Все большее число операторов предлагают услуги IP и Ethernet, особой популярностью пользуются виртуальные частные сети, а в качестве транспортной базы все прочнее утверждается MPLS. В статье обсуждаются различные возможности реализации в сетях MPLS виртуальных частных сетей второго и третьего уровней, проводится сравнение подходов «точка—точка» и «точка—много точек», а также оценивается перспектива применения MPLS в будущем.

Операторы и провайдеры услуг уже давно предлагают службы виртуальных частных сетей (Virtual Private Network, VPN) на базе мультиплексной передачи с разделением по времени (Time Division Multiplexing, TDM), ретрансляции кадров и асинхронного режима передачи (Asynchronous Transfer Mode, ATM). Эксплуатация раздельных сетей и потребность в более высокой пропускной способности влекут за собой повышение стоимости, что вынуждает сетевых операторов обращаться к таким технологиям, как IP или Ethernet. Поэтому сегодня провайдеры услуг используют Ethernet не только для доступа к городской сети (Metropolitan Area Network, MAN), но и в качестве транспортной среды в региональных и глобальных сетях.

СЛУЖБЫ ВТОРОГО УРОВНЯ

Коммутацию Ethernet, а также виртуальные локальные сети (Virtual Local Area Network, VLAN) реализуют между тем многие операторы в соответствии со стандартом 802.1Q для предоставления услуг Ethernet «точка—точка» на втором уровне в городских сетях. Таким образом достигаются скорости до 1 Гбит/с, в настоящий момент планируется введение 10 Gigabit Ethernet. Некоторые провайдеры предлагают услуги межсоединения нескольких локальных сетей с применением туннелей стандарта 802.1Q или стека тегов Q-in-Q (вставка нескольких тегов стандарта 802.1Q). Эти многоточечные службы VPN известны также как прозрачные службы второго уровня для локальных сетей (Layer 2 Transparent LAN Services, TLS).

Однако распространение многоточечных служб второго уровня на все большее количество клиентов связано с определенными сложностями, поскольку данная архитектура имеет внутренние недостатки: значительная проблема заключается в ограниченности некоторых протоколов Ethernet, например протокола связующего дерева IEEE 802.1d (Spanning Tree Protocol, STP) и 802.1Q. Так, STP не предлагает избыточности и отказоустойчивости сети, необходимых для предоставления услуг операторского класса. В крупных коммутируемых сетях Ethernet появляются проблемы с изучением MAC-адресов, что важно для минимизации трафика на неизвестные MAC-адреса. Кроме того, для каждого коммутируемого домена Ethernet доступно лимитированное число адресов VLAN, а значит, и подключаемых узлов. Ограничения полностью коммутируемой архитектуры Ethernet сильно затрудняет построение виртуальной частной сети Ethernet второго уровня за пределами конкретной городской сети.

ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ MPLS

IP, основной маршрутизируемый протокол в глобальных сетях, в последнее время применяется не только для доступа в Internet, но и для предоставления многоточечных служб VPN. Благодаря многопротокольной коммутации меток (Multi-Protocol Label Switching, MPLS) провайдеры могут вывести службы VPN на новый уровень (см. Рисунок 1).

Первое из решений для виртуальной частной сети MPLS, которое мы рассмотрим, представляет собой подход третьего уровня на базе пограничного межсетевого протокола (Border Gateway Protocol, BGP), оно известно также как VPN стандарта RFC2547bis или IP VPN. С его помощью узлы, связанные посредством маршрутизаторов IP, сообщаются через общедоступную магистраль IP так, как будто они используют собственную частную сеть. На данный момент во всем мире подобные службы IP VPN предлагают более 80 операторов. Они динамичны, гибки и масштабируемы, развертываются поверх существующих служб, таких, как выделенные линии, ретрансляция кадров, АТМ или Ethernet. MPLS обеспечивает для IP VPN требуемое качество услуг (Quality of Service, QoS), предлагает возможность регулирования различных типов трафика (Traffic Engeneering) и гарантирует выполнение соглашения об уровне сервиса (Service Level Agreement, SLA) с высоким уровнем готовности.

Виртуальные частные сети IP очень хорошо подходят для объединения нескольких географически распределенных узлов. Часто они предлагают альтернативу таким традиционным службам, как ретрансляция кадров. Но IP VPN не лишены и некоторых недостатков: маршрутизатор клиента должен обмениваться информацией с маршрутизатором провайдера о частном домене маршрутизации. Тем, кто не намерен предоставлять провайдеру контроль над своей сетью, это кажется неприемлемым. Кроме того, IP VPN не поддерживают унаследованный трафик, например SNA или IPX. Они достаточно дороги, а управлять ими сложно. Вдобавок они требуют использования маршрутизатора на площадке клиента.

Некоторые провайдеры не желают утруждать себя установкой и настройкой маршрутизаторов и управлением ими, а также соответствующими службами. Они предпочитают прозрачность служб второго уровня. Поэтому IP VPN — не лучшее решение для простых, эффективных и недорогих региональных сетей.

ТУННЕЛЬ MARTINI

Вторым решением для виртуальной частной сети MPLS является подход второго уровня на базе виртуальных частных линий (Virtual Private Line, VPL), их называют еще туннелем Martini. Речь идет о протоколах, способных транспортировать любой тип трафика, — Ethernet, ATM, frame relay, SDH и TDM. В случае туннелей Martini узлы взаимодействуют по каналам «точка—точка» как при использовании частной выделенной линии. Telefo?nica в Испании и Neos в Великобритании применяют Ethernet для предоставления гибкой пропускной способности в комбинации с MPLS для оказания услуг второго уровня.

VPLS

Третье решение для виртуальной частной сети MPLS — подход второго уровня с предоставлением многоточечных услуг Ethernet, т. е. услуги виртуальных частных локальных сетей (Virtual Private LAN Services, VPLS). При помощи VPLS узлы сообщаются между собой как по частному сегменту локальной сети Ethernet. VPLS на втором уровне предлагают то, что IP VPN обеспечивают на третьем — услугу с многоточечным соединением. Главное отличие заключается в интерфейсе, используемом между оборудованием провайдера и клиента. Для IP VPN провайдер устанавливает маршрутизатор IP, в то время как для VPLS — мосты, коммутаторы или концентраторы Ethernet. Это позволяет осуществлять обмен данными между узлами в случае как IP-, так и отличного от IP трафика.

ВТОРОЙ УРОВЕНЬ ПРОТИВ ТРЕТЬЕГО

Если отвлечься от весьма значительных отличий между подходами второго и третьего уровня, то между ними можно найти и определенное сходство. В виртуальной частной сети третьего уровня маршрутизаторы провайдеров содержат собственные таблицы продвижения информации (Forwarding Information Base, FIB), называемые также таблицами виртуальных путей продвижения данных (Virtual Route Forwarding, VRF). В них хранятся маршруты IP, специфичные для VPN. В случае VPN второго уровня таблицы FIB называются интерфейсами виртуальных коммутаторов (Virtual Switch Interface, VSI) и содержат MAC-адреса. Кадры коммутируются в соответствии с MAC-адресами и идентификаторами VLAN. Если какой-либо конечный широковещательный или групповой адрес неизвестен, то кадры рассылаются на все ассоциированные с VSI порты.

В среде VPLS устройства Ethernet на стороне клиента не обмениваются информацией о маршрутизации с устройствами провайдера. Поэтому провайдерам не надо заниматься подготовкой и управлением маршрутизаторами и услугами IP. Клиентские устройства, если они являются частью одного и того же процесса VPLS, оказываются в одном и том же сегменте локальной сети. Там они взаимодействуют непосредственно в рамках многоточечной топологии, и организация полностью связной сети со всеми соединениями «точка—точка» между любыми двумя узлами не нужна. В этом заключаются значительные преимущества по сравнению со средой IP VPN. Кроме того, VPLS гораздо более масштабируемы и гибки, чем традиционная среда коммутации Ethernet.

Магистральные маршрутизаторы не управляют информацией о состоянии виртуальной частной сети ни в случае VPLS, ни в средах IP третьего уровня. Только устройства провайдера получают такого рода данные в виде VRF или VSI. В обоих подходах — как на втором уровне, так и на третьем — используется одинаковая схема коммутации меток. В действительности маршрутизатор в ядре даже не знает, на каком уровне происходит передача, потому что он анализирует только первую туннельную метку.

ВАРИАНТЫ VPLS

VPLS определены в двух разработках рабочей группы Internet (Internet Engineering Task Force, IETF): draft-ietf-ppvpn-vpls-ldp (VPLS LDP) и draft-ietf-ppvpn-vpls-bgp (VPLS LDP). Обе описывают, каким образом можно внедрить многоточечную службу Ethernet. Различия заключаются в процессе организации каналов между узлами. Проект Martini определяет сигнализацию для каналов Ethernet «точка—точка», а VPLS LDP расширяет этот проект на многоточечные соединения Ethernet. Оба в качестве протокола сигнализации используют протокол распределения меток (Label Distribution Protocol, LDP).

Выбор BGP для определения устройств провайдера (draft-ietf-13vpn-bgpvpn-auto), принимающих участие в процессе VPN, представляет собой весьма любопытное решение. Такое определение предполагает опрос всех устройств провайдера. Тот же метод применяется в BGP VPN. Он достаточно просто комбинируется с подходом VPLS LDP. Подход на базе каталогов, например RADIUS, также предлагает возможный метод автоматического обнаружения и обсуждается в IETF (draft-heinanen-radius-pe-discovery).

МАСШТАБИРУЕМОСТЬ VPLS

Проект VPLS LDP определяет способы использования иерархических топологий VPLS (HVPLS) для создания масштабируемых служб VPLS. Благодаря топологии «иерархической звезды» масштабируемость возможна на уровне как управления, так и данных, для чего служит ограничение количества LSP, числа партнеров LDP и распределение тиражирования пакетов. Последнее может быть оптимизировано в точках разветвления — аналогично тому, как это делается при широковещании на третьем уровне посредством HVPLS и независимого от протокола широковещания (Protocol Independent Multicast, PIM), а также протокола управления группами Internet (Internet Group Management Protocol, IGMP). Это гораздо эффективнее простого широковещания.

Еще один важный аспект масштабируемости на втором уровне — управление MAC-адресами. В отличие от IP-адресов MAC-адреса не могут быть систематизированы, поскольку не обладают никакой иерархией. В VPLS предусматриваются различные способы для обращения с большим количеством МАС-адресов. Первая возможность заключается в применении со стороны клиента маршрутизатора в качестве оборудования CPE. Результатом становится единственный МАС-адрес на узел. Вторая — использовать в качестве CPE коммутаторы Ethernet. Это требует наличия у провайдера устройств, способных ограничить общее количество запоминаемых МАС-адресов для каждого канала доступа, что особенно полезно для предупреждения атак по типу «отказ в обслуживании».

Дальнейшую озабоченность в отношении масштабируемости сетей Ethernet вызывает протокол связующего дерева. STP служит для предотвращения появления петель и обеспечения безопасности данных. Домены связующего дерева не могут охватывать большое число транзитных узлов, а возможности STP по регулированию трафика ограничены. Кроме того, STP обладает небольшой скоростью сходимости, когда отказывают соединения или узлы. VPLS, напротив, совсем не полагается на STP: появление петель предотвращается посредством технологии «расщепления горизонта», а регулирование трафика и схемы защиты базируются на MPLS. Поэтому устройства провайдера не принимают участия в связующих деревьях предприятия-клиента: они пересылают STP через MPLS прозрачным образом.

ПРИМЕНЕНИЕ VPLS

VPLS оказываются полезными не только для применения в службах Ethernet городских сетей, но и для соединения городских сетей на базе различных технологий, таких, например, как следующее поколение SDH или Resilient Packet Ring (RPR).

На выставке операторов Supercomm в июне прошлого года многие производители из числа членов альянса MPLS/frame relay представили решения по ретрансляции кадров и АТМ на базе MPLS (см. Рисунок 2). Это очень важные разработки, которые могут помочь интеграции с существующими службами. В октябре 2003 г. на вашингтонской конференции «MPLS 2003» производители сетевого оборудования принимали участие в демонстрационной сети MPLS для повышения уровня принятия VPLS. Кроме того, Metro Ethernet Forum недавно опубликовал проект для определения услуг Ethernet, а также функционирования, администрирования и обслуживания Ethernet. Работы по стандартизации необходимы для того, чтобы предлагать широкомасштабные услуги VPLS. Многие операторы и провайдеры уже применяют подобные услуги или работают над их введением.

GMPLS

Поддержка MPLS в отрасли, особенно для использования служб IP VPN, очень велика. MPLS уже признана в качестве главной технологии для сетей IP. Но развитие продолжается, поскольку MPLS не предлагает общих функций для контроля и регулирования трафика в транспортных, оптических и волоконных сетях. Кроме того, необходима поддержка традиционных сетей на базе TDM, frame relay и АТМ, а также таких оптических сетей, как новое поколение SDH и мультиплексирование по длине волны высокой плотности (Dense Walelength Division Multiplexing, DWDM). Все это требует всеохватывающего протокола управления трафиком.

Расширенной версией MPLS является обобщенная многопротокольная коммутация меток (Generalized MPLS, GMPLS). GMPLS должна предложить общие возможности управления трафиком на многочисленных уровнях сигнализации и распространить на оптические сети функциональность MPLS в сетях с коммутацией пакетов или ячеек.

Одно из главных расширений GMPLS — полное разделение плоскостей контроля и данных на различных сетевых уровнях. Применяемая для плоскости управления технология базируется, как и прежде, на IP. Плоскости данных поддерживают различные типы трафика — мультиплексную передачу с разделением времени, пакеты, ячейки или длины волн, что позволяет создать интеллектуальную сеть, в то время как комбинация транспорта данных и множества услуг упрощает сети.

Марк Лассерре — главный архитектор сетей компании Riverstone Networks. С ним можно связаться по адресу: wg@lanline.awi.de.


? AWi Verlag