Usługa wirtualnej prywatnej sieci LAN

Virtual Private LAN Service ( VPLS ) to sposób na zapewnienie komunikacji wielopunktowej z wieloma punktami w sieciach IP lub MPLS opartej na sieci Ethernet . Pozwala geograficznie rozproszonym lokalizacjom współdzielić domenę rozgłoszeniową Ethernet poprzez łączenie witryn za pomocą pseudoprzewodów . Termin witryny obejmuje wiele serwerów i klientów. Technologie, które można wykorzystać jako pseudoprzewody, to Ethernet przez MPLS , L2TPv3 , a nawet GRE . Istnieją dwa IETF śledzą dokumenty RFC (RFC 4761 i RFC 4762) opisujące ustanowienie VPLS.

VPLS to technologia wirtualnej sieci prywatnej (VPN). W przeciwieństwie do L2TPv3, który zezwala tylko na typu punkt-punkt , VPLS umożliwia łączność typu „dowolny-do-dowolnego” (wielopunktowy).

W VPLS sieć lokalna (LAN) w każdej lokalizacji jest rozszerzona do krawędzi sieci dostawcy. Następnie sieć dostawcy emuluje przełącznik lub mostek , aby połączyć wszystkie sieci LAN klientów w celu utworzenia pojedynczej sieci LAN z mostkiem.

VPLS jest przeznaczony do zastosowań wymagających dostępu wielopunktowego lub rozgłoszeniowego.

Założenie siatki

Ponieważ VPLS emuluje sieć LAN, wymagana jest pełna łączność typu mesh. Istnieją dwie metody tworzenia pełnej siatki dla VPLS: przy użyciu protokołu Border Gateway (BGP) i przy użyciu protokołu dystrybucji etykiet (LDP). „Płaszczyzna kontroli” to sposób, za pomocą którego routery brzegowe dostawcy (PE) komunikują się w celu automatycznego wykrywania i sygnalizacji. Automatyczne wykrywanie odnosi się do procesu znajdowania innych routerów PE uczestniczących w tej samej sieci VPN lub VPLS. Sygnalizacja to proces ustanawiania pseudoprzewodów (PW). PW stanowią „płaszczyznę danych”, za pomocą której PE wysyłają ruch VPN/VPLS klienta do innych PE.

BGP zapewnia zarówno automatyczne wykrywanie, jak i sygnalizację. Zastosowane mechanizmy są bardzo podobne do tych stosowanych przy tworzeniu sieci VPN MPLS warstwy 3 . Każdy PE jest skonfigurowany do uczestnictwa w danym VPLS. PE, poprzez użycie BGP, jednocześnie wykrywa wszystkie inne PE w tym samym VPLS i ustanawia pełną siatkę pseudoprzewodów do tych PE.

W przypadku protokołu LDP każdy router PE musi być skonfigurowany do uczestnictwa w danym VPLS, a ponadto musi otrzymać adresy innych PE uczestniczących w tym samym VPLS. Następnie między tymi PE jest tworzona pełna siatka sesji LDP. LDP jest następnie używany do tworzenia równoważnej siatki PW między tymi PE.

Zaletą korzystania z PW jako podstawowej technologii dla płaszczyzny danych jest to, że w przypadku awarii ruch zostanie automatycznie przekierowany wzdłuż dostępnych ścieżek zapasowych w sieci usługodawcy. Przełączanie awaryjne będzie znacznie szybsze niż można by osiągnąć np. za pomocą protokołu Spanning Tree Protocol (STP). VPLS jest zatem bardziej niezawodnym rozwiązaniem do łączenia ze sobą Ethernet w różnych lokalizacjach niż zwykłe połączenie łącza WAN z przełącznikami Ethernet w obu lokalizacjach.

VPLS ma znaczące zalety zarówno dla usługodawców, jak i klientów. Dostawcy usług odnoszą korzyści, ponieważ mogą generować dodatkowe przychody, oferując nową usługę Ethernet z elastyczną przepustowością i zaawansowanymi umowami dotyczącymi poziomu usług (SLA). VPLS jest również prostszy i bardziej ekonomiczny w obsłudze niż tradycyjna usługa. Klienci odnoszą korzyści, ponieważ mogą połączyć wszystkie swoje lokalizacje z siecią Ethernet VPN , która zapewnia bezpieczną, szybką i jednorodną sieć. Co więcej, VPLS stanowi logiczny kolejny krok w ciągłej ewolucji Ethernetu od współdzielonego protokołu LAN 10 Mbit/s do globalnej usługi o przepustowości wielu Gb/s.

Stos etykiet

Pakiety VPLS MPLS mają stos dwóch etykiet. Zewnętrzna etykieta służy do normalnego przekazywania MPLS w sieci usługodawcy. Jeśli BGP jest używany do ustanowienia VPLS, etykieta wewnętrzna jest przydzielana przez PE jako część bloku etykiet. Jeśli używany jest protokół LDP, etykieta wewnętrzna jest identyfikatorem obwodu wirtualnego przypisanym przez protokół LDP podczas pierwszego ustanowienia siatki między uczestniczącymi PE. Każdy PE śledzi przypisaną etykietę wewnętrzną i kojarzy je z instancją VPLS.

Emulacja Ethernetu

PE uczestniczące w sieci VPN opartej na VPLS muszą wyglądać jak most Ethernet do podłączonych urządzeń brzegowych klienta (CE). Odebrane ramki ethernetowe muszą być traktowane w taki sposób, aby CE mogły być prostymi urządzeniami ethernetowymi.

Kiedy PE odbiera ramkę od CE, sprawdza ramkę i poznaje adres MAC CE, przechowując go lokalnie wraz z informacjami o trasowaniu LSP. Następnie sprawdza docelowy adres MAC ramki. Jeśli jest to ramka rozgłoszeniowa lub adres MAC nie jest znany PE, przesyła ramkę do wszystkich PE w siatce.

Ethernet nie ma pola czasu życia (TTL) w nagłówku ramki, więc unikanie pętli musi być zorganizowane w inny sposób. W zwykłych wdrożeniach Ethernet używany jest do tego protokół Spanning Tree. W VPLS unikanie pętli odbywa się według następującej zasady: PE nigdy nie przesyła dalej ramki otrzymanej od PE do innego PE. Wykorzystanie pełnej siatki w połączeniu z z podziałem horyzontu gwarantuje domenę rozgłoszeniową bez pętli.

Skalowalność

VPLS jest zwykle używany do łączenia ze sobą dużej liczby witryn. Dlatego skalowalność jest ważnym problemem, który wymaga rozwiązania.

Hierarchiczny VPLS

VPLS wymaga pełnej siatki zarówno w płaszczyźnie sterowania, jak i danych; może to być trudne do skalowania. W przypadku protokołu BGP problem skalowania płaszczyzny kontrolnej był od dawna rozwiązywany za pomocą reflektorów trasy (RR). RR są szeroko stosowane w kontekście routingu internetowego, a także w kilku typach sieci VPN. Aby skalować płaszczyznę danych dla ruchu multiemisji i emisji, trwają prace nad wykorzystaniem typu punkt-wielopunkt jako podstawowego transportu.

W przypadku LDP opracowano metodę podziału VPLS VPN na dwie lub trzy warstwowe sieci hierarchiczne. Nazywany hierarchicznym VPLS ( HVPLS ), wprowadza nowy typ urządzenia MPLS: przełącznik MTU ( multi-tenant unit ). Ten przełącznik agreguje wielu klientów w jedną PE, która z kolei wymaga tylko jednego połączenia płaszczyzny sterowania i danych z siatką. Może to znacznie zmniejszyć liczbę sesji LDP i LSP, a tym samym odciążyć sieć rdzeniową, koncentrując klientów na urządzeniach brzegowych.

HVPLS (LDP) może być również używany do łączenia ze sobą dwóch struktur siatkowych VPLS. Bez użycia HVPLS każdy węzeł w każdej siatce VPLS musi zostać połączony ze wszystkimi węzłami w innej siatce VPLS. Jednak w przypadku HVPLS te dwie siatki można zasadniczo połączyć ze sobą w określonych miejscach. Techniki, takie jak nadmiarowe pseudoprzewody, mogą zapewnić odporność na awarie w punktach połączeń.

Adresy MAC

Ponieważ VPLS łączy ze sobą wiele domen rozgłoszeniowych Ethernet, skutecznie tworzy znacznie większą domenę rozgłoszeniową. Ponieważ każdy PE musi śledzić wszystkie adresy MAC i powiązane informacje o routingu LSP, może to potencjalnie skutkować dużą ilością pamięci potrzebnej w każdym PE w siatce.

Aby przeciwdziałać temu problemowi, witryny mogą używać routera jako urządzenia CE. Powoduje to ukrycie wszystkich adresów MAC w tej witrynie za adresem MAC CE.

Urządzenia PE mogą być również wyposażone w pamięć adresowalną (CAM), podobnie jak wysokiej klasy przełączniki Ethernet.

Alternatywnym mechanizmem jest użycie MAT (translacji adresów MAC). Jednak w momencie pisania tego tekstu nie ma dostawców zapewniających funkcjonalność MAT.

Automatyczne wykrywanie PE

W sieci VPN opartej na VPLS z dużą liczbą witryn ręczne konfigurowanie każdego uczestniczącego PE nie jest dobrze skalowalne. Jeśli nowy PE zostanie oddany do użytku, każdy istniejący PE musi mieć dostosowaną konfigurację, aby ustanowić sesję LDP z nowym PE. Trwają prace standaryzacyjne, aby umożliwić automatyczne wykrywanie uczestniczących PE. Trwają prace nad trzema wdrożeniami:

LDP

Metoda LDP automatycznego wykrywania PE jest oparta na metodzie używanej przez protokół Label Distribution Protocol do dystrybucji etykiet między routerami P i PE w ramach jednego autonomicznego systemu.

BGP

Metoda BGP automatycznego wykrywania PE jest oparta na metodzie używanej przez sieci VPN warstwy 3 MPLS do dystrybucji tras VPN wśród PE uczestniczących w VPN. Rozszerzenia BGP4 Multi-Protocol (BGP-MP) służą do dystrybucji identyfikatorów VPN i informacji o osiągalności specyficznych dla VPN. Ponieważ protokół IBGP wymaga albo pełnej siatki sesji BGP, albo użycia reflektora tras, włączenie identyfikatora VPN w istniejącej konfiguracji BGP uczestniczących PE zapewnia listę wszystkich PE w tej sieci VPN. Należy zauważyć, że ta metoda służy wyłącznie do automatycznego wykrywania; LDP jest nadal używany do sygnalizacji. Metoda ustanawiania VPLS z BGP opisana powyżej zapewnia zarówno automatyczne wykrywanie, jak i sygnalizację.

PROMIEŃ

Ta metoda wymaga, aby WSZYSTKIE środowiska PE były skonfigurowane z co najmniej jednym serwerem RADIUS . Kiedy pierwszy router CE w określonej sieci VPLS VPN łączy się z PE, używa identyfikacji CE do zażądania uwierzytelnienia od serwera RADIUS. Ta identyfikacja może być dostarczona przez CE lub może być skonfigurowana w PE dla tego konkretnego CE. Oprócz nazwy użytkownika i hasła ciąg identyfikacyjny zawiera również nazwę VPN i opcjonalną nazwę dostawcy.

Serwer RADIUS śledzi wszystkie PE, które zażądały uwierzytelnienia dla określonej sieci VPN i zwraca ich listę do PE żądającego uwierzytelnienia. Następnie PE ustanawia sesje LDP dla każdego PE na liście.

Zobacz też

• Wieloprotokołowe przełączanie etykiet (MPLS)
• Wirtualna linia dzierżawiona (VLL)
• IEEE 1355 , który robi coś zasadniczo podobnego za pośrednictwem sprzętu.
• Wirtualna sieć prywatna (VPN)
• Wirtualna sieć LAN (VLAN)
• Wirtualna rozszerzalna sieć LAN (VXLAN)
• Sieć wirtualna
• Operator Ethernet
• Ethernetowy VPN

Linki zewnętrzne

• „Usługa wirtualnej prywatnej sieci LAN (VPLS) wykorzystująca protokół BGP do automatycznego wykrywania i sygnalizacji”