Virtual private lan service что это
Думаю, что все уже прочитали выпуск про L2VPN и представляют себе, что такое VPLS и с чем его едят. Немного освежим в памяти какие виды VPLS существуют на сегодняшний день и чем же они существенно отличаются:
VPLS LDP-signaling (Martini) — наиболее простая технология, реализующая функционал VPLS, и в плане конфигурирования и в плане траблшутинга, но сложна в администрировании, так как данная не наделена функцией автоматического поиска РЕ-маршрутизаторов, входящих в один VPLS домен. Поэтому, все РЕ-маршрутизаторы, участвующие в одном VPLS домене, явно прописываются на каждом РЕ-маршрутизаторе вручную. В итоге, добавление нового сайта в существующий VPLS домен подразумевает изменение конфигурации на всех РЕ-маршрутизаторах данного VPLS домена, что, на мой взгляд, не очень удобно, особенно если у клиента 5-6 сайтов и более. К плюсам данной технологии можно отнести ее простоту и отсутствие необходимости в добавлении нового семейства адресов в протокол BGP (для части старого оборудования в тот момент, когда родилась технология, понадобилось бы обновить софт). Tак как вся сигнализация работает исключительно по LDP, то работа данной технологии была понятна инженерами без необходимости что-то заново изучать (всё-таки мы, люди, в основной своей массе существа ленивые). Но в современных реалиях, думаю, что удобнее один раз добавить новое семейство адресов в BGP (пусть даже придется обновиться софт на паре железок), а не бегать постоянно по всем PE-кам при добавлении нейбора в VPLS-домен.
VPLS LDP-signaling with BGP-Autodiscovery . В конечном счете разработчики технологии VPLS LDP-signaling все же поняли свою ошибку — отсутствие автоматического поиска других РЕ-шек сильно ограничивало масштабируемость данного решения в сравнении с VPLS BGP-signaling, поэтому было решено добавить в данную технологию автоматический поиск РЕ-маршрутизаторов. Естественно, средствами LDP это реализовать у них не получилось, поэтому был использован великий и могучий BGP, в который было добавлено еще одно семейство адресов (причем отличное от семейства адресов, использующихся в VPLS Kompella), зарезервировано новое расширенное комьюнити l2vpn-id и добавлен новый FEC — FEC129 (в VPLS LDP используется FEC128). В итоге, при использовании данной технологии, поиск PE маршрутизаторов производится по протоколу BGP, а L2 каналы уже сигнализируются по LDP. На мой взгляд, данными действиями разработчики перечеркнули все, чем они гордились до этого и, если ваше оборудование поддерживает и Martini+BGP AD и Kompella, то лично я бы предпочел второе.
VPLS BGP-signaling (Kompella) . Данная технология сильно отличается от двух предыдущих — общая у них только цель — организация виртуальной L2 сети поверх сети провайдера. Данный вид VPLS использует для сигнализации протокол BGP, который обеспечивает и автоматический поиск соседей и сигнализирование виртуальных L2 каналов. В итоге мы имеем хорошо масштабируемое решение, а меньшая распространенность VPLS BGP-signaling в сетях провайдеров обусловлена скорее всего тем, что данная разработка продвигалась Juniper и до определенного времени просто не поддерживалась другими вендорами, а также кажущаяся на первый взгляд сложность самой технологии — чего стоит одна модель распределения меток.
Все перечисленные технологии обеспечивают один и тот же результат — организацию виртуальной L2 сети поверх сети провайдера, разнятся только средства реализации и возможности данных технологий, о которых вы можете почитать в предыдущем выпуске СДСМ. Но у данных технологий есть несколько общих проблем, которые накладывают определенные неудобства при эксплуатации и не дают покоя разработчикам. Таких проблем как минимум три:
Нет возможности для multihomed сайтов (сайтов, подключенных к 2-м и более PE маршрутизаторам одновременно) использовать все линки для передачи трафика (работать в Active-Active mode);
Эти технологии не предоставляют расширенных функций L3, за исключением банального добавления BVI/IRB (Bridge Virtual Interface/Integrated Routing and Bridging) интерфейса в VPLS домен для выхода во внешнюю сеть;
MAC-адреса изучаются исключительно на уровне data plane, что приводит к увеличению флуда BUM (Broadcast, Unknown Unicast, Multicast) трафика в сети провайдера.
Бороться с этими недостатками в VPLS уже бесполезно — это сильно усложнит и так не простые технологии (к примеру есть технология NG-VPLS (Next-Generation VPLS), которая используется P2MP LSP, но о ее реальном использовании я не слышал). Поэтому была изобретена новая технология, в которой данные недостатки были устранены. Сегодня мы поговорим об Ethernet VPN (EVPN). Бытует мнение, что данная технология является развитием VPLS BGP-signaling, думаю, что для простоты восприятия, не будет лишним в данной статье сравнивать EVPN c VPLS BGP-signaling (далее буду писать просто VPLS, что подразумевает именно VPLS BGP-signaling).
Лично мое мнение, что данная технология является гибридом L3VPN и VPLS BGP-signaling. А почему, думаю, вы поймете, дочитав статью до конца. Итак, поехали…
С доброй улыбкой теперь вспоминается, как человечество с тревогой ожидало в 2000 году конца света. Тогда этого не случилось, но зато произошло совсем другое событие и тоже очень значимое.
Исторически, в то время мир вошел в настоящую компьютерную революцию v. 3.0. – старт облачных технологий распределенного хранения и обработки данных. Причем, если предыдущей «второй революцией» был массовый переход к технологиям «клиент-сервер» в 80-х годах, то первой можно считать начало одновременной работы пользователей с использованием отдельных терминалов, подключенных к т.н. «мейнфреймам» (в 60-х прошлого столетия). Эти революционные перемены произошли мирно и незаметно для пользователей, но затронули весь мир бизнеса вместе с информационными технологиями.
При переносе IT-инфраструктуры на облачные платформы и удаленные ЦОД (центры обработки данных) ключевым вопросом сразу же становится организация надежных каналов связи от клиента к дата-центрам. В Сети нередко встречаются предложения провайдеров: «физическая выделенная линия, оптоволокно», «канал L2», «VPN» и так далее… Попробуем разобраться, что за этим стоит на практике.
Коротко о VPLS
Давайте рассмотрим что такое VPLS и где это может понадобиться. VPLS (англ. Virtual Private LAN Service — сервис виртуальной частной сети) — один из способов организации связи точка-многоточка на базе IP / MPLS сетей, который позволяет объединять географически разделенные объекты/офисы в единую сеть.
Допустим, у вас есть 3+ офиса в разных городах и во всех этих городах присутствует какой-то провайдер. Обратившись к нему он вам быстро организует данную услугу на своей сети. С точки зрения вас это будет выглядеть как показано на рисунке.
С точки зрения клиента все офисы будут подключены к одному L2 коммутатору/свитчу, т.е. получится одна большая локальная сеть, при этом от клиента не потребуется каких-то маршрутизаторов/серверов. В качестве пограничного устройства вполне сойдет простенький коммутатор.
L3-VPN с точки зрения провайдера.
В данном случае задача сети провайдера прикинуться маршрутизатором. В реальном виде она может быть огромна. Оборудование клиента будет подключено в ближайший пограничный коммутатор оператора связи, а соединение посредством протокола динамической маршрутизации будет осуществлено с его ближайшим маршрутизатором (на языке операторов связи, пограничный маршрутизатор провайдера к которому подключается клиент называется PE-Provider Edge).
Под облачком может скрываться до сотни устройств с протяженностью сети провайдера в несколько тысяч километров, однако, вы об этом не узнаете. При всем при этом, чтобы настроить данную услугу, администратору оператора связи требуется от силы 20 минут работы. А случае, если вам потребуется подключить дополнительный магазин, то провайдеру надо всего-лишь произвести настройки на том маршрутизаторе к которому он будет подключен, чтобы добавить его в вашу единую сеть, сеть клиента.
Данная услуга является второй по популярности среди клиентов провайдеров. К ее плюсам можно отнести масштабируемость, легкость диагностики в случае возникновения проблем, совмещение с другими услугами провайдера. Минусами L3VPN является нагрузка на пограничные маршрутизаторы провайдера, также, чтобы предоставить данную услугу, все офисы участвующие в ней должны быть подключены к одному провайдеру.
Подведем итоги
На сегодняшний день задачи пользователя/клиента в большинстве случаев могут быть эффективно решены путём организации виртуальных частных сетей VPN c использованием технологий GRE и IPSec для безопасности.
Нет особого смысла противопоставлять L2 и L3, равно как нет смысла считать предложение канала L2 лучшим решением для построения надёжной коммуникации в своей сети, панацеей. Современные каналы связи и оборудование провайдеров позволяют пропускать громадное количество информации, а многие выделенные каналы, арендуемые пользователями, на самом деле – даже недогружены. Разумно использовать L2 только в особенных случаях, когда этого требует специфика задачи, учитывать ограничения возможности будущего расширения такой сети и проконсультироваться со специалистом. С другой стороны, виртуальные сети L3 VPN, при прочих равных условиях, более универсальны и просты в эксплуатации.
В этом обзоре кратко перечислены современные типовые решения, которые используют при переносе локальной IT-инфраструктуры в удаленные центры обработки данных. Каждое из них имеет своего потребителя, достоинства и недостатки, правильность выбора решения зависит от конкретной задачи.
В реальной жизни, оба уровня сетевой модели L2 и L3 работают вместе, каждый отвечает за свою задачу и противопоставляя их в рекламе, провайдеры откровенно лукавят.
В настоящее время почему-то самой популярной услугой является L2VPN, хотя главным ее недостатком является то, что она работает по принципу точка-точка на уровне L2, т.е. этой услугой можно объединить только две точки (офиса). Если точек больше чем две, то приходится организовывать какой-то центральный узел, который аккумулирует на себя все включения. Соответственно, и весь трафик между всеми точками клиента ходит через эту центральный узел. В случае, если требуется включение точка-многоточка, а именно возникает необходимость, чтобы трафик ходил между точками напрямую, минуя этот центральный узел, то большинство использует такую услугу как L3VPN, которая уже требует от клиента дорогостоящего оборудования и квалифицированного системного администратора. Однако, не многие знают, что некоторые провайдеры предоставляют такую услугу как VPLS, которая работает по принципу точка-многоточка и тоже на втором уровне модели OSI.
Как это выглядит с точки зрения провайдера ?
Здесь будет немного сложнее. Заявив ему, что вы хотите данную услугу, выбранный вами провайдер подключит оба офиса в свои ближайшие коммутаторы, произведет манипуляции на оборудовании, и вы получите заветную услугу. Сеть провайдера может быть огромна. Чтобы вашим пакетикам из Урюпинска дойти до Воронежа и обратно, им придется преодолеть нцать коммутаторов, несколько роутеров и много-много километров пути. Если схематично, то можно представить так, как показано на рисунке 2.
Данную услугу провайдеры предоставляют на основе своей сети IP/MPLS. Стоимость данной услуги, провайдер рассчитывает исходя от расстояния, емкости канала, совокупных затрат на содержание и эксплуатацию оборудования, амортизационных отчислений и тд. Однако, при всем при этом цена является в несколько раз завышена для клиента.
Заключение.
Услуга VPLS включает все преимущества L2VPN и L3VPN, однако, непопулярность ее можно объяснить отсутствием знаний про ее существование. Она является легко масштабируемой и простой в организации.
Преимущества VPLS:
Недостатки VPLS:
- Сложность диагностики в случае возникновения проблем.
Купить\Заказать услугу VPLS можно здесь.
Где это может понадобиться?
Допустим, вы частный предприниматель, у вас есть офис в г. Урюпинск и г. Воронеж. Вы хотите объединить 2 сети в 1 большую локальную сеть. С точки зрения вас (клиента) данная услуга будет выглядеть так, как показано на рисунке 1.
Т.е. как подключение к одному большому L2-коммутатору. В случае необходимости вы можете самостоятельно устанавливать в своем vpn канале дополнительные сервисы сетевой защиты, шифрования, аутентификации, например IPSec-туннель и т.д.
Заключение
Данная услуга является одной из самых популярных среди клиентов провайдеров Она очень проста и не требует настроек на оборудовании клиента.
Преимущества:
Однако есть и недостатки. Т.к. услуга является L2, то операторам связи очень сложно отслеживать проблемы на данной услуге и практически всегда они узнают о проблеме от клиента. По сути, клиент сам берет на себя всю диагностику и работу с провайдером, поэтому если существуют какие-то проблемы то их решение очень затягивается.
Существует и более интересная услуга, позволяющая организовывать соединения точка-многоточка на уровне L2 модели OSI — это VPLS подробнее про нее можно прочитать перейдя по ссылке.
Рассмотрим, что такое услуга L3-VPN, что она из себя представляет и зачем нужна. L3-VPN это услуга/сервис виртуальной частной сети, которая предоставляется операторами связи на ряду с L2-VPN и VPLS. Данная услуга уже работает на 3 уровне модели OSI (на уровне IP) по принципу точка-многоточка. Она позволяет объединять сети офисов/магазинов заказчиков в единую. Обмен пакетами клиентов происходит через сеть провайдера. Для организации L3-VPN от клиента уже требуется пограничное оборудование выполняющее роль маршрутизатора (на языке операторов связи, пограничное оборудование клиента называется CE-Customer Edge).
Каналы связи – физические и виртуальные
1. Организацией «физической линии» или «канала второго уровня, L2» принято называть услугу предоставления провайдером выделенного кабеля (медного или оптоволоконного), либо радиоканала между офисами и теми площадками, где развернуто оборудование дата-центров. Заказывая эту услугу, на практике скорее всего вы получите в аренду выделенный оптоволоконный канал. Это решение привлекательно тем, что за надежную связь отвечает провайдер (а в случае повреждения кабеля самостоятельно восстанавливает работоспособность канала). Однако, в реальной жизни кабель на всем протяжении не бывает цельным – он состоит из множества соединенных (сваренных) между собой фрагментов, что несколько снижает его надежность. На пути прокладки оптоволоконного кабеля провайдеру приходится применять усилители, разветвители, а на оконечных точках – модемы.
- 10.0.0.0 – 10.255.255.255 в классе A (с маской 255.0.0.0 или /8 в альтернативном формате записи маски);
- 100.64.0.0 – 100.127.255.255 в классе A (с маской 255.192.0.0 или /10);
- 172.16.0.0 – 172.31.255.255 в классе B (с маской 255.240.0.0 или /12);
- 192.168.0.0 – 192.168.255.255 в классе C (с маской 255.255.0.0 или /16).
Примечание: NAT – Network Address Translation (механизм замены сетевых адресов транзитных пакетов в сетях TCP/IP, применяется для маршрутизации пакетов из локальной сети клиента в другие сети/Интернет и в обратном направлении – вовнутрь LAN клиента, к адресату).
У этого подхода (а мы говорим о выделенном канале) есть и очевидный недостаток – в случае переезда офиса клиента, могут быть серьезные сложности с подключением на новом месте и возможна потребность в смене провайдера.
Утверждение, что такой канал значительно безопаснее, лучше защищен от атак злоумышленников и ошибок низкоквалифицированного технического персонала при близком рассмотрении оказывается мифом. На практике проблемы безопасности чаще возникают (или создаются хакером умышленно) прямо на стороне клиента, при участии человеческого фактора.
2. Виртуальные каналы и построенные на них частные сети VPN (Virtual Private Network) распространены широко и позволяют решить большинство задач клиента.
Предоставление провайдером «L2 VPN» предполагает выбор из нескольких возможных услуг «второго уровня», L2:
VLAN – клиент получает виртуальную сеть между своими офисами, филиалами (в действительности, трафик клиента идет через активное оборудование провайдера, что ограничивает скорость);
Соединение «точка-точка» PWE3 (другими словами, «эмуляция сквозного псевдопровода» в сетях с коммутацией пакетов) позволяет передавать фреймы Ethernet между двумя узлами так, как если бы они были соединены кабелем напрямую. Для клиента в такой технологии существенно, что все переданные фреймы доставляются до удалённой точки без изменений. То же самое происходит и в обратном направлении. Это возможно благодаря тому, что фрейм клиента приходя на маршрутизатор провайдера далее инкапсулируется (добавляется) в блок данных вышестоящего уровня (пакет MPLS), а в конечной точке извлекается;
Примечание: PWE3 – Pseudo-Wire Emulation Edge to Edge (механизм, при котором с точки зрения пользователя, он получает выделенное соединение).
MPLS – MultiProtocol Label Switching (технология передачи данных, при которой пакетам присваиваются транспортные/сервисные метки и путь передачи пакетов данных в сетях определяется только на основании значения меток, независимо от среды передачи, используя любой протокол. Во время маршрутизации новые метки могут добавляться (при необходимости) либо удаляться, когда их функция завершилась. Содержимое пакетов при этом не анализируется и не изменяется).
VPLS – технология симуляции локальной сети с многоточечными соединениями. В этом случае сеть провайдера выглядит со стороны клиента подобной одному коммутатору, хранящему таблицу MAC-адресов сетевых устройств. Такой виртуальный «коммутатор» распределяет фрейм Ethernet пришедший из сети клиента, по назначению – для этого фрейм инкапсулируется в пакет MPLS, а после извлекается.
Примечание: VPLS – Virtual Private LAN Service (механизм, при котором с точки зрения пользователя, его разнесенные географически сети соединены виртуальными L2 соединениями).
MAC – Media Access Control (способ управления доступом к среде – уникальный 6-байтовый адрес-идентификатор сетевого устройства (или его интерфейсов) в сетях Ethernet).
3. В случае развертывания «L3 VPN» сеть провайдера в глазах клиента выглядит подобно одному маршрутизатору с несколькими интерфейсами. Поэтому, стык локальной сети клиента с сетью провайдера происходит на уровне L3 сетевой модели OSI или TCP/IP.
Публичные IP-адреса для точек стыка сетей могут определяться по согласованию с провайдером (принадлежать клиенту либо быть полученными от провайдера). IP-адреса настраиваются клиентом на своих маршрутизаторах с обеих сторон (частные – со стороны своей локальной сети, публичные – со стороны провайдера), дальнейшую маршрутизацию пакетов данных обеспечивает провайдер. Технически, для реализации такого решения используется MPLS (см. выше), а также технологии GRE и IPSec.
Примечание: GRE – Generic Routing Encapsulation (протокол тунеллирования, упаковки сетевых пакетов, который позволяет установить защищенное логическое соединение между двумя конечными точками – с помощью инкапсуляции протоколов на сетевом уровне L3).
IPSec – IP Security (набор протоколов защиты данных, которые передаются с помощью IP. Используется подтверждение подлинности, шифрование и проверка целостности пакетов).
Важно понимать, что современная сетевая инфраструктура построена так, что клиент видит только ту ее часть, которая определена договором. Выделенные ресурсы (виртуальные серверы, маршрутизаторы, хранилища оперативных данных и резервного копирования), а также работающие программы и содержимое памяти полностью изолированы от других пользователей. Несколько физических серверов могут согласованно и одновременно работать для одного клиента, с точки зрения которого они будут выглядеть одним мощным серверным пулом. И наоборот, на одном физическом сервере могут быть одновременно созданы множество виртуальных машин (каждая будет выглядеть для пользователя подобно отдельному компьютеру с операционной системой). Кроме стандартных, предлагаются индивидуальные решения, которые также соответствует принятым требованиям относительно безопасности обработки и хранения данных клиента.
При этом, конфигурация развернутой в облаке сети «уровня L3» позволяет масштабирование до практически неограниченных размеров (по такому принципу построен Интернет и крупные дата-центры). Протоколы динамической маршрутизации, например OSPF, и другие в облачных сетях L3, позволяют выбрать кратчайшие пути маршрутизации пакетов данных, отправлять пакеты одновременно несколькими путями для наилучшей загрузки и расширения пропускной способности каналов.
В то же время, есть возможность развернуть виртуальную сеть и на «уровне L2», что типично для небольших дата-центров и устаревших (либо узко-специфических) приложений клиента. В некоторых таких случаях, применяют даже технологию «L2 over L3», чтобы обеспечить совместимость сетей и работоспособность приложений.
L3-VPN с точки зрения клиента.
Представим, что у вы владеете несколькими магазинами и перед вами стоит задача связать локальные сети этих магазинов в одну единую, которая будет абсолютно изолирована для других.
Задача: объединить супермаркет в селе Угрюмое, алкогольный магазин в деревне Колышки и магазин стройматериалов в г. Саратов.
Вы решили воспользоваться услугой L3VPN, выбрали провайдера, который не «загнул» цену на этот сервис. С точки зрения вас, как клиента, данная услуга будет выглядеть, как показано на рисунке 1,
т.е. так, как будто все ваши магазины подключены к одному маршрутизатору провайдера: деревня Колышки отдает посредством протокола динамической маршрутизации свою сеть провайдеру и принимает ваши сети из г. Саратов и села Угрюмое.
Как это выглядит с точки зрения провайдера ?
Заказав данную услугу провайдер проработает все точки включения, подключит ваши офисы в ближайшее свое оборудование и настроит долгожданную услугу. Предположим, что вы ООО «Корпорация добра» и вы несете это добро в г. Урюпинск, г. Воронеж и в г. Казань. Тогда, с точки зрения провайдера данный сервис будет выглядеть как показано на рисунке ниже.
В организации услуги будет задействовано большое количество оборудования на сети провайдера, однако клиент не узнает о его существовании. Данная услуга может быть организована как между городами, так и внутри города. Чтобы провайдер организовал VPLS между городами от него требуется правильная топология сети и присутствие в этих городах. На данный момент этим может похвастаться не так много операторов связи.
Один коммент
Непопулярность её в том, что реализовать посредством вендора Cisco это стоит очень ощутимых затрат. В то время как L2VPN — самое базовое решение, доступное при минимальных затратах.
Многие задавались вопросом, что такое L2-VPN, как он работает и зачем он нужен. L2-VPN это сервис виртуальной частной сети (англ. Virtual Private Network — виртуальная частная сеть), предоставляемый операторами связи по типу точка-точка. Сеть провайдера для клиента в данной услуге абсолютно прозрачна.
Читайте также: