Технология MPLS L3VPN

Технология MPLS L3VPN

Сети MPLS VPN привлекают сегодня  всеобщее внимание. Количество ведущих  поставщиков услуг, предлагающих своим  клиентам воспользоваться новым  видом сервиса для экономичного построения своих внутренних и внешних  сетей, постоянно растет, делая сети MPLS VPN доступными для пользователей  все большего числа стран и  регионов. От других технологий построения виртуальных частных сетей, таких  как VPN на базе ATM/FR или IPSec, технологию MPLS VPN выгодно отличает хорошая масштабируемость, возможность автоматического конфигурирования и естественная интеграция с другими  сервисами протокола IP, которые сегодня  входят в обязательный набор любого успешного поставщика услуг, включая  доступ в Интернет, WWW и почтовые службы, хостинг.

Существует два варианта сетей MPLS VPN.

• В сетях MPLS L3VPN доставка трафика от клиента до пограничного устройства сети поставщика услуг осуществляется с помощью технологии IP (третий уровень).
• Сети MPLS L2VPN передают клиентский трафик в сеть поставщика услуг с помощью какой-либо технологией второго уровня, которой может быть Ethernet, Frame Relay или ATM.

В обоих случаях внутри сети поставщика услуг клиентский трафик передается с помощью технологии MPLS.

ПРИМЕЧАНИЕ

Сегодня уровень MPLS определить не так просто  — терминология в этой области еще не устоялась. Но поскольку продвижение пакетов на основе локальных меток соответствует второму уровню, мы будем относить MPLS ко второму уровню.

В данной книге рассматривается  только технология MPLS L3 VPN, поскольку  это намного более зрелая технология, уже работающая во многих сетях поставщиков  услуг. Несмотря на то, что спецификация RFC 2547 bis, которая определяет ее основные механизмы, носит информативный статус, все реализации MPLS L3 VPN производителями сетевого оборудования следуют этому документу, придавая ему статус фактического стандарта. В дальнейшем изложении мы для краткости будем опускать обозначение уровня L3, используя название MPLS VPN как синоним MPLS L3 VPN.

Полная связность  при абсолютной изолированности

Каждый клиент желает, чтобы  поставщик услуг VPN связал между  собой его сети, обеспечив абсолютную изолированность полученной единой сети от сетей других клиентов.

Эту задачу современному поставщику услуг приходится решать в противоречивых условиях доминирования технологии IP как универсального транспорта. Действительно, один из основных принципов работы составной IP-сети заключается в автоматическом связывании всех сетей в одно целое  за счет распространения по сети маршрутной информации протоколами маршрутизации, такими как BGP, OSPF, IS-IS, RIP. С помощью  подобного механизма на каждом маршрутизаторе сети автоматически создается таблица  маршрутизации, в которой указываются  пути следования пакетов к каждой из сетей, включенных в составную  сеть (пути к отдельным сетям могут  агрегироваться, но это не меняет сути).

Как же технология MPLS VPN разрешает  парадокс обеспечения изолированности  при сохранении связности? Достаточно элегантно — за счет автоматической фильтрации маршрутных объявлений и применения туннелей MPLS для передачи клиентского трафика по внутренней сети поставщика.

Для того чтобы изолировать  сети друг от друга, достаточно поставить  между ними заслон на пути распространения  маршрутной информации. Для обмена маршрутной информацией в пределах сети узлы пользуются одним из внутренних протоколов маршрутизации (IGP), таким  как RIP, OSPF или IS-IS, область действия которого ограничена автономной системой. Если в таблице маршрутизации  узла А нет записи о маршруте к  узлу В (и отсутствует запись о  маршруте по умолчанию), то говорят, что  узел А не «видит» узла В.

В сети MPLS VPN подобный режим  достигается за счет того, что маршрутные объявления, передаваемые сетью клиента, с помощью протокола BGP «перепрыгивают»  через всю внутреннюю сеть поставщика услуг. После чего благодаря особому  конфигурированию с использованием многопротокольного расширения протокола BGP (MP-BGP) они попадают только в сети того же клиента. В результате маршрутизаторы разных клиентов не имеют маршрутной информации друг о друге и поэтому  не могут обмениваться пакетами, то есть достигается желаемая изоляция (рис. 1).

Рис. 1. Изоляция клиентских сетей с помощью туннелей

Еще одним следствием такого подхода является изолированность  внутренней сети поставщика услуг от сетей клиентов, а это, в свою очередь, повышает надежность работы сети поставщика и ее масштабируемость (не нужно  хранить таблицы большого размера  с описанием сетей многочисленных клиентов на внутренних маршрутизаторах  сети поставщика услуг).

Но как же все-таки связать  территориально разнесенные сети клиента  в единую виртуальную частную  сеть, если внутренняя сеть поставщика услуг ничего о них не знает, во всяком случае, на уровне обычных таблиц маршрутизации? Для этого применяется  достаточно традиционное средство — туннель между пограничными маршрутизаторами внутренней сети. Особенность рассматриваемой технологии состоит в применение туннеля MPLS (альтернативные решения могли бы основываться на туннелях IPSec или других туннелях класса «IP поверх IP»). Преимуществом туннелей MPLS VPN являются автоматический способ их прокладки и выгоды, получаемые за счет применения технологии MPLS как таковой и касающиеся ускоренного продвижения пакетов по сети поставщика услуг и управления качеством обслуживания (QoS) для туннелей с инжинирингом трафика.

Для того чтобы описанные  принципы построения MPLS VPN смогли найти  воплощение в реальной сети, было разработано  несколько специфических сетевых  механизмов и компонентов.

Компоненты сети MPLS VPN

В сети MPLS VPN легко выделить две области (рис. 2):

• IP-сети клиентов;
• магистральная сеть MPLS поставщика услуг.

Рис. 2. Компоненты сети MPLS VPN

В общем случае у любого клиента может быть несколько  территориально обособленных IP-сетей (сайтов), каждая из которых в свою очередь может включать несколько  подсетей, связанных маршрутизаторами. Принадлежащие одному клиенту сайты  обмениваются IP-пакетами через сеть поставщика услуг и образуют виртуальную  частную сеть этого клиента.

Маршрутизатор, с помощью  которого сайт клиента подключается к магистрали поставщика, называется пограничным устройством клиента (Customer Edge router, CE). Будучи компонентом сети клиента, маршрутизатор CE ничего не знает о существовании VPN. Он может быть соединен с магистральной сетью поставщика услуг несколькими каналами.

Магистральная сеть поставщика услуг является сетью MPLS, в которой IP-пакеты продвигаются на основе не IP-адресов, а локальных меток. Сеть MPLS состоит  из коммутирующих по меткам маршрутизаторов (LSR), которые направляют трафик по предварительно проложенным путям коммутации по меткам (LSP) в соответствии со значениями меток.

В сети поставщика среди  устройств LSR выделяют пограничные маршрутизаторы (Provider Edge router, PE), к которым через маршрутизаторы CE подключаются сайты клиентов, и маршрутизаторы магистральной сети поставщика (Provider router, P).

Маршрутизаторы CE и PE обычно связаны непосредственно физическим каналом, на котором работает какой-либо протокол канального уровня, например, PPP, FR, ATM или Ethernet. Общение между CE и PE идет по стандартным протоколам стека TCP/IP. Поддержка MPLS нужна только для внутренних интерфейсов PE и всех интерфейсов P. Иногда полезно различать относительно направления продвижения трафика входной и выходной ( удаленный) маршрутизаторы PE.

В магистральной сети поставщика только маршрутизаторы PE должны быть сконфигурированы для поддержки существующих виртуальных  частных сетей, только они «знают»  о них.

Если рассматривать сеть с позиций VPN, то маршрутизаторы P непосредственно  не взаимодействуют с маршрутизаторами CE, а просто обеспечивают туннели  между входным и выходным маршрутизаторами PE.

Пограничные маршрутизаторы PE являются функционально более  сложными, чем внутренние маршрутизаторы P сети поставщика услуг. На них возлагаются  главные задачи по поддержке сетей VPN, а именно — задачи разграничения маршрутов и данных, поступающих от разных клиентов. Маршрутизаторы PE служат также оконечными точками путей LSP между сайтами заказчиков, и именно пограничный маршрутизатор поставщика услуг назначает метку IP-пакету для его транзита через внутреннюю сеть, образованную внутренними маршрутизаторами поставщика услуг.

Пути LSP могут быть проложены  двумя способами: либо с применением  технологии ускоренной маршрутизации (IGP) с помощью протокола LDP, либо на основе технологии инжиниринга трафика  с помощью протокола RSVP или CR-LDP. Прокладка LSP означает создание таблиц коммутации по меткам на всех пограничных и  внутренних маршрутизаторах поставщика услуг, образующих данный путь (примеры  таких таблиц можно найти в  главе 20). В совокупности эти таблицы задают множество путей, образующих сети различных топологий для разных видов трафика клиентов.

Разграничение маршрутной информации

Для корректной работы VPN требуется, чтобы информация о маршрутах  через магистральную сеть поставщика услуг не распространялась за ее пределы, а сведения о маршрутах в клиентских сайтах не становились известными за границами определенных сетей VPN.

Барьеры на пути распространения  маршрутных объявлений могут устанавливаться  соответствующим конфигурированием  маршрутизаторов. Протокол маршрутизации  должен быть оповещен о том, с каких  интерфейсов и от кого он имеет  право принимать объявления и  на какие интерфейсы и кому их распространять.

Роль таких барьеров в  сети MPLS VPN играют маршрутизаторы PE. Можно  представить, что через маршрутизатор PE проходит невидимая граница между  зоной клиентских сайтов и зоной  ядра сети поставщика. По одну сторону располагаются интерфейсы, через которые PE взаимодействует с внутренними маршрутизаторами поставщика услуг, по другую — интерфейсы, к которым подключаются сайты клиентов. С одной стороны на PE поступают объявления о маршрутах магистральной сети, с другой стороны — объявления о маршрутах в сетях клиентов.

На рис. 3 показана схема разграничения маршрутной информации. На маршрутизаторе PE установлено несколько протокольных модулей IGP. Один из них сконфигурирован для приема и распространения маршрутных объявлений только с тех трех внутренних интерфейсов, которые связывают этот маршрутизатор PE с маршрутизаторами P. Два других модуля IGP обрабатывают маршрутную информацию от сайтов клиентов.

Рис. 3. Схема разграничения  маршрутной информации

Аналогичным образом настроены  и остальные устройства PE. Внутренние маршрутизаторы P принимают и обрабатывают маршрутную информацию протокола IGP, поступающую  со всех интерфейсов. В результате на всех маршрутизаторах (и PE, и P) создается  по таблице маршрутизации, где содержатся все маршруты в пределах внутренней сети поставщика услуг. Подчеркнем, что  никакой информации о маршрутах  к сетям клиентов в таблицах внутренних маршрутизаторов нет. Сети клиентов также ничего не «знают» о маршрутах  в сети поставщика услуг.

На каждом из маршрутизаторов PE создается два типа таблиц маршрутизации:

• глобальная таблица маршрутизации строится на основе объявлений из магистральной сети поставщика услуг;
• таблицы маршрутизации и продвижения сети VPN (VPN Routing and Forwarding instance, VRF) маршрутизатор PE формирует на основе объявлений, поступающих из сайтов клиентов.

Сайты клиентов представляют собой обычные IP-сети, маршрутная информация в которых может передаваться и обрабатываться с помощью любого протокола маршрутизации класса IGP. Очевидно, что этот процесс никак не регламентируется поставщиком. Маршрутные объявления свободно распространяются между узлами в пределах каждого сайта до тех пор, пока не доходят до пограничных маршрутизаторов PЕ, служащих преградой для их дальнейшего распространения.

Разграничение маршрутов  разных клиентов обеспечивается путем  установки отдельного протокола  маршрутизации на каждый интерфейс  маршрутизатора PE, к которому подключен  сайт клиента. Этот протокол принимает  и передает клиентские маршрутные объявления только с одного определенного для  него интерфейса, не пересылая их ни на внутренние интерфейсы, через которые  пограничный маршрутизатор связан с внутренними маршрутизаторами, ни на интерфейсы, к которым подключены сайты других клиентов. В результате на маршрутизаторе PE создается несколько  таблиц VRF.

Несколько упрощая, можно  считать, что на каждом маршрутизаторе PE создается столько таблиц VRF, сколько  сайтов к нему подключено. Фактически, на маршрутизаторе PE организуется несколько  виртуальных маршрутизаторов, каждый из которых работает со своей таблицей VRF.

Возможно и другое соотношение  между сайтами и таблицами VRF. Например, если к некоторому пограничному маршрутизатору подключено несколько  сайтов одной и той же сети VPN, то для них может быть создана  одна общая таблица VRF. На рис. 3 показаны две таблицы VRF, одна из которых содержит описание маршрутов к узлам сайта А (VRF А), а другая — к узлам сайта В (VRF В).

Использование протокола MP-BGP для связывания сайтов

Чтобы связать территориально разнесенные сайты заказчика  в единую сеть, необходимо, во-первых, создать для них общее пространство распространения маршрутной информации, во-вторых, проложить во внутренней сети пути, по которым принадлежащие  разным сайтам узлы одной и той  же сети VPN могли бы вести защищенный обмен данными.

Механизмом, с помощью  которого сайты, принадлежащие одной  и той же сети VPN, обмениваются маршрутной информацией, является уже упоминавшееся  многопротокольное расширение для  протокола BGP (MultiProtocol extensions for BGP, MP-BGP). Подробное  описание этого протокола можно  найти в спецификации RFC 2858. С его помощью пограничные маршрутизаторы организуют сеансы связи, в рамках которых обмениваются маршрутной информацией из своих таблиц VRF.