Каналы l2 и l3 отличия

Сети VPN на базе сети IP/MPLS разделяют на два широких класса — сети, которые работают на 3-м уровне, называемые Layer 3 VPN (L3 VPN или VPN L3) и сети, работающие на 2-м уровне Layer 2 VPN – (L2 VPN или VPN L2). Сеть L3 VPN взаимодействует с сетями клиентов на основе IP-адресов, а L2 VPN – на основе адресной информации второго уровня, например, МАС-адресов или идентификаторов виртуальных каналов АТМ/FR. В данном разделе рассматриваются вопросы организации L3 VPN на сети IP/MPLS (далее просто сеть MPLS).

Как было указано выше, L3 VPN MPLS от L2 VPN MPLS отличаются тем, какой уровень заголовков обрабатывается в сети MPLS при создании VPN. При этом следует отметить, что взаимодействие узлов РЕ сети MPLS с клиентскими узлами СЕ обычно производится с использованием протокола канального уровня, например Ethernet, заголовок которого должен отбрасываться на сетевом уровне в маршрутизаторах РЕ. Однако, под этим первым, транспортным заголовком канального уровня может лежать IP-заголовок или заголовок канального уровня (Ethernet/АТМ/FR), что означает что в транспортный кадр канального уровня была загружена IP-дейтаграмма или кадр второго уровня соответственно. Таким образом, если следующим за отброшенным заголовком 2-го уровня следует IP-заголовок, который должен обрабатываться в граничном узле РЕ, то данная VPN относится к L3 VPN, если этот заголовок определяет кадр второго уровня, то необходимо строить L2 VPN. Заметим, что имеет значение только первый, следующий за транспортным, заголовок, так как внутри кадра, имеющего, например первый заголовок Ethernet, далее может находиться IP-заголовок пользовательской IP-дейтаграммы, которая в сети MPLS провайдера не обрабатывается, а будет обрабатываться в сети клиента.

Первоначально были разработаны принципы построения и протоколы для сетей VPN 3-го уровня, которые были стандартизованы в RFC. До настоящего времени наиболее широко развертывались сети VPN 3-го уровня по RFC 2547bis или более современной модификации стандарта RFC 4364 и уже существует большое количество VPN, организованных в сетях IP/MPLS многих зарубежных и отечественных операторов. Эти сети строятся с помощью расширения известного протокола BGP сетей IP, которое носит название MP-BGP. Протокол MP-BGP совместно с протоколами IGP формирует для каждой VPN специальные таблицы VRF, определяющие маршрутизацию VPN.

Виртуальная частная сеть 3-го уровня структурируется в виде одноранговой модели уровня СЕ-РЕ (соответствующие маршрутизаторы СЕ и РЕ «видят друг друга»). При этом СЕ-маршрутизатор является одноранговым устройством для РЕ-маршрутизатора к которому он подключен, но не является одноранговым устройством для других СЕ-маршрутизаторов, установленных на других объектах той же VPN. Маршрутизаторы на разных объектах не обмениваются данными непосредственно друг с другом, а только через РЕ-маршрутизатор.

Каждый РЕ-маршрутизатор поддерживает отдельную таблицу VRF для каждого объекта, подключенного к РЕ-маршрутизатору. Каждый СE-маршрутизатор должен внести свои маршруты в таблицы VRF, определенные в сети MPLS для данной VPN. Для передачи этих маршрутов может использоваться статическая маршрутизация, а также маршрутизация BGP, OSPF или RIP (протоколы IGP). В качестве примера на рис.1.2-1 показана сеть VPNA, где используются подсети этой сети с адресом 2.0.0.0/16, а также сеть VPNВ с адресом 1.0.0.0/16., которые передают информацию о своем подключении к сети через свой РЕ. В свою очередь, РЕ-маршрутизаторы связываются друг с другом по протоколу МР BGP для обмена информацией о подключенных VPN. РЕ-маршрутизаторы сохраняют адреса P-маршрутизаторов в отдельной глобальной таблице маршрутизации, в соответствии с которой составляется маршрут по опорной сети для VPN. Таким образом в таблицах VRF каждого РЕ-маршрутизатора появится информация обо всех клиентских сетях, входящих в состав каждой VPN, подключенной к данному маршрутизатору.

Если при передаче IP-адрес пакета указывает на то, что его нужно передать в объект А, его ищут в таблице VRF объекта А только в том случае, если пакет прибыл из объекта, которому доступна эта VRF таблица (т.е. с того объекта, который входит в этот VPN). Если объект связан с несколькими VPN, его таблица VRF может включать данные о маршрутах всех этих сетей (VPN). Маршруты всех VPN, с которыми связан объект, могут располагаться в одной таблице. Кроме того, если разные объекты VPN пользуются одинаковым набором маршрутов, они также будут объединяться в одну таблицу VRF.

Таблицы VRF на устройствах РЕ используются только для пакетов, поступающих из объектов, напрямую подключенных к данному РЕ. Они не используются для маршрутизации пакетов, поступающих с других маршрутизаторов, т.е. невозможно попасть в таблицу VRF извне.

Одним из наиболее важных вопросов построения VPN является обеспечение конфиденциальности передаваемой информации. Эта проблема решается созданием непересекающихся адресных пространств и маршрутов для различных VPN.

Так как адреса в клиентских подсетях различных VPN могут пересекаться, то для обеспечения их уникальности вводятся специальные префиксы подсетей VPN, которые состоят из двух частей:

— RD – Route Distinguisher (8 байт) – различитель маршрута, в который вводится номер VPN самим провайдером, обеспечивая тем самым глобальную уникальность идентификатора каждой VPN;

— IPv4 network address – традиционный префикс IPv4 (4 байта).

Форма представление префикса подсети как пары RD и IPv4 называется адресом VPN-IPv4. Структура VPN-IPv4 обеспечивает глобальную уникальность адресации каждой клиентской сети. Таким образом, даже если в двух клиентских сетях используются одни и те же адреса IPv4, соответствующие им адреса VPN-IPv4 будут отличаться друг от друга.

Особенностью построения L3 VPN является то, что доступность по протоколу МР BGP обеспечивается только между системами, которые принадлежат к одной и той же VPN. Данные о маршрутах VPN-IPv4 для конкретной клиентской сети передаются (с помощью протокола MP BGP) только РЕ-маршрутизаторам, которые могут взаимодействовать с этой клиентской сетью, т.е. внутри одной VPN. В результате объем информации о маршрутах, который хранится на РЕ-маршрутизаторе, пропорционален не общему количеству VPN, а количеству VPN, подключенных к данному РЕ.

Кратко подведем итоги. В L3 VPN маршрутизаторы CE и PE являются одноранговыми (связанными друг с другом непосредственно) узлами IP-маршрутизации. Маршрутизатор CE предоставляет маршрутизатору PE по одному из протоколов IGP информацию о маршрутизации для частной сети потребителя, расположенной за ним. Маршрутизатор PE сохраняет эту частную информацию о маршрутизации в таблице VRF. Маршрутизатор PE обслуживает отдельную таблицу VRF для каждой VPN, обеспечивая, таким образом, соответствующую изоляцию и безопасность. В дополнение к таблицам VRF маршрутизатор PE также сохраняет в глобальной таблице обычную информацию о маршрутизации, которая необходима для передачи трафика по сети MPLS провайдера (метки LSP). Сети VPN 3-го уровня по RFC 2547bis используют расширения МР BGP, чтобы распределять маршрутную информацию по магистральной сети провайдера. Стандартные механизмы MPLS с заменой меток в промежуточных узлах P (как обсуждалось ранее) используются при передачи трафика VPN по магистральной сети.

В сетях L3 VPN используется двухуровневый стек меток MPLS (см. рис.11.1). Внутренняя метка переносит специфическую информацию о VPN от PE к PE. Внешняя метка переносит информацию передачи MPLS от одного хопа к другому хопу, входящему в маршрут. Маршрутизатор P в процессе распространения пакета по сети MPLS считывает и заменяет только внешнюю метку, не производя никаких действий с внутренней меткой VPN – внутренняя метка туннелируется по сети без анализа и изменений.

Рис.11.1 Сеть VPN MPLS 3-го уровня

Метод L3 VPN имеет несколько преимуществ. Пространство IP-адреса потребителя управляется оператором, что значительно упрощает роль потребителя (поскольку новые узлы VPN потребителя просто подсоединяются и обслуживаются провайдером). Еще одно преимущество L3 VPN состоит в том, что они поддерживают автоматическое конфигурирование VPN путем использования на новом уровне возможностей динамической маршрутизации BGP.

Метод 3-го уровня также имеет недостатки. Сети VPN 3-го уровня поддерживают только IP или «IP-инкапсулированный» пользовательский трафик. Наращиваемость также может вызвать значительные проблемы с маршрутизаторами PE, требующими для поддержки маршрутизации BGP таблицы, размер которых значительно больше обычных таблиц продвижения в технологии MPLS.

Сети VPN MPLS 2-го уровня (L2 VPN)

VPN 2-го уровня опираются на магистральную сеть IP/MPLS сеть 3-го уровня. Главное архитектурное различие L2 VPN и L3 VPNсостоит в том, как организовано взаимодействие граничных маршрутизаторов РЕ и СЕ. В VPN 2-го уровня магистральный граничный маршрутизатор РЕ, в отличие от L3 VPN, не состоит с СЕ в равноправных одноранговых отношениях и не содержит собственных маршрутных таблиц для клиентской сети. Вместо этого он просто отображает входной трафик 2-го уровня на соответствующий входной туннель.

В последнее время повысился интерес операторов связи и производителей к сетям VPN MPLS 2-го уровня. Стандарты VPN MPLS 2-го уровня пока еще находятся на стадии разработки [4,5], но ведущие производители оборудования MPLS уже выпускают маршрутизаторы с поддержкой функций L2 VPN. Эти проекты определяют метод для настройки туннелей L2 VPN по сети MPLS, который может обрабатывать все типы трафика 2-го уровня, включая Ethernet, ретрансляцию кадров, ATM, TDM и PPP/HDLC. При этом по туннелю переносятся без изменения данные, сигнализация и синхронизация сетей второго уровня.

Для построения всех сетей второго уровня в настоящее время представляет интерес только технология Ethernet, имеющая более высокую скорость (до 10 Гбит/c), чем другие технологии канального уровня. Кратко опишем наиболее распространенный формат заголовков в сетях Ethernet и схему организации VLAN, которые могут туннелироваться по сети IP/MPLS

Протокол туннелирования IEEE 802.1Q VLAN tunneling – это сетевой протокол, с помощью которого данные, которые должны быть обработаны с помощью протокола А, упаковывается внутри кадра, который обрабатывается по протоколу В так, что с точки зрения протокола А сеть с протоколом В является сетью 2-го уровня (data link layer).

Туннелирование используется для выполнения ряда операций при организации VPN, в частности, для установки самостоятельной внутренней адресации. Например, администраторы различных компаний часто выдвигают требования самостоятельной нумерации (адресации) собственных VLAN. Однако совпадение нумерации у нескольких компаний, обслуживаемых одной магистралью, может привести к недопустимому перемешиванию данных VLAN различных компаний. Эту проблему невозможно разрешить, выделяя определенное адресное пространство для нумерации VLAN различных компаний, так как такое решение обладает, прежде всего, плохой масштабируемостью, т.е. общее число VLAN в сети может превысить максимальное допустимое число VLAN, определенное правилами IEEE 802.1Q.

Возможности организации туннелей связи согласно IEEE 802.1Q позволяют с помощью одной VLAN обеспечить работу на общей магистрали многих абонентов-компаний, имеющих, кроме того, по несколько собственных VLAN. Порт коммутатора, настроенный на организацию туннелей по IEEE 802.1Q, называют туннельным портом в отличие от других портов, которые называют транковыми. При настройке туннельной системы некий туннельный порт соответствует номеру отдельной компании, и все VLAN этой компании будут иметь этот номер.

Читайте также:  Сапфировый трон что это

На рис.11.2 приведена схема подключения VLAN компаний А и B к провайдерской сети с организацией двух туннелей.

Транковые порты

Рис.11.2 Схема организации туннеля VLAN разных компаний по общей магистрали

Таким образом, построение туннелей по спецификации IEEE 802.1Q позволяет расширить пространство VLAN за счет организации двухуровневой иерархии путем введения на туннельном порту в пакеты пользователей дополнительной (внешней) метки (tag) помимо существующей внутренней метки. Абонентский трафик, который приходит на туннельный порт коммутатора провайдера из транкового порта коммутатора отдельной компании, уже помечен в коммутаторе, принадлежащем компании, первым (внутренним) тегом, который определяет номер абонентской VLAN внутри компании. На туннельном порту каждому входящему пакету присваивается дополнительная метка (тег), соответствующая этому туннельному порту. На рис.11.3 показана структура исходного кадра Ethernet, изменяющаяся при организации VLAN компании (первое преобразование заголовка) и при организации туннеля на магистрали (второе преобразование).

Рис. 1 —

Рис. 11.3. Формат меток VLAN на уровне L2 (стандарт IEEE 802.1р)

Из рис.11.3 видно, что стандартный кадр Ethernet (верхняя часть рисунка) при создании VLAN по стандарту IEEE 802.1Q дополняется двумя полями: Etype (сокращение от EtherType) и Tag, где в первом поле указывается тип протокола обработки кадра, а во втором вносится метка (tag), соответствующая номеру VLAN внутри корпорации. На нижней части рисунка показана структура кадра при туннелировании, где значение тега соответствует номеру туннельного порта.

Таким образом, путем создания туннелей на магистрали, данные виртуальных локальных сетей различных компаний будут обрабатываться раздельно даже при совпадающих внутренних номерах.

Использование поля приоритета в коммутаторах Ethernet нового поколения обеспечивает на канальном уровне обработку очередей различных приоритетов, что позволяет в какой-то мере выполнять требования QoS. Таким образом, на уровне L2 существует возможность обеспечения QoS в ограниченном объеме. На уровне L3 возможности обработки значительно более широкие, которые позволяют учесть требования L2 VPN по приоритетам в сетях IP/MPLS .

Организация сетей L2 VPN в среде IP/MPLS основана на двух основных подходах: «точка-точка» и «точка – много точек». Соответственно этому есть два типа VPN 2-го уровня в среде IP/MPLS:

двухточечные: подобно сетям ATM и ретрансляции кадров, используют фиксированные двухточечные соединения или туннели LSP (услуга VPWS-Virtual Private Wire Service), например, по технологии АTоМ – Any Transport Over MPLS, разработанной фирмой Cisco;

многоточечные: поддерживают узловую и иерархическую топологию (услуга VPLS – VirtualPrivate LAN Service).

Схема организации туннелей точка-точка приводится на рис.11.4.

Рис. 11.4 Сеть VPN MPLS 2-го уровня типа «точка-точка»

Сети L2 VPN также используют процесс формирования стека меток подобно VPN 3-го уровня. Внешняя туннельная метка LSP определяет последовательный маршрут через сеть провайдера Внутренняя метка виртуального канала (VC) идентифицирует VLAN, VPN или соединение в оконечной точке. Кроме того, есть дополнительное управляющее слово (control word), следующее за меткой VC, которое переносит информацию о вложенном пакете 2-го уровня.

Услуга VPLS (Virtual Private LAN Services — услуга виртуальной частной LAN) — это многоточечная модель L2 VPN, которая в последнее время вызывает большой интерес. Модель VPLS использует Ethernet в качестве технологии доступа между сетями потребителя и провайдера, позволяет расширить частную корпоративную сеть Ethernet посредством управляемой провайдером инфраструктуры MPLS. Услуга VPLS функционально может быть представлена в виде виртуальной коммутации L2 VPN на граничных маршрутизаторах РЕ сети MPLS. Множество узлов корпоративных пользователей можно соединить в одну L2 VPN вместе со всеми пунктами, выполняющими коммутацию на втором уровне (см. рис.11.5).

Рис. 11.5 Схема предоставления услуги VPLS для L2 VPN

На рис.11.5 VLAN, направленный от узла СЕ, присоединенного к РЕ1, к другому СЕ, присоединенному к РЕ2, должен коммутироваться в узле РЕ3 (в виртуальном коммутаторе на втором уровне). Если бы такого коммутатора не было, необходимо было бы организовать туннель точка-точка от РЕ1 до РЕ2.

Для организации сети VPLS маршрутизаторы должны быть укомплектованы специальными платами, реализующими коммутацию на втором уровне.

Как уже было отмечено, в L2 VPN маршрутизаторы PE и CE не обязательно должны быть одноранговыми узлами, как это требуется для VPN 3-го уровня. Сети VPN MPLS 2-го уровня имеют явное преимущество, состоящее в том, что они способны переносить пакеты, построенные на базе любого корпоративного протокола – сеть MPLS будет прозрачной для этих данных. Эти сети могут также работать поверх практически любой транспортной среды, осуществляя интеграцию IP-сетей, не ориентированных на соединение, с сетями, предполагающими установление соединений. Квалификация пользователей может быть минимальной, поскольку не требуется конфигурирования маршрутизации.

С другой стороны L2 VPN не могут наращиваться подобно L3 VPN. Вся сетка LSP должна быть настроена заранее между всеми узлами L2 VPN: требование, которое не состыкуется с большим количеством узлов. Кроме того, эти сети не могут воспользоваться преимуществом автоматического составления маршрута, доступным в сетях VPN 3-го уровня. Так что они больше подходят для ситуаций с небольшим количеством узлов VPN и статическими маршрутами.

Поскольку в сети MPLS потоки трафика достаточно устойчивы, можно считать, что большая часть маршрутов может быть отнесена к статическим маршрутам, на которых могут строиться L2 VPN.

Вопросы к лекции 11:

  1. Какие свойства реальных частных сетей могут поддерживаться VPN?
  2. Какие технологии в сетях VPN используются, чтобы обеспечить безопасность разграничения трафика?
  3. В чем состоят достоинства и недостатки сети VPN уровня 3 по сравнению с сетью VPN уровня 2?
  4. Как формируется таблица VFR?
  5. Какую роль играет протокол MP-BGPВ?
  6. В сети MPLS VPN пакет снабжается двумя метками – внутренней LVPN и внешней L. Какую роль играет каждая из этих меток в продвижении пакетов?
  7. Какие дополнительные узлы включает VPN по сравнению со стандартным LSP?

Лекция 12 (4 часа)

Дата добавления: 2014-01-05 ; Просмотров: 8595 ; Нарушение авторских прав?

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

С доброй улыбкой теперь вспоминается, как человечество с тревогой ожидало в 2000 году конца света. Тогда этого не случилось, но зато произошло совсем другое событие и тоже очень значимое.

Исторически, в то время мир вошел в настоящую компьютерную революцию v. 3.0. – старт облачных технологий распределенного хранения и обработки данных. Причем, если предыдущей «второй революцией» был массовый переход к технологиям «клиент-сервер» в 80-х годах, то первой можно считать начало одновременной работы пользователей с использованием отдельных терминалов, подключенных к т.н. «мейнфреймам» (в 60-х прошлого столетия). Эти революционные перемены произошли мирно и незаметно для пользователей, но затронули весь мир бизнеса вместе с информационными технологиями.

При переносе IT-инфраструктуры на облачные платформы и удаленные ЦОД (центры обработки данных) ключевым вопросом сразу же становится организация надежных каналов связи от клиента к дата-центрам. В Сети нередко встречаются предложения провайдеров: «физическая выделенная линия, оптоволокно», «канал L2», «VPN» и так далее… Попробуем разобраться, что за этим стоит на практике.

Каналы связи – физические и виртуальные

1. Организацией «физической линии» или «канала второго уровня, L2» принято называть услугу предоставления провайдером выделенного кабеля (медного или оптоволоконного), либо радиоканала между офисами и теми площадками, где развернуто оборудование дата-центров. Заказывая эту услугу, на практике скорее всего вы получите в аренду выделенный оптоволоконный канал. Это решение привлекательно тем, что за надежную связь отвечает провайдер (а в случае повреждения кабеля самостоятельно восстанавливает работоспособность канала). Однако, в реальной жизни кабель на всем протяжении не бывает цельным – он состоит из множества соединенных (сваренных) между собой фрагментов, что несколько снижает его надежность. На пути прокладки оптоволоконного кабеля провайдеру приходится применять усилители, разветвители, а на оконечных точках – модемы.

В маркетинговых материалах к уровню L2 (Data-Link) сетевой модели OSI или TCP/IP это решение относят условно – оно позволяет работать как бы на уровне коммутации фреймов Ethernet в LAN, не заботясь о многих проблемах маршрутизации пакетов на следующем, сетевом уровне IP. Есть, например, возможность продолжать использовать в клиентских виртуальных сетях свои, так называемые «частные», IP-адреса вместо зарегистрированных уникальных публичных адресов. Поскольку использовать частные IP-адреса в локальных сетях очень удобно, пользователям были выделены специальные диапазоны из основных классов адресации:

  • 10.0.0.0 – 10.255.255.255 в классе A (с маской 255.0.0.0 или /8 в альтернативном формате записи маски);
  • 100.64.0.0 – 100.127.255.255 в классе A (с маской 255.192.0.0 или /10);
  • 172.16.0.0 – 172.31.255.255 в классе B (с маской 255.240.0.0 или /12);
  • 192.168.0.0 – 192.168.255.255 в классе C (с маской 255.255.0.0 или /16).

Такие адреса выбираются пользователями самостоятельно для «внутреннего использования» и могут повторяться одновременно в тысячах клиентских сетей, поэтому пакеты данных с частными адресами в заголовке не маршрутизируются в Интернете – чтобы избежать путаницы. Для выхода в Интернет приходится применять NAT (или другое решение) на стороне клиента.

Примечание: NAT – Network Address Translation (механизм замены сетевых адресов транзитных пакетов в сетях TCP/IP, применяется для маршрутизации пакетов из локальной сети клиента в другие сети/Интернет и в обратном направлении – вовнутрь LAN клиента, к адресату).

У этого подхода (а мы говорим о выделенном канале) есть и очевидный недостаток – в случае переезда офиса клиента, могут быть серьезные сложности с подключением на новом месте и возможна потребность в смене провайдера.

Утверждение, что такой канал значительно безопаснее, лучше защищен от атак злоумышленников и ошибок низкоквалифицированного технического персонала при близком рассмотрении оказывается мифом. На практике проблемы безопасности чаще возникают (или создаются хакером умышленно) прямо на стороне клиента, при участии человеческого фактора.

2. Виртуальные каналы и построенные на них частные сети VPN (Virtual Private Network) распространены широко и позволяют решить большинство задач клиента.

Предоставление провайдером «L2 VPN» предполагает выбор из нескольких возможных услуг «второго уровня», L2:

VLAN – клиент получает виртуальную сеть между своими офисами, филиалами (в действительности, трафик клиента идет через активное оборудование провайдера, что ограничивает скорость);

Соединение «точка-точка» PWE3 (другими словами, «эмуляция сквозного псевдопровода» в сетях с коммутацией пакетов) позволяет передавать фреймы Ethernet между двумя узлами так, как если бы они были соединены кабелем напрямую. Для клиента в такой технологии существенно, что все переданные фреймы доставляются до удалённой точки без изменений. То же самое происходит и в обратном направлении. Это возможно благодаря тому, что фрейм клиента приходя на маршрутизатор провайдера далее инкапсулируется (добавляется) в блок данных вышестоящего уровня (пакет MPLS), а в конечной точке извлекается;

Примечание: PWE3 – Pseudo-Wire Emulation Edge to Edge (механизм, при котором с точки зрения пользователя, он получает выделенное соединение).

MPLS – MultiProtocol Label Switching (технология передачи данных, при которой пакетам присваиваются транспортные/сервисные метки и путь передачи пакетов данных в сетях определяется только на основании значения меток, независимо от среды передачи, используя любой протокол. Во время маршрутизации новые метки могут добавляться (при необходимости) либо удаляться, когда их функция завершилась. Содержимое пакетов при этом не анализируется и не изменяется).

Примечание: VPLS – Virtual Private LAN Service (механизм, при котором с точки зрения пользователя, его разнесенные географически сети соединены виртуальными L2 соединениями).

MAC – Media Access Control (способ управления доступом к среде – уникальный 6-байтовый адрес-идентификатор сетевого устройства (или его интерфейсов) в сетях Ethernet).

Читайте также:  Как правильно пишется айклауд

3. В случае развертывания «L3 VPN» сеть провайдера в глазах клиента выглядит подобно одному маршрутизатору с несколькими интерфейсами. Поэтому, стык локальной сети клиента с сетью провайдера происходит на уровне L3 сетевой модели OSI или TCP/IP.

Публичные IP-адреса для точек стыка сетей могут определяться по согласованию с провайдером (принадлежать клиенту либо быть полученными от провайдера). IP-адреса настраиваются клиентом на своих маршрутизаторах с обеих сторон (частные – со стороны своей локальной сети, публичные – со стороны провайдера), дальнейшую маршрутизацию пакетов данных обеспечивает провайдер. Технически, для реализации такого решения используется MPLS (см. выше), а также технологии GRE и IPSec.

Примечание: GRE – Generic Routing Encapsulation (протокол тунеллирования, упаковки сетевых пакетов, который позволяет установить защищенное логическое соединение между двумя конечными точками – с помощью инкапсуляции протоколов на сетевом уровне L3).

IPSec – IP Security (набор протоколов защиты данных, которые передаются с помощью IP. Используется подтверждение подлинности, шифрование и проверка целостности пакетов).

Важно понимать, что современная сетевая инфраструктура построена так, что клиент видит только ту ее часть, которая определена договором. Выделенные ресурсы (виртуальные серверы, маршрутизаторы, хранилища оперативных данных и резервного копирования), а также работающие программы и содержимое памяти полностью изолированы от других пользователей. Несколько физических серверов могут согласованно и одновременно работать для одного клиента, с точки зрения которого они будут выглядеть одним мощным серверным пулом. И наоборот, на одном физическом сервере могут быть одновременно созданы множество виртуальных машин (каждая будет выглядеть для пользователя подобно отдельному компьютеру с операционной системой). Кроме стандартных, предлагаются индивидуальные решения, которые также соответствует принятым требованиям относительно безопасности обработки и хранения данных клиента.

При этом, конфигурация развернутой в облаке сети «уровня L3» позволяет масштабирование до практически неограниченных размеров (по такому принципу построен Интернет и крупные дата-центры). Протоколы динамической маршрутизации, например OSPF, и другие в облачных сетях L3, позволяют выбрать кратчайшие пути маршрутизации пакетов данных, отправлять пакеты одновременно несколькими путями для наилучшей загрузки и расширения пропускной способности каналов.

В то же время, есть возможность развернуть виртуальную сеть и на «уровне L2», что типично для небольших дата-центров и устаревших (либо узко-специфических) приложений клиента. В некоторых таких случаях, применяют даже технологию «L2 over L3», чтобы обеспечить совместимость сетей и работоспособность приложений.

Подведем итоги

На сегодняшний день задачи пользователя/клиента в большинстве случаев могут быть эффективно решены путём организации виртуальных частных сетей VPN c использованием технологий GRE и IPSec для безопасности.

Нет особого смысла противопоставлять L2 и L3, равно как нет смысла считать предложение канала L2 лучшим решением для построения надёжной коммуникации в своей сети, панацеей. Современные каналы связи и оборудование провайдеров позволяют пропускать громадное количество информации, а многие выделенные каналы, арендуемые пользователями, на самом деле – даже недогружены. Разумно использовать L2 только в особенных случаях, когда этого требует специфика задачи, учитывать ограничения возможности будущего расширения такой сети и проконсультироваться со специалистом. С другой стороны, виртуальные сети L3 VPN, при прочих равных условиях, более универсальны и просты в эксплуатации.

В этом обзоре кратко перечислены современные типовые решения, которые используют при переносе локальной IT-инфраструктуры в удаленные центры обработки данных. Каждое из них имеет своего потребителя, достоинства и недостатки, правильность выбора решения зависит от конкретной задачи.

В реальной жизни, оба уровня сетевой модели L2 и L3 работают вместе, каждый отвечает за свою задачу и противопоставляя их в рекламе, провайдеры откровенно лукавят.

L3VPN, который мы рассмотрели в прошлом выпуске, покрывает собой огромное количество сценариев, необходимых большинству заказчиков. Огромное, но не все. Он позволяет осуществлять связь только на сетевом уровне и только для одного протокола — IP. Как быть с данными телеметрии, например, или трафиком от базовых станций, работающих через интерфейс E1? Существуют также сервисы, которые используют Ethernet, но тоже требуют связи на канальном уровне. Опять же ЦОДы между собой любят на языке L2 общаться.
Вот и нашим клиентам вынь да положь L2.

Традиционно раньше всё было просто: L2TP, PPTP да и всё по большому счёту. Ну в GRE ещё можно было спрятать Ethernet. Для всего прочего строили отдельные сети, вели выделенные линии ценою в танк (ежемесячно). Однако в наш век конвергентных сетей, распределённых ЦОДов и международных компаний это не выход, и на рынок выплеснулось некоторое количество масштабируемых технологий випиэнирования на канальном уровне.
Мы же в этот раз сосредоточимся на MPLS L2VPN.

Технологии L2VPN

Прежде чем погрузиться в тёплый MPLS, взглянем на то, какие вообще виды L2VPN существуют.

  • VLAN/QinQ — их можно сюда отнести, поскольку основные требования VPN выполняются — организуется виртуальная L2 сеть между несколькими точками, данные в которой изолированы от других. По сути VLAN per-user организует Hub-n-Spoke VPN.
  • L2TPv2/PPTP — устаревшие и скучные вещи.
  • L2TPv3 вместе с GRE имеют проблемы с масштабированием.
  • VXLAN, EVPN — варианты для ЦОД"ов. Очень интересно, но DCI не входит в планы этого выпуска. Зато о них был отдельный подкаст (слушайте запись 25-го ноября)
  • MPLS L2VPN — это набор различных технологий, транспортом для которых выступает MPLS LSP. Именно он сейчас получил наиболее широкое распространение в сетях провайдеров.

Почему он победитель? Главная причина, безусловно, в способности маршрутизаторов, передающих MPLS-пакеты абстрагироваться от их содержимого, но при этом различать трафик разных сервисов.
Например, Е1-кадр приходит на PE, сразу же инкапсулируется в MPLS и уже никто по пути даже не заподозрит, что там внутри — важно только вовремя поменять метку.
А на другой порт приходит Ethernet-кадр и по тому же самому LSP он может пройти по сети, только с другой меткой VPN.
А кроме того MPLS TE позволяет строить каналы с учётом требований трафика к параметрам сети.
В связке же с LDP и BGP становится более просто настраивать VPN и автоматически находить соседей.
Возможность инкапсулировать трафик любого канального уровня в MPLS называется AToMAny Transport over MPLS.
Вот список поддерживаемых AToM протоколов:

  • ATM Adaptation Layer Type-5 (AAL5) over MPLS
  • ATM Cell Relay over MPLS
  • Ethernet over MPLS
  • Frame Relay over MPLS
  • PPP over MPLS
  • High-Level Data Link Control (HDLC) over MPLS

Для построения любого L2VPN существуют два концептуально разных подхода.

  • Point-to-Point. Применим к любым типам протоколов канального уровня и в принципе, в полной мере исчерпывает все сценарии применения L2VPN. Поддерживает все мыслимые и немыслимые протоколы. Причём некоторые из них ещё и по-разному может реализовывать.
    В основе лежит концепция PW — PseudoWire — псевдопровод.
    Вы хотите соединить два узла друг с другом. Тогда сеть провайдера для вас будет как один виртуальный кабель — то, что вошло в него на одном конце обязательно выйдет на другом без изменений.
    Общее название услуги: VPWSVirtual Private Wire Service.
  • Point-to-Multipoint. Этот режим только для Ethernet, поскольку только в нём фактически такая необходимость есть. В этом случае у клиента может быть три-пять-десять-сто точек подключения/филиалов, и все они должны передавать данные друг другу, причём, как одному конкретному филиалу, так и всем сразу. Это до боли напоминает обычный Ethernet-коммутатор, но было бы страшной банальностью об этом говорить.
    Название технологии: VPLSVirtual Private LAN Service.

Терминология

Традиционно термины будут вводиться по мере необходимости. Но о некоторых сразу.
PEProvider Edge — граничные маршрутизаторы MPLS-сети провайдера, к которым подключаются клиентские устройства (CE).
CECustomer Edge — оборудование клиента, непосредственно подключающееся к маршрутизаторам провайдера (PE).
ACAttached Circuit — интерфейс на PE для подключения клиента.
VCVirtual Circuit — виртуальное однонаправленное соединение через общую сеть, имитирующее оригинальную среду для клиента. Соединяет между собой AC-интерфейсы разных PE. Вместе они составляют цельный канал: AC→VC→AC.
PWPseudoWire — виртуальный двунаправленный канал передачи данных между двумя PE — состоит из пары однонаправленных VC. В этом и есть отличие PW от VC.

VPWSVirtual Private Wire Service.
В основе любого решения MPLS L2VPN лежит идея PW — PseudoWire — виртуальный кабель, прокинутый из одного конца сети в другой. Но для VPWS сам этот PW и является уже сервисом.
Эдакий L2-туннель, по которому можно беззаботно передавать всё, что угодно.
Ну, например, у клиента в Котельниках находится 2G-базовая станция, а контроллер — в Митино. И эта БС может подключаться только по Е1. В стародавние времена пришлось бы протянуть этот Е1 с помощью кабеля, радиорелеек и всяких конвертеров.
Сегодня же одна общая MPLS-сеть может использоваться, как для этого Е1, так и для L3VPN, Интернета, телефонии, телевидения итд.
(Кто-то скажет, что вместо MPLS для PW можно использовать L2TPv3, но кому он нужен с его масштабируемостью и отсутствием Traffic Engineering"а?)

VPWS сравнительно прост, как в части передачи трафика, так и работы служебных протоколов.

VPWS Data Plane или передача пользовательского трафика


Туннельная метка — то же, что и транспортная, просто длинное слово "транспортное" не помещалось в заголовок.

0. Между R1 и R6 уже построен транспортный LSP с помощью протокола LDP или RSVP TE. То есть R1 известна транспортная метка и выходной интерфейс к R6.
1. R1 получает от клиента CE1 некий L2 кадр на AC интерфейс (то может оказаться Ethernet, TDM, ATM итд. — не имеет значения).
2. Этот интерфейс привязан к определённому идентификатору клиента — VC ID — в некотором смысле аналогу VRF в L3VPN. R1 даёт кадру сервисную метку, которая сохранится до конца пути неизменной. VPN-метка является внутренней в стеке.
3. R1 знает точку назначения — IP-адрес удалённого PE-маршрутизатора — R6, выясняет транспортную метку и вставляет её в стек меток MPLS. Это будет внешняя — транспортная метка.
4. Пакет MPLS путешествует по сети оператора через P-маршрутизаторы. Транспортная метка меняется на новую на каждом узле, сервисная остаётся без изменений.
5. На предпоследнем маршрутизаторе снимается транспортная метка — происходит PHP. На R6 пакет приходит с одной сервисной VPN-меткой.
6. PE2, получив пакет, анализирует сервисную метку и определяет, в какой интерфейс нужно передать распакованный кадр.

Читайте также:  Самый компактный шрифт в word

Если вы читали предыдущий выпуск про L3VPN, то в вопросе передачи пользовательского трафика не увидите ничего нового — пара MPLS-меток и передача по транспортному LSP. Ingress PE проверяет какие метки поставить и в какой интерфейс отправить, P меняет транспортную метку, а Egress PE по метке VPN принимает решение, в какой AC-интерфейс передать полученный кадр.

VPWS Control Plane или работа служебных протоколов

Транспортная метка может назначаться как LDP (см. выпуск про MPLS), так и RSVP-TE (ещё ждёт своего часа).
Для примера, возьмём LDP — по всей сети запускается этот протокол, который для каждого Loopback-адреса каждого MPLS-маршрутизатора распространит по сети метки.
В нашем случае R1 после работы LDP будет, грубо говоря, знать 5 меток: как добраться до каждого из оставшихся маршрутизаторов.
Нас интересует LSP R1→R6 и обратно. Заметьте, что для того, чтобы VC перешёл в состояние UP, должны быть оба LSP — прямой и обратный.

Существует несколько разных способов реализации услуги VPWS. Об этом мы поговорим чуть ниже, а для примера разберём ту, которая наиболее часто сейчас используется.

За распространение сервисных меток отвечает тот же LDP, только генно-модифицированный — Targeted LDP. Теперь он может устанавливать соединение с удалёнными маршрутизаторами и обмениваться с ними метками.
В нашем примере к R1 и R6 подключены клиенты. R1 через LDP сообщит свою метку для этого клиента R6 и наоборот.

На обоих концах вручную мы настраиваем удалённую LDP-сессию. Она никак не привязана к VPN. То есть одна и та же сессия может использоваться для обмена метками любым количеством VPN.
Обычный LDP — это link-local протокол и ищет соседей среди непосредственно подключенных маршрутизаторов, то есть TTL его пакетов — 1. Однако tLDP достаточна IP-связность.

Как только с обеих сторон появятся AC-интерфейсы с одинаковым VC-ID, LDP поможет им сообщить друг другу метки.

В чём отличия tLDP от LDP?

LDP tTLDP
Соседями могут быть только непосредственно подключенные маршрутизаторы Соседом может быть любой маршрутизатор в сети, с которым есть IP-связность.
Поиск всех возможных соседей Соседи уже определены конфигурацией
Широковещательная рассылка сообщений Discovery Адресная отправка сообщения Discovery конкретным соседям.
В качестве FEC обычно выступает IP-адрес В качестве FEC обычно выступает VC ID

Чтобы сильно далеко не убегать, сразу же практика.

Как собрать лабу для MPLS L2VPN?

В качестве тестового стенда использована связка UnetLab + CSR1000V. И то и другое вы можете получить совершенно бесплатно и законно.
UnetLab OVA.
Cisco CSR1000V IOS-XE.
Инструкции по установке UNL и добавлению образов CSR1000V: Тыц.

Соответственно далее все команды по настройке MPLS L2VPN даны в нотации Cisco IOS-XE.

Внимание: для каждой ноды CSR1000V требуется 2,5 ГБ RAM. В противном случае образ либо не запустится, либо будут различные проблемы, вроде того, что порты не поднимаются или наблюдаются потери.

Практика VPWS

Упростим топологию до четырёх магистральных узлов. По клику можете открыть её в новой вкладке, чтобы смотреть на неё Alt+Tab"ом, а не ворочать страницу вверх-вниз.

Наша задача — прокинуть Ethernet от Linkmeup_R1 (порт Gi3) до Linkmeup_R4 (порт Gi3).

На шаге IP-адресация, IGP-маршрутизация и базовый MPLS уже настроены (см. как).

    Настраиваем xconnect на обоих концах на AC-интерфейсах (PE-CE), обращаем внимание, что VC-ID должен быть одинаковым. Linkmeup_R1(config)#interface Gi 3
    Linkmeup_R1(config-if)#xconnect 4.4.4.4 127 encapsulation mpls
    Linkmeup_R4(config)#interface Gi 3
    Linkmeup_R4(config-if)#xconnect 1.1.1.1 127 encapsulation mpls

Команда xconect 4.4.4.4 127 encapsulation mpls заставляет LDP поднять удалённую сессию с узлом 4.4.4.4 и создаёт MPLS PW с VC ID 127. Важно, чтобы VC ID совпадали на двух противоположных AC-интерфейсах — это указатель того, что их нужно срастить.

  • Профит.
  • Давайте проследим, что там происходило за кулисами протоколов (дамп снят с интерфейса GE1 Linkmeup_R1). Можно выделить основные вехи:

    0) IGP сошёлся, LDP определил соседей, поднял сессию и раздал транспортные метки.
    Как видите, Linkmeup_R4 выделил транспортную метку 19 для FEC 4.4.4.4.

    1) А вот tLDP начал свою работу.

    —А. Сначала мы настроили его на Linkmeup_R1 и tLDP начал периодически отправлять свой Hello на адрес 4.4.4.4

    Как видите, это юникастовый IP пакет, который отправляется с адреса Loopback-интерфейса 1.1.1.1 на адрес такого же Loopback удалённого PE — 4.4.4.4.
    Упакован в UDP и передаётся с одной меткой MPLS — транспортной — 19. Обратите внимание на приоритет — поле EXP — 6 — один из наивысших, поскольку это пакет служебного протокола. Подробнее мы об этом поговорим в выпуске о QoS.

    Состояние PW пока в DOWN, потому что с обратной стороны ничего нет.

    —Б. После того, как настроили xconnect на стороне Linkmeup_R4 — сразу Hello и установление соединения по TCP.

    В этот момент установлено LDP-соседство

    —В. Пошёл обмен метками:

    В самом низу можно видеть, что FEC в случае VPWS — это VC ID, который мы указали в команде xconnect — это идентификатор нашего VPN — 127.
    А чуть ниже выделенная ему Linkmeup_R4 метка — 0х16 или 22 в десятичной системе.
    То есть этим сообщением Linkmeup_R4 сообщил Linkmeup_R1, мол, если ты хочешь передать кадр в VPN с VCID 127, то используй сервисную метку 22.

    Тут же вы можете видеть ещё кучу других сообщений Label Mapping — это LDP делится всем, что нажил — информацией про все FEC. Нас это мало интересует, ну а Lilnkmeup_R1 и подавно.

    То же самое делает и Linkmeup_R1 — сообщает Linkmeup_R4 свою метку:

    После этого поднимаются VC и мы можем увидеть метки и текущие статусы:

    Команды show mpls l2transport vc detail и show l2vpn atom vc detail в целом идентичны для наших примеров.

    2) Далее соседи будут только поддерживать контакт:

    3) Теперь всё готово для передачи пользовательских данных. В этот момент мы запускаем ping. Всё предсказуемо просто: две метки, которые мы уже видели выше.

    Почему-то Wireshark не разобрал внутренности MPLS, но я вам покажу, как прочитать вложение:

    Два блока, выделенных, красным — это MAC-адреса. DMAC и SMAC соответственно. Жёлтый блок 0800 — поле Ethertype заголовка Ethernet — значит внутри IP.
    Далее чёрный блок 01 — поле Protocol заголовка IP — это номер протокола ICMP. И два зелёных блока — SIP и DIP соответственно.
    Теперь вы можете в Wireshark!

    Соответственно ICMP-Reply возвращается только с меткой VPN, потому что на Linkmeup_R2 возымел место PHP и транспортная метка была снята.

    Если VPWS — это просто провод, то он должен спокойно передать и кадр с меткой VLAN?
    Да, и нам для этого не придётся ничего перенастраивать.
    Вот пример кадра с меткой VLAN:

    Здесь вы видите Ethertype 8100 — 802.1q и метку VLAN 0x3F, или 63 в десятичной системе.

    Если мы перенесём конфигурацию xconnect на сабинтерфейс с указанием VLAN, то он будет терминировать данный VLAN и отправлять в PW кадр без заголовка 802.1q.

    Виды VPWS

    Рассмотренный пример — это EoMPLS (Ethernet over MPLS). Он является частью технологии PWE3, которая суть развитие VLL Martini Mode. И всё это вместе и есть VPWS. Тут главное не запутаться в определениях. Позвольте мне быть вашим проводником.
    Итак, VPWS — общее название решений для L2VPN вида точка-точка.
    PW — это виртуальный L2-канал, который лежит в основе любой технологии L2VPN и служит туннелем для передачи данных.
    VLL (Virtual Leased Line) — это уже технология, которая позволяет инкапсулировать кадры различных протоколов канального уровня в MPLS и передавать их через сеть провайдера.

    Выделяют следующие виды VLL:
    VLL CCCCircuit Cross Connect. В этом случает нет метки VPN, а транспортные назначаются вручную (статический LSP) на каждом узле, включая правила swap. То есть в стеке будет всегда только одна метка, а каждый такой LSP может нести трафик только одного VC. Ни разу не встречал его в жизни. Главное его достоинство — он может обеспечить связность двух узлов, подключенных к одному PE.

    VLL TCCTranslational Cross Connect. То же, что CCC, но позволяет с разных концов использовать разные протоколы канального уровня.
    Работает это только с IPv4. PE при получении удаляет заголовок канального уровня, а при передаче в AC-интерфейс вставляет новый.
    Интересно? Начните отсюда.

    VLL SVCStatic Virtual Circuit. Транспортный LSP строится обычными механизмами (LDP или RSVP-TE), а сервисная метка VPN назначается вручную. tLDP в этом случае не нужен. Не может обеспечить локальную связность (если два узла подключены к одному PE).

    Martini VLL — это примерно то, с чем мы имели дело выше. Транспортный LSP строится обычным образом, метки VPN распределяются tLDP. Красота! Не поддерживает локальную связность.

    Kompella VLL — Транспортный LSP обычным образом, для распределения меток VPN — BGP (как и полагается, с RD/RT). Уау! Поддерживает локальную связность. Ну и ладно.

    PWE3Pseudo Wire Emulation Edge to Edge. Строго говоря, область применения этой технология шире, чем только MPLS. Однако в современном мире в 100% случаев они работают в связке. Поэтому PWE3 можно рассматривать как аналог Martini VLL с расширенным функционалом — сигнализацией так же занимаются LDP+tLDP.
    Коротко его отличия от Martini VLL можно представить так:

    • Сообщает статус PW, используя сообщение LDP Notification.
    • Поддерживает Multi-Segment PW, когда end-to-end канал состоит из нескольких более мелких кусков. В этом случае один и тот же PW может стать сегментов для нескольких каналов.
    • Поддерживает TDM-интерфейсы.
    • Предоставляет механизм согласования фрагментации.
    • Другие.

    Сейчас PWE3 — стандарт де факто и именно он был в примере выше.

    Я тут везде говорю об Ethernet для того, чтобы показать наиболее наглядный пример. Всё, что касается других канальных протоколов, это, пожалуйста, на самостоятельное изучение.

    Ссылка на основную публикацию
    Как узнать номер телефона по скайпу человека
    Программой Skype пользуется около 500 миллионов человек по всему миру. При помощи утилиты можно передавать видеозаписи, документы, фотографии и другие...
    Как удалить linux с флешки
    Как это можно сделать безопасно, без потери данных в Ubuntu или в Windows? Olga Brykova Read more posts by this...
    Как удалить демо ролик с телевизора lg
    Многие владельцы Smart TV LG сталкиваются с проблемой заполнения памяти телевизора, возникающую при открытии интернет-страниц или онлайн-сервисов. Связана она с...
    Каналы l2 и l3 отличия
    Сети VPN на базе сети IP/MPLS разделяют на два широких класса - сети, которые работают на 3-м уровне, называемые Layer...
    Adblock detector