VPN-сети в MPLS-сетях

VPN-сети, использующие протоколы IPSec и L2TP, описаиггые в предыдущих разделах, часто поддерживаются и управляются промышленными потребителями. Часто их называют VPN-сетями на основе модуля центрального процессора СРЕ. Однако в последние годы провайдеры служб пытаются использовать уже существующую IP-инфраструктуру для предоставления промышленным пользователя новых служб, таких как обеспечиваемые провайдером VPN-сети (Provider-Provisioned VPN — PPVPN). В настоящее время провайдерами предлагаются следующие службы VPN-сетей па основе многопротокольной коммутации по меткам (Multiprotocol Label Switching — MPLS):

. VPN-сети BGP/MPLS;

• VPN-сети 2-го уровня па базе MPLS.

VPN-сети BGP/MPLS

VPN-сети протоколов BGP/MPLS, описанные в проекте IETF: draft-ietf-ppvpn- rfc2547bis, являются VPN-сетями 3-го уровня. В этом случае промышленные пользователи полностью передают управление этими сетями провайдерам служб, которые управляют как этими сетями, так и маршрутизацией пользователя в этих сетях. Провайдеры служб, предлагающие службы VPN-сетей протоколов BGP/MPLS, уже имеют базовую IP-сеть с функциями MPLS, которая пересылает данные от одного узла пользователя к другому. Протокол BGP используется для распространения информации маршрутизации по базовой сети провайдера.

Как показано на рис. 18.6, VPN-сети MPLS включают в себя приведенные ниже основные компоненты.

•          В сети провайдера службы имеются маршрутизаторы провайдера (Provider Router — PR) или Р-маршрутизаторы с функциями MPLS. Р-маршрутизаторы пересылают данные VPN-сети между граничными маршрутизаторами (Provider Edge Router — РЕ) провайдера.

•          Как ясно из самого названия, граничный РЕ- маршрутизатор находится на границе сети провайдера. Он имеет соединения с узлами пользователя, по которым происходит обмен информацией маршрутизации с граничными маршрутизаторами пользователя или СЕ-маршрутизаторами (Customer Edge Router — СЕ). Как показано на рис. 18.6, РЕ-маршрутизатор может включать в себя несколько пользовательских VPN-сетей, каждая из которых имеет свою IP-адресацию и схему маршрутизации. Разделение потоков данных этих сетей достигается путем поддержки виртуальной таблицы маршрутизации и пересылки (Virtual Routing and Forwarding — VRF) для каждой отдельной виртуальной VPN-сети. Таблица VRF содержит информацию маршрутизации для каждой отдельной пользовательской сети VPN. Для обмена информацией между РЕ-маршрутизаторами используется протокол BGP.

•          СЕ-маршрутизаторы обеспечивают доступ пользователя к сети провайдера службы. СЕ-маршрутизатор может осуществлять обмен информацией маршрутизации с РЕ- маршрутизатором, используя различные протоколы маршрутизации.

Рис. 18.6. Компоненты VPN-сетей протоколов BGP/MPLS

Проходя по среде провайдера службы MPLS, данные VPN-сетей пересылаются между РЕ-маршрутизаторами. Решение о пересылке принимается на основе информации от двух источников: таблицы пересылок по меткам, поддерживаемой Р-маршрутизатором (также называемом маршрутизатором коммутации по метке или LSR-усгройством [Label Switch Router — LSR]), и метки, содержащейся в передаваемых пакетах.

Метки MPLS, используемые для принятия решений о пересылке, представляют собой заголовки, созданные LSR-устройством. Формат метки зависит от используемой технологии канального уровня. Например, протоколы ATM и Frame Relay могут переносить метку как часть своих заголовков канального уровня — в поле VCI или VPI заголовка ячейки ATM, или в поле DLCI заголовка фрейма протокола Frame Relay. Поскольку в технологиях канального уровня, таких как Ethernet, FDDI или Token Ring, метка не может передаваться в заголовках канального уровня, для этой цели используется вспомогательный ("shim") заголовок, который вставляется между заголовками канального и сетевого уровней. Метки MPLS распространяются по сети с помощью протокола распространения меток (Label Distribution Protocol — LDP).

Пакет данных может переносить несколько меток в виде стека меток, устроенного по принципу: "последним пришел — первым вышел" ("Last-In — First-Out — LIFO). В случае использования VPN-сетей с протоколами BGP/MPLS пакеты имеют две метки. Внутренняя метка идентифицирует удаленный РЕ-маршрутизатор, который объявляет маршрут пользователя, а внешняя метка используется для пересылки пакета данных в среде MPLS к РЕ-маршрутизатору.

На рис. 18.6 предполагается, что маршрутизатор СЕ_1, расположенный в узле Site 2 VPN-сети White, объявляет маршрут 10.1,1/24 к маршрутизатору РЕ_1. Маршрутизатор РЕ_1 добавляет этот маршрут к своей таблице VRF VPN-сети White и назначает метку этому маршруту. Этот VPN-маршрут и метка распространяются протоколом BGP маршрутизатору РЕ_2, расположенному на другом конце VPN-сети White. Если узлу Site 3 VPN-сети White требуется осуществить обмен данными с узлом 10.1.1/24, то маршрутизатор СЕ_2 пересылает пакет маршрутизатору РЕ_2, опираясь на VPN-маршрут, который он получает от РЕ_2. После получения этого пакета маршрутизатор РЕ_2 просматривает свою VRF-таблицу. Этот просмотр показывает, что к узлу 10.1.1/24 можно получить доступ через маршрутизатор РЕ_1. Поэтому маршрутизатор РЕ_2 вставляет соответствующую метку, которую он получил от РЕ_1 для 10.1.1/24, и пытается послать пакет данных маршрутизатору РЕ_1.

Продолжая обсуждение, отметим, что для достижения РЕ_1 осуществляется еще один просмотр таблицы для нахождения метки, логически связанной с маршрутом, к маршрутизатору РЕ_1 в базовой сети MPLS. В конечном итоге маршрутизатор РЕ_2 посылает пакет данных с двумя метками. Р-маршрутизаторы в среде MPLS обменивают внешнюю метку для пересылки пакетов от маршрутизатора РЕ_2 к маршрутизатору РЕ_1. Когда маршрутизатор РЕ_1 получает пакет, он просматривает внутреннюю метку для принятия решения о пересылке пакета требуемому СЕ-маршрутизатору, такому, например, как маршрутизатор СЕ_1. Поскольку пользователи VPN-сети могут использовать конфиденциальные IP- адреса из RFC 1918, может оказаться, что РЕ-маршрутизатор будет управлять двумя пользовательскими VPN-сетями, адресные пространства которых накладываются друг на друга. Это является проблемой при использовании протокола BGP, в котором предполагается, что передаваемые адреса протокола IPv4 являются глобально уникальными. Для решения этой проблемы VPN-сети протоколов BGP/MPLS используют сочетание следующих двух механизмов.

• Введение адресов протокола Ipv4 для VPN-сетей, которые превращают не являющиеся уникальными адреса протокола IPv4 в глобально уникальные адреса

семейства. Адрес протокола IPv4 содержит 8-байтовый определитель маршрута (Route Distinguisher — RD), за которым следует 4-байтовый адрес протокола Ipv4.

•          Реализация многопротокольных BGP-расширений для поддержки распространения VPN-адресов протокола IPv4.

Как показано на рис 18.6, в VPN-сетях с коммутацией MPLS СЕ-маршрутизаторы осуществляют непосредственное одноранговое соединение с РЕ-маршрутизаторами. Такая модель называется одноранговой. По сравнению с моделью наложения, используемой в VPN-сетях протокола IPSec, в которой маршрутизаторы пользователя осуществляют одноранговое соединение только с другими маршрутизаторами пользователей с образованием туннеля типа "точка-точка", создающего "виртуальную магистраль", при реализации крупной сети одноранговая модель значительно легче масштабируется.

Другим преимуществом VPN-сетей с коммутацией MPLS является поддерживаемая MPLS зона качества обслуживания (Quality of Service — QoS). MPLS поддерживает классификацию пакетов в различные классы обслуживания (Classes of Services — CoS) и обработку пакетов с учетом соответствующих характеристик этих классов CoS.

VPN-сети 2-го уровня на базе коммутации MPLS

PPVPN-группа по виртуальным сетям IETF и группа PWE3 работают над определением общей структуры и стандартов для обеспечиваемых провайдерами VPN-служб 2-го уровня (Provider-Provisioned Layer 2 VPN — L2VPN). Сети L2VPN позволяют провайдеру службы предоставлять транспортные услуги служб 2-го уровня, таких как Ethernet, Frame Relay и ATM, пользователям по магистрали IP/MPLS. Они также предоставляют провайдерам возможность безболезненного перехода от инфраструктур Frame Relay и ATM к полностью основанной на MPLS IP-инфраструктуре без нарушения работы уже существующих служб.

В отличие от VPN-сетей протоколов BGP/MPLS, описанных в предыдущем разделе, пользователи, использующие L2VPN, должны сами управлять маршрутизацией в своих сетях.

Общая структура протокола L2VPN, определенная PPVPN-группой IETF, имеет две модели.

•          Служба виртуального частного соединения (Virtual Private Wire Service — VPWS) реализует топологию типа "точка-точка", в которой РЕ-маршрутизаторы на границах базовой сети провайдера соединены "псевдокабелем" ("pseudo wire" — PW). Полезная нагрузка протоколов 2-го уровня, таких как Frame Relay или ATM, инкапсулируется входным граничным РЕ-маршрутизатором и пересылается между РЕ-маршрутизаторами в виде PDU-модулей псевдокабеля. Эта модель предлагает две многообещающие технологии:

—      Произвольная транспортировка по MPLS-сети (Any Transport Over MPLS — AToM), которая поддерживает в базовой сети MPLS любые протоколы, в частности, протоколы Frame Relay, ATM, Ethernet, РРР и HDLC. Механизмы инкапсуляции и распространения меток определены в двух группах проектов IETF: проекты Martini и проекты Kompella

—      В базовых IP-сетях для этой же цели используется протокол L2TP версии 3.

•          Служба виртуальных частных локальных сетей (Virtual Private LAN Service — VPLS) реализует имитацию LAN-мосга, к которому подсоединены все РЕ-маршрутизаторы VPLS-сетей.

Резюме

В последние годы технологии VPN-сетей стремительно развивались. Новые VPN- технологии позволяют промышленным пользователям экономить средства за счет использования VPN-сетей для безопасной передачи данных по сети Internet, а провайдерам служб дают возможность предоставлять своим пользователям новые службы.

Лежащие в основе VPN-сетей технологии обеспечивают различные характеристики для разных типов VPN-сетей и могут удовлетворить разнообразные требования пользователей. VPN-сети на основе протокола L2TP, использующие протокол IPSec, обеспечивают высокий уровень безопасности и часто управляются самими промышленными пользователями. VPN-сети 2-го и 3-го уровней на основе коммутации MPLS, реализуемые провайдером службы, обеспечивают реализацию крупных сетей и строгое управление качеством обслуживания QOS.

Дополнительные источники

•     Davie, Bruce and Rekhter Y. MPLS Technology and Applications.

•     Schneier, Bruce. Applied Cryptography.

•     RFC 2401, Security Architecture for the Internet Protocol.

•      RFC 2402, IP Authentication Header.

•     RFC 2406, IP Encapsulating Security Payload (ESP).

•      RFC 2407, The Internet IP Security Domain of Interpretation for ISAKMP.

•      RFC 2408, Internet Security Association and Key Management Protocol (ISAKMP).

•      RFC 2409, The Internet Key Exchange (IKE).

•      RFC 2661, Layer Two Tunneling Protocol "L2TP".

•     RFC 3193, Securing L2TP using IPSec.

. IETF Draft: draft-ietf-ppvpn-rfc2547bis-02, BGP/MPLS VPN.

•     IETF Draft: draft-ietf-ppvpn-12-framework, L2VPN Framework.

•     Virtual Private Network Consortium, http://vpnc.org.

Литература:

Руководство по технологиям объединенных сетей, 4-е издание. : Пер. с англ. — М.: Издательский дом «Вильяме», 2005. — 1040 с.: ил. – Парал. тит. англ.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100