Serviço L2-VPN
na
RCTS
Versão Data
Estado
Autor
0.1
07/12/2007
Draft
Pedro Lorga <lorga@fccn.pt>
0.2
10/12/2007
Draft
Carlos Friaças <cfriacas@fccn.pt>
0.3
10/12/2007
Draft
Pedro Lorga <lorga@fccn.pt>
0.4
11/12/2007
Draft
Carlos Friaças <cfriacas@fccn.pt>
0.5
11/12/2007
Draft
Pedro Lorga <lorga@fccn.pt>
Introdução ... 3
Definição do serviço ... 5
Regras ... 6
Implementação do serviço ... 7
Introdução
A RCTS é a rede de investigação e ensino nacional (National Research and Education Network, NREN) e, à semelhança do que acontece em todos os países europeus, é uma plataforma de comunicação para que os investigadores, professores e alunos portugueses tenham acesso a uma rede privativa e específica para fazer face às exigentes necessidades desta comunidade.
A RCTS caracteriza-se pelo facto de ser uma rede de alto desempenho para as instituições com maiores requisitos de comunicações, nomeadamente, Universidades, Laboratórios de Estado, Institutos Politécnicos, constituindo-se assim como uma plataforma de experimentação para aplicações e serviços avançados de comunicações.
Até agora, o suporte de quase todos os serviços de rede tem sido o protocolo IP, mas com o desenvolvimento de algumas aplicações e de novas necessidades, passou a haver requisitos de conectividade com diferentes características, tais como a elevada largura de banda, atrasos fim a fim controlados, conectividade entre dois pontos sem recorrer à camada IP, entre outros. O novo serviço L2-VPN da RCTS vai de encontro a estas necessidades, esperando-se que acrescente um real valor à plataforma existente.
Até agora, quando dois laboratórios ou unidades de investigação partilhavam um projecto, comunicavam usando a rede IP pública existente (ligada à Internet) para enviar e receber os pacotes IP de um ponto a outro. Havia a necessidade de criar redes privadas virtuais ou físicas, em que a comunicação fosse vista como uma grande nuvem onde estavam ligadas todas as máquinas que comunicavam entre si de forma transparente, privada e com elevado desempenho. Com este novo serviço será possível criar este tipo de redes virtuais ou estendê-las até ao nível físico em alguns casos, recorrendo à rede de fibra óptica existente1.
Um outro objectivo complementar, será a extensão destes serviços a outras NRENs ligadas ao Géant22. Em Abril de 2008 a RCTS irá passar a estar ligada ao Géant2 a 10Gbps. Vai ser instalado um switch de alta capacidade dentro da sala SE03 da FCCN, com portas a 1G e 10GE, onde os switches com capacidade L2-VPN da FCCN se vão interligar. A conectividade fim a fim será depois garantida pelo Géant2 e as NRENs de cada país. Está a decorrer uma Joint Research Activity do projecto
1 http://www.fccn.pt/index.php?module=pagemaster&PAGE_user_op=view_page&PAGE_id=331&MM N_position=157:1:156 2 http://www.geant2.net
Géant2, com a denominação AutoBahn3. Por sua vez, o trabalho desenvolvido neste âmbito terá também interoperabilidade com o software DRAGON4 (Dynamic Resource Allocation via GMPLS Optical Networks), o que permitirá o estabelecimento de redes privadas fim a fim com unidades de investigação da rede académica Norte-Americana Internet25. Figura 1 - Serviço L2-VPN 3 http://www.geant2.net/server/show/ConWebDoc.2544 4 http://dragon.east.isi.edu/twiki/bin/view/Main/PUBLICATIONS 5 http://www.internet2.edu RCTS U N I V E R S I T Y U N I V E R S I T Y Instituição B U N I V E R S I T Y U N I V E R S I T Y Instituição A
Departamento A.D Departamento B.D
Emulação de uma LAN única
Definição do serviço
O serviço L2-VPN da FCCN vai ser baseado em protocolos Layer 2 do IEEE (ver documento interno \\paris.fccn.pt\AreaTecnica\05-AreaTrabalho\WG-WAN\DocumentaçãoInterna\L2TechnologiesV1.2.pdf). As tecnologias utilizadas serão a QinQ (802.1ad) e Mac-in-MAC (802.1ah). No futuro prevê-se a utilização de PBT (802.1Qay). Qualquer um destes protocolo será apenas usado dentro da RCTS, não sendo necessário que o equipamento da instituição suporte este tipo de protocolos para aceder ao serviço. As ligações aparecerão para cada uma das instituições participantes como directamente ligadas na mesma VLAN.
Pretende-se possibilitar a criação de redes privadas virtuais (VPN) entre diversos pontos da RCTS de forma a facilitar projectos de investigação de que as instituições sejam participantes.
Este serviço pretende proporcionar aos utilizadores uma ligação lógica em Layer 2 entre dois pontos distintos da rede. Para os investigadores, será como se as máquinas geograficamente dispersas se situassem na mesma VLAN, de forma totalmente transparente.
Os responsáveis por cada uma dessas redes terão que definir entre si o identificador de VLAN que desejam usar. Essa VLAN será transportada dentro da RCTS no plano de nível 2 (switching), recorrendo exclusivamente à utilização de
switches. Os identificadores destas VLANs de backbone situar-se-ão no intervalo
Regras
O acesso a este serviço implica o preenchimento de um formulário, com todos os dados necessários para a sua implementação. Apenas unidades orgânicas internas de instituições ligadas directamente à RCTS podem beneficiar deste serviço. O responsável pelo preenchimento do formulário deve ser o gestor do equipamento (switch) que interliga directamente à RCTS, ou ao circuito de operadora (que no caso será sempre um contacto técnico de uma acesso à RCTS).
Existe no entanto uma limitação decorrente da inexistência de switches do backbone da RCTS nas localizações próximas aos grupos de investigação. A lista completa dos equipamentos que suportarão este serviço será publicada e actualizada na página oficial do mesmo. A sua localização (GPS) é naturalmente um dado que será disponibilizado pela FCCN.
O recurso a este serviço por entidades não pertencentes a uma determinada instituição, mas com proximidade geográfica a um dos equipamentos poderá acontecer com a aprovação expressa do ponto de contacto da instituição que alberga o equipamento.
A FCCN reserva-se o direito de descontinuar qualquer instância deste serviço, no caso em que o bom funcionamento da RCTS seja comprometido. Nesse caso, a FCCN notificará os requerentes, por e-mail, nas 48 horas subsequentes.
A violação da AUP (Acceptable Usage Policy/Política Aceitável de Utilização) da RCTS6 poderá também ser motivo da descontinuação de uma instância deste serviço. Nesse caso, a FCCN tomará todas as medidas previstas para que a violação registada não se repita.
6
Implementação do serviço
O conjunto de equipamentos alojados no centro da RCTS (Lisboa e Porto) que permitirá a construção deste serviço é composto por unidades NORTEL 8600 MERS.
O serviço L2-VPN da RCTS pode ser entregue às instituições de duas formas distintas:
• há um switch da FCCN na instituição com portas Ethernet disponíveis (ver Figura 2)
Figura 2 - Ligação com switch da FCCN no local
• o serviço é entregue em Ethernet directamente da operadora (ver Figura 3)
Servidores para o projecto A
Legenda
Ligações internas Ethernet
Switch da FCCN
Ligação à operadora em 802.1q
Ligação da RCTS usando 802.1ad Routers de Core Domínio da Instituição Domínio da FCC# Domínio da Operadora Rede interna da Instituição
Figura 3 - Ligação directa à operadora
No primeiro caso, o serviço é disponibilizado numa porta física distinta. A instituição deverá indicar à FCCN como pretende receber este serviço
1. RJ45, com ligação em UTP categoria 5e ou 6;
2. Fibra multimodo 60/125 ou 62.5/125 µm com terminação LC (ver Figura 4) no switch. O laser a usar é o correspondente à norma SX; 3. Fibra monomodo G.652 com terminação LC/PC no switch. O laser a
usar é o correspondente à norma LX.
Figura 4- Fibra com terminação LC
No caso do serviço ser entregue pela operadora, este aparecerá à instituição como mais uma VLAN. Neste caso a porta de recepção do serviço será configurada em trunk (802.1q) e será a instituição a fazer depois a separação do tráfego entre VLANs e a tratar do seu encaminhamento interno.
Router da Instituição
Servidores para o projecto A
Legenda
Ligações internas Ethernet
Switch da instituição
Ligação à operadora em 802.1q
Ligação da RCTS usando 802.1ad Routers de Core
Domínio da Instituição
Domínio da FCC# Operadora
Para poder aceder a este serviço, o membro da RCTS é responsável por:
1. Ter um switch com uma porta disponível por onde o circuito é entregue. Caso seja necessária a aquisição de conversores SFP ou GBIC para o próprio switch da instituição, será esta a suportar o custo (no caso de ser entregue numa porta separada)
2. Passar todo o tráfego associado a este serviço na rede interna da instituição, desde o primeiro equipamento activo até ao destino, sem perdas nem atrasos. Isto é, garantir a qualidade e a integridade dos dados fim a fim dentro da sua rede.
3. Controlar o tráfego total da rede de forma a impedir que o tráfego do serviço L2VPN interfira com o tráfego IP contratado de acesso à RCTS. A FCCN não se responsabiliza pela má gestão dos recursos internos das redes das instituições e das consequências que poderão advir da sua má utilização.
#ota: Este tráfego é disponibilizado dentro do total de conectividade IP da
instituição. Caso seja de outra Universidade Portuguesa ou instituição ligada ao Géant2, o pacote IP será entregue marcado com DSCP7=0, ou seja, fará parte da componente de investigação (tráfego académico) da ligação à RCTS.
7
Possíveis Evoluções
(
PARA A DT APROVAR OU NÃO
Isto implica a erradicação das colectoras nos cenários em que uma operadora esteja envolvida
)
Este serviço ainda não está preparado para o caso de as instituições terem switches que permitam a recepção de circuitos QinQ. Isto possibilitaria a estas entidades tratar directamente este protocolo, e funcionar na prática como uma operadora perante as sua unidades orgânicas. Esta variação do serviço não é garantida, pelo que a sua viabilidade mesmo no futuro terá de ser verificada caso a caso.
A interoperabilidade deste serviço com a funcionalidade AutoBahn do Géant2 será também objecto de estudo. Neste momento apenas existem demonstrações entre três redes académicas europeias, mas prevê-se que nos próximos dois anos a maioria das redes académicas possa usufruir em pleno desta ferramenta.
No caso de a RCTS vir a ter ligações redundantes para o mesmo acesso, este serviço também poderá beneficiar desse facto. Uma evolução deste serviço será utilizar o PBT (802.1Qay) por dois caminhos distintos, recorrendo a traffic engineering, de forma a evitar loops.
