Технология MPLS L3VPN

Из таблицы VRF1А, связанной  с данным интерфейсом и содержащей маршруты VPNA, извлекается запись о  маршруте к узлу назначения, указывающая  на устройство CE1 в качестве следующего маршрутизатора. Заметим, что запись об этом маршруте была помещена в таблицу VRF1А протоколом IGP. Последний отрезок  путешествия пакета от CE1 до узла 10.1.0.3 осуществляется традиционными средствами IP.

Механизм формирования топологии VPN

Политика экспорта/импорта  маршрутов — мощный инструмент создания сетей VPN разных топологий.

При конфигурировании каждой таблицы VRF задаются два атрибута RT, один для определения политики экспорта, другой — политики импорта маршрутов.

Маршрутные объявления MP-BGP всегда несут атрибут RT, говорящий  об экспорте маршрута. Сравнение значений атрибутов RT в маршрутном объявлении и в параметрах VRF позволяет решить вопрос о принятии или отклонении предлагаемого маршрута. А это  и означает формирование топологии  сети. Рассмотрим этот механизм на примере.

Пусть изображенный на рис. 4 маршрутизатор PE2 получил объявление от PE1. Прежде, чем сохранить информацию о маршруте, он проверяет значение атрибута RT, содержащееся в объявлении, на совпадение с политикой импорта  всех своих таблиц VRF, в данном случае VRF2A и VRF2B. Значение атрибута RT равно WHITE, поэтому маршрут добавляется (после  преобразования в формат IPv4 путем  удаления префикса RD) только в таблицу VRF2A, так как для нее определена политика импорта WHITE. Таблица VRF2B остается в неизменном виде, так как ее политика импорта говорит о том, что в нее должны помещаться только маршруты с атрибутом RT, равным GRAY.

Задание одного и того же значения для политики экспорта и  импорта для всех таблиц VRF определенной сети VPN (именно этот случай для сети VPN A показан на рис. 4) приводит к полносвязной топологии — каждый сайт может посылать пакеты непосредственно тому сайту, в котором находится сеть назначения.

Существуют и другие варианты топологии VPN. Например, за счет конфигурирования политики экспорта/импорта можно  реализовать такую популярную топологию, как «звезда», когда все сайты (spoke) общаются друг с другом через  выделенный центральный сайт (hub).

Для достижения этого эффекта  достаточно определить для VRF центрального сайта политику импорта как Import = spoke, а экспорта как Export = hub, а на таблицах VFR периферийных сайтов поступить наоборот, задав Import = hub, а Export  = spoke (рис.  6). В результате таблицы VRF периферийных сайтов не будут принимать маршрутные объявления друг от друга, поскольку они передаются по сети протоколом MP-BGP с атрибутом RT = spoke, между тем как их политика импорта разрешает получать объявления с атрибутом RT = hub. Зато объявления VRF периферийных сайтов принимает таблица VRF центрального сайта, для которого как раз и определена политика импорта spoke. Этот сайт обобщает все объявления периферийных сайтов и отсылает их обратно, но уже с атрибутом RT = hub, что совпадает с политикой импорта периферийного сайта. Таким образом, в таблицах VRF каждого периферийного сайта появляются записи о сетях в других периферийных сайтах. А в качестве следующего транзитного узла указывается адрес интерфейса PE, связанного с центральным сайтом, поскольку объявление пришло от него. Поэтому пакеты между периферийными сайтами проходят транзитом через пограничный маршрутизатор PE3, подключенный к центральному сайту.

Рис. 6. Конфигурирование звездообразной топологии для сети VPN  A

Из описания механизмов MPLS VPN можно сделать вывод, что процесс  конфигурирования новой или модификации  существующей сети VPN достаточно сложен, но он хорошо формализуется и автоматизируется. Для исключения возможных ошибок конфигурирования, например, приписывания сайту ошибочной политики импорта/экспорта маршрутных объявлений, что может  привести к присоединению сайта  к чужой сети VPN, некоторые производители  разработали автоматизированные программные  системы конфигурирования MPLS.

Степень защищенности

Повысить степень защищенности MPLS VPN можно с помощью традиционных средств, например, применяя средства аутентификации и шифрования протокола IPSec, устанавливаемые в сетях клиентов или в сети поставщика. Услуга MPLS VPN может легко интегрироваться  с другими услугами IP, например, с  предоставлением доступа к Интернету  пользователям VPN с защитой их сети средствами межсетевого экрана, установленного в сети поставщика. Поставщик также  может предоставлять пользователям MPLS VPN услуги, базирующиеся на других возможностях MPLS, в частности, гарантированное  качество обслуживания на основе методов  инжиниринга трафика MPLS. Что же касается сложностей ведения в маршрутизаторах  поставщика услуг таблиц маршрутизации  пользователей, на которые указывают  некоторые специалисты, то они, на наш  взгляд, несколько преувеличены, так  как таблицы создаются автоматически  с помощью стандартных протоколов маршрутизации и только на пограничных  маршрутизаторах (PE). Механизм виртуального маршрутизатора полностью изолирует  эти таблицы от глобальных таблиц маршрутизации поставщика услуг, что  обеспечивает необходимые уровни надежности и масштабируемости решений MPLS VPN. Впрочем, реальное качество данной технологии покажет время и, скорее всего, достаточно скоро.

Технология MPLS VPN не обеспечивает безопасности за счет шифрования и  аутентификации, как это делают технологии IPSec и PPTP, но допускает применение данных технологий как дополнительных мер  защиты в случае необходимости.

Перед MPLS VPN не ставится задача поддержки качества обслуживания, но при необходимости поставщик  может использовать методы дифференцированного  обслуживания и инжиниринга трафика.