VPN + MPLS = VPLS

Idea przeradza się w praktykę. Coraz więcej producentów urządzeń sieciowych oferuje tę technologię. Uznaje się ją obecnie za najbardziej elastyczne rozwiązanie dostarczające usług VPN w warstwie drugiej (zatem niezależnych od protokołu sieciowego), które w rdzeniu sieci wykorzystują MPLS. Przedstawiamy VPLS (Virtual Private LAN Services), czyli wirtualne usługi sieciowe.

Idea przeradza się w praktykę. Coraz więcej producentów urządzeń sieciowych oferuje tę technologię. Uznaje się ją obecnie za najbardziej elastyczne rozwiązanie dostarczające usług VPN w warstwie drugiej (zatem niezależnych od protokołu sieciowego), które w rdzeniu sieci wykorzystują MPLS. Przedstawiamy VPLS (Virtual Private LAN Services), czyli wirtualne usługi sieciowe.

Technika MPLS (Multiprotocol Label Switching) może stanowić świetną podstawę do budowy wydajnych wirtualnych sieci prywatnych (VPN - Virtual Private Networks). Zresztą to właśnie dzięki świadczeniu VPN na bazie MPLS wieloprotokołowe przełączanie etykiet zyskuje coraz większą popularność jako technika sieciowa. Choć rozwiązania VPN warstwy trzeciej z wykorzystaniem MPLS ciszą się dużą popularnością, to mają jedno poważne ograniczenie - wymagają od użytkownika usługi wdrożenia protokołu routingu, co nie jest sprawą trywialną. Stąd pomysł na wprowadzenie usług VPN warstwy drugiej opartych na MPLS.

Zakres i sposób działania sieci z usługą VPLS wyznacza zbiór standardów IETF (Internet Engineering Task Force). Jedną z grup roboczych odpowiedzialnych za specyfikacje standardów dotyczących samego Internetu jest grupa l2vpn, której podstawowym zadaniem jest tworzenie podstaw VPLS. Zaaprobowała ona dotychczas 10 draftów związanych z tą usługą. Są to m.in.:

Virtual Private LAN Service, w którym opisano strukturę usługi VPLS opartej na protokole sygnalizacyjnym BGP (Border Gateway Protocol).

Virtual Private LAN Service over MPLS, w którym opisano ramy usługi opartej na protokole sygnalizacyjnym LDP (Label Distribution Protocol). Zdecydowana większość urządzeń sieciowych wspierających usługę VPLS wykorzystuje właśnie ten standard.

Provisioning Models and Endpoint Identifiers in L2VPN Signaling, czyli dokument opisujący sposób wykorzystania protokołu RADIUS (Remote Authentication Dial In User Service) do dynamicznego dołączania urządzeń operatora do sieci VPLS oraz identyfikacji urządzeń końcowych w sieci.

VPLS Applicability, czyli opis zastosowań VPLS.

Kolejna grupa robocza - pwe3 odpowiada za specyfikację tzw. pseudoobwodów (Pseudo Wires), które stanowią szkielet transportowy VPLS. Do tej pory grupa ta opublikowała 18 dokumentów. Notabene zespół standardów tworzonych przez grupę roboczą pwe3 nosi nazwę standardów Martini (Luca Martini z Cisco Systems przyczynił się do powstania wielu dokumentów opublikowanych przez grupę).

Podstawowym zadaniem VPLS jest przenoszenie ramek ethernetowych przez sieć IP z wykorzystaniem techniki MPLS. Umożliwienie i jednoczesne uproszczenie sposobu przenoszenia ruchu ethernetowego pomiędzy segmentami VPN danej firmy jest podyktowane wieloma czynnikami:

  • Obsługa oraz utrzymanie portów ethernetowych jest o wiele tańsze niż zarządzanie jakimikolwiek innymi portami sieciowymi. Mówiąc językiem ekonomii i marketingu, transport ethernetowy obniża współczynniki CAPEX (Capital Expediture) i OPEX (Operation Exchange).
  • Obecne sieci mają bardzo ostre granice podziału pomiędzy warstwą sieciową i transportową: sieci wewnętrzne firm są przede wszystkim ethernetowe, operatorzy natomiast budują szkielet swoich sieci transportowych w oparciu o protokół IP. Jednakże użytkownicy sieci korporacyjnych, łącząc swoje odległe oddziały, nie chcą inwestować w dodatkowe urządzenia (routery). Co więcej, chcą aby sieć taka była jednorodna, a tunele VPN były przezroczyste (widziane przez przełączniki jako trakt ethernetowy).
  • Liczba nowych usług opartych na Ethernecie z roku na rok rośnie (transport w sieciach metropolitalnych, połączenia LAN to LAN oraz dostęp do Internetu). Ten wzrost musi przekładać się na dostarczane przez operatorów usługi.
Wykorzystanie MPLS w warstwie transportowej VPLS jest podyktowane tymi samymi czynnikami jak wprowadzenie samego MPLS:

  • proste różnicowanie ruchu i nadawanie priorytetów poszczególnym strumieniom podczas transportu;
  • łatwy rozdział strumieni ruchu pochodzących z różnych źródeł w sieci tego samego operatora.
Klasyfikacja

Sposób dostarczania usług VPN ewoluował na przestrzeni ostatnich kilkunastu lat. Początkowo był świadczony z wykorzystaniem dedykowanych łączy pomiędzy siecią operatora i klienta. Kiedy w latach 90. FR (Frame Relay) stał się standardem, zaczęto go powszechnie stosować do świadczenia usług VPN. Technika ta jest do dzisiaj najbardziej popularna w świadczeniu usług VPN. Niemniej od czasu pojawienia się pod koniec lat 90. zbioru specyfikacji związanych z protokołem MPLS rozpoczęła się powolna migracja w szkielecie sieci z techniki FR właśnie na MPLS.

Same sieci VPN można podzielić ze względu na typ usługi oferowanej użytkownikom na trzy grupy:

VPRN (Virtual Private Routed Networks), czyli VPN w warstwie trzeciej (inaczej IP VPN). Silne ukierunkowanie na protokół IP stanowi podstawę sukcesu tej usługi.

VLL (Virtual Leased Line) lub PW (Pseudo Wires), czyli usługa VPN typu punkt-punkt. Pozwala na łatwą migrację w obszarze VPN z tradycyjnych sieci FR i ATM do MPLS bez kosztownej zmiany urządzeń producenta oraz przyzwyczajeń użytkowników.

VPLS, czyli VPN warstwy drugiej, o którym jest niniejszy artykuł.

Specyfikacja VPLS

Rys. 1. Komponenty sieci VPLS

Rys. 1. Komponenty sieci VPLS

Dzięki usłudze VPLS odległe i niezależne punkty sieci LAN jednej korporacji mogą zostać połączone w jedną strukturę, tworząc spójną sieć lokalną. Do tego celu wykorzystywane są protokoły IP i MPLS zarządzane przez jednego operatora usług. Co najważniejsze punktem styku pomiędzy siecią klienta usługi VPN a siecią operatora jest port ethernetowy.

Każda usługa VPLS wykorzystuje następujące podstawowe elementy sieciowe zaprezentowane na rys. 1:

Urządzenia końcowe klientów (CE, Customer Equipment), którymi są w większości przypadków przełączniki ethernetowe.

Urządzenia operatorskie (PE, Provider Edges), zarządzane wyłącznie przez operatora. PE z CE połączone jest obwodem, który w nomenklaturze IETF nazwany jest AC (Attachment Circuit). Funkcjonalnie PE jest połączeniem routera MPLS oraz przełącznika ethernetowego, który odpowiada za zapamiętywanie adresów MAC stacji, które się z nim łączą, zestawianie i zrywanie wirtualnych mostów VB (Virtual Bridge).

Pseudoobwody (PW, Pseudo Wires).

Sieć IP/MPLS, która oprócz pseudoobwodów może przenosić jednocześnie inne rodzaje usług.

W sieci operatora zarządzającego całą domeną VPLS wszystkie urządzenia klienckie (mówiąc inaczej urządzenia końcowe) są połączone pełną siecią połączeń (full-mesh) w taki sposób, że każde połączenie pomiędzy dowolnymi PE odbywa się w jednym skoku, bez pośrednictwa żadnego innego urządzenia (z matematycznego punktu widzenia sieć taka tworzy graf pełny). Połączenia te realizowane są za pomocą pseudoobwodów. Pseudoobwody to inaczej para tuneli LSP (Label Switched Paths) zestawianych za pomocą protokołu LDP łączących dwa PE. W każdym kierunku kreowana jest jedna ścieżka LSP. Każdy tunel identyfikowany jest za pomocą flagi PW (określanej również jako flaga VC - Virtual Connection). Skoro każdy PE ma połączenie z innym PE, to liczba tuneli LSP będzie równa podwójnej wielokrotności liczby PE, z którymi ma zestawione połączenie (warto przypomnieć, że każdy PE łączy się za pomocą dwóch LSP z innym urządzeniem). Oznacza to również, że każda ze ścieżek jest identyfikowana jednoznaczną flagą VC. Ważność tej flagi jest ograniczona do połączenia pomiędzy dwoma PE. Takie podejście do połączeń między PE ułatwia proces uczenia się adresów MAC (co zostanie zaprezentowane na przykładzie). Jeżeli PE otrzyma ramkę pochodzącą z nieznanego adresu, to na podstawie flagi VC będzie w stanie ją w łatwy sposób zidentyfikować.

Rys. 2. Podstawowe komponenty sieci VPLS

Rys. 2. Podstawowe komponenty sieci VPLS

Każda ramka ethernetowa otrzymana przez PE od CE opakowywana jest przez zewnętrzną ramkę VPLS (patrz rys. 2). Dodatkowo zaopatrywana jest w znacznik numeru tunelu i flagę VC. W PE po stronie odbiorczej dokonywany jest proces rozpakowania (dekapsulacji) ramki VPLS i przekazanie jej do właściwego CE. Ramka ethernetowa pochodząca od CE zawiera znacznik wirtualnej sieci LAN (znacznik ten nazwany jest również znacznikem 802.1q od nazwy standardu IEEE). Warto wspomnieć, że głównym zadaniem znaczników 802.1q jest przyporządkowanie ramek ethernetowych wirtualnym segmentom sieci. Znaczniki takie pozwalają na podział sieci na kilka mniejszych w ramach tej samej struktury fizycznej (np. tego samego przełącznika).

Podstawową funkcją PE jest tworzenie wirtualnych mostów pomiędzy urządzeniem klienckim CE a innym PE. Most wirtualny to połączenie pomiędzy pseudoobwodem a urządzeniem CE. Każdy PE przechowuje bazę danych kierowania ramek pochodzących od różnych PE o nazwie FIB (Forward Information Base). Za każdym razem, gdy PE otrzyma ramkę z nieznanym adresem wysyła ją do wszystkich stacji PE do niego przyłączonych (z wyjątkiem tej, od której otrzymał ramkę) i czeka na odpowiedź. Po otrzymaniu odpowiedzi aktualizuje swoją FIB określając, gdzie powinien kierować ruch przychodzący z tego adresu. Proces rozgłaszania nieznanych ramek do wszystkich PE z wyjątkiem wysyłającego PE nosi nazwę zasady ograniczonego horyzontu (Split Horizon). Takie zachowanie przeciwdziała powstawaniu niepożądanych pętli w połączeniach wewnątrz szkieletu VPLS. Zasada ta stosowana jest w wielu protokołach routingu, np. w protokole RIP (Routing Information Protocol).


TOP 200