Presentación 02 - MPLS-VPN (2)

Fundamentos de MPLS/VPN

Rogelio [email protected]

MPLS/VPN: Conceptos generales

2

Qu es una VPN ?

Es una red privada en trminos lgicos, montadasobre un medio potencialmente compartido

Un conjunto de sitios a los que les es permitidocomunicarse mutuamente

Es el mbito alcanzable por una tabla de rutas

VPN basada en la idea de peers

Router de borde del backbone y router del cliente usan el mismo protocolo de red para dialogar

Routers de cliente (CE) y routers de backbone (PE) arman una adyacencia en los trminos del protocolo

comn

Los routers del backbone conocen la informacin de direccionamiento de los routers de cliente

MPLS-VPN

Su base es el modelo de peers, pero

PEs reciben y mantienen informacin de rutas de las VPNs directamente conectadas

Reduce la cantidad de informacin que tiene que almacenar un PE

Se usa MPLS para rutear en el backbone (no se necesita conocer informacin del cliente)

MPLS-VPN: Terminologa

Red de Proveedor (Red P) Backbone controlado por un Proveedor MPLS

Red de Cliente (Red C) Red bajo el control del cliente

Router CE Customer Edge. Parte de la Red C, que hace interfaz

con la Red P


Sitio Conjunto de redes de la Red C, ubicadas en el mbito de un

PE

Un sitio se conecta al backbone MPLS a travs de uno o ms enlaces PE/CE

Router PE Provider Edge router. Parte de la Red P; hace interfaz con los

routers CE

Router P Provider (core) router; no tiene conocimientos de las VPNs

Componentes de una red MPLS

Sitio Sitio

PE

PE

PE

PE

PE

PE

PE

P

PP

P

CE

CE

Plano de control MPLS/VPN

VRF VRF

LDP LDPLDP

PE

PE

CEa

CEb

CEa

1. Activacin de VPNs (tantas VRFs por site como VPNs distintas)

2. CEs ensean sus rutas a cada PE, que las ubica en la VRF correspondiente

3. PE incorpora informacin de cada VPN al proceso BGP

4. PE asigna una etiqueta diferente a cada VPN, e informa lo que conoce a otros PEs

5. PE receptor distribuye adecuadamente lo recibido de otro PE a cada CE, segn corresponda a la VPN de destino

CEb

BGP basado en VPNs

Intercambio de labels asociado a VPNs

P P

VRFVRF


VRF (Virtual Routing and Forwarding) Tabla de rutas ms su tabla de forwarding

Alimentada por procesos de routing contextualizados

VPN-Aware network El backbone de un proveedor, en el cual se ha implementado

MPLS-VPN

MPLS VPN: Modelo

VPN_A

VPN_A

VPN_B

10.3.0.0

10.1.0.0

11.5.0.0

P P

PPPE

PE CE

CE

CE

VPN_A

VPN_B

VPN_B

10.1.0.0

10.2.0.0

11.6.0.0

CE

PE

PECE

CE

VPN_A

10.2.0.0

CE

iBGP

P (LSR) pertenece al ncleo del backbone MPLS

PEs (LSRs) utilizan MPLS dentro del backbone

PEs intercambian informacin de VPNs entre s, luego de interactuar con los routers CEs de los diferentes sitios

MPLS/VPN: Modelo de conexin

CCIE, CCSP y CSCI son marcas

registradas de Cisco Systems, Inc

12

MPLS VPN: Modelo de conexin

Una VPN es un conjunto de sitios que comparten informacin de ruteo

Un sitio puede ser parte de diferentes VPNs

Una VPN hay que pensarla como una comunidad de inters

Varias VRFs (Routing/Forwarding instances) presentes en los routers PE


Un sitio que pertenece a varias VPNs podra (o no) ser usado como trnsito entre las VPNs

Si dos o ms VPNs tienen un sitio en comn, el espacio de direcciones debe ser nico entre estas VPNs

Sitio1

Sitio3

Sitio4

Sitio2

VPN-A

VPN-C

VPN-B


Backbone VPN = conjunto de LSRs MPLS PE routers (edge LSRs)

P routers (core LSRs)

PEs hablan con CEs y propagan informacin de VPN con MP-BGP a otros PEs

Direcciones VPN-IPv4, Extended Community, Label

Routers P no corren BGP ni conocen VPNs

MPLS VPN: Modelo

PEs y CEs intercambian rutas

CEs corren un software IP tradicional

PE

CE

C

E

Sitio-2

Sitio-1

Intercambio de rutas

MPLS VPN: Modelo

PEs mantienen tablas de rutas separadas Tabla de rutas global

Contiene a todos los P y PEs

Contiene el mapa del backbone

VRF (VPN Routing and Forwarding) Tabla de Routing y Forwarding asociada a uno o ms sitios

directamente conectados (CEs)

VRF son asociadas con interfaces conectadas a los CEs

Interfaces pueden compartir la misma VRF si los sitios conectados pueden compartir la misma informacin de rutas

PE

CE

CE

Sitio-2

Sitio-1

Backbone MPLS/VPNIntercambio de rutas

MPLS VPN: Modelo

Sitios diferentes que comparten la misma informacin, pueden compartir la misma VRF

Las interfaces que conectan a estos sitios usarn la misma VRF

Sitios que pertenecen a la misma VPN podran usar la misma VRF

PE

CE

CE

Sitio2

Sitio1

MPLS VPN: Modelo

Las rutas que el PE recibe de los CEs las ubica en una VRF apropiada

Las rutas que el PE recibe desde el IGP del backbone las pone en la tabla IP tradicional

Las direcciones de las VPNs no tienen que ser mutuamente exclusivas, ya que son ubicadas en diferentes VPNs

PE

CE

C

E

Sitio2

Sitio1

Backbone MPLS/VPNIntercambio de rutas

MPLS VPN: Modelo

PE

Backbone MPLS

sesin iBGP multiprotocolo

PE

P P

P P

PEs y Ps comparten un IGP (OSPF, ISIS, EIGRP)

PEs arman sesiones MP-iBGP entre ellos

PEs usan MP-BGP para informar sobre sitios y VPNs conectadas

Direcciones VPN-IPv4, Extended Community, Label

MPLS VPN: anuncio MP-BGP

Direccin VPN-IPV4: es la unin de las siguientes estructuras de datos 1- Route Distinguisher

64 bits

Le da unicidad global al prefijo IPv4

RD es configurado en el PE para cada VRF

RD puede estar (o no) relacionado a un sitio o una VPN

2 - Direcciones IPv4 (32bits)

Route Target (dato de 64 bits) Identitifica al conjunto de sitios a los que la ruta les debe llegar

anunciada

MPLS VPN: anuncio MP-BGP

Otros atributos BGP tradicionales

Local PreferenceMEDNext-hopAS_PATH

Un Label, que identifica

La VRF a la cual pertenece el anuncio (label de la VPN)

MPLS VPN: Modelo

PE-1

VPN Backbone IGP

PE-2

P P

P P

PEs reciben updates IPv4s

PEs traducen el update a formato VPN-IPv4 Asignan un SOO y RT segn lo configurado

Re-escriben el atributo Next-Hop

Asignan un label basndose en la VRF y/o la interfaz

Envan anuncio MP-iBGP a sus vecinos PE

update para Net1,Next-Hop=CE-1

VPN-IPv4 update:RD:Net1, Next-hop=PE-1RT=verde, Label=(intCE1)

CE-1

Sitio2

VPN-IPv4 update traducido a IPv4 (Net1) va a la VRF verde porque RT=verde y se la anuncia a CE-2

Sitio1

CE-2

MPLS VPN: Modelo

PEs receptores traducen nuevamente a IPv4

Insertan la ruta en la VRF identificada por el atributo RT (de acuerdo a cmo haya sido configurado el PE)

El label asociado a la direccin VPN-IPv4 ser impuesto en los paquetes enviados hacia su respectivo destino

PE-1

VPN Backbone IGP

PE-2

P P

P Pupdate para Net1Next-Hop=CE-1

Update VPN-IPv4:RD:Net1, Next-hop=PE-1RT=verde, Label=(intCE1)

CE-1

Sitio2

Update VPN-IPv4 se traduce a IPv4 (Net1) y puesto en VRF verde porque RT=verde y ha sido anunciado a CE-2

Sitio1

CE-2

MPLS VPN: Modelo

Distribucin de rutas a los sitios se basa en el atributo llamado route-target

Es una Community (atributo) del protocolo BGP

En el sitio receptor, se instalarn rutas en la VRF que reclame rutas que coincidan con atributo route-target de los anuncios que llegan desde otros extremos del backbone

Controlado a travs de configuracin en el PE

Un PE que conecta sites de VPN distintas instala la ruta en la VRF del sitio si el atributo route-target contiene una o ms VPNs al cual el sitio est asociado

MPLS/VPN: Forwarding



26

MPLS: Forwarding de paquetes

Los valores next-hop anunciados por el BPG de los PEs deben ser visibles por el IGP

Labels se distribuyen con LDP (hop-by-hop), con el fin de lograr llegar a los Next-Hops de BGP

Stack de labels para el forwarding de paquetes Top label indica el next-hop BGP (label interior)

label de 2do nivel indica la interfaz saliente o VRF (label exterior)

Forwarding de paquetes

Los nodos MPLS conmutan con el label externo

P no saben nada de BGP ni de VPNs

T1 T7T2 T8T3 T9T4 T7T5 TBT6 TBT7 T8

Forwarding

VPN_A

VPN_A

VPN_B

10.3.0.0

10.1.0.0

11.5.0.0

P P

PP PE

CE

CE

CE

Data

, iBGP next hop PE1

, iBGP next hop PE2

, iBGP next hop PE3

, iBGP next hop PE1

, iBGP next hop PE4

, iBGP next hop PE4

, iBGP next hop PE2

, iBGP NH= PE2 , T2 T8

PE de ingreso recibe paquetes IP

PE hace IP Longest Match en VPN_B FIBVPN_B FIB, deduce el next hop PE2PE2 y agrega el stack de labels:Label exterior T2T2 + Label interior T8T8

DataT8T2

VPN_A

VPN_B

VPN_B

10.1.0.0

10.2.0.0

11.6.0.0

CE

PE1

PE2CE

CE

VPN_A

10.2.0.0

CE

Forwarding

VPN_A

VPN_A

VPN_B

10.3.0.0

10.1.0.0

11.5.0.0

P P

PP PE

CE

CE

CE

T7T8T9TaTb

TuTwTxTyTz

T8, TA

T2 DataT8Data

T2 DataTB

outin /

Los P rutean usando el label interior

El PE de egreso quita el label interior

El PE de egreso usa el label exterior para decidir la VPN a la cual entregar el paquete.

Se saca el label exterior y se enva el paquete al router CE

VPN_A

VPN_B

VPN_B

10.1.0.0

10.2.0.0

11.6.0.0

CE

PE1

PE2CE

CE

VPN_A

10.2.0.0

CE T2 DataData

TAT2

Penultimate Hop Popping

El router upstream LDP del next-hop de BGP (PE) descartar la etiqueta externa

Penultimate hop popping

Es solicitado con el protocolo LDP

El PE de egreso conmutar el paquete en base a la info de la etiqueta de 2do nivel (que explica la

interfaz y/o la VPN de salida)

Forwarding y Penultimate Hop Popping

PE2

PE1

CE1

CE2

P1 P2

IGP

Label(PE2)

VPN Label

IP

packet

PE1 recibe paquete IP

Se hace lookup en la VRF del site

Hay ruta BGP con label y next-Hop

next-hop (PE2) es alcanzable va IGP con un label asociado

IGP

Label(PE2)

VPN Label

IP

packet

P conmuta paquetes basado en el label IGP label (tope del stack)

VPN Label

IP

packet

Penultimate Hop Popping

P2 es el PhP del next-hop

P2 saca el top label

(fue pedido por PE2 con el protocolo LDP)

IP

packet

PE2 recibe paquete con label asociado a la interfaz saliente (VRF)

Un slo lookup

Label es retirado y el paquete enviado al vecino IP

IP

packet

CE3

MPLS/VPN: Condiciones de base para

su funcionamiento



33

Mecanismos: VRF y mltiples instancias

Equipos con la capacidad de VRFs:

VRF Routing Protocol Context

VRF Routing Tables

VRF CEF Forwarding Tables


Protocolos de ruteo preparados para VRFs

Seleccin e instalacin de rutas en la tabla apropiada de cada VRF o de cada VPN

Los protocolos disponibles dependern del fabricante


La tabla VRF contiene rutas que deberan estar disponibles para un conjunto de sitios de una misma VPN

Anloga a una tabla de rutas tradicional

Interfaces que se conectan a routers de los sitios son asignados a VRFs

Una VRF por interfaz

Posiblemente, muchas interfaces para una VRF


StaticBGP OSPFProcesos de

routing

Contextos

de routing

Tablas de VRF

Forwarding VRF

Procesos de routing corren en contextos especficos

Pueblan tablas y FIBs especficas para c/VPN (VRF)

Interfaces se asignan a VRFs


Sitio1 Sitio2 Sitio3 Sitio4

Vista lgica

Vista de routing

VRFde Sitio1

Rutas de Site1Rutas de Site2

VRFde Sitio4


VRFde Sitio2

Rutas de Site1Rutas de Site2Rutas de Site3

VRFde Sitio3


Sitio1

Sitio3

Sitio4

Sitio2

VPN-A

VPN-C

VPN-B

PE PE

PP

MP-iBGP

MPLS/VPN: Topologas



39

Topologas

VPN_A

VPN_A

VPN_B

10.3.0.0

10.1.0.0

11.5.0.0

P P

PP PE

PE CE

CE

CE

VPN_A

VPN_B

VPN_B

10.1.0.0

10.2.0.0

11.6.0.0

CE

PE

PECE

CE

VPN_A

10.2.0.0

CE

Direcciones VPN-IPv4 se propagan junto al label asociado como una extensin multiprocol BGP

Extended Community (route-target) se asocia a cada direccin VPN-IPv4, para poblar la VRF del sitio

iBGP

VPN Full Mesh

Cada sitio conoce a todo otro sitio (de la misma VPN)

Cada CE anuncia su propio espacio de IP

Anuncios MP-BGP VPN-IPv4 entre PEs

Ruteo es ptimo dentro del backbone Cada ruta tiene el next-hop de BGP ms cercano hacia el

destino

No se usa a ningn sitio como punto central de conectividad

VPN Full Mesh

Sitio1

VRF de Sitio1

N1,NH=CE1N2,NH=PE2N3,NH=PE3

PE1

PE3

PE2

N1

Sitio3

N3

N2

VPN-IPv4s intercambiados entre PEs

RD:N1, NH=PE1,Label=IntCE1, RT=BlueRD:N2, NH=PE2,Label=IntCE2, RT=BlueRD:N3, NH=PE3,Label=IntCE3, RT=Blue

IntCE1

IntCE3

N1NH=CE1

Routing Table de CE1

N1, LocalN2, PE1N3, PE1

Intercambio de rutas de frontera

VRF de Sitio3

N1,NH=PE1N2,NH=PE2N3,NH=CE3


N1, PE3N2, PE3N3, Local

N3NH=CE3


Sitio2

IntCE2


N1,NH=PE2N2,LocalN3,NH=PE2

N2,NH=CE2


VRFde Sitio2

N1,NH=PE1N2,NH=CE2N3,NH=PE3

VPN Hub & Spoke

Un sitio central conoce al resto (de la VPN) Hub-Site

El resto de los sitios habla solamente con el hub Spoke-Sites

Hub-Site es el punto de trnsito entre los Spoke-Sites

VPN Hub & Spoke

PE2

PE1

PE3

Sitio1

N1

N3

VPN-IPv4 anunciadas por PE3

RD:N1, NH=PE3,Label=IntCE3-Spoke, RT=SpokeRD:N2, NH=PE3,Label=IntCE3-Spoke, RT=SpokeRD:N3, NH=PE3,Label=IntCE3-Spoke, RT=Spoke

Sitio3

Sitio2

N2

IntCE3-Spoke VRF(Export RT=Spoke)

N1,NH=CE3-SpokeN2,NH=CE3-SpokeN3,NH=CE3-Spoke

CE1

CE3-Spoke

CE2

CE3-Hub

IntCE3-Hub VRF(Import RT=Hub)

N1,NH=PE1N2,NH=PE2

VPN-IPv4 anunciada por PE1RD:N1, NH=PE1,Label=IntCE1, RT=Hub

VPN-IPv4 anunciada por PE2RD:N2, NH=PE2,Label=IntCE2, RT=Hub

IntCE2 VRF(Import RT=Spoke)(Export RT=Hub)

N1,NH=PE3 (imported)N2,NH=CE2 (exported)N3,NH=PE3 (imported)


N1,NH=CE1 (exported)N2,NH=PE3 (imported)N3,NH=PE3 (imported

BGP/RIPv2

BGP/RIPv2

Rutas son importadas/exportadas en las VRFs segn valor RT de los anuncios VPN-IPv4

PE3 usa 2 (sub)interfaces con dos VRFs diferentes

VPN Hub & Spoke

PE2

PE1

PE3

Sitio1

N1

N3

Sitio3

Sitio2

N2IntCE3-Spoke VRF(Export RT=Spoke)

N1,NH=CE3-SpokeN2,NH=CE3-SpokeN3,NH=CE3-Spoke

CE1

CE3-Spoke

CE2

CE3-Hub

IntCE3-Hub VRF(Import RT=Hub)

N1,NH=PE1N2,NH=PE2


N1,NH=PE3 (imported)N2,NH=CE2 (exported)N3,NH=PE3 (imported)


N1,NH=CE1 (exported)N2,NH=PE3 (imported)N3,NH=PE3 (imported

BGP/RIPv2

BGP/RIPv2

Trfico entre spokes circula por el hub

MPLS/VPN: Configuracin en

plataformas Cisco



46

Configuracin

Conocimiento de VPNs en todos los PEs

Al PE hay que configurarle VRF y Route Distinguisher

VRF import/export policies (basadas en Route-target)

Protocolos para hablar con los CEs

MP-BGP entre PEs

BGP para rutas de Internet Con otros PEs

Con algunos CEs

Configuracin: VRF y Route Distinguisher

RD es configurado en los PE (para cada VRF)

VRFs se asocian a los RDs en cada PE

Consejo: mismo RD para misma VPN en todos los PEs Pero no es obligatorio

VRF configuration command ip vrf

rd route-target import route-target export

CLI configuracin de VRFs


VRFfor Sitio1

(100:1)


VRFfor Sitio4(100:3)






PE1 PE2

PP

Multihop MP-iBGP

ip vrf site1

rd 100:1

route-target export 100:1

route-target import 100:1

ip vrf site2

rd 100:2





ip vrf site3

rd 100:2





ip vrf Sitio4

rd 100:3



Sitio1

Sitio3

Sitio4

Sitio2

VPN-AVPN-C

VPN-B

Configuracin (PE/CE)

PE/CE: casi cualquier protocolo de routing

Se usa un routing context en cada VRF

Routing contexts son definidos dentro de la instancia de un protocolo de routing

router ripversion 2address-family ipv4 vrf

cualquier comando que aplique a esta instancia

Configuracin: PE/CE

BGP usa el mismo comando address-family router BGP

...address-family ipv4 vrf

cualquier subcomando aplicable de BGP

Rutas estticas: se configuran por cada VRF ip route vrf

Configuracin: PE

show pero basados en VRF show ip route vrf ...

show ip protocol vrf

show ip cef

PING /Telnet basados en VRFs telnet /vrf

ping vrf

Configuracin: PE/CE


PE1

PE2

PP

MP-iBGP

Sitio1

Sitio3

Sitio4

Sitio2

VPN-A

VPN-C

VPN-B

VRFde Sitio1(100:1)

Rutas de Site1

Rutas de Site2

VRF de Sitio4(100:3)


VRFde Sitio2(100:2)

Rutas de Site1

Rutas de Site2

Rutas de Site3

VRFde Sitio3(100:2)

Rutas de Site2

Rutas de Site3

Rutas de Site4

ip vrf site3

rd 100:2





ip vrf Sitio4

rd 100:3



!

interface Serial4/6

ip vrf forwarding site3

ip address 192.168.73.7 255.255.255.0

encapsulation ppp

!

interface Serial4/7


ip address 192.168.74.7 255.255.255.0

encapsulation ppp

ip vrf site1

rd 100:1



ip vrf site2

rd 100:2





!

interface Serial3/6


ip address 192.168.61.6 255.255.255.0

encapsulation ppp

!

interface Serial3/7


ip address 192.168.62.6 255.255.255.0

encapsulation ppp

Configuracin PE/CE


PE1

PE2

PP

MP-iBGP

Sitio1

Sitio3

Sitio4

Sitio2

VPN-A

VPN-C

VPN-B







VRFde Sitio3(100:2)


router bgp 100

no bgp default ipv4-unicast

neighbor 6.6.6.6 remote-as 100

neighbor 6.6.6.6 update-source Loop0

!

address-family ipv4 vrf site4


neighbor 192.168.74.4 activate

exit-address-family

!




exit-address-family

!

address-family vpnv4


neighbor 6.6.6.6 next-hop-self

exit-address-family

router bgp 100

no bgp default ipv4-unicast


neighbor 7.7.7.7 update-source Loop0

!




exit-address-family

!




exit-address-family

!

address-family vpnv4


neighbor 7.7.7.7 next-hop-self

exit-address-family

Inyeccin de rutas estticas en un PE



55

Opciones de ruteo: esttico

P-network

PE-1 PE-2

CE-Spoke

CE-Spoke

CE-Spoke

CE-Spoke

Estticas entre PE-CE

Incrementa el trabajo del proveedor

Pero es til para cubrirse de desmadres en el dinmico del cliente

0.0.0.0 en el CE + estticas en el PE

Estticas hay que redistribuirlas en MP-BGP

Ruta esttica

Ruta esttica

P-network

PE-1 PE-2

CE-Spoke

CE-Spoke

CE-Spoke

CE-Spoke

Con rutas estticas

ip route vrf VPN_A 192.168.1.0 255.255.255.0 192.168.250.7 serial0/0

ip route vrf VPN_A 192.168.2.0 255.255.255.0 192.168.250.11 serial0/2

!

router bgp 213

address-family ipv4 vrf VPN_A

redistribute static

ip route 0.0.0.0 0.0.0.0 serial 0

Opcin II: protocolo de rutas

P-network

PE-1 PE-2

CE-Spoke

CE-Spoke

CE-Spoke

Dinmico entre PE y CE

Rutas del CE redistribuidas en MP-BGP, pasadas por el backbone y redistribuidas de PE a CE

Todo dinmico

Util cuando los CEs necesitan todas las rutas

MP-BGP update

Redistribute: dinmico a BGP Redistribute: BGP a dinmico

Opciones de dinmicos PE-CE

P-network

PE-1 PE-2

CE-Spoke

CE-Spoke

CE-Spoke

CE-Spoke

Soportados: RIPv2, OSPF, EIGRP, e-BGP

RIP es sencillo si la convergencia no es un problema

OSPF es ms complejo

BGP tiene algunas otra ventajas

Multihoming

Atributos que pasan end to end!

BGP como protocolo entre PE y CE



60

Beneficios de usar BGP

Continuidad de polticas entre sites

Se propagan todos los atributos

AS_PATH, Aggregator, Community

No es necesario redistribucin

Beneficios de usar BGP

Pueden usarse communities para definir polticas entre sites

Filtros basados en atributos BGP

Cliente puede definir sus polticas

PE puede limitar nro de prefijos que aprende de CE

Buenas prcticas de diseo

AS privado y diferente en cada site

Sigue el modelo de conectividad Internet

Mismo AS para los sites del cliente

Necesita el uso de AS-override para contrarrestar los efectos de control de loops

Uso de as-override

Site B

AS 213

Site A

AS 213

AS 115

CE-SpkoePE-1 PE-2

CE-Spoke

10.1.0.0/16 213 i 10.1.0.0/16 213 10.1.0.0/16 115 115

PE-2 reemplaza AS del cliente con el propio y propaga el prefijo

router bgp 115

address-family ipv4 vrf Customer_A



neighbor 10.200.2.1 as-override

Aspectos de seguridad del

paradigma MPLS/VPN



65

Podra ser susceptible de un ataque?

No es posible que un atacante inyecte etiquetas (en el borde no existe soporte del protocolo LDP)

En el borde, se deben tomar las mismas precauciones que para una arquitectura IP(spoofing, DoS, etc)

VPN 1

VPN 2Backbone MPLSBackbone MPLS

IPLabelX

Cmo proteger un backbone MPLS

Proteger el intercambio de rutas en la frontera PE/CE:

Optar por rutas estticas si es posible

Filtrar lo que no haga falta

Aprovechar la presencia de autenticacin MD5 en el intercambio

Usar las herramientas que proporciona el protocolo BGP (dampening, filtering, maximum-prefix)

Proteccin de los PEs

Limitar el nmero de rutas aprendidas por VRF y por interfaz

Impedir trfico de control innecesario en la frontera

Eventualmente, activar polticas de QoS para dejar pasar trfico de control en momentos de congestin lcita o provocada por DoS

Documents

Presentación 02 - MPLS-VPN (2)