sdílet

Datové služby: Pole neorané nebo přeorané?

Obor: telekomunikace, sítě

Mezi základní služby operátorů, tvořící velmi podstatnou součást nabídky, patří i datové služby typu VPN. Hlavním a základním požadavkem na fungování služby VPN je bezpečné oddělení provozu na sdílených infrastrukturách s možností použití šifrování a zajištění bezpečného připojení do internetu současně s bezpečnou síťovou integrací malých (SOHO), středních (SME) a velkých (Enterprise) uživatelů.

Datové služby nabízející uživatelům okruhy a sítě jsou operátory nejčastěji poskytovány ve formě L2 VPN Point-to-Point sítí (zpravidla poskytováním přenosového pásma pomocí ethernetových okruhů), L2 VPN Multipoint-to-Multipoint sítí (poskytováním pásma pomocí vícebodové LAN), L3 VPN sítí (poskytováním IP virtuálních privátních sítí), digitálních okruhů (TDM, SDH, IP/MPLS, Ethernet) a pochopitelně služeb vyšších vrstev (hlasu, videa, internetu a dalších).

Virtuální privátní sítě na technologii MPLS

V sítích MPLS je možné používat mnoho protokolů. Na fyzické vrstvě (L1) jsou to ATM, Ethernet, Packet over SDH; na spojové vrstvě (L2) ATM, Ethernet, PPP, Frame Relay nebo přepínání podle návěstí MPLS (L2+); na síťové vrstvě (L3) směrované protokoly IP a IPX nebo směrovací protokoly BGP a OSPF, na transportní vrstvě (L4) UDP/TCP pro přenos signalizačních zpráv; a na aplikační vrstvě (L7) vlastní signalizační protokoly MPLS, jako jsou LDP, TDP, CR-LDP.

Proto je technologie MPLS i vhodným mechanismem pro tunelování a tudíž vytváření značkovaných VPN. Navíc výhoda VPN MPLS proti již téměř dvě dekády používaným IP VPN je nejen ve větší rychlosti přenosu (rychlé přepínání uvnitř sítě MPLS odděleně od rozhodování o směrování) a v lepší pružnosti a škálovatelnosti služby, ale také lepším zajištění kvality služeb (Quality of Service), realizaci aplikací v reálném čase (například hlasové a video služby) a možností podpory regulace provozu (Traffic Engineering).

Technologie MPLS-VPN umožňuje transparentně propojit lokality zákazníka prostřednictvím operátora, kdy jeden operátor může realizovat několik různých MPLS-VPN, které se však uživatelům jeví jako nezávislé privátní sítě oddělené od ostatních sítí. Může se jednat o VPN na síťové vrstvě (L3VPN) s přepínáním značek MPLS a tunelech se zapouzdřením GRE současně s rozšířením o směřovací protokol BGP a podporou VRF (Virtual Routing and Forvarding), nebo o VPN na spojové vrstvě (L2VPN) založenou na tunelech a informacích LSP (Label Switch Path) z druhé vrstvy.

Z hlediska technologie provozu se L3VPN na bázi MPLS podle RFC 2547 dělí na síť pod správou zákazníka (Customer, C) a na síť pod správou operátora (Provider, R). Konstrukce provozu vychází z MPLS technologie – a tvoří ji směřování jednak mezi směřovači zákazníka (Customer Edge Router, CE) a operátora (Provider Edge Router, PE), a dále směřování v síti pod správou operátora, kde jsou centrální směřovače (Provider Core, P) a jednotlivé cesty LSP (Label Switch Path) tvořené routery LSR (Label Switch Router). Z hlediska provozu VPN jsou nejdůležitější právě krajní směřovače PE-CE, kde na rozhraní probíhá řízení MPLS VPN sítí a je zde logické a technické rozhraní mezi sítí zákazníka a páteřní sítí.

U L3VPN sítí je směřovač zákazníka (CE) rovnocenným partnerem okrajového směřovače operátora (PE) a poskytuje mu směřovací informace privátní sítě, přičemž každý okrajový směřovač PE musí udržovat směřovací tabulku dle vnitřního protokolu nebo BGP a odděleně od ní i jednotlivé směřovací tabulky VFR pro každou z VPN z důvodu schopnosti předávat pakety po cestách LSP mezi jednotlivými LSR. Výhodou je, že zákazníkovi se okrajový směřovač jeví, jako by byl připojen ke klasické VPN.

Základním rozdílem mezi L3VPN a L2VPN založených na bázi MPLS je vztah mezi směřovači CE a PE. Oproti L3VPN neudržuje PE u L2VPN samostatné směřovací tabulky, ale pouze mapuje vstupní provoz na spojové vrstvě pro příslušný dvoubodový tunel (tzv. pseudowire), tudíž se musí data ze sítí zákazníka zapouzdřit pro přenos spojovou vrstvou. Tento provoz se popisuje jako překryvný model VPN (overlay) a není tudíž modelem rovnocenných partnerů (peers), jako je tomu u běžných MPLS VPN.

Vícebodové koncové služby

Technologie vícebodové koncové služby VPLS (Virtual Private LAN Service) je zpravidla používána k zajištění garantovaných služeb a výkonu v MPLS sítích operátorů, čímž rozšiřují nabídku jimi poskytovaných datových služeb – je to často z toho důvodu, že ačkoliv pro velké firmy (Enterprise sektor) je relativně dostupné sestavení vlastní sítě IP/MPLS, na Ethernetu založené sítě VPLS jsou lépe dostupné malým a středním zákazníkům (SME a SOHO sektor).

Zájemce o datovou službu si tak může vybírat mezi virtuální službou dvoubodového spojení nebo v případě VPLS vícebodového (Multipoint-to-Multipoint) spojení. Vždy se však jedná o VLAN (Virtual Local Area Network), byť se může jednat o spojení různých MAN či WAN sítí. VPLS vlastně emuluje Ethernet na fyzické (L1) a spojové (L2) vrstvě, kde se uvnitř přepínají ethernetové rámce na základě cílových MAC adres. Zjednodušeně si lze VPLS představit jakoby virtuální přepínač, kdy připojení a odpojení jednotlivých lokalit účastníků sítě VPLS se děje pouze přidáním nové MAC adresy do přepínací tabulky.

Hlavním rozdílem a výhodou současně mezi IP VPN a VPLS je v použitých rozhraních mezi sítěmi zákazníka (Customer Edge Equipment, CE) a operátora (Provider Edge Equipment, PE). Zatímco u sítí IP VPN tvoří CE IP směrovače, u sítí VPLS to mohou být ethernetové přepínače. Na spojové vrstvě (L2) proto VPLS nabízí to, co sítě IP VPN nabízí na síťové vrstvě (L3) – vícebodové spojení lokalit, které se chovají jako jeden ucelený privátním ethernetový LAN segment.

Z technického hlediska je základní operací pro vytvoření VPLS služby sestavení plného propojení všech PE přístupových uzlů MPLS sítě operátora stylem „každý z každým“ (Full Mesh Topology) pomocí protokolu LDP (Label Distribution Protocol). Mezi všemi PE uzly jsou tak vytvořeny logické mosty (Bridge) a VPLS se pak chová jako standardní síť IEEE 802.3 fungující na technologii MPLS. Technologie VPLS proto zjednodušeně představuje virtuální privátní sít na úrovni spojové vrstvy (L2) VPN, kdy povoluje emulaci vícebodových ethernetových služeb nad IP/MPLS sítěmi. Z hlediska koncových uživatelů se VPLS služby jeví jako již zmíněné virtuální ethernetové přepínače na spojové vrstvě (L2), které převádí příslušné rámce k odpovídajícím cílům v rámci dané L2 VPN.

Ještě nehodnoceno