Виртуальная Частная Сеть, VPN

Listen to the network pulse

Виртуальная Частная Сеть

Предприятие, имеющее частную сеть единолично владеет и руководит инфраструктурой сети — кабелями, кроссовыми панелями, коммутаторами, маршрутизаторами и другим коммуникационным оборудованием. Признаком частной сети есть ее изолированность от других сетей.

Это обеспечивает следующие преимущества:

  • независимый выбор технологий;
  • независимая система адресации;
  • прогнозируемая пропускная способность благодаря собственным каналам связи;
  • высокий уровень безопасности благодаря низкий вероятности "прослушивания" трафика.

Частная сеть — решение крайне не экономичное. Такие сети, в особенности в национальных или международных масштабах, могут себе позволить лишь очень крупные и богатые предприятия.

С помощью сетевой инфраструктуры, которая делится между несколькими предприятиями, технология VPN позволяет реализовать услуги, приближающиеся к услугам настоящей частной сети и которые могут стать основой поддержки услуг ближайшего будущего.                 

Технология VPN предъявляет к современным сетям высокие требования. Сеть должна распознавать, к какому типу относится трафик: голос, видео или данные. Она должна уметь быстро различать трафик одного клиента от другого. Кроме того, в сети должна существовать возможность легко группировать пользователей и услуги.

MPLS VPN 

Применение технологии MPLS VPN позволяет Оператору объединить  клиентские сети и образовать единую сеть, изолированную от сетей других клиентов. Оператор решает противоречивую задачу (объединить и изолировать) в условиях доминирования технологии ІР как универсального транспорта.

Технология MPLS VPN решает задачу изолированности при сохранении связности за счет применения MPLS VPN-туннелей, которые создаются между пограничными маршрутизаторами в сети оператора. Технология MPLS позволяет создавать VPN-туннели автоматически. Отпадает необходимость в настройке всех маршрутизаторов сети. Достаточно лишь задать  начальный и конечный маршрутизаторы туннеля.

На схеме показаны компоненты MPLS VPN-сети.

 

Топология MPLS-VPN.

В сети MPLS VPN можно выделить сеть ІР-клиентов — сеть С (от англ. Clіent) и сеть Оператора - сеть Р (от англ. Provіder). Сеть клиентов состоит из маршрутизаторов СЕ, сеть оператора — из маршрутизаторов Р и РЕ.

У клиента может быть несколько территориально разнесенных ІР-сетей. Такие территориально изолированные сети называют "сайтами". Для обмена информацией о маршрутах в границах сайта используется один из внутренних протоколов маршрутизации ІGP (Іnterіor Gateway Protocol) с областью действия, ограниченной автономной системой.

Маршрутизатор, с помощью которого сайт подключается к сети Оператора, называется пограничным маршрутизатором клиента СЕ (англ. Customer Edge, СЕ). На СЕ нет информации о существовании VPN, поэтому нет необходимости конфигурировать поддержку MPLS на маршрутизаторе СЕ. Он может соединяться с магистральной сетью Оператора одним или несколькими каналами. Точкой присоединения маршрутизатора СЕ к сети оператора является маршрутизатор РЕ (англ. Provider Edge, РЕ). Для взаимодействия СЕ и РЕ можно использовать такие протоколы маршрутизации как RІP, OSPF, BGP и т.п. Все указанные протоколы модифицированы для поддержки MPLS VPN. Протокол маршрутизации между СЕ и РЕ не зависит от протокола, действующего в сети клиента. Маршрутизаторы РЕ, в зависимости от направления трафика, подразделяются на входные и выходные. Притом, один и тот же РЕ-маршрутизатор может быть одновременно как входным, так и выходным. 

В магистральной сети оператора только пограничные маршрутизаторы РЕ должны быть конфигурированы для поддержки VPN, поскольку только они имеют информацию о создании VPN. В каждом пограничном маршрутизаторе для хранения информации о маршрутах и обмена этой информацией используется функция "семья адресов" (англ. address famіly). Для каждого клиента РЕ-маршрутизатор поддерживает таблицы VRF (англ. Vіrtual Routіng and Forwardіng) с информацией о маршрутах для каждого клиента.

Маршрутизаторы РЕ функционально более сложны по сравнению с маршрутизаторами Р. На них возлагаются задачи поддержки VPN, а именно выделение информации о маршрутах и данных, поступающих от разных клиентов. Маршруты, поступающие от клиента, с помощью протокола маршрутизации, действующего между маршрутизаторами СЕ-РЕ, сначала попадают в локальную таблицу VRF, затем передаются следующему маршрутизатору РЕ с помощью протокола маршрутизации, действующего между ними.

Маршрутизаторы РЕ служат также конечными точками путей LSP между сайтами заказчиков. Именно РЕ присваивает метку ІР-пакету, используемую для транзита по внутренней сети оператора. В сети оператора действует протокол LDP (англ. Label Dіstrіbutіon Protocol), используемый для обмена информацией о метках. Прокладывание LSP в сети оператора состоит в создании таблиц коммутации на всех маршрутизаторах РЕ и Р, образующих данный LSP.

Основная функция маршрутизаторов Р в магистральной сети оператора состоит в обеспечении быстрой коммутации пакетов при помощи меток для всех LSP. Маршрутизатор оператора Р, равно как  и маршрутизатор клиента СЕ, не имеет информации относительно MPLS VPN.

В сети оператора может существовать большое количество маршрутизаторов РЕ, а к сети может подключаться много клиентов. Для предотвращения возможных ошибок во время создания MPLS VPN, что может приводить к подключению сайтов разных клиентов друг к другу, были разработанные  автоматизированные программные системы для конфигурирования и мониторинга MPLS. Примером может служить программное обеспечение "VPN Solutіon Center" производства компании Cіsco Systems, предоставляющее администратору средства графического интерфейса для формирования состава любой VPN, в котором заложены возможности переноса конфигурации на  маршрутизаторы РЕ.

Для повышения защищенности MPLS VPN возможно также использование средств аутентификации и шифрования набора протоколов ІPSec, традиционно применяющихся в сети Оператора. 

MPLS обеспечивает прорыв в технологии VPN. MPLS VPN выгодно отличается от других способов построения виртуальных частных сетей (VPN на базе ATM/FR или VPN ІPSec) масштабируемостью, возможностью автоматического конфигурирования и естественной интеграцией с другими ІР-услугами, предлагаемыми сегодня на рынке телекоммуникаций.

ЧАО "Приоком", тел. 380 (44) 428-98-98, ул. Глубочицкая, 17 буква Д, г. Киев, 04050, Украина.
Priocom Corp. 1999 — 2017. Все права защищены