Sieci VPN oparte na BGP/MPLS

Przedstawione w "NetWorld" 2/02 testy obejmowały systemy VPN oparte wyłącznie na IPSec. To bardzo popularna na świecie metoda budowy sieci wirtualnych. Innym sposobem tworzenia sieci wirtualnych jest jednoczesne wykorzystanie protokołów BGP i MPLS.

Przedstawione w "NetWorld" 2/02 testy obejmowały systemy VPN oparte wyłącznie na IPSec. To bardzo popularna na świecie metoda budowy sieci wirtualnych. Innym sposobem tworzenia sieci wirtualnych jest jednoczesne wykorzystanie protokołów BGP i MPLS.

VPN oparte na BGP/MPLS zostały opisane w RFC 2547. Jest już zdefiniowany mechanizm umożliwiający dostawcom usług wykorzystanie własnych szkieletowych sieci IP jako fundamentu pod budowę sieci VPN dla klientów. Metodę opisaną w RFC 2547 nazywa się często BGP/MPLS VPN, ponieważ BGP jest używany do dystrybucji informacji o wyborze trasy VPN w sieci szkieletowej dostawcy, a MPLS jest odpowiedzialny za przesyłanie ruchu między punktami VPN.

Zręby koncepcji tworzenia prywatnych sieci wirtualnych opartych na BGP i MPLS można ująć w kilku zdaniach. Po pierwsze - jej nadrzędnym celem jest zaoferowanie klientom bardzo prostych usług nawet wtedy, kiedy nie mają doświadczenia w trasowaniu IP. Po drugie - usługi te mają się odznaczać skalowalnością i ułatwiać szeroką implementację. Ponadto reguły, które są używane do tworzenia VPN, mogą być implementowane samodzielnie przez usługodawcę lub przy współpracy z klientem. Wreszcie na koniec - dobrana metodyka powinna zapewnić dostarczenie usług z wartością dodaną, wzmacniających relacje z klientem.

Składniki sieciowe

Sieci VPN oparte na BGP/MPLS

Rys. 1. Tworzenie wirtualnych sieci VPN BGP/MPLS według RFC 2547

W rozumieniu RFC 2547 VPN jest zestawem reguł (policy). To właśnie reguły są odpowiedzialne za spójność wielu punktów. Punkt klienta jest dołączany do sieci dostawcy usług za pomocą jednego lub wielu portów. Dostawca usług kojarzy każdy port z tablicą trasowania VPN. W terminologii RFC 2547 (i RFC 2547bis) tablica trasowania VPN jest nazwana VRF (VPN Routing and Forwarding). Rysunek 1 ilustruje schematycznie bloki, z których tworzy się sieć VPN opartą na BGP i MPLS.

Urządzenia z obrzeża sieci klienta

Urządzenia tego typu zapewniają klientowi dostęp do sieci dostawcy usług sieciowych za pośrednictwem łączy do jednego lub kilku ruterów znajdujących się na brzegu sieci operatora. Sprzęt ten jest czasem oznaczany jako CE (Customer Edge). Typowo na brzegu sieci klienta powinien być zainstalowany ruter IP, który komunikuje się bezpośrednio z ruterami operatora, chociaż czasem może to być przełącznik warstwy drugiej. Po ustaleniu komunikacji, ruter brzegowy klienta ogłasza (reklamuje) trakty VPN punktu lokalnego ruterowi brzegowemu dostawcy, a następnie uczy się zdalnych traktów VPN pochodzących od zdalnego rutera brzegowego operatora.

Rutery brzegowe dostawcy usług

Rutery brzegowe operatora, nazywane też PE (Provider Edge), wymieniają informacje z ruterami klienta, używając statycznego trasowania, protokołu RIP 2, OSPF lub EBGP. Ruter znajdujący się na brzegu sieci operatora obsługuje informacje o wyborze trasy, dotyczące ścieżek VPN dla tych sieci wirtualnych, do których jest on bezpośrednio dołączony. Taka konstrukcja poprawia skalowalność modelu RFC 2547, ponieważ eliminuje konieczność zapewniania przez rutery brzegowe dostawcy usług wszystkich traktów VPN tego dostawcy.

Sieci VPN oparte na BGP/MPLS

Cisco Systems proponuje klientom chcącym budować sieci VPN BGP/MPLS rutery szkieletowe serii <b>12000</b> i rutery brzegowe Cisco ESR 10000

Każdy ruter na brzegu sieci operatora obsługuje VRF dla każdego z połączonych punktów. Każdy typ połączenia klienta - np. PVC Frame Relay, PVC ATM i VLAN - jest odwzorowywany w specyficznym VRF. W ten sposób to ruter operatora, a nie punkt, jest skojarzony z tablicą VRF. Jak wiadomo, z jedną VRF może być skojarzonych wiele portów rutera brzegowego dostawcy. To jest cecha tych ruterów, która pozwala na tworzenie wielu tablic trasowania obsługujących segregowanie informacji o wyborze trasy w VPN.

Ruter brzegowy operatora, po nauczeniu się lokalnych ścieżek VPN od ruterów brzegowych klienta, wymienia informacje o wyborze trasy VPN z innym takim ruterem używając IBGP.

Kiedy stosuje się MPLS do wysyłania strumienia danych VPN przez sieć szkieletową dostawcy, wejście rutera brzegowego operatora funkcjonuje jak wejście etykietującego przełącznika trasującego LSR (Label Switch Ruter) i analogicznie wyjście takiego rutera zachowuje się jak wyjście etykietującego przełącznika trasującego.

Rutery w sieci szkieletowej dostawcy

Urządzeniem takim może być dowolny ruter w sieci dostawcy, który nie jest połączony z ruterem brzegowym klienta. Taki ruter funkcjonuje jak tranzytowy etykietujący przełącznik trasujący MPLS, kiedy przesyła strumień danych między brzegowymi ruterami. Ponieważ ruch jest przesyłany w szkielecie MPLS z użyciem dwuwarstwowego stosu etykiet, ruter szkieletowy jest zobligowany do obsługi jedynie dróg do operatorskich ruterów brzegowych. Natomiast nie musi on obsługiwać specyficznych dla każdego punktu klienta informacji o wyborze drogi.


TOP 200