Автор: Тарас Юшков. Рубрики: Сети и телекоммуникации. Опубликовано: Апрель 7th, 2010

Данная статья описывает принципы организации и функционирования VPN на базе MPLS.

Общие понятия

VPN — это принцип объединения узлов клиента, находящихся под единым административным подчинением, через публичную сеть оператора(ов).
Определим следующие понятия:

•  CE — маршрутизатор со стороны узла клиента, который непосредственно подключается к маршрутизатору оператора.
• PE — граничный маршрутизатор со стороны оператора (MPLS домена), к которому подключаются устройства CE. PE устройства выполняют функции E-LSR-ов.
•   P — маршрутизатор внутри сети Оператора (MPLS домена). P устройства выполняют функции LSR.

Пусть сеть оператора использует технологию MPLS/VPN. Маршрутизаторы сети Оператора образуют MPLS домен. К оператору подключены несколько клиентов. Каждому клиенту организован его личный VPN. Список узлов клиентов представлен в табл. №1, схема их подключения на рис. №1.


Табл. №1. Пример схемы объединения узлов в VPN
Клиент VPNs Узлы
Клиент№1 A 1, 6
Клиент№2 B 3, 4, 5
Клиент№3 C 2, 8
Клиент№4 D 7, 9

Каждый клиент в рамках своей VPN может свободно обмениваться IP трафиком. В рамках MPLS/VPN допускается организация взаимодействия нескольких разных узлов в соответствии со следующими схемами:

закрытая абонентская группа (Closed User Group — CUG). данная схема предусматривает взаимодействия узлов только друг с другом. Например, в CUG может входить узлы 1, 3, 4, 5, 6. Это означает, что данные узлы будут свободно обмениваться IP трафиком. В рамках CUG не допускается пересечения адресного пространства узлов.
центр-периферия (hub-and-spoke). Схема подразумевает объединение нескольких узлов, один или несколько из которых объявляется центральным, а остальные периферийными. Центральные узлы могут обмениваться IP трафиком друг с другом. Периферийные узлы могут обмениваться трафиком с центральными. Но периферийные узлы не могут обмениваться трафиком друг с другом.


Примечание: Узел может быть как членом закрытой абонентской группы, так и членом группы центр-периферия (как в качестве центрального узла, так и в качестве периферийного).


В примере, приведенном на рисунке, VPN могут объединяться в группы так:

•  Узлы 3, 4, 5, 7, 9 — образуют закрытую абонентскую группу (Closed User Group — CUG).
•  VPN 1, 2, 6, 7, 8, 9 — hub-and-spoke, где узлы 1 и 6 — центральные, 2, 7, 8 и 9 — периферийные VPN (spokes).

В этом случае, допускается пересечения адресных пространств у узлов 3, 4, 5 с 1, 6 и 3, 4, 5 с 2, 8.

Функционирование PE

Для обслуживания клиентов разных VPN на устройстве PE (к которому эти клиенты присоединены) создается несколько виртуальных объектов (по одной на каждый VPN). Называются  такие объекты — VPN Routing and Forwarding (VRF). VRF образовываются:

•  отдельной таблицей IP-маршрутизации, использующейся для маршрутизации пакетов VPN (далее VRF-таблица);
•  множеством интерфейсов устройства PE, по которым подключены устройства CE, принадлежащие одной VPN. То есть, интерфейс на устройстве PE, к которому подключен узел, входящий в VPN Х, принадлежит VRF Х.
Между устройствами CE и PE необходима настройка статической маршрутизации или протокола динамической маршрутизации. В качестве протокола динамической маршрутизации может быть использован RIP, OSPF или BGP. Маршрутная информация, полученная от устройства CE устанавливается в соответствующую VRF-таблицу. Рассмотрим пример на рис. №2. К устройству PE1 подключено три узла CE1, CE2, CE3. CE1 и CE2 принадлежат VPN-у A, а CE3 VPN-у B.

Табл. №2. Разбиение интерфейсов по VRF.
Интерфейс Сосед VPN VRF
int0 CE3 B B
int1 CE2 A A
int2 CE1 A A

Таблица маршрутизации на устройстве PE1 представлена в табл №3.

Табл. №4. Таблица маршрутизации на устройстве PE1
Протокол VRF Подсеть Next-Hop
1 OSPF A 10.1.1.0/24 CE1
2 OSPF А 10.3.1.0/24 CE2
3 RIP B 10.1.1.0/24 CE3

Примечание: Для удобства я объединил все таблицы маршрутизации в одну. Принадлежность маршрута той или иной VRF таблице определяется значением в колонке «VRF».


Запись №1 и №2 в таблице маршрутизации PE1 были созданы на основании маршрутной информации полученной от CE1 и CE2 по протоколу OSPF. Так как данные маршруты были получены от устройств CE1 и CE2, принадлежащих VPN A, то записи принадлежат VRF-таблице A (колонка VRF).
Запись №3 была создана на основании маршрутной информации полученной от устройства CE3 по протоколу RIP. Так как данный маршрут был получен от устройства CE3, принадлежащего VPN B, то запись принадлежит VRF-таблице B.
Заметим, что устройства CE1 и CE2 могут обмениваться трафиком друг с другом через PE1. Для маршрутизации пакетов между устройствами CE1 и CE2 на PE1 используется VRF-таблица А (записи №1 и №2). Устройство CE3 не может обмениваться трафиком ни c CE1, ни с CE2, так как для маршрутизации пакетов пришедших от CE3 используется VRF-таблица B. В этой таблице нет маршрутной информации от CE1 и CE2.
Таким образом, PE1 может осуществлять маршрутизацию трафика для разных VPN на основании разных таблиц маршрутизации. Для того, что бы различные CE, принадлежащие одной VPN и подключенные к разным PE могли обмениваться трафиком необходимо наличие механизмов:

•  коммутации пакетов разных VPN внутри MPLS домена (устройствами LSR);
•  обмена маршрутной информацией между устройствами PE, включая информацию о VPN.

Далее эти механизмы будут рассмотрены детально.

Поделиться

Опубликовать в Facebook
Опубликовать в Google Buzz
Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники
Опубликовать в Яндекс

Мы в социальных сетях

Читать ProITClub в TwitterЧитать ProITClub в RSSЧитать ProITClub в п&##1086;чтовой подпискеЧитать ProITClub в Живом ЖурналеЧитать ProITClub в LinkedInЧитать ProITClub в LinkedIn
Вы можете оставить комментарий, или поставить трэкбек со своего сайта.

Написать комментарий

Вы должны войти чтобы добавить сообщение.