nos computadores C1 e C2 aos
25
roteadores CE1 e CE2, realizando testes e gerando trfego atravs da rede. O protocolo usado para esse
fim foi o FTP (File Transfer Protocol).
O FTP um dos protocolos mais usados para transferncia de arquivos na rede. Para melhor ilustrar o
processo de login e transferncia do arquivo, o servio HTTP (Hypertext Transfer Protocol) tambm foi
usado. O HTTP usado para comunicao de sites. Todos os dois servios foram disponibilizados no
computador C2 conectado a interface FastEthernet0/0 do roteador CE2.
As figuras 3 e 4 mostram como ficaram as configuraes de endereamento IP dos computadores C1 e
C2. Na figura 5 foi realizado teste de conectividade, onde foram disparados 20 pacotes ICMP do C1 para
o C2, e na figura 6 disparados do C2 para o C1. J nas figuras 7 e 8, foi mostrado o caminho percorrido
pelo pacote para chegar de um ponto a outro na rede.
E por fim nas figuras 9, 10 e 11, exibem respectivamente o processo de login no servidor FTP do
computador C2, selecionamento do arquivo a ser transferido e a transferncia do arquivo.
Figura 3: Verificao das configuraes de endereo IP no C1

26
Figura 4: Verificao das configuraes de endereo IP no C2

27
Figura 5: Teste de conectividade com pacote ICMP entre C1 e C2

28

29
Figura 7: Caminho percorrido entre C1 e C2

30

31
Figura 9: C1 efetuando login FTP no C2

32
Figura 10: Selecionamento do arquivo para transferncia

33
Figura 11: Transferindo arquivo do C2 para C1

Aps a realizao de todos os teste entre roteadores Ps, PEs e CEs na topologia proposta, nesse tpico
pode-se observar que da mesma forma os computadores C1 e C2, ligados respectivamente nos roteadores
CE1 e CE2, comunicaram-se de um ponto a outro da rede sem problemas. As informaes trafegadas na
rede foram coletadas com o Wireshark para anlise no prximo tpico.
Anlises com o Wireshark
Com base nas informaes extradas nos tpicos anteriores referentes ao BGP/MPLS VPN, foram
analisadas alguns pacotes relevantes ao tema. A seguir foram capturados alguns pacotes recorrendo
ao Wireshark.
34
Figura 12: Captura dos pacotes BGP entre o n P1 e PE1

Na figura 12, observou-se que logo aps o estabelecimento do OSPF, os pacotes BGP comeam a ser
enviados na rede com o finalidade de encontrar vizinhos. No pacote 129, pode verificar que trata-se de
uma mensagem OPEN, usado para iniciar uma sesso BGP. Em destaque, no cabealho MPLS o
campo Label j est rotulado com o valor 20. Assim como no OSPF e LDP, a identificao do BGP
tambm associada ao endereo IP da interface loopback, nesse caso 220.110.90.1.
Logo abaixo em destaque, dentro do campo Capabilities Advertisement, a extenso Multiprotocol do
protocolo BGP j aparece agregado a mensagem. Dentro desse campo onde so transportadas
informaes de VPN IPv4 address-family , visto com mais detalhes na figura 13.
35
Figura 13: Captura do pacote BGP entre o n P1 e PE1

O pacote 170 mostrado na figura 13 trata de uma mensagem tipo UPDATE. Nesse pacote a
extensoMultiprotocol do BGP aparece com mais detalhes. O atributo MP_REACH_NLRI, contm todas
as informaes referentes VPN_A do roteador PE1. Sabe-se disso pela identificao do RD com os
valores 100:110 . Na configurao dos roteadores PE1 e PE2 esses valores so associados a uma vrf
(com o comando ip vrf VPN_A). Observou-se tambm que para cada prefixo de endereo IP foi atribuda
a um rtulo diferente, conforme j visto anteriormente no quadro 15.
36
Figura 14: Captura do pacote BGP entre o n P1 e PE1

J no pacote 171 da figura 14, observou-se na mensagem UPDATE que tambm possuiu informaes
sobre a extenso Multiprotocol do BGP, s que agora referente ao encaminhamento da VPN_B,
constatada pela identificao do RD 100:120. Da mesma forma como aconteceu com a VPN_A, na
VPN_B foram atribudos diferentes valores de rtulos para cada prefixo de endereo IP. Assim, cada
pacote destinado esses endereos da VPN_B (neste caso), recebero uma etiqueta, otimizando o trfego
durante a passagem na rede. Nas figuras abaixo segue exemplos da marcao em diferentes tipos de
trfego.
37
Figura 15: Captura do pacote ICMP entre o n P1 e PE1

Como exemplo do trfego entre host host, temos o a captura do pacote 231. Esse pacote do tipo
ICMP, usado para testar a conectividade da rede. Foram aproveitados os testes do tpico anterior, para
coletar informaes relevantes ao funcionamento da BGP/MPLS VPN. Pode-se observar que o pacote
ICMP foi rotulado com o valor 23 com destino ao endereo 192.168.1.2. Com base na figura 12, concluise que de fato esse pacote est sendo encaminhado VPN_A, j que a RD 100:110 est vinculada a vrf
VPN_A do roteador PE1.
38
Figura 16: Captura do pacote FTP entre o n P1 e PE1

No pacote 499 da figura 16, o destino e o rtulo so os mesmo do exemplo anterior, com a diferena que
agora trata-se de um pacote FTP. Como ilustrado no teste de transferncia da figura 10, o computador
CE1 fez uma solicitao para transferir um determinado arquivo. Conforme observado acima, o sentido
do trfego C2 para C1, de acordo com a captura no campo Source e Destination.
39
Redes MPLS II: Modelo Conceitual 3 IPsec em Redes IP

Esta seo continua a apresentao da seo anterior, relativa s experincias e implementaes que
foram realizadas, recorrendo o emulador GNS3, com o objetivo de estudar algumas caractersticas
fundamentais do MPLS e VPN camada 3 em MPLS.
Configurao do IPsec em Redes IP
Nessa anlise, a proposta foi configurar e analisar uma conexo VPN IPsec ponto ponto bsica no modo
tnel, criado em cima de uma infraestrutura de rede pblica. A figura 17 ilustra como ficou a nova
topologia.
Figura 17: Captura da topologia VPN IPSec em anlise do GNS3

Para isso foram usados os mesmos equipamentos de rede MPLS, porm removidas as configuraes de
roteamento BGP e MPLS dos roteadores Ps e PEs, aproveitando o roteamento global do OSPF que j
havia sido adotado. Para a comunicao entre roteadores Ps e PEs tambm foi aproveitado os mesmos
endereos IPs, acrescentando duas novas faixas de endereo global com prefixo /30, para a comunicao
das interfaces seriais que do acesso aos roteadores CEs. Para os roteadores CEs, apenas dois roteadores
foram usados, CE1 e CE2 com dois computadores ligados a eles C1 e C2.
Da mesma forma com que foi realizado nos tpicos anteriores, nessa experincia foram tambm usados as
ferramentas GNS3 para emulao dos roteadores, Wireshark para analise dos pacotes trafegados, e
o Virtual Box para gerar trfego de um host outro na rede. As tabelas 6, 7 e 8, mostram como ficou a
relao endereo IP/Interfaces dos roteadores.
40
ROTEADOR
LOOPBACK0
FASTETHERNET1/0
FASTETHERNET1/1
P1
220.110.90.3/32
220.110.90.21/30
220.110.90.13/30
P2
220.110.90.4/32
220.110.90.9/30
220.110.90.17/30
Tabela 3: Relao de endereo IP/interface dos roteadores Ps

ROTEADOR
LOOPBACK0
FASTETHERNET0/0 FASTETHERNET0/1
SERIAL0/0
PE1
220.110.90.1/32
220.110.90.10/30
220.110.90.14/30
190.80.10.1/30
PE2
220.110.90.2/32
220.110.90.18/30
220.110.90.22/30
180.70.10.1/30
Tabela 4: Relao de endereo IP/interface dos roteadores PEs

ROTEADOR
FASTETHERNET0/0
SERIAL0/0
CE1
192.168.1.1/24
190.80.10.2/30
CE2
192.168.2.1/24
180.70.10.2/30
Tabela 5: Relao de endereo IP/interface dos roteadores CEs

Com base nos valores das tabelas, segue como ficaram as configuraes dos roteadores P1 e PE1
mostrados nos quadros 25 e 26, referentes somente ao que necessrio para o funcionamento na
topologia. Como nos tpicos anteriores, as informaes que por padro j vem configuradas foram
omitidas dando nfase ao que fato necessrio para o funcionamento.
41
ROUTER_P_1#show running-config
Building configuration...
!
interface Loopback0
ip address 220.110.90.3 255.255.255.255
!
ip address 220.110.90.21 255.255.255.252
duplex full
speed 100
!
description # ACESSO PE1 ##
ip address 220.110.90.13 255.255.255.252
duplex auto
speed 100
!
router ospf 1
network 220.110.90.3 0.0.0.0 area 0
network 220.110.90.13 0.0.0.0 area 0
network 220.110.90.21 0.0.0.0 area 0
!
Quadro 25: Verificao das configuraes do P1

Observou-se no quadro 25 que os roteadores de ncleo no sofreram grandes modificaes, apenas foram
removidas as configuraes do MPLS. As configuraes do roteador P2 ficou bem semelhante as
configuraes do roteador P1, mudando apenas os parmetros de endereamento IP das
interfacesFastEthernet e loopback conforme a tabela 6. No quadro 26, verificou-se como ficou as
configuraes do PE1.
42
!
interface Loopback0
ip address 220.110.90.1 255.255.255.255
!
ip address 220.110.90.10 255.255.255.252
speed 100
full-duplex
!
interface Serial0/0
bandwidth 128000
ip address 190.80.10.1 255.255.255.252
no ip proxy-arp
encapsulation ppp
clock rate 128000
!
ip address 220.110.90.14 255.255.255.252
speed 100
full-duplex
!
interface Serial0/1
ip address 190.80.10.5 255.255.255.252
encapsulation ppp
clock rate 128000
!
router ospf 1
redistribute static
network 190.80.10.0 0.0.0.3 area 0
network 190.80.10.4 0.0.0.3 area 0
network 220.110.90.1 0.0.0.0 area 0
network 220.110.90.10 0.0.0.0 area 0
network 220.110.90.14 0.0.0.0 area 0
!
Quadro 26: Verificao das configuraes do PE1

Em seguida foi verificado tambm as configuraes dos roteadores PE1 mostradas no quadro 27.
43
!
interface Loopback0
ip address 220.110.90.2 255.255.255.255
!
ip address 220.110.90.18 255.255.255.252
speed 100
full-duplex
!
interface Serial0/0
bandwidth 128
ip address 180.70.10.1 255.255.255.252
encapsulation ppp
clock rate 128000
!
ip address 220.110.90.22 255.255.255.252
speed 100
full-duplex
!
interface Serial0/1
ip address 180.70.10.5 255.255.255.252
encapsulation ppp
clock rate 128000
!
router ospf 1
redistribute static
network 180.70.10.0 0.0.0.3 area 0
network 180.70.10.4 0.0.0.3 area 0
network 220.110.90.2 0.0.0.0 area 0
network 220.110.90.18 0.0.0.0 area 0
network 220.110.90.22 0.0.0.0 area 0
!
Quadro 27: Verificao das configuraes do PE2

Nas configuraes dos roteadores PE1 e PE2, j houve uma mudana significativa. Pode-se observar em
destaque que alm de remover as configuraes de funcionamento do MPLS, foram includas tambm
novas faixas de endereamento IP pblicos para cada interface serial, como tambm, a divulgao dessas
redes no roteamento OSPF. Essas configuraes garante uma conectividade totalmente IP na topologia
propostas, como tambm o roteamento necessrio para o acesso dos roteadores CEs.
Nas configuraes dos roteadores CEs, os endereos IPs da interface FastEthernet0/0 permaneceram os
mesmos como tambm as configuraes do DHCP. Porm os endereos IPs das interfaces seriais foram
alterados para endereos pblicos conforme a Tabela 8. Segue abaixo como ficaram as configuraes do
roteador CE1.
44
!
ip dhcp pool host1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1 255.255.255.0
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
!
crypto isakmp key secret1 address 180.70.10.2
!
crypto ipsec transform-set CE1 esp-des esp-md5-hmac
!
crypto map VPN_CE1 70 ipsec-isakmp
set peer 180.70.10.2
set transform-set CE1
match address 100
!
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
bandwidth 128
ip address 190.80.10.2 255.255.255.252
encapsulation ppp
crypto map VPN_CE1
!
ip route 0.0.0.0 0.0.0.0 190.80.10.1
ip route 192.168.2.0 255.255.255.0 180.70.10.2
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!

No quadro 28 verificou-se as configuraes do roteador CE1. Em destaque alguns parmetros relevantes

para a construo da VPN IPsec como tambm os mtodos usados nas segurana das informaes.
No primeiro destaque temos o comando crypto isakmp policy 10. Esse comando cria uma poltica para o
gerenciamento para a troca de chaves. Seguido dos comandos hash MD5, (criptografa a
autenticao), authentication pre-share (especificado o modo pr-compartilhado para troca de chaves)
egroup2 (aciona o mtodo de criptografia Diffie-Hellamn com 1024 bits, na troca de chaves). Por padro,
o algoritmo usado para a proteo do tnel dos dados o DES (Data Encryption Standard) com chave de
56 bits.
45
No segundo destaque aparece o comando crypto isakmp key secret1 address 180.70.10.2. Esse comando
informa a senha e o endereo IP da ponta remota da conexo VPN, ou seja, o IP pblico do roteador CE2.
Da mesma forma, esse mesmo comando foi usado no roteador CE2, porm apontando para o IP pblico
do CE1. Em seguida foi apresentado o comando crypto ipsec transform-set CE1 esp-des esp-md5-hma,
que cria com o nome CE1 um conjunto de mtodos para a negociao e segurana do trfego.
No prximo destaque aparece o comando crypto map VPN_CE1 70 ipsec-isakmp, que mapeia com o
nome VPN_CE1 as regras para aplicao das polticas da VPN. Seguido dos comandos set peer
180.70.10.2 (indica a outra ponta da conexo), set transform-set CE1 (associando a negociao CE1)
ematch address 100 (associa a lista de acesso 100 ao trfego que ser protegido). Em seguida, abaixo do
comando interface Serial0/0, foi aplicado o comando crypto map VPN_CE1, que associa as regras criadas
para a conexo VPN, interface de sada do roteador CE1.
Para o roteamento esttico alm da rota padro, foi adicionada outra rota indicando que para chegar na
rede 192.168.2.0, correspondente a rede local do roteador CE2, os pacotes preciso ser encaminhado ao
IP 180.70.10.2 (IP da interface serial do CE2).
E por ltimo o comando access-list, ou lista de acesso. Esse comando permite mapear o endereo IP, ou
uma faixa de endereo IP, para aplicar posteriormente como poltica em outro comando. Nesse caso
a access-list 100, mapeou a origem e o destino das faixas IPs do trfego interessante, que ser protegido
no tnel. O mesmo ocorre com o roteador CE2, porm em ordem inversa. Essa lista de acesso foi aplicado
dentro da regra crypto map VPN_CE1 70 ipsec-isakm como foi visto. No quadro 29 foi mostrado como
ficou as configuraes no roteador CE2.
46
!
ip dhcp pool host2
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1 255.255.255.0
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key secret1 address 190.80.10.2
!
crypto ipsec transform-set CE2 esp-des esp-md5-hmac
!
crypto map VPN_CE2 10 ipsec-isakmp
set peer 190.80.10.2
set transform-set CE2
match address 100
!
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
bandwidth 128
ip address 180.70.10.2 255.255.255.252
encapsulation ppp
clock rate 128000
crypto map VPN_CE2
!
ip route 0.0.0.0 0.0.0.0 180.70.10.1
ip route 192.168.1.0 255.255.255.0 190.80.10.2
!
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!

Testes e Anlises do IPsec

Depois de verificar como ficaram todas as configuraes dos roteadores na rede em seguida foram
realizado alguns testes a fim de verificar o funcionamento do IPsec na topologia proposta. Os teste
relacionados abaixo foram analisado somente nos roteadores CE1 e CE2, considerando que os roteadores
Ps e PEs esto em funcionamento, e no participam diretamente do processo funcional da VPN. O papel
dos Ps e PEs nesse caso fornecer o acesso e transporte dos dados. Nos quadros 30 e 31 foram exibidas
algumas sadas relevantes ao funcionamento do tnel.
47
ROUTER_CE_1#show crypto isakmp sa

IPv4 Crypto ISAKMP SA
dst
src
state
180.70.10.2 190.80.10.2 QM_IDLE
conn-id
1001
slot
0
status
ACTIVE
IPv6 Crypto ISAKMP SA
Quadro 30: Verificao do comando show crypto isakmp sa no CE1

O comando show de criptografia isakmp sa mostra as SAs, ou associaes seguras do gerenciador IKE
atual. O "Active" status significa que o ISAKMP SA est em estado ativo. O modo QM_IDLE indica que
o tnel est funcionado perfeitamente, ou seja, a SA IPSec permanece autenticado e tnel pode ser usado
para transmitir os dados. Os parmetros dst e src, indicam respectivamente o destino e a origem do tnel,
onde a origem o IP da interface serial do CE1 e a destino a o IP da interface serial do CE1.
A seguir foi analisado outros parmetros com a sada do comando show crypto ipsec sa, omitindo apenas
algumas informaes desnecessrias para essa anlise.
48
ROUTER_CE_1#show crypto ipsec sa

interface: Serial0/0
Crypto map tag: VPN_CE1, local addr 190.80.10.2
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
current_peer 180.70.10.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 628, #pkts encrypt: 628, #pkts digest: 628
#pkts decaps: 628, #pkts decrypt: 628, #pkts verify: 628
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 190.80.10.2, remote crypto endpt.: 180.70.10.2
path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0
current outbound spi: 0x12E283CF(316834767)
inbound esp sas:
spi: 0xA46958F6(2758367478)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: SW:1, crypto map: VPN_CE1
sa timing: remaining key lifetime (k/sec): (4520277/2289)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound esp sas:
spi: 0x12E283CF(316834767)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: SW:2, crypto map: VPN_CE1
sa timing: remaining key lifetime (k/sec): (4520277/2288)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
Quadro 31: Verificao do comando show crypto ipsec sa no CE1

Foram exibidas atravs do comando show crypto ipsec sa, informaes importante sobre o IPsec. No
primeiro destaque, mostra o IP e o nmero da porta que eles em que ento se comunicando. Logo abaixo
algumas informaes sobre pacotes transmitidos que foram encriptados e desencriptados. Na outro
destaque exibido o ip do tnel local e o remoto. E nos dois destaques seguinte mostra que tanto a
entrada quanto a sada do tnel esto ativas.
Testes com o Virtual Box
49
Os testes realizados a seguir, foram recorridos ao Virtual Box, virtualizando o sistema operacional Ubuntu
10.4, conectados nos roteadores CE1 e CE2 a fim de gerar um trfego no tnel VPN. Na figura 18 foram
apresentados os testes de conectividade da VPN, disparando 20 pacotes ICMP computador C1 ligado no
roteador CE1 ao computador C2 conectado ao CE1. Considerando os computadores j devidamente
configurados com o endereamento IP correspondente a cada rede, foi obtido os seguintes resultados.

50

Observou-se nas figuras 18 e 19, que o tnel VPN funcionou normalmente sem perdas. Dos 20 pacotes
disparados do C1 para o C2, 20 obtiveram resposta. O mesmo ocorreu entre C2 e C1.
A seguir nas figuras 20 e 21, foram verificados os caminhos percorridos de um ponto a outro da rede. No
resultado aparecem somente o IP do gateway padro da rede local e o IP do computador da rede remota.
Isso ocorre devido a construo dos tneis nas VPN, assegurando que as informaes sejam isoladas da
rede pblica por onde esto sendo transportadas. Nas figuras 20 e 21 pode-se ver os resultados.
51

52

Testes com o Wireshark
Aps a realizao dos testes entre os computadores C1 e C2, uma analise do trfego foi realizada
recorrendo novamente ao Wireshark. Durante os testes mostrados anteriormente, foram efetuadas
capturas de pacotes para a verificao das informaes trocadas durante essa fase. A proposta foi mostrar
se realmente os pacotes que trafegam nos tneis IPsec so protegidos, e se de alguma maneira esses
pacotes, em caso de captura por terceiros, exibir alguma informao que implique na segurana das
informaes.
A Captura mostrada na figura 22 foi realizada entre os roteadores P1 e PE1.
53
Figura 22: Captura do pacote ISAKMP entre P1 e PE1

Na captura do pacote 81 ilustrado na figura 22, pode-se ver que um pacote ISAKMP (Internet Security
Association and Key Management Protocol) responsvel pela negociao das chaves para o
estabelecimento do tnel. Pode-se ver tambm que um pacote UDP (User Datagram Protocol), na porta
500. O UDP um protocolo no orientado a conexo, ou seja, no oferece garantia nenhuma para o
pacote chegar ao seu destino. O IPsec usa o UDP, porque os mecanismos de controle e confiabilidades
sobre a transmisso dos pacotes, fica sobre a responsabilidade do prprio IPsec.
Observou-se no segundo destaque da figura 22 que o tipo de encriptao do
campo payload(correspondente aos dados que de fato esto sendo transmitidos), usa o algoritmo de
encriptao DES (Data Encryption Standard) conforme j mencionado. Outro parmetro verificado
anteriormente, que foi capturado em seguida pelo Wireshark, aparece no destaque seguinte, informando
que est sendo usado group2 para a troca de chaves e o MD5 para criptografar a autenticao.
A F mostra um pacote encapsulado com o protocolo ESP (Encapsulating Security Payload). Esse
protocolo usado pelo IPsec para fornecer confiabilidade e autenticao da origem.
54
Figura 23: Captura do pacote ESP entre P1 e PE1

Pode-se ver que apenas algumas informaes podero ser visualizadas no cabealho IP, como a origem e
o destino do pacote. No campo ESP informado apenas a sequncia que os dados sero entregues na
outra extremidade. Observou-se que e fato, as informaes transportadas pelos mecanismos de segurana
do IPsec, no ficaram expostas na rede, provando ser um protocolo seguro para o transporte das
informaes em redes IPs pblicas.
55
Redes MPLS II: Anlise Comparativa

Quando se trata de conectar vrios sites com links WAN, h uma variedade de opes viveis.
Naturalmente, a soluo que certa para uma empresa ir variar dependendo do tamanho da estrutura
dessa empresa, o tipo de trfego que precisa para transmitir, e suas preferncias em matria de segurana,
latncia e confiabilidade.
As desvantagens para tneis VPN Ipsec que os dados so criptografados, com isso h sobrecarga
(latncia) associado com a criptografia, a segurana uma preocupao ainda maior, e a confiana pode ser
diminuda devido complexidade da Internet. Algumas empresas podem at mesmo escolher os links de
Internet ADSL para executar tneis VPN de site para site. Enquanto os links de Internet DSL pode ser uma
boa opo para uma pequena empresa, eles geralmente so insuficientes para uma empresa que dependem
de dados crticos, devido baixa prioridade oferecida por operadoras de servio nesses casos.
O MPLS feito geralmente para dar ao cliente um link IP dedicado com endereamento IP privado sobre ele.
Qualquer trfego enviado do cliente para a transportadora, nesse link, rotulado. Esse pacote rotulado
enviado atravs de um caminho marcado switch (LSP) a um roteador switch etiqueta (LSR). Esse roteador
encaminha o pacote para o roteador de borda da etiqueta (LER), onde o rtulo removido do pacote e
entregue ao roteador do cliente de destino. Isso possibilita para o cliente criar uma rede privada sem
nenhuma criptografia necessria.
Um dos principais benefcios do MPLS que ele cria uma rede totalmente entrelaada por padro. Ento,
por ser ligado rede MPLS, pode-se ter uma conexo direta com todas as localizaes remotas sem
qualquer custo adicional ou configurao. Servios de voz sobre IP (VoIP) um desafio para implementar
sobre tneis VPN Ipsec site-to-site, pois a criptografia causa muita latncia. Alm do VoIP, outros servios de
QoS podem ser oferecidos em redes MPLS, priorizando certos tipos de trfego.
Para melhor exemplificar os ps e contras de cada uma das tecnologias, a tabela 9 faz uma anlise
comparativa relacionando algumas caractersticas tpicas relevantes as redes de computadores.
56
MPLS VPN
IPSec VPN
Todos os circuitos MPLS so

recebidos atravs de uma nica
transportadora, o que contribui com a
confiabilidade. Entretanto, algumas
operadoras de servio oferecem VPN
em MPLS usando DSL como enlace
local, o que pode resultar em menor
confiabilidade. Em geral, MPLS ser
mais confivel do que VPNs IPSec,
porque h menos complicaes na
configurao de tunelamento e
firewall.
Receber todos os circuitos IPSec

VPN
atravs
da
mesma
transportadora vai aumentar a
confiabilidade (tolerncia a falhas)
sobre o uso de mltiplas operadoras
de Internet. Mas devido a vrios
concentradores VPN e configurao
de criptografia, uma VPN IPSec
pode ser menos confivel do que
VPN em MPLS devido a
complexidade de gerenciar vrias
conexes.
Custo
O custo de um projeto MPLS para o

fornecimento de VPN relativamente
alto. Porm em VPNs IPsec exige
mo de obra especializada para o
gerenciamento dos tneis, quanto a
confiabilidade e segurana das
informaes,
como
tambm
concentradores para agregar links. No
MPLS VPN esses fatores ficam sobre
a responsabilidade da operado de
servio.
Ao contrrio das VPN em MPLS,

em VPN IPSec so necessrios
concentradores VPNs, o que ir
aumentar o custo inicial. Depois de
ter o hardware, o pessoal necessrio
para manter o sistema e solucionar
problemas dos tneis VPN IPSec, no
final os valores podem aumentar,
podendo ser o mesmo ou at passar
em comparao a VPN em MPLS.
Segurana
VPN e MPLS mais seguro do que

os tneis VPN IPSec, desde que no
permitir que seus circuitos MPLS
tenham acesso diretamente Internet.
Para maior segurana, as VPNs
MPLS devem ser usadas apenas como
redes privadas. Usado como uma rede
privada, as VPNs MPLS oferecem um
bom nvel de segurana, porm tendo
em vista que os dados nesse caso no
so criptografados.
Elementos que compem uma rede

de tneis VPN IPSec, uma
preocupao que deve ser levada em
considerao j que os dados esto
sendo transmitidos atravs de um
link de internet. Esse circuito
Internet est aberto para conexes de
todo o mundo. Um firewall mal
configurado pode abrir uma rede
VPN IPSec para a Internet.
Segurana uma preocupao ainda
maior se usar a diviso de tnel em
concentradores VPN. Porm os
dados em VPN Ipsec so
criptografados.
QoS
As QoS podem ser oferecidas como

servio nesse caso. Com MPLS QoS,
pode-se priorizar determinados tipos
de trfego ao longo da rede da
operadora, provendo QoS fim fim.
Isso timo para aplicaes sensveis
latncia, como Voz, Vdeo.
Recursos de QoS em VPN Ipsec so

bem limitados nesse caso. Ao
trafegarem na rede, os dados so
criptografados gerando atraso e
pouco pode ser feito quando a isso.
Caracterstica
Confiabilidade
Tabela 6: Analise comparativa entre MPLS VPN e IPsec VPN

57
Redes MPLS II: Consideraes Finais

A tecnologia MPLS desempenha um papel cada vez mais importante no contexto das redes IP. Com este
trabalho pretendeu-se idealizar um conjunto de experincias capaz de ilustrar os principais conceitos e
funcionalidades da tecnologia usando de VPN para entrega segura das informaes.
Atravs da realizao deste trabalho foi possvel levantar algumas ideias j adquiridas sobre o MPLS. O
MPLS melhora a eficincia das redes onde utilizadas. Foram estudadas as VPNs camada 3 sobre uma
estrutura MPLS, dada a sua importncia atual no contexto das redes IP. Nestas experincias utilizaram-se
roteadores de modo a criarem cenrios mais prximos da realidade. Em uma analogia com a realidade,
foram criados cenrios correspondentes a duas empresas, com uma unidade em cada extremidade da rede.
Ambas necessitam de realizar troca de informao entre elas de maneira segura e eficiente sem que os
dados de uma no interferissem na outra. A rede de ncleo que interliga uma unidade outra a mesma
para as duas VPNs, quando estabelecidas entre as unidades permitem o envio de informao sem
qualquer tipo de erros ou perdas. Neste cenrio, tambm observou-se a troca de etiquetas MPLS realizada
na rede de ncleo, o que foi explicado com a ajuda do analisador de redeWireshark.
Verificou-se tambm que o MPLS desempenha esse papel com muita eficincia, segmentando as redes
com tabelas de roteamento prprias para cada VPN, criando assim as nuvens privadas. O uso do
protocolo de roteamento BGP para a criao das VPN, junto com o protocolo OSPF para o roteamento
dos IPs pblicos na estrutura MPLS, oferecem uma infinidade de recursos e solues para empresas e
organizaes. Nos testes realizados em laboratrios pode-se constatar a eficincia dessas tecnologias
quando trabalham juntas.
Nas ltimas experincias foram idealizados testes com VPNs IPsec em redes IP pblicas tradicionais, sem
o uso da tecnologia MPLS, tambm usando o GNS3 para emular os roteadores. Foi aproveitada a
topologia central, com os mesmo roteadores e o mesmo protocolo de roteamento pblico para testar e
analisar alguns aspectos importantes do protocolo. Observou-se de fato que o transporte das informaes
com tneis IPsec, assegura a integridade e a confiabilidade das informaes. Contudo, o preo dessa
segurana implica na perda desempenho.
Em suma, neste trabalho foram estudadas algumas caractersticas importantes do MPLS e referenciados
alguns aspectos importantes. No entanto, dada a extenso do tema muito ficou ainda por estudar. Do
ponto de vista pedaggico, creio que este trabalho no futuro poder vir a ajudar alunos a perceber um
pouco melhor como funciona o MPLS e a utilidade de alguns dos seus principais mecanismos.
Concluiu-se que este projeto demonstra que possvel utilizar simulaes para desenvolvimento de novas
tecnologias em diversas reas de redes de computadores, e que o MPLS usado em conjunto com
protocolos de roteamento para fornecer VPN como servio, muito superior s tecnologias de VPN em
redes IPs tracionais. Esse projeto tambm comprova que possvel desenvolver e testar projetos em rede
IP sem mesmo portar o roteador fsico, estudando solues que muitas vezes de conhecimento restrito
operadoras de servio.
Sugestes para Trabalhos Futuros
Esse trabalho de concluso de curso pode servir como suporte para novas propostas em solues usando a
tecnologia MPLS. Os temas como Engenharia de trafico, Classe de Servios ou QoS, VPN camada 2 e
Roteamento Inter-AS, so alguns exemplos das funcionalidades e servios que a tecnologia MPLS
suporta, onde podero ser estudadas e analisadas usando a mesma metodologia aplicada para o estudo de
VPN camada 3.
58
Dificuldades Encontradas
A falta de uma abordagem dessa tecnologia no curso foi um fator que dificultou a pesquisa dos principais
conceitos. A busca de ferramentas que suportassem todos os protocolos envolvidos no MPLS foi outro
fator que implicou na dificuldade da elaborao do trabalho. No foi possvel fazer uma anlise de
desempenho mais detalhada, como taxa de transferncia, tempo de resposta precisa e latncia do trfego,
devido algumas limitaes das ferramentas usadas no trabalho. Em virtude deste motivo, alguns
resultados de testes realizados no foram divulgados neste trabalho.
Referncias
UNIX network programming. 2 ed. Upper Saddle River: Prentice Hall, 1998.
BRENT D. Stewart. CCNP BSCI Official Exam Certification Guide. 4 ed. Indianpolis: Cisco Press,
2008.
COLCHER, Srgio. et al. VOIP Voz sobre IP. Rio de Janeiro: Elsevier, 2005.
COMER, Douglas E. Redes de Computadores e Internet: Abrange Transmisso de Dados Ligao Interredes e Web. 4 ed. Editora Bookman: Porto Alegre. 2007.
COSTA, Daniel Gouveia. DNS Um Guia para Administradores de Redes. Rio de Janeiro: Brasport,
2006.
CUTHBERT L. G.; SPANEL J. C., "ATM the Broadband Telecommunications Solution". The Institution
of Electrical Engineers, 1993.
ENNE, Antnio Jos Figueiredo. TCP/IP sobre MPLS. Rio de Janeiro: Cincia Moderna Ltda, 2009.
FILIPPETTI, Marco. CCNA 4.1 - Guia Completo de Estudo. Florianpolis: Visual Books, 2008.
FOROUZAN, Behrouz A. Comunicao de Dados e Redes de Computadores. 3 ed. Porto Alegre:
Bookman, 2006.
McHOES, A. M.; FLYNN, I. M. Introduo aos sistemas operacionais. So Paulo: Pioneira Thomson
Learning, 2002.
MORGAN, B. e LOVERING, N. CCNP ISCW Official Exam Certification Guide. Indianapolis: Cisco
Press, 2009.
PEPELNJAK, Ivan. et al. MPLS and VPN Architectures. Indianapolis: Cisco Press, 2003.
PEPELNJAK, Ivan e GUICHARD, Jim. MPLS and VPN Architectures. Indianapolis: Cisco Press, 2007.
POSTEL, J. Transmission control protocol: DARPA Internet program, protocol specification. Request for
Comments RFC 793. [online]. http://www.rfc-editor.org/rfc/rfc793.txt. July 2002.
RANJBAR, Amir. CCNP ONT Official Exam Certification Guide. Indianapolis: Cisco Press, 2007.
REAGAN, James. CCIP Study Guide. San Francisco: Sybex, 2002.
STEVEN, W. R. TCP/IP illustrated: the protocols. Boston: Addisson-Wesley, 1994.
TANENBAUM, Andrew S. Redes de Computadores. 4 ed. Rio de Janeiro: Campus, 2006.
59
TITTEL, Ed. Coleo Schaum. Redes de Computadores. Porto Alegre: Bookman, 2003.
TORRES, Gabriel. Redes de computadores: curso completo. Rio de janeiro: Axecel books, 2001.
60
Redes MPLS II: Teste seu entendimento
1. No modelo conceitual da configurao do BGP/MPLS VPN, qual a participao dos roteadores

de ncleo P na rede implementada?
Prover o roteamento do BGP.
Prover o BGP/MPLS VPN IPv4.
Prover o transporte dos pacotes rotulados do MPLS.
Prover o roteamento esttico para cada VRF.
2. No modelo conceitual da Configurao do IPsec em Redes IP, qual foi a alterao feita na
configurao dos roteadores Ps e PEs?
Remoo dos parmetros de endereamento IP das interfaces FastEthernet.
Remoo das duas novas faixas de endereo global com prefixo /30.
Remoo das configuraes de roteamento global do OSPF.
Remoo das configuraes de roteamento BGP e MPLS.
3. Qual um dos benefcios de uso da rede MPLS?

Por criar uma rede totalmente entrelaada, um elemento conectado a essa rede pode ter conexo
direta com todas as localidades remotas sem custo adicional.
Por criar uma rede totalmente entrelaada, um elemento conectado a essa rede pode ter conexo
indireta com todas as localidades remotas sem custo adicional.
Por criar uma rede totalmente PPP, um elemento conectado a essa rede pode ter conexo direta com
todas as localidades remotas sem custo adicional.
Por criar uma rede totalmente PPP, um elemento conectado a essa rede pode ter conexo indireta
com todas as localidades remotas sem custo adicional.
61

Tutorialmplscam2 PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Tutorialmplscam2 PDF

Загружено:

Авторское право:

Доступные форматы

Redes MPLS II: Introduo

Redes MPLS II: Modelo Conceitual 2 BGP/MPLS VPN

Figura 1: Captura da topologia MPLS no GNS3

Configurao do BGP/MPLS VPN

Figura 2: Captura da topologia BGP/MPLS VPN em anlise do GNS3

Tabela 1: Relao de endereo IP/interface dos roteadores PEs

Tabela 2: Relao de endereo IP/interface dos roteadores CEs

As configuraes realizadas no PE1 seguem a seguinte sequncia:

Quadro 1: Configurao de VPN MPLS no PE1

Quadro 2.a: Verificao das configuraes do roteador PE1 (parte inicial)

Quadro 2.b: Verificao das configuraes do roteador PE1 (parte final)

Quadro 3.a: Verificao das configuraes do roteador PE2 (parte inicial)

Quadro 3.b: Verificao das configuraes do roteador PE2 (parte final)

Quadro 4: Configuraes do CE1

Na configurao do roteador CE1 seguiu a seguinte sequncia:

Configurao da rota esttica.

Quadro 5: Verificao das configuraes do CE1

Quadro 6: Verificao das configuraes do CE2

Quadro 7: Verificao das configuraes do CE3

Quadro 8: Verificao das configuraes do CE4

Fonte: Elaborao do autor, 2010

220.110.90.0/24 is variably subnetted, 8 subnets, 2 masks

Quadro 9: Verificao da tabela de roteamento do PE1

ROUTER_PE_1#show ip route vrf VPN_A

Quadro 10: Verificao da tabela de roteamento da vrf VPN_A no PE1

ROUTER_PE_1#show ip route vrf VPN_B

Quadro 11: Verificao da tabela de roteamento da vrf VPN_B no PE1

ROUTER_PE_1#show ip bgp vpnv4 all

Quadro 12: Verificao da tabela de roteamento VPNv4 do BGP no PE1

ROUTER_PE_2#show ip bgp vpnv4 all

Quadro 13: Verificao da tabela de roteamento VPNv4 do BGP no PE2

ROUTER_PE_1#ping 172.16.1.1 repeat 50

Quadro 14: Teste com pacotes ICMP para o ip da VPN_A do PE1

ROUTER_PE_1#ping vrf VPN_A 172.16.1.1 repeat 50

Quadro 15: Teste com pacotes ICMP para o IP da VPN_A do PE1

ROUTER_PE_1#show mpls forwarding-table

Quadro 16: Sada do comando show mpls forwarding-table do PE1

ROUTER_PE_2#show mpls forwarding-table

Quadro 17: Sada do comando show mpls forwarding-table do PE2

ROUTER_CE_1#ping 192.168.2.1 repeat 500

Quadro 18: Teste com pacotes ICMP entre o CE1 e CE2

ROUTER_CE_3#ping 192.168.2.1 repeat 500

Type escape sequence to abort.

Type escape sequence to abort.

1 172.16.1.1 20 msec 12 msec 8 msec

Quadro 20: Verificao do caminho entre o CE1 e CE2

Apesar do IP pblico 220.110.90.13 referente ao roteador P1 aparecer no caminho percorrido at o CE2,

ROUTER_CE_1#ping 220.110.90.13 repeat 50

No exemplo apresentado no quadro 22 foi provocado uma falha no P1 , colocando em shutdown a

ROUTER_CE_1#ping 192.168.2.1 repeat 500

Quadro 23: Provocamento de falha na interface FastEhernet1/1 P1

Figura 3: Verificao das configuraes de endereo IP no C1

Figura 4: Verificao das configuraes de endereo IP no C2

Figura 5: Teste de conectividade com pacote ICMP entre C1 e C2

Figura 6: Teste de conectividade com pacote ICMP entre C2 e C1

Figura 7: Caminho percorrido entre C1 e C2

Figura 8: Caminho percorrido entre C2 e C1

Figura 9: C1 efetuando login FTP no C2

Figura 10: Selecionamento do arquivo para transferncia

Figura 11: Transferindo arquivo do C2 para C1

Figura 12: Captura dos pacotes BGP entre o n P1 e PE1

Figura 13: Captura do pacote BGP entre o n P1 e PE1

Figura 14: Captura do pacote BGP entre o n P1 e PE1