Служба виртуальной частной локальной сети ( VPLS ) — это способ предоставления многоточечной многоточечной связи на основе Ethernet по сетям IP или MPLS . Она позволяет географически разнесенным сайтам совместно использовать широковещательный домен Ethernet , соединяя сайты через псевдопровода . Термин « сайты» включает в себя множество как серверов, так и клиентов. Технологии, которые могут использоваться в качестве псевдопровода, могут быть Ethernet по MPLS , L2TPv3 или даже GRE . Существует два стандарта IETF RFC (RFC 4761 [1] и RFC 4762) [2], описывающих установление VPLS.
VPLS — это технология виртуальной частной сети (VPN). В отличие от L2TPv3, которая допускает только туннели уровня 2 «точка-точка» , VPLS допускает многоточечное (любое-к-любому) подключение.
В VPLS локальная сеть (LAN) на каждом сайте расширяется до границы сети провайдера. Затем сеть провайдера эмулирует коммутатор или мост для соединения всех клиентских LAN для создания единой мостовой LAN.
VPLS предназначен для приложений, которым требуется многоточечный или широковещательный доступ.
Поскольку VPLS эмулирует локальную сеть, требуется полносвязное соединение. Существует два метода для полносвязного установления VPLS: с использованием протокола пограничного шлюза (BGP) и с использованием протокола распределения меток (LDP). «Плоскость управления» — это средство, с помощью которого маршрутизаторы провайдерской границы (PE) взаимодействуют для автоматического обнаружения и сигнализации. Автоматическое обнаружение относится к процессу поиска других маршрутизаторов PE, участвующих в той же VPN или VPLS. Сигнализация — это процесс установления псевдопроводов (PW). PW составляют «плоскость данных», посредством которой PE отправляют трафик VPN/VPLS клиента другим PE.
BGP обеспечивает как автоматическое обнаружение, так и сигнализацию. Используемые механизмы очень похожи на те, которые используются при создании MPLS VPN уровня 3. Каждый PE настроен для участия в заданной VPLS. PE, используя BGP, одновременно обнаруживает все другие PE в той же VPLS и устанавливает полную сетку псевдопроводов к этим PE.
С LDP каждый маршрутизатор PE должен быть настроен для участия в заданной VPLS и, кроме того, ему должны быть предоставлены адреса других PE, участвующих в той же VPLS. Затем между этими PE устанавливается полная сетка сеансов LDP. Затем LDP используется для создания эквивалентной сетки PW между этими PE.
Преимущество использования PW в качестве базовой технологии для плоскости данных заключается в том, что в случае сбоя трафик будет автоматически маршрутизироваться по доступным резервным путям в сети поставщика услуг. Отказоустойчивость будет намного быстрее, чем это можно было бы достичь, например, с помощью протокола Spanning Tree Protocol (STP). Таким образом, VPLS является более надежным решением для соединения сетей Ethernet в разных местах, чем простое подключение WAN- соединения к коммутаторам Ethernet в обоих местах.
VPLS имеет значительные преимущества как для поставщиков услуг, так и для клиентов. Поставщики услуг получают выгоду, поскольку могут получать дополнительные доходы, предлагая новую услугу Ethernet с гибкой полосой пропускания и сложными соглашениями об уровне обслуживания (SLA). VPLS также проще и экономичнее в эксплуатации, чем традиционная услуга. Клиенты получают выгоду, поскольку могут подключить все свои сайты к Ethernet VPN , которая обеспечивает безопасную, высокоскоростную и однородную сеть. Более того, VPLS обеспечивает логический следующий шаг в продолжающейся эволюции Ethernet от протокола общей локальной сети 10 Мбит/с до глобальной услуги с несколькими Гбит/с.
Пакеты VPLS MPLS имеют стек из двух меток. Внешняя метка используется для обычной пересылки MPLS в сети поставщика услуг. Если для установления VPLS используется BGP, внутренняя метка выделяется PE как часть блока меток. Если используется LDP, внутренняя метка представляет собой идентификатор виртуального канала, назначенный LDP при первом установлении сетки между участвующими PE. Каждый PE отслеживает назначенную внутреннюю метку и связывает ее с экземпляром VPLS.
PE, участвующие в VPN на основе VPLS, должны отображаться как мост Ethernet для подключенных устройств клиентской границы (CE). Полученные кадры Ethernet должны обрабатываться таким образом, чтобы гарантировать, что CE могут быть простыми устройствами Ethernet.
Когда PE получает кадр от CE, он проверяет кадр и узнает MAC-адрес CE, сохраняя его локально вместе с информацией о маршрутизации LSP. Затем он проверяет MAC-адрес назначения кадра. Если это широковещательный кадр или MAC-адрес неизвестен PE, он рассылает кадр всем PE в сетке.
В заголовке кадра Ethernet нет поля времени жизни (TTL), поэтому предотвращение образования петель должно быть организовано другими способами. В обычных развертываниях Ethernet для этого используется протокол Spanning Tree Protocol. В VPLS предотвращение образования петель организовано по следующему правилу: PE никогда не пересылает кадр, полученный от PE, другому PE. Использование полной сетки в сочетании с пересылкой разделенного горизонта гарантирует домен широковещательной рассылки без петель.
VPLS обычно используется для соединения большого количества сайтов. Поэтому масштабируемость является важным вопросом, требующим решения.
VPLS требует полной сетки как в плоскости управления, так и в плоскости данных; это может быть сложно масштабировать. Для BGP проблема масштабирования плоскости управления давно решена с помощью отражателей маршрутов (RR). RR широко используются в контексте маршрутизации Интернета, а также для нескольких типов VPN. Для масштабирования плоскости данных для многоадресного и широковещательного трафика ведется работа по использованию LSP «точка-многоточка» в качестве базового транспорта.
Для LDP был разработан метод разделения VPLS VPN на двух- или трехуровневые иерархические сети. Названный иерархическим VPLS ( HVPLS ), он вводит новый тип устройства MPLS: коммутатор multi-tenant unit ( MTU ). Этот коммутатор объединяет нескольких клиентов в один PE, которому, в свою очередь, требуется только одно подключение плоскости управления и данных в сетку. Это может значительно сократить количество сеансов LDP и LSP и, таким образом, разгрузить основную сеть, концентрируя клиентов в периферийных устройствах.
HVPLS (LDP) также может использоваться для объединения двух структур VPLS-сеток. Без использования HVPLS каждый узел в каждой сетке VPLS должен быть связан со всеми узлами в другой сетке VPLS. Однако с помощью HVPLS две сетки могут быть по существу объединены в определенных местах. Такие методы, как избыточные псевдопровода, могут обеспечить устойчивость в случае сбоев в точках соединения.
Поскольку VPLS связывает несколько широковещательных доменов Ethernet вместе, он фактически создает гораздо больший широковещательный домен. Поскольку каждый PE должен отслеживать все MAC-адреса и связанную с ними информацию о маршрутизации LSP, это может потенциально привести к необходимости использования большого объема памяти в каждом PE в сетке.
Чтобы противостоять этой проблеме, сайты могут использовать маршрутизатор в качестве устройства CE. Это скрывает все MAC-адреса на этом сайте за MAC-адресом CE.
Устройства PE также могут быть оснащены ассоциативной памятью (CAM), аналогичной высокопроизводительным коммутаторам Ethernet.
Альтернативным механизмом является использование MAT (преобразование MAC-адресов). [3] Однако на момент написания этой статьи не было поставщиков, предоставляющих функциональность MAT.
В VPN на основе VPLS с большим количеством сайтов ручная настройка каждого участвующего PE не масштабируется должным образом. Если новый PE вводится в эксплуатацию, каждый существующий PE должен иметь свою конфигурацию, чтобы установить сеанс LDP с новым PE. Ведется работа по стандартизации для обеспечения автоматического обнаружения участвующих PE. Работа ведется над тремя реализациями:
Метод LDP автоматического обнаружения PE основан на методе, используемом протоколом распределения меток для распределения меток по маршрутизаторам P и PE в пределах одной автономной системы.
Метод BGP для автоматического обнаружения PE основан на методе, используемом MPLS VPN уровня 3 для распределения маршрутов VPN среди PE, участвующих в VPN. Расширения BGP4 Multi-Protocol (BGP-MP) используются для распределения идентификаторов VPN и информации о доступности, специфичной для VPN. Поскольку IBGP требует либо полной сетки сеансов BGP, либо использования отражателя маршрутов, включение идентификатора VPN в существующей конфигурации BGP участвующего PE предоставляет ему список всех PE в этой VPN. Обратите внимание, что этот метод предназначен только для автоматического обнаружения; LDP по-прежнему используется для сигнализации. Описанный выше метод установления VPLS с BGP выполняет как автоматическое обнаружение, так и сигнализацию.
Этот метод требует, чтобы все PE были настроены с одним или несколькими серверами RADIUS для использования. Когда первый маршрутизатор CE в определенном VPLS VPN подключается к PE, он использует идентификацию CE для запроса аутентификации с сервера RADIUS. Эта идентификация может быть предоставлена CE или может быть настроена в PE для этого конкретного CE. В дополнение к имени пользователя и паролю строка идентификации также содержит имя VPN и необязательное имя провайдера.
Сервер RADIUS отслеживает все PE, которые запросили аутентификацию для определенного VPN, и возвращает их список PE, запрашивающему аутентификацию. Затем PE устанавливает сеансы LDP для каждого PE в списке.