2015-04-06
486
Сеть MPLS VPN делится на две области: сети IP клиентов и внутреннюю (магистральную) сеть провайдера, которая необходима для объединения сетей клиентов. В общем случае у каждого клиента может быть несколько территориально обособленных сетей IP, каждая из которых, в свою очередь, может включать несколько подсетей, связанных маршрутизаторами. Такие территориально изолированные сетевые «островки» корпоративной сети принято называть сайтами. Принадлежащие одному сегменту сайты обмениваются IP-пакетами ч/з сеть провайдера и образуют виртуальную частную сеть этого сегмента.
Маршрутизатор, с помощью которого сайт клиента подключается к магистрали провайдера - это пограничный маршрутизатор клиента (СЕ). Будучи компонентом сети клиента, СЕ не имеет сведений о существовании VPN. Он может быть соединен с магистральной сетью провайдера несколькими каналами. Магистральная сеть провайдера является сетью с технологией IP/MPLS, где пакеты IP продвигаются на основе не IP адресов, а локальных меток.
|
|
|
В сети провайдера среди устройств LSR выделяют пограничные маршрутизаторы провайдера (РЕ). К РЕ через СЕ подключаются сайты клиентов и внутренние маршрутизаторы магистральной сети провайдера (Р). СЕ и РЕ обычно связаны непосредственно физическим каналом, на котором работают протоколы канального уровня: PPP, FR, ATM или Ethernet. Общение между СЕ и РЕ идет на основе стандартных протоколов стека TCP/IP.
В магистральной сети провайдера только пограничные маршрутизаторы РЕ должны быть сконфигурированы для поддержки виртуальных частных сетей, поэтому только они «знают» о существующих VPN. Если просматривать сеть с позиций VPN, то маршрутизаторы провайдера Р непосредственно не взаимодействуют с маршрутизаторами заказчика СЕ, а просто располагаются вдоль туннеля м/у входными и выходными маршрутизаторами РЕ.
Маршрутизаторы РЕ функционально более сложные, чем Р. Н а них возложены главные задачи по поддержке VPN, а именно, разграничение маршрутов и каналов данных, поступающих от разных клиентов. РЕ служат также оконечными точками путей LSP м/у сайтами заказчиков.
Чтобы связать территориально разнесенные сайты заказчика в единую сеть необходимо:
-создать общее пространство распределения маршрутной информации;
- проложить во внутренней сети пути, по которым принадлежащие разным разным сайтам узлы одной и той же VPN могли обмениваться данными защищенным образом.
Механизм, с помощью которого сайты одной VPN обмениваются маршрутной информацией – многопротокольное расширение для BGP.
Недостатки: разные маршрутные таблицы для каждой сети // сеть не защищена от внешних атак.
