Старые ответы. Модель взаимодействия открытых систем, размещение услуг и механизмов защиты на уровнях модели
 Скачать 1.39 Mb.
|
Где это может понадобиться?Допустим, вы частный предприниматель, у вас есть офис в г. Урюпинск и г. Воронеж. Вы хотите объединить 2 сети в 1 большую локальную сеть. С точки зрения вас (клиента) данная услуга будет выглядеть так, как показано на рисунке 1.  рис 1. Т.е. как подключение к одному большому L2-коммутатору. В случае необходимости вы можете самостоятельно устанавливать в своем vpn канале дополнительные сервисы сетевой защиты, шифрования, аутентификации, например IPSec-туннель и т.д. Как это выглядит с точки зрения провайдера ?Здесь будет немного сложнее. Заявив ему, что вы хотите данную услугу, выбранный вами провайдер подключит оба офиса в свои ближайшие коммутаторы, произведет манипуляции на оборудовании, и вы получите заветную услугу. Сеть провайдера может быть огромна. Чтобы вашим пакетикам из Урюпинска дойти до Воронежа и обратно, им придется преодолеть нцать коммутаторов, несколько роутеров и много-много километров пути. Если схематично, то можно представить так, как показано на рисунке 2.  рис 2. Данную услугу провайдеры предоставляют на основе своей сети IP/MPLS. Стоимость данной услуги, провайдер рассчитывает исходя от расстояния, емкости канала, совокупных затрат на содержание и эксплуатацию оборудования, амортизационных отчислений и тд. Однако, при всем при этом цена является в несколько раз завышена для клиента. ЗаключениеДанная услуга является одной из самых популярных среди клиентов провайдеров. Она очень проста и не требует настроек на оборудовании клиента. Преимущества:
Однако есть и недостатки. Т.к. услуга является L2, то операторам связи очень сложно отслеживать проблемы на данной услуге и практически всегда они узнают о проблеме от клиента. По сути, клиент сам берет на себя всю диагностику и работу с провайдером, поэтому если существуют какие-то проблемы то их решение очень затягивается. L3-VPN – это услуга/сервис виртуальной частной сети, которая предоставляется операторами связи на ряду с L2-VPN и VPLS. Данная услуга уже работает на 3 уровне модели OSI (на уровне IP) по принципу точка-многоточка. Она позволяет объединять сети офисов/магазинов заказчиков в единую. Обмен пакетами клиентов происходит через сеть провайдера. Для организации L3-VPN от клиента уже требуется пограничное оборудование выполняющее роль маршрутизатора. L3-VPN с точки зрения клиента.Представим, что у вы владеете несколькими магазинами и перед вами стоит задача связать локальные сети этих магазинов в одну единую, которая будет абсолютно изолирована для других. Задача: объединить супермаркет в селе Угрюмое, алкогольный магазин в деревне Колышки и магазин стройматериалов в г. Саратов. Вы решили воспользоваться услугой L3VPN, выбрали провайдера, который не «загнул» цену на этот сервис. С точки зрения вас, как клиента, данная услуга будет выглядеть, как показано на рисунке 1,  т.е. так, как будто все ваши магазины подключены к одному маршрутизатору провайдера: деревня Колышки отдает посредством протокола динамической маршрутизации свою сеть провайдеру и принимает ваши сети из г. Саратов и села Угрюмое. L3-VPN с точки зрения провайдера.В данном случае задача сети провайдера прикинуться маршрутизатором. В реальном виде она может быть огромна. Оборудование клиента будет подключено в ближайший пограничный коммутатор оператора связи, а соединение посредством протокола динамической маршрутизации будет осуществлено с его ближайшим маршрутизатором.  рис 2. Под облачком может скрываться до сотни устройств с протяженностью сети провайдера в несколько тысяч километров, однако, вы об этом не узнаете. При всем при этом, чтобы настроить данную услугу, администратору оператора связи требуется от силы 20 минут работы. А случае, если вам потребуется подключить дополнительный магазин, то провайдеру надо всего-лишь произвести настройки на том маршрутизаторе к которому он будет подключен, чтобы добавить его в вашу единую сеть, сеть клиента. Заключение Данная услуга является второй по популярности среди клиентов провайдеров. К ее плюсам можно отнести масштабируемость, легкость диагностики в случае возникновения проблем, совмещение с другими услугами провайдера. Минусами L3VPN является нагрузка на пограничные маршрутизаторы провайдера, также, чтобы предоставить данную услугу, все офисы участвующие в ней должны быть подключены к одному провайдеру. 
Рассмотрим, что такое MPLS L3VPN на примере такой сети:  Итак, это три филиала нашего клиента TARS' Robotics: головной офис в Москве и офисы в Новосибирске и Красноярске — весьма удалённые, чтобы дотянуть до них своё оптоволокно. А у нас туда уже есть каналы. Центральное облако — это мы — linkmeup — провайдер, который предоставляет услугу L3VPN. Вообще говоря, TARS Robotics как заказчику, совершенно без разницы, как мы организуем L3VPN — да пусть мы хоть на поезде возим их пакеты, лишь бы в SLA укладывались. Но в рамках данной статьи, конечно, внутри нашей сети работает MPLS. Сначала надо бы сказать, что в MPLS VPN VRF создаётся только на тех маршрутизаторах, куда подключены клиентские сети. В нашем примере это R1 и R3. Любым промежуточным узлам не нужно ничего знать о VPN. А между ними нужно как-то обеспечить изолированную передачу пакетов разных VPN. Вот какой подход предлагает MPLS VPN: коммутация в пределах магистральной сети осуществляется, как мы описывали в предыдущей статье, по одной метке MPLS, а принадлежность конкретному VPN определяется другой — дополнительной меткой. 1) Вот клиент отправляет пакет из сети 172.16.0.0/24 в сеть 172.16.1.0/24. 2) Пока он движется в пределах своего филиала (сеть клиента), он представляет из себя самый обычный пакет IP, в котором Source IP — 172.16.0.2, Destination IP — 172.16.1.2. 3) Сеть филиала знает, что добраться до 172.16.1.0/24 можно через Сеть провайдера. До сих пор это самый обычный пакет, потому что стык идёт по чистому IP с частными адресами. 4) Дальше R1 (маршрутизатор провайдера), получает этот пакет, знает, что он принадлежит определённому VRF (интерфейс привязан к VRF TARS), проверяет таблицу маршрутизации этого VRF — в какой из филиалов отправить пакет — и инкапсулирует его в пакет MPLS. Метка MPLS на этом пакете означает как раз его принадлежность определённому VPN. Это называется «Сервисная метка». 5) Далее наш маршрутизатор должен отправить пакет на R3 — за ним находится искомый офис клиента. Естественно, по MPLS. Для этого при выходе с R1 на него навешивается транспортная метка MPLS. То есть в этот момент на пакете две метки. Продвижение пакета MPLS по облаку происходит ровно так, как было описано в выпуске про базовый MPLS. В частности на R2 заменяется транспортная метка — SWAP Label. 6) R3 в итоге получает пакет, отбрасывает транспортную метку, а по сервисной понимает, что тот принадлежит к VPN TARS' Robotics. 7) Он снимает все заголовки MPLS и отправляет пакет в интерфейс таким, какой он пришёл на R1 изначально. Помните, чем хорош MPLS? Тем, что никому нет дела до того, что находится под меткой. Поэтому в пределах магистральной сети не важно, какие адресные пространства у клиента, то есть, какой IP-пакет кроется под заголовком MPLS. Поскольку пакет коммутируется по меткам, а не маршрутизируется по IP-адресам — нет нужды поддерживать и таблицу маршрутизации VPN на промежуточных узлах. Теперь немного о том, где эта услуга может применяться: подключение удаленных сайтов, связь между крупными филиалами и так далее. Фактически повсеместно, где нет необходимости в организации L2 соединения (об этом, как нетрудно догадаться) пойдет речь дальше. Плюсы реализации: - Лучше показатели масштабируемости и отказоустойчивости для VPN; - Простота настройки на стороне клиента; - Оператор легко может совместить эту слугу с доступом к разделяемым ресурсам и/или Интернету, повышая тем самым ARPU; Минусы: - Дополнительная нагрузка на PE устройства; - В большинстве случаем все сайты клиента должны быть подключены к сети одного оператора, хотя с технической точки зрения возможны варианты организации MPLS VPN при подключении к разным операторам. Идем дальше: L2 VPN. В основе любого решения MPLS L2VPN лежит идея PW — PseudoWire — виртуальный кабель, прокинутый из одного конца сети в другой. Нетрудно догадаться, что с двух сторон тоннеля параметр vc-id должен быть один и тот же. Вот и все. :-) Вообще, сама AToM (Any Transport over MPLS) позволяет передавать через сеть MPLS любой L2 трафик, будь то Ethernet, PPP, ATM, Frame Relay или даже TDM. Отличия в настройках будут небольшие, связанные со спецификой работы протокола канального уровня. Безусловно, настройку можно расширить, добавив запасные тоннели, однако в данной статье мы рассматриваем лишь базовые конфиги. И, так как L3 мы разбираем подробно в лабораторных, для L2 мы приведем базовый работоспособный конфиг. Схема:  Плюсы: - Возможность прозрачной передачи любого L2 трафика клиента, то есть возможность объединения сетей, работающих на основе любых технологий; - Возможность предоставления услуг, когда необходима именно L2 связность устройств; Минусы: - Гораздо меньшая масштабируемость по сравнению с L3 VPN; - все тоннели по своей сути точка-точка, соответственно необходимо настраивать огромное количество тоннелей для достижения полносвязной топологии. http://cisco-lab.by/study/articles/1299-mpls-vpn-atom-eompls.html MPLS L3VPN  MPLS L2VPN  CE – оборудование клиента PE – пограничный маршрутизатор оператора
В общем случае решение каждой из частных задач коммутации — определение потоков и соответствующих маршрутов, фиксация маршрутов в конфигурационных параметрах и таблицах сетевых устройств, распознавание потоков и передача данных между интерфейсами одного устройства, мультиплексирование/демультиплексирование потоков и разделение среды передачи — тесно связано с решением всех остальных. Комплекс технических решений обобщенной задачи коммутации в совокупности составляет базис любой сетевой технологии. От того, какой механизм прокладки маршрутов, продвижения данных и совместного использования каналов связи заложен в той или иной сетевой технологии, зависят ее фундаментальные свойства. Среди множества возможных подходов к решению задачи коммутации абонентов в сетях выделяют два основополагающих:
 Рис. 6.1. Общая структура сети с коммутацией абонентов |