VPN — Virtual Private Networks

Олифер 5-е издание ст. 606

https://wiki.merionet.ru/Mpls Общая схема функционирования

https://www.juniper.net/MPLS-overview_ от JUNIPER

MPLS

https://habr.com/ru/post/MPLS <----------MPLS

https://www.osp.ru/nets/MPLS <----------MPLS

https://ru.wikipedia/MPLS <----------MPLS

Лекция 10: Метки и механизмы MPLS

MPLS — своего рода инкапсулирующий протокол, способный транспортировать информацию множeства протоколов низших уровней модели OSI.

MPLS — многопротокольная коммутация, если точно по меткам "multiprotocol label switching" многопротокольной - коммутацией, MPLS называется потому, что ее средства применимы к любому протоколу сетевого уровня.

RFS 3031

Традиционно каждый маршрутизатор на пути следования пакета самостоятельно принимает решение о том, к какому маршрутизатору переслать этот пакет дальше (способ hop-by-hop). Иначе говоря, каждый маршрутизаторе на пути следования пакета анализируется его заголовок и выполняется алгоритм выбора маршрута сетевого уровня. Идея MPLS состоит в организации более простого выбора — выбора по средствам выполнения двух функций.

Одна из них состоит в разделении всего множества прибывающих пакетов на классы, которые называются классами эквивалентности пересылки FECs (Forwarding Equivalence Classes).
Вторая ставит в соответствие каждому FEC определенное «направление» пересылки (разные пакеты одного и того же FEC могут пересылаться к разным маршрутизаторам, то есть физические направления пересылки могут быть разными). С точки зрения выбора следующего маршрутизатора все пакеты, принадлежащие одному FEC, неразличимы.

Метки — основа основ технологии MPLS, метки идея к которой не однократно возвращаются и по аналогии с доп-заголовком 802.1Q можно говорить о "виртуализации потоков данных", вполне логичный шаг, состоит в том, что давайте для начала проведем некий логический раздел по средствам меток, а потом будем совершать над этими "разделами" интересные для нас действия.

Именно с метками выполняются процедуры их распределения по маршрутизаторам LSR — Label Switching Router и процедуры создания трактов LSP — Label Switched Path (они же "псевдоканалы" pseudowire, эмуляторы канала, эмуляторы кабеля, псевдопроводы), по которым будут следовать пакеты MPLS. После распределения меток и создания трактов LSP может выполняться главная функция MPLS — пересылка снабженных метками пакетов по сети MPLS, конечно помимо этой функции должны решаться и вспомогательные задачи, связанные с метками, а именно, контроль времени сохранения меток, упорядочение меток и обработка ошибок.

До начала передачи через сеть MPLS пакетов маршрутизаторы LSR устанавливают соответствие между метками и FEC в своих таблицах, пакет приписывается к определенному классу FEC — Forwarding Equivalency Class (Гольдштеин MPLS ст.22) только один раз, когда он попадает в сеть. Этому FEC присваивается метка — идентификатор фиксированной длины, передаваемый вместе с пакетом, когда тот пересылается к следующему маршрутизатору. Благодаря этому в остальных маршрутизаторах заголовок сетевого уровня не анализируется. Метка, установленная пограничным маршрутизатором при входе пакета в MPLS-сеть, используется как указатель входа таблицы, которая определяет очередной для пересылки к нему пакета, а также новую метку для FEC, к которому относится пакет. Таким образом, класс эквивалентности пересылки FEC является формой представления группы пакетов с одинаковыми требованиями к направлению их передачи, т.е. все пакеты в такой группе обрабатываются в маршрутизаторе одинаково и одинаково следуют к пункту назначения.

Каждый маршрутизатор сети MPLS создает таблицу, с помощью которой определяет, каким образом должен пересылаться пакет. Эта таблица, которая называется информационной базой меток LIB (Label Information Base), содержит используемое множество меток и для каждой из них — привязку «FEC-метка». Метки, используемые маршрутизатором LSR при привязке «FEC-метка», подразделяются на следующие категории:

- на платформной основе, когда значения меток уникальны по всему тракту LSР; метки выбираются из общего пула меток, и никакие две метки, распределяемые по разным интерфейсам, не имеют одинаковых значений;
- на интерфейсной основе, когда значения меток связаны с интерфейсами: для каждого интерфейса определяется отдельный пул меток, из которого для этого интерфейса и выбираются метки. При этом метки, назначаемые для разных интерфейсов, могутбыть одинаковыми.

Метод пересылки пакетов на основе привязки «FEC-метка», принятый в MPLS, имеет ряд преимуществ перед методами, основанными на традиционном анализе заголовка блоков сетевого уровня. В частности, пересылку по методу MPLS могут выполнять маршрутизаторы, которые способны читать и заменять метки, но при этом либо вообще не способны анализировать заголовки блоков сетевого уровня, либо не способны делать это достаточно быстро.

Так или иначе, действия маршрутизатора LSR зависят от значения метки, которую он принимает от предшествующего LSR.

Одним из технологических достоинств MPLS, является использование не просто меток ( в чем нет ни какой новизны), а использование "стека" меток, что естественно позволяет сделать логику маркируемых данных более замысловатой более "интелегибельной" и позволяет выполнять более сложные, широкие задачи по их обработке, одним из примеров преимуществ стека можно увидеть в PW pseudowire, виртуальном L2-канале, лежащем в основе любой технологии L2VPN.

Выполняемая со стеком меток операция может состоять в том, что LSR должен изменить метку на вершине стека. Эта операция может потребовать, чтобы LSR просто вытолкнул верхнюю метку из стека, или вытолкнул и заменил ее новой, или просто поместил новую метку над той, которая до этого была верхней, ничего не выталкивая и не заменяя). Следующим участком для обрабатываемого пакета с метками может оказаться и тот же самый LSR. В этом случае LSR выталкивает верхнюю метку стека и пересылает пакет самому себе. В этот момент пакет может иметь еще одну метку, которую следует анализировать, или оказаться без меток, т.е. исходным пакетом IP. В последнем случае пакет пересылается в соответствии со стандартной маршрутизацией IP.

Наличие стека меток одно из оригинальных свойств MPLS. Стек меток позволяет создавать систему агрегированных путей LSP (те же PW pseudowire) с любым количеством уровней иерархии. Для поддержания этой функции MPLS-кадр, который перемещается вдоль иерархически организованного пути, должен включать столько заголовков MPLS, сколько уровней иерархии имеет путь LSP(N) (заголовок MPLS каждого уровня имеет собственный набор полей: метка, CoS, TTL и S).

Последовательность заголовков организована как стек, так что всегда имеется метка, находящаяся на вершине стека, и метка, находящаяся на дне стека, при этом последняя сопровождается признаком S = 1. Над метками выполняются следующие операции, задаваемые в поле действий таблицы продвижения:

Push — поместить метку в стек. В случае пустого стека эта операция означает простое присвоение метки пакету. Если же в стеке уже имеются метки, в результате этой операции новая метка сдвигает «старые» в глубь стека, сама оказываясь на вершине.

Swap — заменить текущую метку новой.

Pop — выталкивание (удаление) верхней метки, в результате все остальные метки стека поднимаются на один уровень.

RFC 2702 Requirements for Traffic Engineering over MPLS — определяет возможности управления трафиком в сети MPLS и алгоритмы эффективных и надежных сетевых операций в домене MPLS. Эти алгоритмы могут применяться для оптимизации использования сетевых ресурсов и для улучшения рабочих характеристик, связанных с передаваемым трафиком

RFC 3031 MPLS Architecture — специфицирует архитектуру многопротокольной коммутации по меткам MPLS

RFC 3032 MPLS Label Stack Encoding — специфицирует кодирование стека меток, а также правила и процедуры обработки разных полей стека меток, которые использует маршрутизатор LSR для передачи снабженных метками пакетов по звеньям данных протокола двухточечной связи PPP, звеньям данных локальной вычислительной сети и, возможно, по другим звеньям данных

RFC 3033 The Assignment of the Information Field and Protocol Identifier in the Q.2941 Generic Identifier and Q.2957 UserJtoJUser Signaling for the IP — специфицирует назначение информационного поля и идентификатора протокола в общем идентификаторе Q.2941 и сигнализации «пользовательJпользователь» по Q.2957 для IP

RFC 3034 Use of Label Switching on Frame Relay Networks Specification — определяет модель и типовые механизмы использования MPLS в сетях Frame Relay. Расширяет и уточняет составляющие архитектуры MPLS и протокола распределения меток LDP в плане их использования в сетях Frame Relay

RFC 3035 MPLS using LDP and ATM Virtual Channel (VC) Switching — специфицирует процедуры, используемые при распределении меток к/от маршрутизаторовATMJLSR, когда эти метки представляют классы эквивалентности пересылки (FEC), для которых алгоритмами маршрутизации сетевого уровня определены маршруты «по участкам». Специфицирует также инкапсуляцию MPLS, которая используется при передаче снабженных метками пакетов к/от маршрутизаторов ATMJLSR

RFC 3036 LDP Specification — определяет набор процедур протокола LDP, посредством которого LSR распределяют метки для пересылки пакетов MPLS

RFC 3037 LDP Applicability — описывает применимость протокола LDP

RFC 3038 Virtual Channel ID (VCID) Notification over ATM link for LDP — специфицирует процедуры обмена значениями идентификатора виртуального канала VCID между смежными маршрутизаторами ATMJLSR

RFC 3107 Carrying Label Information in BGPJ4 — специфицирует способ, посредством которого информация о привязкe метки к FEC для определенного маршрута вкладывается в то же сообщение протокола BGP, которое используется для рассылки информации о самом маршруте. Когда для выбора определенного маршрута используется протокол BGP, он может также использоваться дляпередачи метки MPLS, которая назначена для этого маршрута

Продвижение MPLS-кадра всегда происходит на основе метки, находящейся в данный момент на вершине стека.

Иерархия меток чаще всего находит свое применение в сетях, разделенных на несколько доменов. Внутри домена продвижение пакетов происходит на основе меток одного из уровней стека, а между доменами — на основе меток другого уровня. Такой подход позволяет независимо организовать внутридоменную и междоменную маршрутизацию пакетов, что во многих случаях оказывается полезным. Здесь можно провести аналогию с использова нием МАС-адресов для передачи пакетов внутри IP -подсети и IP -адресов для передачи пакетов между IP -подсетями. Стек меток также оказаться полезным при организации сервиса VPN.

Если маршрутизатор обнаруживает, что он оказался предпоследним LSR в тракте, то он должен удалить весь стек и передать пакет в последний LSR. Благодаря этому минимизируется объем обработки, которую должен выполнить последний LSR. То, каким образом LSR определяет, что он в данном тракте предпоследний, является задачей распределения меток и используемого для этого протокола распределения меток.

Рабочими группами IETF (Internet Engineering Task Force), определены три основных элемента технологии MPLS:

FEC — Forwarding Equivalency Class — класс эквивалентности пересылки. Класс пакетов сетевого уровня, которые получают от сети MPLS одинаковое обслуживание как при выборе LSP, так и с точки зрения доступа к ресурсам.

LSR — Label Switching Router — маршрутизатор коммутации по меткам, узел сети MPLS, участвующий в реализации алгоритма маршрутизации и выполняющий коммутацию по меткам.

LSP — Label Switched Path — коммутируемый по меткам тракт, (путь коммутации по меткам - "псевдоканалы" pseudowire pseudo-wire)

MPLS ( multiprotocol label switching многопротокольная коммутация по меткам) — механизм в высокопроизводительной телекоммуникационной сети, осуществляющий передачу данных от одного узла сети к другому с помощью меток.

BGP (Border Gateway Protocol) — граничный шлюзовой протокол. Разновидность протокола маршрутизации между автономными системами.

CBWFQ (Class Based WFQ) — технология WFQ, действие которой распространяется на несколько классов трафика с совместным доступом к ресурсам.

IETF (Internet Engineering Task Force) — рабочая группа инженеров по Internet. Организация, отвечающая за

разработку протоколов сети Internet.

IS-IS (Intermediate System-to-Intermediate System) — «промежуточная система—промежуточная система». Разновидность протокола маршрутизации внутри автономной системы.

LDP (Label Distribution Protocol) — протокол распределения информации о привязке меток к FEC.

OSPF (Open Shortest Path First) — «первым выбирается кратчайший путь». Разновидность протокола динамической маршрутизации внутри автономной системы.

QoS (Quality of Service) — качество сервиса. Набор параметров, описывающих свойства потока и гарантированный уровень сетевого обслуживания.

RSVP (Resource Reservation Protocol) — протокол резервирования ресурсов в IP-сетях.

VCI (Virtual Circuit Identifier) — идентификатор виртуального канала. Пара VPI/VCI в заголовке АТМ-ячейки

определяет соединение (маршрут) в сети АТМ.

VPI (Virtual Path Identifier) — идентификатор виртуального пути. Совместно с VCI определяет соединение в сети АТМ.

WFQ (Weighted Fair Queing) — взвешенное недискриминационное распределение по очереди. Технология управления буферизацией и обслуживанием потоков, способствующая предотвращению перегрузок.

WRED (Weighted Random Early Detection) — взвешенное случайное раннее обнаружение. Вероятностный алгоритм управления очередью, который сохраняет среднюю длину очереди малой за счет раннего уведомления адаптивного транспортного протокола о приближении перегрузки.

AToM (Any Transport Over MPLS) — реализация Cisco VPWS для сети IP/MPLS

VRF (Virtual routing and Forwarding) — дословно виртуальная маршрутизация и переадресация , которая представляет собой технологию, позволяющая нескольким экземплярам таблицы маршрутизации сосуществовать на одном и том же маршрутизаторе одновременно, экземпляры маршрутизации независимы, что позволяет использовать перекрывающиеся IP-адреса, не конфликтуя друг с другом. Несколько экземпляров маршрутизации могут проходить по разным путям (т. е. использовать разные исходящие интерфейсы).

VRF — это те же методы сетевой изоляции/виртуализации, что и VLAN. VLAN используются на L2, а VRF являются инструментами L3. VRF относятся к таблице маршрутизации так же, как VLAN к LAN. Используя виртуальную маршрутизацию и переадресацию, мы виртуализируем таблицу маршрутизации в несколько таблиц маршрутизации, аналогично виртуальным локальным сетям, используемым для виртуализации локальных сетей. Можно сказать, что VLAN выполняют виртуализацию L2, а VRF выполняют виртуализацию L3. VLAN делают один коммутатор похожим на несколько коммутаторов; Виртуальная маршрутизация и переадресация делают один маршрутизатор похожим на несколько маршрутизаторов, что естественно отражается на его нагрузке, увеличивая производительность. https://ipwithease-com./vrf-basics

Virtual Private Network, VPN

Говоря о VPN и о приченах его появления обычно говорят об альтернативе выделенному каналу, что видимо так и есть поскольку как и выделенные каналы VPN соединяют сайты клиентов (дословно - отдельные сегменты, части сети) в единую изолированную сеть. Поскольку ни чем выдающемся-ярким, как например доп.заголовок 802.1.Q для V-LAN, настолько одназначно определяющим весь смысл технологии, VPN не обладают, возникает некая трудность в ее формализации и понимании, VPN это обобщенное название целой связки техноглогий которая в целом обеспечивает сетевое соединение поверх другой сети (как правило "internet"), от того и понимание VPN потребует не поверхостных знании "по предмету"

Для локализации понятия VPN попробуем сформулировать несколько тезисов определяющих виртуальные частные сетеи (Virtual Private Network, VPN)

— Каналы виртуальной частной сети прокладываются внутри сети с коммутацией пакетов, такой как IP, MPLS или Ethernet так же можно сказать "поверх существующих реальных сетей".

— Не смотря на слово «Private» в названии технологии, существует возможность организации и общедоступных – нешифрованных сетей. Организация VPN может осуществляться огромным количеством способов с использованием разных технологий (SSL VPN, IPSec, GRE и др.) и в существовании этого "огромного количества способов" в том числе и заключается основная трудность, и видимо это то что можно сказать предваряя тему VPN.

Разговор на тему VPN обычно ведется об общих принципах построения подобных сетей, а каждый вариант реализации, по причине его иксклюзивности рассматривается отдельно (за исключением общераспространенных шаблонов реализации), однако нечто общее безусловно их связывает, что традиционно можно назвать свойствами и вот некоторые из них. наиболее ценные:

- Ограничение доступа к сети на уровне транспорта. Только узлы сети имеют техническую возможность посылать свои пакеты друг другу. Для технологии VPN обеспечить это свойство очень трудно, так как пакеты пользователей VPN проходят через те же коммуникационные устройства и каналы, что и пакеты внешних пользователей.
- Независимая система адресации. В частных сетях нет ограничений на выбор адресов — они могут быть любыми. Чтобы сохранить это свойство, сеть VPN должна допускать адресацию узлов из всего диапазона IP-адресов, включая частные IP-адреса (рекомендованные только для автономного использования).

Предсказуемая производительность. Собственные линии связи гарантируют заранее известную пропускную способность между узлами предприятия (для глобальных соединений) или коммуникационными устройствами (для локальных соединений). Обеспечение предсказуемой пропускной способности в публичной сети с коммутацией пакетов может стать проблемой для сервиса VPN.
Максимально возможная безопасность. Отсутствие связей с внешним миром ограждает частную сеть от атак извне и существенно снижает вероятность «прослушивания» трафика по пути следования пакетов. VPN ограничивает доступ внешних пользователей, а значит, исключает возможность атак извне, а для защиты от прослушивания можно применить шифрование.

Различные технологии VPN определяют различный набор свойств частной сети, которые они имитируют. В зависимости от того, кто реализует услугу VPN, провайдер или клиент, они подразделяются на два вида:

CP VPN (Customer Provided Virtual Private Network)

Провайдер предоставляет только «простые» традиционные услуги общедоступной сети по объединению узлов клиента, например доступ в Интернет, а пользоатели самостоятельно конфигурируют средства VPN и управляют ими.

PP VPN (Provider Provisioned Virtual Private Network)

Провайдер услуг VPN на основе собственной сети воспроизводит частную сеть для каждого своего клиента, изолируя и защищая ее от остальных.

В зависимости от того, адресная информация какого уровня принимается во внимание при объединении сетей клиентов, различают:

- VPN второго уровня: учитывается адресная информация второго (канального уровня) сетей клиентов, то есть МАС-адреса и идентификаторы VLAN;
- VPN третьего уровня: учитываются IP -адреса сетей клиентов.

VPN очень примерно можно разделить на "внутреннюю" и "внешнюю" части (сети) "внешняя" сеть, это часть по которой проходит инкапсулированное соединение (обычно через Internet), создание этой "внешней части" означает создание туннелей, под туннелем подразумевается канал между двумя устройствами (например пограничными маршрутиризаторами провайдеров Provider Edge PE или маршрутизатором на границе клиента Сustomer edge CE), по которому передаётся данные или тунелированием, стандартный термин для обозначения VPN каналов, в котором данные изолированы от особенностей построения канала и где устройства, передающие полезные данные делают это так, как будто бы никакого туннеля нет, а настройка самого туннеля при этом выделяется в отдельную задачу.

По аналогии с двумя типами VPN (CP VPN и PP VPN) существует два типа VPN туннелей:

- Remote access VPN – означает, что туннель организуется между приложением на компьютере клиента и каким-либо устройством, которое выступает в качестве сервера и организовывает подключения от различных клиентов (например, VPN-концентратор, маршрутизатор, Cisco ASA и т.п.) , подразумевается наличие пользовательского ПО.
- Site-to-site VPN – подразумевает наличие двух устройств (например, маршрутизаторов), между которыми имеется постоянный туннель, в этом случае, пользователи находятся за устройствами, в локальный сетях и на их компьютерах не требуется установки какого-либо специального программного обеспечения.
- Remote access VPN используется для подключения, например, удалённых работников в корпоративную сеть предприятия по защищённому каналу. В этом случае работник может находиться в любом месте, где есть интернет, и программное обеспечение на его компьютере построит туннель до маршрутизатора компании, по которому будут передаваться полезные данные.
- Site-to-site VPN используется в случае необходимости стационарного соединения между двумя удалёнными филиалами, или филиалом и центральным офисом. В этом случае сотрудники без специального ПО работают в локальной сети офиса, а на границе этой сети стоит маршрутизатор, который незаметно для пользователя создаёт туннель с удалённым маршрутизатором и передаёт на него полезный трафик.

Provider Provisioned - Carrier Ethernet VPN второго уровня (L2VPN)

Возвращаясь к способам обединения сетей мы естественно более пристально должны рассмотреть VPN второго уровня то есть канального, где учитывается адресная информация сетей клиентов, как то МАС-адреса и идентификаторы VLAN, реализация VPN L2 может быть различной, если обобщать может быть осуществлена по средствам "Carrier Ethernet" и "MPLS".

Однако для этого придется вспомнить, что такое Carrier - Операторский Ethernet поскольку рассматривать будем "Provider Provisioned" PP VPN или "Operator Provisioned" и провайдеры для внутренней реализации VPN второго уровня чаще всего его и используют, наряду с технологией MPLS, которая сама по себе очень интересна однако требует отдельного разговора. Carrier Ethernet и MPLS применяются на уровне сетей операторов связи или больших предприятий.

Эти две популярные реализации услуг VPN второго уровня получили названия Ethernet over Ethernet (ЕоЕ) и Ethernet over MPLS (EoMPLS). Наличие у этих услуг интерфейса Ethernet дает им еще одно название — Ethernet VPN.

UNI — User-to-Network Interface интерфейс пользователь–сеть

NNI — Network-to-Network Interface межсетевой интерфейс

MEF — Metro Ethernet Forum

EVC — Ethernet Virtual Connection (Circuit) виртуальное соединения (схема) Ethernet

E-Line — Point-to-Point EVC (точка-точка)

E-LAN — Multipoint-to-Multipoint EVC (многоточка-многоточка)

E-Tree — Rooted-Multipoint EVC (точка-многоточка)

OVC — Operator Virtual Connection Виртуальное соединение оператора (OVC) - это ассоциация конечных точек OVC.

ЕоЕ — Ethernet over Ethernet

EoMPLS — Ethernet over MPLS

EFP — Ethernet Flow Point (точка потока Ethernet)

QoS — Quality of Service (способность сети обеспечить необходимый сервис заданному трафику в определенных технологических рамках)

EPL — Ethernet Private Line частная линия Ethernet

EPLAN — Ethernet Private LAN локальная сеть Ethernet

EVPL — Ethernet Virtual Private Line виртуальная частная линия Ethernet

EVPLAN — Ethernet Private LAN виртуальная частная локальная сеть Ethernet

SLA — взаимоотношения между операторами сетей подвижной связи и операторами сетей доступа.

CPT — Carrier Packet Transport

REP — Resilient Ethernet Protocol

VPWS — Virtual Private Wire Service название решений для L2VPN эмулирует соединение Ethernet с двухточечной топологией, то есть канал Ethernet (виртуальные частные каналы "глобальный кабель")

VPLS — Virtual Private LAN Service (виртуальные частные локальные сети) многоточка-многоточка, каждый с каждым, эмулирует поведение локальной сети, то есть обеспечивает соединения с полносвязной топологией в стиле обычной локальной сети Ethernet.

РЕ — от Provider Edge (пограничный), PE router — пограничный маршрутиризатор

CE — от Сustomer edge (Маршрутизатор на границе клиента (CE) подключается к маршрутизатору на границе поставщика (PE). Используется со стороны узла клиента, который непосредственно подключается к маршрутизатору оператора. CE взаимодействует с маршрутизатором со стороны оператора (PE) и обменивается маршрутами внутри PE. Используемый протокол маршрутизации может быть статическим или динамическим (протокол внутреннего шлюза, такой как OSPF, или протокол внешнего шлюза, такой как BGP).

P — provider router, внутренний маршрутизатор сети оператора (SP - service provider) MPLS домена, маршрутизатор P функционирует как транзитный маршрутизатор базовой сети. Маршрутизатор P обычно подключен к одному или нескольким маршрутизаторам PE.

PW — pseudowire, виртуальный L2-канал, который лежит в основе любой технологии L2VPN и служит туннелем для передачи данных.

VLL — Virtual Leased Line технология, которая позволяет инкапсулировать кадры различных протоколов канального уровня в MPLS и передавать их через сеть провайдера.

SLA — Service Level Agreement

LSP — layered service provider

LSP — Label Switching Path — коммутируемый по меткам тракт.

LSP — Link&State Packet — пакет с информацией о состоянии каналов. Пакет, использующийся протоколом маршрутизации ISIS для распространения информации о состоянии каналов между маршрутизаторами сети.

LSR — Label Switching Router — маршрутизатор сети MPLS.

LER — Label switch Edge Routers — пограничные устройства LSR в технологии MPLS, "пограничные коммутирующие по меткам маршрутизаторы" — Принимают трафик от других сетей в форме стандартных IP пакетов, а затем добавляют к каждому пакету метку и направляют вдоль соответствующего пути к выходному устройству LER через несколько промежуточных устройств. При этом пакет продвигается не на основе IP адреса назначения, а на основе метки.

LIS — Logical IP subnet — логическая IP подсеть: совокупность хостов и маршрутизаторов IP-пакетов, подключенных к общей сети ATM и имеющих общий адрес с IP-сетью и с подсетью.

Как минимум три типа маршрутиризаторов составляющих ядро сети MPLS, необходимых для настройки MPLS:

LER то что на входе в MPLS сеть. Этот коммутатор инкапсулирует пакеты.

LSR один или несколько коммутаторов, MPLS сети, как и P - маршрутиризаторы.

LER коммутатор на выключении, является последним в MPLS сети, который удаляет(декапсулирует пакеты) последнюю метку перед тем, как пакеты покидают MPLS сеть.

Плюс IGP — Interior Gateway Protocol между провайдером MPLS и клиентами для обмена маршрутами

Сигнальные протоколы MPLS:

LDP — Label Distribution Protocol — протокол распределения меток

RSVP — Resource ReSerVation Protocol — протокола резервирования ресурсов

PSN — Packet Switched Network — сеть с коммутацией пакетов

PSW — data network — сеть передачи данных с коммутацией пакетов

PSW — Packet Switching

PSW — Packet Switching Wire

АС — Attachment Circuit — канал присоединения (АС поставляет входной поток пользовательских данных для сети провайдера, то есть ту нагрузку, которую нужно коммутировать.)

GRE — Generic Routing Encapsulation — общая инкапсуляция маршрутов (www.opennet.ru/vpn_tunnel.txt www.qnx.com/gre.html https://habr.com/modprobe ip_gre)

Стандартизация услуг Ethernet VPN — это важное направление работ в области Ethernet операторского класса, позволяющее провайдерам и пользователям однозначно описывать услуги, не вдаваясь в детали их внутренней реализации, работой по созданию "технологически нейтральных" спецификаций глобальной услуги Ethernet VPN Ethernet занимается не комерческая организация, консорциум операторов связи, под названием Metro Ethernet Forum (MEF). Для начала рекомендуется ознакомится со статьей Cisco Configuring Ethernet Virtual Circuit , где проводится локализация основных понятий Carrier Ethernet для детерминации услуг Ethernet VPN.

Краеугольными являются типы услуг Ethernet VPN, в спецификациях MEF вводится три типа услуг виртуальных частных сетей Ethernet, которые отличаются топологией связей между сайтами пользователей.

Топология

- E-Line Point-to-Point EVC — точка-точка (двухточечная топология)
- E-LAN Multipoint-to-Multipoint EVC — многоточка-многоточка (полносвязная топология)
- E-Tree Rooted-Multipoint EVC — точка-многоточка (древовидная топология)

E-LINE. Эта услуга связывает только два пользовательских сайта через двухточечное EVC-соединение. Услуга E-LINE соответствует услуге выделенной линии.

Е-LAN. Эта услуга аналогична услуге локальной сети, так как она позволяет связать неограниченное число пользовательских сайтов таким образом, что каждый сайт может взаимодействовать с каждым. При этом соблюдается логика работы локальной сети — кадры Ethernet с неизученными и широковещательными МАС-адресами передаются всем сайтам, а кадры с изученными уникальными МАС-адресами — только тому сайту, в котором находится конечный узел с данным адресом.

E-TREE. Спецификация этой услуги появилась позже других; в локальных сетях ей аналога нет. Пользовательские сайты делятся на корневые и листовые. Листовые сайты могут взаимодействовать только с корневыми, но не между собой. Корневые сайты могут взаимодействовать с листовыми сайтами и друг с другом.

Кроме того, в спецификациях MEF вводятся два варианта каждого типа услуги, в итоге в целом шесть услуг. В первом варианте пользовательский сайт определяется как сеть, подключенная к отдельному физическому интерфейсу UNI – User-to-Network Interface. Значения идентификаторов VLAN в пользовательских кадрах (то есть значения C-VID ) в расчет не принимаются. В названии этого варианта услуги к названию типа добавляется термин «частный» (private): например:

для услуги типа E-LINE это называют частной линией Ethernet (Ethernet Private Line, EPL)
для услуги типа E-LAN это называют локальной сетью Ethernet (Ethernet Private LAN, EPLAN)

В другом варианте услуги к одному и тому же физическому интерфейсу UNI могут быть подключены различные пользовательские сайты. В этом случае они различаются по значению идентификатора VLAN (С -VID). Другими словами, провайдер внутри своей сети сохраняет деление локальной сети на VLAN, сделанное пользователем.

В варианте услуги с учетом VLAN добавляется название «виртуальная частная»: например, для услуг типа

E-LINE это будет виртуальная частная линия Ethernet (Ethernet Virtual Private Line, EVPL)
E-LAN это будет виртуальная частная локальная сеть Ethernet (Ethernet Private LAN, EVPLAN)

Можно заметит что, в своих определениях MEF использует термины «частная услуга» и «виртуальная частная услуга» не совсем традиционным образом, так как оба типа услуги являются виртуальными частными в том смысле, что они предоставляются через логическое соединение в сети с коммутацией пакетов, а не через физический канал в сети с коммутацией каналов.

Помимо указанных определений услуг спецификации MEF стандартизуют некоторые важные параметры услуг: например, услуга может характеризоваться гарантированным уровнем пропускной способности соединения, а также гарантированными параметрами QoS - Quality of Service.

Технологии Carrier Ethernet Transport (РВ, РВВ и РВВ-ТЕ) оказывают услуги Ethernet VPN непосредственно, без дополнительных надстроек и механизмов, они и разрабатывались для этой цели. Сети РВ и РВВ могут оказывать услуги E-LINE (при соединении двух пользовательских сайтов) и Е-LAN (при соединении более чем двух пользовательских сайтов),

а сети РВВ-ТЕ — только услуги E-LINE. Услуги E-TREE ни одна из этих технологий не поддерживает.

Далее несколько фундаментальных определений от Cisco, из выше упомянутой статьи:

Понятие Carrier Ethernet

Carrier Ethernet - маркетинговый, служебный термин для обозначения расширений Ethernet для поставщиков услуг связи, которые используют технологию Ethernet в своих сетях.

Carrier Ethernet использует технологию Ethernet с высокой пропускной способностью для обеспечения выделенного подключения. Он обеспечивает возможность подключения к сети путем подключения к клиентскому объекту через частный канал Ethernet уровня 2.

Доступные интерфейсы обычно:

- 10 Мбит / с и 100 Мбит / с Fast Ethernet
- 1000 Мбит / с Gigabit Ethernet

Carrier Ethernet позволяет запускать различные службы через одно соединение. Сети следующего поколения, VoIP, хранилище и управляемая безопасность - это некоторые из услуг, которые могут работать через одно соединение Carrier Ethernet.

Metro Ethernet (MEF) определяет следующие пять атрибутов для определения Ethernet как класса оператора:

- Стандартизированные услуги
- Качество обслуживания
- Масштабируемость
- Управление услугами (SLA Service Level Agreement)
- Надежность

Carrier Ethernet можно развернуть разными способами:

Ethernet через SDH / SONET
Ethernet через MPLS
Собственный Ethernet

Понятие виртуального канала Ethernet

Виртуальный канал Ethernet (EVC – Eyhernet virtual canal (connection)) представляет собой логическую взаимосвязь между пользовательскими и сетевыми интерфейсами Ethernet (UNI – User-to-Network Interface) в сервисе Ethernet на основе провайдера. EVC представляет собой предлагаемую услугу и осуществляется через сеть провайдера. Каждый EVC конфигурируется своим уникальным именем в сети провайдера. EVC – это сквозное представление одного экземпляра услуги уровня 2, которую предлагает поставщик услуг.

Он включает в себя различные параметры, на основе которых предлагается услуга. EVC предотвращает передачу данных между сайтами, которые не являются частью одного EVC. Проще говоря, EVC – это цепь A – Z, которая позволяет передавать клиентские VLAN с одного порта на узле на другой порт на другом узле в сети. EVC представляет собой Carrier Ethernet Service и представляет собой объект, который обеспечивает сквозное соединение между двумя или более конечными точками клиента.

Атрибуты EVC

Некоторые из глобальных атрибутов EVC:

EVC ID – уникальный идентификатор, который идентифицирует EVC.

Три типа EVC:

E-LINE – Point-to-Point,
E-LAN – Multipoint-to-Multipoint,
E-TREE – Point-to-Multipoint.

Понятие точки потока Ethernet Ethernet Flow Point

Точка потока (flow) Ethernet (EFP - Etternet Flow Point) - это логический подинтерфейс 2-го уровня, используемый для классификации трафика по физическому интерфейсу или пакетному интерфейсу. Поскольку трафик для услуги должен проходить через несколько коммутаторов в сети провайдера, чтобы подключать сайты клиентов в сети провайдера, экземпляр конкретной службы EVC на физическом интерфейсе каждого сетевого устройства, через который проходит EVC, называется точкой потока Ethernet (EFP).

EFP – это логическая разграничительная точка EVC на интерфейсе. EFP может быть связан с доменом моста.

Проще говоря, EFP определяется как конечная точка EVC в узле. Поскольку несколько EVC могут проходить через один физический интерфейс, основной целью конфигурации EFP является распознавание трафика, принадлежащего конкретному EVC на этом интерфейсе, и применение поведения и функций пересылки, специфичных для этого EVC.

Возможные административные состояния EFP: – "поднят" – "опущен". (Это административное состояние отображается в административное состояние EFP в IOS.)

Атрибуты EFP

Ключевые атрибуты EFP:

Строка инкапсуляции – определяет критерии классификации для входящего пакета.
Операции пересылки – определяет операцию пересылки, которая будет применяться к кадрам, принадлежащим этому EFP.
Операция перезаписи на входе – определяет перезапись, которая должна быть выполнена для кадров, принадлежащих этому EFP, перед продолжением операций пересылки.

Понятие домена моста Bridge Domain

Домен моста – это внутренний домен широковещательной передачи Ethernet для устройства. Домен моста позволяет отделить VLAN от широковещательного домена. Домен моста имеет сопоставление "один ко многим" с EFP. Все EFP в узле для определенного EVC сгруппированы с использованием домена моста. Если EFP принадлежат одному домену моста и имеют одинаковый номер домена моста, EFP получают трафик, даже если у них разные номера VLAN. Номер домена моста является локальным для узла. Различные узлы, которые являются частью EVC, могут иметь одинаковый или разный номер домена моста. Однако номер домена моста уникален для EVC в узле. Для EVC номер домена моста составляет от 1 до 16384.

Ограничение конфигурации

Операции инкапсуляции и перезаписи не разрешены, если домен моста настроен на EFP. Удалите существующий домен моста из EFP, а затем измените операции инкапсуляции и перезаписи.

Типы доменов моста

Домен моста можно настроить для работы в режимах точка-точка и точка-многоточка. Режим конфигурации по умолчанию для домена моста - точка-многоточка. Поддерживаются следующие типы мостовых доменов:

Point–to–point (Точка-точка)

Этот домен моста может использоваться для частной линии Ethernet (EPL) и виртуальной частной линии Ethernet (EVPL).

CPT – Carrier Packet Transport поддерживает до 16384 доменов моста точка-точка.

Обучение MAC не поддерживается для доменов моста точка-точка.

REP — Resilient Ethernet Protocol не блокирует EFP — Ethernet Flow Point , которые находятся в домене моста точка-точка. В кольцевом сценарии требуется домен моста точка-многоточка.

Point–to–multipoint (Точка многоточка)

Этот мостовой домен может использоваться для частной локальной сети Ethernet (EPLAN) и виртуальной частной локальной сети Ethernet (EVPLAN).

CPT поддерживает до 4000 доменов мостов точка-многоточка.

Поддерживается обучение MAC для доменов моста точка-множество точек.

Домен мостов точка-многоточка поддерживается через REP.

Возможности EVC

EVC в CPT (Carrier Packet Transport) поддерживает следующие функции:

- Создание, удаление или изменение файлов EFP
- Добавить EFP в качестве членов мостового домена
- Сопоставьте трафик с EFP на основе: 802.1q VLAN (одна VLAN, список, диапазон) Cisco Q-in-Q VLAN (одна внешняя и одна внутренняя VLAN) Собственные VLANS Q-in-Q (9100, 9200)

Мосты провайдера 802.1ad (инкапсуляция и перезапись)

- Сопоставление VLAN - Push, Pop, Translate Single VLAN tag
- Поддержка перезаписи одиночных или двойных тегов VLAN

- Поддержка группировки VLAN из нескольких UNI в один EVC
- Поддержка Ethernet UNI с двумя тегами VLAN (Cisco-QinQ или IEEE 802.1ad)
- Поддержка преобразования 802.1Q VLAN ID для тегированного трафика 802.1q на UNI
- Поддержка двухточечного EVC, многоточечного EVC и корневого многоточечного EVC.
- Поддержка Ethernet через MPLS
- Поддержка преобразования 1: 2 VLAN и преобразования 2: 2 VLAN
- Устаревание MAC-адреса EVC
- Flex Service Mapping (расширенные переводы VLAN).

Поддержка dot1ad и Cisco Q-in-Q etype для S-tag

- Поддержка туннелирования протокола уровня 2 (L2PT) для каждого порта

......и так далее: https://www.cisco.com/c/en/us/configuration/guide

Provider Provisioned - MPLS VPN второго уровня (L2VPN)

Технология и протоколы MPLS.PDF <----------------------ст.182

Сам термин "многопротокольная коммутация по меткам" изобретение IFTF, одной из ее рабочих групп. Стандарты IETF описывают два типа услуг Ethernet VPN, которые строятся с помощью технологии MPLS:

VPWS (Virtual Private Wire Service)
VPLS (Virtual Private LAN Service)

Различие между этими услугами в том, что VPWS эмулирует соединение Ethernet с двухточечной топологией, то есть канал Ethernet, a VPLS эмулирует поведение локальной сети, то есть обеспечивает соединения с полносвязной топологией в стиле обычной локальной сети Ethernet.

Если использовать терминологию MEF, то услуга VPLS соответствует услуге Е-LAN, а услуга VPWS — услуге E-LINE, что совершенно очевидно. При этом стандарты IETF описывают оба варианта услуг как приннимая во внимание пользовательские идентификаторы VLAN, то есть услуги:

EVPL - Ethernet Virtual Private Line и EVPLAN - Ethernet Private LAN, так и нет, то есть:

EPL - Ethernet Private Line и EPLAN - Ethernet Private LAN.

Обе услуги являются услугами MPLS VPN второго уровня (MPLS L2VPN), так как они позволяют предоставлять услуги VPN, взаимодействуя с пользовательскими сетями на втором уровне.

Для использования MPLS как внутренней технологии провайдера при предоставлении услуг Ethernet VPN маршрутизаторы MPLS должны быть сконфигурированы специальным, соответствующим образом, а пограничные маршрутизаторы должны, кроме того, предоставлять пользователям интерфейсы Ethernet.

LSP — Label Switched Path - pseudowire

Основным строительным элементом этих услуг наряду с LSR — Label Switching Router являются псевдоканалы PW - "Pseudo-Wire", LSP — Label Switched Path (pseudowire или эмуляторы канала, или эмуляторы кабеля, или псевдопроводы), коммутируемые по меткам тракты которые осуществляют соединение пограничных маршрутизаторов провайдера (каналы-тракты можно считать одно и тоже).

Можно сказать: LSP включающии в себя псевдоканалы — это механизм, который эмулирует существенные свойства какого-либо телекоммуникационного сервиса через сеть с коммутацией пакетов.

Псевдоканалы представляют собой пути LSP второго уровня иерархии (называемого так же внутренним уровнем), проложенные внутри LSP первого (внешнего) уровня. Обычно в качестве LSP первого уровня иерархии используются ТЕ-туннели MPLS, то есть псевдоканалы могут быть созданы внутри тунелей MPLS.

MPLS TE (Traffic Engineering — инжиниринг трафика)

Над метками выполняются следующие операции, задаваемые в поле действий таблицы продвижения:

Swap — заменить текущую метку новой.

https://slidetodoc.com/introduction-to-mpls-timothy-g-griffin/

https://www.cisco.com/c/en/us/support/docs/multiprotocol-lmpls-l2vpn-pseudowire

Псевдоканалы представляют собой пути LSP второго уровня иерархии (называемого так же внутренним уровнем), проложенные внутри LSP первого (внешнего) уровня. Обычно в качестве LSP первого уровня иерархии используются ТЕ(Traffic Engineering) - туннели MPLS, так как они об ладают полезными дополнительными свойствами, которых нет у путей, проложенных с помощью протокола LDP, например более сбалансированной нагрузкой. (на рисунке пути LSP первого уровня не показаны)

Псевдоканалы — это логические транспортные соединения, физически они могут проходить через промежуточные магистральные маршрутизаторы, однако для них они прозрачны, то есть в нашем примере маршрутизаторы P1, Р2 и РЗ просто не замечают их существования в сети. Однако псевдоканал — это не просто логическое соединение LSP второго уровня иерархии согласно определению, данному в RFC 3985, у псевдоканала есть более специфическое назначение. Псевдоканал — это механизм, который эмулирует существенные свойства какого-либо телекоммуникационного сервиса через сеть с коммутацией пакетов.

Одним из вариантов применения псевдоканалов при эмуляции услуг Ethernet является передача псевдоканалом трафика одного пользовательского соединения, при этом псевдоканал эмулирует кабельное соединение между сетями пользователей. В примере на рисунке псевдоканал PW2 служит для организации соединения между сетями А и F через сеть провайдера. При этом кадры Ethernet, отправляемые сетью А в сеть F, инкапсулируются пограничным маршрутизатором РЕ1 в данные псевдоканала и доставляются им пограничному маршрутизатору РЕ4, который извлекает эти кадры и отправляет их в сеть F в первоначальном виде.

Из определения, данного в RFC 3985, видно, что назначение псевдоканала шире эмуляции Ethernet, — это может быть и эмуляция сервисов выделенных каналов технологий PDH или SDH - SDH/PDH (Synchronous Digital Hierarchy/Plesiochronous Digital Hierarchy), и эмуляция виртуальных каналов ATM или Frame Relay; однако в любом случае эмуляция такой услуги выполняется через пакетную сеть. Тип пакетной сети также не уточняется, так что это может быть и классическая сеть IP (без MPLS), и сеть IP/MPLS, и сеть ATM. Типов псевдоканалов не мало, RFC 4448 описывает псевдоканал предоставляющий услуги Ethernet операторского класса который эммулирует Ethernet через сети IP/MPLS, что и показано ниже.

Главное в этом обобщенном определении то, что псевдоканал скрывает от пользователей эмулируемого сервиса детали пакетной сети провайдера, соединяя пользовательские пограничные устройства (СЕ) таким образом, как если бы они соединялись с помощью выделенного канала или кабеля.

1. PW - это соединение между двумя устройствами PE, которое соединяет два AC, несущие фреймы L2.

2. Any Transport Over MPLS (AToM) - это реализация Cisco VPWS для IP/MPLS. сети.

3. Attachment Circuit - схема подключения (AC) - это физическая или виртуальная цепь, соединяющая CE с PE, может быть ATM, Frame Relay, HDLC, PPP и так далее.

4. Сustomer edge - оборудование на стороне клиента (CE) воспринимает PW как неразделенный link или канал.

Обзор L2VPN

L2VPN используют сервисы L2 через MPLS, чтобы построить топологию соединений точка-точка, которые соединяют сайты конечных клиентов в VPN.

L2VPN предоставляют альтернативу частным сетям, которые были предоставлены посредством выделенных выделенных линий или посредством виртуальных каналов L2, которые используют ATM или Frame Relay. Услуга, предоставляемая этими L2VPN, известна как услуга VPWS - Virtual Private Wire Service, виртуальные частные каналы.

- L2VPN построены с использованием технологии Pseudowire (PW).
- PW предоставляют общий промежуточный формат для передачи нескольких типов сетевых услуг через сеть с коммутацией пакетов (PSN - Packet Switched Network) - сеть, которая пересылает пакеты - IPv4, IPv6, MPLS, Ethernet.
- Технология PW обеспечивает транспорт Like-to-Like, а также взаимодействие (IW - Interworking )
- Кадры, полученные на маршрутизаторе PE на AC (Attachment Circuit), инкапсулируются и отправляются через PSW на удаленный маршрутизатор PE (Provider Edge (router)).
- Выходной PE-маршрутизатор получает пакет от PSW (Packet Switching Wire) и удаляет их инкапсуляцию.
- Выходной PE извлекает и пересылает кадр на AC (Attachment Circuit — канал присоединения)

Зачем нужен L2VPN

- Позволяет SP (Service Provider) иметь единую инфраструктуру как для IP, так и для унаследованных сервисов
- Перенести устаревшие службы ATM и Frame Relay на ядро MPLS/IP без прерывания работы существующих служб
- Предоставление новых услуг L2VPN является инкрементным (поступательным, связанным, но не с нуля) в существующем ядре MPLS/IP.
- Экономия капитала и эксплуатационная экономия конвергентной (объединенной по услугам) сети IP/MPLS
- SP (Service Provider) может предоставлять услуги «point-2-point» или «point-2-multi-point». Заказчик может иметь собственную маршрутизацию, политики QoS (Quality of Service) , механизмы безопасности и т. д.

MPLS L2 VPN Models

1. VPWS Services (Virtual Private Wire Service)

Point-to-point Псевдоканалы Pseudowires (PWs)

2. VPLS Services (Virtual Private LAN Service)

Multipoint

3. EVPN (Ethernet VPN)

Семейство xEVPN представляет перспективные решения нового поколения для услуг Ethernet.

а. Плоскость управления BGP для распределения и обучения сегментов Ethernet и MAC по ядру MPLS

б. Те же принципы и опыт эксплуатации IP VPN

Отсутствие использования псевдопроводов.

а. Использует туннели MP2P для одноадресной передачи

б. Доставка кадров в несколько пунктов назначения через входящую репликацию (через туннели MP2P) или LSM

Мультивендорные решения в соответствии со стандартизацией IETF

Семейство EVPN:

4. PBB-EVPN

Сочетает в себе инструменты масштабирования из PBB (также известный как MAC-in-MAC) с изучением MAC-адресов на основе BGP из EVPN.

EVPN и Provider Backbone Bridging EVPN (PBB-EVPN) - это решения L2VPN нового поколения на основе плоскости управления BGP для распределения/обучения MAC по ядру, в результате:

— Потоковое резервирование и балансировка нагрузки.

— Упрощенная подготовка и работа

— Оптимальная пересылка

— Быстрая сходимость

— Масштабируемость MAC-адресов.

https://www.rogerperkin.co.uk/cisco-mpls-tutorial/

How to export/import configuration in GNS3

R1#copy running-config startup-config

Destination filename [startup-config]?

Building configuration...

[OK]

MPLS Command Reference

Cisco VRF Virtual Routing and Forwarding

Basic MPLS Tutorial

Общая задача в соединении двух сайтов через MPLS.

Руководство разбито на четыре части:

(0:40) Step 1 – IP addressing of MPLS Core and OSPF

Задача в настроике ospf на маршрутизаторах, чтобы обеспечить петлевое соединение между R1 и R3.

(7:57) Step 2 – Configure LDP on all the interfaces in the MPLS Core

Конфигурирование LDP на интерфейсах ядра MPLS

(10:42) Step 3 – MPLS BGP Configuration between R1 and R3

Настройка MPLS BGP между маршрутизаторами R1 и R3

(13:18) Step 4 – Add two more routers, create VRFs

#show ip interface brief — состояние интерфейсов

#ip ospf < > are < > — включение OSPF на интерфейсах

#sh ip route — текущее состояние таблицы маршрутизации

#sh ip ospf int brief — показать интерфейсы ospf

#sh ip ospf neighbor — показать ip соседа ospf

#router ospf < > — настройка OSPF

#mpls ldp autoconfig — включить протокол меток MPLS (LDP)

#no mpls ldp autoconfig — выключить

#sh mpls interfaces — показать mpls интерфейсы

#sh ip ospf mpls ldp interface — показать int ip ospf mpls ldp

#sh mpls ldp discovery — соседи для домена маршрутизации

#sh mpls ldp neighbor — показать соседа mpls ldp

#sh mpls ldp bindings — показать базу данных меток

#sh mpls ip binding — показать ip меток

MPLS Configuration Commands.pdf

R1#sh ip interface brief