SURFnet biedt momenteel multipoint lichtpaden als een pilot die netwerkconnectiviteit bieden tussen meerdere eindpunten. Met een multipoint lichtpad blijft de uitwisseling van verkeer beperkt tot de gekozen eindpunten en is volledig gescheiden van het publieke internet. Een Multipoint lichtpad is gerealiseerd door middel van L3VPN (Layer 3 Virtual Private Network) technologie. Het verkeer binnen het L3VPN zal worden gerouteerd. Hierdoor kan elke aangesloten poort een subnet uit haar eigen klantprefix gebruiken.

Voordelen Multipoint Lichtpad met L3VPN

Point-to-Point vs Multipoint

Er zijn twee manieren om multipoint connectiviteit te regelen met lichtpaden. Een instelling kan meerdere point-to-point lichtpaden afnemen en het verkeer tussen de lichtpaden zelf routeren/switchen. Met een multipoint lichtpad is de verkeersuitwisseling tussen meerdere eindpunten een onderdeel van het lichtpad. De instellingen is in dit geval ontzorgd van de switching/routering functionaliteit in eigen domein.

L3VPN vs L2VPN

Er is gekozen voor L3VPN ten opzichte van een L2 ELAN  omdat hier geen L2 loops kunnen ontstaan, die kunnen resulteren in broadcast storms. Een tweede voordeel is dat je alleen point-to-point connectiviteit hoeft op te zetten met de SURFnet router en geen complexe failover constructies hoeft te bedenken tussen de aangesloten poorten. Zeker als je meer dan twee locaties onderling wilt koppelen, is de architectuur hierdoor zeer vereenvoudigd. De SURFnet routers die deel uitmaken van het L3VPN zijn volledig vermaasd ontsloten via MPLS LSPs (label switched path) met alle MPLS failover mechanismes. Elke klantpoort kan iedere klantpoort binnen hetzelfde L3VPN rechtstreeks bereiken.

Aansluitmodel

De L3VPN diensten zijn beschikbaar op MSP poorten, waarin een VLAN wordt aangewezen die koppelt naar de L3VPN VRF. De klantkoppeling naar het L3VPN gebeurt met BGP. Door het BGP routeringsprotocol te gebruiken, zullen alle IP adressen van de verschillende MSP poorten automatisch worden gedistribueerd binnen het VRF. Dit is ideale setup, omdat nieuwe prefixen in de loop van de tijd automatisch worden ontdekt en toegevoegd in de routeringstabellen, zonder verdere beheerslast.

Instellingsrouter config

Om een werkende configuratie te maken op de klant router zijn de drie componenten nodig: VLAN configuratie, PtP configuratie, BGP sessie.

In het voorbeeld hieronder wordt de configuratie van een Juniper router getoond.

VLAN configuratie en PtP configuratie onder interfaces:

ge-1/2/0 {
  description "1G MSP to SURFnet;
  flexible-vlan-tagging;
  mtu 9000;
  encapsulation flexible-ethernet-services;
  unit 45 {
    description "to L3VPN SURFnet";
    encapsulation vlan-ccc;
    vlan-id 45;
    family inet {
      address 10.10.10.1/30;
      }
   }

}

BGP sessie
user@klantrouter# show protocols
bgp {
  group external-peers {
    type external;
    peer-as 1103;                            # dit is het SURFnet AS nummer
    neighbor 10.10.10.2;
    }
  }
}

L3VPN oplossing in het SURFnet netwerk

SURFnet7

In SURFnet7 is de routing functie gecentraliseerd in twee locaties - in Asd001A en Asd002A. Hier zal het L3VPN VRF (virtual routing forwarding) bestaan. Om ook klanten te bedienen buiten Amsterdam, worden de aangesloten poort gebackhauled via lichtpaden naar deze routers (zie onderstaande figuur). Per L3VPN dienst wordt één VRF opgezet en is daarmee geïsoleerd van andere diensten (lichtpaden of IP), die eenvoudig uit te breiden is met nieuwe klant poorten.


SURFnet8

In SURFnet8 hebben we op elke klantlocatie een router staan, waardoor we het L3VPN kunnen uitbreiden tot aan de rand van het netwerk. Hierdoor zijn de lichtpaden voor het backhaul naar Amsterdam niet meer nodig. Dit maakt het uitbreiden met extra klantpoort op een bestaand L3VPN een vrij eenvoudige aanpassing. Een ander voordeel van de SURFnet8 implementatie is door de volledige vermazing tussen de SURFnet8 routers, het verkeer het kortste pad zal kiezen, en dus niet via Amsterdam zal worden omgeleid. Een fractie lagere latency zal hierdoor bereikt worden.

In SURFnet8 is het ook mogelijk dat het L3VPN niet bestaat op de central SURFnet8 router in Amsterdam. Het L3VPN VRF zal alleen bestaan op de nodes waar een klant koppelt aan het L3VPN.

L3VPN migreren van SURFNet7 naar SURFnet8 

Het L3VPN kunnen we poot voor poot migreren naar een SURFnet8 implementatie. Er is dus een hybride L3VPN configuratie mogelijk waarin bepaalde klantpoorten reeds op SURFnet8 routers zijn aangesloten en een deel nog op SURFnet7 apparatuur. Bij elke klant poort die overgezet wordt naar een SURFnet8 router wordt de VRF configuratie uitgebreid.