Infrastruktura
Wprowadzenie do MPLS i VPN
Wprawdzie MPLS najlepiej sprawdza się w sieciach dużych operatorów, korzyści z jego wdrożenia mogą czerpać różni użytkownicy, począwszy od samych dostawców usług, poprzez korporacje, a skończywszy nawet na małych i średnich firmach.
Opracowany pod koniec lat 90. protokół MPLS (Multi-protocol Label Switching) jest protokołem zarządzania siecią, który w intencji jego twórców miał służyć do zintegrowania informacji o połączeniach warstwy drugiej (przepustowość, opóźnienia, wykorzystanie łączy) z elementami warstwy trzeciej (IP).
Tradycyjne sieci IP nie mają możliwości etykietowania, monitorowania czy kategoryzowania pakietów, które przez nie przechodzą. Technologia MPLS ma na celu poprawienie tych niedociągnięć IP poprzez wprowadzenie do pakietów IP etykiet i dostarczenie mechanizmów etykietowania. Poza tym MPLS działa nad protokołem IP, więc oba protokoły mogą funkcjonować w tej samej sieci bez zakłóceń. MPLS nie ma na celu zastąpienia IP, jego zadaniem jest raczej dodanie zbioru reguł dla ruchu w sieci IP, żeby można było go sklasyfikować, metkować i nadzorować.
W sieciach MPLS działają urządzenia “świadome” obecności tego protokołu – są to tzw. Label Edge Router (LER), określane także mianem Provider Edge (PE). Zadaniem tych routerów jest analiza wchodzących pakietów IP i dodawanie do nich nagłówków MPLS, jak również usuwanie nagłówków MPLS z pakietów wychodzących z sieci MPLS. W granicach sieci MPLS urządzanie określane jako Label Switch Routers (LSR) monitorują przechodzące pakiety pod kątem etykiet MPLS i zawartych w nich instrukcji dotyczących routingu.
MPLS umożliwia administratorom definiowanie w ramach sieci MPLS tras, określanych jako Label Switched Path (LSP), które łączą dwa routery brzegowe LER. Trasy LSP to prekonfigurowane trasy, którymi będę przepływać pakiety z określonymi etykietami.
Jedną z najbardziej oczywistych korzyści z MPLS jest dostarczanie administratorom sieci szeregu narzędzi do inżynierii ruchu. Sieć MPLS oferuje ten sam poziom mechanizmów QoS, co Frame Relay czy ATM, ale bez konieczności używania dedykowanych połączeń. Przykładowo, administrator może zdefiniować ścieżkę LSP, które będzie zapewniała transportu ruchu VoIP najbardziej niezawodną i najszybszą trasą, podczas gdy mniej wrażliwy na opóźnienia ruch będzie przesyłany poprzez mniej wydajne obszary sieci MPLS.
Pomimo pojawiających się głosów krytyki technologia MPLS VPN znajduje coraz szersze zastosowanie i w związku z tym zasługuje na szczegółowe opisanie. Zrozumienie podstawowych mechanizmów MPLS VPN pozwoli na bardziej obiektywną ocenę tej technologii (podstawowym dokumentem dla tej technologii jest w tym przypadku RFC 2547bis).
MPLS VPN
MPLS przyczynił się do gwałtownego rozwoju rynku VPN (Virtual Private Network). Wynika to z faktu, że MPLS pozwala operatorom sieciowym łatwiej rozszerzyć portfolio usług o VPN i łatwiej zaoferować tę technologię klientom. MPLS pozwala operatorom sieciowym tworzyć nowe sieci VPN bez instalowania nowego sprzętu, co znacznie redukuje koszty implementacji, a w konsekwencji obniża ogólne koszty VPN. Redukcja kosztów jest prawdopodobnie głównym czynnikiem napędzającym migrację w kierunku usług VPN bazujących na sieciach MPLS.
Wprawdzie większość korzyści z MPLS leży po stronie operatorów sieci, a klienci również mogą czerpać bezpośrednie korzyści z tej architektury. Operatorskie urządzenia działające na brzegu sieci MPLS są za projektowane do komunikacji z urządzeniami klientów w standardowym środowisku sieciowym, co eliminuje konieczność wdrażania przez klientów nowych urządzeń, np. potrzebnych do uruchomienia VPN.
Pełna łączność i izolacja
Klienci oczekują, że dostawcy usług VPN zapewnią łączność między swoimi sieciami, a jednocześnie chcą, żeby ich klienckie sieci VPN były całkowicie odizolowane od podobnych sieci innych klientów.
Jedną z naczelnych zasad Internetu opartego na IP jest połączenie wszystkich tworzących go sieci w jeden system poprzez wymianę pomiędzy nimi informacji o routingu z wykorzystaniem takich protokołów, jak BGP, OSPF, IS-IS czy RIP. Za pomocą podobnego mechanizmu na każdym routerze w sieci jest tworzona tablica routingu, w której są określone ścieżki przesyłania pakietów.
Aby zapewnić izolację sieci, wystarczy zablokować wymianę informacji o routingu między tymi sieciami. W sieci MPLS VPN jest to zapewnione, ponieważ informacje o routingu w sieci klienta są przekazywane poprzez wewnętrzną sieć operator z wykorzystaniem protokołu BGP. Ze względu na wykorzystanie rozszerzonych wersji Multi Protocol BGP, MP BGP, te informacje o routingu nie wyjdą poza sieć klienta, nawet jeśli składa się ona z mniejszych sieci w kilku lokalizacjach. Routery różnych klientów nie mają możliwość wymieniać się informacjami o routingu i w konsekwencji nie mogą także wymieniać się pakietami. W ten sposób osiąga się pożądaną izolację. Kolejną konsekwencją takiego podejścia jest izolacja wewnętrznej sieci operatora od sieci klientów, a to podnosi niezawodność i skalowalności sieci operatorskiej.
Jak połączyć rozproszone regionalnie sieci klienta w ujednoliconą sieć VPN, jeśli wewnętrzna sieć operatora nic o nich nie wie? Tradycyjną receptą w takiej sytuacji jest wykorzystanie tuneli pomiędzy routerami działającymi na brzegu wewnętrznej sieci. Potencjalnie można zbudować sieć IP VPN poprzez całkowicie ręczne stworzenie tablic routingu i filtrów w celu zapewnienie izolacji sieci. W praktyce żaden operator nie rozważy poważnie takiego podejścia, mając setki czy tysiące klientów.
Dlatego przyszłością są tunele MPLS VPN, których zaletą jest automatyczny sposób ich wytyczania. Wdrożenie tej technologii ma też inne zalety, np. możliwość stosowania mechanizmów QoS i inżynierii ruchu dla tuneli MPLS VPN. Żeby opisane założenia MPLS VPN wcielić w życie, musiały zostać dokładnie opisane specyficzne mechanizmy i działanie urządzeń sieciowych.
Komponenty MPLS VPN
Tak samo, jak w przypadku innych technologii VPN, rozwiązanie MPLS VPN składa się zawsze z następujących elementów:
- Sieci operatora, czyli infrastruktury, którą operator wykorzystuje do świadczenia usług VPN swoim klientom. W tym przypadku jest to sieć MPLS niezbędna do połączenia ze sobą poszczególnych, odizolowanych sieci klienta.
- Sieci klienta, czyli tych sieci, które są pod wyłączną kontrolą danego klienta.
- Domen klienta, czyli części składowych sieci klienta.
Typowa sieć klienta wdrożona z wykorzystaniem VPN składa się z odizolowanych sieci będących pod kontrolą klienta, a połączonych ze sobą poprzez sieć operatora.
Generalnie każdy klienta może mieć odizolowane terytorialnie sieci IP, z których każda może składać się z podsieci połączonych routerami. Takie odizolowanie podsieci określa się mianem domen. Domeny danego klienta mogą się wymieniać pakietami IP poprzez sieć operatora i tworzą wirtualną sieć prywatną tego klienta. Weźmy sieć korporacyjną, w której sieć w centralnej lokalizacji kontaktuje się z trzema zdalnymi lokalizacjami – taka sieć składa się z czterech domen. Aby zapewnić wymianę informacji o routingu w obrębie domeny, należy użyć jednego z protokołów Interior Gateway Protocol (IGP), których zakres jest ograniczony przez niezależne systemy: RIP, OSPF lub IS-IS.
Brzegowe routery łączące domenę klienta z siecią operatora to routery Customer Edge (CE). Będąc częścią sieci klienta, routery CE nie wiedzą nic o istnieniu sieci VPN. Routery te mogą być połączone z siecią operatora kilkoma kanałami.
W sieci MPLS pakiety IP nie są przekazywane na bazie adresów IP, lecz na podstawie informacji zawartych w etykietach. Sieć MPLS składa się z routerów LSR, które przekazują pakiety zgodnie z wartościami zawartymi w etykietach. LSR to urządzenie łączące funkcje routera IP i przełącznika. Z routingu IP przejęło funkcje definiowania topologii sieci z wykorzystaniem protokołów routingu oraz mechanizmy wyboru optymalnych tras. Z kolei z przełączników zapożycza techniki priorytetyzacji ruchu i lokalne tablice przełączania.
Urządzenia LSR dla uproszczenia często nazywa się routerami, ale ma to swoje uzasadnienie – potrafią one przekazywać pakiety na podstawie adresów IP, jeśli obsługa MPLS zostanie wyłączona.
W sieci operatora, oprócz urządzeń LSR, działają również routery PE (zwane też LER), do których podłączone są routery z domen klienta oraz tradycyjne routery operatora (tzw. routery P). Z reguły routery CE i PE są ze sobą połączone bezpośrednio fizycznymi kanałami, w których może działać dowolny protokół warstwy fizycznej, np. PPP, FR, ATM, Ethernet. Komunikacja między routerami CE i PE odbywa się z wykorzystaniem standardowego stosu protokołów TCP/IP. Obsługa MPLS jest konieczna tylko w przypadku wewnętrznych interfejsów routera PE.
W głównej sieci operatora tylko brzegowe routery PE powinny być skonfigurowane do obsługi sieci VPN, ponieważ tylko one są świadome jej istnienia. Jeśli spojrzeć na sieć VPN z punktu widzenia routerów LSR, nie komunikują się one bezpośrednio z routerami CE, a jedynie są rozmieszczone na trasie pomiędzy wejściowym i wyjściowym routerem PE.
Routery PE są funkcjonalnie bardziej złożone, niż routery LSR. Do nich przydzielone są główne zadania związane z obsługą VPN, mianowicie rozpoznawania routerów i danych przychodzących od różnych klientów. Routery PE służą jako punkty końcowe tras LSP obsługiwanych przez routery LSR. Ich zadaniem jest również nadawanie etykiet pakietom IP używanych w sieci MPLS.
Trasy LSP mogą być wyznaczane na dwa sposoby: z wykorzystaniem technologii routingu IGP i protokołu LDP lub na bazie technologii Traffic Engineering z wykorzystaniem protokołów RSVP lub CR-LDP. Wytyczenie trasy LSP polega na stworzeniu tablic przełączania etykiet na wszystkich routerach obsługujących daną trasę. Te tablice można wykorzystać do definiowania tras przesyłania różnego rodzaju ruchu klientów.