Es­sen­zial­men­te si di­stin­guo­no due tipi di tra­smis­sio­ne dati: in una tra­smis­sio­ne senza con­nes­sio­ne i dati possono essere inviati in qualsiasi momento e senza limiti dal di­spo­si­ti­vo de­si­de­ra­to al sistema di de­sti­na­zio­ne, senza che sia stabilito pre­li­mi­nar­men­te il percorso dei pacchetti. Ogni nodo di rete connesso (di solito il router) sa au­to­ma­ti­ca­men­te come deve inoltrare il flusso di dati. Così il percorso di tra­smis­sio­ne senza con­nes­sio­ne offre un alto grado di fles­si­bi­li­tà ma nessuna garanzia che le risorse ne­ces­sa­rie siano ef­fet­ti­va­men­te di­spo­ni­bi­li.

Al contrario il percorso dei pacchetti nella tra­smis­sio­ne orientata alla con­nes­sio­ne è pre­sta­bi­li­to sin dall’inizio. I nodi di rete coinvolti (so­li­ta­men­te switch) ricevono le ri­spet­ti­ve in­for­ma­zio­ni per l’inoltro dei dati dalla stazione pre­ce­den­te fino a quando i pacchetti alla fine del percorso sono arrivati al computer di de­sti­na­zio­ne. In questo modo il lungo processo di in­stra­da­men­to che è ne­ces­sa­rio per la tra­smis­sio­ne senza con­nes­sio­ne viene ac­ce­le­ra­to no­te­vol­men­te. Inoltre le risorse di rete pre­e­si­sten­ti si possono con­trol­la­re in maniera ottimale e di­stri­bui­re tra i singoli membri. Il co­sid­det­to Mul­ti­pro­to­col Label Switching (MPLS) consente ciò anche per le reti TCP/IP, sebbene queste rientrino nella categoria delle reti senza con­nes­sio­ne.

Che cos’è la tec­no­lo­gia MPLS (Mul­ti­pro­to­col Label Switching)?

A metà degli anni 90 le grandi reti di co­mu­ni­ca­zio­ne erano ancora pre­va­len­te­men­te co­sti­tui­te dalla co­mu­ni­ca­zio­ne vocale (telefonia) più che dalla co­mu­ni­ca­zio­ne dati (Internet). A quell’epoca i provider te­le­fo­ni­ci gestivano ancora delle reti separate per entrambi i tipi di tra­smis­sio­ne, cosa che da una parte risultava davvero costoso e dall’altra non garantiva una piena qualità del servizio (Quality of Service). Alle reti vocali di alta qualità e orientate alla con­nes­sio­ne si con­trap­po­ne­va­no le reti dati senza con­nes­sio­ne, alle quali mancava però la banda larga ne­ces­sa­ria.  

L’in­tro­du­zio­ne del pro­to­col­lo ATM (Asyn­chro­nous Transfer Mode) è riuscita a risolvere per buona parte questa pro­ble­ma­ti­ca, con­sen­ten­do la tra­smis­sio­ne vocale e dei dati tramite un’in­fra­strut­tu­ra comune. Ma la soluzione arrivò solo alla fine degli anni 90 con la tec­no­lo­gia Mul­ti­pro­to­col Label Switching che permise di sfruttare ef­fi­cien­te­men­te la banda larga di­spo­ni­bi­le.

Per mettere questo proposito in pratica, MPLS ha al­leg­ge­ri­to fi­nal­men­te i sistemi di in­stra­da­men­to so­vrac­ca­ri­chi: al posto di far de­ter­mi­na­re il percorso ottimale di un pacchetto dalle singole stazioni in­ter­me­dia­rie, come solito fino ad allora, il pro­ce­di­men­to offre la pos­si­bi­li­tà di pre­de­fi­ni­re i percorsi di un pacchetto a partire dal punto di partenza (ingress router) fino a quello di arrivo (egress router). Le stazioni in­ter­me­dia­rie (label switched router) ri­co­no­sco­no questi percorsi, valutando i label (iden­ti­fi­ca­ti­vi) che con­ten­go­no le in­for­ma­zio­ni di in­stra­da­men­to e di servizio adatte e che vengono assegnate allo stesso pacchetto. La va­lu­ta­zio­ne avviene così grazie al relativo hardware (ad esempio uno switch) al di sopra del livello di col­le­ga­men­to (livello 2), mentre il lungo in­stra­da­men­to si verifica sul livello di rete (livello 3).

Grazie all’esten­sio­ne Ge­ne­ra­li­zed MPLS, nel frattempo la tec­no­lo­gia, ori­gi­na­ria­men­te svi­lup­pa­ta solo per le reti IP, è di­spo­ni­bi­le anche per altri tipi di rete, come SONET/SDH (Syn­chro­nous Optical Net­wor­king / Syn­chro­nous Digital Hierarchy) o WSON (Wa­ve­length Switched Optical Network).

Come funziona la tec­no­lo­gia Mul­ti­pro­to­col Label Switching?

L’uso di MPLS nelle reti IP pre­sup­po­ne un’in­fra­strut­tu­ra logica e fisica, composta da router che sup­por­ta­no MPLS. Il pro­ce­di­men­to di label opera quindi prin­ci­pal­men­te all’interno di un sistema autonomo (AS), un as­sem­bra­men­to di diverse reti IP che vengono gestite come unità e sono collegate da almeno un Interior Gateway Protocol (IGP) comune. Di solito i gestori di tali sistemi sono provider, uni­ver­si­tà o anche aziende in­ter­na­zio­na­li.

Prima che i singoli percorsi possano essere creati, l’IGP uti­liz­za­to deve occuparsi del fatto che tutti i router del sistema autonomo possano rag­giun­ger­si a vicenda. Infine vengono anche stabiliti i dati prin­ci­pa­li dei percorsi, de­no­mi­na­ti anche come Label Switched Paths (LSP). Questi ingress ed egress router nominati prima si trovano so­li­ta­men­te alle entrate e alle uscite di un sistema. L’at­ti­va­zio­ne dell’LSP avviene poi ma­nual­men­te, se­miau­to­ma­ti­ca­men­te o in modo com­ple­ta­men­te au­to­ma­ti­co:

  • Con­fi­gu­ra­zio­ne manuale: ogni nodo che at­tra­ver­sa un LSP deve essere con­fi­gu­ra­to sin­go­lar­men­te; nelle grandi reti questo pro­ce­di­men­to è inef­fi­ca­ce.

  • Con­fi­gu­ra­zio­ne se­miau­to­ma­ti­ca: solo alcune stazioni in­ter­me­die (ad esempio i primi tre hop) devono essere con­fi­gu­ra­ti ma­nual­men­te, mentre il resto degli LSP riceve le in­for­ma­zio­ni dall’Interior Gateway Protocol.

  • Con­fi­gu­ra­zio­ne com­ple­ta­men­te au­to­ma­ti­ca: nella variante com­ple­ta­men­te au­to­ma­ti­ca l’Interior Gateway Protocol è in­te­ra­men­te re­spon­sa­bi­le della de­ter­mi­na­zio­ne del percorso, però in questo modo non viene raggiunta nessuna ot­ti­miz­za­zio­ne del percorso.

L’ingress router trasmette ai pacchetti che vengono inviati in una rete MPLS con­fi­gu­ra­ta un header MPLS ag­giun­ti­vo, il quale viene aggiunto tra le in­for­ma­zio­ni del secondo e del terzo livello; questo pro­ce­di­men­to è co­no­sciu­to anche con il nome di ope­ra­zio­ne push. Sul percorso di tra­smis­sio­ne i singoli hop coinvolti scambiano il label con delle proprie in­for­ma­zio­ni di con­nes­sio­ne (latenza, banda larga e hop di de­sti­na­zio­ne) tramite una variante adattata: questo pro­ce­di­men­to è spesso chiamato ope­ra­zio­ne swap. Alla fine del percorso viene eliminato di nuovo il label dall’header IP durante un’ope­ra­zio­ne pop

La struttura dell’header del Mul­ti­pro­to­col Label Switching

MPLS amplia il normale header IP con il co­sid­det­to Label Stack Entry, co­no­sciu­to anche con la de­no­mi­na­zio­ne di shim header MPLS. Questa voce ha una lunghezza di 4 byte ed è molto breve (32 bit), perciò può essere elaborata ve­lo­ce­men­te. La giusta riga header che viene inserita tra il livello 2 e 3 si presenta così:

I suc­ces­si­vi 32 bit del Label Stack Entry MPLS ag­giun­go­no a un pacchetto IP quattro in­for­ma­zio­ni per il prossimo hop di rete:

  • Label: il label comprende le in­for­ma­zio­ni basilari della voce MPLS, perciò ne sta­bi­li­sce la maggior parte con una lunghezza di 20 bit. Come già men­zio­na­to, un label è sempre unico su un percorso e comunica perciò anche solo tra due router definiti. Infine viene adattato per la tra­smis­sio­ne dei dati alla suc­ces­si­va stazione in­ter­me­dia­ria.

  • Traffic Class (TC): grazie al campo Traffic Class, l’header comunica le in­for­ma­zio­ni sui Dif­fe­ren­tia­ted Services (DiffServ). Questo schema può essere uti­liz­za­to per la clas­si­fi­ca­zio­ne dei pacchetti IP per garantire la Quality of Service. Così i 3 bit possono ad esempio co­mu­ni­ca­re allo scheduler di rete se il pacchetto deve essere trattato con priorità o se rimane su­bor­di­na­to.

  • Bottom of Stack (S): il Bottom of Stack definisce se nel percorso di tra­smis­sio­ne alla base si tratti di un percorso semplice o se sono annidati più LSP gli uni dentro gli altri. In quest’ultimo caso un pacchetto può anche contenere più label che sono rag­grup­pa­ti nel co­sid­det­to Label Stack. La Bottom of Stack Flag informa poi il router del fatto che seguono altri label o, in caso contrario, che la voce contiene l’ultimo label MPLS dello stack.

  • Time to live (TTL): gli ultimi 8 bit del Label Stack Entry MPLS indicano il ciclo di vita del pacchetto. Quindi a questo scopo regolano quanti router deve ancora at­tra­ver­sa­re il pacchetto sul percorso (il limite è impostato a 255 router).

Il ruolo attuale del Mul­ti­pro­to­col Label Switching

Negli anni 90 MPLS ha aiutato i provider con­sen­ten­do un am­plia­men­to veloce e una crescita delle loro reti. Ma il vantaggio iniziale di velocità nella tra­smis­sio­ne dati è passato in secondo piano con la nuova ge­ne­ra­zio­ne di router dalle pre­sta­zio­ni elevate con pro­ces­so­re di rete integrato. Dato che è il pro­ce­di­men­to con cui si può garantire la qualità del servizio stabilita, resta finora uti­liz­za­to da molti provider. In questo caso si tratta del co­sid­det­to Traffic En­gi­nee­ring, un processo che si occupa dell’analisi e dell’ot­ti­miz­za­zio­ne dei flussi di dati. Oltre alla clas­si­fi­ca­zio­ne delle singole con­nes­sio­ni dati, avviene anche un’analisi della banda larga e delle capacità dei singoli elementi di rete. Sulla base degli eventi si punta infine a di­stri­bui­re il carico dei dati in maniera ottimale per raf­for­za­re l’intera rete. Un altro im­por­tan­te campo di utilizzo sono le Virtual Private Networks (VPN), cioè delle reti di co­mu­ni­ca­zio­ne virtuali chiuse in se stesse che uti­liz­za­no come mezzo di trasporto le in­fra­strut­tu­re di reti pubbliche. In questo modo si possono unire i di­spo­si­ti­vi a una rete, senza che siano collegati fi­si­ca­men­te gli uni agli altri. Es­sen­zial­men­te si di­stin­guo­no due tipi di reti virtuali MPLS:

  • Livello 2 delle VPN: le reti private virtuali sul livello di col­le­ga­men­to possono essere concepite per con­nes­sio­ni point-to-point o per l’accesso remoto. Lo­gi­ca­men­te il livello 2 serve all’utente di una simile VPN come in­ter­fac­cia per stabilire una con­nes­sio­ne. Come pro­to­col­li di base si uti­liz­za­no il Point-to-Point Tunneling Protocol (PPTP) o il Layer 2 Tunneling Protocol (L2TP). In questo modo i fornitori di servizi hanno la pos­si­bi­li­tà di offrire ai loro clienti servizi simili a SDH e a quelli Ethernet.

  • Livello 3 delle VPN: le VPN di livello 3 basate sulla rete co­sti­tui­sco­no una soluzione facile per i provider per offrire a diversi clienti (in­di­pen­den­te­men­te dalle sezioni di in­di­riz­za­men­to IP private) delle strutture di rete com­ple­ta­men­te in­stra­da­te sulla base di una singola in­fra­strut­tu­ra IP. In questo modo viene garantita la Quality of Service, dato che i clienti vengono gestiti in modo separato gli uni dagli altri tramite Label MPLS per­so­na­liz­za­ti e percorsi di pacchetti pre­de­fi­ni­ti. Inoltre agli hop di rete viene ri­spar­mia­to il processo di in­stra­da­men­to.

I gestori delle grandi reti WAN (Wide Area Network) traggono vantaggio dalle offerte dei provider che si basano sul Mul­ti­pro­to­col Label Switching: i Label Switched Path stra­te­gi­ci, con­fi­gu­ra­ti cor­ret­ta­men­te, ot­ti­miz­za­no il traffico dati e as­si­cu­ra­no al massimo che tutti gli utenti possano disporre in ogni momento della ne­ces­sa­ria banda larga, ri­chie­den­do in cambio un impegno limitato. Il pro­ce­di­men­to rap­pre­sen­ta una soluzione adatta anche per le reti nei campus, come le reti delle uni­ver­si­tà e delle aziende, a patto che si abbia il ne­ces­sa­rio budget.

Riepilogo dei vantaggi delle VPN MPLS

Il Mul­ti­pro­to­col Label Switching, in qualità di tec­no­lo­gia per le reti virtuali, concorre anche con l’esten­sio­ne dello stack di pro­to­col­lo IP IPsec. L’upgrade di sicurezza del pro­to­col­lo Internet si con­trad­di­stin­gue in par­ti­co­la­re per dei propri mec­ca­ni­smi di crit­to­gra­fia e i suoi costi modici. La rea­liz­za­zio­ne dell’in­fra­strut­tu­ra per mezzo di IPsec non rientra però nelle re­spon­sa­bi­li­tà del provider, a dif­fe­ren­za del processo MPLS, bensì spetta all’utente, che dovrà quindi af­fron­ta­re un maggiore impegno. In questo caso il pro­ce­di­men­to MPLS offre quindi un vantaggio, che non è il solo delle reti Label, come indica il seguente elenco:

  • Meno impegno per il fun­zio­na­men­to: come la con­fi­gu­ra­zio­ne IP e l’in­stra­da­men­to, il fun­zio­na­men­to della rete MPLS rientra nell’ambito dei compiti del provider. Di con­se­guen­za i clienti be­ne­fi­cia­no di un’in­fra­strut­tu­ra già pronta e dedicano meno tempo alla creazione di una propria rete.

  • Per­for­man­ce di qualità: i percorsi pre­de­fi­ni­ti dei dati prov­ve­do­no a garantire delle tra­smis­sio­ni molto rapide, che sono soggette a po­chis­si­me va­ria­zio­ni. I Service Level Agree­men­ts (SLA), con­cor­da­ti tra il provider e il cliente, ga­ran­ti­sco­no la banda larga de­si­de­ra­ta e un aiuto veloce in caso di disturbi.

  • Elevata fles­si­bi­li­tà: le VPN basate sul Mul­ti­pro­to­col Label Switching ga­ran­ti­sco­no ai provider molto spazio per la di­stri­bu­zio­ne delle risorse, aspetto che risulta van­tag­gio­so anche per i clienti. Così si possono con­cor­da­re dei pacchetti di pre­sta­zio­ni specifici e ampliare le reti fa­cil­men­te in ogni momento.

Pos­si­bi­li­tà di assegnare delle priorità ai servizi: grazie all’in­fra­strut­tu­ra MPLS i provider possono offrire diversi livelli di Quality of Service. La banda larga a di­spo­si­zio­ne non risulta quindi statica, bensì clas­si­fi­ca­bi­le (Class of Service). In questo modo si possono assegnare delle priorità ai servizi de­si­de­ra­ti, ad esempio VoIP, per garantire una tra­smis­sio­ne stabile.

Quanto sono sicure le reti MPLS?

I vantaggi di MPLS e delle reti virtuali private che si basano su questa tecnica sono so­prat­tut­to in­te­res­san­ti per le aziende e le isti­tu­zio­ni che sono presenti in diversi luoghi e che vogliono garantire anche ai loro clienti l’accesso alla rete. In parole povere queste reti virtuali sono spesso la prima scelta nella creazione dell’in­fra­strut­tu­ra IT. In questo modo vengono riuniti tutti gli utenti de­si­de­ra­ti in una rete senza che sia ne­ces­sa­ria una con­nes­sio­ne fisica o pubblica su Internet agli indirizzi IP di in­stra­da­men­to. Es­sen­zial­men­te una VPN di Mul­ti­pro­to­col Label Switching è quindi rag­giun­gi­bi­le solo per quegli utenti che di­spon­go­no dei relativi dati per stabilire una con­nes­sio­ne. Solo questo fatto non rende però le reti virtuali immuni da accessi in­de­si­de­ra­ti: l’attributo “privato” riferito a queste reti non significa se­gre­tez­za e crit­to­gra­fia, ma viene solo uti­liz­za­to per indicare che gli indirizzi IP uti­liz­za­ti sono rag­giun­gi­bi­li solo in­ter­na­men­te. Senza una crit­to­gra­fia ag­giun­ti­va tutte le in­for­ma­zio­ni vengono quindi trasmesse come testo in chiaro. Ma anche una relativa cer­ti­fi­ca­zio­ne non offre nessuna pro­te­zio­ne completa, no­no­stan­te il normale traffico Internet passi at­tra­ver­so i così chiamati “Provider Edge” (PE) tra le reti MPLS e clienti LAN. Di seguito sono elencati alcuni possibili rischi che sorgono durante l’utilizzo di in­fra­strut­tu­re MPLS:

  • I pacchetti MPLS finiscono nella VPN errata: gli errori dei software e con­fi­gu­ra­zio­ni errate sono spesso causa del fatto che i pacchetti IP con Label MPLS lasciano la VPN vera e propria e diventano visibili in un’altra rete. Così il router inoltra i pacchetti er­ro­nea­men­te a sistemi non af­fi­da­bi­li rag­giun­gi­bi­li tramite un route IP. Inoltre è possibile che i pacchetti vengano in­tro­dot­ti in maniera mirata con label mo­di­fi­ca­ti (Label Spoofing MPLS) in una VPN estranea, se il router Provider Edge accetta i relativi pacchetti.

  • Con­nes­sio­ne di un router di tra­smis­sio­ne non au­to­riz­za­to: se all’in­fra­strut­tu­ra MPLS sono collegate diverse VPN, si corre il rischio che un Provider Edge venga integrato in modo non au­to­riz­za­to nella VPN di un altro cliente. Ciò può essere provocato da una con­fi­gu­ra­zio­ne errata in­vo­lon­ta­ria o anche da un attacco mirato. Così facendo un utente in­de­si­de­ra­to riesce a sferrare altri attacchi basati sulla rete.

  • La struttura logica della rete del provider è visibile: se un attacco ottiene in­for­ma­zio­ni sulla struttura logica della rete MPLS creata dal provider, gli attacchi ai router di tra­smis­sio­ne sono molto probabili, spe­cial­men­te se i loro indirizzi sono visibili.

  • Attacco Denial of Service sui router PE: un altro im­por­tan­te nodo per le reti coinvolte è il router Provider Edge, un obiettivo par­ti­co­lar­men­te soggetto ad attacchi Denial of Service, che mi­nac­cia­no la di­spo­ni­bi­li­tà del servizio VPN. In questo caso sono pensabili da una parte dei continui ag­gior­na­men­ti di routing, ad esempio tramite EIGRP (Enhanced Interior Gateway Routing Protocol) o OSPF (Open Shortest Path First), mentre dall’altra è possibile il so­vrac­ca­ri­co del router tramite bom­bar­da­men­ti mirati con piccoli pacchetti.

Oltre alla crit­to­gra­fia, ogni VPN dovrebbe di con­se­guen­za disporre di altri mec­ca­ni­smi di pro­te­zio­ne per pro­teg­ge­re il router Provider Edge da accessi esterni. Si consiglia in questo caso di con­fi­gu­ra­re una zona de­mi­li­ta­riz­za­ta tra due firewall e di usare dei sistemi di controllo delle reti. Inoltre gli ag­gior­na­men­ti regolari di software e hardware, così come l’at­tua­zio­ne di mec­ca­ni­smi di sicurezza contro gli accessi fisici ai gateway, devono rientrare tra i pro­ce­di­men­ti standard da attuare.

Vai al menu prin­ci­pa­le