Построение сетей MPLS VPN
Климов ДА, МТУСИ
В настоящее время в области сетей MPLS VPN существуют два главных направления: BGP/MPLS VPN и VPN с виртуальными маршрутизаторами на базе IP Ядро сети строится на базовых маршрутизаторах MPLS, называемых внутренними маршрутизаторами провайдера P, и взаимодействует с пользователем VPN не напрямую, а посредством соединения между граничным устройством маршрутизации заказчика CE (Customer Edge router) и граничным устройством маршрутизации провайдера PE (Provider Edge router). CE могут быть статически подсоединены к PE провайдера через закрепленные каналы или могут использовать коммутируемые линии связи.
Оба метода MPLS VPN сходны в создаваемой провайдером услуги VPN функциональности. В одном методе протокол BGP используется для создания специальных расширенных адресов при передаче пакетов через ядро MPLS, а в другом VR хранят отдельные таблицы путей MPLS для каждой VPN. Фактическая же реализация этих двух методов совершенно различна, а выбор метода — решение провайдера услуг VPN на основе возможностей оборудования, ситуации с взаимодействием сетей и других факторов. Создана новая рабочая группа IETF, названная Provider-Provisioned VPNs (PPVPNs), которая разрабатывает структуру и соответствующие спецификации для этих двух типов сетей VPN.
Модель MPLS/BGP VPN базируется на расширениях протокола маршрутизации внешнего шлюза BGP, называемых многопротокольными расширениями BGP и касающихся специальных расширенных адресов. Эти адреса используются для обмена информацией о доступности между маршрутизаторами PE только между членами одной и той же VPN. Каждый маршрутизатор PE в MPLS/BGP VPN поддерживает отдельную таблицу маршрутизации VRF (VPN Routing and Forwarding table). Такая таблица поддерживается для каждого сайта, подключенного к РЕ маршрутизатору.
Если IP-адрес пакета указывает на то, что его надо передать в сайт А, его ищут в таблице (forwarding table) сайта А только в том случае, когда пакет прибывает из сайта, ассоциированного с таблицей сайта А. Если сайт связан с несколькими сетями VPN, его таблица VRF может включать данные о маршрутах всех этих сетей. К примеру, сайт СЕ1 принадлежит сети VPNA и VPNB. В этом случае таблица VRF устройства РЕ1, к которому подсоединён CE1, будет содержать информацию о маршрутах сети VPNA и VPNB. Другими словами на устройстве РЕ1 не будет двух отдельных таблиц VRF
Таблицы VRF на устройствах РЕ используются только для пакетов, поступающих из сайта, напрямую подключенного к данному устройству РЕ. Они не используются для маршрутизации пакетов, поступающих с других маршрутизаторов, установленных в магистрали сервис-провайдера. В результате к одному и тому же адресу в сети могут вести несколько маршрутов, потому что маршрут для передачи каждого пакета определяется в точке, через которую пакет попадает в магистраль. Данная модель позволяет использовать перекрытие пространств частных IP-адресаций разных предприятий. Основная цель этого типа реализации MPLS VPN — позволить провайдеру обеспечить создать требуемую заказчику конфигурацию VPN. Заказчиком в данном случае может быть предприятие, группа предприятий, которым нужна "Экстранет", другой сервис-провайдер или
даже другой провайдер VPN, который может использовать это MPLS-приложение с целью построить сеть VPN своим собственным клиентам.
Существует и другая модель организации MPLS VPN на 3 уровне. Она базируется на принципе образования виртуальных маршрутизаторов. Эта модель не будет рассматриваться из-за малой распространённости. Сегодня если речь идёт о MPLS VPN L3, то понимается MPLS/BGP-VPN.
В общем случае у клиента может быть несколько территориально обособленных IP-сетей, каждая из которых, в свою очередь, может включать несколько подсетей, связанных маршрутизаторами. Такие территориально изолированные сетевые элементы корпоративной сети принято называть сайтами. Принадлежащие одному клиенту сайты обмениваются IP пакетами через сеть провайдера и образуют виртуальную частную сеть этого клиента. 1^ажды1й сайт имеет один или несколько граничных пользовательских маршрутизаторов CE (рис.1), соединённых с одним или более граничными провайдеровскими маршрутизаторами PE посредством каналов PPP, ATM, Ethernet, Frame Relay и т.п. CE-маршрутизаторы различных сайтов не обмениваются маршрутной информацией непосредственно и даже могут не знать друг о друге.
н
Адресные пространства подсетей, входящих в состав VPN могут перекрываться, т.е. уникальность адресов должна соблюдаться только в пределах конкретной подсети. Этого удается добиться преобразованием IP-адреса в VPN-IP-адрес и использованием протокола MP-BGP для работы с этими адресами.
Каждый PE-маршрутизатор должен поддерживать столько таблиц маршрутизации, сколько сайтов пользователей к нему подсоединено, то есть на одном физическом маршрутизаторе организуется несколько виртуальных Причём маршрутная информация, касающаяся конкретной VPN, содержится только в PE-маршрутизаторах, к которым подсоединены сайты данной VPN.
Таким образом, решается проблема масштабирования, неизбежно возникающая в случае наличия этой информации во всех маршрутизаторах сети оператора. Считается, что CE-маршрутизатор относится к одному сайту, но сам сайт может принадлежать к нескольким VPN. К PE-маршрутизатору может быть подключено несколько CE-маршрутизаторов, находящихся в разных сайтах и даже относящихся к разным VPN.
Реализация VPN-MPLS
На рис. 2 представлен фрагмент сети VPN MPLS. Данная сеты объединяет несколько удаленных пользователей и сайтов клиентов через сеть провайдера MPLS. Объединенные сайты и удаленные
пользователи одной компании образуют виртуальную частную сеть данного предприятия.
Таким образом, на рисунке представлены две VPN: предприятия А, включающая три сайта и удаленных пользователей? и предприятия В, включающая два территориально распределенных филиала. В VPN MPLS имеют место два основных потока трафика:
• поток управления, используемый для распространения маршрута VPN и установления пути коммутации меток LSP;
•поток данных, который используется для продвижения информационного потока.
В свою очередь поток управления состоит из двух субпотоков: •первый отвечает за обмен маршрутной информацией между PE и CE на границах магистрали поставщика услуг и между маршрутизаторами PE через магистраль провайдера;
•второй субпоток отвечает за установление пути LSP между маршрутизаторами PE через магистраль поставщика услуг.
Обмен маршрутной информацией
Механизмом, с помощью которого сайты одной VPN обмениваются маршрутной информацией, служит многопротокольное расширение протокола BGP — MultiProtocol Border Gateway Protocol. С помощью этого протокола пограничные маршрутизаторы PE организуют взаимные сеансы и в рамках этих сеансов обмениваются маршрутной информацией из своих таблиц маршрутизации VRF, таким образом, работа многих частных виртуальных сетей практически не зависит от технологии, применяемой в сети (за исключением механизма составления таблиц маршрутизации VRF).
Особенность протокола BGP и его расширений заключается в том, что он получает и передает свои маршрутные объявления не всем непосредственно связанным с ним маршрутизаторам, как протоколы IGP, а только тем, которые указаны в конфигурационных параметрах в качестве соседей. Независимость адресных пространств VPN обеспечивается за счет применения разделителя марш-
рутов RD, при помощи которого IPv4 (в последнее время IPv6) адреса преобразуются в VPN-IPv4 (или VPN-IPv6) адреса. РЕ-маршрутизатор должен уметь соотносить маршруты, ведущие к конкретным маршрутизаторам СЕ с определенным разделителем RD.
Маршрутизатор РЕ может быть сконфигурирован таким образом, чтобы соотносить все маршруты, ведущие к одному СЕ с одним RD или соотносить разные маршруты с разными RD, ведущими к одному СЕ. Таким образом, применение RD позволило решить задачу установления различных маршрутов к устройствам, имеющим один и тот же IP-адрес, но принадлежащих разным VPN. Вопрос о том, кому отправлять маршрутные объявления, а кому нет, зависит от топологии виртуальной сети. Таким образом, кроме маршрутов, поступающих от непосредственно подсоединенных к PE сайтов, каждая таблица VRF дополняется маршрутами, получаемыми от других сайтов данной VPN по протоколу MP-BGP Перед тем, как распространять маршрутные объявления, полученные от сайта, РЕ должен присвоить маршрутам атрибуты Site of Origin, VPN of Origin, Target VPN.
Атрибут Site of Origin (атрибут сайт-источник) уникальным образом идентифицирует сайт, от которого PE-маршрутизатор получил информацию о данном маршруте. Все маршруты, полученные от конкретного сайта должны быть ассоциированы с конкретным значением этого атрибута, даже если сайт имеет несколько соединений с одним PE или соединён с несколькими PE. Для разных сайтов должны использоваться разные атрибуты Site of Origin.
Маршрут VPN-IPv4 может быть опционально ассоциирован с атрибутом VPN-источника (VPN of Origin). Этот атрибут однозначно идентифицирует группу сайтов и соответствующий маршрут, объявленный одним из маршрутизаторов, находящихся в этих сайтах. В качестве одного из применений данного атрибута может быть идентификация предприятия, владеющего сайтом, к которому ведёт маршрут или сети Intranet, к которой он принадлежит.
Каждой ассоциированной таблице маршрутизации в PE-маршрутизаторах присваивается один или несколько атрибутов целевой
VPN (Target VPN). Когда PE-маршрутизатором создаётся маршрут VPN-IPv4, он ассоциируется с одним или более атрибутами Target VPN. Они переносятся протоколом BGP как атрибуты маршрута. Каждый маршрут, ассоциированный с Target VPN |ГТ", должен быть объявлен всем PE-маршрутизаторам, имеющим таблицу маршрутизации, ассоциированную с Target VPN Т. Когда такой маршрут принимается PE-маршрутизатором, он имеет право быть включенным в любую из ассоциированных таблиц маршрутизации, имеющих атрибут Target VPN "T".
Для обмена маршрутной информацией между СЕ и РЕ существует несколько способов (статическая маршрутизация, протоколы IGP, EBGP). Возможность применения той или иной технологии обмена маршрутной информацией между PE и CE зависит от того, принадлежит ли CE к "транзитной VPN" или нет.
Сайты виртуальной сети могут принадлежать как одной, так и находится в разных автономных зонах. В первом случае обмен маршрутной информацией производится по протоколу IBGR Если же сайты находятся в разных AS, то по протоколу IBGP реализуется обмен информацией до граничного маршрутизатора ASBR, а затем этот маршрутизатор должен будет передавать маршрутные объявления ASBR, находящемуся в другой автономной зоне по протоколу EBGP.
Установление LSP-туннеля
Для передачи трафика по сети MPLS следует установить LSP-тракт между маршрутизаторами PE. Пути LSP могут быть проложены через сеть поставщика услуг двумя способами: либо с применением технологии ускоренной маршрутизации (IGP) с помощью протоколов LDP, либо на основе технологии Traffic Engineering (ТЕ) с помощью протоколов RSVP-TE или CR-LDP
Прокладка LSP означает создание таблиц коммутации меток на всех маршрутизаторах PE и В образующих данный LSP На каждый подключенный сайт РЕ-маршрутизатор поддерживает по одной таблице маршрутизации. Эти таблицы используются маршрутизаторами только при получении пакетов от присоединенных к данным РЕ сайтам. После того, как маршрутизатор СЕ назначит маршрут, связанный с ним маршрутизатор магистральной сети провайдера прописывает локальный путь в своей базе LIB, а затем выбирает из своей базы метку для объявления ее вместе с маршрутом. В одной системе может существовать несколько путей, которые зависят от передающего информационный трафик сайта.
В совокупности эти таблицы задают множество путей для разных видов трафика клиентов. В VPN применяется различная топология связей: полносвязная, "звезда" и др.
Для корректной работы VPN требуется, чтобы информация о маршрутах через магистральную сеть провайдера не распространялась за ее пределы, а сведения о маршрутах в клиентских сайтах не становились известными за границами определенных VPN.
Барьеры на пути распространения маршрутных объявлений могут устанавливаться соответствующим конфигурированием маршрутизаторов. Протокол маршрутизации должен быть оповещен о том, с каких интерфейсов и от кого он имеет право принимать объявления определенного сорта и на какие интерфейсы и кому их распространять.
Роль таких барьеров в сети MPLS VPN играют пограничные маршрутизаторы PE. Можно представить, что через маршрутизатор PE проходит невидимая граница между зоной клиентских сайтов и зоной ядра сети провайдера. По одну сторону располагаются интерфейсы, через которые PE взаимодействует с маршрутизаторами P, а по другую — интерфейсы, к которым подключаются сайты клиентов. С одной стороны на PE поступают объявления о маршрутах магистральной сети, с другой стороны — объявления о маршрутах в сетях клиентов.
В результате на всех маршрутизаторах PE и P создается по таблице маршрутизации, где содержатся все маршруты в пределах внутренней сети провайдера.
Как уже говорилось выше, для организации работы нескольких VPN между собой следует установить LSP-тракт между маршрутизаторами PE, поэтому задачу проектирования работы многих частных виртуальных сетей в сети MPLS можно рассматривать с точки зрения организации TE-туннелей. При этом TE-туннели имеют несомненные достоинства — могут совмещать преимущества LSP-туннелей, средств поддержания QoS и управления полосой пропускания, что важно при предоставлении широкополосных услуг связи.
Литература
1. Механизм эффективного туннелирования в сети MPLS (http://www.niit5.ru/themes/2mpls).
2. Захватов М. Построение виртуальных частных сетей (VPN) на базе технологии MPLS. — М.: Риверсайд Тауерз, 2004.
3. Вишняков А. Сигнализация VPLS: LDP или BGP? // mpls-exp, 2005.