Построение сетей MPLS VPN
В настоящее время в области сетей MPLS VPN существуют два главных направления: BGP/MPLS VPN и VPN с виртуальными мар шрутизаторами на базе IP. Ядро сети строится на базовых маршру тизаторах MPLS, называемых внутренними маршрутизаторами провайдера P, и взаимодействует с пользователем VPN не напря мую, а посредством соединения между граничным устройством маршрутизации заказчика CE (Customer Edge router) и граничным устройством маршрутизации провайдера PE (Provider Edge router). CE могут быть статически подсоединены к PE провайдера через за крепленные каналы или могут использовать коммутируемые линии связи.
Оба метода MPLS VPN сходны в создаваемой провайдером ус луги VPN функциональности. В одном методе протокол BGP исполь зуется для создания специальных расширенных адресов при пере даче пакетов через ядро MPLS, а в другом VR хранят отдельные таб лицы путей MPLS для каждой VPN. Фактическая же реализация этих двух методов совершенно различна, а выбор метода — решение провайдера услуг VPN на основе возможностей оборудования, си туации с взаимодействием сетей и других факторов. Создана новая рабочая группа IETF, названная Provider Provisioned VPNs (PPVPNs), которая разрабатывает структуру и соответствующие специфика ции для этих двух типов сетей VPN.
Модель MPLS/BGP VPN базируется на расширениях протоко ла маршрутизации внешнего шлюза BGP, называемых многопрото кольными расширениями BGP и касающихся специальных расши ренных адресов. Эти адреса используются для обмена информаци ей о доступности между маршрутизаторами PE только между члена ми одной и той же VPN. Каждый маршрутизатор PE в MPLS/BGP VPN поддерживает отдельную таблицу маршрутизации VRF (VPN Routing and Forwarding table). Такая таблица поддерживается для каждого сайта, подключенного к РЕ маршрутизатору.
Если IP адрес пакета указывает на то, что его надо передать в сайт А, его ищут в таблице (forwarding table) сайта А только в том слу чае, когда пакет прибывает из сайта, ассоциированного с таблицей сайта А. Если сайт связан с несколькими сетями VPN, его таблица VRF может включать данные о маршрутах всех этих сетей. К приме ру, сайт СЕ1 принадлежит сети VPNA и VPNB. В этом случае табли ца VRF устройства РЕ1, к которому подсоединён CE1, будет содер жать информацию о маршрутах сети VPNA и VPNB. Другими слова ми на устройстве РЕ1 не будет двух отдельных таблиц VRF.
Таблицы VRF на устройствах РЕ используются только для пакетов, поступающих из сайта, напрямую подключенного к данному уст ройству РЕ. Они не используются для маршрутизации пакетов, по ступающих с других маршрутизаторов, установленных в магистра ли сервис провайдера. В результате к одному и тому же адресу в се ти могут вести несколько маршрутов, потому что маршрут для пере дачи каждого пакета определяется в точке, через которую пакет по падает в магистраль. Данная модель позволяет использовать пере крытие пространств частных IP адресаций разных предприятий. Ос новная цель этого типа реализации MPLS VPN — позволить провай деру обеспечить создать требуемую заказчику конфигурацию VPN. Заказчиком в данном случае может быть предприятие, группа пред приятий, которым нужна "Экстранет", другой сервис провайдер или даже другой провайдер VPN, который может использовать это MPLS приложение с целью построить сеть VPN своим собственным клиентам
Существует и другая модель организации MPLS VPN на 3 уров не. Она базируется на принципе образования виртуальных марш рутизаторов. Эта модель не будет рассматриваться из за малой распространённости. Сегодня если речь идёт о MPLS VPN L3, то по нимается MPLS/BGP VPN.
ДВ общем случае у клиента может быть несколько территориаль но обособленных IP сетей, каждая из которых, в свою очередь, мо жет включать несколько подсетей, связанных маршрутизаторами. Такие территориально изолированные сетевые элементы корпора тивной сети принято называть сайтами. Принадлежащие одному клиенту сайты обмениваются IP пакетами через сеть провайдера и образуют виртуальную частную сеть этого клиента. Rаждый сайт имеет один или несколько граничных пользовательских маршрути заторов CE (рис.1), соединённых с одним или более граничными провайдеровскими маршрутизаторами PE посредством каналов PPP, ATM, Ethernet, Frame Relay и т.п. CE маршрутизаторы различных сайтов не обмениваются маршрутной информацией непосредст венно и даже могут не знать друг о друге.
Рисунок 1 - Модель сети MPLS VPN.
Адресные пространства подсетей, входящих в состав VPN могут перекрываться, т.е. уникальность адресов должна соблюдаться толь ко в пределах конкретной подсети. Этого удается добиться преобра зованием IP адреса в VPN IP адрес и использованием протокола MP BGP для работы с этими адресами.
Каждый PE маршрутизатор должен поддерживать столько таб лиц маршрутизации, сколько сайтов пользователей к нему подсое динено, то есть на одном физическом маршрутизаторе организует ся несколько виртуальных. Причём маршрутная информация, каса ющаяся конкретной VPN, содержится только в PE маршрутизато рах, к которым подсоединены сайты данной VPN.
Таким образом, решается проблема масштабирования, неиз бежно возникающая в случае наличия этой информации во всех маршрутизаторах сети оператора. Считается, что CE маршрутиза тор относится к одному сайту, но сам сайт может принадлежать к не скольким VPN. К PE маршрутизатору может быть подключено не сколько CE маршрутизаторов, находящихся в разных сайтах и даже относящихся к разным VPN.
Реализация VPN MPLS
На рис. 2 представлен фрагмент сети VPN MPLS. Данная сеть объединяет несколько удаленных пользователей и сайтов клиентов через сеть провайдера MPLS.
Рисунок 2 - VPN на базе технологии MPLS.
Таким образом, на рисунке представлены две VPN: предприятия А, включающая три сайта и удаленных пользователей? и предприя тия В, включающая два территориально распределенных филиала.
В VPN MPLS имеют место два основных потока трафика:
В свою очередь поток управления состоит из двух субпотоков:
Обмен маршрутной информацией
Механизмом, с помощью которого сайты одной VPN обменива ются маршрутной информацией, служит многопротокольное рас ширение протокола BGP — MultiProtocol Border Gateway Protocol. С помощью этого протокола пограничные маршрутизаторы PE орга низуют взаимные сеансы и в рамках этих сеансов обмениваются маршрутной информацией из своих таблиц маршрутизации VRF, та ким образом, работа многих частных виртуальных сетей практичес ки не зависит от технологии, применяемой в сети (за исключением механизма составления таблиц маршрутизации VRF).
Особенность протокола BGP и его расширений заключается в том, что он получает и передает свои маршрутные объявления не всем непосредственно связанным с ним маршрутизаторам, как про токолы IGP, а только тем, которые указаны в конфигурационных па раметрах в качестве соседей. Независимость адресных прост ранств VPN обеспечивается за счет применения разделителя марш рутов RD, при помощи которого IPv4 (в последнее время IPv6) адре са преобразуются в VPN IPv4 (или VPN IPv6) адреса. РЕ маршрути затор должен уметь соотносить маршруты, ведущие к конкретным маршрутизаторам СЕ с определенным разделителем RD.
Маршрутизатор РЕ может быть сконфигурирован таким обра зом, чтобы соотносить все маршруты, ведущие к одному СЕ с одним RD или соотносить разные маршруты с разными RD, ведущими к од ному СЕ. Таким образом, применение RD позволило решить задачу установления различных маршрутов к устройствам, имеющим один и тот же IP адрес, но принадлежащих разным VPN. Вопрос о том, ко му отправлять маршрутные объявления, а кому нет, зависит от топо логии виртуальной сети. Таким образом, кроме маршрутов, посту пающих от непосредственно подсоединенных к PE сайтов, каждая таблица VRF дополняется маршрутами, получаемыми от других сай тов данной VPN по протоколу MP BGP. Перед тем, как распростра нять маршрутные объявления, полученные от сайта, РЕ должен при своить маршрутам атрибуты Site of Origin, VPN of Origin, Target VPN.
Атрибут Site of Origin (атрибут сайт источник) уникальным обра зом идентифицирует сайт, от которого PE маршрутизатор получил информацию о данном маршруте. Все маршруты, полученные от конкретного сайта должны быть ассоциированы с конкретным зна чением этого атрибута, даже если сайт имеет несколько соединений с одним PE или соединён с несколькими PE. Для разных сайтов долж ны использоваться разные атрибуты Site of Origin.
Маршрут VPN IPv4 может быть опционально ассоциирован с атрибутом VPN источника (VPN of Origin). Этот атрибут однозначно идентифицирует группу сайтов и соответствующий маршрут, объяв ленный одним из маршрутизаторов, находящихся в этих сайтах. В качестве одного из применений данного атрибута может быть иден тификация предприятия, владеющего сайтом, к которому ведёт мар шрут или сети Intranet, к которой он принадлежит.
Каждой ассоциированной таблице маршрутизации в PE марш рутизаторах присваивается один или несколько атрибутов целевой Рис. 2. VPN на базе технологии MPLS Спецвыпуск T Comm, июнь 2009 59 ТЕХНОЛОГИИ ИНФОРМАЦИОННОГО ОБЩЕСТВА VPN (Target VPN). Когда PE маршрутизатором создаётся маршрут VPN IPv4, он ассоциируется с одним или более атрибутами Target VPN. Они переносятся протоколом BGP как атрибуты маршрута. Каждый маршрут, ассоциированный с Target VPN "Т", должен быть объявлен всем PE маршрутизаторам, имеющим таблицу маршрути зации, ассоциированную с Target VPN "Т". Когда такой маршрут при нимается PE маршрутизатором, он имеет право быть включенным в любую из ассоциированных таблиц маршрутизации, имеющих ат рибут Target VPN "T".
Для обмена маршрутной информацией между СЕ и РЕ сущест вует несколько способов (статическая маршрутизация, протоколы IGP, EBGP). Возможность применения той или иной технологии об мена маршрутной информацией между PE и CE зависит от того, при надлежит ли CE к "транзитной VPN" или нет.
Сайты виртуальной сети могут принадлежать как одной, так и находится в разных автономных зонах. В первом случае обмен мар шрутной информацией производится по протоколу IBGP. Если же сайты находятся в разных AS, то по протоколу IBGP реализуется об мен информацией до граничного маршрутизатора ASBR, а затем этот маршрутизатор должен будет передавать маршрутные объяв ления ASBR, находящемуся в другой автономной зоне по протоколу EBGP.
Установление LSP туннеля
Для передачи трафика по сети MPLS следует установить LSP тракт между маршрутизаторами PE. Пути LSP могут быть проложены через сеть поставщика услуг двумя способами: либо с применением технологии ускоренной маршрутизации (IGP) с помощью протоко лов LDP, либо на основе технологии Traffic Engineering (ТЕ) с помощью протоколов RSVP TE или CR-LDP.
Прокладка LSP означает создание таблиц коммутации меток на всех маршрутизаторах PE и P, образующих данный LSP. На каждый подключенный сайт РЕ маршрутизатор поддерживает по одной таб лице маршрутизации. Эти таблицы используются маршрутизатора ми только при получении пакетов от присоединенных к данным РЕ сайтам. После того, как маршрутизатор СЕ назначит маршрут, свя занный с ним маршрутизатор магистральной сети провайдера про писывает локальный путь в своей базе LIB, а затем выбирает из сво ей базы метку для объявления ее вместе с маршрутом. В одной сис теме может существовать несколько путей, которые зависят от пере дающего информационный трафик сайта.
В совокупности эти таблицы задают множество путей для разных видов трафика клиентов. В VPN применяется различная топология связей: полносвязная, "звезда" и др.
Для корректной работы VPN требуется, чтобы информация о маршрутах через магистральную сеть провайдера не распростра нялась за ее пределы, а сведения о маршрутах в клиентских сайтах не становились известными за границами определенных VPN.
Барьеры на пути распространения маршрутных объявлений мо гут устанавливаться соответствующим конфигурированием марш рутизаторов. Протокол маршрутизации должен быть оповещен о том, с каких интерфейсов и от кого он имеет право принимать объ явления определенного сорта и на какие интерфейсы и кому их рас пространять.
Роль таких барьеров в сети MPLS VPN играют пограничные мар шрутизаторы PE. Можно представить, что через маршрутизатор PE проходит невидимая граница между зоной клиентских сайтов и зо ной ядра сети провайдера. По одну сторону располагаются интер фейсы, через которые PE взаимодействует с маршрутизаторами P, а по другую — интерфейсы, к которым подключаются сайты клиентов. С одной стороны на PE поступают объявления о маршрутах магист ральной сети, с другой стороны — объявления о маршрутах в сетях клиентов.
В результате на всех маршрутизаторах PE и P создается по таб лице маршрутизации, где содержатся все маршруты в пределах вну тренней сети провайдера.
Как уже говорилось выше, для организации работы нескольких VPN между собой следует установить LSP тракт между маршрутиза торами PE, поэтому задачу проектирования работы многих частных виртуальных сетей в сети MPLS можно рассматривать с точки зрения организации TE туннелей. При этом TE туннели имеют несомненные достоинства — могут совмещать преимущества LSP туннелей, средств поддержания QoS и управления полосой пропускания, что важно при предоставлении широкополосных услуг связи.