MPLS: de mogelijkheden van Multiprotocol Label Switching

netwerkbronnen controleren met MPLS

Routing proces versnellen en netwerkbronnen controleren met MPLS

Er wordt over het algemeen onderscheid gemaakt tussen twee soorten gegevensuitwisseling. Bij de verbindingsvrije uitwisseling kunnen gegevens op ieder moment en zonder limiet vanuit het gebruikte toestel naar het doelsysteem worden gestuurd, zonder een van tevoren vastgelegde weg voor de pakketten. Alle tussengeschakelde netwerkknopen (meestal routers) weten automatisch hoe ze de gegevensstroom moeten doorsturen. De verbindingsvrije uitwisseling is weliswaar zeer flexibel, maar biedt geen garantie dat de benodigde bronnen daadwerkelijk beschikbaar zijn.

Bij een verbindingsgeoriënteerde uitwisseling is de weg van de gegevenspakketten van begin af aan vastgelegd. De betrokken netwerkknopen (meestal switches) krijgen de informatie die nodig is om de gegevens door te sturen van het vorige station, tot het pakket uiteindelijk terechtkomt bij de doelcomputer. Op deze manier wordt het omslachtige routingproces dat nodig is bij verbindingsvrije uitwisselingen enorm versneld. Bovendien is het mogelijk om de beschikbare netwerkbronnen optimaal te controleren en onder de afzonderlijke deelnemers te verdelen. Het zogenoemde Multiprotocol Label Switching (MPLS) maakt dit ook mogelijk voor TCP/IP-netwerken, hoewel deze eigenlijk behoren tot de verbindingsvrije netwerken.


Wat is MPLS

Wat is MPLS (Multiprotocol Label Switching)?

In het midden van de jaren ‘90 maakte spraakcommunicatie (telefonie) nog een veel groter deel uit van grote communicatienetwerken dan gegevenscommunicatie (internet). Telecommunicatieproviders boden op dat moment nog afzonderlijke netwerken aan voor de twee uitwisselingsvarianten, maar dit kostte vrij veel geld en kon geen optimale kwaliteit van dienstverlening (Quality of Service) waarborgen. Tegenover de kwalitatief hoogwaardige, verbindingsgeoriënteerde spraaknetwerken stonden de verbindingsvrije gegevensnetwerken met te weinig bandbreedte. Met het ATM-protocol (Asynchronous Transfer Mode) kon dit probleem grotendeels worden opgelost, door de uitwisseling van spraak en data via een gemeenschappelijke infrastructuur mogelijk te maken. Maar de oplossing om de beschikbare bandbreedtes efficiënt te gebruiken kwam pas aan het einde van de jaren ’90 met Multiprotocol Label Switching.

MPLS zorgde ervoor dat routingsystemen minder belast werden. De optimale route van een gegevenspakket werd niet langer bepaald door de afzonderlijke tussenstations; de techniek maakte het mogelijk om het pad al van tevoren te definiëren en op die manier de weg van het pakket van beginpunt (ingress-router) tot doel (egress-router) te bepalen. De tussenstations (label switched routers) herkennen deze paden door labels te analyseren die de bijbehorende routing- en servicegegevens bevatten en aan het betreffende gegevenspakket worden toegewezen. Het analyseren vindt plaats met behulp van bepaalde hardware (bijvoorbeeld een switch) boven de beveiligingslaag (layer 2), terwijl het omslachtige routing op de netwerklaag (layer 3) wegvalt.

Dankzij de uitbreiding Generalized MPLS is de techniek, die oorspronkelijk alleen voor IP-adressen is ontwikkeld, ondertussen ook beschikbaar voor andere netwerksoorten zoals SONET/SDH (Synchronous Optical Networking / Synchronous Digital Hierarchy) en WSON (Wavelength Switched Optical Network).


Hoe functioneert Multiprotocol Label Switching

Hoe functioneert Multiprotocol Label Switching?

Voor het gebruik van MPLS in IP-netwerken is een logische en fysieke infrastructuur met MPLS-routers nodig. Het labelproces vindt voornamelijk binnen een autonoom systeem (AS) plaats – een verzameling van verschillende IP-netwerken die als één geheel kunnen worden beheerd en via minstens één gemeenschappelijk Interior Gateway Protocol (IGP) zijn verbonden. Beheerders van zulke systemen zijn meestal internetproviders, universiteiten of internationale bedrijven.

Voordat de afzonderlijke paden kunnen worden opgebouwd, moet het gebruikte IGP ervoor zorgen dat alle routers van het autonome systeem elkaar kunnen bereiken. Vervolgens worden de verschillende punten van de paden bepaald. Deze worden ook wel Label Switched Paths (LSP) genoemd. De eerdergenoemde ingress- en egress-router zijn over het algemeen bij de in- en uitgangen van een systeem te vinden. LSP's kunnen dan handmatig, halfautomatisch of geheel automatisch worden geactiveerd.

  • Handmatige configuratie: iedere knoop die een LSP passeert, moet afzonderlijk worden geconfigureerd. Bij grote netwerken is deze aanpak niet effectief.
  • Halfautomatische configuratie: slechts enkele tussenstations (bijvoorbeeld de eerste drie hops) moeten handmatig worden geconfigureerd. De rest van de LSP's krijgt de benodigde informatie van het Interior Gateway Protocol.
  • Geheel automatische configuratie: het Interior Gateway Protocol bepaalt het verloop van het pad. Het pad wordt echter niet geoptimaliseerd.

Gegevenspakketten die in een geconfigureerd MPLS-netwerk worden verstuurd, krijgen van de ingress-router een aanvullende MPLS-header. Deze wordt toegevoegd tussen de informatie van de tweede en derde laag, wat ook wel Push Operation wordt genoemd. Tijdens het uitwisselen vervangen de afzonderlijke betrokken hops het label door een aangepaste variant met eigen verbindingsgegevens (latentie, bandbreedte en doelhop); dit proces wordt ook wel Swap Operation genoemd. Aan het einde van het pad wordt het label, in het kader van een Pop Operation, weer verwijderd uit de IP-header.


Opbouw van de Multiprotocol Label Switching Header

Opbouw van de Multiprotocol Label Switching Header

MPLS vult de gewone IP-header aan met een zogenoemde MPLS Lable Stack Entry; ook bekend onder de naam MPLS Shim Header. Deze entry is met een lengte van 4 byte (32 bit) vrij kort, wat betekent dat hij snel kan worden verwerkt. De bijbehorende header-regel die tussen de headers van layer 2 en layer 3 wordt ingevoegd, ziet er zo uit:

Bit 0-19 Bit 20-22 Bit 23 Bit 24-31
Label TC S TTL

De aanvullende 32 bit van de MPLS Label Stack Entry voegen dus vier soorten informatie toe aan een IP-pakket, die bedoeld zijn voor de volgende netwerk-hop.

  • Label - Het label bevat de kerninformatie van de MPLS-entry en vormt met een lengte van 20 bit het grootste onderdeel. Zoals gezegd is een label op het pad altijd uniek en vormt het daardoor alleen een verbinding van één router naar één andere. Vervolgens wordt het voor de gegevensuitwisseling naar het volgende tussenstation aangepast.
  • Traffic Class (TC) - Met behulp van het Traffic-Class-veld geeft de header informatie weer over Differentiated Services (DiffServ). Dit schema kan worden gebruikt om IP-pakketten te rangschikken, waardoor de Quality of Service wordt gewaarborgd. De 3 bit kunnen bijvoorbeeld aan de netwerk-scheduler doorgeven of hij een gegevenspakket prioriteit moet geven of juist niet.
  • Bottom of Stack (S) - De Bottom of Stack definieert of het uitwisselingspad waarop hij zich baseert een eenvoudig pad is of dat meerdere LSP's met elkaar zijn vervlochten. In het laatste geval kan een pakket over meerdere labels beschikken, die worden samengevat in de zogenoemde Label Stack. De Bottom of Stack Flag geeft aan de router door dat er nog meer labels komen, of dat de entry het laatste MPLS-label van de stack bevat.
  • Time to live (TTL) - De laatste 8 bit van de MPLS Lable Stack Entry geeft de levensduur van het pakket weer. Voor dit doeleinde regelen zij hoeveel routers het pakket op het pad nog mag passeren (de limiet bedraagt 255 routers).

De actuele rol van Multiprotocol Label Switching

De actuele rol van Multiprotocol Label Switching

In de jaren ‘90 hielp MPLS de providers om hun netwerken snel uit te breiden. Het aanvankelijke snelheidsvoordeel bij het uitwisselen van data raakte echter steeds meer op de achtergrond, vanwege een nieuwe generatie sterke routers met geïntegreerde netwerkprocessor. Tot op de dag van vandaag wordt MPLS bij veel serviceproviders echter wel gebruikt als techniek waarmee de beloofde dienstkwaliteit kan worden gegarandeerd. Het gaat hierbij om het zogenoemde Traffic Engineering – een proces dat zich bezighoudt met het analyseren en optimaliseren van gegevensstromen. Naast het rangschikken van de afzonderlijke gegevensverbindingen, vindt ook een analyse van de bandbreedtes en van de capaciteiten van afzonderlijke netwerkelementen plaats. Op basis van de resultaten wordt vervolgens geprobeerd om de gegevenslast optimaal te verdelen, om zo het gehele netwerk te versterken.

Een belangrijk toepassingsgebied is Virtual Private Networks (VPN), oftewel gesloten, virtuele communicatienetwerken, die openbare netwerk-infrastructuren zoals het internet als transportmedium gebruiken. Op deze manier kunnen apparaten samen één netwerk vormen, zonder fysiek met elkaar te zijn verbonden. Er wordt onderscheid gemaakt tussen twee soorten virtuele MPLS-netwerken:

  • Layer-2-VPN's - Virtuele privénetwerken op de beveiligingslaag kunnen zijn ontworpen voor punt-tot-puntverbindingen of remote-toegang. Layer 2 functioneert voor gebruikers van dit soort VPN's als interface voor het opbouwen van verbinding. De basisprotocollen zijn het Point-to-Point Tunneling Protocol (PPTP) of het Layer 2 Tunneling Protocol (L2TP). Op deze manier hebben serviceproviders de mogelijkheid om hun klanten SDH-achtige dienstverleningen en ethernetservices aan te bieden.
  • Layer-3-VPN's - Layer-3-VPN's die zich op het netwerk baseren, zijn een eenvoudige oplossing voor serviceproviders om hun klanten geheel geroute netwerkstructuren aan te bieden op basis van een enkele IP-infrastructuur. Deze oplossing is onafhankelijk van het privé-adresbereik. De Quality of Service wordt gewaarborgd door een afzonderlijk beheer van klanten met behulp van individuele MPLS-labels en reeds gedefinieerde pakketpaden. Bovendien hoeven netwerk-hops niet meer te routen.

Providers van grote WAN-netwerken (Wide Area Network) profiteren van provideraanbiedingen die gebaseerd zijn op Multiprotocol Label Switching; met de juiste configuratie optimaliseren de strategische Label Switched Paths het gegevensverkeer. Daardoor wordt grotendeels gewaarborgd dat alle gebruikers altijd over de benodigde bandbreedte kunnen beschikken, terwijl je daar zelf niet veel voor hoeft te doen. Ook voor netwerken van universiteiten en bedrijven vormt de techniek een geschikte oplossing, indien het benodigde budget beschikbaar is.


De voordelen van MPLS-VPN's

De voordelen van MPLS-VPN's

Multiprotocol Label Switching concurreert als technologie voor virtuele netwerken onder andere met IPsec, een uitbreiding van de IP-protocolstack. De beveiligingsupgrade van het internetprotocol is vooral bijzonder vanwege de eigen coderingsmechanismen en de lage kosten. In tegenstelling tot het realiseren van de infrastructuur via MPLS, is het realiseren via IPsec niet de taak van de provider, maar van de gebruiker. Voor de gebruiker is MPLS dus eenvoudiger. Maar de techniek heeft nog meer voordelen, zoals blijkt uit onderstaande opsomming:

  • Minder moeite nodig - De provider dient ervoor te zorgen dat het MPLS-netwerk functioneert, de IP-configuratie klopt en routing kan worden ingezet. Als klant profiteer je daardoor van de kant-en-klare infrastructuur en bespaar je, ten opzichte van het aanleggen van een eigen netwerk, veel moeite.
  • Optimale performance - Omdat de gevenspaden van tevoren zijn vastgelegd, is een hoge uitwisselingssnelheid met weinig schommelingen mogelijk. Service Level Agreements (SLA) tussen provider en klant garanderen de gewenste bandbreedte en een snelle ondersteuning bij storingen.
  • Veel flexibiliteit - VPN's op basis van Multiprotocol Label Switching bieden internetproviders veel flexibiliteit wat bronnenverdeling betreft. Dit heeft ook positieve gevolgen voor de klant. Op afspraak kunnen bijvoorbeeld specifieke aanvullende pakketten probleemloos worden toegevoegd om het netwerk uit te breiden.
  • De mogelijkheid om prioriteiten in te stellen - Dankzij de MPLS-structuur kunnen providers verschillende Quality of Service-niveaus aanbieden. De gehuurde bandbreedte is in dit geval niet statisch, maar kan worden onderverdeeld (Class of Service). Op deze manier is het mogelijk om diensten zoals VoIP de prioriteit te geven, waardoor een stabiele uitwisseling wordt gegarandeerd.

Hoe veilig zijn MPLS-netwerken

Hoe veilig zijn MPLS-netwerken?

De voordelen van MPLS, en virtuele privénetwerken die op deze techniek zijn gebaseerd, zijn vooral voor bedrijven en instellingen die meerdere vestigingen hebben van belang, omdat zij ook hun klanten toegang tot het eigen netwerk willen geven. Daarom zijn zulke virtuele netwerken in deze gevallen vaak de eerste keuze als een ICT-infrastructuur moet worden opgebouwd. Op deze manier hebben alle gewenste gebruikers toegang tot één netwerk, terwijl een fysieke verbinding of openbare, op internet routende IP-adressen niet noodzakelijk zijn.

Over het algemeen is een Multiprotocol Label Switching VPN alleen toegankelijk voor gebruikers die beschikken over de gegevens die nodig zijn om verbinding op te bouwen. Dit betekent echter niet dat virtuele netwerken immuun zijn voor onbevoegde toegang. De toevoeging ‘privé’ houdt in zulke netwerken namelijk niet Inho‘geheimhouding’ of ‘codering’ in, maar betekent slechts dat de gebruikte IP-adressen alleen intern bereikbaar zijn. Zonder aanvullende codering worden alle gegevens onversleuteld uitgewisseld. Maar ook certificatie biedt geen totale bescherming, als het gewone internet-traffic verloopt via een Provider Edge (PE) tussen het MPLS-netwerk en het LAN van de klant. Enkele mogelijke risico's van het gebruik van MPLS-infrastructuren zijn:

  • MPLS-pakketten belanden in de verkeerde VPN - Softwarefouten en verkeerde configuraties zijn vaak de oorzaak dat IP-pakketten met MPLS-label de eigen VPN verlaten en in een ander netwerk zichtbaar worden. De router stuurt de pakketten in dit geval per ongeluk naar onbetrouwbare systemen door, omdat er een IP-route naartoe bestaat. Bovendien is het mogelijk dat doelgerichte gegevenspakketten met veranderde labels (MPLS Label Spoofing) naar een vreemd VPN worden gestuurd, als de Provider Edge-router deze pakketten accepteert.
  • Onbevoegd verbonden Provider Edge - Als verschillende VPN's zijn verbonden aan de MPLS-infrastructuur, is het gevaar groot dat een PE-router onbevoegd wordt geïntegreerd in de VPN van een andere klant. Dit gebeurt als er per ongeluk een fout is gemaakt bij de configuratie, of door een doelgerichte aanval. Daardoor kan de buitenstaande gebruiker verdere aanvallen vanaf het internet zonder problemen uitvoeren.
  • Logische structuur van het providernetwerk is zichtbaar - Als een aanvaller bekend is met de logische structuur van een MPLS-netwerk, die door de serviceprovider is aangelegd, zijn aanvallen tegen de PE-routers zeer waarschijnlijk – vooral als de adressen hiervan zichtbaar zijn.
  • Denial-of-Service-aanval tegen de PE-router - Als belangrijk knooppunt voor alle betrokken netwerken is de Provider Edge-router een bijzonder populair doel voor Denial-of-Service-aanvallen, die de beschikbaarheid van VPN-diensten negatief beïnvloeden. Mogelijk zijn in dit geval voortdurende routing-updates, bijvoorbeeld via EIGRP (Enhanced Interior Gateway Routing Protocol) of OSPF (Open Shortest Path First). De router kan echter ook worden overbelast, als hij doelgericht wordt overspoeld met een groot aantal kleinere gegevenspakketten.

Naast het coderen wordt aangeraden om ervoor te zorgen dat ieder VPN beschikt over aanvullende beveiligingstechnieken, zodat de Provider Edge-router is beschermd tegen toegang van buiten. In dit geval wordt aangeraden om een Demilitarized Zone op te richten tussen twee firewalls en om systemen in te richten die het netwerk controleren. Bovendien is het belangrijk dat soft- en hardware regelmatig worden geactualiseerd en dat er veiligheidsmaatregelen worden genomen tegen fysieke aanvallen op de gateway.

  • Gecertificeerde veiligheid

    Gecertificeerde veiligheid
  • Beste hostingbedrijf

    Beste hostingbedrijf
  • MKB Best Choice

    MKB Best Choice
  • Professionele support

    Professionele support
  • Hosted in Germany

    Hosted in Germany