BGP e routing interdominio

Транскрипт

1 BGP e routing interdominio Presentazione di scenari d uso reali di BGP per mettere a fuoco concetti teorici Saverio Proto GARR NOC Corso Reti di Trasporto, Tor Vergata, 03/02/12

2 Goal Presentarvi la rete GARR Dare un senso pratico a quello che avete imparato al corso di reti di trasporto 2

3 Il GARR e la sua comunità Il GARR e un consorzio no-profit, progetta e gestisce la rete telematica nazionale dell'università e della Ricerca Afferiscono a GARR tutte le Entità che rappresentano la Comunità Accademica e della Ricerca in Italia Soci fondatori: Università italiane statali e non statali (Fondazione CRUI) INFN CNR ENEA Enti associati: ASI INGV INAF (osservatori astronomici e astrofisici) Organismi di ricerca vigilati dal Min. Salute (Ospedali e IRCCS) Istituti di Alta Formazione Artistica e Musicale Organismi culturali vigilati dal MiBAC (Biblioteche, Archivi, Musei) Organismi di ricerca vigilati dal MIUR Istituzioni culturali e scientifiche italiane e straniere di rilevante interesse per la comunità di ricerca e accademica nazionale 3

4 Una rete e le sue regole Regole di accesso alla rete GARR AUP acceptable-use-policy-aup APA e APM Access Port Administrator Access Port Manager 4

5 La storia della rete GARR Dal 1973 al 1990 tante reti indipendenti (INFNet, CNRnet, e altre reti attorno ai consorzi interuniversitari) Nel 1987 nasce il Gruppo Armonizzazione Reti della Ricerca (GARR) per facilitare l interconnessione delle diverse reti : la rete GARR-1 la prima rete unitaria di Università e Ricerca in Italia : la rete GARR-2 razionalizza la gestione della rete fino ad allora totalmente distribuita sviluppo della connettività internazionale la rete GARR-B(roadband) la prima infrastruttura di rete nazionale comune tra tutti gli enti GARR 2003 inizia ad operare il Consortium GARR (Fond. CRUI, CNR, ENEA, INFN) la rete GARR-G(iganet) GARR-X(cross-connect) 5

6 La rete GARR-G oggi 45 PoP (Punti di Presenza) oltre 90% ospitati da Università e enti di ricerca Capacità aggregata IP del backbone ~ 130Gbps N. link di backbone: 70 Capacità aggregata IP link di accesso ~ 80Gbps Accessi da 2Mbps a 10Gbps N. link di accesso: oltre operatori TLC nazionali Collaborazioni strategica con MAN e RAN Utenti della rete ~ 500 siti collegati per un totale di oltre di utenti finali 6

7 I collegamenti esterni Collegamenti con le reti Accademiche e di Ricerca a livello mondiale (NREN) 22.5Gbps via GEANT Il backbone paneuropeo delle reti della ricerca, con link intercontinentali verso le altre reti della ricerca in USA, Africa, SudAmerica, Asia, Collegamenti con il General Internet Attraverso provider internazionali 4 x 2.5 Gbps Global Crossing, Level 3 Peering con ISP nazionali sui principali NAP 21 Gbps sui NAP (MIX, Namex, TIX, TOP-IX, VSIX) 2 Gbps verso Google Collegamenti end-to-end a livello internazionale per gruppi di utenti e progetti 45Gbps complessivi su circuiti dedicati per i progetti di ricerca LHC, evlbi, DEISA, FEDERICA 7

8 Da GARR-G a GARR-X GARR-X è il progetto di Next Generation Network che guiderà l evoluzione della rete dell università e della ricerca italiana per i prossimi (almeno) 6 anni Obiettivi di GARR-X aumentare la flessibilità e l efficienza del modello economico e tecnico della rete stare al passo con le richieste degli utilizzatori offrire gli stessi servizi su tutto il territorio nazionale, contribuendo a ridurre il digital divide La migrazione sta avvenendo in continuità di servizio con l infrastruttura attuale 8

9 L infrastruttura GARR-X FASE 1 ~ 6.600km di fibre di backbone ~ 1.000km di fibre di Accesso distanza dal PoP <60 km ~ 180 sedi utente colocate 9

10 Servizi di rete e operativi /1 GARR-Network Operation Center (NOC) Responsabile della gestione quotidiana della rete e interfaccia operativa verso gli utenti Si occupa della risoluzione di guasti e malfunzionamenti Offre supporto nella configurazione degli apparati di accesso in sede utente GARR-OPERATIONS Responsabile del design e della evoluzione dei PoP, installazione e aggiornamento apparati, implementazione nuovi servizi, supervisione del sistema di monitoring Supporta il NOC nella risoluzione di guasti complessi e nei casi di problemi di prestazioni delle applicazioni degli utenti Network monitoring e reporting Monitoraggio del funzionamento e delle performance della rete, anche per i collegamenti internazionali 10

11 Servizi di rete e operativi /2 GARR-LIR GARR è un Local Internet Registry ed assegna indirizzi pubblici IPv4 e IPv6 GARR-NIC supporta gli utenti nelle procedure di registrazioni di nomi a dominio sotto.it e.eu DNS (Domain Name System) collegamento diretto con i root server (peering sui NAP) e con i name server del.it (ospitato nel PoP GARR) 2 DNS Server GARR (a Roma e Bologna) per la comunità GARR 11

12 Servizi di Sicurezza GARR-CERT Responsabile della gestione degli incidenti di sicurezza (circa 5.000/anno) e della emissione di Alert (180 nel 2008), opera in coordinamento con gli altri CSIRT nella gestione degli incidenti di sicurezza Svolge un azione continua nel cercare di ridurre la diffusione di virus informatici in rete e nel prevenire e contrastare azioni dannose sulla rete (Denial of Service) GARR-SCARR Servizio per l individuazione di vulnerabilità delle reti locali e di campus degli enti GARR Scansioni on demand dei propri nodi, dall esterno, alla ricerca di vulnerabilità Possibilità di prenotare online e ricevere risultati via mail 12

13 GARR Certification Service (GCS) Fornisce gratuitamente certificati X.509 rilasciati da Comodo CA (presente in tutti i più diffusi browser) per persone fisiche (certificati personali) per macchine server o servizi (certificati server) TCS: TERENA Certificate Service

14 Federazione IDEM e Servizio IDEM GARR AAI Per accedere a dati protetti aderendo ad IDEM l'utente dovrà inserire username e password una sola volta per ogni sessione web. Per fornire dati protetti la gestione degli utenti sarà condivisa con l'istituzione di appartenenza che gestirà password e validità dell'accesso. 14

15 Gli altri servizi EDUROAM: Servizio distribuito di autenticazione condivisa per gli utenti Wi-Fi GARR Vconf: Servizio Multi Video Conferenza NRENum: Servizio di numerazione interna alle NREN per il VoIP GARR.TV: Portale GARR dei canali delle Web Internet TV della comunità GARR-MIRROR: Distribuzione dei pacchetti software più richiesti LEARNING-GARR: Formazione on-line sulle tematiche legate alla rete 15

16 Iniziamo a vedere qualcosa di tecnico 16

17 Interdomain routing Interdomain routing Significa fare routing tra reti gestite da organizzazioni diverse Internet e l insieme di piu reti: Ogni organizzazione gestisce uno o piu Autonomous System (AS) I protocolli IGP (OSPF / RIP) vengono usati per il routing all interno degli AS Il protocollo BGP viene utilizzato per il routing interdominio Traffico verso destinazioni esterne al vostro AS 17

18 Single domain AS 10 Iniziamo con un solo AS Best practices OSPF Il router e identificato dall interfaccia di loopback Configurare come passive le interfacce verso l esterno della vostra rete 18

19 More domains AS 10 AS 20 Come popolare le tabelle di routing? Obiettivi: Indirizzamento globale Nascondere la struttura del proprio AS Usare policy manuali Soluzione: usare BGP 19

20 BGP Border Gateway Protocol Cosa devo configurare? L AS a cui appartiene il router I peering sono tutti configurati manualmente I routers BGP parlano tra di loro tramite una sessione che si chiama peering. Se il peering e tra routers dello stesso AS si parla di ibgp Se il peering e tra routers di AS differenti si parla di ebgp 20

21 BGP Decision Process 1) Largest Local Preference 2) Locally originated 3) Shortest AS-path length 4) Lowest origin (igp,egp,incomplete) 5) Lowest MED 6) Prefer ebgp over ibgp 7) Lowest IGP metric 8) Lowest BGP router-id 21

22 Small Internet routing loops AS 10 AS 20 RouterXAS20 Perche gli annunci non vanno in loop? (vediamo se avete studiato) AS 40 AS 30 22

23 Small Internet understanding ibgp AS 10 AS 20 RouterXAS20 Host Pippo AS 30 Host Pippo vuole visitare il web server. Cosa succede a livello di routing? Cosa succede su RouterXAS20? AS 40 Web server 23

24 Two domains AS 10 AS 20 R101 R201 Il router 101 ed il router 201 sono detti routers di frontiera Di solito c e una subnet /30 sul link Le sessioni ibgp sono costruite sugli indirizzi di loopback mentre quelle ebgp su gli indirizzi delle interfacce di frontiera. Perche? 24

25 Policy (lo schema e semplificato) AS (uniroma2) AS 137 Gli altri AS di Internet Lato uniroma2 IN accept default OUT accept /16 Lato GARR IN accept /16 OUT accept default 25

26 Policy (lo schema e semplificato) AS (uniroma2) AS 137 Gli altri AS di Internet Che succede se c e un filtro sbagliato? Posso attrarre traffico che non e per me (blackhole) Posso inviare una routing table troppo grande ad un router e questo si inchioda perche non la sa gestire 26

27 Policy (lo schema e semplificato) AS (uniroma2) AS 137 Gli altri AS di Internet Aggiungo un link di backup Lato uniroma2 IN accept default OUT accept /16 Lato GARR IN accept /16 Local preference 90 OUT accept default As path prepend

28 Small Internet: torniamo indietro AS 10 AS 20 RouterXAS20 Perche gli annunci non vanno in loop dentro un AS? (full mesh di peering) AS 40 AS 30 28

29 Looking Glass - Troubleshooting Come posso trovare routing loops o black holes che catturano il traffico a me destinato? Looking Glass Gli AS mettono a disposizione (di solito tramite pagine web) la possibilita di fare traceroute partendo dal loro AS per fare troubleshooting 29

30 ibgp insights AS 10 Molti routers, molti peering Full mesh: Alternative: N * (N-1) BGP Route reflection RFC 4456 BGP Confederation RFC 5065 Hint, diminuire il numero di routers BGP ed usare MPLS-TE con RSVP-TE 30

31 MPLS AS 10 3 routers di frontiera collegati con 6 LSP Perche 6 e non 3? Nell esempio in figura solo i 3 routers di frontiera parleranno BGP, e vedranno direttamente connessi sui tunnel MPLS 31

32 MPLS AS 10 Come collego l utente? Collego l utente in MPLS, in modo che a livello IP il router utente vede direttamente uno dei miei router BGP 32

33 Layer 3 BGP/MPLS VPN AS 10 RFC 2547 Provider Backbone routers PE -> Provider Edge Customer A routers Customer B routers CE -> Customer Edge 33

34 Layer 3 BGP/MPLS VPN CE CE PE PE Isolare il traffico tra le VPN dei diversi clienti Connettere tra loro le sedi dei clienti Permettere l uso di indirizzamento privato indipendente per ogni cliente PE CE CE 34

35 Layer 3 BGP/MPLS VPN Route Distinguisher CE Per-VPN routing and forwarding tables (VRF) on PE routers CE PE PE Il PE vede il CE su una porta (logica) associata ad una VRF La distribuzione di rotte tra i PE utilizzando una sola istanza di BGP ma marcando gli annunci con il Route Distinguisher MP-BGP con VPN-IPv4 address family CE PE CE L attributo RD serve per essere certi che una route è unica. E possibile usare un RD per VPN per PE 35

36 CE Layer 3 BGP/MPLS VPN Route Target PE CE PE CE PE BGP speakers possono marcare le rotte con le community RT, route target è riferito all uso di community 1 o più RT per route 2^32 RT disponibili per AS La distribuzione di rotte tra i PE utilizzando una sola istanza di BGP ma marcando gli annunci con il Route Target CE L attributo RT serve al PE per capire su quale VRF deve ricevere l annuncio 36

37 LHC-OPN Esempio VPN 37

38 LHC OPN Esempio VPN FZK Karlsruhe T1 GEANT2 G.709 DWDM 10GE-LAN lightpath access STM-64 IP access CBF DE-CH-IT DFN, SWITCH, GARR Milan GARR PoP CERN Bologna GARR PoP CNAF T1

39 Domande? Domande? Per approfondimenti su GARR 39