MPLS: bezpieczna komunikacja

GMPLS

Oczywiste zalety koncepcji MPLS skłoniły branżę do zdefiniowania rozszerzenia pozwalającego na szersze wykorzystanie tej techniki. Tak powstał Generalized MPLS (GMPLS), który zakłada umieszczanie w etykietach dodatkowych wartości specyficznych dla danego medium transmisyjnego, przykładowo długość fali w przypadku łączy optycznych DWDM czy szczelin czasowych dla urządzeń SONET/SDH. GMPLS eliminuje konieczność odczytu przez przełącznik etykiety w nagłówku każdego pakietu. Etykieta staje się bowiem nieodłączną częścią infrastruktury przełączającej, a operacje przełączania zależą od długości fali, szczelin czasowych itp. To umożliwia korzystanie z walorów MPLS na wielu różnych platformach przełączania.

GMPLS jest koncepcyjnie bardzo podobny do MPLS, ale zamiast wykorzystywać wyłącznie etykiety do rozróżniania tras LSP przez poszczególne urządzenia LSR, używa niektórych fizycznych właściwości strumienia danych do określania, którą trasą LSP przesłać dany pakiet. Najczęściej spotyka się następujące schematy użycia:

Zobacz również:

  • na podstawie szczeliny czasowej identyfikuje się trasę LSP w połączeniach TDM (Time Division Multiplexed),
  • na podstawie długości fali ustala się trasę LSP w połączeniach WDM (Wavelength Division Multiplexed),
  • trasę LSP ustala się na podstawie łącza lub portu, na którym odebrano pakiet.

LSP są zatem w sposób dorozumiany oznakowane w sieci GMPLS. GMPLS można używać do tworzenia tras LSP dla ruchu przechodzącego przez dany obwód (jako dodatek do transmisji pakietów). Wykorzystując wspomniane przykłady TDM i WDM, ruch na trasie LSP jest przełączany na bazie ciągłych, stałych właściwości strumienia danych. W efekcie strumień danych nie jest przełączany po jednym pakiecie w danym momencie. To pozwala na wdrażanie bardzo szybkich rozwiązań w płaszczyźnie danych, dzięki całkowitemu wyeliminowaniu potrzeby „zaglądania” do każdego pakietu. Dlatego GMPLS jest bardzo dobrym rozwiązaniem dla sieci o wysokich przepustowościach. Pozostałe operacje związane z przekazywaniem realizowane przez routery LSR (Label Switching Router) są realizowane podobnie, jak w sieciach MPLS.

Sieci ATM (DSL) IP VPN

MPLS zdążył już zdobyć popularność, ale klienci przyglądają się coraz częściej innym rozwiązaniom. Zainteresowanie zdobywa, m.in. DSL IP VPN, jako alternatywa dla MPLS. DSL IP VPN wykorzystuje połączenie internetowe klienta do stworzenia tunelu VPN IPSec między dwoma lokalizacjami. W typowym scenariuszu klient z dwoma lokalizacjami potrzebuje bezpiecznej komunikacji między nimi. W obu miejscach ma szybkie połączenia DSL ze statycznymi adresami IP. Konfiguracja jest wprowadzana w routerach brzegowych klienta (CE) w celu stworzenia tunelu IPSec. W większości przypadków rezultat jest bardzo zbliżony do sieci MPLS. Przeciwnicy tego rozwiązania argumentują, że jest mniej bezpieczne, ponieważ routery brzegowe CE są bezpośrednio podłączone do Internetu. Jednak testy przeprowadzone przez Cisco pokazały, że poziom bezpieczeństwa jest zbliżony do MPLS VPN. Oczywiście przy założeniu, że router CE jest poprawnie skonfigurowany.

Zaletą DSL IP VPN są bardzo niskie koszty zawierające się w cenie łączy internetowych po obu stronach połączenia. Firmy szukające sposobów na reedukację kosztów telekomunikacyjnych często korzystają z tego rozwiązania. Jednak DSL IP VPN ma też wady. Aby VPN między lokalizacjami działał z dużą szybkością, oba routery CE muszą być podłączone do tej samej sieci operatorskiej. Routery CE są bezpośrednio podłączone do Internetu, co naraża je na ataki DDoS. Nie zawsze da się zagwarantować parametry transmisji (QoS). Wynika to z faktu, że pakiety są przesyłane przez tę samą sieć operatorską i z tym samym priorytetem, co normalny ruch internetowy.


TOP 200