O blog da AWS

Padrões de design para interconectar o data center de uma empresa de telecomunicações a um Amazon VPC

Por Young Jung, Principal Solutions Architect;
Gonzalo Gómez Herrero, Principal Solutions Architect;
Rolando Jr Hilvano, Senior Telecom Solutions Architect;
Ammar Latif, Senior Telecom Solutions Architect e
Matt Lehwess,Principal Solutions Architect 
Tradicionalmente, os provedores de serviços de comunicação (CSPs) do setor de telecomunicações (Telco) usam técnicas baseadas na separação de contextos de roteamento e plano de dados (Roteamento e Encaminhamento Virtual – VRF) para separar suas redes de data center (DC) por cada domínio de rede; por exemplo, domínios como Operação, Administração e Gerenciamento (OAM), sinalização, “roaming” e redes de tráfego de usuários. Cada VRF ou domínio no data center também deve estar conectado ao VRF equivalente em outros data centers para fornecer cobertura regional e nacional da rede. Além disso, para os serviços que os CSPs fornecem aos clientes finais, geralmente também é necessário que os CSPs expandam sua rede com base em vários VRFs para a rede privada externa, mantendo a separação dos contextos de roteamento e plano de dados. Portanto, tanto na conectividade entre DCs quanto na extensão de uma rede de telecomunicações até a sede do cliente, geralmente são necessários requisitos específicos para manter a separação de redes (VRFs) e a interconexão de vários sistemas autônomos (AS). Cada AS representa uma entidade autônoma de gerenciamento administrativo no Border Gateway Protocol (BGP). Como solução geral, o RFC4364 introduziu várias opções para esse requisito de interconexão BGP, incluindo: opção A, o que significa que a conexão VRF para VRF na RFC 4364 é baseada em um alinhamento 1:1 com o unicast externo de BGP (eBGP) entre os contextos de roteamento do Protocolo da Internet (IP) em cada lado da interconexão Network-to-Network (NNI). E a opção B, que se refere ao uso da “conectividade inter-AS de vários protocolos” (MPLS) com base no paradigma de comutação de rótulos no NNI, por meio de uma única interface lógica MPLS com um esquema de política de QoS global reforçado e uma única sessão eBGP multiprotocolo (MP-eBGP) comum a todos os contextos de roteamento. Essas opções de conectividade se aplicam ao interconectar aplicativos na AWS com cargas de trabalho em vários VRFs separados que já existem na rede de telecomunicações. Como a primeira e mais simples abordagem, pode-se pensar em segregar esses aplicativos em Amazon Virtual Private Clouds (Amazon VPCs) separadas e, assim, atribuir uma única VPC a cada VRF, como na opção A do RFC4364. Isso permitirá que você tenha uma VPN individual de site a site (S2S) ou uma interface lógica de conexão direta (DX) entre um VRF na rede de telecomunicações e um VPC mapeado na AWS, conforme mostrado na Figura 1 abaixo.

Figura 1 Interconexão VRF para cada VPC (RFC4364 Opção-A)

 

Essa proposta é eficaz e simples, mas só se aplica quando os aplicativos de rede podem ser segregados em cada VPC de forma independente. No entanto, na maioria dos casos de aplicativos de telecomunicações, como uma função de rede virtual (VNF) ou uma função de rede baseada em contêiner (CNF), vários contextos de roteamento separados são necessários, mas confinados a uma única VPC (por exemplo, OAM VRF, rede de sinalização VRF, VRF de plano de usuário, interface de roaming VRF) para cargas de trabalho específicas (como EPC [Evolved Packet Core] e 5GG C [núcleo 5G]). Em geral, essa situação agrega mais complexidade e custos quando se trata de implementar uma extensão entre a rede de telecomunicações (CSP) e a AWS, mantendo a exigência de separar os contextos de roteamento e plano de dados. Portanto, é aconselhável também avaliar outras opções práticas ao usar uma arquitetura com uma única VPC para aplicativos de telecomunicações na AWS.

Figura 2 Interconexão de VRFs com uma VPC comum

 

Esta publicação apresenta quatro padrões de design viáveis para criar uma rede híbrida entre a AWS e a rede CSP separada por vários VRFs, por exemplo, 1) configurando a filtragem de rotas no Gateway do cliente (CGW), 2) usando tabelas de rotas separadas no AWS Transit Gateway (Transit Gateway), 3) usando tabelas de rotas separadas na funcionalidade AWS Transit Gateway e Transit Gateway Connect e 4) usando um virtual dispositivo roteador dentro do VPC. Os padrões 1, 2 e 3 usariam uma estrutura de rede nativa da AWS com uma configuração ajustada no lado do roteador Provider Edge (PE) no provedor de serviços de telecomunicações ou no Transit Gateway. Por outro lado, o padrão 4 exigirá um dispositivo de roteador virtual dentro da VPC para implementar a configuração RFC4363 Inter-AS Option-B. Além desses 4 padrões, há outras opções, mas as incluídas aqui são apresentadas com uma abordagem geral e como melhores práticas que minimizam o impacto na arquitetura da VPC da AWS e nos VRFs existentes na rede CSP.

 

Padrão de projeto 1: conectar VRFs a uma única VPC usando um filtro de mapa de rotas de entrada no CGW (roteador Provider Edge (PE))

O primeiro padrão de design apresentado seria o método mais simples de configuração de rede da AWS, usando uma rede privada virtual (VPN) individual de site a site (S2S) ou uma interface virtual (VIF) (VIF) (VIF) individual para cada VRF, além de ter uma configuração específica no lado do Provider Edge (PE). Conforme mencionado na seção anterior, uma única VPC representaria um domínio de roteamento na rede da AWS. Portanto, ao conectar um Amazon VPC à rede do provedor de telecomunicações, onde já existe uma separação em VRFs por meio de uma VPN S2S ou DX VIF, todas as faixas CIDR da VPC são anunciadas a todos os “pares” do BGPS em cada VRF. Nesse caso, um mapa de política de rotas poderia ser implementado em cada VRF no PE (ele também pode ser visto como cada CGW para cada conexão S2S com a VPC), para que não haja interferência de outras sub-redes do Amazon VPC em cada VRF. Essa política de rota deve ser aplicada na sessão BGP do PE na direção de entrada em cada VRF para filtrar as sub-redes anunciadas pelo VGW na Amazon VPC. Essa política implementaria o descarte de todas as rotas que não têm nada a ver com cada VRF correspondente. Esta opção requer pré-configuração na sessão de BGP dentro do VRF do PE e, ao mesmo tempo, é necessário ter informações predefinidas sobre as sub-redes do Amazon VPC que são atribuídas a cada correspondência VRF para configurar a política de filtragem. Além dessa configuração no lado da rede privada, o perímetro correto de segurança e isolamento também deve ser estabelecido usando o (s) grupo (s) de segurança e as listas de controle de acesso (ACL) nas interfaces de instância e sub-rede. Isso permite que o isolamento de rede seja implementado dentro da VPC.

Figura 3: padrão de projeto 1; uso de filtragem de rotas no PE VRF

 

A seguir está um exemplo de configuração de um filtro de mapa de rota no caso do VRF1 do roteador PE no diagrama da Figura 3, quando a sub-rede VRF1 é pré-configurada como 10.0.10.0/24 na VPC, enquanto a VPC anuncia todo o intervalo CIDR 10.0.0.0/16 da VPC. Para receber e filtrar vários intervalos VPC CIDR anunciados por meio de uma conexão S2S VPN ou DX, um novo VPC CIDR secundário deve ser configurado para cada prefixo adicional que você deseja anunciar e suas sub-redes VPC devem ser criadas a partir desse intervalo CIDR. O S2S VPN e o DX publicarão um prefixo VPC CIDR para cada VPC CIDR secundário e, claro, outro para o principal, o que permitirá que você filtre conforme o CIDR na extremidade VRF do PE.

roteador bgp 65001
Rede 169.254.205.58
vizinho 169.254 .205.57 remote-as 64512
vizinho 169.254 .205.57 mapa de rota SET-LOCAL-PREF em
!
O mapa de rotas SET-LOCAL-PREF permite 10
Endereço IP correspondente 2
Definir preferência local 120
!
O mapa de rotas SET-LOCAL-PREF permite 20
!
A lista de acesso 2 permite 10.0 .10.0 0.0 .0.255
A lista de acesso 2 nega qualquer

 

Padrão de design 2: Usando tabelas de rotas separadas no Transit Gateway

Se você tiver VPNs S2S individuais ou VIFs DX para vários VRFs (ou seja, uma VPN S2S ou VIF para cada VRF individualmente), você pode conectar cada VRF a um único VPC separadamente. Nesse contexto, as tabelas de rotas do AWS Transit Gateway e do Transit Gateway podem ser usadas para separar a propagação da rota do intervalo CIDR de cada VPC para cada VRF. Um fator a ser considerado nessa abordagem (assim como no seguinte padrão de design 3) é que o AWS Transit Gateway pode não ser a melhor opção para transportar tráfego de usuários nos casos de uso de redes de telecomunicações 4G/5G, que precisam gerenciar uma quantidade enorme de tráfego, devido aos custos associados ao tráfego de dados por meio desse serviço. Conforme ilustrado na Figura 4 abaixo, a ideia principal desse design é que você pode desativar a propagação automática de todas as rotas em um Amazon VPC no Transit Gateway e, em vez disso, definir uma rota estática em cada tabela de rotas desse Transit Gateway para incluir somente as sub-redes apropriadas dentro do intervalo CIDR da VPC. No diagrama de exemplo a seguir, como resultado, o VRF1 do roteador PE receberá apenas a faixa de sub-redes VRF1 privadas do anúncio do BGP do Transit Gateway, o VRF1 do roteador PE verá apenas a faixa de sub-redes VRF2 privadas e assim por diante. Como no padrão anterior, a separação e o isolamento da rede dentro da VPC devem ser implementados usando NACL e Security Group no nível da sub-rede da Amazon VPC e no nível da instância EC2.

Figura 4: Padrão de projeto 2; usando tabelas de roteamento separadas no TGW

 

Padrão 3: Usando o Transit Gateway Connect por meio de um único DX Transit-VIF

A funcionalidade Transit Gateway Connect fornece um modelo de conectividade semelhante ao padrão anterior, mas mais eficaz quando há apenas uma conexão DX. O Transit Gateway Connect fornece uma maneira de interconectar vários sistemas autônomos (AS) e vários VRFs PE por meio de uma única interface virtual de trânsito (Transit-VIF) de conexão direta (DX). Isso simplifica a conectividade de rede física entre o roteador PE da rede de telecomunicações e o domínio da AWS com uma única conexão física e várias conexões lógicas (ou associações) usando encapsulamento de roteamento genérico (GRE) e diferentes sessões de BGP em cada uma delas.

 

Figura 5: Padrão de projeto 3; usando tabelas de roteamento separadas no TGW e no TGW Connect

 

O diagrama acima mostra uma implementação de várias associações do Transit Gateway “Connect” com vários VRFs. O Direct Connect Gateway (DX-GW) é configurado com um único Transit-VIF e anuncia a linha CIDR do AWS Transit Gateway. O DX-GW está associado a um AWS Transit Gateway. Essa parceria entre o DX-GW e o AWS Transit Gateway se torna o transporte de outras associações do Transit Gateway, como “Connect”, que estão estabelecidas acima da anterior. Após criar as associações do Transit Gateway “Connect”, o GRE + BGP é configurado em um VRF local no PE e associado às associações do tipo “Connect”, respectivamente. O par de endereços IP externos do túnel GRE até o Transit Gateway será configurado com qualquer endereço IPv4 do Transit Gateway CIDR em uma extremidade e um endereço anunciado pelo roteador PE na outra extremidade. O bloco de endereços para sessões de BGP deve ser um intervalo CIDR /29 dentro de 169.254.0.0/16. O primeiro endereço nesse intervalo IPv4/29 será o endereço IP da sessão BGP no PE VRF e dois outros endereços dentro do mesmo intervalo serão selecionados para os “pares” do BGP no lado do Transit Gateway. Ao poder configurar duas sessões de BGP por conexão GRE, um nível de redundância é fornecido integrado em cada túnel GRE. Cada associação “Connect” Transit Gateway tem sua própria tabela de roteamento no AWS Transit Gateway, que adiciona outra camada de separação de tráfego. O intervalo VPC CIDR será propagado dinamicamente para o VRF assim que a propagação da conexão VPC for ativada na tabela de roteamento. O VRF no PE anunciará sua rede em sua tabela de roteamento correspondente assim que sua associação correspondente “Connect” Transit Gateway for anexada à propagação da tabela de roteamento. Como nos padrões anteriores, nesse caso, a NACL e o Grupo de Segurança também devem ser usados para garantir que a rede seja separada dentro da VPC.

 

Padrão de projeto 4: Separação de VRFs usando um dispositivo de roteamento virtual (RFC4364-opção-b)

Como no último padrão, você pode considerar o uso de uma rede sobreposta criada por meio de um dispositivo de roteador virtual instanciado na VPC. Entre o roteador PE da rede do provedor de telecomunicações e um dispositivo de roteador virtual na região da AWS, você pode criar uma conexão de rede a rede (NNI) da opção B estabelecida por meio de uma conexão MPLS via GRE, sobreposta a uma conexão VPN S2S ou conexão direta VIF, conforme mostrado no diagrama a seguir.

Figura 6: Padrão de projeto 4; usando uma rede de sobreposição usando um dispositivo de roteador virtual

 

Como exemplo, essa arquitetura pode ser testada usando uma configuração como a do diagrama a seguir, por exemplo, usando o Juniper Networks Virtual SRX (vSRX) do AWS Marketplace. No lado esquerdo, o roteador virtual na VPC1 imitaria o roteador PE na rede do provedor de telecomunicações, enquanto no lado direito, o roteador virtual em outra VPC2 representa o equipamento dentro da VPC que estabelece uma rede sobreposta. Isso faz com que as duas VPCs se conectem por meio de uma VPN S2S pela Internet.

Figura 7 Exemplo de ambiente de verificação de padrões de projeto 4

 

Nesse ambiente de demonstração, o tráfego de e para diferentes VPNs L3 MPLS é multiplexado por meio de uma única conexão MPLS de opção B sobreposta que termina em um dispositivo de roteamento virtual dentro da AWS VPC. Esse dispositivo de roteamento virtual pode eliminar a ambiguidade dos fluxos de vários VRFs configurados localmente, de acordo com suas tags MPLS, e esses VRFs podem ser vinculados a uma ou mais sub-redes da VPC, simplesmente importando e exportando os “destinos de rota” correspondentes com o MP-eBGP. A seguir está um exemplo de configuração do vSRx que funciona como um roteador autônomo de borda de sistema (ASBR) nesse ambiente MP-eBGP.

 
[editar configuração]
instâncias de roteamento {
    vSRX para carga de trabalho - LAN 1 {
        interface ge-0/0/1.0;
        vrf do tipo de instância;
        distintor de rota 65002:1;
        vrf-import import-vsrxonPrem1;
        vrf-export export-vsrx para carga de trabalho 1;
        etiqueta de mesa vrf;
    }
    VSRX para carga de trabalho - LAN 2 {
        interface ge-0/0/2.0;
        vrf do tipo de instância;
        distintor de rota 65002:2;
        vrf-import import-vsrxonPrem1; 
        vrf-export export-VSRX para carga de trabalho 2;
        etiqueta de mesa vrf;
    }
} 
 

Qualquer combinação arbitrária de políticas de importação e exportação também pode ser implementada em cada VRF, com base em “destinos de rota” comuns ou diferentes. No lado da AWS, cada uma dessas sub-redes pode ser associada a tabelas de rotas comuns ou separadas que pertencem à mesma VPC. Com isso, um contexto de roteamento diferente pode ser implementado com cada tabela de rotas em uma VPC. Além disso, é possível obter uma separação entre contextos de roteamento e também usar NACL e grupos de segurança de forma semelhante aos padrões anteriores.

 

Conclusão

De uma forma genérica, como o Amazon VPC é, por padrão, uma única rede plana que fornece um único domínio de roteamento, o design mais simples seria implementar e associar uma VPC separada para cada VRF. No entanto, um aplicativo 4G/5G (como UPF e PGW) pode exigir que o equipamento da rede do provedor de telecomunicações seja conectado a vários VRFs simultaneamente, sem poder ser segmentado em várias VPCs. Portanto, esse desafio geralmente surge no contexto da implementação de redes móveis na AWS. Neste post, discutimos quatro abordagens diferentes para conectar um Amazon VPC a redes privadas locais no provedor de comunicações, separadas por VRFs. Isso geralmente é necessário, por exemplo, com uma rede 5G pública e com redes 4G/5G privadas na AWS. Cada abordagem tem vantagens e desvantagens em termos da complexidade da implementação, do custo da operação e das restrições aos requisitos de escalabilidade e desempenho. Portanto, é altamente recomendável que você decida cuidadosamente uma implementação considerando os fatores do caso de uso.

Prós Contras
Padrão 1: filtro com mapa de rota de entrada no roteador PE (CGW)
* A configuração mais fácil para o Amazon VPC (S2S VPN, DX, VGW, Transit Gateway, tabelas de roteamento de sub-rede)

* Requer várias VPNs e VIFs S2S (cada uma para cada VRF)

* O roteador PE deve ter uma configuração de filtragem

Padrão 2: tabelas de rotas separadas do Transit Gateway usando várias VPNs S2S ou VIFs
* Cada VRF pode receber o anúncio da sub-rede correspondente sem a necessidade de configurar o roteador PE

* Requer várias VPNs e VIFs S2S (cada uma para cada VRF)

* Você precisa configurar a tabela de rotas do Transit Gateway com rotas estáticas

* O Transit Gateway deve ser usado

Padrão 3: tabelas de rotas separadas usando um único VIF e Transit Gateway Connect

* Cada VRF pode receber o anúncio da sub-rede correspondente sem a necessidade de configurar o roteador PE

* Você pode aproveitar as vantagens de um único Transit VIF

* O roteador PE deve suportar GRE e levar em consideração as limitações do GRE (por exemplo, limite por fluxo)

* Você precisa configurar a tabela de rotas do Transit Gateway com rotas estáticas

* O Transit Gateway e o DX devem ser usados

Padrão 4: Baseado no vRouter
* O mais fácil para engenheiros de rede (compatível com redes de telecomunicações tradicionais)
* Custo/complexidade adicionais para criar redes sobrepostas e subjacentes (incluindo considerações sobre alta disponibilidade, escalabilidade e desempenho)

Este artigo foi traduzido do Blog de AWS em Inglês 


Sobre os autores

Rolando Headshot1.jpg

Rolando Jr Hilvano

Rolando Jr Hilvano é Senior Telecom Solutions Architect na AWS.

 

 

 

 

Gonzalo Headshot1.jpg

Gonzalo Gomez Herrero

Gonzalo Gomez Herrero é Principal Solutions Architect na AWS Telco Business Unit EMEA team.

 

 

 

 

Ammar Headshot1.jpg

Ammar Latif

Ammar Latif é Senior Telecom Solutions Architect na AWS.

 

 

 

 

Matt Headshot1.jpg

Matt Lehwess

Matt Lehwess é Principal Solutions Architect na AWS.

 

 

 

 

Young Jung Headshot1.jpg

Young Jung

Dr. Young Jung é Principal Solutions Architect na AWS Worldwide Telecom Business Unit.

 

 

 

 

Traductores

Nelson Rojas é Senior Customer Solutions Manager na AWS focado em Telco Latino-América.

 

 

 

 

Henrique Meira é Senior Customer Solutions Manager na AWS focado en Migrações para a nuvem.