1

M. J. Icaran
Ingeniero electrnico y telecomunicaciones (USM, Av. Espaa 1608, Maurioppp@[Link])

Estudio y configuracin de una VPN MPLS

MP-BGP

ResumenEl crecimiento exponencial de Internet

ha
provocado la creacin de nuevas aplicaciones y servicios as como
el aumento en usuarios. Una VPN MPLS MP-BGP es una
arquitectura que provee envo de datos seguros atravs de una
red compartida que conecta sitios geogrficamente distribuidos.
Este trabajo explica los fundamentos del funcionamiento as
como el proceso de configuracin en equipos reales de una VPN
MPLS MP-BGP.

I. INTRODUCCIN
na VPN interconecta mltiples sitios sobre una
infraestructura publica proveyendo las mismas politicas
de seguridad de una red privada. Una VPN puede soportar
distintos tipos de topologas como malla completa, malla
parcial. Hub and Spoke. Una VPN puede escalar a cientos y
miles de sitios. Esta a la vez puede proveer calidad de servicio
QoS que el negocio requiera extremo a extremo. Con una VPN
MPLS MP-BGP se pueden exigir niveles de delay, jitter y
perdida de paquetes al firmar un acuerdo de servicio (SLA).
Los servicios VPN pueden satisfacer los requierimientos de
privacidad, flexibilidad, escalabilidad y QoS.
Las VPN tradicionales eran configuradas estableciendo lneas
emuladas entre los sitios o usando tneles y software que se
ejecutaban en el CPE (Equipo cliente). Estas tecnologas no
son una solucin efectiva desde el punto de vista de costos
para pequeas empresas y no escalan bien para grandes
empresas. En ves de esto los clientes pueden utilizar todo el
potencial de SP (proveedor de servicios) sin la necesidad de
desplegar aplicaciones VPN como servidores de autenticacin,
integridad y seguridad delegando estos servicios al SP. Una
VPN basada en red (PPVPN) es una VPN construida usando el
backbone del SP. En este trabajo se discute la VPN MPLS MPBGP definida en la RFC2547bis [1], la cual es un tipo de
PPVPN propuesta por la IETF. En esta arquitectura el
protocolo de Gateway de borde (BGP) [2] es usado para el
intercambio de la informacin de enrutamiento VPN y MPLS
es usado para el envo del trafico VPN. En el presente trabajo
se explica el funcionamiento y la forma de configuracin en
equipos reales de una VPN MPLS MP-BGP. Se busca dar una
visin de lo que es la configuracin en quipos reales as como
establecer la relacin entre los pasos de configuracin y los
procesos de convergencia de la red.

forma en como los enrutadores de la WAN envan y procesan

los paquetes IP. Lo que viaja por la WAN ahora son paquetes
IP mas una cabecera MPLS de 3 Bytes. La cabecera MPLS es
insertada sobre la capa de enlace de datos y bajo la capa de
red. La cabecera MPLS consta de cuatro campos un campo de
etiqueta, campo pila, campo experimental (usado para QoS) y
campo TTL. El campo de mayor relevancia es el campo
etiqueta ya que en base a este campo los enrutadores saben
como enviar los paquetes IP etiquetados.
En el enrutamiento tradicional al llegar un paquete IP al
enrutador, este analiza la cabecera IP del paquete entrante y
obtiene la direccin IP destino a la cual va dirigido el paquete,
luego en base a esta direccin, el enrutador analiza su tabla de
enrutamiento y realiza la bsqueda de coincidencia mas larga
luego mapea la direccin destino con una ruta de su tabla, con
lo cual obtiene la interfaz de salida y el prximo salto al cual
debe enviar el paquete IP. Al agregar el protocolo MPLS este
proceso en los enrutadores de la WAN cambia. Cuando un
enrutador en un dominio MPLS recibe un paquete IP este
paquete contiene una cabecera MPLS y el enrutador analiza la
cabecera MPLS y no la cabecera IP. Al abrir la cabecera MPLS
el enrutador busca el valor de etiqueta del paquee y luego
analiza su base de informacin de envo de etiquetas (LFIB)
(no su tabla de enrutamiento) posteriormente enva el paquete.
En toda WAN se tiene los enrutadores de borde y los
enrutadores de nucleo. Los enrutadores de borde son aquellos
que estan en la periferia de la red y estan conectados a
dispositivos que no son parte de la WAN. Los enrutadores de
nucleo son aquellos que estan en el centro de la WAN y todas
sus interfaces estan conectadas a enrutadores de la WAN. En
un dominio MPLS a los enrutadores de borde se les llama
LER y a los enrutadores de nucleo LSR. Los LER son los
encargados de aadir la cabecera MPLS a cada paquete IP que
ingrese a la WAN, los LSR devn conmutar las etiquetas
contenidas en las cabeceras MPLS. Esto significa que por cada
LSR que atreviese un paquete IP el valor de la etiqueta
cambia, esta conmutacin de etiquetas a lo largo de la ruta de
un flujo de paquetes IP crea lo que se conoce como ruta
conmutada por etiquetas (LSP). En la siguiente figura-1 se
muestra una WAN MPLS.

II. DEFINICIONES
A.

MPLS
MPLS es un protocolo que se ubica entre la capa de red
y la capa de enlace de datos del modelo OSI. MPLS es
implementado en WAN y Backbones de proveedores de
servicio. El protocolo MPLS describe los mecanismos para
realizar la conmutacin de etiquetas sobre la WAN.
Funcionalmente el protocolo MPLS aade una cabecera MPLS
a cada paquete IP que ingresa a la WAN, esta accin cambia la

Fig. 1. Rec de area amplia con tecnologia MPLS.

Una pregunta valida que nos podramos hacer es Como el

enrutador obtiene las etiquetas? o Como el enrutador obtiene
su LFIB? La respuesta es muy simple: va protocolos de

sealizacin. El protocolo de sealizacin de MPLS es el

protocolo de distribucin de etiquetas (LDP). Mediante LDP
cada enrutador del dominio MPLS aprende las etiquetas,
converge su tabla LFIB y obtiene la informacin necesaria
para enviar los paquetes IP etiquetados. LDP se utiliza junto
con un protocolo de enrutamiento en el dominio MPLS.
Primero se realiza el intercambio de la informacin de
enrutamiento, despus converge la tabla de enrutamiento,
luego cada LSR realiza su asignacin local de etiquetas
asignando un valor de etiqueta a cada ruta que tenga en su
tabla de enrutamiento. Posteriormente se establecen
adyacencias entre LSR va el puerto TCP 646 para iniciar la
sesin LDP. Mediante el protocolo LDP cada LSR intercambia
sus etiquetas con las del enrutador vecino. Cuando se da por
finalizada la sesin LDP cada LSR tendr su LFIB. La LFIB
es muy similar a la tabla de enrutamiento con la diferencia de
que cada ruta en la LFIB contiene un valor de etiqueta.
B. VPNs
Una VPN se define, como la conectividad de sitios remotos
va una infraestructura pblica donde se mantienen las
polticas y seguridad de una red privada. La infraestructura
pblica tpicamente es una WAN. La tecnologa de la WAN
puede ser ATM, Frame-relay o MPLS. Actualmente la
mayora de las WAN tienen tecnologa MPLS [1]. Las VPNs
se separan en dos grandes grupos: VPN Overlay y VPN iguala-igual. La VPN Overlay es aquella donde el proveedor de
servicios emula una lnea dedicada mediante un circuito
virtual (VC) entre los sitios remotos. Los circuitos virtuales
(VC) son propios de las tecnologas ATM y Frame-relay. En el
modelo VPN igual-a-igual se intercambia informacin de
enrutamiento entre la VPN y la WAN. En la siguiente figura se
muestran las tecnologas usadas para los dos modelos de VPN.

implementar QoS, capacidad de implementa ingeniera de

trafico (TE).
C.

VPN MPLS
La RFC 2547 define un mecanismo el cual permite que los
proveedores de servicios utilizar su backbone IP/MPLS para
proporcionar servicios de VPN a sus clientes. La RFC 2547
tanbien se conoce como VPNs MPLS MP-BGP por que MPBGP se utiliza para el intercambio de la informacin de
enrutamiento entre sitios remotos sobre la WAN y MPLS se
utiliza para enviar trafico de VPN.
Un sitio cliente esta conectado a la red del proveedor de
servicios (SP) por una interfaz. El SP asocia la interfaz a una
tabla de enrutamiento y envio VPN (VRF) en un PE. En la
arquitectura VPN MPLS MP-BGP se definen 3 tipos de
dispositivos el CE, el PE y el P.
El dispositivo de borde cliente (CE) puede ser un conmutador
de capa dos pero tipicamente el CE es un enrutador que
establece adyacencia con el PE directamente conectado.
Despus de establecer adyacencia el enrutador CE anuncia las
rutas locales del sitio VPN y aprende rutas remotas desde el
PE.
El enrutador de borde del proveedor (PE) intercambia
informacin de enrutamiento con el enrutador CE. Para
intercambiar la informacin de enrutamiento se puede usar
enrutamiento esttico a algun protocolos de enrutamiento
como RIP, OSPF, EIGRP o EBGP. Cada enrutador PE
mantiene una VRF para cada uno de los sitios directamente
conectado. El enrutador interno provedor (P) es cualquier
enrutador en la red del proveedor que no une a CEs. Los
enrutadores P funcionan como LSR de MPLS enviando y
conmutando etiquetas. En la figura-3 se muestra la
arquitectura de una VPN MPLS MP-BGP

Fig. [Link] privada virtual sobre MPLS.

Fig. [Link] de redes privadas virtuales.

Las ventajas que ofrece una VPN MPLS por sobre las VPN
Overlay son escalamiento al agregar un nuevo sitio en la VPN
ya que no se tiene que reconfigurar todos los dems sitios al
agregarse uno nuevo, no se necesitan IP publicas para la
comunicacin entre sitios remotos (solo para salir a Internet),
Ofrece una topologa de malla completa, ofrece una
plataforma de rpido despliegue de nuevos servicios como
telefona IP, multimedia, Intranet, extranet, capacidad para

Dos flujos de control son necesarios para el establecimiento de

la VPN. El primer flujo de control es el intercambio de la
informacin de enrutamiento entre sitios remotos esto es
realizado atravs del protocolo MP-BGP. El segundo flujo de
control es el establecimiento de la ruta conmutada por
etiquetas (LSP) va el protocolo LDP, luego ocurre el trfico de
datos entre sitios remotos.
III. CONFIGURACIONES
Se simulo una WAN compuesta por cuatro enrutadores. Cada
enrutador ejecuta como sistema operativo el IOS de Cisco
7200. Se eligi esta IOS ya que da la capacidad de configurar
MPLS. En la siguiente fig. 4 se muestra la WAN simulada.
El primer paso es configurar un protocolo de enrutamiento en
la WAN. Se eligi OSPF como protocolo de enrutamiento. Los

comandos utilizados para la configuracin de OSPF se

muestran en la fig.5, El numero de de sistema autnomo para
el dominio OSPF es 120, se publicaron 4 subredes ya que
existen 4 enlaces punto a punto en la WAN. Todos las subredes
son de

conecte cada sitio se tendr el nmero de VRFs a configurar.

Por ejemplo en la fig.3 se muestra una WAN con 7 enrutadores
de los cuales 5 son PE y 2 son P. Tambin se muestra un
cliente con 4 sitios remotos. Cada uno de estos sitios remotos
se conecta a 4 PE distintos, por ende es necesario configurar 4
VRFs. Los comandos de la configuracin de VRFs se
muestran en la fig.7.

Fig. 7. Configuracin VRFs

Fig. [Link] simulada

mascara 30 lo que equivale a la wildcard mostrada en los

comandos de la fig.5 Se configuro OSPF de rea nica.

Fig. 5. Configuracin OSPF

Luego de ejecutar los comandos en cada enrutador de la WAN

converge la tabla de enrutamiento, existiendo conectividad de
capa tres todos con todos. Todas las rutas son de mascara 30
ya que se configuraron enlaces punto a punto entre los
enrutadores.
El prximo paso es habilitar LDP en la WAN. Los siguientes
comandos muestran como se realizo este paso, en la Fig.6

Fig. 6. Configuracin LDP

Estos comandos fueron ejecutados en las 4 interfaces. La

principal funcin de estos comandos es habilitar el protocolo
LDP en la WAN con lo cual comienza el intercambio de
etiquetas entre los enrutadores vecinos. LDP debe ser
habilitado por interfaz ya que existen interfaces en los PE que
salen del dominio de la WAN y por ende no requieren ser
habilitadas para MPLS/LDP. Despus de ejecutar los
comandos anteriores debe converger la LFIB. La LFIB
contiene el mapeado de ruta a etiqueta en cada LSR.
En este punto si llegaran paquetes IP a la WAN se
transportaran los paquetes IP con la cabecera MPLS de 3
Bytes. Los paquetes son enviados en base a una consulta de
etiqueta MPLS y no en base a la consulta de la cabecera IP. El
proveedor ahora esta preparado para recibir clientes VPNs.
Cuando llega una empresa cliente pidiendo el servicio de
VPN al SP. El SP debe configurar en primer lugar las VRFs.
La VRF es una tabla de enrutamiento y envo VPN que se
configuran en los enrutadores PE. Dependiendo a que PEs se

El primer paso es asignarle un nombre a la VRF, lego se

configura el distintivo de ruta (RD). Mediante el RD cada
direccin IP de los sitios VPN es globalmente nica. Cualquier
VPN puede hacer uso de todo el espacio de direcciones IP
privada definidas por la RFC 1918. Para que no exista
superposicin de direcciones IP en la WAN el SP le aade el
RD. El RD crea las direcciones VPN-IPV4. Cada direccin
VPN-IPV4 es una direccin IP privada ms el nmero de
sistema autnomo (AS) de la VPN. Adems de los RD a cada
VRF debe configurarse los objetivos de rutas (RT), tpicamente
los objetivos de rutas son el AS de la VPN, y sirven para que el
protocolo MP-BGP sepa que rutas instalar en una determinada
VRF. Mediante los RT la informacin de enrutamiento en la
WAN se mantiene separada para cada VPN.
Una forma didctica de ver la VRF es como un enrutador
virtual dentro de cada enrutador fsico. Si el enrutador PE
tiene configurado 5 VRFs significa que tiene 5 enrutadores
virtuales.
Hata este punto existe una conexin fisica entre la WAN y la
VPN pero aun no se ha intercambiado informacin de
enrutamiento, para realizar esto se debe configurar el enlace
que conecta al CE y el PE mediante un protocolo de
enrutamiento interior como OSPF. Los comandos se muestran
a continuacin.

Fig. 7. Configuracin PE-CE

Los comandos mostrados en la figura son del PE. Con el

primer comando se asocia la VRF particular al protocolo
OSPF, luego se redistribuyen las rutas aprendidas en el PE a
travs de BGP dentro de OSPF. En el CE basta con levantar
una subred con OSPF en el enlace.
En este punto el PE y CE empiezan a intercambiar
informacin de enrutamiento, el CE le enva todas sus rutas al
PE el cual las instala en la VRF y la VRF contendr todas las
rutas del CE directamente conectado
Ahora solo falta que el PE aprenda rutas remotas para esto se
necesita configurar el protocolo MP-BGP con los comandos
que muestra la siguiente figura.

Fig. 9. Configuracin MP-BGP

Mediante los comandos mostrados en la fig.9 se configuran los

enrutadores PE que van a intercambiar las rutas de la misma
VPN. Los PE se configuran como vecinos para que
establezcan una sesin BGP interna y de esta forma poder
intercambiar rutas de un sistema autnomo externo.
CONCLUSIONES
La operacin con VPN MPLS MP-BGP tiene muchas ventajas
sobre otros tipos de VPN como las VPN IPSEC o VPN GRE
en principio con una VPN MPLS MP-BGP el cliente que
solicita la VPN tiene una topologa de malla completa lo cual
implica que todos los sitios tienen comunicacin directa entre
ellos, esto aade redundancia a la solucin y tambin reduce
puntos de fallos nicos de la red como ocurre en una topologa
hub and Spike. Otra ventaja muy importante es la capacidad
de aadir QoS extremo a extremo en la VPN tomando en
cuenta los enrutadores del SP, con otras VPN esto no es
realizable ya que se crean un tnel sobre la red del SP sin la
posibilidad de configurar los enrutadores del SP. Con VPN
MPLS MP-BGP se tiene una plataforma disponible para
agregar multimedia a la red con servicios como ToIP o video
conferencias de una manera mucho mas transparente que con
otras VPN. Con una VPN MPLS MP-BGP si tiene una mayor
escalabilidad que con cualquier otra VPN ya que agregar un
nuevo sitio requiere configurar el correspondiente PE.
MPLS es la tecnologa WAN por excelencia hoy en da
ocupada por la mayora de SP. MPLS supera ampliamente a
tecnologas como ATM o Frame- Relay en el sentido que
reduce costos de OAM a los SP y permite ocupar enlaces
Ethernet a nivel de capa fsica para el transporte de datos, voz
y video en forma de paquetes. Esto hace que el escalamiento
de ancho de banda para el SP sea menos costoso en
comparacin con otras tecnologas como ATM y Frame-Relay.
REFERENCIAS
[1]
[2]
[3]

E. C. Rosen and Y. Rekhter, BGP/MPLS IP VPNs, [Link], Septiembre 2003.

Y. Rekhter and T. Li: A Border Gateway Protocol 4 (BGP-4), RFC1771,
Marzo 1995.
Ivan Pepelnjak MPLS and VPN Architectures, Noviembre 2000