Публикация научных статей.
Вход на сайт
E-mail:
Пароль:
Запомнить
Регистрация/
Забыли пароль?
Международный научно-исследовательский журнал публикации ВАК
Научные направления
Поделиться:
Срочные публикации в журналах ВАК и зарубежных журналах Скопус (SCOPUS)!




Разделы: Телекоммуникации
Размещена 20.11.2013.

Построение виртуальной частной сети на базе MPLS

Шнуренко Ольга Евгеньевна

СибГУТИ

магистрант

Тишкова Ю.И. СибГУТИ


Аннотация:
Данная статья посвящена рассмотрению вопроса о виртуальной частной сети на базе многопротокольной коммутации по меткам.


Abstract:
This article deals with the issue of virtual private network based on multiprotocol label switching.


Ключевые слова:
Виртуальная частная сеть, пограничный маршрутизатор, внутренний маршрутизатор, маршрутизаторов с коммутацией меток

Keywords:
virtual Private Network, Edge Router , Internal Router, Label Switch Router


УДК 004.7

 

  Представим, гипотетически, предприятие, работающее на мировом уровне: Офисы разбросаны по всему миру, десятки сотрудников в командировках, работающие «из дома» сотрудники - и все это необходимо объединить в единую сеть. Причем не просто объединить, а организовать доступ, разделить полномочия, обеспечить надежность и безопасность. Естественно можно проложить каналы связи, установить маршрутизаторы и устройства доступа - т.е. организовать свою частную сеть,  и  действительно с построением такой сети практически решена проблема безопасности, доступа к услугам. Предприятие, имеющее такую сеть ни от кого не зависит - ни от операторов, владеющих каналами, ни от производителей. Но везде где есть плюсы, должны быть и минусы. Любое устройство и, тем более, сеть требует технического обслуживания, ремонта и заботы, не говоря уже об усовершенствовании, развитии и контроле. Кроме того, прокладка собственных физических каналов очень дорогостоящее мероприятие, выгоднее воспользоваться существующими каналами, например, арендовать у сервис-провайдеров, с целью организации единой сети. И здесь помогает технология VPN (Virtual Private Network), на основе которой и соединяются все подразделения и филиалы, что обеспечивает достаточную гибкость и одновременно высокую безопасность сети, а также существенную экономию затрат.

В зависимости от того, кто реализует сети VPN, они подразделяются на два вида:

  • Поддерживаемая клиентом виртуальная частная сеть(Customer Provided Virtual Private Network, CPVPN). Провайдер предоставляет только «простые» традиционные услуги общедоступной сети по объединению узлов клиента, а специалисты предприятия самостоятельно конфигурируют средства VPN и управляют ими.
  • Поддерживаемая  поставщиком виртуальной частной сети(Provider Provisioned Virtual Private Network, PPVPN). Поставщик услуг на основе собственной сети воспроизводит частную сеть для каждого своего клиента, изолируя и защищая ее от остальных. 

Помимо деления сетей VPN на CPVPN и PPVPN также можно классифицировать в зависимости от места расположения устройств, выполняющих функции VPN.

Виртуальная частная сеть может строиться:

  • на базе оборудования, установленного на территории заказчика (Customer Edge based VPN, или CE-based VPN). Оборудование VPN расположено на территории клиента, но поставщик управляет им удаленно, что освобождает специалистов предприятия-клиента от достаточно сложных и специфических обязанностей.
  • на базе собственной инфраструктуры поставщика (Provider Edge based VPN, или  PE-based VPN). Поставщик управляет расположенным в его сети оборудованием.

VPN сети обладают следующими преимуществами: почти нет расходов по поддержанию работоспособности сети, достаточно абонентской платы за арендованный канал, удобство организации и перестроения сетевой структуры (добавление/убавление офисов).Кроме того, виртуальные частные сети могут стать хорошей основой для поддержки новых услуг, таких как, электронная коммерция, хостинг приложений и поддержка мультимедиа.

К недостаткам VPN можно отнести: проблемы  защиты данных, недостаток надежности и производительности, а также, отсутствие открытых стандартов затрудняют широкое распространение виртуальных частных сетей.

Разработка  единой  модели  обслуживания  виртуальной  частной  сети могла  бы  упростить  сетевые  операции,  но  такой  подход  не  может удовлетворить  различным  требованиям  клиентов,  так  как  они  уникальны. Каждый клиент предъявляет свои требования к безопасности, числу сайтов, сложности  маршрутизации,  критичным  приложениям,  моделям  и  объемам трафика.  Для  удовлетворения  широкого  спектра  требований,  поставщики услуг должны предлагать клиентам разные модели доставки услуг.

Все сети VPN условно можно разделить на три  вида:.

1) Intranet VPN (внутрикорпоративные VPN)    Представляет  собой  наиболее  простой  вариант VPN, он  позволяет объединить  в  единую  защищенную  сеть  несколько  распределенных филиалов  одной  организации,  взаимодействующих  по  открытым  каналам связи.

2) Extranet VPN (межкорпоративные VPN)- предназначен для обеспечения доступа из сети одной компании к ресурсам сети другой, уровень доверия к которой намного ниже, чем к своим сотрудникам. Новые партнеры имеют  доступ  только к определенной информации.

3) Remote Access VPN (VPN с удаленным доступом)- позволяет реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам удаленно.

Технологии, с помощью которых строятся виртуальные частные сети, оказывают существенное влияние на их свойства. Среди технологий построения VPN можно назвать такие технологии, как: IPSec VPN, MPLS VPN, VPN на основе технологий туннелирования PPTP и L2TP. Во всех перечисленных случаях трафик посылается в сеть провайдера по протоколу IP, что позволяет провайдеру оказывать не только услуги VPN, но и различные дополнительные сервисы (контроль за работой клиентской сети, хостинг Web и почтовых служб, хостинг специализированных приложений клиентов).

Виртуальные частные сети на основе MPLS (MPLS VPN) привлекают сегодня всеобщее внимание. Использование MPLS для построения VPN позволяет сервис-провайдерам быстро и экономично создавать защищенные виртуальные частные сети любого размера в единой инфраструктуре. От других способов построения виртуальных частных сетей, подобно VPN на базе ATM/FR или IPSec, MPLS VPN выгодно отличает высокая масштабируемость, возможность автоматического конфигурирования и естественная интеграция с другими сервисами IP.

Сеть MPLS VPN делится на две области: IP-сети клиентов и внутренняя (магистральная) сеть провайдера, которая служит для объединения клиентских сетей.  У каждого клиента может быть несколько территориально обособленных сетей IP, каждая из которых в свою очередь может включать несколько подсетей, связанных маршрутизаторами. Такие территориально изолированные сетевые элементы корпоративной сети  называются сайтами.

Принадлежащие одному клиенту сайты обмениваются IP-пакетами через сеть провайдера MPLS и образуют виртуальную частную сеть этого клиента. Обмен маршрутной информацией в пределах сайта осуществляется по одному из внутренних протоколов маршрутизации IGP.

Структура MPLS VPN, представленная на рисунке 1, предполагает наличие трех основных компонентов сети:

  • Customer Edge Router (CE) – пограничный маршрутизатор клиента ;
  •  Provider Router (P) – внутренний маршрутизатор магистральной сети провайдера;
  •  Provider Edge Router  (PE) – пограничный маршрутизатор сети провайдера.

1

Рис. 1 Компоненты MPLS VPN

Пограничные маршрутизаторы клиента используются для подключения сайтов клиента к магистральной сети провайдера. Эти маршрутизаторы могут не поддерживать технологию многопротокольной коммутации и ничего не знают о существовании VPN. Поддержка MPLS нужна только для пограничных маршрутизаторов PE, которые должны быть сконфигурированы для поддержки виртуальных частных сетей, поэтому только они «знают» о существующих VPN.

Магистральная сеть провайдера является сетью MPLS, где пакеты IP продвигаются на основе не IP-адресов, а локальных меток. Сеть MPLS состоит из маршрутизаторов с коммутацией меток (Label Switch Router, LSR), которые направляют трафик по предварительно проложенным путям с коммутацией меток (Label Switching Path, LSP) в соответствии со значениями меток. Устройство LSR — это своеобразный гибрид маршрутизатора IP и коммутатора, при этом от маршрутизатора IP берется способность определять топологию сети с помощью протоколов маршрутизации и выбирать рациональные пути следования трафика, а от коммутатора — техника продвижения пакетов с использованием меток и локальных таблиц коммутации.

В сети провайдера среди устройств LSR выделяют пограничные маршрутизаторы (Provider Edge router, PE), к которым через маршрутизаторы CE подключаются сайты клиентов и внутренние маршрутизаторы магистральной сети провайдера (Provider router, P).

Маршрутизаторы CE и PE обычно связаны непосредственно физическим каналом, на котором работает какой-либо протокол канального уровня — например, PPP, FR, ATM или Ethernet. Общение между CE и PE идет на основе стандартных протоколов стека TCP/ IP. Каждый PE-маршрутизатор должен поддерживать столько таблиц маршрутизации, сколько сайтов пользователей к нему подсоединено, то есть на одном физическом маршрутизаторе организуется несколько виртуальных. Причем маршрутная информация, касающаяся конкретной VPN, содержится только в PE маршрутизаторах, к которым подсоединены сайты данной VPN. Таким образом решается проблема масштабирования, неизбежно возникающая в случае наличия этой информации во всех маршрутизаторах сети оператора.

Если рассматривать сеть с позиций VPN, то маршрутизаторы провайдера P непосредственно не взаимодействуют с маршрутизаторами заказчика CE, а просто располагаются вдоль туннеля между входным и выходным маршрутизаторами PE.

Маршрутизаторы PE являются функционально более сложными, чем P. На них возлагаются главные задачи по поддержке VPN, а именно разграничение маршрутов и данных, поступающих от разных клиентов. Маршрутизаторы PE служат также оконечными точками путей LSP между сайтами заказчиков, и именно PE назначает метку пакету IP для его транзита через внутреннюю сеть маршрутизаторов P.

Пути LSP могут быть проложены двумя способами: либо с применением технологии ускоренной маршрутизации (IGP) с помощью протоколов LDP, либо на основе технологии Traffic Engineering с помощью протоколов RSVP или CR-LDP.

MPLS VPN сочетает свойства VPN второго и третьего уровней, так как доставка трафика до пограничного устройства сети провайдера осуществляется с помощью протокола IP (третий уровень), а внутри сети провайдера — с помощью MPLS.

MPLS не обеспечивает безопасность за счет шифрования и аутентификации, как это делает IPSec, но допускает применение данных технологий как дополнительных мер защиты. Провайдер MPLS может предлагать клиентам услуги гарантированного качества обслуживания при использовании методов Traffic Engineering или DiffServ.

Виртуальные сети VPN MPLS ориентированы на построение защищенной корпоративной сети клиента на базе частной сетевой инфраструктуры одной компании. Данный вариант организации сочетает в себе преимущества применения протокола IP с безопасностью частных сетей и предоставляемым качеством обслуживания, которые дает технология MPLS. Сети MPLS VPN больше всего подходят для создания корпоративного пространства для электронной коммерции, обеспечивающего единую сетевую среду для подразделений корпорации и организацию экстрасетей.

Библиографический список:

1. MPLS на службе VPN. [Электронный ресурс]. -Режим доступа: . http://www.masters.donntu.edu.ua/2011/fkita/shepelenko/library/tez8.htm
2. Сети VPN на базе технологии MPLS. [Электронный ресурс]. -Режим доступа: http://www.lessons-tva.info/archive/nov030.html




Рецензии:

20.02.2014, 17:09 Копылов Алексей Филиппович
Рецензия: Следует указать, откуда взята информация, изложенная в статье - ссылок на литературу нет, откуда взяты картинки - не указано. Так не пойдет. После исправления можно рекомендовать к публикации.



Комментарии пользователей:

Оставить комментарий


 
 

Вверх