MPLS l3 VPN - что это такое? Чем отличается от других сетей? Как настроить канал связи vpn instance ip?
l3 vpn

MPLS L3 VPN: суть технологии и особенности работы

Рассмотрим построение виртуальных частных сетей на базе технологии MPLS (MPLS l3VPN). При этом доставка элемента данных протокола PDU от клиента до граничного маршрутизатора сети MPLS осуществляется с помощью пакета технологии IP (третий уровень согласно модели OSI).

Преимущества организации VPN на базе MPLS

Основными преимуществами организации VPN на базе MPLS можно назвать:

  • масштабируемость;
  • возможность пересечения адресных пространств, узлов подключенных в различные VPN;
  • изолирование трафика VPN друг от друга на втором уровне модели OSI.

Масштабируемость достигается за счет того, что подключение нового узла в существующий VPN производиться только перенастройкой одного PE, к которому подключается данный узел.

Как правило, в различных VPN адресные пространства могут пересекаться, что может быть чрезвычайно полезным. В случае если оператору необходимо предоставить VPN нескольким клиентам, использующим одинаковое приватное адресное пространство. Например, адреса 10.0.0.0/8.
Устройства P (LSR) при коммутации анализируют только внешнюю метку, определяющую LSP между PE. И не анализируют заголовок IP пакета, то справедливо говорить о том. Что P устройства выполняют функции коммутации на втором уровне модели OSI.

Следовательно, устройства PE так же разделяют маршрутную информацию. Таблицы маршрутизации, интерфейсы, направленные в сторону устройств CE, между VRF. Тем самым процессы маршрутизации разных VPN полностью разделяются. И обеспечивается разделение трафика от разных VPN на втором уровне модели OSI. На этот предмет компания Miercom провела исследование. И показала, что технология MPLS/VPN в реализации компании Cisco Systems обеспечивает такой же уровень безопасности как сети Frame Relay и ATM.

Сравнение механизмов организации VPN на базе MPLS и туннелей (IPSec и GRE)

Сравнение основных технологий по организации VPN.

Параметр MPLS/VPN ATM/Frame Relay IPSec GRE
Масштабируемость высокая низкая низкая низкая
Требования к оператору поддержка технологии MPLS/VPN поддержка ATM/Frame Relay нет нет
Требования к клиенту нет поддержка ATM/Frame Relay наличие средств шифрования поддержка туннелирования трафика
Обеспечение целостности и конфиденциальности нет нет да нет
Пересечение адресных пространств узлов подключенных в разные VPN допускается допускается необходимо использовать NAT со стороны клиента необходимо использовать NAT со стороны клиента

Особо необходимо отметить, что технология MPLS/VPN не обеспечивает целостности и конфиденциальности передаваемых данных.

MPLS

MPLS (англ. multiprotocol label switching — многопротокольная коммутация по меткам) — механизм в высокопроизводительной телекоммуникационной сети. Осуществляющий передачу данных от одного узла сети к другому с помощью меток.

Является масштабируемым и независимым от каких-либо протоколов механизмом передачи данных. В сети, основанной на MPLS, пакетам данных присваиваются метки. Решение о дальнейшей передаче пакета данных другому узлу сети осуществляется только на основании значения присвоенной метки. Без необходимости изучения самого пакета данных. За счёт этого возможно создание сквозного виртуального канала. Независимого от среды передачи и использующего любой протокол передачи данных.

История

В 1996 году группа инженеров из фирмы «Ipsilon Networks» разработала «Протокол управления потоком» (англ. flow management protocol; RFC 1953).

Основанная на этом протоколе технология «коммутации IP-пакетов» (англ.  IP switching ), работающая только поверх упрощенной сети ATM. Не получила коммерческого успеха. Фирма «Cisco Systems» разработала похожую технологию. «Коммутации на основе тегов» (англ.  witchingsag t), не ограниченную передачей поверх сети ATM .

Данная технология, впоследствии переименованная в «коммутацию на основе меток» (англ.  witchingsabel l), была закрытой разработкой фирмы «Cisco». Позднее она была передана в специальную комиссию интернет-разработок (IETF) для открытой стандартизации.

Достоинства

MPLS позволяет достаточно легко создавать виртуальные каналы между узлами сети. Технология позволяет инкапсулировать различные протоколы передачи данных. Основным преимуществом MPLS являются:

  1. Независимость от особенностей технологий канального уровня, таких как ATM, Frame Relay, SONET/SDH или Ethernet.
  2. Отсутствие необходимости поддержания нескольких сетей второго уровня. Необходимых для передачи различного рода трафика. По виду коммутации MPLS относится к сетям с коммутацией пакетов.

Технология MPLS была разработана для организации единого протокола передачи данных как для приложений с коммутацией каналов. Так и приложений с коммутацией пакетов. Подразумеваются приложения с датаграммной передачей пакетов. MPLS может быть использован для передачи различного вида трафика, включая IP-пакеты, ячейки ATM, фреймы SONET/SDH  и кадры Ethernet.

Для решения идентичных задач ранее были разработаны такие технологии, как Frame Relay и ATM. Многие инженеры считали. Что технология ATM будет заменена другими протоколами с меньшими накладными расходами на передачу данных. И при этом обеспечивающими передачу пакетов данных переменной длины с установлением соединения между узлами сети. Технология MPLS разрабатывалась с учётом сильных и слабых сторон ATM. В настоящее время оборудование с поддержкой MPLS заменяет на рынке оборудование с поддержкой вышеупомянутых технологий. Вероятно, что в будущем MPLS полностью вытеснит данные технологии.

Без коммутации

В частности, MPLS обходится без коммутации ячеек и набора сигнальных протоколов, характерных для ATM. При разработке MPLS пришло понимание того. Что на уровне ядра современной сети нет необходимости в ячейках ATM маленького фиксированного размера. Поскольку современные оптические сети обладают такой большой скоростью передачи данных. Что даже пакет данных максимальной длины в 1500 байт испытывает незначительную задержку в очередях буферов коммутационного оборудования. Необходимость сокращения таких задержек. Например, для обеспечения заданного качества голосового трафика. Повлияла на выбор ячеек малого размера, характерных для ATM.

Оптимизация

В то же время в MPLS попытались сохранить механизмы оптимизации и управления трафиком (англ. teletraffic engineering). И управления отдельно от передаваемого потока данных. Которые сделали технологии Frame relay и ATM привлекательными для внедрения в больших сетях передачи данных.

Несмотря на то, что переход на MPLS даёт преимущества управления потоками данных (улучшение надёжности и повышение производительности сети). Существует проблема потери контроля потоков данных, проходящих через сеть MPLS, со стороны обычных IP-приложений.

Принцип работы

Технология MPLS основана на обработке заголовка MPLS, добавляемого к каждому пакету данных. Заголовок MPLS может состоять из одной или нескольких «меток». Несколько записей (меток) в заголовке MPLS называются стеком меток.

Формат записи в стеке меток 32 бита

20 бит 3 бита 1 бит 8 бит
Label TC S TTL

Каждая запись в стеке меток состоит из следующих четырёх полей:

  • значение метки (англ. label) занимает 20 бит;
  • поле «класс трафика» (англ. traffic class) используется для реализации механизмов качества обслуживания (QoS) и явного уведомления о перегрузке (англ. explicit congestion notification, ECN) (до RFC 5462 это поле называлось Exp (англ. experimental use)) занимает 3 бита;
  • флаг «дно стека» (англ. bottom of stack) если флаг установлен в 1, то это означает, что текущая метка последняя в стеке занимает 1 бит;
  • поле TTL (англ. time to live) используется для предотвращения петель MPLS коммутации занимает 8 бит.

Пространство значений меток

Поле значения метки в MPLS заголовке занимает 20 бит, таким образом максимально возможное значение метки равно 1 048 575.

Следующие номера меток зарезервированы для различных целей:

  1. Метка с номером 0 может использоваться только как последняя метка в стеке. Наличие метки 0 означает, что заголовок MPLS должен быть удалён и последующая маршрутизация пакета должна основываться на значении заголовка IPv4.
  2. Метка с номером 1 имеет особое название — метка оповещения маршрутизатора (англ. router alert label). Использование метки 1 аналогично использованию опции «Router alert option» при передаче в IP-пакетах. Метка 1 не может использоваться как последняя метка в стеке.
  3. Метка с номером 2 может использоваться только как последняя метка в стеке. Наличие метки 2 означает, что заголовок MPLS должен быть удалён и последующая маршрутизация пакета должна основываться на значении заголовка IPv6.
  4. Метка с номером 3 имеет особое название — неявная нулевая метка (англ. implicit NULL label). Метку 3 может присваивать и рассылать LSR, но метка, в действительности, никогда не может использоваться в стеке меток. Если LSR встретит данную метку в стеке меток, то вместо замены одной метки на другую LSR удалит весь стек меток. Хотя в действительности метка 3 не может появиться в стеке меток, она должна быть указана в LDP.
  5. Метки с номерами от 4 до 15 зарезервированы.

Установка и удаление туннелей

Для сети MPLS существует два стандартных протокола управления туннелями:

  • LDP (англ. label distribution protocol — протокол распределения по меткам);
  • RSVP-TE [en] (англ. resource reservation protocol for traffic engineering) — расширение протокола RSVP для оптимизации и управления трафиком.

Также существуют расширения протокола BGP, способные управлять виртуальными каналами в сети MPLS.

Заголовок MPLS не указывает тип данных, передаваемых в MPLS-туннеле. Если возникла необходимость передачи двух различных типов трафика между двумя маршрутизаторами так. Чтобы они по-разному обрабатывались маршрутизаторами ядра сети MPLS, требуется установить два различных MPLS-туннеля для каждого типа трафика.

Сравнение MPLS и IP

MPLS как протокол некорректно сравнивать с протоколом IP, поскольку MPLS работает совместно с IP и протоколами маршрутизации (IGP).

Основные преимущества технологии IP/MPLS:

  1. Более высокая скорость продвижения IP-пакетов по сети за счёт сокращения времени обработки маршрутной информации.
  2. Возможность организации информационных потоков в каналах связи. С помощью меток каждому информационному потоку (например, несущему телефонный трафик) может назначаться требуемый класс обслуживания (CoS (англ.)). Потоки с более высоким CoS получают приоритет перед всеми другими потоками. Таким образом, с помощью MPLS обеспечивается качество обслуживания (QoS), присущее сетям SDH и ATM.
  3. Полное обособление друг от друга виртуальных корпоративных сетей за счёт создания для каждой из них своеобразных туннелей.
  4. Прозрачный пропуск через ядро IP/MPLS трафика протоколов Ethernet, Frame relay или ATM, что позволяет подключать пользователей, использующих все эти разнообразные протоколы.

Построение сетей

Технология MPLS используется для построения IP-сетей. На практике MPLS используется для передачи трафика IP и Ethernet. Основными областями применения MPLS являются:

  • оптимизация и управление трафиком (англ. traffic engineering);
  • организация виртуальных частных сетей (VPN).

На уровне транспортной сети с MPLS конкурируют такие технологии, как PBB и MPLS-TP. С помощью этих технологий так же возможно предоставлять услуги L2 VPN и L3 VPN. Также в качестве конкурентной MPLS технологии предлагается использование протокола L2TPv3, однако он не популярен для решения задач, характерных для MPLS.

Каналы связи L2 и L3 VPN

Исторически, в то время мир вошел в настоящую компьютерную революцию v. 3.0. Старт облачных технологий распределенного хранения и обработки данных. Причем, если предыдущей «второй революцией» был массовый переход к технологиям «клиент-сервер» в 80-х годах. То первой можно считать начало одновременной работы пользователей с использованием отдельных терминалов, подключенных к т.н. «мейнфреймам». Эти революционные перемены произошли мирно и незаметно для пользователей, но затронули весь мир бизнеса вместе с информационными технологиями.

При переносе IT-инфраструктуры на облачные платформы и удаленные ЦОД (центры обработки данных) ключевым вопросом сразу же становится организация надежных каналов связи от клиента к дата-центрам. В Сети нередко встречаются предложения провайдеров: «физическая выделенная линия, оптоволокно», «канал L2», «VPN» и так далее. Попробуем разобраться, что за этим стоит на практике.

Каналы связи – физические и виртуальные

Физические каналы

Организацией «физической линии» или «канала второго уровня, L2» принято называть услугу предоставления провайдером выделенного кабеля (медного или оптоволоконного). Либо радиоканала между офисами и теми площадками, где развернуто оборудование дата-центров. Заказывая эту услугу, на практике скорее всего вы получите в аренду выделенный оптоволоконный канал. Это решение привлекательно тем, что за надежную связь отвечает провайдер (а в случае повреждения кабеля самостоятельно восстанавливает работоспособность канала). Однако, в реальной жизни кабель на всем протяжении не бывает цельным. Он состоит из множества соединенных (сваренных) между собой фрагментов, что несколько снижает его надежность. На пути прокладки оптоволоконного кабеля провайдеру приходится применять усилители, разветвители, а на оконечных точках – модемы.

NAT – Network Address Translation (механизм замены сетевых адресов транзитных пакетов в сетях TCP/IP. Применяется для маршрутизации пакетов из локальной сети клиента в другие сети/Интернет и в обратном направлении – вовнутрь LAN клиента, к адресату).

OSI или TCP/IP

В маркетинговых материалах к уровню L2 (Data-Link) сетевой модели OSI или TCP/IP это решение относят условно – оно позволяет работать как бы на уровне коммутации фреймов Ethernet в LAN. Не заботясь о многих проблемах маршрутизации пакетов на следующем, сетевом уровне IP. Есть, например, возможность продолжать использовать в клиентских виртуальных сетях свои, так называемые «частные». IP-адреса вместо зарегистрированных уникальных публичных адресов. Поскольку использовать частные IP-адреса в локальных сетях очень удобно, пользователям были выделены специальные диапазоны из основных классов адресации:

  • 10.0.0.0 – 10.255.255.255 в классе A (с маской 255.0.0.0 или /8 в альтернативном формате записи маски);
  • 100.64.0.0 – 100.127.255.255 в классе A (с маской 255.192.0.0 или /10);
  • 172.16.0.0 – 172.31.255.255 в классе B (с маской 255.240.0.0 или /12);
  • 192.168.0.0 – 192.168.255.255 в классе C (с маской 255.255.0.0 или /16).

Такие адреса выбираются пользователями самостоятельно для «внутреннего использования». И могут повторяться одновременно в тысячах клиентских сетей. Поэтому пакеты данных с частными адресами в заголовке не маршрутизируются в Интернете – чтобы избежать путаницы. Для выхода в Интернет приходится применять NAT (или другое решение) на стороне клиента.

У этого подхода (а мы говорим о выделенном канале) есть и очевидный недостаток – в случае переезда офиса клиента. Могут быть серьезные сложности с подключением на новом месте и возможна потребность в смене провайдера.

Утверждение, что такой канал значительно безопаснее, лучше защищен от атак злоумышленников и ошибок низкоквалифицированного технического персонала при близком рассмотрении оказывается мифом. На практике проблемы безопасности чаще возникают (или создаются хакером умышленно)

PWE3 – Pseudo-Wire Emulation Edge to Edge (механизм, при котором с точки зрения пользователя, он получает выделенное соединение).

Виртуальные каналы

Виртуальные каналы и построенные на них частные сети VPN (Virtual Private Network) распространены широко и позволяют решить большинство задач клиента. Предоставление провайдером «L2 VPN» предполагает выбор из нескольких возможных услуг «второго уровня», L2:

  1. VLAN – клиент получает виртуальную сеть между своими офисами, филиалами (в действительности, трафик клиента идет через активное оборудование провайдера, что ограничивает скорость).
  2. Соединение «точка-точка» PWE3 (другими словами, «эмуляция сквозного псевдопровода» в сетях с коммутацией пакетов) позволяет передавать фреймы Ethernet между двумя узлами так, как если бы они были соединены кабелем напрямую. Для клиента в такой технологии существенно, что все переданные фреймы доставляются до удалённой точки без изменений. То же самое происходит и в обратном направлении. Это возможно благодаря тому, что фрейм клиента приходя на маршрутизатор провайдера далее инкапсулируется (добавляется) в блок данных вышестоящего уровня (пакет MPLS), а в конечной точке извлекается.
  3. VPLS – технология симуляции локальной сети с многоточечными соединениями. В этом случае сеть провайдера выглядит со стороны клиента подобной одному коммутатору, хранящему таблицу MAC-адресов сетевых устройств. Такой виртуальный «коммутатор» распределяет фрейм Ethernet пришедший из сети клиента, по назначению – для этого фрейм инкапсулируется в пакет MPLS, а после извлекается.

VPLS – Virtual Private LAN Service (механизм, при котором с точки зрения пользователя, его разнесенные географически сети соединены виртуальными L2 соединениями).

MAC – Media Access Control (способ управления доступом к среде – уникальный 6-байтовый адрес-идентификатор сетевого устройства (или его интерфейсов) в сетях Ethernet).

L3 VPN

В случае развертывания «L3 VPN» сеть провайдера в глазах клиента выглядит подобно одному маршрутизатору с несколькими интерфейсами. Поэтому, стык локальной сети клиента с сетью провайдера происходит на уровне L3 сетевой модели OSI или TCP/IP.

Публичные IP-адреса для точек стыка сетей могут определяться по согласованию с провайдером (принадлежать клиенту либо быть полученными от провайдера). IP-адреса настраиваются клиентом на своих маршрутизаторах с обеих сторон (частные – со стороны своей локальной сети, публичные – со стороны провайдера). Дальнейшую маршрутизацию пакетов данных обеспечивает провайдер. Технически, для реализации такого решения используется MPLS (см. выше), а также технологии GRE и IPSec.

GRE – Generic Routing Encapsulation (протокол тунеллирования, упаковки сетевых пакетов, который позволяет установить защищенное логическое соединение между двумя конечными точками – с помощью инкапсуляции протоколов на сетевом уровне L3).

IPSec – IP Security (набор протоколов защиты данных, которые передаются с помощью IP. Используется подтверждение подлинности, шифрование и проверка целостности пакетов).

Важно понимать, что современная сетевая инфраструктура построена так, что клиент видит только ту ее часть, которая определена договором. Выделенные ресурсы (виртуальные серверы, маршрутизаторы, хранилища оперативных данных и резервного копирования), а также работающие программы и содержимое памяти полностью изолированы от других пользователей. Несколько физических серверов могут согласованно и одновременно работать для одного клиента, с точки зрения которого они будут выглядеть одним мощным серверным пулом. И наоборот, на одном физическом сервере могут быть одновременно созданы множество виртуальных машин (каждая будет выглядеть для пользователя подобно отдельному компьютеру с операционной системой). Кроме стандартных, предлагаются индивидуальные решения, которые также соответствует принятым требованиям относительно безопасности обработки и хранения данных клиента.

При этом, конфигурация развернутой в облаке сети «уровня L3» позволяет масштабирование до практически неограниченных размеров (по такому принципу построен Интернет и крупные дата-центры). Протоколы динамической маршрутизации, например OSPF, и другие в облачных сетях L3, позволяют выбрать кратчайшие пути маршрутизации пакетов данных, отправлять пакеты одновременно несколькими путями для наилучшей загрузки и расширения пропускной способности каналов.

В то же время, есть возможность развернуть виртуальную сеть и на «уровне L2», что типично для небольших дата-центров и устаревших (либо узко-специфических) приложений клиента. В некоторых таких случаях, применяют даже технологию «L2 over L3», чтобы обеспечить совместимость сетей и работоспособность приложений.

Технология MPLS L3VPN

Сети MPLS VPN привлекают сегодня всеобщее внимание. Количество ведущих поставщиков услуг, предлагающих своим клиентам воспользоваться новым видом сервиса для экономичного построения своих внутренних и внешних сетей, постоянно растет, делая сети MPLS VPN доступными для пользователей все большего числа стран и регионов. От других технологий построения виртуальных частных сетей, таких как VPN на базе ATM/FR. Или IPSec, технологию MPLS VPN выгодно отличает хорошая масштабируемость, возможность автоматического конфигурирования и естественная интеграция с другими сервисами протокола IP, которые сегодня входят в обязательный набор любого успешного поставщика услуг, включая доступ в Интернет, WWW и почтовые службы, хостинг.

Существует два варианта сетей MPLS VPN:

  1. В сетях MPLS L3VPN доставка трафика от клиента до пограничного устройства сети поставщика услуг осуществляется с помощью технологии IP (третий уровень).
  2. Сети MPLS L2VPN передают клиентский трафик в сеть поставщика услуг с помощью какой-либо технологией второго уровня, которой может быть Ethernet, Frame Relay или ATM.

В обоих случаях внутри сети поставщика услуг клиентский трафик передается с помощью технологии MPLS.

Сегодня уровень MPLS определить не так просто  — терминология в этой области еще не устоялась. Но поскольку продвижение пакетов на основе локальных меток соответствует второму уровню, мы будем относить MPLS ко второму уровню.

Полная связность при абсолютной изолированности

Каждый клиент желает, чтобы поставщик услуг VPN связал между собой его сети, обеспечив абсолютную изолированность полученной единой сети от сетей других клиентов.

Эту задачу современному поставщику услуг приходится решать в противоречивых условиях доминирования технологии IP как универсального транспорта. Действительно, один из основных принципов работы составной IP-сети заключается в автоматическом связывании всех сетей в одно целое. За счет распространения по сети маршрутной информации протоколами маршрутизации, такими как BGP, OSPF, IS-IS, RIP. С помощью подобного механизма на каждом маршрутизаторе сети автоматически создается таблица маршрутизации. В которой указываются пути следования пакетов к каждой из сетей, включенных в составную сеть (пути к отдельным сетям могут агрегироваться, но это не меняет сути).

Как же технология MPLS VPN разрешает парадокс обеспечения изолированности при сохранении связности? Достаточно элегантно — за счет автоматической фильтрации маршрутных объявлений и применения туннелей MPLS для передачи клиентского трафика по внутренней сети поставщика.

Обмен информацией

Для того чтобы изолировать сети друг от друга, достаточно поставить между ними заслон на пути распространения маршрутной информации. Для обмена маршрутной информацией в пределах сети узлы пользуются одним из внутренних протоколов маршрутизации (IGP), таким как RIP, OSPF или IS-IS, область действия которого ограничена автономной системой. Если в таблице маршрутизации узла А нет записи о маршруте к узлу В (и отсутствует запись о маршруте по умолчанию), то говорят, что узел А не «видит» узла В.

В сети MPLS VPN подобный режим достигается за счет того, что маршрутные объявления, передаваемые сетью клиента, с помощью протокола BGP «перепрыгивают» через всю внутреннюю сеть поставщика услуг. После чего благодаря особому конфигурированию с использованием многопротокольного расширения протокола BGP (MP-BGP) они попадают только в сети того же клиента. В результате маршрутизаторы разных клиентов не имеют маршрутной информации друг о друге и поэтому не могут обмениваться пакетами, то есть достигается желаемая изоляция.

Еще одним следствием такого подхода является изолированность внутренней сети поставщика услуг от сетей клиентов, а это, в свою очередь, повышает надежность работы сети поставщика и ее масштабируемость (не нужно хранить таблицы большого размера с описанием сетей многочисленных клиентов на внутренних маршрутизаторах сети поставщика услуг).

Как обеспечить связь?

Но как же все-таки связать территориально разнесенные сети клиента в единую виртуальную частную сеть, если внутренняя сеть поставщика услуг ничего о них не знает, во всяком случае, на уровне обычных таблиц маршрутизации? Для этого применяется достаточно традиционное средство — туннель между пограничными маршрутизаторами внутренней сети. Особенность рассматриваемой технологии состоит в применение туннеля MPLS (альтернативные решения могли бы основываться на туннелях IPSec или других туннелях класса «IP поверх IP»). Преимуществом туннелей MPLS VPN являются автоматический способ их прокладки и выгоды, получаемые за счет применения технологии MPLS как таковой и касающиеся ускоренного продвижения пакетов по сети поставщика услуг и управления качеством обслуживания (QoS) для туннелей с инжинирингом трафика.

Для того чтобы описанные принципы построения MPLS VPN смогли найти воплощение в реальной сети, было разработано несколько специфических сетевых механизмов и компонентов.

Компоненты сети MPLS VPN

В сети MPLS VPN легко выделить две области:

  • IP-сети клиентов;
  • магистральная сеть MPLS поставщика услуг.

В общем случае у любого клиента может быть несколько территориально обособленных IP-сетей (сайтов), каждая из которых в свою очередь может включать несколько подсетей, связанных маршрутизаторами. Принадлежащие одному клиенту сайты обмениваются IP-пакетами через сеть поставщика услуг и образуют виртуальную частную сеть этого клиента.

Маршрутизаторы

Маршрутизатор, с помощью которого сайт клиента подключается к магистрали поставщика, называется пограничным устройством клиента (Customer Edge router, CE). Будучи компонентом сети клиента, маршрутизатор CE ничего не знает о существовании VPN. Он может быть соединен с магистральной сетью поставщика услуг несколькими каналами.

Магистральная сеть поставщика услуг является сетью MPLS, в которой IP-пакеты продвигаются на основе не IP-адресов, а локальных меток. Сеть MPLS состоит из коммутирующих по меткам маршрутизаторов (LSR), которые направляют трафик по предварительно проложенным путям коммутации по меткам (LSP) в соответствии со значениями меток.

В сети поставщика среди устройств LSR выделяют пограничные маршрутизаторы (Provider Edge router, PE), к которым через маршрутизаторы CE подключаются сайты клиентов, и маршрутизаторы магистральной сети поставщика (Provider router, P).

Маршрутизаторы CE и PE обычно связаны непосредственно физическим каналом, на котором работает какой-либо протокол канального уровня, например, PPP, FR, ATM или Ethernet. Общение между CE и PE идет по стандартным протоколам стека TCP/IP. Поддержка MPLS нужна только для внутренних интерфейсов PE и всех интерфейсов P. Иногда полезно различать относительно направления продвижения трафика входной и выходной ( удаленный) маршрутизаторы PE.

В магистральной сети поставщика только маршрутизаторы PE должны быть сконфигурированы для поддержки существующих виртуальных частных сетей, только они «знают» о них.

Если рассматривать сеть с позиций VPN, то маршрутизаторы P непосредственно не взаимодействуют с маршрутизаторами CE, а просто обеспечивают туннели между входным и выходным маршрутизаторами PE.

Пограничные маршрутизаторы

Пограничные маршрутизаторы PE являются функционально более сложными, чем внутренние маршрутизаторы P сети поставщика услуг. На них возлагаются главные задачи по поддержке сетей VPN, а именно — задачи разграничения маршрутов и данных, поступающих от разных клиентов. Маршрутизаторы PE служат также оконечными точками путей LSP между сайтами заказчиков, и именно пограничный маршрутизатор поставщика услуг назначает метку IP-пакету для его транзита через внутреннюю сеть, образованную внутренними маршрутизаторами поставщика услуг.

Пути LSP могут быть проложены двумя способами: либо с применением технологии ускоренной маршрутизации (IGP) с помощью протокола LDP, либо на основе технологии инжиниринга трафика с помощью протокола RSVP или CR-LDP. Прокладка LSP означает создание таблиц коммутации по меткам на всех пограничных и внутренних маршрутизаторах поставщика услуг, образующих данный путь (примеры таких таблиц можно найти в главе 20). В совокупности эти таблицы задают множество путей, образующих сети различных топологий для разных видов трафика клиентов.

Разграничение маршрутной информации

Для корректной работы VPN требуется, чтобы информация о маршрутах через магистральную сеть поставщика услуг не распространялась за ее пределы, а сведения о маршрутах в клиентских сайтах не становились известными за границами определенных сетей VPN.

Барьеры на пути распространения маршрутных объявлений могут устанавливаться соответствующим конфигурированием маршрутизаторов. Протокол маршрутизации должен быть оповещен о том, с каких интерфейсов и от кого он имеет право принимать объявления и на какие интерфейсы и кому их распространять.

Роль таких барьеров в сети MPLS VPN играют маршрутизаторы PE. Можно представить, что через маршрутизатор PE проходит невидимая граница между зоной клиентских сайтов и зоной ядра сети поставщика. По одну сторону располагаются интерфейсы, через которые PE взаимодействует с внутренними маршрутизаторами поставщика услуг, по другую — интерфейсы, к которым подключаются сайты клиентов. С одной стороны на PE поступают объявления о маршрутах магистральной сети, с другой стороны — объявления о маршрутах в сетях клиентов.

На маршрутизаторе PE установлено несколько протокольных модулей IGP. Один из них сконфигурирован для приема и распространения маршрутных объявлений только с тех трех внутренних интерфейсов, которые связывают этот маршрутизатор PE с маршрутизаторами P. Два других модуля IGP обрабатывают маршрутную информацию от сайтов клиентов.

Внутренние маршрутизаторы

Аналогичным образом настроены и остальные устройства PE. Внутренние маршрутизаторы P принимают и обрабатывают маршрутную информацию протокола IGP, поступающую со всех интерфейсов. В результате на всех маршрутизаторах (и PE, и P) создается по таблице маршрутизации, где содержатся все маршруты в пределах внутренней сети поставщика услуг. Подчеркнем, что никакой информации о маршрутах к сетям клиентов в таблицах внутренних маршрутизаторов нет. Сети клиентов также ничего не «знают» о маршрутах в сети поставщика услуг.

На каждом из маршрутизаторов PE создается два типа таблиц маршрутизации:

  • глобальная таблица маршрутизации строится на основе объявлений из магистральной сети поставщика услуг;
  • таблицы маршрутизации и продвижения сети VPN (VPN Routing and Forwarding instance, VRF) маршрутизатор PE формирует на основе объявлений, поступающих из сайтов клиентов.

Сайты клиентов

Сайты клиентов представляют собой обычные IP-сети, маршрутная информация в которых может передаваться и обрабатываться с помощью любого протокола маршрутизации класса IGP. Очевидно, что этот процесс никак не регламентируется поставщиком. Маршрутные объявления свободно распространяются между узлами в пределах каждого сайта до тех пор, пока не доходят до пограничных маршрутизаторов PЕ, служащих преградой для их дальнейшего распространения.

Разграничение маршрутов разных клиентов обеспечивается путем установки отдельного протокола маршрутизации на каждый интерфейс маршрутизатора PE, к которому подключен сайт клиента. Этот протокол принимает и передает клиентские маршрутные объявления только с одного определенного для него интерфейса, не пересылая их ни на внутренние интерфейсы, через которые пограничный маршрутизатор связан с внутренними маршрутизаторами, ни на интерфейсы, к которым подключены сайты других клиентов. В результате на маршрутизаторе PE создается несколько таблиц VRF.

Несколько упрощая, можно считать, что на каждом маршрутизаторе PE создается столько таблиц VRF, сколько сайтов к нему подключено. Фактически, на маршрутизаторе PE организуется несколько виртуальных маршрутизаторов, каждый из которых работает со своей таблицей VRF. Возможно и другое соотношение между сайтами и таблицами VRF. Например, если к некоторому пограничному маршрутизатору подключено несколько сайтов одной и той же сети VPN, то для них может быть создана одна общая таблица VRF.

Независимость адресных пространств

Если некоторое множество узлов никогда ни при каких условиях не получает маршрутную информацию от другого множества узлов, то адресация узлов в пределах каждого из этих множеств может выполняться независимо.

Ограничение области распространения маршрутной информации пределами отдельных сетей VPN изолирует адресные пространства каждой сети VPN, позволяя применять в ее пределах как публичные адреса Интернета, так и частные адреса, зарезервированные в соответствии со спецификацией RFC 1819.

Почему же в таком случае не сделать выбор адресов в пределах VPN совершенно произвольным и ограниченным только общими правилами адресации стека TCP/IP? Дело в том, что во многих случаях клиенты не хотят полной изоляции VPN: в частности, они нуждаются в выходе в Интернет. Независимое же (не согласованное с регламентирующими органами Интернета) назначение адресов узлам VPN может привести к совпадению внутренних адресов сайтов с уже использованными в Интернете публичными адресами, в результате чего связь с Интернетом станет невозможной. При применении зарезервированных частных адресов проблема связи клиентов VPN с внешним миром решается с помощью стандартной техники трансляции адресов (NAT). В любом случае должно соблюдаться требование уникальности адресов в пределах VPN.

Протокол BGP

Однако использование в разных сетях VPN одного и того же адресного пространства создает проблему для маршрутизаторов PE. Протокол BGP изначально был разработан в предположении, что все адреса, которыми он манипулирует, во-первых, относятся к семейству адресов IPv4 и, во-вторых, однозначно идентифицируют узлы сети, то есть являются глобально уникальными в пределах всей составной сети. Ориентация на глобальную уникальность адресов выражается в том, что получив очередное маршрутное объявление, протокол BGP анализирует его, не обращая внимания на то, какой сети VPN принадлежит этот маршрут. Если на вход BGP поступают описания маршрутов к узлам разных сетей VPN, но с совпадающими адресами IPv4, то протокол BGP считает, что все они ведут к одному и тому же узлу, а, следовательно, как и предусмотрено в алгоритме его работы, он помещает в соответствующую таблицу VRF только один лучший (в соответствии с правилами выбора BGP) маршрут.

Эта проблема была решена в MPLS VPN применением вместо потенциально неоднозначных адресов IPv4 расширенных и однозначных адресов нового типа, а именно адресов VPN-IPv4, получаемых путем преобразования исходных адресов IPv4. Преобразование заключается в том, что ко всем адресам IPv4, составляющим адресное пространство той или иной сети VPN, добавляется префикс, который называется различителем маршрутов (Route Distinguisher, RD) и который уникально идентифицирует эту сеть. В результате на маршрутизаторе PE все адреса, относящиеся к разным сетям VPN, обязательно будут отличаться друг от друга, даже если они имеют совпадающую часть — адрес IPv4.

Протокол MP-BGP

Именно здесь оказалась полезной способность расширенного протокола MP-BGP переносить в маршрутных объявлениях адреса разных типов, в том числе IPv6, IPX, а главное — VPN-IPv4. Адреса VPN-IPv4 используются только для маршрутов, которыми маршрутизаторы PE обмениваются по протоколу BGP. Прежде чем передать своему напарнику некоторый маршрут, входной маршрутизатор PE добавляет к его адресу назначения IPv4 префикс RD для данной сети VPN, тем самым преобразуя его в адрес VPN-IPv4.

Как уже было отмечено, префиксы RD должны гарантированно уникально идентифицировать VPN. Чтобы избежать дублирования адресов. Упростить выбор RD, не создавая для этих целей дополнительных централизованных процедур. Например, распределения RD органами Интернета подобно распределению адресов IPv4.  Предлагается за счет использования в качестве основы для RD заведомо уникальных чисел. Либо номеров автономных систем, либо глобальных адресов интерфейсов PE со стороны магистральной сети поставщика.

RD имеет длину 8 байт и состоит из трех полей:

  1. Первое поле типа длиной 2 байта определяет тип и разрядность второго поля.
  2. Второе поле называется полем администратора и однозначно идентифицирует поставщика. Значение 0 в поле типа говорит о том, что в поле администратора указан IP-адрес интерфейса маршрутизатора PE, и длина данного поля составляет, естественно, 4 байта. Если же значение поля типа равно 1, то в качестве идентификатора поставщика выбрано значение номера его автономной системы, так что длина поля администратора составит уже 2 байта.
  3. Третье поле носит название поля назначенного номера, оно служит для обеспечения уникальности адресов VPN в пределах сети поставщика. Назначенные номера выбирает сам поставщик, это могут быть произвольные числа, главное, чтобы существовало однозначное соответствие между ними и VPN поставщика.

Сформированные маршруты в формате VPN- IPv4 маршрутизатор PE1 передает по протоколу MP-BGP на маршрутизатор PE2, к которому подключен сайт 2 сети VPN  B. Только благодаря добавлениям значения RD протоколы BGP, работающие на удаленных маршрутизаторах PE, различают маршруты с совпадающими адресами IPv4, относящимися к разным сетям VPN.

Документ RFC 2547bis не требует, чтобы все маршруты внутри одной сети VPN индексировались одним и тем же значением RD. Более того, один и тот же сайт, подключенный к разным интерфейсам одного маршрутизатора PE. Или к разным маршрутизаторам PE, может иметь разные значения RD. Благодаря этому путь к одному и тому же узлу может описываться разными маршрутами, что дает возможность выбора того или иного маршрута для различных пакетов. Однако принципиально важно, чтобы значения RD разных сетей VPN не совпадали.

Использование протокола MP-BGP для связывания сайтов

Чтобы связать территориально разнесенные сайты заказчика в единую сеть, необходимо, во-первых, создать для них общее пространство распространения маршрутной информации, во-вторых, проложить во внутренней сети пути, по которым принадлежащие разным сайтам узлы одной и той же сети VPN могли бы вести защищенный обмен данными.

Механизмом, с помощью которого сайты, принадлежащие одной и той же сети VPN, обмениваются маршрутной информацией. Является уже упоминавшееся многопротокольное расширение для протокола BGP (MultiProtocol extensions for BGP, MP-BGP). Подробное описание этого протокола можно найти в спецификации RFC 2858. С его помощью пограничные маршрутизаторы организуют сеансы связи, в рамках которых обмениваются маршрутной информацией из своих таблиц VRF.

Особенность протокола BGP и его расширений заключается в том. Что он получает и передает свои маршрутные объявления не всем непосредственно связанным с ним маршрутизаторам. Как протоколы IGP, а только тем, которые указаны в его конфигурационных параметрах в качестве соседей. Причем соседями могут быть «назначены» маршрутизаторы, находящиеся на расстоянии многих хопов. Маршрутизатор PE сконфигурирован так, что все получаемые от клиентских сайтов маршрутные объявления. Он с помощью MP-BGP пересылает только определенным в качестве соседей другим пограничным маршрутизаторам PE. Целенаправленное распространение маршрутов между маршрутизаторами PE обеспечивается надлежащим выбором атрибутов протокола MP-BGP. Эти атрибуты описаны в документе «BGP Extended Communities Attribute», имеющем пока статус проекта стандарта Интернета.

Вопрос о том, кому отправлять маршрутные объявления, а кому нет, целиком зависит от топологии виртуальных частных сетей, поддерживаемых данным поставщиком услуг. Маршрутизатор PE1 передает маршруты из таблицы VRF сайта 1, относящегося к сети VPN A, маршрутизаторам PE2, PE3, PE5, к которым подключены остальные сайты 2, 3 и 4 той же сети VPN A. Полученные маршруты заносятся в таблицы VRF соответствующих сайтов.

Итак, помимо маршрутов, поступающих от непосредственно подсоединенных к устройству PE сайтов, каждая таблица VRF дополняется маршрутами, получаемыми от других сайтов данной сети VPN по протоколу MP-BGP. Таким путем создаются таблицы, описывающие маршруты в рамках отдельной сети VPN.

Генерация маршрутных объявлений MP-BGP

При получении от сайта клиента нового маршрута по протоколу класса IGP, такому как RIP, OSPF или IS-IS, маршрутизатор PE заносит его в соответствующую таблицу VRF и распространяет дальше между другими сайтами данной сети VPN. Обмен маршрутной информацией между сайтами каждой отдельной сети VPN выполняется под управлением протокола MP-BGP. Маршрутное объявление MP-BGP имеет следующий набор атрибутов, расширенный по сравнению с протоколом BGP:

  1. Адрес сети назначения в формате VPN-IPv4.
  2. Адрес следующего маршрутизатора ( Next Hop). Протокол BGP указывает в данном случае адрес одного из внутренних (идущих к маршрутизаторам P) интерфейсов того маршрутизатора PE, на котором он работает.
  3. Метка виртуальной частной сети (VPN Label, LVPN) уникально определяет внешний интерфейс маршрутизатора PE и подключенный к нему сайт клиента, куда ведет объявляемый маршрут. Она назначается маршруту входным маршрутизатором PE при получении им локального маршрута от присоединенного маршрутизатора CE.
  4. Расширенные атрибуты сообщества (extended community attributes), один из которых — маршрутная цель (Route Target, RT) — является обязательным. Этот атрибут идентифицирует набор сайтов (VRF), входящих в данную сеть VPN, которым маршрутизатор PE должен посылать маршруты. Значение атрибута RT в объявлении о маршруте определяется политикой экспорта маршрутных объявлений, которая задается администратором при конфигурировании таблицы VRF, содержащей данный маршрут (о политике экспорта и импорта маршрутных объявлений рассказывается в разделе «Механизм формирования топологии VPN»).

Таблица VRF 1 A

На основании этого объявления в таблицу VRF 1 A заносится соответствующая запись. Протокол BGP периодически просматривает таблицу VRF 1 A, и обнаружив новую запись, генерирует объявление о маршруте, для чего выполняет следующие действия.

  1. Добавляет к адресу сети назначения префикс RD (в данном случае он равен 123.45.67.89:1).
  2. Переписывает значение поля NextHop, заменяя адрес внешнего интерфейса CE1 адресом внешнего интерфейса PE1, через который пролегает путь к адресу назначения (пусть в данном случае это будет 123.45.7.5).
  3. Назначает метку LVPN, указывающую на таблицу VRF1А и интерфейс маршрутизатора PE1, к которому подключен сайт клиента, содержащий узел назначения (в данном случае значение метки равно 7, на рис. 4 этот интерфейс обозначен как int 7).
  4. Задает атрибут RT (на рис. 4 значение атрибута RT условно обозначено как WHITE, что идентифицирует набор всех сайтов, входящих в сеть VPN A).

В результате получается такое маршрутное объявление:

VPN — IPv 4: 123.45.67.89:1:10.1.0.0

Nexthop = 123.45.7.5

LVPN = 7

RT = WHITE

Это объявление протокол MP-BGP посылает всем своим соседям (на рисунке объявление помещено внутрь широкой стрелки).

Когда выходной маршрутизатор PE получает маршрут к сети VPN-IPv4, он делает обратное преобразование, отбрасывая префикс RD, и только потом помещает маршрут в таблицу VRF2 A и объявляет о нем связанному с ним маршрутизатору заказчика CE3 из данной сети VPN A. В результате в таблице VRF2 A появляется новая запись:

Net = 10.1/16

Nexthop = 123.45.7.5 (BGP)

LVPN = 7

Перемещение пакета по сети MPLS VPN

Теперь, когда мы обсудили схему распространения маршрутной информации по сети MPLS VPN, давайте посмотрим, как перемещаются данные между узлами одной сети VPN.

Пусть, например, с сайта 2 сети VPN A узел с адресом 10.2.1.1/16 отправляет пакет узлу сайта 1 этой же сети VPN, имеющему адрес 10.1.0.3/16 (рис. 5). Стандартными транспортными средствами IP-пакет доставляется на пограничный маршрутизатор сайта CE3, в таблице которого для номера сети 10.1.0.0 в качестве следующего маршрутизатора указан маршрутизатор PE2. На маршрутизатор PE2 пакет поступает с интерфейса 2, поэтому для дальнейшего продвижения пакета он обращается к таблице VRF2А, связанной с данным интерфейсом.

В таблице VRF2A адресу 10.1.0.0 соответствует запись протокола BGP, которая указывает, что следующим маршрутизатором ( next hop) для пакета определен маршрутизатор PE1. Поле метки содержит значение LVPN = 7, определяющее интерфейс выходного маршрутизатора PE1. Это значения должно быть присвоено пакету для того, чтобы он попал в нужную сеть VPN. Здесь также указывается, что запись была сделана протоколом BGP, а не IGP. На этом основании маршрутизатор PE2 «понимает», что очередной маршрутизатор не является непосредственным соседом, и путь к нему надо искать в глобальной таблице маршрутизации. В глобальной таблице для адреса PE1 указывается начальное значение метки пути LSP, равное 3.

Сети MPLS VPN

В сетях MPLS VPN используются иерархические свойства путей MPLS. За счет которых пакет может быть снабжен несколькими метками, помещаемыми в стек. На входе во внутреннюю сеть поставщика, образуемую маршрутизаторами P. Пакет будет снабжен двумя метками LVPN = 7 и L = 3. Метка LVPN интерпретируется как метка нижнего уровня — оставаясь на дне стека. Она не используется, пока пакет путешествует по туннелю PE1-PE2. Продвижение пакета происходит на основании метки верхнего уровня L. Каждый раз, когда пакет проходит очередной маршрутизатор P вдоль туннеля, метка L анализируется и заменяется новым значением. И только после достижения конечной точки туннеля — маршрутизатора PE1 — из стека извлекается метка LVPN. В зависимости от ее значения пакет направляется на тот или иной выходной интерфейс маршрутизатора PE1.

Из таблицы VRF1А, связанной с данным интерфейсом и содержащей маршруты VPNA, извлекается запись о маршруте к узлу назначения, указывающая на устройство CE1 в качестве следующего маршрутизатора. Заметим, что запись об этом маршруте была помещена в таблицу VRF1А протоколом IGP. Последний отрезок путешествия пакета от CE1 до узла 10.1.0.3 осуществляется традиционными средствами IP.

Механизм формирования топологии VPN

Политика экспорта/импорта маршрутов — мощный инструмент создания сетей VPN разных топологий.

При конфигурировании каждой таблицы VRF задаются два атрибута RT, один для определения политики экспорта, другой — политики импорта маршрутов. Маршрутные объявления MP-BGP всегда несут атрибут RT, говорящий об экспорте маршрута. Сравнение значений атрибутов RT в маршрутном объявлении.  И в параметрах VRF позволяет решить вопрос о принятии или отклонении предлагаемого маршрута. А это и означает формирование топологии сети.

Конфигурирование

Существуют и другие варианты топологии VPN. Например, за счет конфигурирования политики экспорта/импорта можно реализовать такую популярную топологию, как «звезда». Когда все сайты (spoke) общаются друг с другом через выделенный центральный сайт (hub).

Для достижения этого эффекта достаточно определить для VRF центрального сайта политику импорта как Import = spoke, а экспорта как Export = hub. А на таблицах VFR периферийных сайтов поступить наоборот, задав Import = hub, а Export  = spoke. В результате таблицы VRF периферийных сайтов не будут принимать маршрутные объявления друг от друга. Поскольку они передаются по сети протоколом MP-BGP с атрибутом RT = spoke. Между тем как их политика импорта разрешает получать объявления с атрибутом RT = hub.

Зато объявления VRF периферийных сайтов принимает таблица VRF центрального сайта, для которого как раз и определена политика импорта spoke. Этот сайт обобщает все объявления периферийных сайтов и отсылает их обратно. Но уже с атрибутом RT = hub, что совпадает с политикой импорта периферийного сайта. Таким образом, в таблицах VRF каждого периферийного сайта появляются записи о сетях в других периферийных сайтах. А в качестве следующего транзитного узла указывается адрес интерфейса PE. Связанного с центральным сайтом, поскольку объявление пришло от него. Поэтому пакеты между периферийными сайтами проходят транзитом через пограничный маршрутизатор PE3, подключенный к центральному сайту.

Из описания механизмов MPLS VPN можно сделать вывод, что процесс конфигурирования новой или модификации существующей сети VPN достаточно сложен, но он хорошо формализуется и автоматизируется. Для исключения возможных ошибок конфигурирования, например, приписывания сайту ошибочной политики импорта/экспорта маршрутных объявлений, что может привести к присоединению сайта к чужой сети VPN, некоторые производители разработали автоматизированные программные системы конфигурирования MPLS.

Степень защищенности

Повысить степень защищенности MPLS VPN можно с помощью традиционных средств. Например, применяя средства аутентификации и шифрования протокола IPSec. Устанавливаемые в сетях клиентов или в сети поставщика. Услуга MPLS VPN может легко интегрироваться с другими услугами IP. Например, с предоставлением доступа к Интернету пользователям VPN с защитой их сети средствами межсетевого экрана, установленного в сети поставщика. Поставщик также может предоставлять пользователям MPLS VPN услуги, базирующиеся на других возможностях MPLS, в частности, гарантированное качество обслуживания на основе методов инжиниринга трафика MPLS.

Что же касается сложностей ведения в маршрутизаторах поставщика услуг таблиц маршрутизации пользователей, на которые указывают некоторые специалисты. То они, на наш взгляд, несколько преувеличены.  Так как таблицы создаются автоматически с помощью стандартных протоколов маршрутизации и только на пограничных маршрутизаторах (PE). Механизм виртуального маршрутизатора полностью изолирует эти таблицы от глобальных таблиц маршрутизации поставщика услуг. Что обеспечивает необходимые уровни надежности и масштабируемости решений MPLS VPN. Впрочем, реальное качество данной технологии покажет время и, скорее всего, достаточно скоро.

Технология MPLS VPN не обеспечивает безопасности за счет шифрования и аутентификации, как это делают технологии IPSec и PPTP. Но допускает применение данных технологий как дополнительных мер защиты в случае необходимости. Перед MPLS VPN не ставится задача поддержки качества обслуживания. Но при необходимости поставщик может использовать методы дифференцированного обслуживания и инжиниринга трафика.

Сравнение VPN-технологий

Настоящий раздел посвящён сравнению VPN-сетей, построенных на технологиях сетей – ATM (VPN- ATM); IP(VPN-IP); MPLS (L3VPN-MPLS). В таблице приведено сравнение этих VPN по следующим показателям:

  • уровень сложности при установке и управлении;
  • уровень безопасности;
  • масштабируемость;
  • QоS;
  • стоимость установки.

 

Показатель Комментарий VPN-ATM VPN- IP L3VPN-MPLS
Уровень сложности при установке и управлении Возможности мониторинга и анализа потоков данных для быстрого создания новых служб, повышения уровня ИБ, QоS и SLA. Низкий Средний Высокий
Уровень ИБ Возможности обеспечивать различные уровни ИБ, включая аутентификацию, шифрование. Высокий Высокий Высокий
Масштабируемость Возможности расширения служб VPN малых и средних предприятий до сетей крупных предприятий. Средняя Средняя Высокая
Качество обслуживания Возможности обеспечивать требования пользователей к показателям QоS. Высокое Никакое Высокое
Стоимость установки VPN Прямые и косвенные расходы на установку VPN. Высокая Средняя Низкая

Приведём более подробно следующие преимущества VPN-сетей MPLS в части:

  • обеспечения качества обслуживания;
  • масштабируемости;
  • информационной безопасности;
  • гибкости создания сети;
  • гибкости адресации;
  • объединения различных типов данных;
  • инжиниринг трафика (перераспределение потоков);
  • сложности проектирования.

Обеспечение качества обслуживания

Механизмы MPLS-VPN обеспечивают пользователям необходимое качество соединения на всем протяжении маршрута. А провайдерам позволяют гарантировать выполнение условий соглашения об уровне обслуживания (SLA).

Технология MPLS реализует модель дифференцированного обслуживания DiffServ. Позволяющая обеспечить QoS путем разделения трафика соединений на небольшое число классов. В результате каждому классу предусмотрено назначение приоритета обслуживания блоков данных. Выделение сетевых ресурсов производится для каждого такого класса. А не каждого соединения, как в сети АТМ, по определённому набору требуемых пользователями показателей качества и трафика.

Масштабируемость

Использование технологии MPLS позволяет создавать в одной и той же сети десятки тысяч VPN-структур. MPLS не требуют установления соединения «точка-точка» для создания VPN-сетей. Сайт пользователя имеет одноранговую связь только с одним граничным маршрутизатором РЕ, а не со всеми маршрутизаторами СЕ, которые принадлежат к VPN-сети.

Информационная безопасность

Разумеется, VPN-сети MPLS обеспечивают такой же уровень защиты от несанкционированного доступа, как и VPN-сети ATM. Следует отметить, что MPLS-VPN не обеспечивает целостность и конфиденциальность передаваемых данных в отличие от VPN на базе IPSec. В случае необходимости технология MPLS-VPN допускает применение IPSec для обеспечения мер информационной безопасности. Пакеты одной VPN не могут попасть в другую VPN. Безопасность обеспечивается на границе инфраструктуры провайдера, где пакеты пользователя направляются в каждую VPN. Получить доступ к граничному маршрутизатору практически невозможно, поскольку IP-пакеты однозначно идентифицируются по меткам.

Гибкость создания сети

При построении узел пользователя может находится в нескольких VPN-сетях, что предоставляет максимальную гибкость при построении инфраструктуры. Функция MPLS выполняется в сети провайдера, а в конфигурировании оборудования пользователем либо вообще нет необходимости. Либо требуется лишь незначительное. Среда MPLS прозрачна для маршрутизаторов СРЕ. То есть СРЕ–устройствам пользователя установка MPLS не требуется.

Объединение различных типов данных

Объединение в одном потоке различных типов данных, речи и видео.

Гибкая адресация

Пользователи используют собственные адресные пространства и не требуется преобразования открытых IP-адресов.

Сложность проектирования

Как следствие, недостатком VPN на базе АТМ является необходимость создания большого числа постоянных виртуальных каналов (число сочетаний числа сайтов по два). При этом сохраняется некоторая часть ручного труда и вероятность ошибочных действий администрации.

Инжиниринг трафика

Технология MPLS позволяет перераспределять потоки, перемещая нагрузку с чрезмерно используемых частей сети в недостаточно используемые. Однако, маршрутизация с перераспределением потоков и резервированием ресурсов позволяет провайдерам в максимальной степени использовать сетевые ресурсы. Обеспечить высокое качество обслуживания QoS и добиться оптимальной работы сети. Поэтому маршрутизация в MPLS позволяет оператору применять явно заданные маршруты и принудительно направлять по ним потоки данных. Что заменяет традиционные методы IP-маршрутизации и предоставляет пользователю быстрое восстановление работы сети в случае отказа канала связи или устройств. При этом достигается оптимизация недостаточно загруженных каналов и более эффективная маршрутизация.

 

 

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: