Частные виртуальные сети на основе технологии IP/MPLS

Размещено на http://www.allbest.ru/

Частные виртуальные сети на основе технологии IP/MPLS



Введение

При разработке современных магистральных сетей крупнейших операторов необходимо решать ряд задач, сложность и характер которых зависит от требований к функциональному назначению сети. Основная масса постоянно обновляющихся требований, предъявляемых, в настоящее время, к технологиям глобальных (магистральных) сетей операторов связи, исходит от растущего спроса клиентов на дополнительные услуги. При разработке современных магистральных сетей, отвечающих таким требованиям, выбираются такие технологии и стандарты, которые позволяют в конечном итоге получить сеть, отвечающую требованиям и характеристикам «мультисервисной» сети. Мультисервисная сеть - это сеть, которая образует единую информационно-телекоммуникационную структуру, которая поддерживает все виды трафика (данные, голос, видео) и предоставляет все виды услуг (традиционные и новые, базовые и дополнительные) в любой точке, в любое время, в любом наборе и объеме, с дифференцированным гарантированным качеством и по стоимости, удовлетворяющей различные категории пользователей [1].

Требования предъявляемые к мультисервисной сети можно условно разделить на две части -- базовые требования (которые учитываются при разработке сети практически всегда) и дополнительные требования (требования, которые учитываются при наличии достаточного спроса на них со стороны провайдеров или пользователей). В соответствии с требованиями определяют также и услуги, которые должен предоставлять оператор.

К базовым услугам мультисервисной сети относятся традиционные услуги передачи и доступа:

· передача трафика данных сети Интернет;

· передача традиционного телефонного трафика;

· передача видеотрафика;

· передача трафика мобильных сетей.

К дополнительным услугам относятся следующие:

· передача голосового трафика IP-телефонии;

· доступ в сеть Интернет с заданием следующих параметров: гарантируемой минимальной и возможной максимальной полосы пропускания, допустимой максимальной задержки, допустимых пределов вариации задержки;

· организации виртуальных частных сетей, корпоративных пользователей;

· различные услуги контент-провайдеров;

· услуги по обеспечению гарантированного уровня обслуживания.

Одной из самых важных предоставляемых услуг является услуга организации виртуальных частных сетей корпоративных пользователей. Характерным свойством большинства корпоративных сетей на сегодняшний день является их территориально распределенная структура, вследствие чего, возникает задача объединения территориально распределенных филиалов предприятия и компьютеров удаленных сотрудников в одну сеть. Кроме того, существуют проблемы защиты информации, аутентификации и авторизации пользователей, предоставления доступа к ресурсам, обеспечение независимости адресных пространств.

Изначально, эти задачи решались путем организации собственной частной сети, что подразумевало прокладку выделенных каналов связи, установку маршрутизаторов и устройств доступа. Преимущества частных сетей неоспоримы, это и независимость адресного пространства, и независимый выбор сетевой технологии, и высокий уровень безопасности. Но также неоспорим и тот факт, что с экономической точки зрения такую сеть может себе позволить далеко не каждое предприятие.

Под термином VPN понимают круг технологий, обеспечивающих безопасную и качественную связь в пределах контролируемой группы пользователей по открытой глобальной сети [5]. Цель создания VPN сводится к максимальной степени обособления потоков данных одного предприятия от потоков данных всех других пользователей сети. Такое разделение должно быть обеспечено в отношении параметров пропускной способности потоков, а также, в отношении конфиденциальности передаваемых данных [8].

В свете все более возрастающего интереса к технологии, уже сегодня провайдеры предоставляют планы предоставления услуг с добавленной ценностью поверх своих транспортных сетей VPN, расширяется рынок VPN-продуктов.

Относительно технологий магистральной сети, то для решения возникающих задач разрабатывалось множество архитектур, но в настоящее время все более распространяется архитектура MPLS, которая обеспечивает построение магистральных сетей, имеющих практически неограниченные возможности масштабирования, повышенную скорость обработки трафика и беспрецедентную гибкость с точки зрения организации дополнительных сервисов. Кроме того, технология MPLS позволяет интегрировать сети IP и ATM, за счет чего поставщики услуг смогут не только сохранить средства, инвестированные в оборудование асинхронной передачи, но и извлечь дополнительную выгоду из совместного использования этих протоколов.

В архитектуре MPLS собраны наиболее удачные элементы всех предыдущих разработок, и она уже значительное время назад превратилась в стандарт, благодаря усилиям рабочей группы IETF, отвечающей за развитие MPLS, и компаний, заинтересованных в скорейшем продвижении данной технологии на рынок.

Провайдеры, предлагающие своим клиентам IP-услуги по магистралям MPLS могут поддерживать качество обслуживания (QoS), что позволяет администраторам контролировать такие параметры передачи трафика, как задержка, колебания задержки и потери пакетов в сети. Одним из основных преимуществ QoS является возможность поддерживать разные виды трафика, такие как данные, голос и видео, что позволяет подписывать с заказчиками соглашения о гарантированном качестве услуг.

Учитывая вышесказанное, можно говорить о том, что у технологии VPN MPLS,

несомненно, есть будущее и рассмотрение организации и механизма работы такой сети довольно актуальный вопрос.

Целью моей квалификационной работы является исследование принципов построения VPN сетей на базе технологии MPLS.

Для достижения поставленной цели необходимо решение следующих задач:

· Анализ принципов построения современных глобальных сетей, поддерживающих технологию VPN;

· Исследование и оценка применимости технологии VPN MPLS;

· Построение и оценка виртуальной модели сети VPN MPLS;

Объектом исследования является изучение способов организации VPN сетей, на базе технологий современных глобальных сетей.

Предметом исследования является спроектированная виртуальная сеть, поддерживающая технологию VPN MPLS.



1. Общий анализ принципов построения современных глобальных сетей связи, применяемых для организации VPN сетей. Анализ и сравнение технологии MPLS VPN

1.1 Обзор технологий глобальных сетей, применяемых для построения VPN сетей

Провайдеры предлагают услуги виртуальных частных сетей (Virtual Private Network -- VPN) промышленным пользователям с момента начала эксплуатации сетей на базе TDM и сетей Х.25 с коммутацией пакетов. Позднее сети Frame Relay и сети на основе технологии ATM с несколькими классами обслуживания в значительной степени заменили Х.25 и выделенные линии. Провайдеры служб устанавливают либо фиксированную стоимость служб VPN, либо оплату, зависящую от интенсивности пользования службой.

Термин "виртуальная частная сеть" (VPN) используется операторами связи и провайдерами служб для обозначения совокупности виртуальных каналов закрытых групп пользователей с момента разработки и начала применения служб Х.25, Frame Relay и ATM [15]. Позднее этот термин стал использоваться при управлении промышленными сетями (Enterprise Network Management) для обозначения закрытых групп пользователей в IP-сетях[8].

Пользователи давно осознали преимущества заключения субдоговора на телекоммуникационные услуги с внешними провайдерами (outsourcing) и объединения служб данных, голоса и видео. Поэтому для них желательно использование службы управляемого протокола IP (Managed IP) с соглашениями об уровне обслуживания (Service-Level Agreement -- SLA) на всем маршруте передачи данных (end-to-end) и с гарантированным качеством обслуживания (QoS) [6].

VPN-сети на базе протокола IP быстро становятся основой доставки объединенных голоса и видео и обычных цифровых данных. Многие провайдеры служб предлагают приложения с дополнительными услугами (value-added) в дополнение к своим транспортным VPN-сетям.

Основой обеспечения консолидированных служб являются две уникальные и дополняющие друг друга структуры сетей VPN, которые основаны на технологиях набора открытых стандартов обеспечения безопасности (IP Security - IPSec) и многопротокольной коммутации по меткам (Multiprotocol Label Switching -- MPLS). В настоящей главе рассматриваются доступные в настоящее время топологии и структуры сред VPN.

Использование VPN-функций в протоколе IP позволяет установить в сетях на основе программного обеспечения Cisco IOS магистральные службы расширяемых VPN-сетей 3-го уровня с использованием протокола IP версии 4 (IPv4). VPN-сети протокола IP являются базой, используемой компаниями для размещения и администрирования дополнительных служб, включая приложения, размещение и хранение данных, электронную торговлю и телефонные службы для коммерческих потребителей. В сетях уровня предприятия внутренние сети на базе протокола IP радикально изменили стиль коммерческих компаний. В настоящее время компании перемещают коммерческие приложения в локальные сети с последующим распространением их на распределенную сеть (WAN). Компании также объединяют потребности пользователей, поставщиков и партнеров путем использования внешних сетей (под такой сетью понимается внутренняя сеть, которая обслуживает предприятия). Используя такие сети, компании могут уменьшить производственные расходы за счет автоматизации учета поставок, обмена электронными данными (Electronic Data Interchange -- EDI) и других форм электронной торговли. Для того чтобы воспользоваться этими коммерческими возможностями, провайдерам служб требуется технология VPN-сетей протокола IP, которая предоставляет предприятиям службы частных сетей по совместно используемым инфраструктурам.



1.2 VPN-сети с установлением соединения

VPN-сети с установлением соединения могут быть созданы на базе инфраструктуры 2-го или 3-го уровня. Примерами таких VPN-сетей 2-го уровня могут служить каналы с установлением соединения типа "точка-точка", такие как виртуальные соединения Frame Relay или ATM.

Примером VPN-сетей с установлением соединения 3-го уровня могут служить структуры VPN, созданные с использованием полносвязной или частично-связной топологии туннелей на базе протокола IPSec (с шифрованием для обеспечения конфиденциальности) или с использованием технологии общей инкапсуляцией маршрутизации (Generic Routing Encapsulation -- GRE).

VPN-сети доступа к службе используют механизм установления соединения с коммутацией каналов, обеспечивающие временное безопасное соединение удаленного доступа между индивидуальным пользователем и внутренней или внешней корпоративной сетью (intranet и extranet) через совместно используемую сеть провайдера службы с той же стратегией передачи данных, как и в частной сети. Такие сети используют удаленный доступ к точке присутствия (Point of Presence -- РоР) провайдера ISP с последующей передачей данных по открытой сети Internet с конечным доступом к внутренней корпоративной сети.

Главной проблемой в VPN-сетях с установлением соединения является сложность расширения сети. В частности, эффективность VPN-сетей с установлением соединения без полносвязной топологии далека от оптимальной. Кроме того, в случае VPN-сетей 3-го уровня при передаче по сети Internet невозможно твердо гарантировать качество обслуживания (Quality of Service -- QoS) при передаче данных по такой структуре. С точки зрения менеджеров телекоммуникаций (telecom management) сложность создания виртуальных каналов ATM или Frame Relay сравнима со сложностью создания выделенных линий[13].

Использование VPN-сетей на базе виртуальных каналов требует от провайдера службы создания отдельных виртуальных каналов и управления ими или создания логических маршрутов и управления ими для каждой пары узлов, входящих в группу пользователей и осуществляющих обмен данными. Такое требование эквивалентно построению полносвязной топологии виртуальных каналов, включающей всех пользователей.

VPN-сети 2-го уровня с установлением соединения являются основой VPN-модели передачи информации одного уровня в среде другого. В этой модели провайдер службы предоставляет виртуальные каналы, а обмен маршрутной информацией происходит непосредственно между маршрутизаторами пользователя (т.е. СРЕ).

1.2.1 Сети на основе технологии TDM

Большинство провайдеров служб предлагают пользователям службы сетей с выделенными линиями. Они включают в себя цифровое мультиплексирование, при использовании которого из битового потока практически одновременно выделяются данные двух или более каналов, и их биты передаются поочередно. В Северной Америке провайдеры служб и операторы связи предлагают пользователям линии DS1 и DS3, а в Европе и в Тихоокеанском регионе, как правило, используются линии Е1 и ЕЗ.

Как показано на рисунке 1.1, пользователи А и Б совместно используют физическую инфраструктуру оператора связи, но логически отделены друг от друга механизмом преобразования адресов портов и электронными перекрестными соединениями, которые обеспечиваются оператором связи. Перекрестные соединения обычно обеспечиваются системами DACS (Digital Automatic and CrossConnect System -- система цифрового доступа и коммутации). Однако для достижения указанной цели также широко используются физические соединения.

На рисунке 1.2 показаны физические соединения между пользователями А и Б, а также сеть провайдера службы в целом.

Сеть TDM представляет собой простейший пример виртуальной частной сети, предоставляющей пользователям фиксированную полосу пропускания высокого качества. Большинство операторов связи предоставляют пользователям полосу пропускания, кратную 64 Кбит/с (полоса пропускания одного канала DS0). Более подробная информация о TDM будет приведена далее в работе.

Рисунок 1.1 - Логическая схема использования выделенных линий в VPN-сетях

Рисунок 1.2 - Сеть VPN с выделенными линиями



1.2.2 VPN-сети на основе технологии передачи фреймов

VPN-сети на основе фреймов, такие как Frame Relay и Х.25, используют логические маршруты, определяемые коммутируемыми и постоянными виртуальными каналами. Как показано на рисунке 1.3, при этом несколько закрытых групп пользователей, совместно используют коммутируемую инфраструктуру провайдера службы. Пользователям предоставляется доступ только к тем виртуальным каналам, которые предназначены исключительно для частного использования. Такие каналы PVC или SVC могут предоставляться с фиксированной согласованной скоростью передачи (CIR) или на скорости порта (равной ширине полосы пропускания абонентского канала -- local loop).

Рисунок 1.3 - Структура VPN-сети Frame Relay

На рисунке 1.4 показана физическая картина сети Frame Relay. Оба пользователя А и Б подсоединены к точкам присутствия (Points of Presence -- POPs) провайдера абонентских каналов TDM. Протокол Frame Relay функционирует между локальным CPE-устройством FRAD (например, маршрутизатор) и коммутатором Frame Relay.

Функция межсетевого обмена протокола Frame Relay преобразует фреймы Frame Relay в ячейки ATM для передачи по магистрали ATM.

Более подробное описание технологии Frame Relay будет приведена далее в работе.

В технологии Х.25 на 2-м уровне используются фреймы Х.25, а на 3-м уровне -- пакеты Х.25, в отличие от технологии Frame Relay, в которой используются только фреймы 2-го уровня. Провайдеры службы Х.25 обычно предоставляют по желанию заказчика коммутируемые виртуальные каналы SVC или постоянные каналы PVC, которые описываются идентификаторами логического канала (Logical Channel Identifier-- LCI).

Рисунок 1.4 - Структура сети VPN в среде Frame Relay

Идентификатор LCI включает в себя 4-битовый номер логической группы (Logical Group Number-- LGN) и 8-битовый номер логического канала (Logical Channel Number -- LCN). Х.25 в качестве протокола создания фреймов на 2-м уровне использует сбалансированную процедуру доступа к каналу (Link Access Procedure Balanced -- LAPB).



1.2.3 VPN-сети на основе технологии передачи ячеек

VPN-сети на основе передачи ячеек, такие как ATM и SMDS, используют логические маршруты, определяемые коммутируемыми (SVC) и постоянными (PVC) виртуальными каналами. При этом, как показано на рисунке 1.5, несколько закрытых групп пользователей или потребителей совместно используют коммутируемую инфраструктуру провайдера службы. Пользователям предоставляются виртуальные каналы, зарезервированные исключительно для частного использования. Такие каналы PVC или SVC могут предоставляться со следующими классами обслуживания: CBR, VBR-RT, VBR-NRT, ABR и UBR. В сетях ATM также могут предоставляться перепрограммируемые каналы PVC (soft PVC), представляющие собой гибрид каналов SVC и PVC.

Рисунок 1.5 - Логическая структура VPN-сети ATM

На рисунке 1.6 показана физическая структура сети ATM. Пользователи А и Б подсоединены к точкам присутствия (Points of Presence -- POPs) сети ATM с помощью абонентских каналов TDM или SONET/SDH на полной пропускной способности. АТМ-маршрутизаторы оборудования пользователя (СРЕ) используют виртуальные каналы ATM в качестве транспортного механизма 2-го уровня для передачи данных протокола IP или любого другого протокола 3-го уровня.

Рисунок 1.6 - Физическая структура VPN-сети ATM

1.2.4 VPN-сети 3-го уровня с установлением соединения

VPN-сети 3-го уровня, в которых используется процедура установления соединения, являются основой туннельной модели VPN. При использовании технологий GRE или IP Security (IPSec) создается туннельная модель соединений "точка-точка" через внутреннюю сеть IP или через открытую сеть Internet, в то время как виртуальные частные сети удаленного доступа (Virtual Private Dialup Network -- VPDN) представляют собой гибридную комбинацию удаленного доступа и безопасного туннельного соединения через среду Internet к точке концентрации трафика предприятия, такой как корпоративный шлюз.

Туннельные VPN-сети протокола общей инкапсуляции маршрутизации (Generic Route Encapsulation -- GRE) могут быть использованы для создания IP-соединений типа "точка-точка". Комбинация таких GRE-туннелей может быть использована для построения VPN-сети. Однако присущая GRE-туннелям недостаточная внутренняя безопасность, вытекающая из отсутствия механизмов шифрования, делает GRE-туннели недостаточно защищенными от несанкционированного доступа.

Как показано на рисунке 1.7, использование GRE-туннелей целесообразно для построения VPN-сетей в частной магистральной IP-сети провайдера службы. Они также полезны для передачи по туннельным соединениям потоков данных 3-го уровня, отличных от IP, в частной IP-сети.

Рисунок 1.7 - Туннельные VPN-сети протоколов GRE and IPSec

VPN-сети протокола IPSec с туннельными соединениями представляет собой технологию с высокой степенью безопасности, использующую шифрование и механизм создания туннельных соединений, которые защищают содержимое пакетов при прохождении по IP-сети [5]. Протокол IPSec, как правило, используется при передаче данных через открытые, недостаточно безопасные, IP-сети, такие как Internet. Комбинация туннелей IPSec типа "точка-точка" позволяет создавать VPN-сети в открытых IP-сетях. Большая часть структуры IPSec реализуется на СРЕ-оборудовании пользователя, а провайдеры служб, как правило, предоставляют VPN-службы управляемого протокола IPSec (Managed IPSec). Топология сети, использующей технологию IPSec, приведена на рисунке 1.7. Для пользователей , которым требуется безопасный удаленный доступ, IPSec в настоящее время является единственной практической возможностью получения такого доступа через VPN-сеть.

VPDN-сети, использующие протоколы L2F И L2TP, также предоставляют определенную степень безопасности при удаленном доступе, хотя и не столь высокую, как технология IPSec. высокая эффективность защиты протокола IPSec обеспечивается глубоким шифрованием содержимого с помощью различных разновидностей стандарта шифрования данных (Data Encryption Standard -- DES), таких как 168-битовый стандарт 3DES и аутентификация по заголовкам.

П пользователи получают удаленный доступ к своим корпоративным сетям через службы открытой коммутируемой телефонной сети (Public Switched Telephone Network -- PSTN) или через службы ISDN. Как показано на рисунке 1.8, службы виртуальной частной сети удаленного доступа (Virtual Private Dialup Network -- VPDN) реализуются главным образом по частной IP-магистрали провайдера. Для реализации служб VPDN по IP-сети используются такие протоколы, как протокол пересылки 2-го уровня (Layer 2 Forwarding -- L2F) и протокол туннельного соединения 2-го уровня (Layer 2 Tunneling Protocol -- L2TP).

Удаленные пользователи инициируют соединение удаленного доступа с сетевым сервером доступа (Network Access Server -- NAS), используя протокол РРР. Сервер NAS выполняет аутентификацию вызова и направляет ячейки с помощью протоколов L2F или L2TP к корпоративному шлюзу пользователя. Шлюз принимает вызов, направленный серверу NAS, выполняет дополнительную аутентификацию и авторизацию, после чего завершает сеанс РРР пользователя. Функции аутентификации, авторизации и учета (Authentication, Authorization and Accounting -- AAA) также могут быть выполнены сервером AAA, таким как TACACS+. Все параметры сеанса РРР согласовываются между пользователем удаленного доступа и корпоративным шлюзом. На VPN-сети удаленного доступа, такие как VPDN, имеют определенные ограничения: они не поддаются расширению и не обеспечивают связь "всех-со-всеми".

Рисунок 1.8 - Виртуальная частная сеть удаленного доступа (VPDN)

Протокол туннельного соединения типа "точка-точка" (Point-to-Point Tunneling Protocol -- PPTP), наряду с протоколом шифрования "точка-точка" корпорации Microsoft (Microsoft Point-to-Point Encryption -- MPPE), позволяет VPN-сетям на основе оборудования корпорации Cisco использовать PPTP в качестве протокола туннельного соединения [12]. РРТР представляет собой сетевой протокол безопасной передачи данных от удаленного клиента к серверу частного предприятия путем создания VPN--сети в IP-сети. Протокол РРТР использует туннели по желанию пользователя (также называемые туннелями, инициированными пользователем, client-initiated tunneling), что позволяет клиентам сконфигурировать и установить зашифрованные туннели к туннельным серверам без промежуточного участия сервера NAS в согласовании параметров и установке туннеля.

Протокол РРТР использует МРРЕ в качестве метода шифрования при передаче данных по каналу удаленного доступа или по туннелю VPN-сети. МРРЕ функционирует как вспомогательная функция протокола сжатия типа "точка-точка" корпорации Microsoft (Microsoft Point-to-Point Compression -- MPPC). МРРЕ использует шифровальные ключи длиной 40 или 128 бит. Все ключи создаются на основе передаваемого открытым текстом пароля пользователя. Алгоритм МРРЕ представляет собой механизм шифрования потока, поэтому зашифрованные и расшифрованные фреймы имеют ту же длину, что и первоначальные фреймы. Cisco-реализация МРРЕ полностью совместима и взаимозаменяема с реализацией корпорации Microsoft и использует все доступные опции последней, включая режим шифрования без предыстории.

1.3 VPN-сети без установления соединения

VPN-сети без установления соединения при установке связи между конечными точками не требуют наличия заранее заданного логического или виртуального канала между ними.

Сети 3-го уровня без установления соединения составляют базу одноранговой модели. В такой модели обмен маршрутной информацией происходит между маршрутизаторами СРЕ и маршрутизаторами провайдера.

1.3.1 Обычные VPN-сети протокола IP

Многие провайдеры предоставляют пользователям управляемые службы IP (managed IP services), что дает пользователям возможность подсоединить свои IP-маршрутизаторы СРЕ к частным IP-магистралям провайдера. Большинство провайдеров службы IP организуют свои IP-сети в инфраструктуре 2-го уровня, такой как сеть ATM или Frame Relay. Типичный пример VPN-сети IP приведен на рисунке 1.9.



Рисунок 1.9 - Типовая VPN-сеть протокола IP на основе маршрутизаторов

Обычно провайдеры для различных пользователей конфигурируют на своих магистральных маршрутизаторах несколько протоколов маршрутизации или несколько процессов маршрутизации. Как правило, устройство маршрутизации Cisco (Cisco Routing engine) поддерживает на отдельных маршрутизаторах несколько протоколов маршрутизации для подсоединения сетей, использующих различные протоколы. В протоколы маршрутизации еще при создании закладывался принцип независимого функционирования от других аналогичных протоколов. Каждый протокол собирает и анализирует необходимую ему информацию и реагирует на изменения топологии индивидуальным образом. Например, протокол RIP использует в качестве метрики количество транзитных переходов, а протокол EIGRP -- вектор метрической информации, состоящий из пяти элементов.

Еще более важно то, что маршрутизаторы Cisco, как правило, могут одновременно обрабатывать до 30 процессов динамической IP-маршрутизации. При комбинировании различных процессов маршрутизации на одном маршрутизаторе могут использоваться следующие протоколы (приведены также имеющиеся ограничения):

· до 30 процессов IGRP-маршрутизации;

· до 30 процессов OSPF-маршрутизации;

· один процесс IS-IS;

· один процесс маршрутизации RIP;

· один процесс маршрутизации BGP;

· до 30 процессов маршрутизации EGP.

Пользователи получают доступ к VPN-сетям IP посредством комбинации списков доступа, протоколов маршрутизации и процессов. Самыми сложными проблемами, стоящими перед провайдерами управляемых IP-служб, являются расширяемость и сложность реализации. Большое количество доступных протоколов и процессов маршрутизации, поддерживаемых платформами маршрутизаторов, иногда вынуждает провайдеров размещать в точке присутствия отдельные маршрутизаторы для каждой пользовательской VPN-сети.

1.3.2 VPN-сети на основе коммутации MPLS

VPN-сети MPLS не устанавливают соединений. Механизмы MPLS разделяют потоки данных на категории и обеспечивает конфиденциальность без использования туннельных протоколов 2-го уровня и шифрования. Такой подход значительно упрощает процесс инициализации сети.

Использование технологии MPLS позволяет решить проблемы расширяемости, возникающие при создании сетей Frame Relay и ATM за счет того, что провайдеры могут инициировать несколько сетей VPN для части пользователей, не инициируя все виртуальные каналы всех закрытых групп пользователей, число которых иногда составляет несколько десятков или даже сотен. Пример VPN-сети технологии MPLS приведен на рисунке 1.10. Пользователи А и Б совместно используют инфраструктуру провайдера, сохраняя способность формировать свои собственные замкнутые пользовательские группы с наивысшим возможным для них уровнем безопасности. Они также могут использовать собственные протоколы маршрутизации.



Рисунок 1.10 - Виртуальная частная сеть MPLS

Модель MPLS требует, чтобы CPE-маршрутизаторы осуществляли непосредственный обмен маршрутной информацией только с граничными маршрутизаторами провайдера, вместо обмена такой информацией со всеми CPE-маршрутизаторами, принадлежащими к данной структуре VPN. Принадлежность устройств VPN-сети к замкнутой пользовательской группе фиксируется с помощью метки. Метки содержат информацию о следующем транзитном переходе, атрибуты службы и идентификатор VPN-сети, который обеспечивает конфиденциальность обмена информацией внутри структуры VPN.

На входе в сеть провайдера пакеты, поступающие от маршрутизатора СРЕ, обрабатываются, и им присваиваются метки в соответствии с физическим интерфейсом, на котором они были получены. Назначение меток основано на информации, содержащейся в таблицах маршрутизации и пересылки (VPN Routing and Forwarding -- VRF). Необходимые таблицы составляются заранее, и входящие пакеты исследуются только на входном LSR-устройстве. Базовые устройства или LSR-устройства провайдера (Provider -- Р) лишь отправляют эти пакеты, основываясь на значениях меток.

Применение технологии MPLS дает возможность маршрутизируемым магистралям провайдера поддерживать VPN-сети и обеспечивает прозрачность механизмов 3-го уровня даже через инфраструктуры 2-го уровня [5]. Такой подход позволяет создавать закрытые пользовательские группы и связанные с ними службы.

1.4 Сравнение VPN-технологий

В процессе внедрения VPN-сетей для удовлетворения индивидуальных требований различных пользователей провайдеры должны рассмотреть вопрос о совместном использовании как технологии MPLS, так и IPSec. Обе технологии имеют определенные достоинства и дополняют друг друга, расширяя возможности средств для создания безопасного сквозного соединения VPN в инфраструктуре провайдера и через каналы открытой сети Internet.

В таблице 1.1 приведено сравнение различных технологий VPN и даются рекомендации по выбору подходящего решения на основе используемых приложений, требований безопасности, расширяемости, финансовых возможностей и иных факторов.

Таблица 1.1 Сравнение различных решений для VPN-сетей

	Комментарий	Виртуальные каналы 2-ого уровня	Туннели на 3-м уровне	VPN-сети MPLS
Уровень сложности при установке и управлении	Для быстрого создания новых служб, повышения уровня безопасности, качества обслуживания и поддержки соглашений об уровне обслуживания необходимо иметь усовершенствованные системы мониторинга и анализа проходящих потоков данных	Низкий	Средний	Высокий
Уровень безопасности	Должны предлагаться различные уровни безопасности, включая использование туннелей, шифрование, разделение потоков (traffic separation), аутентификация и управление доступом	Высокий	Высокий	Высокий
	Комментарий	Виртуальные каналы 2-ого уровня	Туннели на 3-м уровне	VPN-сети MPLS
Расширяемость структуры	Должна позволять расширение служб VPN малых и средних предприятий до сетей крупных промышленных пользователей	Средняя	Средняя	Высокая
Качество обслуживания	Должна быть возможность назначать приоритеты критически важным или чувствительным к задержке приложениям и возможность управления в случае возникновения заторов путем изменения ширины полосы пропускания	Высокое	Для реализации QoS необходимо использовать другие технологии	Высокое
Стоимость установки	Прямые и косвенные расходы на установку VPN	Высокие	Средние	Низкие

1.5 Преимущества VPN-сетей MPLS

В настоящем разделе опишем следующие преимущества VPN-сетей MPLS:

· расширяемость;

· безопасность;

· простота создания сетей VPN;

· гибкость адресации;

· соответствие стандартам;

· гибкость структуры;

· сквозные службы задания приоритетов;

· консолидация (объединение разных типов данных);

· перераспределение потоков;

· централизованное обслуживание;

· поддержка интегрированных классов обслуживания;

· модернизация и модификация сети;

· централизованное управление и инициализация путем использования Cisco-протокола управления службой (Cisco Service Management -- CSM).

Расширяемость

Коммутация MPLS была разработана, в частности, для эффективного решения проблем, связанных с расширением сетей. Ее использование позволяет создавать в одной и той же сети десятки тысяч VPN-структур. Структуры VPN на базе технологии MPLS используют паритетную модель и структуру 3-го уровня без установления соединения для создания VPN-сетей с большой степенью расширяемости. Паритетная модель требует, чтобы узел пользователя имел одноранговую связь только с одним граничным маршрутизатором провайдера (Provider Edge router -- РЕ-router), а не со всеми маршрутизаторами СРЕ или граничными маршрутизаторами пользователя (Customer Edge router -- CE-router), которые принадлежат к VPN-сети. Структура без установления соединений позволяет создавать VPN-сети на 3-м уровне, устраняя необходимость в туннелях или виртуальных каналах (VC).

Безопасность

VPN-сети технологии MPLS обеспечивают такой же уровень безопасности, как и VPN-структуры с установлением (Frame Relay или ATM). Пакеты одной VPN-сети не могут случайным образом попасть в другую сеть VPN, поскольку безопасность обеспечивается на границе инфраструктуры провайдера, где пакеты, полученные от пользователя, отправляются в нужную VPN-сеть [7]. В магистрали данные отдельных VPN-сетей перемешаются отдельно. «Снифинг» (попытка получить доступ к РЕ-маршрутизатору) практически невозможен, поскольку IP-пакеты пользователей должны быть получены на конкретном интерфейсе или подинтерфейсе, где они однозначно идентифицируются по VPN-меткам.

Простота создания сети VPN

При создании VPN-сетей не требуется специальных таблиц преобразований для соединений "точка-точка" или дополнительных топологий. Для создания закрытых групп пользователей к внутренним и внешним сетям (т.е. intranet и extranet) могут быть добавлены новые узлы. При таком управлении VPN-сетями узел может находиться в нескольких VPN-сетях, что предоставляет максимальную гибкость при построении инфраструктуры. Функции MPLS выполняются в сети провайдера, а в конфигурировании оборудования пользователя либо вообще нет необходимости, либо требуется лишь незначительное. Среда MPLS прозрачна для маршрутизаторов CPE, а CPE-устройствам пользователя установка службы MPLS не требуется.

Гибкая адресация

Для того чтобы сделать службу VPN более доступной, пользователи провайдера могут создать собственную схему адресации, независимую от схем адресации других пользователей этого провайдера. Многие пользователи используют собственные адресные пространства, в соответствии со спецификацией RFC 1918 и не имеют желания затрачивать время и средства на преобразование открытых IP-адресов для создания соединений внутренней сети. VPN-сети MPLS дают возможность использовать текущее адресное пространство без трансляции сетевых адресов (Network Address Translation -- NAT) и адреса -- как частные внутренние, так и открытые внешние. Использование службы трансляции NAT становится необходимым только в том случае, когда двум VPN-сетям с пересекающимися адресными пространствами требуется установить связь. Эта служба дает возможность использовать собственные незарегистрированные частные адреса и свободно осуществлять связь через открытую IP-сеть.

Соответствие стандартам

Коммутация MPLS может быть использована всеми разработчиками для обеспечения взаимодействия между сетями, содержащими оборудование различных производителей.

Гибкость сетевой структуры

Программное обеспечение Cisco IOS в сочетании е маршрутизаторами и коммутаторами Cisco позволяет провайдерам легко устанавливать межсетевые соединения с другими провайдерами для обеспечения глобального распространения технологии IP на нужные сети.

Сквозные службы задания приоритетов

Механизмы качества обслуживания обеспечивают пользователям необходимое качество коммуникаций на всем протяжении маршрута, а провайдерам позволяют гарантировать выполнение условий соглашений об уровне обслуживания (SLA). Технология MPLS обеспечивает расширяемость QoS и его распространение на многочисленные технологии сквозных соединений.

Объединение различных типов данных

Объединение в одном потоке (консолидация) обычных цифровых данных, голоса и видео позволяет провайдерам уменьшить капитальные расходы и затраты на поддержание работы сети.

Перераспределение потоков

Маршрутизация с перераспределением потоков и резервированием ресурсов (Traffic Engineering Routing with Resource Reservation -- RRR), наряду с использованием расширений протокола RSVP позволяет провайдерам в максимальной степени использовать сетевые ресурсы и добиться оптимальной работы сети. Маршрутизация RRR позволяет оператору применять явно заданные маршруты и принудительно направлять по ним потоки данных, что заменяет традиционные методы IP-маршрутизации и предоставляет пользователю механизмы защиты и быстрого восстановления работы сети в случае отказа устройств. При этом достигается оптимизация работы недостаточно загруженных каналов и более эффективная маршрутизация.

Централизованное обслуживание

Построение VPN-сетей на 3-м уровне позволяет целевым образом предоставлять требуемые службы группам пользователей данной VPN. VPN-сеть должна не только предоставить провайдерам механизм частного подключения пользователей к intranet-службам, но и обеспечить способ гибкого предоставления дополнительных служб отдельным пользователям. При этом вопросы расширяемости приобретают исключительную важность, поскольку пользователи хотят использовать службы частным образом в своих внутренних и внешних сетях (intranet и extranet). Поскольку среды MPLS рассматриваются как частные внутренние сети, новые IP-службы могут быть использованы для следующих целей:

· для многоадресатной рассылки;

· для обеспечения качества обслуживания;

· для поддержки телефонной связи между сетями VPN;

· для централизованных служб внутри сред VPN;

· для соединения "всех-со-всеми".

Интегрированная поддержка классов обслуживания

Уровень качества обслуживания представляет собой важное требование многих потребителей VPN-сетей технологии IP. Функции QoS позволяют выполнить два фундаментальных требования к сети VPN:

· предсказуемое поведение сети и реализация заданной стратегии;

· поддержка различных уровней обслуживания в VPN-сетях MPLS.

Перед тем как потоки данных будут объединены в соответствии со стратегией, задаваемой клиентами, и направлены в пункты назначения по магистрали провайдера, на границе сети производится их классификация и назначение им меток. В магистрали или на границе сети потоки данных могут дифференцироваться по различным классам на основе вероятности отбрасывания пакетов или величины задержки в каналах.

Модернизация и модификация сети

Размещение службы VPN требует ясного плана модификации сети. VPN-сети MPLS уникальны, поскольку их можно построить на базе нескольких сетевых структур, включая IP, ATM, Frame Relay и гибридные сети. Модернизация сети для конечного пользователя упрощается, поскольку на граничном маршрутизаторе пользователя не требуется поддержки служб MPLS, а во внутренней сети пользователя не требуется никаких модификаций.

1.6 Постановка технического задания

Согласно теоретической разработке, представленной в главе 1, и выбранной темы выпускной квалификационной работы необходимо будет построить модель сети VPN на базе технологии MPLS, используя среду Dynampis с графическим интерфейсом GNS3, и также необходимо будет оценить ее работоспособность.

Вся сеть должна быть разбита на две основные части, а именно сеть провайдера и сети клиентов. При этом сети клиентов не должны видеть сеть провайдера и иметь к ней доступ.

Необходимо сконфигурировать сеть таким образом, чтобы сети разных клиентов не имели доступ к сети другого клиента и не видели ее. Но в тоже время могли использовать адреса частных сетей.

Сеть провайдера должна поддерживать разные протоколы маршрутизации, такие как RIP версии 2, OSPF и другие, чтобы обеспечить подключение совершенно разных клиентов к сети провайдера.

Также надо обеспечить работу качества обслуживания. В данной выпускной квалификационной работе реализуем это следующим образом. Сконфигурируем сеть таким образом, чтобы она поддерживала три тарифных плана, а именно Platinum, Gold и Silver. Каждый тарифный план поддерживает скорость доступа 384 Кбит/сек - для клиента А, 512 Кбит/сек - для клиента B и 768 Кбит/сек для клиента С. соответственно.

Спроектированная сеть должна быть хорошо масштабируемой и обеспечивать быстрое подключение нового клиента в сеть.

В ходе проектирования сети необходимо определиться с используемым оборудованием. Оборудование должно отвечать следующим требованиям: надежность, быстродействие, качество.

1.7 Выводы по главе

Термин "виртуальная частная сеть" (Virtual Private Network -- VPN) используется для обозначения группы пользователей внутри некоторой сети. Сети VPN на базе протокола IP быстро становится основой объединения голосовых и видеослужб и служб обычных цифровых данных. Технологии IPSec и MPLS представляют собой доминирующую тенденцию обеспечения консолидированных служб.

VPN-сети с установлением соединения могут быть созданы на базе инфрастуктур 2-го и 3-го уровней. Примером таких сетей на 2-м уровне могут служить VPN-сети Frame Relay и ATM. Примерами VPN-сетей с установлением соединения 3-го уровня могут служить среды которые используют туннельный протокол 2-го уровня IPSec (L2TP), протокол пересылки 2-го уровня (Layer 2 Forwarding -- L2F) и общую инкапсуляцию при маршрутизации (Generic Routing Encapsulation -- GRE). Другим примером VPN-сетей с установлением соединения являются виртуальные сети удаленного доступа VPDN (Access VPDN).

VPN-сети без установления соединения не требуют предварительной установки логического или виртуального канала для создания канала связи между двумя оконечными точками. Такие сети 3-го уровня образуют основу одноранговой модели. При использовании данной модели обмен информацией происходит между маршрутизаторами СРЕ и маршрутизаторами провайдера службы. Примерами VPN-сетей без установления соединений могут служить обычные VPN-сети протокола IP и VPN-сети MPLS.

При создании VPN-сетей в качестве наилучших утвердились две технологии: MPLS и IPSec. Выбор провайдером одной из них должен основываться на требованиях пользователей и обслуживаемых сегментах, на дополнительных службах, которые могут быть предложены пользователям, и на приоритетах собственной сети.



2. Исследование технологии MPLS VPN. Алгоритм настройки сетей MPLS VPN

Виртуальная частная сеть (VPN) представляет собой набор узлов, совместно использующих информацию маршрутизации 3-го уровня. Хотя VPN-сети технологии MPLS не используют процедуру установления соединения, при их создании удается объединить преимущества коммутации 2-го уровня с принципами маршрутизации с установлением соединения 3-го уровня. VPN-сети MPLS позволяют также обеспечить безопасность связи за счет того, что обмен информацией о маршрутизации происходит только между узлами, принадлежащими к данной VPN-сети.

Указанная выше особенность позволяет провайдеру создавать локальные и распределенные сети и предоставлять возможность выхода в среду Internet различным VPN-сетям по общей инфраструктуре, которая также может быть использована для предоставления служб IP, ATM и Frame Relay.

Функции VPN совместно с многопротокольной коммутацией по меткам (Multiprotocol Label Switching -- MPLS) позволяют реализовать в сети провайдера расширяемые магистральные VPN-службы 3-го уровня на базе протокола IPv4. Такие службы могут быть развернуты в маршрутизируемой магистрали 3-го уровня, которая использует среду ATM [4]. В настоящей главе описан процесс развертывания технологии MPLS в маршрутизируемой магистрали. Любой из предложенных ниже подходов позволяет провайдеру предоставлять интегрированные VPN-службы в той же самой инфраструктуре, которая используется для предоставления услуг сети Internet или служб 2-го уровня, таких как VPN-службы с установлением соединения Frame Relay или ATM. В настоящее время протокол IP является единственными протоколом 3-го уровня, который поддерживается Cisco-реализациями средств MPLS совместно с VPN.



2.1 Принцип работы VPN-сетей MPLS

На рисунке 2.1 приведен пример VPN-сети, создаваемой провайдером. Возможность предоставлять пользователям расширяемые VPN-сети полностью отвечает интересам провайдера. Промышленные сети, которые построены на имеющихся или арендуемых частных инфраструктурах 2-го уровня, также могут использовать такие технологии.

Рисунок 2.1 - Виртуальная частная сеть MPLS

Ниже приведены различные компоненты технологии MPLS, используемые для создания VPN-сетей.

· Базовые маршрутизаторы MPLS (Р). Базовые маршрутизаторы, также называемые маршрутизаторами провайдера (Р router), не содержат маршрутов VPN-сетей. Вместе с другими LSR-устройствами провайдера они обычно образуют полносвязную или частично-связную топологию и осуществляют интерфейс с граничными маршрутизаторами провайдера (provider edge -- РЕ router). Р-маршрутизаторы никогда не подсоединяются непосредственно к маршрутизаторам пользователя.

· Граничные маршрутизаторы сети MPLS (MPLS edge routers -- РЕ). Маршрутизаторы точек присутствия, также известные как граничные маршрутизаторы провайдера (Provider Edge router -- РЕ router), содержат VPN-маршруты для поддерживаемых ими сетей VPN. Они являются устройствами того же ранга, что и граничные маршрутизаторы пользователя (Customer Edge router -- СЕ router) и поддерживают интерфейс с базовыми маршрутизаторами провайдера. РЕ-маршрутизаторы являются устройствами того же ранга, что и Р-маршрутизаторы, и соединены с ними или непосредственно с другими РЕ- маршрутизаторами.

· Граничные маршрутизаторы пользователя (Customer Edge router -- СЕ router). Граничным маршрутизаторам пользователя не требуются функции MPLS, а для поддержки соединений они могут использовать обычные методы маршрутизации. Ранговая модель требует, чтобы узел пользователя поддерживал паритетную связь только с одним РЕ-маршрутизатором, в отличие от всех остальных СРЕ- или СЕ-маршрутизаторов, являющихся членами VPN-сети, которая построена на основе других технологий. СЕ-маршрутизаторы никогда непосредственно не подсоединяются к Р-маршрутизаторам.

· Маршрутизаторы пользователя (Customer router -- С-router). Принадлежащим пользователю внутренним маршрутизаторам, также называемым С-маршрутизаторами, не требуется поддерживать функции MPLS, а для поддержки соединений между собой и с СЕ-маршрутизаторами они могут использовать обычные методы маршрутизации.

VPN-сети включают в себя устройства пользователя, подсоединенные к СЕ-маршрутизаторам. СЕ-маршрутизаторы любой из VPN-сетей могут быть подсоединены к любому из РЕ-маршрутизаторов провайдера. РЕ-маршрутизаторы соединены между собой через базовую сеть Р-маршрутизаторов.

2.1.1 Маршрутизация и пересылка пакетов в сетях VPN

Каждая VPN-сеть логически связана с одним или более комплексов маршрутизации и пересыпки (VPN Routing and Forwarding instance -- VRF). Комплекс VRF определяет членство в VPN-сети узла пользователя, подсоединенного к РЕ-маршрутизатору. Экземпляр VRF состоит из таблицы IP-маршрутизации, полученной из нее таблицы экспресс-коммутации корпорации Cisco (Cisco Express Forwarding -- CEF), набора интерфейсов, использующих такую таблицу, и набора правил и параметров протокола маршрутизации, управляющих информацией таблицы маршрутизации.

Между узлами пользователя и VPN-сетями не обязательно существует однозначное соответствие. Как показано на рисунке 2.2, узел может одновременно принадлежать к нескольким VPN-сетям. Однако комплекс VRF может задавать только одну сеть VPN. VRF-комплекс узла пользователя содержит все маршруты, доступные этому узлу из VPN-сетей, членом которых он является.

Для каждого комплекса VRF информация о пересылке пакетов хранится в таблице IP-маршрутизации и в таблице CEF. Для каждого экземпляра VRF поддерживается отдельный набор таблиц маршрутизации и таблиц CEF. Такие таблицы предотвращают выход маршрутной информации за границы VPN-сети и направление пакетов извне VPN-сети на маршрутизатор, находящийся внутри структуры VPN.

Рисунок 2.2 - Узел, принадлежащий нескольким VPN-сетям

Каждый пользователь VPN-сети должен сохранять уникальность своего адресного IP-пространства. Однако если принято решение об объединении двух пользовательских сетей для образования единой сети путем контролируемого импорта маршрутов, то одни должны сохранять уникальность своей IP-адресации, избегая наложения IP-адресов.

Для взаимного обмена пакетами протокола IP версии 4 РЕ-маршрутизаторы используют глобальную IP-таблицу. VRF-таблицы IP-маршрутизации и пересылки используются для обмена информацией внутри VPN-сети. Поскольку РЕ-маршрутизатор может содержать несколько комплексов VRF, каждая комбинация VRF-таблицы IP-маршрутизации и CEF-таблицы пересылки данных может рассматриваться как виртуальный маршрутизатор внутри физического РЕ-маршрутизатора.

Каждая комбинация VRF-таблиц IP-маршрутизации и пересылки содержит маршруты, принадлежащие к одной или более пользовательских VPN-сетей.

Ограничение протокола маршрутизации, используемого внутри VPN-сети, одной VRF-таблицей позволяет осуществлять наложение нескольких VPN-сетей (например, поддержка внешних по отношению к сети пользователя структур VPN). Интерфейсы РЕ-маршрутизаторов логически связаны с индивидуальными комплексами VRF. Информация о маршрутизации, полученная через эти интерфейсы, логически связана с сконфигурированными экземплярами VRF и называется контекстом маршрутизации (routing context). Некоторые протоколы маршрутизации, такие как RIP, поддерживают одновременно несколько контекстов одного протокола, в то время как другие протоколы, такие как OSPF, требуют отдельной копии процесса протокола маршрутизации для каждого комплекса VRF.