КАТЕГОРИЯ:


Астрономия- (809) Биология- (7483) Биотехнологии- (1457) Военное дело- (14632) Высокие технологии- (1363) География- (913) Геология- (1438) Государство- (451) Демография- (1065) Дом- (47672) Журналистика и СМИ- (912) Изобретательство- (14524) Иностранные языки- (4268) Информатика- (17799) Искусство- (1338) История- (13644) Компьютеры- (11121) Косметика- (55) Кулинария- (373) Культура- (8427) Лингвистика- (374) Литература- (1642) Маркетинг- (23702) Математика- (16968) Машиностроение- (1700) Медицина- (12668) Менеджмент- (24684) Механика- (15423) Науковедение- (506) Образование- (11852) Охрана труда- (3308) Педагогика- (5571) Полиграфия- (1312) Политика- (7869) Право- (5454) Приборостроение- (1369) Программирование- (2801) Производство- (97182) Промышленность- (8706) Психология- (18388) Религия- (3217) Связь- (10668) Сельское хозяйство- (299) Социология- (6455) Спорт- (42831) Строительство- (4793) Торговля- (5050) Транспорт- (2929) Туризм- (1568) Физика- (3942) Философия- (17015) Финансы- (26596) Химия- (22929) Экология- (12095) Экономика- (9961) Электроника- (8441) Электротехника- (4623) Энергетика- (12629) Юриспруденция- (1492) Ядерная техника- (1748) Arhitektura- (3434) Astronomiya- (809) Biologiya- (7483) Biotehnologii- (1457) Военни бизнесмен (14632) Висока technologies- (1363) Geografiya- (913) Geologiya- (1438) на държавата (451) Demografiya- ( 1065) Къща- (47672) журналистика и смирен (912) Izobretatelstvo- (14524) външен >(4268) Informatika- (17799) Iskusstvo- (1338) историята е (13644) Компютри- (11,121) Kosmetika- (55) Kulinariya- (373) културата е (8427) Lingvistika- (374) Literatura- (1642) маркетинг-(23702) математиците на (16968) Механична инженерно (1700) медицина-(12668) Management- (24684) Mehanika- (15423) Naukovedenie- (506) образователна (11852) truda- сигурност (3308) Pedagogika- (5571) Poligrafiya- (1312) Politika- (7869) Лево- (5454) Priborostroenie- (1369) Programmirovanie- (2801) производствено (97 182 ) индустрия- (8706) Psihologiya- (18388) Religiya- (3217) Svyaz (10668) Agriculture- (299) Sotsiologiya- (6455) на (42831) спортист строително (4793) Torgovlya- (5050) транспорт ( 2929) Turizm- (1568) физик (3942) Filosofiya- (17015) Finansy- (26596) химия (22929) Ekologiya- (12095) Ekonomika- (9961) Electronics- (8441) Elektrotehnika- (4623) Мощност инженерно ( 12629) Yurisprudentsiya- (1492) ядрена technics- (1748)

изграждане на L3 VPN MPLS Принципи




VPN мрежа, базирана на IP / MPLS мрежа е разделена на две основни класи - мрежи, които работят на нивото на 3-то, наречено Layer 3 VPN (L3 VPN или VPN L3) и мрежи, работещи при Layer 2 Layer 2 VPN - (L2 VPN и VPN L2). L3 VPN мрежа взаимодейства с мрежите на клиентите на базата на IP-адреси и L2 VPN - въз основа на информация за адреса на второ ниво, например, MAC адреси или идентификатори на виртуална ATM / FR канал. Този раздел се занимава с организацията на L3 VPN на IP / MPLS мрежа (наричана просто MPLS мрежата).

Както бе посочено по-горе, L3 VPN MPLS L2 VPN MPLS от различен в заглавната ниво, които се обработват в мрежата на MPLS чрез създаване на VPN. Трябва да се отбележи, че взаимодействие мрежа MPLS PE възел с клиентски възли CE обикновено се извършва при използване на протокол на слоя на връзката, като Ethernet, заглавната част, която трябва да се изхвърли в мрежа слой PE рутери. Въпреки това, при тази първа транспорт удар с глава на връзка данни слой може да лежи IP-горен или слой за информационна връзка с глава (Ethernet / банкомат / FR), което означава, че транспортният блок е бил натоварен връзка слой дейтаграма IP-ниво или втора рамка, съответно. Така, ако след изхвърля ниво заглавие 2 трябва да бъде IP-заглавката, които трябва да бъдат обработени в граничния възел PE, това се отнася до L3 VPN VPN, ако заглавието определя рамката на второ ниво, е необходимо да се изгради L2 VPN. Имайте предвид, че има значение само първата, след превозното средство заглавието от вътрешната страна на рамката, като, например, първият Ethernet заглавието след това може да бъде IP-глава потребителски IP-дейтаграма, която не е обработена в мрежа на доставчика на MPLS, и се обработват в мрежата клиент.

Първоначално принципи и протоколи за VPN слой 3 мрежи са разработени, които са стандартизирани в RFC. До момента най-широко разгърнати VPN, Layer 3 RFC 2547bis или за по-модерна модификация на стандартната RFC 4364 и вече има голям брой VPN, организирана в / MPLS мрежите ПР, много чуждестранни и местни оператори. Тези мрежи са изградени чрез разширяване на BGP IP мрежа известен протокол, който се нарича MP-BGP. MP-BGP протокол заедно с протоколите за всеки IGP генерира специален VPN VRF маса определяне VPN маршрутизация.

Virtual Private Network Layer 3 е структурирана под формата на модел на партньорска ниво CE-PE (съответства на маркировката и PE "виждат един друг" рутери). Така рутер CE е партньорска устройство за PE рутер, към който е свързан, но не партньорска устройство към други CE рутери инсталирани в други сайтове на същия VPN. Маршрутизаторите на различни сайтове не директно да комуникират помежду си само чрез PE рутера.



Всеки PE рутер поддържа отделна таблица VRF за всеки обект, който е свързан с PE рутера. Всеки CE рутер трябва да направят своите маршрути в таблиците на VRF, определени в мрежата MPLS за този VPN. Статично маршрутизиране може да се използва за прехвърляне на тези маршрути и маршрутизиране на BGP, OSPF или RIP (IGP протоколи). Като пример, той показва ris.1.2-1 VPNA мрежа, която използва подмрежа на адреса на мрежата 2.0.0.0/16, както и мрежа VPNV адрес 1.0.0.0/16., Които предават информация за вашата връзка с мрежата чрез своя PE , На свой ред, рутери PE съобщават от MR протокол BGP помежду си за обмен на информация, свързана VPN. PE рутери поддържат адрес п-рутери в отделна таблица глобалната маршрутизация в съответствие с които се прави позоваване в мрежата маршрут за VPN. Така VRF маси във всяка PE рутер показва информация за всички клиентски мрежи, които образуват всяка VPN, свързани с този рутер.

Ако IP-адреса на пакета предаване показва, че е необходимо да се прехвърли на обект А, търси в своята VRF маса обект А само ако пакетът пристига от обекта, който е на разположение за тази VRF маса (т.е. с обекта че е включен в VPN). Ако обектът е свързан с няколко VPN, това може да включва една маса VRF до данни за маршрута на тези мрежи (VPN). Начини на VPN, което е свързано с обекта може да се намира в една таблица. Освен това, ако различни сайтове VPN използват един и същ набор от дестинации, те също ще бъдат обединени в единна таблица VRF.

VRF маса на PE устройства се използват само за пакети, получени от обекти, пряко свързани с тази PE. Те не се използват за пакети маршрут, получени от други рутери, т.е. не е възможно да се получи в таблицата VRF отвън.

Един от най-важните въпроси на изграждане на VPN е да се гарантира поверителността на информацията, предадена. Този проблем е решен чрез създаване на несвързани адресни пространства и маршрути за различни VPN.

От адресите в различните VPN клиент подмрежи може да се припокриват, за да се гарантира, че техните уникални префикси са специални VPN подмрежи, които се състоят от две части:

- RD - Route Distinguisher (8 байта) - дискриминатор на маршрута, който номер е записан от доставчика VPN, като по този начин осигурява на глобалната уникален идентификатор за всяка VPN;

- IPv4 адрес на мрежата - традиционна префикс IPv4 (4 байта).

Формата на представяне на префикса на подмрежата като двойка, RD и IPv4 адрес нарича VPN-IPv4. VPN-IPv4 структура предоставя уникална глобална адресиране на мрежата на всеки клиент. По този начин, дори ако двата клиентски мрежи използват една и съща IPv4 адреса, съответстващ VPN-IPv4 адреси са различни един от друг.

Особеност на изграждането на VPN L3 е, че се осигурява наличието на BGP МС протокол само между системи, които принадлежат към същата VPN. Данните за маршрутите на VPN-IPv4 към определена мрежа клиент се предават (чрез протокола MP BGP) само PE рутери, които могат да си взаимодействат с мрежата на клиента, т.е. в рамките на VPN. В резултат на това количеството на информация за маршрутите, които се съхраняват на PE рутера не е пропорционален на общия брой на VPN и номера на VPN, свързан към този PE.

Накратко обобщим. CE и PE маршрутизатори на L3 VPN са връстници (свързани помежду си директно) IP-маршрутизиращи възли. рутер CE осигурява PE рутер към един от протоколите IGP информация за маршрутите на частната мрежа на потребителите намира зад него. PE рутер съхранява личните данни на таблицата на VRF маршрутизация. PE рутер поддържа отделна таблица за всеки VRF на VPN, осигурявайки по този начин, подходяща изолация и безопасност. В допълнение към таблиците VRF PE рутер също поддържа глобална маса по обичайния информация за маршрутите, което е необходимо за предаване на движението от доставчика на MPLS мрежа (LSP етикети). VPN мрежа 3 чрез RFC 2547bis ниво с помощта на разширяване MP BGP, да разпространява информация за маршрутите на опорна мрежа на доставчика. Стандартни механизми заместващи MPLS етикети в междинен възли P (както беше обсъдено) се използват за VPN трафик на преносната мрежа гръбнак.

мрежи L3 VPN, използващи двустепенна стека етикет MPLS (вж. Ris.11.1). Вътрешната етикета носи конкретна информация за VPN от PE за PE. Външният етикета носи предаването MPLS на информация от един хоп на следващия хоп, част от маршрута. Р в процеса на разпространение на мрежата MPLS пакет чете и заменя само външния маркер, няма активност на вътрешната VPN етикет - вътрешен етикет е тунелиране през мрежата, без анализ и промяна.

Ris.11.1 VPN MPLS Layer 3 мрежа

L3 VPN техника има няколко предимства. От IP-адрес на потребителя, се контролира от оператора, което значително опростява ролята на потребителя (като новите клиентски сайтове VPN просто свързани и доставчика на услуги). L3 VPN Друго предимство е, че тя поддържа автоматично конфигуриране на VPN чрез използване на нови възможности за динамично маршрутизиране ниво BGP.

Layer 3 метод също има недостатъци. VPN Layer 3 Network подкрепа само IP или «IP-капсулирани" потребителски трафик. Скалируемост също могат да причинят значителни проблеми с рутери PE, която изисква подкрепа за маса BGP маршрутизация, размерът на които е много повече от таблиците обичайните промоция в MPLS технологията.

VPN MPLS мрежа Layer 2 (L2 VPN)

VPN Layer 2 опорна мрежа, базирана на IP / MPLS Layer 3 мрежа. Основният архитектурен разликата L2 VPN и L3 VPNsostoit как организираната взаимодействие на ръба рутери PE и CE. VPN Layer 2 гръбнак ръба рутер PE В, за разлика от L3 VPN, който не е член на СЕ в отношенията между равностойни партньорски и не съдържа свои собствени таблици за маршрутизация за клиента на мрежата. Вместо това, той просто показва на входния трафик към 2-ро ниво на съответния вход тунела.

През последните години, повишен интерес към телеком оператори и производители на VPN MPLS мрежи 2-ро ниво. Нивото VPN MPLS Стандарти 2 е все още в процес на разработване [4,5], но водещите производители на MPLS оборудване вече произведени рутери поддържат L2 VPN функции. Тези проекти се определят метода за конфигуриране на VPN тунел в мрежата L2 MPLS, че могат да се справят с всички видове ниво на трафика 2, включително Ethernet, Frame Relay, ATM, TDM и PPP / HDLC. Този тунел е прехвърлен без промяна на данни, сигнализация и синхронизацията на мрежите за второ ниво.

За изграждането на мрежи от второ ниво в момента е от интерес само Ethernet, който има по-висока скорост (до 10 Gbit / с), различна от технологията за предаване на данни слой. Опишете накратко най-често срещаната заглавна формат над Ethernet и VLAN схема на организация, която може да се ползва тунелиране на / MPLS мрежата IP

Tunneling Protocol IEEE 802.1Q VLAN тунелиране - мрежов протокол, който позволява данните да бъдат обработени от протокол А, опаковани в рамка, която се преработва в протокола, така че от гледна точка на протокол протокол е мрежа от Network 2 то ниво (данни сочат слой).

Тунели се използва за извършване на редица операции през VPN организация, по-специално, за монтирането на независим вътрешен адресиране. Например, мениджъри на различни компании често правят искания за самостоятелно номерация (адресиране) на собствения си VLAN. Въпреки това, съвпадението на номерацията от няколко фирми, обслужващи магистрала, може да доведе до неприемлив смесване на VLAN данни на различни фирми. Този проблем не може да бъде решен чрез разпределяне на определен адрес пространство за VLAN номериране различни фирми, тъй като такова решение е, на първо място, лоша скалируемост, т.е. от общия брой на VLAN в мрежата може да надвишава максималния допустим брой на VLAN, IEEE 802.1Q определени правила.

Особености на организацията на комуникация в съответствие с IEEE 802.1Q тунелиране позволява използване на същия VLAN да се осигури работа за обща линия на много клиенти, фирми, които имат, в допълнение, някои от собствените си VLAN. Портът за превключване е конфигуриран да организира тунели от IEEE 802.1Q, наречен тунел порт за разлика от други пристанища, които се наричат ​​канали. Когато конфигурирате системата на тунел номер тунел порт съответства на отделна компания, и всички VLAN на тази компания ще има същия брой.

На ris.11.2 показва електрическата схема VLAN компании А и Б към мрежата на доставчик с организацията на двата тунела.

пристанищата на багажника

Ris.11.2 схема на VLAN тунелни различни фирми на обща шина

Така, изграждането на тунели за спецификацията IEEE 802.1Q ви позволява да разширите пространството VLAN чрез организиране на йерархия на две нива, чрез въвеждане на потребителите в тунела пристанищни пакет от допълнителна (външна) етикет (таг), в допълнение към съществуващата вътрешна етикета. Абонат на трафика, която пристига в пристанище тунел на канали доставчика на портов суич на частна фирма, табло, вече маркирани в ключа, принадлежащ на компанията, на първия (вътрешен) маркер, който определя броя на VLAN абонат в рамките на компанията. В пристанището на тунела всеки входящ пакет се определя допълнителен етикет (таг), съответстващ на този тунел порт. На ris.11.3 показва структурата на оригиналния Ethernet рамка, промяна в организацията на VLAN (първата реализация хедър) и организацията на тунела на магистрала (втори превръщане).

Фиг. 1 -

Фиг. 11.3. формат VLAN таг на ниво L2 (на IEEE 802.1p)

От ris.11.3 това показва, че стандартната Ethernet рамка (горната част на фигурата) при създаването на VLAN на стандарта IEEE 802.1Q се допълва от две области: Etype (кратко за EtherType) и етикет, който посочва вида на обработка на кадър протокол в първото поле, а вторият платен етикет (таг), съответния VLAN броя вътре в корпорацията. На долната част на фигурата показва структура рамка в тунели, където стойността на маркера съответства на броя на пристанището на тунела.

По този начин, чрез създаване на тунел на магистралата, данни VLANs различни компании ще бъдат третирани отделно, дори и с съвпадение разширения.

Използване на полето за приоритет в Ethernet превключва следващо поколение осигурява връзка опашки обработка слой различни приоритети, която позволява до известна степен отговаря на изискванията за QoS. По този начин, на нивото L2 QoS е възможно да се осигури определена степен. На ниво способности L3 обработка на значително по-широки, които позволяват да се вземат предвид изискванията на L2 VPN приоритизирани в IP / MPLS мрежи.

Организация на L2 VPN мрежи в околната среда на IP / MPLS се базира на два основни подхода: ". Точка - много точки" "от точка до точка" и Съответно, има два типа на VPN ниво 2 в IP / MPLS среда:

- Две-точка: като ATM и Frame Relay мрежи, използващи фиксирана точка до точка връзка или тунел LSP (услуга VPWS-Virtual Private Тел Service), например, атом технология - Всяко транспорт през MPLS, разработен от Cisco;

- Multipoint: обслужващите звена и йерархична топология (VPLS услуга - VirtualPrivate LAN услуги).

Схемата на тунела е точка-до-точка на ris.11.4.

Фиг. 11.4 VPN MPLS мрежа Ниво тип 2 "от точка до точка"

Networks L2 VPN също използва процеса на формиране на комин на етикети като VPN трета степен. Външно етикет тунел LSP определя последователен маршрут през доставчик мрежа вътрешна виртуална етикет верига (VC) идентифицира VLAN, VPN или връзката с крайна точка. В допълнение, има допълнителна контролна дума (контролна дума), следното за етикета VC, който носи информация за вложените пакет 2-ро ниво.

Service VPLS (виртуални частни LAN услуги - Virtual Private LAN Service) - този модел е мулти-точка L2 VPN, който наскоро е бил на голям интерес. VPLS модел използва Ethernet като технология за достъп мрежи между потребителя и доставчика ви позволява да разширите частни корпоративни Ethernet мрежа чрез доставчик на MPLS инфраструктура, управлявана услуга. функционалност VPLS услуга може да бъде предоставена под формата на L2 VPN виртуално превключване на ръба рутери PE MPLS мрежа. Много корпоративни потребители на възлите могат да бъдат свързани в една L2 VPN, заедно с всички елементи, които функционират превключване на второ ниво (вж. Ris.11.5).

Фиг. 11.5 Схема на VPLS услуги за L2 VPN

На ris.11.5 VLAN, режисиран от CE възел свързан с PE1, на друг CE, свързана с PE2, възелът трябва да е включен PE3 (виртуален комутатор на второ ниво). Ако този ключ не е, че ще бъде необходимо да се организира една точка до точка тунел от PE1 на PE2.

За VPLS мрежови рутери, трябва да бъдат оборудвани със специални карти, които прилагат превключване на второ ниво.

Както вече бе отбелязано, в L2 VPN PE и CE рутери не е нужно да си връстници, както се изисква за третото ниво на VPN. VPN MPLS мрежа Ниво 2 имат предимство в това, че са способни да носят пакети, изградена на базата на всяко корпоративно протокол - MPLS мрежа е прозрачен до данните. Тези мрежи могат да работят на върха на почти всяка транспортна среда, прилагане на IP-базирани интеграция на мрежата, не за връзка ориентирани мрежи, което предполага създаването на връзки. Държавите-квалификационна може да са минимални, тъй като тя не изисква маршрутизация конфигурация.

От друга страна L2 VPN не може да бъде изграден като L3 VPN. Всички окото LSP трябва да се зададе предварително между всички L2 VPN възли: изискване, което не се скачи с голям брой възли. В допълнение, в мрежата не могат да се възползват от автоматичното генериране на маршрута, налична в слоя VPN 3 мрежи. Така че те са по-подходящи за ситуации с малък брой статични маршрути и VPN възли.

Тъй MPLS трафик потоци достатъчно стабилна мрежа, може да се предположи, че повечето от пътищата може да се дължи на статични пътища, по които могат да бъдат изградени L2 VPN.

Въпроси към лекцията 11:

  1. Какви са качествата на истински частни мрежи могат да бъдат подкрепени VPN?
  2. Какви технологии се използват в VPN мрежи, за да се гарантира безопасността на диференциация на трафика?
  3. Какви са предимствата и недостатъците на предварителното мрежа VPN 3 над мрежата Layer 2 VPN?
  4. Как е по ПВП на маса?
  5. Каква е ролята на протокола MP-BGPV?
  6. MPLS VPN пакет мрежа се доставя с две марки - вътрешна и външна LVPN L. Каква е ролята на всеки един от тези марки в насърчаването на пакета?
  7. Какво включва още VPN възли над стандартната LSP?

Лекция 12 (4 часа)