Главная страница  Развитие телекоммуникационных сетей 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 [ 19 ] 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99

[хрУ IP21K I IP 114

IP 144


Входной LER

Транзитный LSR

Транзитный LSR

Таблица

Таблица

Таблица

Bx. Вых. a.IP-G C.21

Bx. Вых. a.21 d.l4

Bx. Вых. b.l4 S.44

Выходной LER

Таблица

Bx. Вых. b.44 d.IP-G

Рис. 4,6. Замена меток и пересылка


LER С получает 1Р-дейтаграмму, предназначенную для узла G, от узла А по интерфейсу а. LER С анализирует поля FEC, связывает FEC с меткой 21, вставляет дейтаграмму IP после заголовка метки и посылает пакет по выходному интерфейсу с. С учетом выходной строки в таблице NHLFE, LER С помещает метку 21 в заголовок метки в пакете. Производимая операция в LER С называется eeodoM метки. Теперь LSR D и Е обрабатывают только заголовок метки. Их таблицы замены меток используются (в LSR D) для замены метки 21 на метку 14, и для замены метки 14 на метку 44 (LSR Е). Заметим, что данные таблицы используют входные и выходные интерфейсы на каждом LSR для связи меток с входными и выходными линиями передачи. Выходной LER F настроен так, что он распознает метку 44 по интерфейсу b как свою собственную метку. Далее выходная строка в таблице F указывает LER F послать дейтаграмму к G по интерфейсу d, что предполагает удаление метки из пакета.

Такое удаление метки является частью операции под названием вывод (выталкивание) метки.

4.4, Виртуальные частные сети MPLS (VPN MPLS)

VPN служит для организации прямого, безопасного соединения через общедоступный Интернет между клиентами (обычно конечным пользователем и корпоративным офисом) или между двумя ЛВС. Благодаря VPN удаленные пользователи могут обращаться к серверам предприятия и связываться с различными офисами своей компании. VPN может применяться как базовая архитектура обеспечения безопасности для экстрасети.

Для VPN не нужны выделенные линии, поэтому пользоваться ею может каждый, кто располагает доступом к Интернету. После того как соединение установлено, сотрудникам может предоставляться доступ

ко всем ресурсам сети - так, словно они присутствуют в офисе. Самое большое достоинство технологии заключается в том, что, несмотря на общедоступную инфраструктуру, прямое соединение VPN, иногда именуемое туннелем , защищено столь надежно, что украсть данные или получить несанкционированный доступ к территориально-распределенной сети становится очень трудно.

Сети VPN обладают рядом экономических преимуществ перед другими методами дистанционного доступа. Пользователи VPN могут обращаться к корпоративной сети, не устанавливая коммутируемое соединение, что позволяет сократить численность модемов или вообще отказаться от них. Можно обойтись и без выделенных линий, соединяющих удаленные офисы. Кроме того, повышается производительность труда, так как сотрудники могут пользоваться самыми быстрыми линиями связи, имеющимися в их распоряжении, вместо того чтобы тратить время на установление коммутируемого соединения через банк модемов [4].

Компоненты MPLS VPN. Сеть MPLS VPN делится на две области: сети IP клиентов и внутренняя (магистральная) сеть MPLS провайдера, которая необходима для объединения сетей клиентов (рис. 4.7).

Сайт 1VPN А


v ? fct WWiasWSi Ри .4;7449 июненты MPLS VPN

фбЧТ RNH



В общем случае у каждого клиента может быть несколько территориально обособленных сетей IP, каждая из которых в свою очередь может включать не ;колько подсетей, связанных маршрутизаторами. Такие территориально изолированные сетевые островки корпоративной сети принято называть сайтами. Принадлежащие одному клиенту сайты обмениваются IP-пакетами через сеть провайдера и образуют виртуальную частную сеть этого клиента. Для обмена маршрутной информацией в пределах сайта узлы пользуются одним из протоколов IGP, OSPF или IS-IS, область действия которого ограничена автономной системой (набор сетей, которые находятся под единым управлением и совместно используют общую стратегию маршрутизации).

Маршрутизатор, с помощью которого сайт клиента подключается к магистрали провайдера, называется пограничным маршрутизатором клиента (Customer Edge router, СЕ). Будучи компонентом сети клиента, СЕ не имеет сведений о существовании VPN. Он можетбБГГь соединен с магистральной сетью провайдера несколькими каналами.

Магистральная сеть провайдера является сетью с технологией IP/MPLS, где пакеты IP продвигаются на основе не IP-адресов, а локальных меток. Сеть IP/MPLS состоит из маршрутизаторов с коммутацией меток (LSR), которые направляют трафик по предварительно проложенным путям с коммутацией меток (LSP) в соответствии со значениями меток. Устройство LSR - это своеобразный гибрид маршрутизатора IP и коммутатора, при этом от маршрутизатора IP берется способность определять топологию сети с помощью протоколов маршрутизации и выбирать рациональные пути следования трафика, а от коммутатора - техника продвижения пакетов с использованием меток и локальных таблиц коммутации. Устройства LSR для краткости часто называют просто маршрутизаторами, и в этом есть свой резон - они с таким же успехом способны продвигать пакеты на основе IP-адреса, если поддержка MPLS отключена.

В сети провайдера среди устройств LSR вьщеляют пограничные маршрутизаторы провайдера (Provider Edge router, РЕ). Для их обо- i значения также используется аббревиатура LER (Label Edge Router).; К РЕ через маршрутизаторы СЕ подключаются сайты клиентов и внутренние маршрутизаторы магистральной сети провайдера (Pro-j vider router, Р). Маршрутизаторы СЕ и РЕ обычно связаны непосред-j ственно физическим каналом, на котором работает какой-либо прото-i кол канального уровня - например, РРР, FR, ATM или Ethernet. Об-1 щение между СЕ и РЕ идет на основе стандартных протоколов стека I TCP/IP, поддержка MPLS нужна только для внутренних интерфейсов; РЕ (и всех интерфейсов Р). Иногда полезно различать входной РЕ и. выходной (удаленный) РЕ для определения направления продвижв ния трафика.

В магистральной сети провайдера только пограничные маршрутизаторы РЕ должны быть сконфигурированы для поддержки виртуальных частных сетей, поэтому только они знают о существующих VPN. Если рассматривать сеть с позиций VPN, то маршрутизаторы провайдера Р непосредственно не взаимодействуют с маршрутизаторами заказчика СЕ, а просто располагаются вдоль туннеля между входным и выходным маршрутизаторами РЕ.

Маршрутизаторы РЕ являются функционально более сложными, чем Р. На них возлагаются главные задачи по поддержке VPN, а именно, разграничение маршрутов и потоков данных, поступающих от разных клиентов. Маршрутизаторы РЕ служат также оконечными точками путей LSP между сайтами заказчиков, и именно РЕ назначает метку IP-пакету для его транзита через внутреннюю сеть маршрутизаторов Р.

Таблица маршрутизации (VPN Routing and Forwarding, VRF).

Пути LSP могут быть проложены двумя способами: либо с применением технологии ускоренной маршрутизации (IGP) с помощью протоколов LDP, либо на основе технологии трафик-инжиниринга (ТЕ) с помощью протоколов RSVP. Прокладка LSP означает создание таблиц коммутации меток на всех маршрутизаторах РЕ и Р, образующих данный LSP.

В совокупности эти таблицы задают множество путей для разных видов трафика клиентов. В VPN применяется различная топология связей: полносвязная, звезда (часто называемая в англоязычной литературе hub-and-spoke) или ячеистая (mesh).

Для корректной работы VPN требуется, чтобы информация о маршрутах через магистральную сеть провайдера не распространялась за ее пределы, а сведения о маршрутах в клиентских сайтах не становились известными за фаницами определенных VPN.

Барьеры на пути распространения маршрутных объявлений могут устанавливаться соответствующим конфигурированием маршрутизаторов. Протокол маршрутизации должен быть оповещен о том, с каких интерфейсов и от кого он имеет право принимать объявления определенного сорта и на какие интерфейсы и кому их распространять.

Роль таких барьеров в сети MPLS VPN играют пограничные маршрутизаторы РЕ или LER. Можно представить, что через маршрутизатор РЕ проходит невидимая граница между зоной клиентских сайтов и зоной ядра сети провайдера. По одну сторону располагаются интерфейсы, через которые РЕ взаимодействует с маршрутизаторами Р, а по другую - интерфейсы, к которым подключаются сайты клиентов. С одной стороны, на РЕ поступают объявления о маршрутах магистральной сети, с другой стороны - объявления о маршрутах в тях клиентов,.



Сайт А

VRFA

Глобальная таблица маршрутизации


Рис. 4.8. Протоколы маршрутизации РЕ

На рис. 4.8 показан маршрутизатор РЕ, на котором установлено несколько протоколов класса IGP. Один из них сконфигурирован для приема и распространения маршрутных объявлений только с тех трех внутренних интерфейсов, которые связывают этот РЕ с маршрутизаторами Р. Два других протокола IGP обрабатывают маршрутную информацию от сайтов клиентов.

Аналогичным образом настроены и остальные РЕ. Маршрутизаторы Р принимают и обрабатывают маршрутную информацию IGP, поступающую со всех интерфейсов. В результате на всех маршрутизаторах РЕ и Р создается по таблице маршрутизации, где содержатся все маршруты в пределах внутренней сети провайдера. Подчеркнем, что никакой информации о маршрутах в сетях клиентов в этих таблицах нет. Вместе с тем, и сети клиентов ничего не знают о маршрутах в сети провайдера. Таблица маршрутизации, создаваемая на пограничных маршрутизаторах РЕ на основе объявлений из магистральной сети, имеет специальное название глобальная таблица маршрутизации . В отличие от нее таблицы, которые РЕ формирует на основе объявлений, поступающих из сайтов клиентов, получили название таблиц VRF (VPN Routing and Forwarding). В VRF хранятся данные о маршрутах, информация о которых получена от клиентских маршрутизаторов.

Сайты клиентов представляют собой обычные сети IP, маршрутная информация в которых может передаваться и обрабатываться с помощью любого протокола маршрутизации класса IGP. Очевидно, что этот процесс никак не регламентируется провайдером. Маршрутные объявления свободно распространяются между узлами в пределах каждого

сайта до тех пор, пока они не доходят до пофаничных маршрутизаторов РЕ, служащих преградой для их дальнейшего распространения.

Разграничение маршрутов разных клиентов обеспечивает установка на маршрутизаторах РЕ отдельного протокола маршрутизации на каждый интерфейс, к которому подключен сайт клиента. Этот протокол принимает и передает клиентские маршрутные объявления только с одного, определенного для него интерфейса, не пересылая их ни на внутренние интерфейсы, через которые РЕ связан с маршрутизаторами Р, ни на интерфейсы, к которым подключены сайты других клиентов. В результате на маршрутизаторе РЕ создается несколько таблиц маршрутизации VRF.

Несколько упрощая, можно считать, что на каждом РЕ создается столько таблиц VRF, сколько сайтов к нему подключено. Фактически на маршрутизаторе РЕ организуется несколько виртуальных маршрутизаторов, каждый из которых работает со своей таблицей VRF. Возможно и другое соотношение между сайтами и таблицами VRF. Например, если к некоторому РЕ подключено несколько сайтов одной и той же VPN, то для них может быть создана общая таблица VRF.

Объединение сайтов. Чтобы связать территориально разнесенные сайты заказчика в единую сеть, необходимо, во-первых, создать для них общее пространство распространения маршрутной информации, и, во-вторых, проложить во внутренней сети пути, по которым принадлежащие разным сайтам узлы одной и той же VPN могли вести обмен данными защищенным образом.

Механизмом, с помощью которого сайты одной VPN обмениваются маршрутной информацией, является многопротокольное расширение для ВОР (Multiprotocol extensions for BGP-4, MP-BGP). С помощью этого протокола пограничные маршрутизаторы РЕ организуют взаимные сеансы и в рамках этих сеансов обмениваются маршрутной информацией из своих таблиц VRF.

Особенность протокола ВОР и его расширений заключается в том, что он получает и передает свои маршрутные объявления не всем непосредственно связанным с ним маршрутизаторам, как протоколы IGP, а только тем, которые указаны в конфигурационных параметрах в качестве соседей. Маршрутизаторы РЕ сконфигурированы так, что все получаемые от клиентских сайтов маршрутные объявления они адресно пересылают с помощью MP-BGP определенным пограничным маршрутизаторам РЕ. Вопрос о том, кому отправлять маршрутные объявления, а кому нет, целиком зависит от топологии виртуальных частных сетей, поддерживаемых данным провайдером. Так, на рис. 4.7 маршрутизатор РЕ1 передает маршруты из таблицы VRF сайта 1 в VPN А на маршрутизаторы РЕ2, PES, PES, к которым под- лючены остальные сайты 2, 3 и 4 той же VPN А. Полученный мар-рут заносится в таблицу VRF соответствующего сайта.



1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 [ 19 ] 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99

© 2000 - 2024 ULTRASONEX-AMFODENT.RU.
Копирование материалов разрешено исключительно при условии цититирования.