Сети VPN на основе разграничения трафика

В технологиях разграничения трафика используется техника постоянных вирту­альных каналов, обеспечивающая надежную защиту трафика каждого клиента от намеренного или ненамеренного доступа к нему других клиентов публичной сети. К этому типу технологий относятся:

□ ATM VPN;

□ Frame Relay VPN;

□ MPLS VPN.

Двухточечные виртуальные каналы этих технологий имитируют сервис выде­ленных каналов, проходя от пограничного устройства (Client Edge, СЕ) одного сайта клиента через поставщика к СЕ другого сайта клиента.

ВНИМАНИЕ ----------------------------------------------------------------------------------------------------------------------------------------------

Под термином «сайт» здесь понимается территориально обособленный фрагмент сети клиента. Например, о корпоративной сети, в которой сеть центрального отделения связы­вается с тремя удаленными филиалами, можно сказать, что она состоит из четырех сайтов.

Защита данных достигается благодаря тому, что несанкционированный пользо­ватель не может подключиться к постоянному виртуальному каналу, не изменив таблицы коммутации устройств поставщика услуг, а значит, ему не удастся про­вести атаку или прочитать даннь\е. Свойство защищенности трафика является естественным свойством техники виртуальных каналов, поэтому сервисы ATM VPN и Frame Relay VPN являются на самом деле не чем иным, как обычными сервисами PVC сетей ATM или Frame Relay. Любой пользователь ATM или Frame Relay, использующий инфраструктуру PVC для связи своих локальных сетей, пользуется услугой VPN даже в том случае, когда он это явно не осознает. Это одно из «родовых» преимуществ техники виртуальных каналов по сравнению с дейтаграммной техникой, так как при применении последней без дополнитель­ных средств VPN пользователь оказывается не защищенным от атак любого дру­гого пользователя сети.

Так как в технологиях ATM и Frame Relay при передаче данных используется только два уровня стека протоколов, варианты VPN, построенные на их основе, называют также сетями VPN уровня 2 (Layer 2 VPN, L2VPN). Наличие в техно­логиях ATM и Frame Relay механизмов поддержки параметров QoS позволяет ATM VPN и Frame Relay VPN достаточно хорошо приближаться к частным се­тям на выделенных каналах.

Информация третьего уровня никогда не анализируется и не меняется в этих се­тях — это одновременно и достоинство, и недостаток. Преимущество в том, что клиент может передавать по такому виртуальному каналу трафик любых прото­колов, а не только IP. Кроме того, IP-адреса клиентов и поставщика услуг изо­лированы и независимы друг от друга — они могут выбираться произвольным образом, так как не используются при передаче трафика через магистраль по­ставщика. Никаких других знаний о сети поставщика услуг, помимо значений меток виртуальных каналов, клиенту не требуется. Недостаток этого подхода со­стоит в том, что поставщик не оперирует IP-трафиком клиента и, следовательно, не может оказывать дополнительные услуги, связанные с сервисами IP, а это се­годня очень перспективное направление бизнеса поставщиков услуг.

Главным недостатком сети L2VPN является ее достаточно высокая сложность и стоимость. При организации полносвязной топологии сайтов клиента зависи­мость операций конфигурирования от числа сайтов имеет квадратичный харак­тер (рис. 24.15, а).

Действительно, для соединения N сайтов необходимо создать N х (N - 1)/2 двуна­правленных виртуальных каналов (или N х (N - 1) однонаправленных). В част­ности при значении N, равном 100, потребуется 5000 операций конфигурирования. И хотя они и выполняются с помощью автоматизированных систем администри­рования, ручной труд и вероятность ошибки все равно сохраняются. При под­держке только услуг интранет общее количество конфигурируемых соединений прямо пропорционально количеству клиентов — и это хорошо!

Сайты клиента

Рис. 24.15. Масштабируемость сети L2VPN: а — полносвязная топология; б — топология типа «звезда»

Но оказание услуг экстранет ухудшает ситуацию, так как необходимо обеспе­чить связь сайтов разных клиентов. Масштабируемость сети ATM/FR VPN можно улучшить, если клиент откажется от полносвязной топологии и органи­зует связи типа «звезда» через один или несколько выделенных транзитных сай­тов (рис. 24.15, 6). Конечно, производительность сети клиента при этом снизится, так как увеличится число транзитных передач информации. Однако экономия средств будет налицо — поставщики услуг взимают деньги за свои виртуальные каналы, как правило, «поштучно».

Сети клиента

Рис. 24.16. Оверлейная и одноранговая модели VPN: а — в оверлейной модели внутренняя структура сети поставщика услуг скрыта от клиентов; б — в одноранговой модели сети поставщика и клиентов «знают» друг о друге

Клиенты сети ATM/FR VPN не могут нанести ущерб друг другу, а также атаковать IP-сеть поставщика. Сегодня поставщик услуг располагает IP-сетью, даже если он оказывает только услуги ATM/FR VPN, что очень маловероятно. Без IP-сети и ее сервисов администрирования он просто не сможет управлять своей сетью ATM/FR. IP-сеть является оверлейной (наложенной) по отношению к сетям ATM или FR, по­этому клиенты ATM/FR ничего не знают о ее структуре и о ее наличии (рис. 24.16).

Сети MPLS VPN могут строиться как по схеме L2VPN, так и по другой схеме, использующей протоколы трех уровней. Такие сети называют сетями VPN уров­ня 3 (Layer 3 VPN, L3VPN). В технологии L3VPN также применяется техника LSP для разграничения трафика клиентов внутри сети поставщика услуг, под­держивающей технологию MPLS.

Сеть L3VPN взаимодействует с сетями клиентов на основе IP-адресов, a L2VPN — на основе адресной информации второго уровня, например МАС-адресов или идентификаторов виртуальных каналов Frame Relay.

Использование сети MPLS VPN для поставщика услуг связано с существенным сокращением объема работ по конфигурированию VPN. Дело в том, что в техно­логии MPLS VPN объем работ пропорционален количеству сайтов клиента, а не квадрату этого количества, как в случае ATM/FR VPN. Другим преимуществом MPLS VPN является тесная интеграция VPN с другими приложениями MPLS, такими как инжиниринг трафика и поддержание параметров QoS. Ввиду особо­го интереса в сетевом мире к технологии MPLS VPN мы еще вернемся в этой главе к ее более подробному рассмотрению.

Сети VPN на основе шифрования

Еще одним классом технологий VPN являются сети VPN на основе шифрования. Они применяются в тех случаях, когда VPN строится в дейтаграммной сети, ко­торая не может обеспечить разграничения трафика. Именно такой сетью является классическая IP-сеть.

Сегодня базовой технологией VPN на основе шифрования является технология IPSec, с помощью которой создается инфраструктура защищенных каналов, со­единяющих сайты одного предприятия или нескольких предприятий-партнеров.

Стандарты IPSec обеспечивают высокую степень гибкости, позволяя выбирать нужный режим защиты (с шифрованием или только с обеспечением аутентично­сти и целостности данных), а также использовать различные алгоритмы аутен­тификации и шифрования. Режим инкапсуляции IPSec позволяет изолировать адресные пространства получателя (клиента) и поставщика услуг за счет приме­нения двух IP-адресов — внешнего и внутреннего.

Чаще всего защищенные каналы нужны для сетей CPVPN, в которых клиент са­мостоятельно создает туннели IPSec через IP-сеть поставщика услуг. Причем от последнего требуется только предоставление стандартного сервиса по объедине­нию сетей, а значит, доступны как услуги сети поставщика, так и услуги Интер­нета. Сложность конфигурирования сетей IPSec. YPN высокая, поскольку туннели IPSec двухточечные, то есть при полносвязной топологии их количество пропор­ционально N х (N - 1). Необходимо учесть еще и непростую задачу поддержа­ния инфраструктуры ключей.

Протокол IPSec может применяться и для создания сетей PPVPN — туннели в них также строятся на базе устройств клиента (CE-based), но эти устройства удаленно конфигурируются и администрируются поставщиком услуг.

Из всех свойств частной сёти виртуальные частные сети на основе шифрования имитируют только ее защищениость;ишолированность адресного пространства. > -....

Пропускная способность каналов и другие параметры QoS этой технологией не поддерживаются, но если оператор предоставляет определенные параметры QoS (например, за счет дифференцированного обслуживания), это можно использо­вать при создании туннеля IPSec.

Технологии VPN на основе шифрования можно применять совместно с техноло­гиями VPN на основе разделения трафика для повышения уровня защищенно­сти виртуальных частных сетей. Технологии VPN на основе разделения трафика иногда критикуют за недостаточный уровень безопасности, считая, что отсутствие шифрования трафика позволяет персоналу поставщика услуг получить несанк­ционированный доступ к данным. Действительно, такая вероятность существует, поэтому клиент услуг VPN на основе разделения трафика, например MPLS VPN, может самостоятельно повысить защищенность своего трафика, применив, ска­жем, технику IPSec.

Технология MPLS VPN

Ключевые слова: сети MPLS L2VPN и MPLS L3VPN, пограничное устройство поставщика услуг, маршрутизатор магистральной сети поставщика, глобальная таблица маршрутизации, таблица маршрутизации и продвижения сети VPN, виртуальный маршрутизатор, адреса VPN-IPv4, различитель маршрутов, адрес сети назначения, адрес следующего маршрутизатора, метка виртуальной частной сети, расширенные атрибуты сообщества, маршрутная цель.

Сети MPLS VPN привлекают сегодня всеобщее внимание. Количество ведущих поставщиков услуг, предлагающих своим клиентам воспользоваться новым ви­дом сервиса для экономичного построения своих внутренних и внешних сетей, постоянно растет, делая сети MPLS VPN доступными для пользователей все боль­шего числа стран и регионов. От других технологий построения виртуальных ча­стных сетей, таких как VPN на базе ATM/FR или IPSec, технологию MPLS VPN выгодно отличает хорошая масштабируемость, возможность автоматического конфигурирования и естественная интеграция с другими сервисами протоко­ла IP, которые сегодня входят в обязательный набор любого успешного постав­щика услуг, включая доступ в Интернет, Web и почтовые службы, хостинг.

Существует два варианта сетей MPLS VPN.

□ В сетях MPLS L3VPN доставка трафика от клиента до пограничного устрой­ства сети поставщика услуг осуществляется с помощью технологии IP (тре­тий уровень).

□ Сети MPLS L2VPN передают клиентский трафик в сеть поставщика услуг с помощью какой-либо технологии второго уровня, которой может быть Ether­net, Frame Relay или ATM.

В обоих случаях внутри сети поставщика услуг клиентский трафик передается с помощью технологии MPLS^[43].

В данной книге рассматривается только MPLS L3VPN, как намного более зрелая технология, уже работающая во многих сетях поставщиков услуг. Несмотря на то что спецификация RFC 2547bis, которая определяет основные механизмы этой технологии, носит информационный статус, все реализации MPLS L3VPN про­изводителями сетевого оборудования следуют этому документу, придавая ему статус фактического стандарта. В дальнейшем изложении мы для краткости бу­дем опускать обозначение уровня L3, используя название MPLS VPN как сино­ним MPLS L3VPN.

Полная связность при абсолютной изо л и рова н ности

Каждый клиент желает, чтобы поставщик услуг VPN связал между собой его сети, обеспечив абсолютную изолированность полученной единой сети от сетей других клиентов.

Эту задачу современному поставщику услуг приходится решать в противоре­чивых условиях доминирования технологии IP как универсального транспорта. Действительно, один из основных принципов работы составной IP-сети заклю­чается в автоматическом связывании всех сетей в одно целое за счет распростра­нения по сети маршрутной информации протоколами маршрутизации, такими как BGP, OSPF, IS-IS, RIP. С помощью подобного механизма на каждом мар­шрутизаторе сети автоматически создается таблица маршрутизации, в которой указываются пути следования пакетов к каждой из сетей, включенных в состав­ную сеть (пути к отдельным сетям могут агрегироваться, но это не меняет сути).

Как же технология MPLS VPN разрешает парадокс обеспечения изолированно­сти при сохранении связности? Достаточно элегантно — за счет автоматической фильтрации маршрутных объявлений и применения туннелей MPLS для пере­дачи клиентского трафика по внутренней сети поставщика.

Для того чтобы изолировать сети друг от друга, достаточно поставить между ними заслон на пути распространения маршрутной информации. Для обмена мар­шрутной информацией в пределах сети узлы пользуются одним из внутренних протоколов маршрутизации (ЮР), область действия которого ограничена авто­номной системой: RIP, OSPF или IS-IS. Если в таблице маршрутизации узла А нет записи о маршруте к узлу В (и отсутствует запись о маршруте по умолча­нию), то говорят, что узел А не «видит» узла В.

В сети MPLS VPN подобный режим достигается за счет того, что маршрутные объявления, передаваемые сетью клиента, с помощью протокола BGP «перепры­гивают» через всю внутреннюю сеть поставщика услуг. После чего благодаря особому конфигурированию с использованием многопротокольного расширения протокола BGP (MP-BGP) они попадают только в сети того же клиента. В ре­зультате маршрутизаторы разных клиентов не имеют маршрутной информации друг о друге и поэтому не могут обмениваться пакетами, то есть достигается же­лаемая изоляция (рис. 24.17).

Клиентская Маршрутные объявления Рис. 24.17. Изоляция клиентских сетей с помощью туннелей

Еще одним следствием такого подхода является изолированность внутренней сети поставщика услуг от сетей клиентов — а это, в свою очередь, повышает надеж­ность работы сети поставщика и ее масштабируемость (не нужно хранить табли­цы большого размера с описанием сетей многочисленных клиентов на внутрен­них маршрутизаторах сети поставщика услуг).

Но как же все-таки связать территориально разнесенные сети клиента в единую виртуальную частную сеть, если внутренняя сеть поставщика услуг ничего о них не знает, во всяком случае, на уровне обычных таблиц маршрутизации? Для это­го применяется достаточно традиционное средство — туннель между погранич­ными маршрутизаторами внутренней сети. Особенность рассматриваемой техно­логии состоит в применение туннеля MPLS (альтернативные решения могли бы основываться на туннелях IPSec или других туннелях класса «1Р поверх IP»). Преимуществом туннелей MPLS VPN являются автоматический способ их про­кладки и выгоды, получаемые за счет применения технологии MPLS как тако­вой — ускоренное продвижение пакетов по сети поставщика услуг и управление качеством обслуживания (QoS) для туннелей с инжинирингом трафика.

Для того чтобы описанные принципы построения MPLS VPN смогли найти во­площение в реальной сети, были разработаны несколько специфических меха­низмов и компонентов сети.

Компоненты сети MPLS VPN

В сети MPLS VPN легко выделить две области (рис. 24.18):

□ IP-сети клиентов;

□ магистральная сеть MPLS поставщика услуг.

Рис. 24.18. Компоненты сети MPLS VPN

В общем случае у каждого клиента может быть несколько территориально обо­собленных IP-сетей (сайтов), каждая из которых, в свою очередь, может вклю­чать несколько подсетей, связанных маршрутизаторами. Принадлежащие одному клиенту сайты обмениваются IP-пакетами через сеть поставщика услуг и обра­зуют виртуальную частную сеть этого клиента.

Маршрутизатор, с помощью которого сайт клиента подключается к магистрали поставщика, называется пограничным устройством клиента СЕ (Customer Edge router). Будучи компонентом сети клиента, маршрутизатор СЕ ничего не знает о существовании VPN. Он может быть соединен с магистральной сетью постав­щика услуг несколькими каналами.

Магистральная сеть поставщика услуг является сетью MPLS, в которой IP-паке­ты продвигаются на основе не IP-адресов, а локальных меток. Сеть MPLS состо­ит из коммутирующих по меткам маршрутизаторов (LSR), которые направляют трафик по предварительно проложенным путям коммутации по меткам (LSP) в соответствии со значениями меток.

В сети поставщика среди устройств LSR выделяют пограничные маршрутиза­торы РЕ (Provider Edge router), к которым через маршрутизаторы СЕ подклю­чаются сайты клиентов и маршрутизаторы магистральной сети поставщика Р (Provider router Р).

Маршрутизаторы СЕ и РЕ обычно связаны непосредственно физическим кана­лом, на котором работает какой-либо протокол канального уровня, например РРР, FR, ATM или Ethernet. Общение между СЕ и РЕ идет по стандартным протоко­лам стека TCP/IP. Поддержка MPLS нужна только для внутренних интерфей­сов РЕ и всех интерфейсов Р. Иногда полезно различать относительно направ­ления продвижения трафика входной и выходной (удаленный) маршрутизато­ры РЕ.

р магистральной сети поставщика только маршрутизаторы РЕ должны быть сконфигуриро­ваны дпя поддержки виртуальных частных сетей, только они «знают» о существующих сетях '.VPN, /

Если рассматривать сеть с позиций VPN, то маршрутизаторы Р непосредственно не взаимодействуют с маршрутизаторами СЕ, а просто обеспечивают туннели между входным и выходным маршрутизаторами РЕ.

Пограничные маршрутизаторы РЕ являются функционально более сложными, чем внутренние маршрутизаторы Р сети поставщика услуг. На них возлагаются главные задачи по поддержке сетей VPN, а именно — задачи разграничения мар­шрутов и данных, поступающих от разных клиентов. Маршрутизаторы РЕ слу­жат также оконечными точками путей LSP между сайтами заказчиков, и именно пограничный маршрутизатор поставщика услуг назначает метку IP-пакету для его транзита через внутреннюю сеть, образованную внутренними маршрутизато­рами поставщика услуг.

Пути LSP могут быть проложены двумя способами: либо с применением техно­логии ускоренной маршрутизации (IGP) с помощью протокола LDP, либо на ос­нове технологии инжиниринга трафика с помощью протоколов RSVP или CR- LDP. Прокладка LSP означает создание таблиц коммутации по меткам на всех пограничных и внутренних маршрутизаторах поставщика услуг, образующих данный путь (примеры таких таблиц можно найти в главе 22). В совокупности эти таблицы задают множество путей, образующих сети различных топологий для разных видов трафика клиентов.

Разграничение маршрутной информации

Для корректной работы VPN требуется, чтобы информация о маршрутах через магистральную сеть поставщика услуг не распространялась за ее пределы, а све­дения о маршрутах в клиентских сайтах не становились известными за граница­ми определенных сетей VPN.

Барьеры на пути распространения маршрутных объявлений могут устанавливать­ся соответствующим конфигурированием маршрутизаторов. Протокол маршру­тизации должен быть оповещен о том, с каких интерфейсов и от кого он имеет право принимать объявления и на какие интерфейсы и кому их распространять.

Роль таких барьеров в сети MPLS VPN играют маршрутизаторы РЕ. Можно пред­ставить, что через маршрутизатор РЕ проходит невидимая граница между зоной клиентских сайтов и зоной ядра сети поставщика. По одну сторону располагают­ся интерфейсы, через которые РЕ взаимодействует с внутренними маршрутиза­торами поставщика услуг, а по другую — интерфейсы, к которым подключаются сайты клиентов. С одной стороны, на РЕ поступают объявления о маршрутах маги­стральной сети, с другой стороны — объявления о маршрутах в сетях клиентов.

На рис. 24.19 показана схема разграничения маршрутной информации. На мар­шрутизаторе РЕ установлены несколько протокольных модулей IGP. Один из них сконфигурирован для приема и распространения маршрутных объявлений только с тех трех внутренних интерфейсов, которые связывают этот маршрути­затор РЕ с маршрутизаторами Р. Два других модуля IGP обрабатывают мар­шрутную информацию от сайтов клиентов.

Сайт А Глобальная таблица

Аналогичным образом настроены и остальные устройства РЕ. Внутренние мар­шрутизаторы Р принимают и обрабатывают маршрутную информацию протоко­ла IGP, поступающую со всех интерфейсов. В результате на всех маршрутизато­рах (и РЕ, и Р) создается по таблице маршрутизации, где содержатся все маршруты в пределах внутренней сети поставщика услуг. Подчеркнем, что ника­кой информации о маршрутах к сетям клиентов в таблицах внутренних маршру­тизаторов нет. Сети клиентов также ничего не «знают» о маршрутах в сети по­ставщика услуг.