[Tech] VPN MPLS

Andrea Fanfani andrea.fanfani@nekhem.com
Mer 10 Set 2003 12:26:12 CEST 

On Wed, Sep 10, 2003 at 12:15:30PM +0200, Marco Marcantelli wrote:
> Salve Raga,
> 
> vorrei chiedervi un consiglio.......
> 
> Riassumo brevemente : La TelcomO mi ha proposto per mettere una intranet
> di 15 punti (ADLS) + una sede a cui si collegano tutti (HDSL), una rete
> VPN MPLS con una linea di back-up ISDN.
> 
> Confesso la mia ignoranza su MPLS, ho letto molto in rete ma vorrei un vostro
> parere.......
> Secondo loro e' molto veloce, e' praticamente inattaccabile (??), ed e'
> perfetta per una situazione del genere.
>

MPLS e' una tecnica particolare di routing/switching che permette di portare
caratteristiche del layer 2 del modello osi (sostanzialmente le vlan)
dentro il layer 3. In pratica i router mpls non fanno routing secondo 
i classici parametri del pacchetto ip ma secondo una label che viene
settata. Routing totalmente indipendente permette di mantenere separate
le corrispondenti tabelle di routing, creando delle reti "private"
su uno stesso router. Da problemi per quanto riguarda la gestione
dell MTU, in molti casi risolvibili. Pompato da cisco (richiede router 
mostruosi) serve ai carrier per generare servizi a valore aggiunto
non legati alla semplice connettivita'. E' veloce esattamente *QUANTO*
il mezzo su cui trasmette. Non e' una tecnica trasmissiva, e' solo legata
al routing/switching. Ha una serie di features legate alla gestione della
banda, analoghe al protocollo ATM, ma sulle quali so poco. 

Sicura lo e' nella misura in cui non si ha accesso ai router di trasporto
del carrier e nella misura in cui le tabelle di routing sono separate. 
E' trasparente per il cliente finale (afaik). Ovviamente un errore
di allocazione di una label in una tabella di routing manda tutto
a farsi benedire. Richiede molti skill per la progettazione e per
la gestione. Non e' sicura nel senso comune, ovvero protocolli criptati. 
AL massimo separati a livello logico.

Non direi che e' perfetta, ma riesce a sviluppare un discreto servizio
a costi contenuti. 

> Che vantaggi ho rispetto a una VPN IPSec ??

Ipsec gira sui firewall, e' criptata  ed e' indipendente dal singolo
fornitore di connettivita'. con Mpls o compri tutto telecom oppure
non puoi agganciare altri utenti. Ipsec richiede un discreto lavoro
di configurazione e, per alcune realta' e' antieconomica (costa
troppo l'apparato). Si basa sostanzialmente sul tunneling. 

Poi ovviamente dipende da caso a caso. Se sei un cliente finale
e vuoi spendere poco ha senso mpls, da non intendere pero' come 
una vpn classica. Se sei il sistemista e non vuoi essere licenziato
perche' inutile e' meglio ipsec...

Un saluto
a.

Maggiori informazioni sulla lista flug-tech