Cesta: Info / Tiskové centrum / Články / Virtuální privátní sítě technologií MPLS

• Manuál ServiceDesk ANECT
• HelpDesk
• ServiceDesk

• Tiskové centrum
• Zaměstnání
• Logo ke stažení

Virtuální privátní sítě technologií MPLS

Pojem virtuální privátní síť je jistě čtenářům IT-NETu důvěrně známý stejně tak jako dnes již klasické způsoby jejich tvorby, kdy se vytvoření VPN dosahuje pomocí různých typů tunelů (IPSec, GRE) nebo pomocí oddělení sítí na 2. vrstvě modelu OSI (ATM PVC, Frame-Relay PVC).

V tomto článku se zaměříme na poměrně novou a moderní metodu vytváření virtuálních privátních sítí s využitím technologie MPLS.

Nejprve pár slov k samotné technologii MPLS, která tvoří potřebný základ k dalším nadstavbám jako je například MPLS traffic engineering, MPLS QoS a MPLS VPN.

Technologie MPLS

Technologie MPLS (Multiprotocol Label Switching) byla vyvinuta z proprietárních technologií "Tag Switching" (Cisco Systems), "ARIS" (IBM), "Cell-switched router" (Toshiba) a dalších.

Architektura technologie MPLS je popsána v RFC 3031.

Technologie je založena na principu označování paketů 3.vrstvy OSI modelu značkami (label). Pakety jsou pak v síti dopravovány na základě těchto značek a odpadá tak časově a procesorově náročné prohledávání směrovacích tabulek. Značky určují cestu paketů a navíc, např. typ služby (Class of Service).

Ve vstupním bodě do MPLS sítě jsou přicházející pakety klasifikovány a každému je přiřazena odpovídající značka. V páteřní MPLS síti komunikační prvky již pouze přepínají pakety na základě předřazené značky. Všechny procesorově náročné analýzy, filtrace a vyhodnocení se realizují pouze jednou ve vstupním bodě. Ve výstupním bodě MPLS sítě je značka z paketů odstraněna a pakety jsou odeslány do cílové sítě.

Následující obrázek ukazuje cestu paketu přes MPLS páteř:

Obrázek 1 : Páteřní síť s podporou MPLS

Před tím než si podrobněji ukážeme jak probíhá transport paketu přes MPLS síť musíme zmínit základní terminologii používanou při popisu MPLS architektury:

Edge Label Switch Router (Edge LSR) - směrovač na okraji MPLS sítě realizuje počáteční zpracování a klasifikaci příchozích paketů, aplikaci první značky na cestě paketu.

Label Switch Router (LSR) - směrovač umístěný uvnitř MPLS páteřní sítě, přepíná označkované pakety podle předem ustavených přepínacích tabulek.

Label Distribution Protocol (LDP) - protokol, který zajišťuje výměnu značek mezi komunikačními prvky na okraji i uvnitř MPLS páteře. Přesněji řečeno pomocí LDP si prvky v MPLS síti vyměňují informace o přiřazení jednotlivých značek k IP prefixům.

Label Switched Path (LSP) - cesta MPLS sítí definovaná posloupností všech značek přiřazených mezi dvěma koncovými body MPLS sítě. LSP může být definována buď dynamicky, nebo staticky,

Label - značka; jde o záhlaví paketu, které je používáno zařízením typu LSR pro přepínání paketů. Formát záhlaví závisí na typu sítě, ve které je technologie MPLS implementována. V prostředí sítí postavených primárně na komunikačních prvcích typu směrovač (router) je značka oddělené 32 - bitové záhlaví. V sítích typu ATM je značka umisťována do identifikátoru VCI/VPI (Virtual Path Identifier/Virtual Channel Identifier) v záhlaví ATM buňky a LSP jsou tvořeny soustavou tzv. label VC. V dalším textu se zaměříme jen na MPLS sítě vytvářené pomocí směrovačů.

Při cestě paketu MPLS sítí čtou zařízení LSR pouze značku a ne celé záhlaví paketu. Velký význam pro rozšiřitelnost řešení založeného na MPLS má fakt, že značky mají pouze lokální význam mezi dvěmi komunikujícími zařízeními.

Podrobnější strukturu MPLS značky vidíme na následujícím obrázku.

Obrázek 2 : Formát MPLS značky

Jednotlivá pole mají tento význam:

• Label - obsahuje hodnotu MPLS značky (20 bitů),
• Exp - 3-bitové pole vyhrazené pro experimentální účely, většinou obsahuje definici CoS (Class of Service),
• BS - 1-bitové pole "bottom of the stack" umožňuje implementovat hierarchický zásobník značek. Značka umístěná v pomyslném zásobníku nejníže (nejblíže datové části paketu) má v poli BS hodnotu 1.
• TTL - 8-bitové pole "time to live" poskytuje v MPLS síti funkcionalitu TTL známou např. ze světa protokolu IP. Slouží k detekci paketů putujících sítí ve smyčce.

Transport paketu přes MPLS páteřní síť se pak odehrává v následujících krocích:

1. Směrovače nebo IP+ATM přepínače si v MPLS síti vyměňují směrovací informace prostřednictvím IGP protokolu (např. OSPF, IS-IS).
2. LDP protokol využívá směrovací topologii obsaženou ve směrovacích tabulkách pro dohodu (výměnu) značek mezi přímo sousedícími zařízeními. Tato část operace vytvoří LSP cesty mezi koncovými body MPLS sítě. Značky jsou přidělovány automaticky bez nutnosti manuální konfigurace,
3. Paket vstupuje do MPLS sítě prostřednictvím zařízení typu Edge LSR, kde je zpracován a může zde být např. určeno jaký typ služby daný paket požaduje (QoS, využití přenosového pásma). Na základě směrovacích požadavků a požadavků na typ služby vybere a předřadí zařízení Edge LSR příslušnou značku k paketu a paket je vyslán dál do sítě MPLS.
4. Zařízení LSR uvnitř páteřní sítě přečte značku na každém paketu a nahradí ji novou značku na základě přepínací tabulky (vybudované pomocí LDP) a pošle paket dál. Tato operace se opakuje ve všech LSR zařízeních v jádru sítě,
5. Výstupní zařízení Edge LSR odstraní z paketu značku, přečte hlavičku paketu a vyšle paket do cílové sítě (ve skutečnosti dojde k odstranění značky již na předchozím LSR - tzv. penultimate hop popping).

Značky v MPLS síti slouží nejen pro určení cesty paketu, ale je možné vytvářet z jejich pomocí VPN sítě, definovat QoS (Quality of Service), případně explicitně určovat kudy má procházet určitý datový tok (MPLS traffic engineering). Protože značky mají pouze lokální význam mezi dvěma sousedícími zařízeními, je prakticky nemožné vyčerpat všechny možné značky při budování rozlehlých sítí.

Technologii MPLS lze provozovat v sítích založených na zařízeních typu směrovač (router) a také v sítích, kde je páteř tvořena technologií ATM. ATM přepínače mohou být doplněny o speciální řídící software (případně o řídící směrovač), který umí provozovat některý dynamický směrovací protokol (např. OSPF) a také protokol pro distribuci značek LDP. Uvedené protokoly se následně využijí pro vybudování příslušných přepínacích tabulek kde VPI a VCI pole reprezentují příslušné značky a přepínání je pak již záležitostí ATM vrstvy.

VPN prostřednictvím MPLS

Technologii MPLS lze následně z výhodou využít jako základ pro další zajímavé technologie. Jednou z možností je právě tvorba VPN sítí.

Většina prvních implementací VPN pomocí MPLS využívá přístupu popsaného v RFC 2547, kdy se k transportu rozšířených VPN-IPv4 adres využívá protokolu MP-iBGP (Internal Border Gateway Protocol with multiprotocol extension). Jaký je princip tohoto přístupu si ukážeme v následujícím textu.

Opět něco málo z terminologie:

• P - provider router - směrovač v síti poskytovatele služeb, v terminologii MPLS jde o LSR (Label Switch Router),
• PE - provider edge router - směrovač na okraji MPLS sítě, v terminologii MPLS jde o Edge LSR (Edge Label Switch Router),
• CE - customer edge router - směrovač na okraji zákaznické síti, připojující tuto síť k síti poskytovatele (k PE směrovači).

PE směrovače na okraji MPLS sítě provádějí operace přiřazení značky (značek) k paketu přicházejícímu ze zákaznické sítě a odstranění značky z paketů přicházejících z MPLS sítě.

Obrázek 3 : Páteřní síť s podporou MPLS VPN

Každý paket vstupující do MPLS sítě ze sítě zákazníka je označen VPN značkou jednoznačně identifikující tuto virtuální privátní síť. Tato operace proběhne na okraji MPLS sítě v PE směrovači (Edge LSR) na základě vstupního portu (může se jednat i o virtuální port) směrovače, kterým přijde daný paket. Tento směrovač dále, v souladu s principy fungování MPLS sítě, předřadí před paket označený VPN značkou další značku, která reprezentuje první hop na LSP mezi příslušnými PE směrovači v MPLS síti a vyšle takto upravený paket dále do MPLS sítě poskytovatele služeb.

Jedinečnost VPN IP prefixů v síti poskytovatele služeb je zajištěna rozlišením prefixů pomocí parametru RD (route distinguisher), který je jedinečný pro danou VPN. Parametr RD je přidružen k informaci o daném prefixu, která je přenášena protokolem BGP. MPLS adresní prostory jednotlivých VPN sítí jsou pak vždy navzájem disjunktní, a to i v případě, když se z hlediska protokolu IP překrývají. Je tedy možné využít síť poskytovatele služeb pro propojování lokalit zákaznických sítí, jejichž IP adresní prostor je v konfliktu s IP adresním prostorem jiných, již připojených VPN sítí nebo se sítí poskytovatele.

Následující obrázek shrnuje komponenty potřebné pro vytvoření VPN technologií MPLS.

Obrázek 4 : Technologické prvky MPLS VPN

Prvním předpokladem je podpora MPLS na páteřní síti. Na páteřní síti je provozován některý z dynamických směrovacích protokolů. Zákaznické směrovače (CE) jsou připojovány k směrovačům na okraji páteřní sítě (PE), kde jsou příslušné linky zařazeny do zvolené VPN.

VPN směrovací informace lze mezi zákaznickou sítí (CE směrovač a případně další sítě za tímto směrovačem) a sítí poskytovatele (PE směrovač) vyměňovat pomocí dynamických směrovacích protokolů nebo lze využít statického směrování. V implementaci MPLS VPN firmy Cisco lze v současné době mezi PE a CE směrovačem použít směrovací protokoly RIP verze 2, external BGP a OSPF.

PE směrovače tedy znají prostřednictvím dynamického či statického směrování informace zákaznických sítích připojených k těmto PE směrovačům. Jak ale zajistit, aby PE směrovače obsahovaly správnou směrovací informaci i o částech VPN sítí, které se nacházejí někde na druhé straně MPLS páteře připojené k jiným hraničním PE směrovačům ?

Vhodným způsobem je transport VPN směrovacích informací mezi PE směrovači pomocí protokolu BGP. Protokol BGP je primárně určen pro směrování v sítích poskytovatelů Internetu. Ve své rozšířené formě (MP-iBGP) lze využít i pro transport VPN adresních prefixů mezi jednotlivými okrajovými body páteřní sítě (PE směrovače). Tímto protokolem se taktéž vyměňují příslušné VPN značky.

Definice protokolu iBGP (Internal BGP) říká, že uzly, které si v rámci jednoho autonomního systému (AS) mají vyměňovat BGP směrovací informace musí být konfigurovány systémem "full-mesh", tedy každý BGP uzel musí mít navázáno BGP spojení s jiným BGP uzlem v daném AS. Je zjevné, že v případě rozlehlých sítí by bylo značně omezující pokud by muselo při každém rozšíření sítě o PE směrovač dojít k rekonfiguraci všech zbývajících PE směrovačů v síti. Řešením tohoto problému je použití funkce BGP route reflectors, kdy se jeden nebo několik BGP uzlů v síti prohlásí za tzv. route reflektory a zbývající BGP uzly naváží BGP komunikaci pouze s BGP route reflektory a nikoli navzájem mezi sebou. Rozšiřitelnost sítě se tímto způsobem zásadně zvyšuje. Systém s route reflektory lze budovat i hierarchicky a redundantně.

PE směrovače mají znalost o směrovacích informacích náležejících jen těm VPN, které jsou na PE směrovači definovány.

Směrovače typu P (uvnitř páteře) nemají žádnou znalost o VPN-IPv4 adresách ani o jednotlivých VPN, neprovozují protokol MP-iBGP, ale pouze přepínají pakety na základě značky umístěné na vrcholu příchozího paketu, která říká na který cílový PE směrovač má být daný paket doručen.

Výhoda, kterou dosáhneme oproti klasickým způsobům budování VPN sítí je dosažení connection-less služby, kdy pro vytvoření VPN nemusíme konfigurovat komplikovanou strukturu permanentních virtuálních okruhů nebo tunelů. Komunikace každý s každým v rámci VPN je po vybudování MPLS VPN páteřní sítě automaticky k dispozici. Přidání nové VPN nebo připojení další lokality do již existující VPN je z hlediska potřebných rekonfigurací snadnou záležitostí.

Dalším přínosem je možnost definovat částečně se překrývající VPN. Vhodnou konfigurací importních a exportních politik na PE směrovačích lze dosáhnout vytvoření sdílených oblastí, které jsou příslušné do více VPN a přitom nemusí umožnit vzájemnou komunikaci těchto VPN. Možnou aplikací je např. vytvoření sdíleného extranetu pro více VPN sítí.

MPLS - praxe a vývoj

Technologii MPLS můžeme dnes vidět v sítích většiny velkých hráčů na poli ISP. Na jejím základě lze následně vybudovat nadstavbové služby jako jsou např. MPLS traffic engineering a MPLS VPN.

I když z názvu technologie vyplývá, že umožňuje transport více protokolů, současné implementace se zaměřují hlavně na transport protokolu IPv4. Z hlediska 2. vrstvy modelu OSI lze MPLS transportovat technologií Ethernet, Frame-Relay, ATM a PPP.

Existují dokonce implementace, které umožňují transportovat technologie Frame-Relay, ATM přes MPLS páteř. Tuto vlastnost lze s výhodou použít pro zákazníky, kteří vyžadují tyto služby a to bez nutnosti budovat další Frame-Relay či ATM infrastrukturu.

Úplně nová je implementace přenosu technologie Ethernet přes MPLS, kterou ohlásila firma Cisco na platformě Cisco OSR 7600 (Optical Switch Router založený na platformě Catalyst 6500). Využití nalezne zejména ve vysokorychlostních metropolitních sítích, kde zákazníci často požadují transparentní LAN služby a služby přístupu k Internetu.

Podporu MPLS VPN ve svých sítích mají dnes implementovány firmy jako British Telecom, France Telecom, GlobalOne, Swisscom, Equant ale i menší. U nás je to např. Aliatel.

Celorepublikovou páteřní síť s podporou MPLS VPN v současnosti dokončuje také Ministerstvo práce a sociálních věcí a tato síť je již dnes potencionálně využitelná i jinými organizacemi státní správy.

Většina velkých telekomunikačních výrobců dnes má produktové řady podporující technologii MPLS. Uveďme alespoň ty největší: Cisco, Juniper, Nortel, Lucent. Firma Cisco Systems implementovala podporu MPLS v operačních systémech svých směrovačů počínaje řadou Cisco 2600 až po high-end páteřní směrovače řady Cisco GSR 12000.

Je zřejmé, že hlavními zájemci o tuto technologii budou zejména poskytovatelé služeb a internetu (ISP). Tato technologie však může nalézt své místo i v oblasti metropolitních (měststkých) sítí, kde lze očekávat zájem o vytváření vzájemně oddělených privátních sítí nad společnou infrastrukturou pro jednotlivé instituce a firmy působící na území města.

Technologie MPLS, MPLS VPN, MPLS traffic engineering, podpora QoS v MPLS sítích, MPLambdaS (Multiprotcol Lambda Switching - přepínání dle vlnových délek) jsou relativně nové a bezesporu velice zajímavé technologie, které nelze detailně probrat na pár řádcích.

Pokud bude zájem můžeme se společně v některém z dalších čísel IT-NETu k uvedeným tématům vrátit.