Віртуальна Приватна Мережа, VPN

Listen to the network pulse

Віртуальна Приватна Мережа (англ. Virtual Private Network, VPN)

Підприємство, що одноосібно володіє та керує інфраструктурою мережі: кабелями, кросовим обладнанням, комутаторами, маршрутизаторами та іншим комунікаційним обладнанням, має приватну мережу. Ознакою приватної мережі є її ізольованість від інших мереж.

Це надає наступні переваги:

  • незалежний вибір технологій;
  • незалежна система адресації;
  • передбачувана пропускна здатність завдяки власним каналам зв’язку;
  • високий рівень безпеки  завдяки низький ймовірності „прослуховування” трафіку.

Приватна мережа - рішення вкрай не економічне. Такі мережі, особливо у національних або міжнародних масштабах, можуть собі дозволити лише дуже великі та багаті підприємства.

За допомогою мережної інфраструктури, яка поділяється між кількома підприємствами, технологія VPN дозволяє реалізувати послуги, що наближаються до послуг справжньої приватної мережі та стати основою для підтримки послуг найближчого майбутнього.

Технологія VPN пред’являє великі вимоги до сучасних мереж. Мережа повинна розпізнавати, до якого типу відноситься трафік: голос, відео або дані. Вона повинна вміти швидко розрізняти трафік одного клієнта від іншого. Крім того, в мережі повинна існувати можливість легко групувати користувачів і послуги.

MPLS VPN 

Застосування технології MPLS VPN дозволяє Оператору об‘єднати  клієнтські мережі та утворити єдину мережу ізольовану від мереж інших клієнтів. Оператор вирішує суперечливе завдання (об‘єднати та ізолювати) в умовах домінування технології ІР, як універсального транспорту.

Технологія MPLS VPN вирішує завдання ізольованості при збереженні зв’язності за рахунок застосування MPLS VPN тунелів, що створюються між прикордонними маршрутизаторами в мережі оператора. Технологія MPLS дозволяє створювати VPN тунелі автоматично. Відпадає необхідність в налагоджені всіх маршрутизаторів мережі. Достатньо тільки задати  початковий та кінцевий маршрутизатори тунелю.

На схемі зображені компоненти MPLS VPN мережі.

Топологія MPLS-VPN.

В мережі MPLS-VPN можна виділити мережу ІР клієнтів - мережа С (англ. Client, C) та мережу Оператора - мережа Р (англ. Provider, P). Мережа клієнтів складається з маршрутизаторів СЕ, а мережа оператора з маршрутизаторів Р та РЕ.

У клієнта може бути декілька територіально відокремлених ІР-мереж. Такі територіально ізольовані мережі називають «сайтами». Для обміну інформацією про маршрути в межах сайту використовується один із внутрішніх протоколів маршрутизації IGP (Interior Gateway Protocol), область дії яких обмежена автономною системою.

Маршрутизатор, за допомогою якого сайт підключається до мережі Оператора, називається прикордонним маршрутизатором клієнта (англ. Customer Edge, СЕ). СЕ не має інформації щодо існування VPN, тому відсутня необхідності конфігурувати MPLS на маршрутизаторі СЕ. Він може бути з’єднаним з магістральною мережею Оператора одним чи декількома каналами. Точкою приєднання маршрутизатора СЕ до мережі оператора є маршрутизатор РЕ (англ. Provider Edge, РЕ). Для взаємодії СЕ та РЕ можливо використовувати такі протоколи маршрутизації як RIP, OSPF, BGP тощо. Усі зазначені протоколи модифіковані для підтримки MPLS VPN. Протокол маршрутизації між СЕ та РЕ не залежить від протоколу, що діє в мережі клієнта. Маршрутизатори РЕ в залежності від напрямку проходження трафіку розрізняють як вхідні та вихідні. При чому один і той самий РЕ-маршрутизатор може бути одночасно як вхідним так і вихідним.

В магістральній мережі оператора тільки прикордонні маршрутизатори РЕ повинні бути зконфігуровані для підтримки VPN, тому що тільки вони мають інформацію щодо створення VPN. На кожному прикордонному маршрутизаторі використовується «родина адрес» (англ. address families) для зберігання та обміну інформації про маршрути. Для кожного клієнта РЕ-маршрутизатор утримує інформацію про маршрути в таблицях VRF (англ. Virtual Routing and Forwarding).

Маршрутизатори РЕ є функціонально більш складними, ніж Р. На них покладаються завдання з підтримки VPN, а саме відокремлення інформації  про маршрути та данні, що надходять від різних клієнтів. Маршрути, що надходять від клієнту, за допомогою протоколу маршрутизації, що діє між маршрутизаторами СЕ-РЕ, спочатку потрапляють в локальну таблицю VRF, а потім передаються до наступного маршрутизатора РЕ за допомогою протоколу маршрутизації, що діє між ними.

Маршрутизатори РЕ також слугують кінцевими точками шляхів LSP між сайтами замовників. Саме РЕ призначає мітку для ІР-пакету, що використовується під час його транзиту внутрішньою мережею оператора. В мережі оператора діє протокол LDP (англ. Label Distribution Protocol), що використовується для обміну інформацією про мітки. Прокладання LSP в мережі оператора полягає у створенні таблиць комутації за допомогою міток на всіх маршрутизаторах РЕ та Р, що утворюють даний LSP.

В магістральній мережі оператора основна функція маршрутизаторів Р полягає в забезпеченні швидкої комутації пакетів за допомогою міток для кожного LSP. Маршрутизатор оператора Р, так само як і маршрутизатор клієнта СЕ, не має інформації щодо MPLS VPN.

В мережі оператора може існувати велика кількість маршрутизаторів РЕ та  може бути багато клієнтів. Для запобігання можливих помилок під час створення MPLS VPN, що можуть призвести до підключення сайтів різних клієнтів один до одного, були розроблені  автоматизовані програмні системи налагодження MPLS. Прикладом може слугувати програмне забезпечення  «VPN Solution Center» виробництва компанії Cisco Systems, що надає адміністратору засоби графічного інтерфейсу для формування складу кожної VPN, та допомагає переносити конфігурацію до  маршрутизатори РЕ.

Для підвищення захищеності MPLS VPN також можуть бути використані засоби аутентифікації та шифрування набору протоколів IPSec, що традиційно застосовуються в мережі Оператора.

MPLS створює прорив у технології VPN. MPLS VPN вигідно відрізняється від інших способів побудови віртуальних приватних мереж (VPN на базі ATM/FR або VPN IPSec) масштабованістю, можливістю автоматичного конфігурування та природною інтеграцією з іншими ІР-послугами, які сьогодні  пропонуються на телекомунікаційному ринку.

ПрАТ "Пріоком", тел. 380 (44) 428-98-98, вул. Глибочицька, 17, літера Д, м. Київ, 04050, Україна
Priocom Corp. 1999 — 2017. Всі права захищені