Главная страница
Навигация по странице:

  • «Сервисная метка»

  • транспортная метка MPLS

  • транспортную

  • Старые ответы. Модель взаимодействия открытых систем, размещение услуг и механизмов защиты на уровнях модели


    Скачать 1.39 Mb.
    НазваниеМодель взаимодействия открытых систем, размещение услуг и механизмов защиты на уровнях модели
    Дата09.01.2019
    Размер1.39 Mb.
    Формат файлаdocx
    Имя файлаСтарые ответы.docx
    ТипДокументы
    #62958
    страница4 из 5
    1   2   3   4   5

     Где это может понадобиться?


    Допустим, вы частный предприниматель, у вас есть офис в г. Урюпинск и г. Воронеж. Вы хотите объединить 2 сети в 1 большую локальную сеть.  С точки зрения вас (клиента) данная услуга будет выглядеть так, как показано на рисунке 1.

    l2vpn-client

    рис 1.
    Т.е. как подключение к одному большому L2-коммутатору. В случае необходимости вы можете самостоятельно устанавливать в своем vpn канале дополнительные сервисы сетевой защиты, шифрования, аутентификации, например IPSec-туннель и т.д.

    Как это выглядит с точки зрения провайдера ?


    Здесь будет немного сложнее. Заявив ему, что вы хотите данную услугу, выбранный вами провайдер подключит оба офиса в свои ближайшие коммутаторы, произведет манипуляции на оборудовании, и вы получите заветную услугу. Сеть провайдера может быть огромна. Чтобы вашим пакетикам из Урюпинска дойти до Воронежа и обратно, им придется преодолеть нцать коммутаторов, несколько роутеров и много-много километров пути. Если схематично, то можно представить так, как показано на рисунке 2.

    l2vpn

    рис 2.
    Данную услугу провайдеры предоставляют на основе  своей сети IP/MPLS. Стоимость данной услуги, провайдер рассчитывает исходя от расстояния, емкости канала, совокупных затрат на содержание и эксплуатацию оборудования, амортизационных отчислений и тд. Однако, при всем при этом цена является в несколько раз завышена для клиента.

     Заключение


    Данная услуга является одной из самых популярных среди клиентов провайдеров. Она очень проста и не требует настроек на оборудовании клиента.

    Преимущества:

    • ускоренный обмен файлами и сообщениями внутри сети;

    • высокая безопасность передачи информации;

    • совместная работа над документами и базами данных;

    • доступ к корпоративным информационным http — серверам;

    • организация между офисами высококачественной видеоконференцсвязи и видео трансляций

    Однако есть и недостатки. Т.к. услуга является L2, то операторам связи очень сложно отслеживать проблемы на данной услуге и практически всегда они узнают о проблеме от клиента.  По сути, клиент сам берет на себя всю диагностику и работу с провайдером, поэтому если существуют какие-то проблемы то их решение очень затягивается.

    L3-VPN – это услуга/сервис виртуальной частной сети, которая предоставляется операторами связи на ряду с L2-VPN и VPLS. Данная услуга уже работает на 3 уровне модели OSI (на уровне IP) по принципу точка-многоточка. Она позволяет объединять сети офисов/магазинов заказчиков в единую. Обмен пакетами клиентов происходит через сеть провайдера. Для организации L3-VPN от клиента уже требуется пограничное оборудование выполняющее роль маршрутизатора.

    L3-VPN с точки зрения клиента.


    Представим, что у вы владеете несколькими магазинами и перед вами стоит задача связать локальные сети этих магазинов в одну единую, которая будет абсолютно изолирована для других.

    Задача: объединить супермаркет в селе Угрюмое, алкогольный магазин в деревне Колышки и магазин стройматериалов в г. Саратов.

    Вы решили воспользоваться услугой L3VPN, выбрали провайдера, который не «загнул» цену на этот сервис.  С точки зрения вас, как клиента, данная услуга будет выглядеть, как показано на рисунке 1,

    l3vpn

    т.е.  так, как будто все ваши магазины подключены к одному маршрутизатору провайдера: деревня Колышки отдает посредством протокола динамической маршрутизации свою сеть провайдеру и принимает ваши сети из г. Саратов и села Угрюмое.

    L3-VPN с точки зрения провайдера.


    В данном случае задача сети провайдера прикинуться маршрутизатором. В реальном виде она может быть огромна. Оборудование клиента будет подключено в ближайший пограничный коммутатор оператора связи, а соединение посредством протокола динамической маршрутизации будет осуществлено с его ближайшим маршрутизатором.

    l3vpn-1

    рис 2.
    Под облачком может скрываться до сотни устройств с протяженностью сети провайдера в несколько тысяч километров, однако, вы об этом не узнаете. При всем при этом, чтобы настроить данную услугу, администратору оператора связи требуется от силы 20 минут работы. А случае, если вам потребуется подключить дополнительный магазин, то провайдеру надо всего-лишь произвести настройки на том маршрутизаторе к которому он будет подключен, чтобы добавить его в вашу единую сеть, сеть клиента.

    Заключение

    Данная услуга является второй по популярности среди клиентов провайдеров. К ее плюсам можно отнести масштабируемость, легкость диагностики в случае возникновения проблем, совмещение с другими услугами провайдера. Минусами L3VPN является нагрузка на пограничные маршрутизаторы провайдера, также, чтобы предоставить данную услугу, все офисы участвующие в ней должны быть подключены к одному провайдеру.


    1. Общие принципы проектирования VPN для сети на базе технологии многопротокольной коммутации по меткам (MPLS).

    Рассмотрим, что такое MPLS L3VPN на примере такой сети:

    https://habrastorage.org/getpro/habr/post_images/597/b8e/4f7/597b8e4f713eb7e847057f54b2492350.png

    Итак, это три филиала нашего клиента TARS' Robotics: головной офис в Москве и офисы в Новосибирске и Красноярске — весьма удалённые, чтобы дотянуть до них своё оптоволокно. А у нас туда уже есть каналы.
    Центральное облако — это мы — linkmeup — провайдер, который предоставляет услугу L3VPN.

    Вообще говоря, TARS Robotics как заказчику, совершенно без разницы, как мы организуем L3VPN — да пусть мы хоть на поезде возим их пакеты, лишь бы в SLA укладывались. Но в рамках данной статьи, конечно, внутри нашей сети работает MPLS.

    Сначала надо бы сказать, что в MPLS VPN VRF создаётся только на тех маршрутизаторах, куда подключены клиентские сети. В нашем примере это R1 и R3. Любым промежуточным узлам не нужно ничего знать о VPN.
    А между ними нужно как-то обеспечить изолированную передачу пакетов разных VPN.

    Вот какой подход предлагает MPLS VPN: коммутация в пределах магистральной сети осуществляется, как мы описывали в предыдущей статье, по одной метке MPLS, а принадлежность конкретному VPN определяется другой — дополнительной меткой.

    1) Вот клиент отправляет пакет из сети 172.16.0.0/24 в сеть 172.16.1.0/24.
    2) Пока он движется в пределах своего филиала (сеть клиента), он представляет из себя самый обычный пакет IP, в котором Source IP — 172.16.0.2, Destination IP — 172.16.1.2.
    3) Сеть филиала знает, что добраться до 172.16.1.0/24 можно через Сеть провайдера.
    До сих пор это самый обычный пакет, потому что стык идёт по чистому IP с частными адресами.
    4) Дальше R1 (маршрутизатор провайдера), получает этот пакет, знает, что он принадлежит определённому VRF (интерфейс привязан к VRF TARS), проверяет таблицу маршрутизации этого VRF — в какой из филиалов отправить пакет — и инкапсулирует его в пакет MPLS.
    Метка MPLS на этом пакете означает как раз его принадлежность определённому VPN. Это называется «Сервисная метка».
    5) Далее наш маршрутизатор должен отправить пакет на R3 — за ним находится искомый офис клиента. Естественно, по MPLS. Для этого при выходе с R1 на него навешивается транспортная метка MPLS. То есть в этот момент на пакете две метки. Продвижение пакета MPLS по облаку происходит ровно так, как было описано в выпуске про базовый MPLS. В частности на R2 заменяется транспортная метка — SWAP Label.
    6) R3 в итоге получает пакет, отбрасывает транспортную метку, а по сервисной понимает, что тот принадлежит к VPN TARS' Robotics.
    7) Он снимает все заголовки MPLS и отправляет пакет в интерфейс таким, какой он пришёл на R1 изначально.
    Помните, чем хорош MPLS? Тем, что никому нет дела до того, что находится под меткой. Поэтому в пределах магистральной сети не важно, какие адресные пространства у клиента, то есть, какой IP-пакет кроется под заголовком MPLS.

    Поскольку пакет коммутируется по меткам, а не маршрутизируется по IP-адресам — нет нужды поддерживать и таблицу маршрутизации VPN на промежуточных узлах.
    Теперь немного о том, где эта услуга может применяться: подключение удаленных сайтов, связь между крупными филиалами и так далее. Фактически повсеместно, где нет необходимости в организации L2 соединения (об этом, как нетрудно догадаться) пойдет речь дальше.

    Плюсы реализации:

    - Лучше показатели масштабируемости и отказоустойчивости для VPN;

    - Простота настройки на стороне клиента;

    - Оператор легко может совместить эту слугу с доступом к разделяемым ресурсам и/или Интернету, повышая тем самым ARPU;

    Минусы:

    - Дополнительная нагрузка на PE устройства;

    - В большинстве случаем все сайты клиента должны быть подключены к сети одного оператора, хотя с технической точки зрения возможны варианты организации MPLS VPN при подключении к разным операторам.
    Идем дальше: L2 VPN.
    В основе любого решения MPLS L2VPN лежит идея PW — PseudoWire — виртуальный кабель, прокинутый из одного конца сети в другой.

    Нетрудно догадаться, что с двух сторон тоннеля параметр vc-id должен быть один и тот же. Вот и все. :-) Вообще, сама AToM (Any Transport over MPLS) позволяет передавать через сеть MPLS любой L2 трафик, будь то Ethernet, PPP, ATM, Frame Relay или даже TDM. Отличия в настройках будут небольшие, связанные со спецификой работы протокола канального уровня. Безусловно, настройку можно расширить, добавив запасные тоннели, однако в данной статье мы рассматриваем лишь базовые конфиги. И, так как L3 мы разбираем подробно в лабораторных, для L2 мы приведем базовый работоспособный конфиг.
    Схема:

    http://cisco-lab.by/images/stat/mpls_vpn05.png

    Плюсы:

    - Возможность прозрачной передачи любого L2 трафика клиента, то есть возможность объединения сетей, работающих на основе любых технологий;

    - Возможность предоставления услуг, когда необходима именно L2 связность устройств;

    Минусы:

    - Гораздо меньшая масштабируемость по сравнению с L3 VPN;

    - все тоннели по своей сути точка-точка, соответственно необходимо настраивать огромное количество тоннелей для достижения полносвязной топологии.

    http://cisco-lab.by/study/articles/1299-mpls-vpn-atom-eompls.html
    MPLS L3VPN

    http://cisco-lab.by/images/stat/mpls_vpn02.png

    MPLS L2VPN

    http://cisco-lab.by/images/stat/mpls_vpn04.png

    CE – оборудование клиента

    PE – пограничный маршрутизатор оператора

    1. Понятие о нагрузке трафика в сетях с коммутацией каналов и сетях с коммутацией пакетов.

    В общем случае решение каждой из частных задач коммутации — определение потоков и соответствующих маршрутов, фиксация маршрутов в конфигурационных параметрах и таблицах сетевых устройств, распознавание потоков и передача данных между интерфейсами одного устройства, мультиплексирование/демультиплексирование потоков и разделение среды передачи — тесно связано с решением всех остальных. Комплекс технических решений обобщенной задачи коммутации в совокупности составляет базис любой сетевой технологии. От того, какой механизм прокладки маршрутов, продвижения данных и совместного использования каналов связи заложен в той или иной сетевой технологии, зависят ее фундаментальные свойства.

    Среди множества возможных подходов к решению задачи коммутации абонентов в сетях выделяют два основополагающих:

    • коммутация каналов ( circuit switching );

    • коммутация пакетов ( packet switching ).

    общая структура сети с коммутацией абонентов


    Рис. 6.1. Общая структура сети с коммутацией абонентов
    1   2   3   4   5


    написать администратору сайта