litceysel.ru
добавить свой файл
1
Лекция 34. Организация VPN на базе MPLS


1. Классификация виртуальных сетей.

2. Архитектура MPLS VPN

3. Независимость адресных пространств. Использование Route Distinguisher в MPLS VPN

4. Использование атрибута маршрутная цель Route Targets в сетях MPLS VPN

5. Требования к маршрутизации MPLS VPN

6. Распространение VPN -метки


1. Классификация виртуальных сетей.


Виртуальная сеть [virtual network perimeter] —защищаемая сеть, которая разбита на несколько сегментов, связанных в единую систему защищенными каналами через ненадежные сети.

Существует несколько концепций реализации виртуальных сетей

1^ . Виртуальная локальная сет. Виртуальной локальной сетью (Virtual LAN, VLAN) называется группа узлов сети, трафик которой, в том числе широковещательный, на канальном уровне полностью изолирован от трафика других узлов сети.

2. ^ Виртуальные частные сети удаленного доступа. Пользователи получают удаленный доступ к своим корпоративным сетям через службы открытой коммутируемой телефонной сети (Public Switched Telephone Network —- PSTN) или через службы ISDN. Службы виртуальной частной сети удаленного доступа (Virtual Private Dialup Network — VPDN) реализуются главным образом по частной IP-магистрали провайдера. Для реализации служб VPDN по IP-сети используются такие протоколы, как протокол пересылки 2-го уровня (Layer 2 Forwarding — L2F) и протокол туннельного соединения 2-го уровня (Layer 2 Tunneling Protocol — L2TP).

^ Технология виртуальных частных сетей (VPN) - это набор решений, задачей которых является создание защищенной частной сети поверх небезопасной инфраструктуры публичной сети. VPN использует технику туннелирования совместно с криптографическими алгоритмами, для обеспечения конфиденциальности, целостности и аутентичности при передаче данных по сети. Типичная VPN сеть может выглядеть следующим образом:



Для реализации VPN необходимы следующие компоненты:

Существующая сетевая инфраструктура

Соединение с публичной сетью, например Интернет

VPN-шлюз, как сетевое устройство (например маршрутизатор, с поддержкой технологии VPN) выполняющее роль конечной точки (endpoint) для установки, управления и контроля VPN подключений.

ПО для создания и управления туннелями


^ Модели реализации VPN

В процессе эволюции технологии VPN возникло две основные модели применения этой технологии: покрывающий или оверлейный VPN (overlay VPN) и одноранговый VPN (peer-to-peer VPN).

^ Overlay VPNs включают в себя такие технологии, как X.25, Frame Relay, ATM для второго уровня VPN Overlay, и Generic Routing Encapsulation (GRE) и IPsec для третьего уровня Overlay VPN. Используя overlay VPN (overlay – «наложение»), SP предоставляет услуги виртуального соединения "точка-точка" между сайтами клиентов

^ Peer-to-peer VPNs: реализуются посредством комбинации списков доступа, протоколов маршрутизации и процессов, путем использования отдельных маршрутизаторов для каждой пользовательской VPN-сети или путем применения технологии MPLS VPN.

На рисунке показаны некоторые ключевые реализации VPN технологии, подчеркнуты две основные VPN модели, overlay и peer-to-peer.




^ Оверлейная модель Overlay VPN — Уровни 1, 2, и 3

Overlay VPN Уровня 1: Overlay VPN модель Уровня 1 упоминается только по историческим причинам. Эта реализация использует технологию мультиплексирования с разделением по времени (TDM).

Сеть TDM представляет собой простейший пример виртуальной частной сети, предоставляющей пользователям фиксированную полосу пропускания высокого качества. Большинство операторов связи с помощью технологий, таких как ISDN, предоставляют пользователям полосу пропускания, кратную 64 Кбит/с (полоса пропускания одного канала DS0).

Клиент реализует все высшие уровни, такие как PPP, High-Level Data Link Control (HDLC) и IP.

Overlay VPN Уровня 2: Модель уровня 2 является традиционной коммутируемой WAN, а также основой для традиционных реализаций VPN. Overlay VPN Уровня 2 реализуется с помощью технологий, включая X.25, Frame Relay, ATM, и Switched Multimegabit Data Service (SMDS) (коммутируемые мультимегабитные службы данных). Используя модель Overlay уровня 2, SP предоставляют пользователям виртуальные каналы (VC) между сайтами клиентов в качестве замены каналам «точка-точка». SP несет ответственность за передачу кадров уровня 2 между сайтами, а клиент ответственен за все высшие уровни.

На рисунке показан пример создания Overlay VPN Уровня 2 с помощью Frame Relay. На этом примере, показано подключение трех удаленных сайтов B, C, D к сайту А (центральный сайт, или концентратор) путем предоставления трех постоянных виртуальных каналов (PVC) по сети Frame Relay.



Overlay VPN Уровня 3: Рисунок иллюстрирует реализацию Overlay VPN Уровня 3. С точки зрения Уровня 3, сеть SP невидима клиентским маршрутизаторам, которые связаны эмулированными соединениями «точка-точка».



IP-туннелирование позволяет достигать адресата без источника информации об особенностях топологии. Таким образом, виртуальные сети могут быть созданы с помощью связывания несвязанных устройств (по крайней мере, в косвенном смысле они не связаны), или хостов вместе через туннель. Туннели также позволяют использовать частную сетевую адресацию без необходимости преобразования сетевых адресов (NAT). Модель Уровня 3 устанавливает туннели с GRE или IPsec.


^ Peer-to-Peer VPN.

Наиболее существенным недостатком модели overlay VPN уровня 2 является необходимость для клиентов устанавливать соединения "точка-точка" или виртуальные каналы между сайтами.

Формула для подсчета количества соединений «точка-точка» или виртуальных каналов, которые потребуются имеет вид:

([n]*[n-1])/2,

где n – количество сайтов, которые должны быть подключены. Например, если требуется иметь полное сетевое соединение четырех сайтов, вам понадобиться шесть (4*[4-1]/2) соединений «точка-точка» или виртуальных каналов. Чтобы преодолеть этот недостаток и обеспечить клиенту оптимальные передачи данных через сеть SP, Cisco представила peer-to-peer VPN концепцию. В этой концепции, SP активно участвует в клиентской маршрутизации. SP принимает маршруты клиентов, передает их через сеть SP, и, наконец, распространяет маршруты на другие клиентские сайты.

Peer-to-peer модель является простой схемой маршрутизации для клиента. И SP, и клиентские сети используют один и тот же сетевой протокол, и ядро SP хранит все клиентские маршруты. Крайние маршрутизаторы провайдера (PE) осуществляют обмен маршрутной информацией с клиентскими крайними маршрутизаторами (CE) , и CE и PE роутеры на каждой стороне устанавливают маршрутизацию (Уровня 3) между собой.

Виртуальные каналы через корень SP больше не требуются для достижения оптимальной маршрутизации. Поскольку не существует наложения сетки, с которым нужно бороться, легко добавить новые сайты, и мощность цепи не создаст проблем. Поскольку SP сейчас участвует в маршрутизации клиента, то адресное пространство провайдера, или общественное, должно быть развернуто в сети клиента, поэтому частная адресация уже не применима.

Рисунок показывает пример peer-to-peer-маршрутизации.



Каждая VPN модель имеет преимущества и недостатки.

Рисунок показывает преимущества и недостатки overlay VPN:



  • Два преимущества overlay VPN:

    • Overlay VPN хорошо известны, и их легко осуществить с точки зрения клиента и SP.

    • SP не участвует в маршрутизации клиентов, что позволяет легче преодолевать различия между задачами клиента и SP.

  • Три недостатка overlay VPN:

    • Overlay VPN уровня 2 требуют полной сетки виртуальных каналов между клиентскими сайтами, чтобы обеспечить оптимальную межсайтовую маршрутизацию.

    • Все виртуальные каналы между клиентскими сайтами должны быть подготовлены вручную, и пропускная способность должна быть предоставлена не менее основной пропускной способности «сайт-сайт» (что не всегда легко достичь).

    • Реализация IP-основанного overlay VPN Уровня 3 (с IPsec или GRE) несет за собой высокие чрезмерные расходы – от 20 до 80 байтов за каждое переданное однопакетное сообщение.

Рисунок показывает преимущества и недостатки peer-to-peer VPN:



  • Два преимущества peer-to-peer VPN:

    • Оптимальная маршрутизация между клиентскими сайтами без какого-либо специального устройства и работ по настройке.

    • Легкое резервирование дополнительных VPN или клиентских сайтов из-за того, что SP резервирует только индивидуальные сайты, а не связи между отдельными клиентскими сайтами.

  • Основные недостатки peer-to-peer VPN возникают из-за участия SP в клиентской маршрутизации:

    • SP становится ответственным за правильную клиентскую маршрутизацию и за быструю конвергенцию клиентской сети (C-network) в случае отказа канала.

    • PE маршрутизаторы SP должны хранить все клиентские маршруты, которые были спрятаны от SP в модели overlay VPN.

^ Недостатки необслуживания в Peer-to-Peer VPN, касающиеся провайдера.

В дополнение к недостаткам, связанным с SP, peer-to-peer VPN имеет другие общие недостатки, показанные на рисунке .



Клиенты должны делить глобальное адресное пространство, используя их собственные публичные IP адреса, или опираясь на IP, закрепленные за провайдером. В любом случае, подключение нового клиента к peer-to-peer VPN обычно требует IP перенумерации внутри сети клиента. Эту операцию большинство клиентов не хотят выполнять.

Peer-to-peer VPN, которые основаны на пакетных фильтрах, также требуют больших операционных расходов. Эти расходы связаны с обслуживанием фильтров и снижением производительности. Упомянем, что Peer-to-peer VPN, которые реализуются с PE маршрутизаторами на стороне клиента, проще в обслуживании и могут обеспечить оптимальную эффективность маршрутизации. В любом случае, они обычно более дорогостоящи, потому как каждый клиент требует определенный маршрут в каждой точке присутствия (POP). Таким образом, этот подход обычно используется, если SP имеет лишь небольшое число крупных клиентов.


Архитектура

2. Архитектура MPLS VPN



Customer network (С-network): сеть клиента

Customer edge (CE) device: устройство в C-сети, которое подключено к P-сети; также называется customer premises equipment (CPE)

Provider network (P-network): инфраструктура сервис-провайдера, предоставляющая VPN-сервисы

^ Provider edge (PE) device: устройство в P-сети, к которому подключено CE-устройство

Provider (P) device: устройство в P- сети, к которому НЕ подключены пользователи

Смежные части С-сети называют сайтами , и они связаны с P-сетью с помощью маршрутизаторов CE (Клиент А Сайт 2, клиент А Сайт 3 и т.д). CE роутеры соединяются с PE роутерами, которые являются граничными устройствами Р-сети.


^ Архитектура РЕ-маршрутизатора



Для каждого клиента на РЕ-маршрутизаторе создается независимая таблица маршрутизации, называемая виртуальной таблицей маршрутизации и пересылки (virtual routing and forwarding, VRF).Эта таблица маршрутизации соответствует таблице маршрутизации выделенного PE маршрутизатора в традиционной модели peer-to-peer.

Распространение маршрутной информации через P-сеть

Хотя VRFs обеспечивают изоляцию между клиентами, данные из этих таблиц маршрутизации все же нуждаются в обмене между PE маршрутизаторами чтобы позволить передачу данных между сайтами, которые присоединены к различным PE маршрутизаторам. Таким образом, нужно выбрать протокол маршрутизации, который будет передавать все маршруты клиентов по Р-сети, пока поддерживается независимость отдельных адресных пространствах клиента.









BGP используется для обмена клиентскими маршрутами напрямую между РЕ маршрутизаторами


^ 3. Независимость адресных пространств

Если некоторое множество узлов никогда ни при каких условиях не получает маршрутную информацию от другого множества узлов, то адресация узлов в пределах каждого из этих множеств может выполняться независимо.

Ограничение области распространения маршрутной информации пределами отдельных сетей VPN изолирует адресные пространства каждой сети VPN, позволяя применять и ее пределах как публичные адреса Интернета, так и частные адреса, зарезервированные в соответствии со спецификацией RFC 1819.

Почему же в таком случае не сделать выбор адресов в пределах VPN совершенно произвольным и ограниченным только общими правилами адресации стека TCP/IP? Дело в том, что во многих случаях клиенты не хотят полной изоляции VPN: в частности, они нуждаются в выходе в Интернет. Независимое же (не согласованное с регламентирующими органами Интернета) назначение адресов узлам VPN может привести к совпадению внутренних адресов сайтов с уже использованными в Интернете публичными адресами, в результате чего связь с Интернетом станет невозможной. При применении зарезервированных частных адресок проблема связи клиентов VPN с внешним миром решается с помощью стандартной техники трансляции адресов (NAT). В любом случае должно соблюдаться требование уникальности адресов в пределах VPN.

Однако использование в разных сетях VPN одного и того же адресного пространства создает проблему для маршрутизаторов РЕ. Протокол BGP изначально был разработан в предположении, что все адреса, которыми он манипулирует, во-первых, относятся к семейству адресов IPv4 и, во-вторых, однозначно идентифицируют узлы сети, то есть являются глобально уникальными в пределах всей составной сети. Ориентация на глобальную уникальность адресов выражается в том, что, получив очередное маршрутное объявление, протокол BGP анализирует его, не обращая внимания на то, какой сети VPN принадлежит этот маршрут. Если на вход BGP поступают описания маршрутов к узлам разных сетей VPN, но с совпадающими адресами IPv4, то протокол BGP считает, что все они ведут к одному и тому же узлу, а, следовательно, как и предусмотрено к алгоритме его работы, он помещает в соответствующую таблицу VRF только один лучший (в соответствии с правилами выбора BGP) маршрут.

Эта проблема была решена в MPLS VPN применением вместо потенциально неоднозначных адресов IPv4 расширенных и однозначных адресов нового типа, а именно адресов VPN-IPv4, получаемых путем преобразования исходных адресов IPv4. Преобразование заключается в том, что ко всем адресам IPv4, составляющим адресное пространство той или иной сети VPN, добавляется префикс, называемый различителен маршрутов (Route Distinguisher, RD), который уникально идентифицирует эту сеть. В результате на маршрутизаторе РЕ все адреса, относящиеся к разным сетям VPN, обязательно будут отличаться друг от друга, даже если они имеют совпадающую часть — адрес IPv4.



Таким образом:

  • 64-битный RD предшествует адресу IPv4, что делает адрес глобально уникальным.

  • Результирующий адрес называется VPNv4 адрес.

  • VPNv4 адреса передаются между PE-маршрутизаторами с помощью BGP.

Протокол BGP, который кроме IPv4 поддерживает другие способы адресации, многопротокольным multiprotocol BGP (MPBGP).



Протокол MP-BGP способен переносить в маршрутных объявлениях адреса разных типов, и том числе IPv6, IPX, а главное, — VPN-IPv4. Адреса VPN-IPv4 используются только для маршрутов, которыми маршрутизаторы РЕ обмениваются по протоколу BGP. Прежде чем передать своему напарнику некоторый маршрут, входной маршрутизатор РЕ добавляет к его адресу назначения IPv4 префикс RD для данной VPN, тем самым преобразуя его в адрес VPN-IPv4.

Как уже было отмечено, префиксы RD должны гарантированно уникально идентифицировать VPN. чтобы избежать дублирования адресов. Упростить выбор RD, не создавая для этих целей дополнительных централизованных процедур (например, распределения RD органами Интернета подобно распределению адресов IPv4), предлагается за счет использования в качестве основы для RD заведомо уникальных чисел — либо номеров автономных систем, либо глобальных адресов интерфейсов РЕ со стороны магистральной сети поставщика.

RD имеет длину 8 байт и состоит из трех полей.

□ Первое поле типа длиной 2 байт определяет тин и разрядность второго поля.

□ Второе поле называется полем администратора и однозначно идентифицирует поставщика.

Значение 0 в поле типа говорит о том, что в поле администратора указан IP-адрес интерфейса маршрутизатора РЕ, и длина данного поля составляет, естественно, 4 байт. Если же значение поля типа равно 1, то в качестве идентификатора поставщика выбрано значение номера его автономной системы, так что длина ноля администратора составит уже 2 байт.

Третье поле носит название поля назначенного номера, оно служит для обеспечения уникальности адресов VPN в пределах сети поставщика. Назначенные номера выбирает сам поставщик, это могут быть произвольные числа, главное, чтобы существовало однозначное соответствие между ними и VPN поставщика.


^ Использование Route Distinguisher в MPLS VPN

VPNv4 адреса передаются только между PE маршрутизаторами; адреса VPNv4 никогда не используются между CE и PE маршрутизаторами. Сессии BGP между PE маршрутизаторами должны, следовательно, поддерживать обмен традиционных префиксов IPv4 и обмен VPNv4 префиксов. На рисунке 2 показаны первые три шага для распространения маршрута клиента через сеть MPLS VPN:




Шаг 1. CE маршрутизатор посылает IPv4 маршрутную информацию РЕ маршрутизатора.

Шаг 2. PE маршрутизатор добавляет 64-битный RD к IPv4, в результате чего получается глобально уникальный префикс 96-битный VPN-IPv4.

Шаг 3. VPN-IPv4 префикс распространяется через сессию MPBGP к другому PE маршрутизатору.

На рисунке 3 показаны следующие два шага:

Шаг 4. RD удаляется из VPNv4 prefix, в результате получаем 32-bit IPv4 prefix.

Шаг 5. PE маршрутизатор посылает полученный IPv4 префикс к CE маршрутизатору.

Рисунок 3




Использование RD в MPLS VPN

  • RD не имеет специальных значений

  • RD используется только чтобы делать потенциально перекрывающиеся адреса глобально уникальными.

  • Этот дизайн не способен поддерживать все топологии, которые требуются клиентом.

^ RD настроен на PE маршрутизаторе как часть настройки участка VPN. RD не настроен на CE и не виден клиенту.

Простые топологии VPN требуют только один RD для каждого клиента. Это требование позволяет RD обслуживать в качестве VPN-идентификатора. Этот проект, однако, не позволил бы реализовать более сложные топологии VPN, например, когда клиент участка принадлежит нескольким VPN.


VoIP службы в VPN среде.

Чтобы проиллюстрировать необходимость более универсального индикатора, чем VPN РД, рассмотрим службы VoIP. Рисунок 5 иллюстрирует необходимость более универсального индикатора, чем VPN RD.



Есть два требования подключения службы VoIP:

  • все сайты одного клиента нуждаются в связи.

  • центральные сайты различных клиентов, которые подписались на VoIP-сервис нуждаются в связи с шлюзами VoIP, чтобы осуществлять и принимать звонки в голосовой сети общего пользования. Сайты также нуждаются в связи с другими центральными сайтами для обмена голосовыми звонками между компаниями.

  • ^ Другие участки различных клиентов не соединяются друг с другом.

Требования к подключению

На рисунке 6 показано требования подключения службы VoIP.



^ Для осуществления желаемого подключения необходимо три VPN: два VPN клиента (клиент A и клиент B) и общий(разделенный на всех, поделенный) VoIP VPN. Эти участки связаны следующим образом:

  • Центральный сайт А относится к клиенту А VPN и к VoIP VPN.

  • Центральный сайт В относится к клиенту В VPN и к VoIP VPN.

  • Сайты А-1 и А-2 относятся к клиенту VPN А.

  • Сайты В-1 и В-2 относятся к клиенту VPN В.


4. Использование атрибута маршрутная цель Route Targets в сетях MPLS VPN


На рисунке 1 показан упрощенный вид типичной крупной сети предприятия. В этом случае есть пять участков клиента, которые связаны с помощью трех VPN. Виртуальные частные сети могут связаться со следующими участками:

^ VPN1 с участками 2 и 4;

VPN2 с участками с 1, 3 и 4;

VPN3 с участками 1,3, и 5;

Каждый VPN содержит устройства клиента, подключенные к CE маршрутизаторам. Эти устройства используют виртуальные частные сети для обмена информацией между устройствами. Только PE маршрутизаторы «знают» о VPN.



Каждая VPN-сеть логически связана с одним или более комплексов маршрутизации и пересылки (VPN Routing and Forwarding instance — VRF). Комплекс VRF определяет членство в VPN-сети узла пользователя, подсоединенного к РЕ-маршругизатору. Экземпляр VRF состоит из таблицы IP-маршрутизации, полученной из нее таблицы экспресс-коммутации корпорации Cisco (Cisco Express Forwarding — CEF), набора интерфейсов использующих такую таблицу, и набора правил и параметров протокола маршрутизации, управляющих информацией таблицы маршрутизации.

Между узлами пользователя и VPN-сетями не обязательно существует однозначное соответствие. Как показано на рис. выше, узел может одновременно принадлежать к нескольким VPN-сетям. Однако комплекс VRF может задавать только одну сеть VPN. VRF-комплекс узла пользователя содержит все маршруты, доступные этому узлу из VPN-сетей, членом которых он является.

На данный момент, вы можете спросить, поскольку не существует взаимно однозначного соответствия между VPN и VRF, каким образом маршрутизатор знает, какие маршруты должны быть вставлены в какой VRF?

^ Введение дополнительного атрибута маршрутная цель Route target (RT), решает эту проблему





Как работает RT?




5. Требования к маршрутизации MPLS VPN

Customer routers (CE routers) должен работать под управлением стандартной IP-маршрутизации.

Provider core routers (P routers) не имеет VPN маршрутов.

Provider edge routers (PE routers) должен поддерживатьMPLS VPN и Internet маршрутизацию.

С точки зрения маршрутизатора CE, магистраль MPLS VPN должна выглядеть как стандартная корпоративная магистраль для CE-маршрутизаторов, а. PE-маршрутизатор как обычный маршрутизатор в C-сети.


Маршрутизация на CE маршрутизаторе



MPLS VPN маршрутизация с позиции СЕ




MPLS VPN маршрутизация с позиции P




MPLS VPN маршрутизация с позиции PЕ



PE :

Обменивается VPN маршрутами с CE через per-VRF протокол маршрутизации

Обменивается магистральными маршрутами с P и PE через глобальный IGP

Обменивается VPNv4 маршрутами с PE через MP- BGP


Internet маршрутизация




PE может работать с BGP протоколом в глобальной таблице маршрутизации храня там IPv4:

PE обменивается Internet маршрутами с другим пограничным PE.

CEне участвуют в Internet маршрутизации.

P нет необходимости участвовать в Internet маршрутизации.

^ Таблица маршрутизации на PE

















6. Распространение VPN -метки