venerdì 17 gennaio 2020

Per un'Internet più sicura: l'architettura BGP RPKI - parte II (teoria)

PREMESSA: questo è il secondo di tre post scritti congiuntamente dal sottoscritto e da Flavio LucianiChief Innovation Officer di NaMeX, che ringrazio per la sua disponibilità a collaborare a questo blog. Prima di leggere questo post è consigliabile leggere il primo, che trovate a qui. 

L'ARCHITETTURA BGP RPKI: SCHEMA A BLOCCHI
L’architettura BGP RPKI, il cui schema a blocchi è riportato nella figura seguente, è basata su dei database (RPKI repository), dove sono contenute le informazioni sui ROA, informazioni che possono essere immesse direttamente dai RIR o anche dai NIR/LIR/ISP (verificate comunque dai RIR) attraverso un particolare Publication Protocol. Di solito per questo i RIR mettono a disposizione delle interfacce web semplificate, che consentono di nascondere agli end user tutte le complessità legate ai Certificati Digitali, focalizzando l’attenzione sulla sola creazione e pubblicazione dei ROA.

giovedì 2 gennaio 2020

Per un'Internet più sicura: l'architettura BGP RPKI - parte I

PREMESSA: questo è il primo di tre post scritti congiuntamente dal sottoscritto e da Flavio Luciani, Chief Innovation Officer di NaMeX, che ringrazio per la sua disponibilità a collaborare a questo blog.

Qualsiasi trattazione di aspetti di sicurezza, non può non iniziare con una illustrazione dei possibili tipi di attacco e una analisi delle vulnerabilità. È chiaro che l’intera Internet è vulnerabile ad attacchi ai suoi protocolli di routing. Il BGP, da questo punto di vista non fa eccezione, ed essendo sicuramente il protocollo più importante, è quello su cui focalizzare maggiormente l’attenzione in termini di protezione. 

domenica 22 settembre 2019

VXLAN + EVPN: lab test in ambiente Cisco Nexus - Parte III - Interconnessione DC-L3VPN (segue dalla puntata precedente)

In questo post precedente ho illustrato gli aspetti architetturali dell'interconnessione di un Data Center con una rete IP/MPLS esterna dove è realizzato un servizio L3VPN con siti dispersi geograficamente e appartenenti a un determinato tenant. In questo post, che è il seguito del precedente, illustrerò un Case Study su una rete di laboratorio. 

mercoledì 19 giugno 2019

VXLAN + EVPN: lab test in ambiente Cisco Nexus - Parte III - Interconnessione DC-L3VPN

Questo post è il seguito dei due precedenti "VXLAN + EVPN: lab test in ambiente Cisco Nexus - Parte I e Parte II" che potete trovare a questo link (Parte I) e a questo link (Parte II).

In questo post illustrerò come interconnettere un tenant di un Data Center con una L3VPN esterna, sempre dello stesso tenant. Poiché il post è molto lungo sarà diviso in due parti.

domenica 24 marzo 2019

VXLAN + EVPN: lab test in ambiente Cisco Nexus - Parte II

Questo post è il seguito di un post precedente che potete trovare a questo link. E il terzo, non ultimo, di una serie di lab test che dimostrano la fattibilità dell'implementazione di Overlay Virtual Networks realizzate attraverso lo standard VXLAN.

venerdì 22 febbraio 2019

VXLAN + EVPN: lab test in ambiente Cisco Nexus - Parte I

In questo post precedente ho mostrato come realizzare segmenti VXLAN su una rete costituita da switch Cisco Nexus, che non utilizza alcun piano di controllo, ma solo un protocollo di routing IP multicast nella IP Fabric. La costruzione delle mappe MAC-to-VTEP avviene in questo caso interamente sul piano dati (VXLAN Flood & Learn), senza ausilio alcuno di un piano di controllo.

In questo post vedremo invece come realizzare segmenti VXLAN utilizzando un piano di controllo, che come visto in vari post di questo blog, è il protocollo EVPN, ampiamente trattato in post precedenti. La rete test è costituita anche in questo caso da switch Cisco Nexus della serie 9000.

giovedì 7 febbraio 2019

VXLAN Flood & Learn: lab test in ambiente Cisco Nexus

Circa un paio di anni fa, in questo post sull'evoluzione del piano di controllo delle VXLAN, avevo illustrato un breve test di laboratorio utilizzando router Cisco (virtuali) CSR1000v, con la promessa che appena avessi avuto la possibilità di replicarlo in ambiente Cisco Nexus, lo avrei condiviso. Il test di laboratorio riguardava l'utilizzo di VXLAN senza un piano di controllo, con il MAC learning che avviene interamente sul piano dati utilizzando all'interno della IP Fabric un protocollo di routing multicast (VXLAN Flood & Learn).