Технология организации сетей VPN

Размещено на http://www.allbest.ru/

Содержание

Список сокращений

Введение

1. АНАЛИЗ ПОСТРОЕНИЯ VPN НА ОСНОВЕ ТРАНСПОРТНЫХ СЕТЕЙ IP/MPLS

1.1 Виявлення однократних помилок НСА

1.2 Проблемы передачи разнотипного трафика

1.3 Современные подходы к организации транспортных сетей на базе технологии MPLS

1.4 Сравнительный анализ туннелей MPLS и обычных туннелей

2. АНАЛИЗ ЦЕЛЕСООБРАЗНО РАСПРЕДЕЛЕНИЕ ТРАФИК НА ОСНОВЕМЕТОДОВ ТРАФИКА ИНЖИНИРИНГА (ТЕ)

2.1 Понятие о Traffic Engineering

2.2 Параметры и компоненты проектирования MPLS TE

2.3 Размещение особенностей ТЕ в системе MPLS

Выводы

Литература

Список сокращений

ATM	Режим асинхронной передачи
ABR	Available Bit Rate
AG	Шюз доступа
AAL	Уровень адаптации ATM
BGP	пограничной маршрутизатор
BOCП	Волоконно-оптические системы передачи
CoS	Класс качества
CE	Граничный маршрутизатор пользователя
CBR	Constante Bit Rate
DLCI	Data Link Control Identification
DSL	Digital Subcriber Line
FEC	Forwarding Equivalence Control
GSM	Globale System Mobile
IPSec	IP Security
IMS	Подсистема среды IP-мультимедия
GK	Гейткипер
LSR	Label Switchig Router
LSP	Label Switching Path
LER	Label Edge Router
MPLS	Многопротокольная коммутация по метком
MGC	Media Gatway Controller
MAK	Мультисервисные обонентские концентраторы
NGN	Cети следующего поколения
NGSDH	Системы SDHследующего поколения
OSPF	Открыть кратчайший путь первым
OC	Optical carrier
PSTN	Телефоная сеть общего пользователя(ТФОП)
PDH	Плисинхронной цифровойиерархии
PVC	Постоянные виртуальные каналы
QoS	Качества обслуживание
PE	Граничный маршрутизатор провайдера
RSVP-TE	Resource Reservation Protocol- Traffic Engineering
STM	Синхронный транспортный модуль
SVC	Постоянные виртуальные каналы которые коммутируют
STS	Synchronous Transport Signal
TCP/UDP	Протокол управления передачей
ToS	Type of Service
TG	Шлюз соединительных линий
TTL	Параметр времени жизни
UMTS	Концепция универсальной мобильной связи
UBR	Unspecified Bit Rate
VBR	Variable Bit Rate
VPLS	Сервис виртуальных часных ЛВС
VPN	Virtual Privat Network
VoIP	Речь поверх IP
VRF	Таблица маршрутизации в технологии VPN
VPI/VCI	Virtual Path Identification/Canal Identification
VCAT	Спутниковый терминал в технологии VPN
WDM	Мультиплексирование с разделением по длины волны
WiMax	Cтандарт на оборудование беспроводного широкополосного доступа

Введение

Возрастающий спрос клиентов на организацию виртуальных частных сетей повлек за собой появление различных технологий, предлагающих данный вид сервиса. В связи с протеканием процесса конвергенции эти решения должны соответствовать уровню требований, предъявляемых конвергентными сетями. Это должны быть надежные, безопасные частные сети, отвечающие требованиям по качеству обслуживания при передаче разнотипного трафика.

Существует несколько моделей качества обслуживания. Среди них хотелось бы выделить технологию многопротокольной коммутации по меткам MPLS. Эта технология обладает большой гибкостью в предоставлении новых услуг, масштабируемостью и рядом других достоинств. Совместно с протоколом RSVP-TE MPLS гарантирует предоставление необходимого уровня качества обслуживания каждому потоку, передаваемому по сети провайдера.

Построение виртуальных частных сетей на базе технологии MPLS обладает рядом существенных преимуществ по сравнению с иными подходами к данному вопросу, что позволяет назвать ее ведущей технологией организации сетей VPN.

1. АНАЛИЗ ПОСТРОЕНИЯ VPN НА ОСНОВЕ ТРАНСПОРТНЫХ

СЕТЕЙ IP/MPLS

1.1 Сравнительный анализ построения VPN

В связи с тем, что в последние годы интерес к широкополосным услугам сильно возрос, большинство ведущих телекоммуникационных компаний стараются наиболее качественно предоставить весь спектр услуг.

Если раньше, говоря о широкополосных услугах, в основном имели в виду интеграцию речи и данных, то сегодня к ним все чаще добавляют видео.

Причем видеоприложения начинают играть ключевую роль: они не только делают пакет услуг более привлекательным, но и значительно расширяют круг его потенциальных потребителей.

Росту телекоммуникационного рынка способствует развитие услуг передачи данных (в том числе услуг на базе технологий IP, включая широкополосный доступ и виртуальные частные сети) и голосовых услуг, на долю которых сегодня приходится около двух третей доходов отрасли.

Значительно возрастут и объемы данных, передаваемых в корпоративных сетях. Вследствие чего технологии VPN и VPLS входят в группу важнейших технологий, которые предприятия собираются использовать в ближайшем будущем. Возможно, виртуальные частные сети станут основой для поддержки услуг, предоставляемых сетями нового поколения, поэтому задача выбора технологии построения имеет большое значение.

В последнее время большую популярность приобрела технология MPLS. Данная технология позволяет строить виртуальные частные сети с гарантированным уровнем сервиса, а коммутация на основе меток реализует ускоренное продвижение информационного потока по сети провайдера.

Передача трафика по туннелю MPLS дает требуемый уровень безопасности и снимает необходимость в дополнительном шифровании информации и других мерах защиты.

Цель дипломного проекта заключается в том, чтобы провести количественным методом анализ схожих и отличительных особенностей между мульти-протокольной коммутацией по меткам (MPLS) и традиционным интернет-протоколом (IP). В частности, необходимо рассмотреть ряд других аспектов, которые можно анализировать по их индивидуальным особенностям, поэтому весь спектр данного исследования ограничен следующими характеристиками:

* Перегрузка

* Пропускная способность

* Задержки

* Качество обслуживания

Данные показатели будут представлять собой основу для исследования в дипломном проекте для каждого из этих случаев, поэтому необходимо провести количественный анализ этих показателей. Но поскольку почти все характеристики тесно связаны друг с другом, то подход будет заключаться в том, чтобы, прежде чем приступать к анализу, объединить данные показатели в соответствии с их взаимоотношением.

В конце-концов, в результате установить аналитически "почему" и "как" многопротокольная коммутация по меткам (MPLS) может иметь более широкие возможности в оптимизации трафика в Интернет по сравнению с традиционным протоколом маршрутизации пакетов, таким как интернет-протокол (IP).

1.2 Проблемы передачи разнотипного трафика

Предоставление рассмотренных в первом параграфе широкополосных услуг требует определенного качества, причем для каждой услуги параметры качества различны и определены в специальных документах отрасли, руководящих документах и т.д. Технологии, описанные в параграфе два, призваны обеспечить требуемое качество услуг, для этого они обладают специальными механизмами. Тем не менее, до последнего времени сети передачи данных, голоса и видео строились независимо друг от друга, базировались на разных технологиях и инфраструктурах, а как известно, информационные потоки разных приложений требуют разных уровней обслуживания или типов качества.

Каждому типу трафика требуется свой, определенный уровень качества обслуживания, соответственно технологии обладают различными механизмами обеспечения требуемого качества обслуживания, так в технологии ATM определены 5 классов услуг, которые характеризуются набором параметров. Так, например, класс UBR позволяет пользователю передавать трафик с изменяемой в зависимости от объема информации скоростью, как, например, при организации мультимедийной почты по email.

Для оптимального использования сетевых ресурсов здесь применяется статическое мультиплексирование. А в технологии Frame Relay организация управления нагрузкой в узле осуществляется с использованием прямого и обратного явного уведомления о перегрузках.

Вопрос о качестве услуги зачастую связан с соглашениями об уровне обслуживания, которые обычно описываются на трех параметрах: на доступности услуги, на задержках в сети, на пропускной способности. В соглашениях обычно оговаривается гарантированность доставки определенного процента трафика.

Развитие технологии транспортировки информации привело к тому, что появилась возможность создать такую сеть, которая обеспечила бы удовлетворительные характеристики в смысле передачи информации для практически всех без исключения приложений - от публичной телефонии и интерактивного видео до опроса электросчетчиков. NGN - сеть связи следующего поколения - это мультисервисная сеть, обеспечивающая передачу всех видов медиатрафика, и распределенное предоставление неограниченного спектра телекоммуникационных услуг, с возможностью их добавления, редактирования, распределенной тарификации.

Сеть поддерживает передачу разнородного трафика с различными требованиями к качеству обслуживания и обеспечивает соответствующие требования.

Таким образом, мы можем наблюдать процесс конвергенции, происходящий в современных сетях. В общем случае, под конвергенцией понимают слияние сетей передачи речи и видео с сетями передачи данных, и в первую очередь с Интернет, с целью предоставления одинакового набора услуг пользователям любой сети. Работа по созданию сетей NGN ведется с учетом трех основных требований:

* обеспечение передачи трафика реального времени

* обеспечение передачи данных

* предоставление гарантированного качества обслуживания

При этом выделяют три основных направления работ:

* создание единой транспортной инфраструктуры, реализующей

обеспечение гарантированного QoS.

* организация доступа к сети

* единое управление сетью.

Сеть доступа

В процессе конвергенции сетей, продвигаются и начинают активно внедряться устройства мультисервисного доступа, позволяющие операторам внедрять новые услуги.

Транспортная сеть

Перед транспортным уровнем NGN стоит задача объединения технологий, связанных с различными протоколами и интерфейсами таким образом, чтобы наиболее экономично удовлетворить потребности в скорости, пропускной способности и качестве обслуживания передаваемого трафика.

Сегодня наиболее развитыми технологиями являются технологии IP и ATM. В силу того, что эти технологии имеют много недостатков, они не подходят в качестве решения для транспортной сети. Так, протокол IP, прекрасно удовлетворяет первому требованию, а благодаря технологии VoIP (передаче речи по IP сетям) и второму, но в протоколе IP не предусмотрено функций по обеспечению гарантированного качества обслуживания, соответственно, IP не может быть взят в качестве транспортной технологии сети NGN. В качестве транспортной технологии сети будущего подходит технология MPLS - многопротокольная коммутация на основе меток. Данная технология удовлетворяет заявленным требованиям и не обладает недостатками технологий IP и ATM, кроме того, сам механизм коммутации по меткам в ней реализован весьма удачно.

Качественное обслуживание разнотипного трафика в MPLS реализуется за счет использования механизмов Traffic Engineering. Применение Traffic Engineering позволяет организовать для передачи трафика различных приложений свой туннель LSP в соответствии с необходимым этому потоку уровнем QoS.

1.3 Современные подходы к организации транспортных сетей на базе

технологии MPLS

В рамках технологии MPLS, существует два подхода к предоставлению широкополосных услуг: VPN/MPLS и VPLS. Эти подходы сегодня пользуются все большей популярностью среди операторов, т.к. базируются на технологии MPLS, которая во многих странах уже стала ведущей магистральной технологией в силу ряда своих достоинств, и позволяют предоставлять весь спектр широкополосных услуг.

Обзор решения VPN

Основы построения виртуальных частных сетей

Виртуальная сеть - это выделенная сеть на базе общедоступной сети, поддерживающая конфиденциальность передаваемой информации за счет использования туннелирования и других процедур защиты.

В основе технологии VPN лежит идея обеспечения доступа удаленных пользователей к корпоративным сетям, содержащим конфиденциальную информацию, через сети общего пользования. В качестве среды для создания VPN могут выступать сети Frame Relay, ATM, но наиболее популярны технологии VPN, рассчитанные на создание сетей VPN в среде Интернет.

Виртуальные частные сети могут гарантировать, что направляемый через Интернет трафик так же защищен, как и при передаче внутри локальной сети, при сохранении всех экономических преимуществ, которые можно получить, используя Интернет.

Для получения доступа к сети пользователь VPN проходит через брандмауэр, где осуществляется его аутентификация и авторизация, благодаря чему VPN гарантирует, что доступ к ресурсам сети получат лишь авторизированные пользователи.

Кроме того, для передачи VPN-трафика в сети общего пользования применяются механизмы туннелирования и шифрования. Это позволяет сделать частную информацию невидимой для других пользователей Web и обеспечивает дополнительную защиту при передаче. По своей сути VPN обладает многими свойствами выделенной линии, однако, как уже говорилось, реализуется она в пределах общедоступной среды Интернет.

Проводя сравнение между частными и виртуальными частными сетями, следует выделить ряд несомненных преимуществ VPN:

* технология VPN позволяет значительно снизить расходы по поддержанию работоспособности сети: пользователь платит только абонентскую плату за аренду канала. Кстати, аренда каналов также не вызывает каких-либо затруднений вследствие широкомасштабности сети Интернет.

* удобство и легкость при организации и перестроении структуры сети;

Разработка единой модели обслуживания виртуальной частной сети могла бы упростить сетевые операции, но такой подход не может удовлетворить различным требованиям клиентов, так как они уникальны.

Каждый клиент предъявляет свои требования к безопасности, числу сайтов, сложности маршрутизации, критичным приложениям, моделям и объемам трафика. Для удовлетворения широкого спектра требований, поставщики услуг должны предлагать клиентам разные модели доставки услуг.

Все сети VPN условно можно разделить на три основных вида:

* Внутрикорпоративные VPN (Intranet VPN).

* Межкорпоративные VPN (Extranet VPN).

* VPN с удаленным доступом (Remote Access VPN).

Интрасеть

Представляет собой наиболее простой вариант VPN, он позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи.

Экстрасеть

Вариант построения VPN «Экстрасеть» предназначен для обеспечения доступа из сети одной компании к ресурсам сети другой, уровень доверия к которой намного ниже, чем к своим сотрудникам. Поэтому, когда несколько компаний принимают решение работать вместе и открывают друг для друга свои сети, они должны позаботиться о том, чтобы их новые партнеры имели доступ только к определенной информации.

При этом конфиденциальная информация должна быть надежно защищена от несанкционированного использования. Именно поэтому в межкорпоративных сетях большое значение должно придаваться контролю доступа посредством брандмауэров (Firewalling). Важна и аутентификация пользователей, призванная гарантировать, что доступ к информации получают только те, кому он действительно разрешен,рисунок (х.х).

Рис.1.1.Экстрасеть VPN

VPN с удаленным доступом

Принцип работы VPN с удаленным доступом прост: пользователи устанавливают соединения с местной точкой доступа к глобальной сети (POP), после чего их вызовы туннелируются через Интернет, что позволяет избежать платы за междугородную и международную связь или выставления счетов владельцам бесплатных междугородных номеров (Tollfree Numbers).

Затем все вызовы концентрируются на соответствующих узлах и передаются в корпоративные сети. Однако из-за использования Интернета в качестве объединяющей магистрали, механизмы защиты информации становятся жизненно важными элементами данной технологии (рисунок х.х).

Рис.1.2. VPN с удаленным доступом

Виртуальные частные сети можно считать полноценным видом транспорта для передачи трафика, только если есть гарантии на пропускную способность и другие параметры производительности, а также безопасность передаваемых данных.

Применение туннелей для VPN

Протоколы защищенного канала, как правило, используют в своей работе механизм туннелирования. С помощью данной методики пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель-получатель данных» устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.

Процесс туннелирования (или инкапсуляции) сводится к тому, что пакет протокола более низкого уровня помещается в поле данных пакета протокола такого же или более высокого уровня. Этот механизм используется для безопасности передачи данных через публичные сети путем упаковки пакетов во внешнюю оболочку.

Туннель создается между двумя пограничными устройствами, которые размещаются в точках входа в сеть. Технология туннелирования позволяет зашифровать исходный пакет целиком, вместе с заголовком, а не только его поле данных. Такой зашифрованный пакет помещается в другой пакет с открытым заголовком. Этот заголовок используют для транспортировки данных на участке общей сети.

В граничной точке защищенного канала извлекается зашифрованный заголовок, который будет использоваться для дальнейшей передачи пакета. Как правило, туннель создается только на участке сети общего пользования, где существует угроза нарушения конфиденциальности и целостности данных.

Помимо защиты передаваемой информации механизм туннелирования используют для обеспечения целостности и аутентичности. При этом защита потока реализуется более полно. Туннелирование применяется также и для согласования разных транспортных технологий, если данные одного протокола транспортного уровня необходимо передать через транзитную сеть с другим транспортным протоколом.

Следует отметить, что процесс туннелирования не зависит от того, с какой целью он применяется. Сам по себе механизм туннелирования не защищает данные от несанкционированного доступа или от искажений, он лишь создает предпосылки для защиты всех полей исходного пакета. Для обеспечения секретности передаваемых данных, пакеты на транспортном уровне шифруются и передаются по транзитной сети.

Базовые технологии обеспечения качества услуг

Подключение любой корпоративной сети к публичной вызывает два типа угроз:

* несанкционированный доступ к ресурсам локальной сети, полученный в результате входа в эту сеть.

* несанкционированный доступ к данным при передаче трафика по

публичной сети.

Функции VPN должны обеспечивать защиту от таких угроз путем.

Информационный поток по общественной сети передается по защищенному каналу. Для создания защищенного канала средства VPN используют процедуры шифрования, аутентификации и авторизации.

Шифрование

Методов шифрования довольно много, поэтому важно, чтобы на концах туннеля использовался один и тот же алгоритм шифрования. Кроме того, для успешного дешифрования данных источнику и получателю данных необходимо обменяться ключами шифрования.

Следует отметить, что шифрование сообщений необходимо не всегда. Часто оно оказывается довольно дорогостоящей процедурой, требующей дополнительных приставок для маршрутизаторов, без которых они не могут одновременно с шифрованием обеспечивать приемлемый уровень быстродействия.

Аутентификация

Под аутентификацией понимается определение пользователя или конечного устройства. Аутентификация позволяет устанавливать соединения только между легальными пользователями и, соответственно, предотвращает доступ к ресурсам сети несанкционированных пользователей. В процедуре участвуют две стороны: одна доказывает свою аутентичность, а другая ее проверяет и принимает решение. Чаще всего для аутентификации используется пароль, но могут применяться и другие доказательства. Недостатками применения паролей являются их раскрытие, что частично компенсируется их простотой.

Аутентификация данных свидетельствует об их целостности, а также о

том, что они поступили от конкретного пользователя (при этом используется электронная подпись).

Авторизация

Авторизация подразумевает разграничение предоставляемых абонентам видов услуг. Каждому пользователю предоставляются определенные администратором права доступа.

Эта процедура выполняется после процедуры аутентификации и позволяет контролировать доступ санкционированных пользователей к ресурсам сети.

Вообще, процедуры аутентификации и авторизации выполняют одну задачу и к ним предъявляются одинаковые требования. Целостность передаваемых данных позволяет обеспечить применение электронной подписи.

Анализ построения транспортной сети на основе MPLS-VPN

На организацию виртуальных сетей оказывают влияние различные факторы, одним из них является выбор технологии построения VPN.

Среди технологий построения VPN можно назвать такие технологии как: IPSec VPN, MPLS VPN, VPN на основе технологий туннелирования PPTP, L2TP. Во всех перечисленных случаях трафик посылается в сеть провайдера по протоколу IP, что позволяет провайдеру оказывать не только услуги VPN, но и различные дополнительные сервисы (контроль за работой клиентской сети, хостинг Web и почтовых служб, хостинг специализированных приложений клиентов). Технология MPLS в настоящее время является одной из наиболее перспективных технологий создания VPN. Поэтому будем рассматривать построение VPN на базе MPLS.

В настоящее время в области сетей MPLS VPN существуют два главных направления: BGP/MPLS VPN и VPN с виртуальными маршрутизаторами на базе IP. Оба эти направления соответствуют общей модели MPLS VPN, представленной на рисунке 1.1.

Рис.1.3. Модель MPLS-VPN

Ядро сети на рисунке 1.1 строится на базовых маршрутизаторах MPLS, называемых внутренними маршрутизаторами провайдера P и взаимодействует с пользователем VPN не напрямую, а посредством соединения между граничным устройством маршрутизации заказчика CE (Customer Edge router) и граничным устройством маршрутизации провайдера PE (Provider Edge router). CE могут быть статически подсоединены к PE провайдера через закрепленные каналы или могут использовать коммутируемые линии связи.

Оба метода MPLS VPN сходны в создаваемой провайдером услуги VPN функциональности. В одном методе протокол BGP используется для создания специальных расширенных адресов при передаче пакетов через ядро MPLS, а в другом VR хранят отдельные таблицы путей MPLS для каждой VPN. Фактическая же реализация этих двух методов совершенно различна, а выбор метода - решение провайдера услуг VPN на основе возможностей оборудования, ситуации с взаимодействием сетей и других факторов. Создана новая рабочая группа IETF, названная Provider-Provisioned VPNs (PPVPNs), которая разрабатывает структуру и соответствующие спецификации для этих двух типов сетей VPN.

Сети MPLS/BGP-VPN

Модель MPLS/BGP VPN базируется на расширениях протокола маршрутизации внешнего шлюза BGP, называемых многопротокольными расширениями BGP и касающихся специальных расширенных адресов. Эти адреса используются для обмена информацией о доступности между маршрутизаторами PE только между членами одной и той же VPN.

Каждый маршрутизатор PE в MPLS/BGP VPN поддерживает отдельную таблицу маршрутизации VRF (VPN Routing and Forwarding table). Такая таблица поддерживается для каждого сайта, подключенного к РЕ маршрутизатору.

Если IP-адрес пакета указывает на то, что его надо передать в сайт А, его ищут в таблице (forwarding table) сайта А только в том случае, когда пакет прибывает из сата, ассоциированного с таблицей сайта А. Если сайт связан с несколькими сетями VPN, его таблица VRF может включать данные о маршрутах всех этих сетей. К примеру, сайт СЕ1 принадлежит сети VPNA и VPNB. В этом случае таблица VRF устройства РЕ1, к которому подсоединён CE1, будет содержать информацию о маршрутах сети VPNA и VPNB. Другими словами на устройстве РЕ1 не будет двух отдельных таблиц VRF. Таблицы VRF на устройствах РЕ используются только для пакетов, поступающих из сайта, напрямую подключенного к данному устройству РЕ.

Они не используются для маршрутизации пакетов, поступающих с других маршрутизаторов, установленных в магистрали сервис-провайдера. В результате к одному и тому же адресу в сети могут вести несколько маршрутов, потому что маршрут для передачи каждого пакета определяется в точке, через которую пакет попадает в магистраль.

Данная модель позволяет использовать перекрытие пространств частных IP-адресаций разных предприятий. Основная цель этого типа реализации MPLS VPN -позволить провайдеру обеспечить создать требуемую заказчику конфигурацию VPN. Заказчиком в данном случае может быть предприятие, группа предприятий, которым нужна «Экстранет», другой сервис-провайдер или даже другой провайдер VPN, который может использовать это MPLS- приложение с целью построить сеть VPN своим собственным клиентам.

Существует и другая модель организации MPLS VPN на 3 уровне. Она базируется на принципе образования виртуальных маршрутизаторов. Эта модель не будет рассматриваться из-за малой распространённости. Сегодня если речь идёт о MPLS VPN L3, то понимается MPLS/BGP-VPN.

Организация MPLS VPN

В общем случае у клиента может быть несколько территориально обособленных IP-сетей, каждая из которых, в свою очередь, может включать несколько подсетей, связанных маршрутизаторами.

Такие территориально изолированные сетевые элементы корпоративной сети принято называть сайтами. Принадлежащие одному клиенту сайты обмениваются IP пакетами через сеть провайдера и образуют виртуальную частную сеть этого клиента. Как было указано при обсуждении рисунка 1.1, каждый сайт имеет один или несколько граничных пользовательских маршрутизаторов CE, соединённых с одним или более граничными провайдеровскими маршрутизаторами PE посредством каналов PPP, ATM, Ethernet, Frame Relay и т.п. CE-маршрутизаторы различных сайтов не обмениваются маршрутной информацией непосредственно и даже могут не знать друг о друге.

Адресные пространства подсетей, входящих в состав VPN могут перекрываться, т.е. уникальность адресов должна соблюдаться только в пределах конкретной подсети. Этого удается добиться преобразованием IP-адреса в VPN-IP-адрес и использованием протокола MP-BGP для работы с этими адресами. Каждый PE-маршрутизатор должен поддерживать столько таблиц маршрутизации, сколько сайтов пользователей к нему подсоединено, то есть на одном физическом маршрутизаторе организуется несколько виртуальных. Причём маршрутная информация, касающаяся конкретной VPN, содержится только в PE-маршрутизаторах, к которым подсоединены сайты данной VPN.

Таким образом, решается проблема масштабирования, неизбежно возникающая в случае наличия этой информации во всех маршрутизаторах сети оператора. Считается, что CE-маршрутизатор относится к одному сайту, но сам сайт может принадлежать к нескольким VPN. К PE-маршрутизатору может быть подключено несколько CE-маршрутизаторов, находящихся в разных сайтах и даже относящихся к разным VPN.

Реализация VPN-MPLS

На рисунке 1.2 представлен фрагмент сети VPN MPLS. Данная сеть объединяет несколько удаленных пользователей и сайтов клиентов через сеть провайдера MPLS.

Объединенные сайты и удаленные пользователи одной компании образуют виртуальную частную сеть данного предприятия. Таким образом, на рисунке представлены две VPN: предприятия А, включающая три сайта и удаленных пользователей и предприятия В, включающая два территориально распределенных филиала. В VPN MPLS имеют место два основных потока трафика:

* поток управления, используемый для распространения маршрута VPN и установления пути коммутации меток LSP.

* поток данных, который используется для продвижения информационного потока.

В свою очередь поток управления состоит из двух субпотоков:

* Первый отвечает за обмен маршрутной информацией между PE и CE на границах магистрали поставщика услуг и между маршрутизаторами PE через магистраль провайдера.

* Второй субпоток отвечает за установление пути LSP между маршрутизаторами PE через магистраль поставщика услуг.

Рис 1.4. Виртуальная частная сеть на базе технологии MPLS.

Обмен маршрутной информацией

Механизмом, с помощью которого сайты одной VPN обмениваются маршрутной информацией, служит многопротокольное расширение протокола BGP - MultiProtocol Border Gateway Protocol.

С помощью этого протокола пограничные маршрутизаторы PE организуют взаимные сеансы и в рамках этих сеансов обмениваются маршрутной информацией из своих таблиц маршрутизации VRF. Особенность протокола BGP и его расширений заключается в том, что он получает и передает свои маршрутные объявления не всем непосредственно связанным с ним маршрутизаторам, как протоколы IGP, а только тем, которые указаны в конфигурационных параметрах в качестве соседей.

Независимость адресных пространств VPN обеспечивается за счет применения разделителя маршрутов RD, при помощи которого IPv4 адреса преобразуются в VPN-IPv4 адреса. РЕ-маршрутизатор должен уметь соотносить маршруты, ведущие к конкретным маршрутизаторам СЕ с определенным разделителем RD. Маршрутизатор РЕ может быть сконфигурирован таким образом, чтобы соотносить все маршруты, ведущие к одному СЕ с одним RD или соотносить разные маршруты с разными RD, ведущими к одному СЕ.

Таким образом, применение RD позволило решить задачу установления различных маршрутов к устройствам, имеющим один и тот же IP-адрес, но принадлежащих разным VPN. Вопрос о том, кому отправлять маршрутные объявления, а кому нет, зависит от топологии виртуальной сети.

Таким образом, кроме маршрутов, поступающих от непосредственно подсоединенных к PE сайтов, каждая таблица VRF дополняется маршрутами, получаемыми от других сайтов данной VPN по протоколу MP-BGP. Перед тем, как распространять маршрутные объявления, полученные от сайта, РЕ должен присвоить маршрутам атрибуты Site of Origin, VPN of Origin, Target VPN.

Атрибут Site of Origin (атрибут сайт-источник) уникальным образом идентифицирует сайт, от которого PE-маршрутизатор получил информацию о данном маршруте. Все маршруты, полученные от конкретного сайта должны быть ассоциированы с конкретным значением этого атрибута, даже если сайт имеет несколько соединений с одним PE или соединён с несколькими PE. Для разных сайтов должны использоваться разные атрибуты Site of Origin. Маршрут VPN-IPv4 может быть опционально ассоциирован с атрибутом VPN-источника (VPN of Origin).

Этот атрибут однозначно идентифицирует группу сайтов и соответствующий маршрут, объявленный одним из маршрутизаторов, находящихся в этих сайтах.

В качестве одного из атрибута может быть идентификация предприятия, владеющего сайтом, к которому ведёт маршрут или сети Intranet, к которой он принадлежит. Каждой ассоциированной таблице маршрутизации в PE- маршрутизаторах присваивается один или несколько атрибутов целевой VPN (Target VPN). Когда PE-маршрутизатором создаётся маршрут VPN-IPv4, он ассоциируется с одним или более атрибутами Target VPN. Они переносятся протоколом BGP как атрибуты маршрута.

Каждый маршрут, ассоциированный с Target VPN «Т», должен быть объявлен всем PE-маршрутизаторам, имеющим таблицу маршрутизации, ассоциированную с Target VPN «Т».

Когда такой маршрут принимается PE-маршрутизатором, он имеет право быть включенным в любую из ассоциированных таблиц маршрутизации, имеющих атрибут Target VPN «T». Для обмена маршрутной информацией между СЕ и РЕ существует несколько способов (статическая маршрутизация, протоколы IGP, EBGP).

Возможность применения той или иной технологии обмена маршрутной информацией между PE и CE зависит от того, принадлежит ли CE к «транзитной VPN» или нет.

Сайты виртуальной сети могут принадлежать как одной, так и находится в разных автономных зонах. В первом случае обмен маршрутной информацией производится по протоколу IBGP. Если же сайты находятся в разных AS, то по протоколу IBGP реализуется обмен информацией до граничного маршрутизатора ASBR, а затем этот маршрутизатор должен будет передавать маршрутные объявления ASBR, находящемуся в другой автономной зоне по протоколу EBGP.

Установление LSP-туннеля

Для передачи трафика по сети MPLS следует установить LSP-тракт между маршрутизаторами PE.

Пути LSP могут быть проложены через сеть поставщика услуг двумя способами: либо с применением технологии ускоренной маршрутизации (IGP) с помощью протоколов LDP, либо на основе технологии Traffic Engineering с помощью протоколов RSVP-TE или CR-LDP.

При этом если путь прокладывается при помощи протокола LDP, то обслуживаться он будет согласно модели Best Effort.

Если же поставщик услуг хочет выделить полосу пропускания для пути LSP или использовать регулирование трафика для установления явного пути LSP, используется протокол RSVP, позволяющий поддерживать заданное качество обслуживания и регулирование трафика.

Стоит отметить, что для взаимной совместимости оборудования различных производителей от всех маршрутов PE требуется поддержка протокола LDP. При этом для поддержки связей между маршрутизаторами РЕ создаются туннели, обслуживаемые в соответствии с моделью Best Effort.

При выборе провайдером протокола резервирования ресурсов, образованные на основе данного протокола туннели будут иметь больший приоритет, чем туннели LDP. Между парой маршрутизаторов присутствуют как те, так и другие.

Прокладка LSP означает создание таблиц коммутации меток на всех маршрутизаторах PE и P, образующих данный LSP. На каждый подключенный сайт РЕ-маршрутизатор поддерживает по одной таблице маршрутизации. Эти таблицы используются маршрутизаторами только при получении пакетов от присоединенных к данным РЕ сайтам.

После того, как маршрутизатор СЕ назначит маршрут, связанный с ним маршрутизатор магистральной сети провайдера прописывает локальный путь в своей базе LIB, а затем выбирает из своей базы метку для объявления ее вместе с маршрутом.

В одной системе может существовать несколько путей, которые зависят от передающего информационный трафик сайта.

Принцип передачи патока данных

Передачу трафика пользователя от одного сайта на другой сайт виртуальной частной сети можно разделить на четыре этапа:

* передача потока от СЕ-маршрутизатора источника до входного

пограничного маршрутизатора сети провайдера.

* передача информационного потока от РЕ до Р.

* передача трафика по транзитной области MPLS.

* передача потока от выходного маршрутизатора РЕ до маршрутизатора

назначения СЕ.

Первый этап

Пакет данных, предназначенный для другого сайта, поступает на пограничный маршрутизатор клиента CE. Маршрутизатор СЕ принимает исходящий пакет данных на своем сайте, определяет маршрут следования пакета и передает его к связанному с ним РЕ-маршрутизатору.

Второй этап

При поступлении пакета от маршрутизатора СЕ, маршрутизатор РЕ производит поиск маршрута в таблице VRF. Если пакет предназначается узлу СЕ, подсоединенному непосредственно к рассматриваемому РЕ, он немедленно отсылается этому маршрутизатору.

В противоположном случае, маршрутизатор РЕ обращается к своим таблицам VRF и LIB, формирует стек меток и отправляет пакет на следующий маршрутизатор. После передачи информационного трафика по сети MPLS, РЕ-получатель удаляет метки и отсылает пакет СЕ-маршрутизатору, который определяет дальнейший путь пакета на основе анализа его IP-заголовка.

Третий этап

Маршрутизаторы магистральной сети не имеют сведений о маршрутах к сайтам VPN. Пересылка пакетов осуществляется посредством технологии MPLS: внутренние маршрутизаторы магистральной сети провайдера коммутируют пакет с меткой, меняя верхнюю метку стека на каждом участке пока не достигнет предпоследнего маршрутизатора РЕ перед тем, к которому отправлен пакет. Этот маршрутизатор извлекает верхнюю метку из стека и отправляет пакет к РЕ пограничному маршрутизатору назначения магистральной сети провайдера.

Четвертый этап

Маршрутизатор РЕ, присоединенный к определенной виртуальной сети должен уметь определять как распределены адреса данной сети по ее сайтам.

При получении пакета маршрутизатор РЕ на основе анализа нижней метки стека определяет маршрутизатор СЕ назначения и направляет к нему пакет.

Технология VPLS

VPLS - новая технология и одновременно - услуга, которая может предоставляться большому количеству корпоративных заказчиков и обеспечивать значительные прибыли операторам. Услуга заключается в объединении двух и более удаленных офисов клиента в единую высокоскоростную и защищенную сеть обмена

Основы VPLS

Основу концепции VPLS составляет идея передачи пакетов Ethernet из сети заказчика (включая информацию о внутренних VLAN) по операторской сети «прозрачным» образом абсолютно без изменений. Для этого пакеты инкапсулируются по технологии MPLS, обеспечивающей создание туннелей в сети оператора связи, которые независимы от пользовательского трафика.

Для реализации этой задачи сеть оператора должна быть высоконадежной, поддерживать новейшие механизмы отказоустойчивости, такие как механизм связующего дерева (Rapid Spanning Tree), обеспечивающие наивысшие гарантии доставки пакетов по назначению, также механизмы поддержки качества услуг. Заказчикам не требуется подключаться к IP-сети оператора и настраивать сложные протоколы IP-маршрутизации, они используют простые соединения Ethernet, которые позволяют работать с гораздо большим числом различных сетевых архитектур и топологий.

VPLS особенно эффективна в условиях динамично развивающегося рынка, где прибыль является важнейшей задачей. Вместо установки дорогостоящих маршрутизаторов и оборудования для IP-туннелирования для построения сети доступа и операторской сети могут быть использованы обычные коммутаторы Ethernet, что обеспечивает предоставление высокоскоростных сервисов при меньших затратах. Операторы могут использовать возможности классификации трафика для предоставления услуг, требующих высокого приоритета, например передача голоса по IP.

VPLS использует стандарты IEEE 802.1q и MPLS Martini для инкапсуляции пакетов и их транспорта, также сигнализация VPLS описана ещё в ряде документов IETF.

На входе в сеть оператора, обычно в помещении заказчика, коммутатор Ethernet инкапсулирует пакеты локальной сети в пакеты с тегами 802.1q VLAN, даже если заказчик уже использует VLAN. Этот процесс, называемый VMAN, добавляет к пакету дополнительный тег VLAN, что позволяет идентифицировать принадлежность данного пакета конкретному заказчику. Исходный тег, описывающий принадлежность пакета к одной из внутренних VLAN в сети заказчика, остается на месте и восстанавливается на выходе из операторской сети. Внутри операторской сети работа VPLS может осуществляться двумя основными способами.

Если абонентов немного (менее 4 тыс.), тэги VMAN могут без изменений использоваться для организации соединений. При большем количестве абонентов (тысячах и десятках тысяч) сеть необходимо сконфигурировать для применения инкапсуляции MPLS, которая помещает в пакеты метки, позволяющие определить их происхождение и способы пересылки внутри сети оператора. Независимо от архитектуры сети оператора на выходе из сети пакет заказчика восстанавливается в своем исходном виде, включая возможное наличие тэга VLAN. Это дает заказчику возможность быть полностью независимым от конфигурации сети оператора, что является важнейшей функцией любой услуги по созданию виртуальных частных сетей.

При использовании VPLS допускаются соединения типа «точка-точка» и многоточечные конфигурации. В последнем случае оборудование изучает расположение различных устройств в сети и построение соответствующих таблиц для правильной пересылки пакетов между подключенными точками. С этой целью операторская сеть должна обеспечивать предоставление гарантированной полосы пропускания и защиту от перегрузок и заторов трафика. Для решения этой проблемы существуют механизм классификации трафика Ethernet.

При его применении оператор может управлять выделяемой полосой пропускания с высоким уровнем контроля над реальной скоростью прохождения пакетов в сети. Кроме того, для обеспечения работы приложений, требующих наивысшего приоритета для их трафика, он может использовать классификацию и дополнительные возможности MPLS.

Механизм работы VPLS

VPLS предоставляет многоточечные услуги Ethernet. VPLS может соединить большое количество областей и обеспечить соединения между многочисленными сайтами так, словно эти сайты принадлежать одному частному сегменту локальной сети Ethernet.

В то время как для осуществления многоточечного Ethernet соединения провайдер использует базирующуюся на коммутаторах Ethernet архитектуру, для построения VPLS используется масштабируемая структура сети IP/MPLS. С точки зрения провайдера, использование маршрутных протоколов и процедур маршрутизации IP/MPLS вместо протокола связующего дерева (Spanning Tree Protocol) и меток MPLS вместо VLAN IDs (идентификаторов VLAN), а также использование различных служб провайдера ведет к значительному улучшению масштабируемости VPLS.

Рис.1.5. Пример сети VPLS

Каждый маршрутизатор провайдера PE (Provider Edge), расположенный на границах IP/MPLS сети, обладает особыми качествами VPLS, определенными стандартами IETF, о которых подробнее будет рассказано позже. Каждому предприятию, желающему использовать прозрачные службы Ethernet, оператор выделяет домен VPLS.

Каждый такой домен может рассматриваться как частная сеть Ethernet, которую провайдер реализует в своей сети, а каждый связанный с филиалом маршрутизатор создает «экземпляр VPLS». Каждый VPLS домен состоит из некоторого количества РЕ, соединяющих экземпляры VPLS, находящиеся в этом определенном VPLS домене, между собой. Упростим ситуацию, допустим, что есть только один VPLS домен для какого-то предприятия и на один экземпляр VPLS приходится один РЕ, соединяющий принадлежащие этому предприятию сайты. Первым делом в домене VPLS провайдерской сети для всех экземпляров VPLS, необходимо создать полный набор путей коммутации по меткам (LSP). В зависимости от реализации VPLS издержки на LSP при добавлении новых экземпляров VPLS могут оказаться более или менее значительными.

Рис.1.6. Полный набор путей коммутации меток (LSP) между РЕ.

Для организации необходимого количества внешних туннелей для РЕ используется расширенный метод обнаружение соседей MPLS, то есть направленные сообщения Hello, передаваемые по UDP. Потом устанавливается TCP сессия, и далее для создания LSP используются сигнальные сообщения протокола LDP.

Рис.1.7. Использование протоколов UDP, TCP, LDP для создания LSP.

После того как полный набор LSP туннелей будет организован для всех РЕ, экземпляр VPLS должен назначить идентификаторы VPLS и, получив сигнал от каждого РЕ, сообщить ему идентификатор VPLS Virtual Circuit Label или VC Labels. Для установления VPLS или VC-ID туннелей каждый РЕ инициирует направленную LDP сессию с каждым РЕ в экземпляре VPLS, чтобы организовать два виртуальных канала (т.к. виртуальные каналы как и туннели однонаправленные, то, соответственно, организуется один виртуальный канал в одном туннеле и второй виртуальный канал в обратном направлении в другом туннеле) - VC или VPLS LSP, внутри внешнего туннеля LSP.

Рис.1.8. MPLS VPLS Label Stacking.

Если построение связной сети LSP завершено, то экземпляры VPLS могут принимать кадры Ethernet от любого филиала и в зависимости от МАС-адреса передавать дальше по соответствующим LSP.

Это возможно благодаря тому, что VPLS позволяет РЕ маршрутизатору работать в качестве «обученного» моста, т.е. для каждого экземпляра VPLS каждый РЕ имеет таблицу МАС-адресов. Основными функциями VPLS моста являются: «Обучение» и удаление МАС-адресов, передача неизвестного трафика, дублирование и многоточечная или широковещательная рассылка неизвестных пакетов. «Обучение»VPLS мостов МАС-адресам происходит также, как и «обучение» мостов Ethernet. А именно, МАС-адрес ХХХ посылается широковещательно, как ARP-запрос. Устройства запоминают этот МАС-адрес и ассоциируют его с конкретным LSP.

Рис.1.9. «Обучение» МАС-адресам.

РЕ1 запоминает, что VPLS 100 имеет МАС-адрес ХХХ, принадлежащий порту 1. Когда РЕ2 и РЕ3 широковещательно получают запрос, они фиксируют у себя МАС-адрес ХХХ и ассоциируют его с LSP, который ведет к РЕ1. Далее когда с МАС-адреса ZZZ посылается ответ на адрес ХХХ, РЕ2 закрепляет за адресом ZZZ у себя порт 1, а РЕ1 запоминает, что ZZZ принадлежит РЕ2 удаленно и ассоциирует его с LSP, связывающим РЕ1 и РЕ2. Тоже самое происходит, когда посылается ответ с адреса YYY на адрес ХХХ, т.е. РЕ3 локально прикрепляет к YYY порт 1, а РЕ1 - удаленно и ассоциирует этот адрес с LSP, идущим от него к РЕ3.

Другими словами, у каждого экземпляра VPLS есть РЕ маршрутизатор, которому предоставляется таблица МАС-адресов, которая заполняется в процессе отслеживания МАС-адресов или процессе «обучения», когда Ethernet кадры поступают на специальный физический или логический порт, т.е. по этой таблице маршрутизатор проверяет и распознает поступающие на порт кадры Ethernet.

Таким же образом работают и коммутаторы Ethernet сегодня. После поступления кадра на порт со стороны предприятия маршрутизатор сверяет МАС-адрес места назначения с таблицей и без изменений направляет кадр на LSP или дальше к определенному пограничному маршрутизатору. Если этого МАС-адреса нет в таблице, Ethernet кадр дублируется и рассылается на все логические порты, связанные с этим экземпляром VPLS, за исключением порта доступа, куда этот кадр только что пришел (лавинная маршрутизация). Если пограничный маршрутизатор получает информацию о назначении адреса на особый порт, он обновляет таблицу. Как и в коммутаторе, МАС-адрес, долгое время неиспользуемый, устаревает и в целях сохранения компактности таблицы МАС-адресов удаляется.

1.4 Сравнительный анализ туннелей MPLS и обычных туннелей VPN

Туннели MPLS позволяют передавать данные любого протокола вышестоящего уровня (например, IP, IPX, кадры Frame Relay,ячейки ATM), так как содержимое пакетов вдоль всего пути следования пакета остается неизменным, меняются только метки. В отличие от них, туннели IPSec поддерживают передачу данных только протокола IP, а протоколы PPTP и L2TP позволяют обмениваться данными по протоколам IP, IPX или Net BEUI.

Безопасность передачи данных в MPLS обеспечивается за счёт определённой сетевой политики, запрещающей принимать пакеты, снабжённые метками, и маршрутную информацию VPN-IP от непроверенных источников. Она может быть повышена использованием стандартных средств аутентификации и/или шифрования (например, шифрование IPSec).

Для безопасной передачи данных в протокол IP Security включены определенные процедуры шифрования IP-пакетов, аутентификации, обеспечения защиты и целостности данных при транспортировке, вследствие чего, туннели IPSec обеспечивают надежную доставку информационного трафика.

Протокол L2TP поддерживает процедуры аутентификации, туннелирования информационного потока, а PPTP помимо данных функций снабжен и функциями шифрования. Применение меток MPLS позволяет реализовать ускоренное продвижение пакетов по сети провайдера. Транспорт MPLS не считывает заголовки транспортируемых пакетов, поэтому используемая в этих пакетах адресация может носить частный характер.

Содержимое пакетов не считывается и при передаче IP- пакетов по протоколам IPSec, PPTP, L2TP. Однако, в отличие от MPLS традиционные протоколы туннелирования для транспортировки IP-пакетов используют традиционную IP-маршрутизацию.

При выборе пути следования пакета в MPLS учитываются различные параметры, оказывающие влияние на выбор маршрута. Совместная работа технологии многопротокольной коммутации и механизмов Traffic Engineering позволяет для каждого туннеля LSP предоставить требуемый уровень качества обслуживания за счет процедуры резервирования ресурсов на каждом маршрутизаторе вдоль пути следования пакета. Помимо этого, появляется возможность отслеживать действительный маршрут, проходящий через сформированный туннель, возможность диагностики и административного контроля туннелей LSP.

Различные туннели, в соответствии с необходимым уровнем QoS между двумя точками поддерживает и протокол L2TP. Технология VPN IPSec не поддерживает параметров качества обслуживания установленного соединения, а протокол PPTP поддерживает один единственный туннель между двумя точками. Нельзя не отметить и тот факт, что весь трафик при использовании традиционных IP-туннелей следует до адресата вдоль одного и того и того же пути. Технология MPLS позволяет контролировать потоки, передаваемые по множеству всех имеющихся путей до адресата.

С точки зрения многоадресной рассылки стоит отметить, что ни одна из рассматриваемых технологий ее не поддерживает, но относительно MPLS-TE она находится в разработке. MPLS VPN может быть создана для поддержки критически важных приложений на круглосуточной основе. В этом случае провайдер услуг определяет фиксированный путь на срок контракта с пользователем. В случаях сбоя или отсутствия пропускной способности приоритет отдается более важным потокам (с более высоким приоритетом).

Одна из функций MPLS - объединение виртуальных каналов, когда несколько туннелей MPLS объединяются для создания единого туннеля. Такая структура распространяет VPN на базе MPLS в сети оператора на сеть внутри офиса и прямо до сервера или клиента. При подобном расширении VPN оператору может быть предоставлена ответственность по управлению для обеспечения непрерывного контроля за CoS из конца в конец.

2. АНАЛИЗ ЦЕЛЕСООБРАЗНОГО РАСПРЕДЕЛЕНИЯ ТРАФИКА НА

ОСНОВЕ МЕТОДОВ ТРАФИКА ИНЖИНИРИНГА (ТЕ)

2.1 Понятие о Traffic Engineering

Под термином Traffic Engineering понимают методы и механизмы сбалансированного загрузки всех ресурсов сети за счет рационального выбора пути прохождения трафика через сеть. Механизм управления трафиком позволяет устанавливать явный путь, которым будут передаваться потоки данных. Необходимость наличия этого механизма и серьезность разработок усовершенствований в направлении подтверждается созданием в составе Группы разработки инженерных задач Интернета (IETF) рабочей группы Traffic Engineering (TEWG) и изданием ею своего основного документа: RFC 3272 «Overview and Principles of Internet Traffic Engineering».

При традиционной маршрутизации IP-трафик маршрутизуеться посредством передачи его от одной точки назначения до другой и следует до пункта назначения по пути с наименьшей суммарной метрика сетевого уровня.

Следует отметить, что при наличии в сети нескольких равноценных альтернативных маршрутов трафик делится между ними, и нагрузку на маршрутизаторы и каналы связи распределяется сбалансированнее. Но если маршруты не являются полностью равноценными, распределение трафика между ними не происходит.

Еще один существенный недостаток традиционных методов маршрутизации трафика в сетях IP состоит в том, что пути выбираются без учета текущего загрузки ресурсов сети. Даже если кратчайший путь уже перегружен, то пакеты все равно будут отсылаться этим путем. Имеющаяся убыточность методов распределения ресурсов сети - одни из них работают с перегрузкой, а другие не используются вовсе. Никакие методы QoS данную проблему решить не смогут: нужны качественно иные механизмы. Технология управления трафиком - достаточно эффективный механизм использования ресурсов сети.