Сеть связи с коммутацией пакетов стандарта Х. 25
|
Скачать 1.97 Mb.
|
|
Домен MPLS. MPLS-сеть, обслуживаемая одним оператором. Маршрутизатор коммутации меток (LSR, Label Switching Router). «Двигатель» домена MPLS. Маршрутизатор LSR определяется как любое устройство, способное поддерживать протокол MPLS. LSR может являться IP-маршрутизатором, коммутатором Frame Relay, коммутатором АТМ. Технология MPLS поддерживает несколько типов кадров: РРР, Ethernet, Frame Relay и АТМ. Это не означает только то, что под MPLS работает какая-либо из перечисленных технологий. Это означает только то, что в технологии MPLS используются форматы кадров этих технологий для помещения в них пакета сетевого уровня, которым почти всегда является IP-пакет. Граничный LSR (или LER). Эти устройства стоят на границах домена MPLS. Документация по MPLS не делает различий между LSR и граничным LSR за исключением их местоположения в домене. Возникающая в документах путаница, связанная с тем, что оба типа коммутаторов обозначались, как LSR, привела к введению термина Label Edge Router (LER, граничный коммутатор меток), позволяющего отличать граничные LSR от внутренних LSR. Разница между ними заключается в следующем важном моменте: LSR в домене MPLS должны только коммутировать метки MPLS и понимать протоколы MPLS, в то время как LER должен также поддерживать не имеющие отношения к MPLS функции, такие как обычная маршрутизация по крайней мере для одного порта. Одним из основных отличий MPLS от сетей связи с виртуальными каналами (ATM, FR и др.) является способ построения таблицы маршрутизации. В сетях с виртуальными каналами пользователь, желающий установить соединение, посылает в адрес получателя сообщение запроса соединения. В результате создаётся путь и соответствующая запись в таблице маршрутизации. В MPLS вообще отсутствует фаза установления каждого соединения. На рис. 4.4 приведён пример домена MPLS-сети, состоящий из двух граничных (LER1, LER2) и двух внутренних (LSR1, LSR2) маршрутизаторов коммутации меток. Граничный маршрутизатор выполняет функции назначения и удаления меток (LER1 вставляет метку 1 пакета между заголовком IP и заголовком уровня 2 (L2), a LER2 удаляет метку 4 в этом пакете IP). Путь следования пакетов в сети MPLS определяется тем классом эквивалентности при пересылке FEC, который установлен для этого потока во входном граничном маршрутизаторе LER. Такой путь носит название коммутируемого по меткам тракта LSP (Label-Switched Path) и идентифицируется последовательностью меток во внутренних маршрутизаторах (LSR), расположенных на пути следования потока от отправителя к получателю. Внутренний маршрутизатор коммутирует пакет с меткой от одного интерфейса к другому интерфейсу с заменой метки. LER1 принимает пакет с меткой 1 и отправляет этот пакет LSR2 с меткой 5. LSR2 принимает пакет и отправляет LER2 с меткой 4. Таким образом, метка в LER и LSR имеет локальное значение, как и логические номера виртуальных каналов в сетях ATM, Frame Relay, X.25. Как видно из рис.4.4 продвижение IP-пакета происходит на основе адресной информации той технологии, которую MPLS использует на участке между оконечной станцией и доменом MPLS и на основе меток внутри домена MPLS. Кроме функции коммутации каждый маршрутизатор MPLS выполняет функцию управления по формированию таблицы маршрутизации. Эта таблица называется информационной базой LFIB (Label Forwarding Information Base). LFIB состоит из входящей метки и одной или нескольких вложенных записей. Каждая такая запись включает выходную метку, номер выходного интерфейса и адрес следующего маршрутизатора в LSR. Все узлы MPLS используют протоколы маршрутизации TCP/IP для обмена соответствующей информацией маршрутизации с другими узлами MPLS-сети при создании таблицы LFIB. Внутренние LSR коммутируют эти служебные пакеты не по меткам, а по обычным IP-заголовкам.  Рис. 4.4. Пример коммутации пакетов «данные». Продвижение кадра в MPLS-сети происходит на основе метки MPLS и техники LSР, а не на основе адресной информации и той технологии, формат кадра которой использует MPLS. Например, если в MPLS применяется кадр Ethernet, то МАС-адреса источника и приемника, хотя и присутствуют в соответствующих полях Ethernet, но для продвижения кадра не задействуются. Метки в коммутируемом по меткам тракте LSP назначаются с помощью протокола распределения меток LDP (Label Distribution Protocol), причём существуют разныe способы такого распределения. Создание LSP означает создание таблиц коммутации по меткам во всех маршрутизаторах этого LSP. Функция протокола LDP состоит в частности, в определении каждой привязки «FEC - метка» в каждом LSR тракта LSP. Один из вариантов работы LDP состоит в следующем. При загрузке маршрутизатора выявляется, для каких маршрутов он является пунктом назначения (например, какие хвосты находятся в его локальной вычислительной сети). Для них создаётся один или несколько FEC. каждому из них выделяется метка, значение которой сообщается соседним LER. Эти LER. в свою очередь, заносят эти метки в свои таблицы пересылки и посылают новые метки своим соседним маршрутизаторам. Процесс продолжается до тех пор пока все маршрутизаторы не получат данные о маршрутах. По мере формирования путей могут резервироваться ресурсы, что позволяет обеспечить надлежащее качество обслуживания. Протокол LDP является протоколом прикладного уровня и использует оба протокола транспортного уровня - UDP и TCP (рис. 4.5).  Рис.4.5. Стек протоколов при обмене сообщениями по протоколу LDP. Таким образом, назначение меток производится в сторону отправителя трафика, то есть противоположную направлению трафика. Такой LSR, где назначается метка называется нижним (расположен «ниже по течению»), а расположенный «выше по течению» верхним LSR. Метка всегда локальна, то есть обозначает некоторый FEC для пары маршрутизаторов, между которыми имеется прямая или коммутируемая связь. Напомним, что значения идентификатора виртуального пути VPI и виртуального канала VCI в сети ATM являются также локальными. Пересылка пакета данных MPLS с FEC, соответствующим установленной метке, производится от верхнего LSR к нижнему LSR. Для пересылки пакетов данных того же FEC к следующему маршрутизатору LSR используется другая метка, идентифицирующая этот FEC для новой пары маршрутизаторов, в которой маршрутизатор, бывший в предыдущей паре нижним, приобретает статус верхнего, а статус нижнего получает второй маршрутизатор этой новой паты. Отсюда ясно, что каждый маршрутизатор MPLS-сети, должен хранить соответствие между входящими и исходящими метками для всех FEC, которыми он оперирует. Напомним, что длина поля метки составляет 20 бит, что означает, что маршрутизатор одновременно может оперировать 220 метками, которым соответствует определённые FEC. Формирование таких таблиц меток (обратите внимание на некоторое сходство с таблицами виртуальных каналов в сетях Frame Relay, ATM) может производиться разными методами и в том числе с помощью протокола маршрутизации по состояниям каналов OSPF (Open Shortest Path First) уровня IP. Отметим некоторые аспекты информационной безопасности, связанной с применением протокола LDP [21]. Эти угрозы сводятся в результате передачи несанкционированных сообщений, переносимых по транспортным протоколам UDP и TCP. В последнем случае в качестве защиты используется механизм хэш - кода по протоколу MD5. Отмечаются также угрозы «отказ в обслуживании» и меры защиты от них [21]. 4.2.3. Стек меток MPLS Функциональные возможности стека MPLS позволяют реализовать несколько функций и, в частности, объединить несколько LSP в один. Концепция стека меток является развитием концепции двухуровневой адресации виртуальных каналов VPI/VPC, принятой в АТМ. Многоуровневый принцип создания путей сокращает время задержки передачи пакета. Если в одном LSP сливается несколько потоков (каждый поток – со своим FEC и своей меткой), то этот LSP помещает сверху метку нового FEC, который соответствует объединенному потоку пакетов, образующемуся в результате слияния. В точке окончания такого объединенного тракта он разветвляется на составляющие его индивидуальные LSP. Так могут объединяться тракты, имеющую общую часть маршрута. Пример четырёхуровнего стека меток приведён на рис. 4.6.    IP-пакет
  Рис. 4.6. Пример четырёхуровнего стека меток MPLS.Здесь заголовок MPLS № 1 был первым заголовком MPLS, помещённым в пакет, затем в него были помещены заготовки № 2, № 3, № 4. Коммутация по меткам всегда использует верхнюю метку стека, метки удаляются из пакета сверху. Каждый заголовок MPLS имеет собственные значения поля ЕХР, S-бита и поля TTL. MPLS может выполнять со стеком следующие операции: помещение метки в стек (push), удаление верхней метки из стека (pop). На рис.4.7 показан пример использования стека в MPLS при создании путей двух пакетов IP с разными адресами назначения и соответственно разными значениями FEC. Сеть состоит из двух MPLS - доменов. В LER1 начинаются два пути - LSP1 и LSP2. (LSP1 для пакета IP1 с адресом получателя А в заголовке и LSP2 для пакета IP2 с адресом получателя В в заголовке). В LER1 метки каждого из этих пакетов (соответственно 305 для первого пакета и 14 - для второго пакета) проталкиваются (push) вниз, а верхней становится в обоих пакетах метка 256. Продвижение обоих пакетов производится по верхней метке, которая на выходе меняет значение (256 на 272). На предпоследнем LSR2 домена производится удаление (pop) верхней метки. В результате верхней меткой для пакета IP1 становится метка 305, а для IP2 метка 14 уничтожается. LER2 завершает путь LSP2 пакета IP1, передавая его оконечному устройству. LER2 продвигает пакет IP1 на основе таблицы маршрутизации. LER2 заменяет (swap) метку 305 на метку 299 и далее через LER3 и LER4 продвигает его по пути LER2 до оконечного пункта А. Приведённый пример двухуровневого пути может быть расширен для любого количества уровней.  Рис.4.7. Пример путей LSP1 и LSP2, проложенных в доменах 1 и 2. Путь LSP1 LERl, LSRl, LSR2, LER2, LER3, LSR3, LER4 пакета IP1 с адресом получателя пункт А. Путь LSP2 пакета LER1, LSR1, LSR2, LER 2 пакета IP2 с адресом получателя пункт В. 4.2.4. Инжиниринг трафика Инжиниринг трафика ТЕ (Traffic Engineering) представляет функции мониторинга и управления трафиком с тем, чтобы обеспечить нужное качество обслуживания путём рационального использования сетевых ресурсов за счет сбалансированной их загрузки. Этому английскому термину ТЕ соответствует управление разнотипным трафиком в MPLS, отмечая связь рассматриваемых здесь механизмов с задачей обеспечивать разное качество обслуживания QoS трафика разных типов. Принятая в MPLS технология ТЕ позволяет снять ограничения присущие протоколам маршрутизации в IP-сетях. Известно, что все протоколы маршрутизации (RIP, OSPF и др.), выбирают для трафика, направленного в определенную сеть, кратчайший маршрут в соответствии с некоторой метрикой. Выбранный путь может быть более рациональным, например, если в расчёт метрики принимается номинальная пропускная способность каналов связи или вносимые ими задержки, или менее рациональным, если учитывается только количество промежуточных маршрутизаторов (хопов) между исходной и конечной сетями. Однако в любом из случаев выбирается единственный маршрут, даже если существует несколько альтернативных путей. Примером неэффективности такого подхода является сеть с топологией, приведённой на рис.4.8. Несмотря на то, что между маршрутизаторами А и Е существует два пути - верхний через маршрутизатор В, и нижний через маршрутизаторы С и D, - весь трафик от маршрутизатора А к маршрутизатору Е в соответствии с принципами маршрутизации, принятыми в IP-сетях, направляется по верхнему пути. Только потому, что нижний путь немного, на один хоп хуже, чем верхний, он игнорируется, хотя он мог бы работать «параллельно» с верхним путём. Еще один недостаток методов маршрутизации трафика в IP - сетях заключается в том, что пути выбираются без учета текущей загрузки ресурсов сети. Даже если кратчайший путь уже перегружен, пакеты всё равно посылаются по этому пути. Так, в сети, представленной на рис. 4.8, верхний путь будет продолжать использоваться даже тогда, когда его ресурсов перестанет хватать для обслуживания трафика от А к Е, а нижний путь будет простаивать хотя, возможно, ресурсов маршрутизаторов В и С хватило бы для качественной передачи трафика. Налицо явная ущербность методов распределения ресурсов сети - одни ресурсы работают с перегрузкой, а другие не используются вовсе. 
Рис. 4.8. Неэффективность кратчайших путей Применение в MPLS механизмов ТЕ позволяют решить эту проблему, указав два разных пути от маршрутизатора А к маршрутизатору Е, т.е. кроме А-В-Е маршрут A-C-D-E. ТЕ лучше использует сетевые ресурсы за счёт перевода части трафика с более загруженного на менее загруженный участок сети. При этом достигается более высокое качество обслуживания трафика, поскольку уменьшается вероятность перегрузки в сети. Кроме того, для услуг, которые требуют выполнения заданных норм качества обслуживания QoS (например, заданного коэффициента потерь пакетов, задержки, джиггера) инжиниринг трафика позволяет обеспечить надлежащее QoS путём назначения явно определённых маршрутов. В качестве эксплуатационного инструмента, инжиниринг трафика регулярно оптимизирует использование сетевых ресурсов при изменении распределения нагрузки в сети. ТЕ включает в себя набор взаимосвязанных сетевых элементов, систему мониторинга состояния сети и набор средств управления конфигурацией. В MPLS предоставлена возможность автоматического управления трафика с помощью протоколов сигнализации, одним из которых является RSVP-TE. Этот протокол является расширенной версией протокола RSVP, в состав сообщения которого Reserve (см. разд. 4.2) включён дополнительный параметр объект-метка (Label). Таким образом, протокол RSVP становится протоколом для распределения меток MPLS, также как и протокол LDP. Для выполнения функции инжиниринг трафика в состав сообщения Path введён дополнительный параметр ERO (Explicit Route Object). Этот параметр (объект) содержит явно заданный маршрут, что позволяет решать задачи управления трафиком. Кроме основной задачи гибкого управления трафиком подсистема ТЕ выполняет ещё одну функцию - быструю маршрутизацию FRR (Fast Reroute). В случае выхода из строя канала связи в сетях с коммутацией пакетов требуется повторное установление соединения с оконечного пункта. При этом происходят задержки и потери пакетов (ячеек, кадров) данных, значительно влияющих на показатели QoS. FRR в MPLS-сети обеспечивает защиту от этих потерь, ремаршрутизируя трафик, проходящий по LSP, в обход повреждённого канала в течении 50 мсек. Приведённый на рис. 4.9 пример показывает, как FRR используется.  Рис.4.9. Пример применения FRR Как-видно из рис.4.9, когда LSR2 обнаружит, что канал между LSR2 и LSR3 неисправен, трафик в LSRЗ будет переведён на резервный туннель (через LSR5 и LSR6). Это выполняется помещением метки 38 наверх стека с помощью процедуры push. Продвижение пакета через LSR5 происходит по верхней метке. На LSR6 верхняя метка удаляется. В результате верхней меткой, по которой происходит коммутация, становится метка 9, т.е. та же самая, что и в случае исправного канала между LSR2 и LSR3 (т.е. когда в LSR2 метка 25 заменяется на метку 9). 4.2.5. Преимущества MPLS по сравнению с транспортной IP-сетью Кратко сформулируем преимущества MPLS-сети по сравнению с транспортной IP-сетью. 1. Технология MPLS поддерживает показатели качества обслуживания QoS, предоставляя различные классы обслуживания, IP–сети не предоставляют такой возможности. 2. Технология MPLS позволяет сбалансировать нагрузку в сети, осуществляя перераспределение потоков (инжиниринг трафика). Это повышает показатели QoS за счет оптимизации использования полосы пропускания на недостаточно загруженных маршрутах. Протоколы IP–сети такой возможности не предусматривают. 3. При использовании технологии MPLS провайдеры служб могут создавать так называемые виртуальные частные сети VPN (Virtual Private Network). VPN-сети содержат географически удаленные друг от друга узлы, которые могут безопасно связывать их по совместно используемой магистрали. В отличие от IP–сетей технология MPLS позволяет создавать VPN–сети без необходимости использовать дорогостоящее шифрование. Подробно построению VPN–сетей на базе MPLS посвящена следующая глава. 4. Быстрое восстановление путей маршрута при отказах в каналах связи. 5. Виртуальные частные сети на основе сетей связи различных технологий Многие компании состоят из множества подразделений, расположенных в разных городах страны, а иногда в других странах. До появления сетей передачи данных общего пользования обычно арендовали каналы связи для возможности установить соединение между подразделениями компании. Сеть, состоящая из локальных вычислительных сетей, отдельных компьютеров и выделенных линий называется частной сетью. Частные сети обладают хорошей защищенностью от несанкционированного доступа и других видов угроз : информационной безопасности (ИБ). В частных сетях может быть обеспечено гарантированное качество обслуживания. Недостаток частных сетей заключается в высокой стоимости аренды физических каналов связи и как следствие этого их неэкономичностью. Появление сетей передачи общего пользования привело к созданию виртуальных частных сетей VPN (Virtual Private Network), что позволило не прибегать к аренде каналов. Термин «виртуальная частная сеть» используется, начиная с создания сетей X.25, FR, ATM, для обеспечения совокупности виртуальных каналов закрытых групп пользователей. Позже этот термин стал использоваться для закрытых групп пользователей в IP-сетях. Основным критерием оценки, используемым при сравнении VPN разных технологий сетей, является степень приближенности сервисов, предлагаемых частными сетями VPN, к свойствам сервисов частной сети. Во-первых, это относится к степени изолированности (обособленности) потоков данных пользователя VPN от потоков данных всех других пользователей сети. Обособленность должна быть обеспечена в отношении ИБ в части несанкционированного доступа к VPN. Во-вторых, это относится к показателям качества обслуживания QоS пользователей. В настоящей главе приведено описание принципов построения и сравнение VPN, построенных на основе технологий X.25, FR, ATM, TCP/IP и MPLS. 5.1. VPN на основе глобальных сетей пакетной коммутации X.25, FR и ATM На рис. 5.1 приведена логическая структура двух VPN-сетей (А и В) на основе стандарта Frame Relay [22].  Рис. 5.1. Логическая структура VPN-сетей FR. Первая VPN А пользователей центрального офиса А1 и двух его филиалов – А2 и А3. FR предоставляет виртуальные каналы между главным офисом и филиалами с номерами идентификаторов DLCI =370, 402, 401. Аналогично вторая VPN В включает пользователей центрального офиса В1 и двух его филиалов – В2 и В3. Пользователи каждой VPN получают по виртуальным каналам доступ только к пользователям своей VPN. Виртуальные каналы предоставляются провайдером согласованными с пользователями показателями качества обслуживания QоS – CIR, Вс и Ве (см. главу 2). VPN на основе X.25 отличаются от VPN FR тем, что QоS не предоставляются провайдером при установлении соединения. VPN-сети на основе ATM отличаются от VPN-сетей FR тем, что виртуальные каналы предоставляются с более широким набором согласованных показателей QоS. На рис. 5.2 приведена логическая структура VPN-сетей ATM.  Рис. 5.2 Логическая структура VPN-сетей ATM. На рис. 5.2 показаны виртуальные соединения двух VPN-сетей ATM – пользователей офисов компании А и компании В. Для VPN-сети компании А показаны два виртуальных соединения: между пользователем филиала А2 и одним из пользователей центрального офиса А1, а также между пользователем филиала А3 и другим пользователем центрального офиса А1. Так как в технологии ATM и FR используются только два уровня стека протоколов VPN-сети, построенные на их основе называют сетями VPN 2-го уровня L2VPN (Layer 2 VPN). Наличие в ATM и FR механизмов поддержки QоS VPN-сети FR и VPN-сети ATM довольно в высокой степени приближает их к частным сетям. 5.2. VPN-сети на основе IP До недавнего времени сети TCP/IP и Интернет не использовались в качестве возможной среды для образования на их основе VPN-сетей. Основная причина – та же, что и в случае сетей X.25 – в протоколах TCP/IP нет гарантий качества обслуживания. Однако ситуация изменилась. Сам термин VPN многие стали употреблять исключительно в связи с использованием сети Интернет для их создания. Существует три типа VPN на базе Интернет. Несмотря на то, что их разработка преследует одну цель – использовать Интернет в качестве опорной среды для организации взаимодействия производственных подразделений компаний, каждый тип удовлетворяет потребности различных групп организаций: - VPN удаленного доступа (Remote Access VPN) обеспечивает подключение к корпоративной сети мобильных пользователей или работающих дома служащих. При этом пользователь подключается к своей корпоративной сети через сеть общего пользования ТфОП/ISDN; - VPN внутрикорпоративная (intranet) позволяет объединить в единую защищенную сеть центральный офис и его отдельные филиалы; - VPN межкорпоративная (extranet) предоставляет защищенный доступ из сети одной компании в сеть другой компании. Для организации VPN на основе IP-сети используются так называемые виртуальные выделенные каналы. Для организации таких каналов применяется механизм туннелирования. Туннелирование – это одна из форм инкапсуляции. Напомним понятие протокольного блока данных PDU. PDU является единицей информационного обмена в модели OSI или TCP/IP и включает заголовок, информационный пакет (в некоторых случаях концевик). PDU служит для логического обмена в пределах одного иерархического уровня. Различие между инкапсуляцией и туннелированием состоит в следующем. При инкапсуляции PDU более высокого уровня помещается в поле данных PDU более низкого уровня. При туннелировании PDU более низкого уровня помещается в поле данных PDU более высокого или такого же уровня. 5.2.1. VPN удаленного доступа Режим удалённого доступа позволяет компьютеру клиента стать узлом удалённой локальной корпоративной сети, что означает для его пользователя возможность получения всего спектра услуг обычного пользователя узла, физически расположенного в этой локальной сети. Для установления соединения в VPN удаленного доступа разработаны три протокола туннелирования PDU второго уровня в PDU третьего уровня. На рис. 5.3 приведена схема удаленного доступа одного из наиболее распространенных протоколов L2TP (Layer 2 Tunneling Protocol, протокол туннельного соединения 2-го уровня). В терминах протокола L2TP сетевой сервер доступа называется концентратором доступа LAC (L2TP Access Concentrator), а сервер VPN – домашним сервером LNS (L2TP Local Network Server).  Рис. 5.3. VPN удаленного доступа на основе протокола L2TP. Удаленные пользователи инициируют соединение удаленного доступа с концентратором доступа LAC, используя протокол PPP (Point-to-Point). Протокол PPP является двухточечным протоколом также, как и протокол высокоуровневого управления линией связи HDLС. HDLС был взят за основу при разработке протокола PPP. Протокол HDLS включает целое семейство протоколов второго уровня, в том числе рассмотренный подробно в работе [3] протокол LAP-B сети X.25. Основное отличие PPP от других протоколов, входящих в HDLС, состоит в том, что в нем на этапе установления соединения предусмотрена процедура согласования параметров качества линии, протоколов аутентификации, инкапсулируемых протоколов сетевого уровня. В спецификации PPP определено два протокола аутентификации – протокол по паролю (PAP) и подтверждением вызова (CHAP). На рис. 5.4 приведен формат пакета протокола L2TP. Кадр PPP  
 Информационное поле кадра PPP Рис. 5.4. Формат пакета протокола L2TP Приведем общие положения процедуры установления VPN удаленного доступа по протоколу L2TP. Концентратор LAC принимает от удаленного пользователя сообщение, инициирующее PPP-соединение с корпоративной сетью. Устанавливается канальное соединение. LAC аутентифицирует запрашивающего пользователя. Если проверка его подлинности завершилась успешно, то LAC устанавливает соединение PPP с сервером LNS. В свою очередь домашний сервер LNS аутентифицирует сервер LAC. LNS передает LAC данные об IP-адресе удалённого пользователя, выделенном из пула адресов корпоративной сети. Формируется кадр PPP с входящим в его информационное поле исходным заголовком IP с IP-адресом узла удаленного пользователя. Кадр PPP помещается в поле данных IP-пакета с заголовком, включающим IP-адрес удаленного сервера LNS. Теперь могут передаваться информационные кадры PPP по туннелю между LAC и LNS. Сервер LNS извлекает из прибывшего от LAC IP-пакета кадр PPP. Этот кадр подлежит обработке в корпоративной сети. 5.2.2. VPN-сети IPSec Протокол IPSec (IP Security) стека TCP/IP позволяет создать VPN пользователей удаленных локальных вычислительных сетей (ЛВС). Для этого также, как и для VPN удаленного доступа используется общедоступная сеть Интернет, которая позволяет создать туннель. В отличие от VPN удаленного доступа VPN IPSec обеспечивает соединение «точка-точка» всех пользователей VPN. На рис. 5.4 приведена структура VPN (объединяющая пользователей трех ЛВС) на основе протокола IPSec.  Рис. 5.4. VPN на основе протокола IPSec. С помощью протокола IPSec создаются туннели между граничными устройствами (маршрутизаторами или межсетевыми экранами). Формат IP-пакета пользователя ЛВС в сети Интернет включает заголовок с IP-адресом граничных устройств (входящего и исходящего). В поле данных этого пакета помещается зашифрованный исходный IP-пакет пользователя ЛВС. Подробное описание полей формата IP-пакета, проходящего через туннель, приведено в работе [24]. 5.3. VPN-сети MPLS В технологии MPLS виртуальные частные сети также создаются с помощью туннелей. В отличие от VPN-сетей FR, ATM и IP туннели в MPLS создаются не в результате размещения одного PDU в поле данных другого PDU. В процедуре создания туннеля в MPLS используется стек меток. LSP-туннель создается внутри другого пути LSP. В приведенном примере на рис. 4.6 предыдущей главы участок пути между LER1 LER2 (LER1-LSR1-LSR2-LER2) является LSP-туннелем для пути пакета IP1 между LER1 и LER4, проходящего через семь маршрутизаторов (LER1-LSR1-LSR2-LER2- LER3-LSR3-LSR4-LER4). Приведенный пример показывает, что стек меток MPLS используется не только для объединения потоков разных путей LSP, но и для создания LSP-туннелей. Заметим, что на приведенном рисунке входной и выходной LSP объединенного потока и туннеля являются граничными (т.е. LER). В действительности они могут быть и не граничными. Понятие частный в VPN-сети MPLS относится к разделению трафика между LSP-туннелями. На рис. 5.5 приведена схема домена MPLS и подключенных к нему узлов (сайтов). Ядро VPN строится на базовых маршрутизаторах MPLS, называемых внутренними маршрутизаторами провайдера P (P router), которые не содержат маршрутов VPN-сетей. Вместе с другими LSP-устройствами провайдера они образуют полносвязную или частично связную топологию и осуществляют интерфейс с граничными маршрутизаторами LER провайдера, которые в VPN-сетях называются PE (Provider Edge router). PE содержит VPN-маршруты для поддерживаемых ими VPN-сетей. Маршрутизатор PE и P составляют домен MPLS.  5.5. Схема домена MPLS и подключенных узлов (сайтов) Граничные маршрутизаторы пользователя CE (Customer Edge router) через выделенные или коммутируемые каналы подключаются к PE. CE является частью оборудования пользователя CPE (Customer Premise Equipment). В CE нет функции MPLS, а для подключения к PE могут использоваться каналы ATM, FR, Ethernet, PPP. Территориально изолированные элементы VPN-сети MPLS называются узлами (сайтами). Существует два типа VPN-сетей MPLS: L3VPN и L2VPN. В сетях L3VPN доставка трафика от отправителя до PE осуществляется с помощью технологии IP, т.е. третьего уровня. В сетях L2VPN доставка трафика до PE осуществляется с помощью Ethernet, Frame Relay или ATM, т.е. второго уровня. В настоящем материале рассматривается L3VPN. Узлы, включающие пользователей, объединяются в виртуальные частные сети (VPN). Каждый пользователь узлов в рамках своей VPN обменивается IP-трафиком. Например, на рис.5.5 узлы 1 и 6 составляют VPN А, узлы 3, 4, 5 – VPN В, узлы 2 и 8 – VPN С, узлы 7 и 9 – VPN D. В рамках MPLS/ VPN допускается организация взаимодействия нескольких разных узлов в соответствии со следующими схемами: - закрытая группа абонентов CUG (Closed User Group). Такая схема предусматривает взаимодействие узлов только друг с другом. Это означает, что данные узлы будут свободно обмениваться IP-трафиком. - центр-периферия (hub-and-spoke). Схема подразумевает объединение нескольких узлов, один или несколько из которых являются центральными, а остальные периферийными. Центральные узлы могут обмениваться IP-трафиком друг с другом. Функционирование PE. Для обслуживания клиентов разных VPN на устройстве PE (к которому эти клиенты подсоединены) создается один или более комплексов маршрутизации и пересылки VRF (VPN Routing and Forwarding Instance). Комплекс VRF определяет членство в VPN-сети узла, подсоединенного к PE-маршрутизатору. VRF включает: - отдельную таблицу маршрутизации, использующуюся для маршрутизации пакетов VPN (далее VRF-таблица); - множества интерфейсов PE, по которым подключены устройства CE, принадлежащие одной VPN. То есть, интерфейс на PE, к которому подключен узел, входящий в VPN Х, принадлежит Х. - атрибуты и правила распространения маршрутной информации. Между CE и PE необходима передача маршрутной информации. Маршрутная информация, полученная от CE устанавливается в соответствующую VRF-таблицу. Рассмотрим пример рис.5.6. К устройству PE1 подключены граничные маршрутизаторы пользователя CE1, CE2, CE3. CE1 и CE2 принадлежат VPN А, а CE3 – VPN В. Максимальное число VRF определяется числом различных узлов, которые подключены к PE.  Рис. 5.6. Пример подключения узлов клиентов к РЕ. В табл. 5.1 приведена таблица маршрутизации на устройстве РЕ1. Табл. 5.1. Таблица маршрутизации на устройстве РЕ1
|
Похожие:
 |
«Корпоративная сеть телефонной связи цаук пао «нк «Роснефть» в г. Москве. Сеть упатс» |
|
Комплекс шахтной телефонной связи искробезопасный с ip коммутацией... Регламент технического обслуживания, планового текущего ремонта и устранения возможных неисправностей и отказов |
 |
План выступления 1 Вступление Рассказать в общих понятиях, что такое... Глобальная сеть- совокупность компьютеров, расположенных на больших расстояниях друг от друга, а также система каналов передачи связи:... |
|
Линии для производства полиэтиленовых пакетов Линии вм-пак 680 У2 и вм-пак 850 У2 (далее вм-пак у2) предназначена для производства пакетов типа «Майка», «Фасовка» из полиэтиленовой... |
|
Инструкция по установке систем «Стандарт-гост» и «Гарант» Подключение сетевого диска Выберите «Вся сеть» и двойным щелчком мыши откройте Нажмите на значок «Сеть Microsoft Windows» |
|
Инструкция по оплате пакетов Триколор тв по счёту для юридических... Для оплаты пакетов «Оптимум» и/или «Ночной» свяжитесь с нами любым удобным для вас способом сообщите свои реквизиты, и мы выставим... |
|
Приняты Советом глав Администраций связи Регионального содружества в области связи Виды услуг, предоставляемых предприятиями связи, определяются администрациями государств членов рсс *(2). Руководителям предприятий... |
|
Руководство пользователя для кандидатов по самостоятельной регистрации... Мы рекомендуем использовать адрес на общедоступном сервере (например, mail ru, yandex ru, google com и т п.) в связи с возможными... |
|
Пояснительная записка Студент Выявлены потребности и желания клиентов в предоставляемых услуг связи, перечень наиболее востребованных услуг, сервисов и спрос на... |
|
Введение 2 Система сотовой связи стандарта gsm и особенности построения абонентских устройств 4 |
|
Инструкция пользователя услуг цифровой телефонии акадо содержание... Цифровая телефония акадо это современный вид цифровой телефонной связи, доступный абонентам акадо как в виде отдельной услуги, так... |
|
Методическое пособие «От простого к сложному» Секреты администрирования ПК. При этом необходимо учитывать особенности соединения и понимать, что вам потребуется для обеспечения доступа в сеть с нескольких... |
|
1 понятие и классификация пакетов прикладных |
|
Чтобы устранить возможные проблемы, возникшие в процессе эксплуатации... Наличие хорошего и стабильного интернета если через сеть мобильно оператора, то минимум сеть 3G, но лучше через Wi-Fi где скорость... |
|
1. 1Термины, используемые в документации о закупке Проведение аварийно-восстановительных работ на волоконно-оптических линиях связи (волс), а именно: на кабелях sdh-транспортная сеть,... |
|
Инструкция по использованию вычислительного кластера т-платформы tedge-48 Версия 2 ГГц и 8 Гбайт оперативной памяти. Кроме того, есть управляющий модуль, предназначенный для компиляции и запуска задач, с файловым... |