Общий анализ принципов построения современных глобальных сетей связи, применяемых для организации VPN сетей. Анализ и сравнение технологии MPLS VPN. Маршрутизация и пересылка пакетов в сетях. Выбор протоколов используемых на участке. Выбор оборудования.
Аннотация к работе
При разработке современных магистральных сетей, отвечающих таким требованиям, выбираются такие технологии и стандарты, которые позволяют в конечном итоге получить сеть, отвечающую требованиям и характеристикам «мультисервисной» сети. Провайдеры, предлагающие своим клиентам IP-услуги по магистралям MPLS могут поддерживать качество обслуживания (QOS), что позволяет администраторам контролировать такие параметры передачи трафика, как задержка, колебания задержки и потери пакетов в сети. Позднее сети Frame Relay и сети на основе технологии ATM с несколькими классами обслуживания в значительной степени заменили Х.25 и выделенные линии. Использование VPN-функций в протоколе IP позволяет установить в сетях на основе программного обеспечения Cisco IOS магистральные службы расширяемых VPN-сетей 3-го уровня с использованием протокола IP версии 4 (IPV4). Кроме того, в случае VPN-сетей 3-го уровня при передаче по сети Internet невозможно твердо гарантировать качество обслуживания (Quality of Service - QOS) при передаче данных по такой структуре.РЕ-маршрутизаторы являются устройствами того же ранга, что и Р-маршрутизаторы, и соединены с ними или непосредственно с другими РЕ-маршрутизаторами. Экземпляр VRF состоит из таблицы IP-маршрутизации, полученной из нее таблицы экспресс-коммутации корпорации Cisco (Cisco Express Forwarding - CEF), набора интерфейсов, использующих такую таблицу, и набора правил и параметров протокола маршрутизации, управляющих информацией таблицы маршрутизации. Граничный маршрутизатор провайдера службы (service Provider Edge - РЕ router) может узнать IP-префикс от граничного маршрутизатора пользователя (Customer Edge - СЕ router) на основе статической конфигурации, посредством сеанса протокола BGP с С Е-маршрутизатором или через сеансы протоколов RIP версии 2 или OSPF с СЕ-маршрутизатором. Функция автоматической фильтрации маршрутов (Automatic Route Filtering) фильтрует маршруты VPN, которые содержат записи, использующие расширенные сообщества адресатов маршрутов, не совпадающие ни с одним из VRF-комппексов РЕ-маршрутизаторов. РЕ-маршрутизатор связывает метку с префиксом каждого пользователя, полученным от СЕ-маршрутизатора, и включает метку в информацию о достижимости сети для данного префикса, которую он сообщает другим РЕ-маршрутизаторам.! class-map match-all class2 match ip precedence 3 class-map match-all class3 match ip precedence 1 class-map match-all class1 match ip precedence 5 interface Serial1/0 description ***Router_P2*** bandwidth 10240 ip unnumbered Loopback0 tag-switching ip serial restart-delay 0 max-reserved-bandwidth 90 service-policy output Isp interface Serial1/1 description ***Router_PE1*** bandwidth 10240 ip unnumbered Loopback0 tag-switching ip serial restart-delay 0 max-reserved-bandwidth 90 service-policy output Isp Ниже будут приведены конфигурации пограничных PE-маршрутизаторов на стороне провайдера и пограничных CE-маршрутизаторов на стороне пользователя. связь маршрутизация глобальный сеть ! address-family vpnv4 neighbor 10.10.2.1 activate neighbor 10.10.2.1 send-community extended neighbor 10.10.3.1 activate neighbor 10.10.3.1 send-community extended neighbor 10.10.4.1 activate neighbor 10.10.4.1 send-community extended neighbor 10.10.5.1 activate neighbor 10.10.5.1 send-community extended exit-address-familyДля проверки канала в сеть отправлялись пакеты размером: · 100 байт На первом этапе будем проверять филиал клиента А4 из главного офиса клиента, используя пакеты разного размера и занесем результаты в таблицу 4.1: Ping 172.16.251.2 size 100 repeat 100 На первом графике, рисунок 4.1 отобразим зависимость времени задержки от размера пакета, используя данные таблицы 4.1. На первом этапе будем пинговать филиал клиента B2 из главного офиса клиента, используя пакеты разного размера и занесем результаты в таблицу 4.14: Ping 172.17.252.2 size 100 repeat 100 На первом графике, рисунок 4.4 отобразим зависимость времени задержки от размера пакета, используя данные таблицы 4.14.В главе были сделаны ряд экспериментов с целью проверки характеристик прохождения пакетов по сети, а также с целью проверки работоспособности модели сети, выполнений требований QOS (качества обслуживания) и защищенности пересылаемых клиентских данных от других клиентов сети.В результате выполнения выпускной квалификационной работы была спроектирована и настроена модель сети провайдера на базе технологии MPLS с поддержкой трех виртуальных частных сетей в разных городах.
Введение
При разработке современных магистральных сетей крупнейших операторов необходимо решать ряд задач, сложность и характер которых зависит от требований к функциональному назначению сети. Основная масса постоянно обновляющихся требований, предъявляемых, в настоящее время, к технологиям глобальных (магистральных) сетей операторов связи, исходит от растущего спроса клиентов на дополнительные услуги. При разработке современных магистральных сетей, отвечающих таким требованиям, выбираются такие технологии и стандарты, которые позволяют в конечном итоге получить сеть, отвечающую требованиям и характеристикам «мультисервисной» сети. Мультисервисная сеть - это сеть, которая образует единую информационно-телекоммуникационную структуру, которая поддерживает все виды трафика (данные, голос, видео) и предоставляет все виды услуг (традиционные и новые, базовые и дополнительные) в любой точке, в любое время, в любом наборе и объеме, с дифференцированным гарантированным качеством и по стоимости, удовлетворяющей различные категории пользователей [1].
Требования предъявляемые к мультисервисной сети можно условно разделить на две части - базовые требования (которые учитываются при разработке сети практически всегда) и дополнительные требования (требования, которые учитываются при наличии достаточного спроса на них со стороны провайдеров или пользователей). В соответствии с требованиями определяют также и услуги, которые должен предоставлять оператор.
К базовым услугам мультисервисной сети относятся традиционные услуги передачи и доступа: · передача трафика данных сети Интернет;
· передача традиционного телефонного трафика;
· передача видеотрафика;
· передача трафика мобильных сетей.
К дополнительным услугам относятся следующие: · передача голосового трафика IP-телефонии;
· доступ в сеть Интернет с заданием следующих параметров: гарантируемой минимальной и возможной максимальной полосы пропускания, допустимой максимальной задержки, допустимых пределов вариации задержки;
· организации виртуальных частных сетей, корпоративных пользователей;
· различные услуги контент-провайдеров;
· услуги по обеспечению гарантированного уровня обслуживания.
Одной из самых важных предоставляемых услуг является услуга организации виртуальных частных сетей корпоративных пользователей. Характерным свойством большинства корпоративных сетей на сегодняшний день является их территориально распределенная структура, вследствие чего, возникает задача объединения территориально распределенных филиалов предприятия и компьютеров удаленных сотрудников в одну сеть. Кроме того, существуют проблемы защиты информации, аутентификации и авторизации пользователей, предоставления доступа к ресурсам, обеспечение независимости адресных пространств.
Изначально, эти задачи решались путем организации собственной частной сети, что подразумевало прокладку выделенных каналов связи, установку маршрутизаторов и устройств доступа. Преимущества частных сетей неоспоримы, это и независимость адресного пространства, и независимый выбор сетевой технологии, и высокий уровень безопасности. Но также неоспорим и тот факт, что с экономической точки зрения такую сеть может себе позволить далеко не каждое предприятие.
Под термином VPN понимают круг технологий, обеспечивающих безопасную и качественную связь в пределах контролируемой группы пользователей по открытой глобальной сети [5]. Цель создания VPN сводится к максимальной степени обособления потоков данных одного предприятия от потоков данных всех других пользователей сети. Такое разделение должно быть обеспечено в отношении параметров пропускной способности потоков, а также, в отношении конфиденциальности передаваемых данных [8].
В свете все более возрастающего интереса к технологии, уже сегодня провайдеры предоставляют планы предоставления услуг с добавленной ценностью поверх своих транспортных сетей VPN, расширяется рынок VPN-продуктов.
Относительно технологий магистральной сети, то для решения возникающих задач разрабатывалось множество архитектур, но в настоящее время все более распространяется архитектура MPLS, которая обеспечивает построение магистральных сетей, имеющих практически неограниченные возможности масштабирования, повышенную скорость обработки трафика и беспрецедентную гибкость с точки зрения организации дополнительных сервисов. Кроме того, технология MPLS позволяет интегрировать сети IP и ATM, за счет чего поставщики услуг смогут не только сохранить средства, инвестированные в оборудование асинхронной передачи, но и извлечь дополнительную выгоду из совместного использования этих протоколов.
В архитектуре MPLS собраны наиболее удачные элементы всех предыдущих разработок, и она уже значительное время назад превратилась в стандарт, благодаря усилиям рабочей группы IETF, отвечающей за развитие MPLS, и компаний, заинтересованных в скорейшем продвижении данной технологии на рынок.
Провайдеры, предлагающие своим клиентам IP-услуги по магистралям MPLS могут поддерживать качество обслуживания (QOS), что позволяет администраторам контролировать такие параметры передачи трафика, как задержка, колебания задержки и потери пакетов в сети. Одним из основных преимуществ QOS является возможность поддерживать разные виды трафика, такие как данные, голос и видео, что позволяет подписывать с заказчиками соглашения о гарантированном качестве услуг.
Учитывая вышесказанное, можно говорить о том, что у технологии VPN MPLS, несомненно, есть будущее и рассмотрение организации и механизма работы такой сети довольно актуальный вопрос.
Целью моей квалификационной работы является исследование принципов построения VPN сетей на базе технологии MPLS.
Для достижения поставленной цели необходимо решение следующих задач: · Анализ принципов построения современных глобальных сетей, поддерживающих технологию VPN;
· Исследование и оценка применимости технологии VPN MPLS;
· Построение и оценка виртуальной модели сети VPN MPLS;
Объектом исследования является изучение способов организации VPN сетей, на базе технологий современных глобальных сетей.
Предметом исследования является спроектированная виртуальная сеть, поддерживающая технологию VPN MPLS.
1. Общий анализ принципов построения современных глобальных сетей связи, применяемых для организации VPN сетей. Анализ и сравнение технологии MPLS VPN
1.1 Обзор технологий глобальных сетей, применяемых для построения VPN сетей
Провайдеры предлагают услуги виртуальных частных сетей (Virtual Private Network - VPN) промышленным пользователям с момента начала эксплуатации сетей на базе TDM и сетей Х.25 с коммутацией пакетов. Позднее сети Frame Relay и сети на основе технологии ATM с несколькими классами обслуживания в значительной степени заменили Х.25 и выделенные линии. Провайдеры служб устанавливают либо фиксированную стоимость служб VPN, либо оплату, зависящую от интенсивности пользования службой.
Термин "виртуальная частная сеть" (VPN) используется операторами связи и провайдерами служб для обозначения совокупности виртуальных каналов закрытых групп пользователей с момента разработки и начала применения служб Х.25, Frame Relay и ATM [15]. Позднее этот термин стал использоваться при управлении промышленными сетями (Enterprise Network Management) для обозначения закрытых групп пользователей в IP-сетях[8].
Пользователи давно осознали преимущества заключения субдоговора на телекоммуникационные услуги с внешними провайдерами (outsourcing) и объединения служб данных, голоса и видео. Поэтому для них желательно использование службы управляемого протокола IP (Managed IP) с соглашениями об уровне обслуживания (Service-Level Agreement - SLA) на всем маршруте передачи данных (end-to-end) и с гарантированным качеством обслуживания (QOS) [6].
VPN-сети на базе протокола IP быстро становятся основой доставки объединенных голоса и видео и обычных цифровых данных. Многие провайдеры служб предлагают приложения с дополнительными услугами (value-added) в дополнение к своим транспортным VPN-сетям.
Основой обеспечения консолидированных служб являются две уникальные и дополняющие друг друга структуры сетей VPN, которые основаны на технологиях набора открытых стандартов обеспечения безопасности (IP Security - IPSEC) и многопротокольной коммутации по меткам (Multiprotocol Label Switching - MPLS). В настоящей главе рассматриваются доступные в настоящее время топологии и структуры сред VPN.
Использование VPN-функций в протоколе IP позволяет установить в сетях на основе программного обеспечения Cisco IOS магистральные службы расширяемых VPN-сетей 3-го уровня с использованием протокола IP версии 4 (IPV4). VPN-сети протокола IP являются базой, используемой компаниями для размещения и администрирования дополнительных служб, включая приложения, размещение и хранение данных, электронную торговлю и телефонные службы для коммерческих потребителей. В сетях уровня предприятия внутренние сети на базе протокола IP радикально изменили стиль коммерческих компаний. В настоящее время компании перемещают коммерческие приложения в локальные сети с последующим распространением их на распределенную сеть (WAN). Компании также объединяют потребности пользователей, поставщиков и партнеров путем использования внешних сетей (под такой сетью понимается внутренняя сеть, которая обслуживает предприятия). Используя такие сети, компании могут уменьшить производственные расходы за счет автоматизации учета поставок, обмена электронными данными (Electronic Data Interchange - EDI) и других форм электронной торговли. Для того чтобы воспользоваться этими коммерческими возможностями, провайдерам служб требуется технология VPN-сетей протокола IP, которая предоставляет предприятиям службы частных сетей по совместно используемым инфраструктурам.
1.2 VPN-сети с установлением соединения
VPN-сети с установлением соединения могут быть созданы на базе инфраструктуры 2-го или 3-го уровня. Примерами таких VPN-сетей 2-го уровня могут служить каналы с установлением соединения типа "точка-точка", такие как виртуальные соединения Frame Relay или ATM.
Примером VPN-сетей с установлением соединения 3-го уровня могут служить структуры VPN, созданные с использованием полносвязной или частично-связной топологии туннелей на базе протокола IPSEC (с шифрованием для обеспечения конфиденциальности) или с использованием технологии общей инкапсуляцией маршрутизации (Generic Routing Encapsulation - GRE).
VPN-сети доступа к службе используют механизм установления соединения с коммутацией каналов, обеспечивающие временное безопасное соединение удаленного доступа между индивидуальным пользователем и внутренней или внешней корпоративной сетью (intranet и extranet) через совместно используемую сеть провайдера службы с той же стратегией передачи данных, как и в частной сети. Такие сети используют удаленный доступ к точке присутствия (Point of Presence - РОР) провайдера ISP с последующей передачей данных по открытой сети Internet с конечным доступом к внутренней корпоративной сети.
Главной проблемой в VPN-сетях с установлением соединения является сложность расширения сети. В частности, эффективность VPN-сетей с установлением соединения без полносвязной топологии далека от оптимальной. Кроме того, в случае VPN-сетей 3-го уровня при передаче по сети Internet невозможно твердо гарантировать качество обслуживания (Quality of Service - QOS) при передаче данных по такой структуре. С точки зрения менеджеров телекоммуникаций (telecom management) сложность создания виртуальных каналов ATM или Frame Relay сравнима со сложностью создания выделенных линий[13].
Использование VPN-сетей на базе виртуальных каналов требует от провайдера службы создания отдельных виртуальных каналов и управления ими или создания логических маршрутов и управления ими для каждой пары узлов, входящих в группу пользователей и осуществляющих обмен данными. Такое требование эквивалентно построению полносвязной топологии виртуальных каналов, включающей всех пользователей.
VPN-сети 2-го уровня с установлением соединения являются основой VPN-модели передачи информации одного уровня в среде другого. В этой модели провайдер службы предоставляет виртуальные каналы, а обмен маршрутной информацией происходит непосредственно между маршрутизаторами пользователя (т.е. СРЕ).
1.2.1 Сети на основе технологии TDM
Большинство провайдеров служб предлагают пользователям службы сетей с выделенными линиями. Они включают в себя цифровое мультиплексирование, при использовании которого из битового потока практически одновременно выделяются данные двух или более каналов, и их биты передаются поочередно. В Северной Америке провайдеры служб и операторы связи предлагают пользователям линии DS1 и DS3, а в Европе и в Тихоокеанском регионе, как правило, используются линии Е1 и ЕЗ.
Как показано на рисунке 1.1, пользователи А и Б совместно используют физическую инфраструктуру оператора связи, но логически отделены друг от друга механизмом преобразования адресов портов и электронными перекрестными соединениями, которые обеспечиваются оператором связи. Перекрестные соединения обычно обеспечиваются системами DACS (Digital Automatic and CROSSCONNECT System - система цифрового доступа и коммутации). Однако для достижения указанной цели также широко используются физические соединения.
На рисунке 1.2 показаны физические соединения между пользователями А и Б, а также сеть провайдера службы в целом.
Сеть TDM представляет собой простейший пример виртуальной частной сети, предоставляющей пользователям фиксированную полосу пропускания высокого качества. Большинство операторов связи предоставляют пользователям полосу пропускания, кратную 64 Кбит/с (полоса пропускания одного канала DS0). Более подробная информация о TDM будет приведена далее в работе.
Рисунок 1.1 - Логическая схема использования выделенных линий в VPN-сетях
Рисунок 1.2 - Сеть VPN с выделенными линиями
1.2.2 VPN-сети на основе технологии передачи фреймов
VPN-сети на основе фреймов, такие как Frame Relay и Х.25, используют логические маршруты, определяемые коммутируемыми и постоянными виртуальными каналами. Как показано на рисунке 1.3, при этом несколько закрытых групп пользователей, совместно используют коммутируемую инфраструктуру провайдера службы. Пользователям предоставляется доступ только к тем виртуальным каналам, которые предназначены исключительно для частного использования. Такие каналы PVC или SVC могут предоставляться с фиксированной согласованной скоростью передачи (CIR) или на скорости порта (равной ширине полосы пропускания абонентского канала - local loop).
Рисунок 1.3 - Структура VPN-сети Frame Relay
На рисунке 1.4 показана физическая картина сети Frame Relay. Оба пользователя А и Б подсоединены к точкам присутствия (Points of Presence - POPS) провайдера абонентских каналов TDM. Протокол Frame Relay функционирует между локальным CPE-устройством FRAD (например, маршрутизатор) и коммутатором Frame Relay.
Функция межсетевого обмена протокола Frame Relay преобразует фреймы Frame Relay в ячейки ATM для передачи по магистрали ATM.
Более подробное описание технологии Frame Relay будет приведена далее в работе.
В технологии Х.25 на 2-м уровне используются фреймы Х.25, а на 3-м уровне - пакеты Х.25, в отличие от технологии Frame Relay, в которой используются только фреймы 2-го уровня. Провайдеры службы Х.25 обычно предоставляют по желанию заказчика коммутируемые виртуальные каналы SVC или постоянные каналы PVC, которые описываются идентификаторами логического канала (Logical Channel Identifier- LCI).
Рисунок 1.4 - Структура сети VPN в среде Frame Relay
Идентификатор LCI включает в себя 4-битовый номер логической группы (Logical Group Number- LGN) и 8-битовый номер логического канала (Logical Channel Number - LCN). Х.25 в качестве протокола создания фреймов на 2-м уровне использует сбалансированную процедуру доступа к каналу (Link Access Procedure Balanced - LAPB).
1.2.3 VPN-сети на основе технологии передачи ячеек
VPN-сети на основе передачи ячеек, такие как ATM и SMDS, используют логические маршруты, определяемые коммутируемыми (SVC) и постоянными (PVC) виртуальными каналами. При этом, как показано на рисунке 1.5, несколько закрытых групп пользователей или потребителей совместно используют коммутируемую инфраструктуру провайдера службы. Пользователям предоставляются виртуальные каналы, зарезервированные исключительно для частного использования. Такие каналы PVC или SVC могут предоставляться со следующими классами обслуживания: CBR, VBR-RT, VBR-NRT, ABR и UBR. В сетях ATM также могут предоставляться перепрограммируемые каналы PVC (soft PVC), представляющие собой гибрид каналов SVC и PVC.
Рисунок 1.5 - Логическая структура VPN-сети ATM
На рисунке 1.6 показана физическая структура сети ATM. Пользователи А и Б подсоединены к точкам присутствия (Points of Presence - POPS) сети ATM с помощью абонентских каналов TDM или SONET/SDH на полной пропускной способности. АТМ-маршрутизаторы оборудования пользователя (СРЕ) используют виртуальные каналы ATM в качестве транспортного механизма 2-го уровня для передачи данных протокола IP или любого другого протокола 3-го уровня.
Рисунок 1.6 - Физическая структура VPN-сети ATM
1.2.4 VPN-сети 3-го уровня с установлением соединения
VPN-сети 3-го уровня, в которых используется процедура установления соединения, являются основой туннельной модели VPN. При использовании технологий GRE или IP Security (IPSEC) создается туннельная модель соединений "точка-точка" через внутреннюю сеть IP или через открытую сеть Internet, в то время как виртуальные частные сети удаленного доступа (Virtual Private Dialup Network - VPDN) представляют собой гибридную комбинацию удаленного доступа и безопасного туннельного соединения через среду Internet к точке концентрации трафика предприятия, такой как корпоративный шлюз.
Туннельные VPN-сети протокола общей инкапсуляции маршрутизации (Generic Route Encapsulation - GRE) могут быть использованы для создания IP-соединений типа "точка-точка". Комбинация таких GRE-туннелей может быть использована для построения VPN-сети. Однако присущая GRE-туннелям недостаточная внутренняя безопасность, вытекающая из отсутствия механизмов шифрования, делает GRE-туннели недостаточно защищенными от несанкционированного доступа.
Как показано на рисунке 1.7, использование GRE-туннелей целесообразно для построения VPN-сетей в частной магистральной IP-сети провайдера службы. Они также полезны для передачи по туннельным соединениям потоков данных 3-го уровня, отличных от IP, в частной IP-сети.
Рисунок 1.7 - Туннельные VPN-сети протоколов GRE and IPSEC
VPN-сети протокола IPSEC с туннельными соединениями представляет собой технологию с высокой степенью безопасности, использующую шифрование и механизм создания туннельных соединений, которые защищают содержимое пакетов при прохождении по IP-сети [5]. Протокол IPSEC, как правило, используется при передаче данных через открытые, недостаточно безопасные, IP-сети, такие как Internet. Комбинация туннелей IPSEC типа "точка-точка" позволяет создавать VPN-сети в открытых IP-сетях. Большая часть структуры IPSEC реализуется на СРЕ-оборудовании пользователя, а провайдеры служб, как правило, предоставляют VPN-службы управляемого протокола IPSEC (Managed IPSEC). Топология сети, использующей технологию IPSEC, приведена на рисунке 1.7. Для пользователей , которым требуется безопасный удаленный доступ, IPSEC в настоящее время является единственной практической возможностью получения такого доступа через VPN-сеть.
VPDN-сети, использующие протоколы L2F И L2TP, также предоставляют определенную степень безопасности при удаленном доступе, хотя и не столь высокую, как технология IPSEC. высокая эффективность защиты протокола IPSEC обеспечивается глубоким шифрованием содержимого с помощью различных разновидностей стандарта шифрования данных (Data Encryption Standard - DES), таких как 168-битовый стандарт 3DES и аутентификация по заголовкам.
П пользователи получают удаленный доступ к своим корпоративным сетям через службы открытой коммутируемой телефонной сети (Public Switched Telephone Network - PSTN) или через службы ISDN. Как показано на рисунке 1.8, службы виртуальной частной сети удаленного доступа (Virtual Private Dialup Network - VPDN) реализуются главным образом по частной IP-магистрали провайдера. Для реализации служб VPDN по IP-сети используются такие протоколы, как протокол пересылки 2-го уровня (Layer 2 Forwarding - L2F) и протокол туннельного соединения 2-го уровня (Layer 2 Tunneling Protocol - L2TP).
Удаленные пользователи инициируют соединение удаленного доступа с сетевым сервером доступа (Network Access Server - NAS), используя протокол РРР. Сервер NAS выполняет аутентификацию вызова и направляет ячейки с помощью протоколов L2F или L2TP к корпоративному шлюзу пользователя. Шлюз принимает вызов, направленный серверу NAS, выполняет дополнительную аутентификацию и авторизацию, после чего завершает сеанс РРР пользователя. Функции аутентификации, авторизации и учета (Authentication, Authorization and Accounting - AAA) также могут быть выполнены сервером AAA, таким как TACACS . Все параметры сеанса РРР согласовываются между пользователем удаленного доступа и корпоративным шлюзом. На VPN-сети удаленного доступа, такие как VPDN, имеют определенные ограничения: они не поддаются расширению и не обеспечивают связь "всех-со-всеми".
Рисунок 1.8 - Виртуальная частная сеть удаленного доступа (VPDN)
Протокол туннельного соединения типа "точка-точка" (Point-to-Point Tunneling Protocol - PPTP), наряду с протоколом шифрования "точка-точка" корпорации Microsoft (Microsoft Point-to-Point Encryption - MPPE), позволяет VPN-сетям на основе оборудования корпорации Cisco использовать PPTP в качестве протокола туннельного соединения [12]. РРТР представляет собой сетевой протокол безопасной передачи данных от удаленного клиента к серверу частного предприятия путем создания VPN-сети в IP-сети. Протокол РРТР использует туннели по желанию пользователя (также называемые туннелями, инициированными пользователем, client-initiated tunneling), что позволяет клиентам сконфигурировать и установить зашифрованные туннели к туннельным серверам без промежуточного участия сервера NAS в согласовании параметров и установке туннеля.
Протокол РРТР использует МРРЕ в качестве метода шифрования при передаче данных по каналу удаленного доступа или по туннелю VPN-сети. МРРЕ функционирует как вспомогательная функция протокола сжатия типа "точка-точка" корпорации Microsoft (Microsoft Point-to-Point Compression - MPPC). МРРЕ использует шифровальные ключи длиной 40 или 128 бит. Все ключи создаются на основе передаваемого открытым текстом пароля пользователя. Алгоритм МРРЕ представляет собой механизм шифрования потока, поэтому зашифрованные и расшифрованные фреймы имеют ту же длину, что и первоначальные фреймы. Cisco-реализация МРРЕ полностью совместима и взаимозаменяема с реализацией корпорации Microsoft и использует все доступные опции последней, включая режим шифрования без предыстории.
1.3 VPN-сети без установления соединения
VPN-сети без установления соединения при установке связи между конечными точками не требуют наличия заранее заданного логического или виртуального канала между ними.
Сети 3-го уровня без установления соединения составляют базу одноранговой модели. В такой модели обмен маршрутной информацией происходит между маршрутизаторами СРЕ и маршрутизаторами провайдера.
1.3.1 Обычные VPN-сети протокола IP
Многие провайдеры предоставляют пользователям управляемые службы IP (managed IP services), что дает пользователям возможность подсоединить свои IP-маршрутизаторы СРЕ к частным IP-магистралям провайдера. Большинство провайдеров службы IP организуют свои IP-сети в инфраструктуре 2-го уровня, такой как сеть ATM или Frame Relay. Типичный пример VPN-сети IP приведен на рисунке 1.9.
Рисунок 1.9 - Типовая VPN-сеть протокола IP на основе маршрутизаторов
Обычно провайдеры для различных пользователей конфигурируют на своих магистральных маршрутизаторах несколько протоколов маршрутизации или несколько процессов маршрутизации. Как правило, устройство маршрутизации Cisco (Cisco Routing engine) поддерживает на отдельных маршрутизаторах несколько протоколов маршрутизации для подсоединения сетей, использующих различные протоколы. В протоколы маршрутизации еще при создании закладывался принцип независимого функционирования от других аналогичных протоколов. Каждый протокол собирает и анализирует необходимую ему информацию и реагирует на изменения топологии индивидуальным образом. Например, протокол RIP использует в качестве метрики количество транзитных переходов, а протокол EIGRP - вектор метрической информации, состоящий из пяти элементов.
Еще более важно то, что маршрутизаторы Cisco, как правило, могут одновременно обрабатывать до 30 процессов динамической IP-маршрутизации. При комбинировании различных процессов маршрутизации на одном маршрутизаторе могут использоваться следующие протоколы (приведены также имеющиеся ограничения): · до 30 процессов IGRP-маршрутизации;
· до 30 процессов OSPF-маршрутизации;
· один процесс IS-IS;
· один процесс маршрутизации RIP;
· один процесс маршрутизации BGP;
· до 30 процессов маршрутизации EGP.
Пользователи получают доступ к VPN-сетям IP посредством комбинации списков доступа, протоколов маршрутизации и процессов. Самыми сложными проблемами, стоящими перед провайдерами управляемых IP-служб, являются расширяемость и сложность реализации. Большое количество доступных протоколов и процессов маршрутизации, поддерживаемых платформами маршрутизаторов, иногда вынуждает провайдеров размещать в точке присутствия отдельные маршрутизаторы для каждой пользовательской VPN-сети.
1.3.2 VPN-сети на основе коммутации MPLS
VPN-сети MPLS не устанавливают соединений. Механизмы MPLS разделяют потоки данных на категории и обеспечивает конфиденциальность без использования туннельных протоколов 2-го уровня и шифрования. Такой подход значительно упрощает процесс инициализации сети.
Использование технологии MPLS позволяет решить проблемы расширяемости, возникающие при создании сетей Frame Relay и ATM за счет того, что провайдеры могут инициировать несколько сетей VPN для части пользователей, не инициируя все виртуальные каналы всех закрытых групп пользователей, число которых иногда составляет несколько десятков или даже сотен. Пример VPN-сети технологии MPLS приведен на рисунке 1.10. Пользователи А и Б совместно используют инфраструктуру провайдера, сохраняя способность формировать свои собственные замкнутые пользовательские группы с наивысшим возможным для них уровнем безопасности. Они также могут использовать собственные протоколы маршрутизации.
Рисунок 1.10 - Виртуальная частная сеть MPLS
Модель MPLS требует, чтобы CPE-маршрутизаторы осуществляли непосредственный обмен маршрутной информацией только с граничными маршрутизаторами провайдера, вместо обмена такой информацией со всеми CPE-маршрутизаторами, принадлежащими к данной структуре VPN. Принадлежность устройств VPN-сети к замкнутой пользовательской группе фиксируется с помощью метки. Метки содержат информацию о следующем транзитном переходе, атрибуты службы и идентификатор VPN-сети, который обеспечивает конфиденциальность обмена информацией внутри структуры VPN.
На входе в сеть провайдера пакеты, поступающие от маршрутизатора СРЕ, обрабатываются, и им присваиваются метки в соответствии с физическим интерфейсом, на котором они были получены. Назначение меток основано на информации, содержащейся в таблицах маршрутизации и пересылки (VPN Routing and Forwarding - VRF). Необходимые таблицы составляются заранее, и входящие пакеты исследуются только на входном LSR-устройстве. Базовые устройства или LSR-устройства провайдера (Provider - Р) лишь отправляют эти пакеты, основываясь на значениях меток.
Применение технологии MPLS дает возможность маршрутизируемым магистралям провайдера поддерживать VPN-сети и обеспечивает прозрачность механизмов 3-го уровня даже через инфраструктуры 2-го уровня [5]. Такой подход позволяет создавать закрытые пользовательские группы и связанные с ними службы.
1.4 Сравнение VPN-технологий
В процессе внедрения VPN-сетей для удовлетворения индивидуальных требований различных пользователей провайдеры должны рассмотреть вопрос о совместном использовании как технологии MPLS, так и IPSEC. Обе технологии имеют определенные достоинства и дополняют друг друга, расширяя возможности средств для создания безопасного сквозного соединения VPN в инфраструктуре провайдера и через каналы открытой сети Internet.
В таблице 1.1 приведено сравнение различных технологий VPN и даются рекомендации по выбору подходящего решения на основе используемых приложений, требований безопасности, расширяемости, финансовых возможностей и иных факторов.
Таблица 1.1 Сравнение различных решений для VPN-сетей
Комментарий Виртуальные каналы 2-ого уровня Туннели на 3-м уровне VPN-сети MPLS
Уровень сложности при установке и управлении Для быстрого создания новых служб, повышения уровня безопасности, качества обслуживания и поддержки соглашений об уровне обслуживания необходимо иметь усовершенствованные системы мониторинга и анализа проходящих потоков данных Низкий Средний Высокий
Уровень безопасности Должны предлагаться различные уровни безопасности, включая использование туннелей, шифрование, разделение потоков (traffic separation), аутентификация и управление доступом Высокий Высокий Высокий
Комментарий Виртуальные каналы 2-ого уровня Туннели на 3-м уровне VPN-сети MPLS
Расширяемость структуры Должна позволять расширение служб VPN малых и средних предприятий до сетей крупных промышленных пользователей Средняя Средняя Высокая
Качество обслуживания Должна быть возможность назначать приоритеты критически важным или чувствительным к задержке приложениям и возможность управления в случае возникновения заторов путем изменения ширины полосы пропускания Высокое Для реализации QOS необходимо использовать другие технологии Высокое
Стоимость установки Прямые и косвенные расходы на установку VPN Высокие Средние Низкие
1.5 Преимущества VPN-сетей MPLS
В настоящем разделе опишем следующие преимущества VPN-сетей MPLS: · расширяемость;
· безопасность;
· простота создания сетей VPN;
· гибкость адресации;
· соответствие стандартам;
· гибкость структуры;
· сквозные службы задания приоритетов;
· консолидация (объединение разных типов данных);
· перераспределение потоков;
· централизованное обслуживание;
· поддержка интегрированных классов обслуживания;
· модернизация и модификация сети;
· централизованное управление и инициализация путем использования Cisco-протокола управления службой (Cisco Service Management - CSM).
Расширяемость
Коммутация MPLS была разработана, в частности, для эффективного решения проблем, связанных с расширением сетей. Ее использование позволяет создавать в одной и той же сети десятки тысяч VPN-структур. Структуры VPN на базе технологии MPLS используют паритетную модель и структуру 3-го уровня без установления соединения для создания VPN-сетей с большой степенью расширяемости. Паритетная модель требует, чтобы узел пользователя имел одноранговую связь только с одним граничным маршрутизатором провайдера (Provider Edge router - РЕ-router), а не со всеми маршрутизаторами СРЕ или граничными маршрутизаторами пользователя (Customer Edge router - CE-router), которые принадлежат к VPN-сети. Структура без установления соединений позволяет создавать VPN-сети на 3-м уровне, устраняя необходимость в туннелях или виртуальных каналах (VC).
Безопасность
VPN-сети технологии MPLS обеспечивают такой же уровень безопасности, как и VPN-структуры с установлением (Frame Relay или ATM). Пакеты одной VPN-сети не могут случайным образом попасть в другую сеть VPN, поскольку безопасность обеспечивается на границе инфраструктуры провайдера, где пакеты, полученные от пользователя, отправляются в нужную VPN-сеть [7]. В магистрали данные отдельных VPN-сетей перемешаются отдельно. «Снифинг» (попытка получить доступ к РЕ-маршрутизатору) практически невозможен, поскольку IP-пакеты пользователей должны быть получены на конкретном интерфейсе или подинтерфейсе, где они однозначно идентифицируются по VPN-меткам.
Простота создания сети VPN
При создании VPN-сетей не требуется специальных таблиц преобразований для соединений "точка-точка" или дополнительных топологий. Для создания закрытых групп пользователей к внутренним и внешним сетям (т.е. intranet и extranet) могут быть добавлены новые узлы. При таком управлении VPN-сетями узел может находиться в нескольких VPN-сетях, что предоставляет максимальную гибкость при построении инфраструктуры. Функции MPLS выполняются в сети провайдера, а в конфигурировании оборудования пользователя либо вообще нет необходимости, либо требуется лишь незначительное. Среда MPLS прозрачна для маршрутизаторов CPE, а CPE-устройствам пользователя установка службы MPLS не требуется.
Гибкая адресация
Для того чтобы сделать службу VPN более доступной, пользователи провайдера могут создать собственную схему адресации, независимую от схем адресации других пользователей этого провайдера. Многие пользователи используют собственные адресные пространства, в соответствии со спецификацией RFC 1918 и не имеют желания затрачивать время и средства на преобразование открытых IP-адресов для создания соединений внутренней сети. VPN-сети MPLS дают возможность использовать текущее адресное пространство без трансляции сетевых адресов (Network Address Translation - NAT) и адреса - как частные внутренние, так и открытые внешние. Использование службы трансляции NAT становится необходимым только в том случае, когда двум VPN-сетям с пересекающимися адресными пространствами требуется установить связь. Эта служба дает возможность использовать собственные незарегистрированные частные адреса и свободно осуществлять связь через открытую IP-сеть.
Соответствие стандартам
Коммутация MPLS может быть использована всеми разработчиками для обеспечения взаимодействия между сетями, содержащими оборудование различных производителей.
Гибкость сетевой структуры
Программное обеспечение Cisco IOS в сочетании е маршрутизаторами и коммутаторами Cisco позволяет провайдерам легко устанавливать межсетевые соединения с другими провайдерами для обеспечения глобального распространения технологии IP на нужные сети.
Сквозные службы задания приоритетов
Механизмы качества обслуживания обеспечивают пользователям необходимое качество коммуникаций на всем протяжении маршрута, а провайдерам позволяют гарантировать выполнение условий соглашений об уровне обслуживания (SLA). Технология MPLS обеспечивает расширяемость QOS и его распространение на многочисленные технологии сквозных соединений.
Объединение различных типов данных
Объединение в одном потоке (консолидация) обычных цифровых данных, голоса и видео позволяет провайдерам уменьшить капитальные расходы и затраты на поддержание работы сети.
Перераспределение потоков
Маршрутизация с перераспределением потоков и резервированием ресурсов (Traffic Engineering Routing with Resource Reservation - RRR), наряду с использованием расширений протокола RSVP позволяет провайдерам в максимальной степени использовать сетевые ресурсы и добиться оптимальной работы сети. Маршрутизация RRR позволяет оператору применять явно заданные маршруты и принудительно направлять по ним потоки данных, что заменяет традиционные методы IP-маршрутизации и предоставляет пользователю механизмы защиты и быстрого восстановления работы сети в случае отказа устройств. При этом достигается оптимизация работы недостаточно загруженных каналов и более эффективная маршрутизация.
Централизованное обслуживание
Построение VPN-сетей на 3-м уровне позволяет целевым образом предоставлять требуемые службы группам пользователей данной VPN. VPN-сеть должна не только предоставить провайдерам механизм частного подключения пользователей к intranet-службам, но и обеспечить способ гибкого предоставления дополнительных служб отдельным пользователям. При этом вопросы расширяемости приобретают исключительную важность, поскольку пользователи хотят использовать службы частным образом в своих внутренних и внешних сетях (intranet и extranet). Поскольку среды MPLS рассматриваются как частные внутренние сети, новые IP-службы могут быть использованы для следующих целей: · для многоадресатной рассылки;
· для обеспечения качества обслуживания;
· для поддержки телефонной связи между сетями VPN;
· для централизованных служб внутри сред VPN;
· для соединения "всех-со-всеми".
Интегрированная поддержка классов обслуживания
Уровень качества обслуживания представляет собой важное требование многих потребителей VPN-сетей технологии IP. Функции QOS позволяют выполнить два фундаментальн
Вывод
Термин "виртуальная частная сеть" (Virtual Private Network - VPN) используется для обозначения группы пользователей внутри некоторой сети. Сети VPN на базе протокола IP быстро становится основой объединения голосовых и видеослужб и служб обычных цифровых данных. Технологии IPSEC и MPLS представляют собой доминирующую тенденцию обеспечения консолидированных служб.
VPN-сети с установлением соединения могут быть созданы на базе инфрастуктур 2-го и 3-го уровней. Примером таких сетей на 2-м уровне могут служить VPN-сети Frame Relay и ATM. Примерами VPN-сетей с установлением соединения 3-го уровня могут служить среды которые используют туннельный протокол 2-го уровня IPSEC (L2TP), протокол пересылки 2-го уровня (Layer 2 Forwarding - L2F) и общую инкапсуляцию при маршрутизации (Generic Routing Encapsulation - GRE). Другим примером VPN-сетей с установлением соединения являются виртуальные сети удаленного доступа VPDN (Access VPDN).
VPN-сети без установления соединения не требуют предварительной установки логического или виртуального канала для создания канала связи между двумя оконечными точками. Такие сети 3-го уровня образуют основу одноранговой модели. При использовании данной модели обмен информацией происходит между маршрутизаторами СРЕ и маршрутизаторами провайдера службы. Примерами VPN-сетей без установления соединений могут служить обычные VPN-сети протокола IP и VPN-сети MPLS.
При создании VPN-сетей в качестве наилучших утвердились две технологии: MPLS и IPSEC. Выбор провайдером одной из них должен основываться на требованиях пользователей и обслуживаемых сегментах, на дополнительных службах, которые могут быть предложены пользователям, и на приоритетах собственной сети.
2. Исследование технологии MPLS VPN. Алгоритм настройки сетей MPLS VPN
Виртуальная частная сеть (VPN) представляет собой набор узлов, совместно использующих информацию маршрутизации 3-го уровня. Хотя VPN-сети технологии MPLS не используют процедуру установления соединения, при их создании удается объединить преимущества коммутации 2-го уровня с принципами маршрутизации с установлением соединения 3-го уровня. VPN-сети MPLS позволяют также обеспечить безопасность связи за счет того, что обмен информацией о маршрутизации происходит только между узлами, принадлежащими к данной VPN-сети.
Указанная выше особенность позволяет провайдеру создавать локальные и распределенные сети и предоставлять возможность выхода в среду Internet различным VPN-сетям по общей инфраструктуре, которая также может быть использована для предоставления служб IP, ATM и Frame Relay.
Функции VPN совместно с многопротокольной коммутацией по меткам (Multiprotocol Label Switching - MPLS) позволяют реализовать в сети провайдера расширяемые магистральные VPN-службы 3-го уровня на базе протокола IPV4. Такие службы могут быть развернуты в маршрутизируемой магистрали 3-го уровня, которая использует среду ATM [4]. В настоящей главе описан процесс развертывания технологии MPLS в маршрутизируемой магистрали. Любой из предложенных ниже подходов позволяет провайдеру предоставлять интегрированные VPN-службы в той же самой инфраструктуре, которая используется для предоставления услуг сети Internet или служб 2-го уровня, таких как VPN-службы с установлением соединения Frame Relay или ATM. В настоящее время протокол IP является единственными протоколом 3-го уровня, который поддерживается Cisco-реализациями средств MPLS совместно с VPN.
2.1 Принцип работы VPN-сетей MPLS
На рисунке 2.1 приведен пример VPN-сети, создаваемой провайдером. Возможность предоставлять пользователям расширяемые VPN-сети полностью отвечает интересам провайдера. Промышленные сети, которые построены на имеющихся или арендуемых частных инфраструктурах 2-го уровня, также могут использовать такие технологии.
Рисунок 2.1 - Виртуальная частная сеть MPLS
Ниже приведены различные компоненты технологии MPLS, используемые для создания VPN-сетей.
· Базовые маршрутизаторы MPLS (Р). Базовые маршрутизаторы, также называемые маршрутизаторами провайдера (Р router), не содержат маршрутов VPN-сетей. Вместе с другими LSR-устройствами провайдера они обычно образуют полносвязную или частично-связную топологию и осуществляют интерфейс с граничными маршрутизаторами провайдера (provider edge - РЕ router). Р-маршрутизаторы никогда не подсоединяются непосредственно к маршрутизаторам пользователя.
· Граничные маршрутизаторы сети MPLS (MPLS edge routers - РЕ). Маршрутизаторы точек присутствия, также известные как граничные маршрутизаторы провайдера (Provider Edge router - РЕ router), содержат VPN-маршруты для поддерживаемых ими сетей VPN. Они являются устройствами того же ранга, что и граничные маршрутизаторы пользователя (Customer Edge router - СЕ router) и поддерживают интерфейс с базовыми маршрутизаторами провайдера. РЕ-маршрутизаторы являются устройствами того же ранга, что и Р-маршрутизаторы, и соединены с ними или непосредственно с другими РЕ- маршрутизаторами.
· Граничные маршрутизаторы пользователя (Customer Edge router - СЕ router). Граничным маршрутизаторам пользователя не требуются функции MPLS, а для поддержки соединений они могут использовать обычные методы маршрутизации. Ранговая модель требует, чтобы узел пользователя поддерживал паритетную связь только с одним РЕ-маршрутизатором, в отличие от всех остальных СРЕ- или СЕ-маршрутизаторов, являющихся членами VPN-сети, которая построена на основе других технологий. СЕ-маршрутизаторы никогда непосредственно не подсоединяются к Р-маршрутизаторам.
· Маршрутизаторы пользователя (Customer router - С-router). Принадлежащим пользователю внутренним маршрутизаторам, также называемым С-маршрутизаторами, не требуется поддерживать функции MPLS, а для поддержки соединений между собой и с СЕ-маршрутизаторами они могут использовать обычные методы маршрутизации.
VPN-сети включают в себя устройства пользователя, подсоединенные к СЕ-маршрутизаторам. СЕ-маршрутизаторы любой из VPN-сетей могут быть подсоединены к любому из РЕ-маршрутизаторов провайдера. РЕ-маршрутизаторы соединены между собой через базовую сеть Р-маршрутизаторов.
2.1.1 Маршрутизация и пересылка пакетов в сетях VPN
Каждая VPN-сеть логически связана с одним или более комплексов маршрутизации и пересыпки (VPN Routing and Forwarding instance - VRF). Комплекс VRF определяет членство в VPN-сети узла пользователя, подсоединенного к РЕ-маршрутизатору. Экземпляр VRF состоит из таблицы IP-маршрутизации, полученной из нее таблицы экспресс-коммутации корпорации Cisco (Cisco Express Forwarding - CEF), набора интерфейсов, использующих такую таблицу, и набора правил и параметров протокола маршрутизации, управляющих информацией таблицы маршрутизации.
Между узлами пользователя и VPN-сетями не обязательно существует однозначное соответствие. Как показано на рисунке 2.2, узел может одновременно принадлежать к нескольким VPN-сетям. Однако комплекс VRF может задавать только одну сеть VPN. VRF-комплекс узла пользователя содержит все маршруты, доступные этому узлу из VPN-сетей, членом которых он является.
Для каждого комплекса VRF информация о пересылке пакетов хранится в таблице IP-маршрутизации и в таблице CEF. Для каждого экземпляра VRF поддерживается отдельный набор таблиц маршрутизации и таблиц CEF. Такие таблицы предотвращают выход маршрутной информации за границы VPN-сети и направление пакетов извне VPN-сети на маршрутизатор, находящийся внутри структуры VPN.
Каждый пользователь VPN-сети должен сохранять уникальность своего адресного IP-пространства. Однако если принято решение об объединении двух пользовательских сетей для образования единой сети путем контролируемого импорта маршрутов, то одни должны сохранять уникальность своей IP-адресации, избегая наложения IP-адресов.
Для взаимного обмена пакетами протокола IP версии 4 РЕ-маршрутизаторы используют глобальную IP-таблицу. VRF-таблицы IP-маршрутизации и пересылки используются для обмена информацией внутри VPN-сети. Поскольку РЕ-маршрутизатор может содержать несколько комплексов VRF, каждая комбинация VRF-таблицы IP-маршрутизации и CEF-таблицы пересылки данных может рассматриваться как виртуальный маршрутизатор внутри физического РЕ-маршрутизатора.
Каждая комбинация VRF-таблиц IP-маршрутизации и пересылки содержит маршруты, принадлежащие к одной или более пользовательских VPN-сетей.
Ограничение протокола маршрутизации, используемого внутри VPN-сети, одной VRF-таблицей позволяет осуществлять наложение нескольких VPN-сетей (например, поддержка внешних по отношению к сети пользователя структур VPN). Интерфейсы РЕ-маршрутизаторов логически связаны с индивидуальными комплексами VRF. Информация о маршрутизации, полученная через эти интерфейсы, логически связана с сконфигурированными экземплярами VRF и называется контекстом маршрутизации (routing context). Некоторые протоколы маршрутизации, такие как RIP, поддерживают одновременно несколько контекстов одного протокола, в то время как другие протоколы, такие как OSPF, требуют отдельной копии процесса протокола маршрутизации для каждого комплекса VRF.
Управление распространением информации о маршрутизации в VPN-сети осуществляется путем использования сообществ целевых маршрутов VPN, реализуемых расширенным форматом сообществ протокола граничного шлюза (Border Gateway Protocol communities - BGP communities). Ниже описывается распространение информации о маршрутизации в сетях VPN.
Когда VPN-маршрут, полученный от СЕ-маршрутизатора, становится известным внутреннему многопротокольному IBGP (Multiprotocol IBGP - MP-IBGP), список атрибутов расширенного сообщества целевых маршрутов VPN логически связывается с ним в момент его экспорта из локального комплекса VRF для представления другим VRF-комплексам. Обычно список значений целевых маршрутов сообщества устанавливается из экспортированного списка целевых маршрутов, логически связанных с комплексом VRF, от которого этот маршрут получен.
Список импорта расширенных сообществ целевых маршрутов логически связан с каждым комплексом VRF. Список импорта определяет атрибуты расширенного сообщества целевых маршрутов, которые необходимы для того, чтобы маршрут мог быть импортирован в экземпляр VRF. Например, если список импорта для конкретного комплекса VRF включает в себя сообщества целевых маршрутов А, Б и В, то любой маршрут VPN, по которому передаются целевые маршруты расширенных сообществ А, Б и В, импортируется в данный комплекс VRF.
2.1.2 Распространение маршрутной информации в VPN-сети
Граничный маршрутизатор провайдера службы (service Provider Edge - РЕ router) может узнать IP-префикс от граничного маршрутизатора пользователя (Customer Edge - СЕ router) на основе статической конфигурации, посредством сеанса протокола BGP с С Е-маршрутизатором или через сеансы протоколов RIP версии 2 или OSPF с СЕ-маршрутизатором. IP-префикс является членом семейства адресов протокола IP четвертой версии. После того как РЕ-маршрутизатор узнает IP-префикс, он преобразует его в VPN-префикс протокола IP версии 4, комбинируя его с 64-битовым признаком маршрута (Route Distinguisher - RD). Полученный 96-битовый префикс является членом семейства VPN-адресов протокола IP версии 4. Он служит для уникальной (однозначной) идентификации адреса пользователя даже в том случае, когда узел пользователя использует незарегистрированный частный IP-адрес.
Признак маршрута, используемый для генерации VPN-префикса протокола IP версии 4, задается командой конфигурирования, связанной с VRF-комплексом на РЕ-маршрутизаторе.
BGP является протоколом с очень высокой степенью расширяемости, который может поддерживать большое количество VPN-сетей. Данный протокол также поддерживает взаимный обмен маршрутной информацией между маршрутизаторами, которые непосредственно не связаны друг с другом. Это возможно в тех случаях, когда имеется соответствующий протокол IGP, такой как OSPF или IS-IS, который обеспечивает соединения 3-го уровня между BGP-устройствами одного ранга. Протокол BGP также обладает достаточной гибкостью для передачи необязательных параметров (атрибутов), что делает его предпочтительным при использования совместно со структурой MPLS плюс VPN.
Протокол BGP распространяет информацию о достижимости VPN-префиксов протокола IP версии 4 для каждой VPN-сети. Коммуникация протокола BGP происходит на двух уровнях: внутри автономной системы (внутренний протокол, или процесс BGP или IBGP) и между автономными системами (внешний протокол, или процесс BGP или EBGP). Сеансы РЕ-РЕ или PE-RR (рефлектор маршрута, Route Reflector - RR) представляют собой сеансы IBGP, а сеансы РЕ-СЕ являются сеансами EBGP. Для каждой пользовательской VPN-сети требуется отдельный сеанс протокола EBGP между РЕ- и СЕ-маршрутизаторами.
Протокол BGP распространяет среди РЕ-маршрутизаторов информацию о достижимости для VPN-префиксов среды IP версии 4 посредством расширений многопротокольного BGP, которые включают поддержку семейств адресов, отличных от адресов протокола IP версии 4[8]. Это осуществляется таким образом, чтобы маршруты VPN-сети были известны только ее членам, что позволяет им устанавливать связь друг с другом. Семейство адресов создается для того, чтобы многопротокольный протокол граничного шлюза (Multiprotocol Border Gateway Protocol - MP-BGP) мог передавать информацию протоколов, отличных от IP четвертой версии. Проект расширенных сообществ протокола BGP определяет два новых сообщества, называемых адресатом маршрута (route target) и источником маршрута (route origin). Адресат маршрута задает стратегию импорта и экспорта для комплекса VRF. В реализации Cisco источник маршрута называется узлом источника (Site of Origin - SOO) и используется для предотвращения петель между узлами. Протокол MP-BGP распространяет информацию о расширенном сообществе наряду с другими BGP-атрибутами между РЕ-маршрутизаторами.
РЕ-маршрутизаторы поддерживают и сохраняют маршруты для VPN-сетей, непосредственно соединенных друг с другом. Данная функция повышает степень расширяемости за счет импортирования только тех VPN-маршрутов протокола IP версии 4, которые логически связаны с VRF-комплексами, сконфигурированными на РЕ-маршрутизаторе. Однако протокол BGP хранит в своей таблице все BGP-маршруты, независимо от того, используются ли они VRF-комплексами. Такой подход приводит к избыточным затратам ресурсов, поскольку используется часть памяти DRAM и создается дополнительная служебная нагрузка, которая занимает часть полосы пропускания при передаче этих сообщений другим РЕ-маршрутизаторам. Функции обновления и автоматической фильтрации маршрутов (Route Refresh and Automatic Route Filtering) позволяют уменьшить объем информации BGP-маршрутизации, которую требуется поддерживать РЕ-маршрутизаторам. Однако ни один из указанных механизмов не предотвращает поступления ненужной информации на РЕ-маршрутизатор.
В случае изменения правил РЕ-маршрутизатора, таких как добавление, удаление или модификация VRF, функция обновления маршрута обеспечивает отправку соседним устройствам запроса о повторной передаче обновленных маршрутов.
Функция автоматической фильтрации маршрутов (Automatic Route Filtering) фильтрует маршруты VPN, которые содержат записи, использующие расширенные сообщества адресатов маршрутов, не совпадающие ни с одним из VRF-комппексов РЕ-маршрутизаторов.
Выходные фильтры маршрутов (Outbound Route Filter- ORF) представляют собой локально сконфигурированные наборы правил для исходящей информации, предотвращающие выход из источника нежелательных маршрутов.
2.1.3 Пересылка пакетов в сети MPLS
При использовании коммутации MPLS пакеты направляются к пунктам назначения на основе маршрутной информации, содержащейся в таблице IP-маршрутизации и в CEF-таблице комплекса VRF. РЕ-маршрутизатор связывает метку с префиксом каждого пользователя, полученным от СЕ-маршрутизатора, и включает метку в информацию о достижимости сети для данного префикса, которую он сообщает другим РЕ-маршрутизаторам. Отправляя пакет, полученный от СЕ-маршрутизатора по сети провайдера, РЕ-маршрутизатор присваивает этому пакету метку, полученную от РЕ-маршрутизатора пункта назначения. Когда РЕ-маршрутизатор получает помеченный пакет, он удаляет метку и использует ее для направления пакета на требуемый СЕ-маршрутизатор.
Р-маршрутизаторы провайдера не принимают участия в процессе работы протокола MP-BGP и не передают VPN-маршруты. Они не нужны для принятия решений о маршрутизации, основанных на адресах VPN-сетей. Р-маршрутизаторы отправляют пакеты на основе значений меток, назначенных IP-пакетам. Эти маршрутизаторы участвуют в обмене метками коммутации MPLS, однако не являются оконечными устройствами VPN-сетей MPLS.
РЕ-маршрутизаторы обычно идентифицируются уникальными идентификаторами, такими как IP-адреса петлевого интерфейса с 32-битовыми масками (маршруты узлов - host routes). Такие адреса используются вместе с BGP-атрибутом следующего транзитного перехода для VPN-маршрутов, объявленных РЕ-маршрутизаторами. Маршрутам хостов метки назначаются Р-маршрутизаторами; эти метки затем передаются всем соседним устройствам. MPLS-протокол LDP обеспечивает получение всеми РЕ-маршрутизаторами метки, связанной с данным РЕ-маршрутизатором. Сеть MPLS готова к обмену VPN-пакетами в тот момент, когда входной РЕ-маршрутизатор получает метку для выходного РЕ-маршрутизатора.
Пересылка на основании метки по магистрали провайдера базируется либо на технологии динамической коммутации по метке, либо на маршрутах перераспределения потоков. При пересечении магистрали пакет данных пользователя содержит два уровня меток. Первая метка направляет пакет к требуемому РЕ-маршрутизатору следующего транзитного перехода, а вторая - указывает комплекс VRF, логически связанный с выходным интерфейсом СЕ-маршрутизатора пункта назначения. Такой двухуровневый механизм обычно называется иерархическим тегом, или коммутацией по меткам.
Получив через какой-либо интерфейс от СЕ-маршрутизатора IP-пакет, РЕ-маршрутизатор логически связывает его с комплексом VRF, в результате чего создается нижняя метка (bottom label), логически связанная с выходным РЕ-маршрути зато ром (который идентифицирует VRF-комплекс адресата маршрута и выходной интерфейс выходного РЕ-маршрутизатора). Из глобальной таблицы пересылки РЕ-маршрутизатор получает также другую метку, называемую верхней (top label), которая указывает РЕ-маршрутизатор следующего транзитного перехода; после этого РЕ-маршрутизатор помещает обе метки в стек меток MPLS. Этот стек меток присоединяется к VPN-пакету и направляется к следующему транзитному переходу. Р-маршрутизаторы в сети MPLS анализируют верхнюю метку и направляют пакет по сети к требуемому узлу.
На выходном РЕ-маршрутизаторе верхняя метка удаляется и исследуется нижняя метка, указывающая VRF-комплекс адресата маршрута и выходной интерфейс. После этого нижняя метка также удаляется, и IP-пакет посылается на требуемый СЕ-маршрутизатор.
2.2 Проектирование сети
2.2.1 Выбор протоколов используемых на участке СЕ-РЕ
Протоколы маршрутизации выбираются, исходя из характеристик, перечисленных ниже.
· Оптимальность описывает способности протокола и алгоритма по выбору наиболее оптимального маршрута на основании метрик и их весовых значений, используемых при расчетах. Например, некий протокол может использовать счетчик узлов и задержки для определения метрик; задержки имеют более высокий вес при учете окончательного значения, но зато их сложнее рассчитать.
· Простота и низкие накладные расходы. Идеальная эффективность работы алгоритма маршрутизации может быть достигнута, когда загрузка процессора и памяти маршрутизатора минимальны. Эта характеристика важна для масштабируемости сети, которая в предельном случае может быть расширена до размеров сети Internet.
· Устойчивость и надежность. Алгоритм маршрутизации должен корректно функционировать даже при наличии нестандартных и непредвиденных обстоятельств, таких, как сбой оборудования, высокая загрузка и ошибки эксплуатации.
· Быстрая конвергенция. Конвергенцией называется процесс установления договоренности между всеми маршрутизаторами об имеющихся маршрутах. Когда в сети происходят события, оказывающие влияние на доступность маршрутизатора, для установления повторного соединения требуются перерасчеты. Алгоритмы маршрутизации, не обладающие быстрой конвергенцией, могут вызвать сбой или значительную задержку при доставке информации.
· Гибкость. Алгоритм и протокол маршрутизации должны быстро адаптироваться к разнообразным изменениям в сети. Изменениями в сети считаются изменения в состоянии устройств, в частности, маршрутизаторов, изменение пропускной способности каналов, изменение размера очередей или сетевой задержки.
· Масштабируемость. Некоторые протоколы разработаны таким образом, что могут быть масштабируемы лучше других. Важно помнить, что если планируется расширение сети (или такая возможность в принципе предусматривается), следует отдать предпочтение протоколу EIGRP, нежели RIP.
Первоочередная задача алгоритма маршрутизации при обновлении таблицы маршрутизации состоит в определении наилучшей информации, которая должна быть внесена в таблицу. Алгоритмы маршрутизации используют различные метрики для определения наилучшего маршрута, но каждый алгоритм интерпретирует выбор лучшего варианта пути по-своему. Алгоритм маршрутизации рассчитывает число, называемое метрикой, для каждого сетевого маршрута. Сложные алгоритмы маршрутизации могут основывать выбор маршрута на основе нескольких параметров, объединяя их в одну общую метрику, как показано на рисунке 2.3. Чем меньше метрика, тем лучше выбранный маршрут.
Рисунок 2.3 - Метрики маршрутизации
Метрики могут быть вычислены на основе одной или нескольких характеристик. Наиболее часто в алгоритмах маршрутизации используются параметры метрики, которые перечислены ниже.
· Ширина полосы пропускания представляет собой средство оценки объема информации, который может быть передан по каналу связи (канал Fast Ethernet со скоростью 100 Мбит/с более предпочтителен, чем выделенная линия со скоростью 512 Кбит/с).
· Задержка - промежуток времени, необходимый для перемещения пакета по каждому из каналов связи от отправителя получателю. Задержка зависит от пропускной способности промежуточных каналов, размера очередей в портах маршрутизаторов, загрузки сети и физического расстояния.
· Загрузка - объем операций, выполняемых сетевым устройством, таким, как маршрутизатор, или средняя загруженность канала связи.
· Надежность обычно обозначает относительное значение количества ошибок для каждого из каналов связи.
· Счетчик транзитных узлов - количество маршрутизаторов, через которые должен пройти пакет, прежде чем достигнет пункта назначения. Когда пакет проходит через маршрутизатор, значение счетчика узлов увеличивается на единицу. Путь, для которого значение счетчика узлов равно четырем, означает, что данные, отправленные по этому маршруту, пройдут через четыре маршрутизатора, прежде чем будут получены адресатом. Если существует несколько путей, маршрутизатор выбирает тот, для которого значение счетчика узлов наименьшее.
· Стоимость - значение, обычно вычисляемое на основе пропускной способности, денежной стоимости или других единиц измерения, назначаемых администратором.
Внутренние и внешние протоколы маршрутизации
Маршрутизаторы используют протоколы маршрутизации для обмена маршрутной информацией. Иными словами, протоколы маршрутизации определяют, как маршрутизируются протоколы передачи данных (т.е. маршрутизируемые). Как показано на рисунке 2.4, двумя семействами протоколов маршрутизации являются протоколы внутренних шлюзов (Interior Gateway Protocol - IGP) и протоколы внешних шлюзов (Exterior Gateway Protocols - EGP). Классификация всех протоколов по этим двум семействам основана на принципе их работы по отношению к автономным системам.
Рисунок 2.4 - Протоколы EGP и IGP
Автономной системой (Autonomous System - AS) называется сеть или группа сетей, находящихся под единым административным контролем, как, например, домен Cisco.com. Автономная система состоит из маршрутизаторов, которые для внешнего мира (т.е. для других сетей) выглядят как единая сеть.
Протоколы класса IGP маршрутизируют данные внутри автономных систем. К классу IGP относятся следующие протоколы маршрутизации: · протоколы RIP и RIP V2;
· IGRP;
· EIGRP;
· OSPF;
· протокол обмена данными между промежуточными системами (Intermediate system-to-Intermediate System - IS-IS).
Протоколы класса EGP маршрутизируют данные между автономными системами. Протокол BGP является наиболее широко известным представителем класса EGP.
Дистанционно-векторные и протоколы маршрутизации с учетом состояния
Протоколы маршрутизации могут подразделяться по самым разным критериям, например, по сфере применения, т.е. по принадлежности к EGP- или IGP-типу. Другой классификацией, описывающей протоколы маршрутизации, может быть деление по используемым алгоритмам: протокол использует дистанционно-векторный (distanse-vector) алгоритм или работает с учетом состояния канала (link-state)[16]. Если принадлежность маршрутизаторов к EGP- или IGP-типу описывает их физическое взаимодействие, то использование алгоритмов маршрутизации по вектору расстояния или состоянию канала описывает характер взаимодействия маршрутизаторов между собой при рассылке маршрутных обновлений.
Алгоритм дистанционно-векторной маршрутизации определяет направление (вектор) и расстояние (счетчик узлов) для каждого из каналов связи, образующих сеть. При использовании этого алгоритма маршрутизатор периодически (например, каждые 30 секунд) пересылает всю или часть своей таблицы маршрутизации своим соседям. Периодические обновления рассылаются маршрутизатором, использующим дистанционно-векторный алгоритм, даже если не произошли никакие изменения в сети. Получив таблицу маршрутизации от своего соседа, маршрутизатор может проверить уже известные маршруты и внести необходимые изменения на основе полученного обновления. Такой процесс иногда называют ‘‘маршрутизацией по слухам’’, поскольку представление маршрутизатора о структуре сети базируется на данных его соседей. Дистанционно-векторные протоколы маршрутизации основаны на алгоритме Беллмана-Форда (Bellman-Ford) и используют его для поиска наилучшего маршрута.
Дистанционно-векторный алгоритм служит основой для следующих протоколов: · для протокола маршрутной информации (Routing Information Protocol - RIP) - одного из наиболее широко распространенных протоколов IGP-типа, использующего в качестве метрики счетчик узлов;
· для протокола маршрутизации внутреннего шлюза (Interior Gateway Routing Protocol - IGRP); корпорация Cisco разработала этот протокол для маршрутизации в больших гетерогенных сетях;
· для усовершенствованного протокола маршрутизации внутреннего шлюза (Enhanced Interior Gateway Routing Protocol - EIGRP), представляющего собой улучшенную версию IGRP от корпорации Cisco; этот протокол имеет исключительно быструю конвергенцию, работает значительно более эффективно, чем его предшественник, и сочетает в себе все преимущества дистанционно-векторных алгоритмов и протоколов с учетом состояния каналов.
Протоколы маршрутизации, использующие алгоритм с учетом состояния каналов, были разработаны для преодоления ограничений, связанных с использованием дистанционно-векторных протоколов. Алгоритм с учетом состояния канала дает возможность протоколам быстро реагировать на изменения сети, рассылать обновления только в случае появления изменений и рассылать периодические обновления (называемые обновлениями состояния канала) через большие промежутки времени, примерно один раз каждые 30 минут. Когда состояние канала изменяется, устройство, обнаружившее такое изменение, формирует извещение о состоянии канала (Link-State Andvertisement - LSA), относящееся к этому каналу (маршруту), и рассылает его всем соседствующим маршрутизаторам. Каждый маршрутизатор получает копию извещения о состоянии канала и на этом основании обновляет свою базу состояния каналов (топологическую базу), после чего пересылает копию извещения всем своим соседям. Такая массовая рассылка извещения нужна, чтобы гарантировать, что все маршрутизаторы обновят свои базы данных и создадут обновленную таблицу маршрутизации, которая отражает новую топологию. База данных состояния канала используется для обнаружения наилучшего сетевого пути. Маршрутизация с учетом состояния канала основана на алгоритме первоочередного определения кратчайшего маршрута (Shortest Path First - SPF) Дейкстра (Dijkstra) для построения SPF-дерева, на основе которого принимается решение о том, какой маршрут является наилучшим. Наилучший (кратчайший) маршрут выбирается из дерева первоочередного определения кратчайшего маршрута и помещается в таблицу маршрутизации. Примерами протоколов, использующих алгоритм с учетом состояния каналов, являются OSPF и IS_IS.
Протоколы маршрутизации
В этом разделе описаны метрики, загрузка сети и другие важные характеристики наиболее широко используемых протоколов маршрутизации.
Протокол RIP
Протокол маршрутной информации (Routing Information Protocol - RIP) использует счетчик количества транзитных узлов для определения направления и расстояния для любого из каналов сети. Если существуют несколько маршрутов к получателю, протокол RIP выберет тот из них, который имеет наименьшее значение счетчика транзитных узлов. Поскольку счетчик является единственной метрикой, используемой протоколом RIP, выбранный маршрут далеко не всегда оказывается кратчайшим. Протокол RIP версии 1 позволяет использовать только классовую (classfull) маршрутизацию. Это означает, что все сетевые устройства должны иметь одинаковую маску сети, поскольку RIP версии 1 не включает в маршрутные обновления информацию о ней.
Протокол RIP версии 2 использует так называемую префиксную маршрутизацию (prefix routing) и пересылает маску сети вместе с анонсами таблиц маршрутизации: именно за счет этой функции обеспечивается поддержка бесклассовой маршрутизации. Благодаря протоколам бесклассовой маршрутизации можно использовать подсети с разной длины масками внутри одной и той же сети. Использование масок подсети разной длины внутри одной сети называется технологией масок переменной длины (Variable-Length Subnet Mask -VLSM).
Протокол IGRP
Протокол маршрутизации внутреннего шлюза (Interior Gateway Routing Protocol - IGRP), разработанный корпорацией Cisco, использует дистанционно-векторный алгоритм и предназначен для решения проблем, возникающих при маршрутизации в больших сетях, где невозможно использовать такие протоколы, как RIP. Протокол IGRP способен выбирать самый быстрый путь на основе задержки, пропускной способности, загрузки и надежности канала. Стандартно протокол IGRP использует в качестве 24-битовых метрик только пропускную способность и задержку. Этот протокол имеет значительно большее максимальное значение счетчика узлов, чем протокол RIP, что дает возможность использовать его в более крупных сетях. Протокол IGRP позволяет использовать только классовую маршрутизацию.
Протокол EIGRP
Так же, как и IGRP, протокол EIGRP (Enhanced Interior Gateway Routing Protocol - расширенный протокол маршрутизации внутреннего шлюза) был разработан корпорацией Cisco и является ее фирменным продуктом. Этот протокол - усовершенствованная версия протокола IGRP, использует 32-битовые метрики. В частности, протокол EIGRP очень эффективен благодаря более быстрой конвергенции и низкому потреблению пропускной способности. Он является усовершенствованным вариантом протокола, работающего на основе дистанционно-векторного алгоритма. Протокол EIGRP также использует некоторые функции алгоритмов с учетом состояния канала. Вот почему использование термина гибридный тоже вполне законно при описании протокола IGRP.
Протокол OPFS
Открытый протокол поиска кратчайшего пути (Open Shortest Path First - OSPF) использует алгоритм маршрутизации по состоянию каналов. Проблемная группа проектирования Internet (IETF) разработала OSPF в 1988 году [6]. Самая последняя версия этого протокола, OSPF версии 2, описана в спецификации RFC 2328. OSPF является протоколом IGP-типа, что означает, что он распространяет маршрутную информацию между маршрутизаторами, находящимися в единой автономной системе. Протокол OSPF был разработан для использования в больших сетях, в которых невозможно использование протокола RIP.
Протокол IS-IS
Протокол обмена маршрутной информацией между промежуточными системами (Intermediate System-to-Intermediate System - IS-IS) использует алгоритм маршрутизации по состоянию канала для стека протоколов модели OSI. Он распространяет маршрутную информацию для протокола сетевого обслуживания (Connectionless Network Protocol - CLNP), для соответствующих ISO-служб сетевого обслуживания без установления соединения (Connectionless Network Service - CLNS). Интегрированный протокол IS-IS является вариантом реализации протокола IS-IS для маршрутизации нескольких сетевых протоколов. Интегрированный протокол IS-IS объединяет CLNP-маршруты с информацией об IP-сетях и масках подсетей. Благодаря соединению ISO CLNS и IP-маршрутизации в одном протоколе интегрированный протокол IS-IS предоставляет альтернативу протоколу OSPF при использовании в IP-сетях. Он может быть использован для IP-маршрутизации, ISO-маршрутизации и для комбинации этих двух вариантов.
Протокол BGP
Протокол граничного шлюза (Border Gateway Protocol - BGP) является примером протокола EGP-типа. Протокол BGP обеспечивает обмен маршрутной информацией между автономными системами и гарантирует выбор маршрутов без зацикливания. Он является базовым протоколом извещений маршрутизации, использующимся большинством крупных компаний и поставщиками услуг доступа к Internet (ISP). Протокол BGP-4 стал первой версией протокола BGP, в котором встроена бесклассовая междоменная маршрутизация (Classless INTERDOMAIN Routing - CIDR), и первым, использующим механизм агрегации маршрутов. В отличие от распространенных протоколов IGP-типа, таких, как RIP, OSPF и EIGRP, BGP не использует в качестве метрики счетчик узлов, пропускную способность или задержку в сети. Вместо этого протокол BGP принимает решение о выборе маршрута, руководствуясь указанными сетевыми правилами, используя различные маршрутные BGP-атрибуты.
Обоснование выбора
Проанализировав эту информацию и зная, что пограничные РЕ-маршрутизаторы провайдера создают отдельную таблицу маршрутизации для каждого клиента. Причем эта таблица маршрутизации прикрепляется к тому же интерфейсу, на котором работает клиент и использует клиентский протокол маршрутизации. Можно сделать вывод, что для провайдера не имеет значения на каком протоколе построена сеть клиента.
2.2.2 Выбор оборудования
Cisco 7200, одни из самых распространенных в отрасли универсальных граничных маршрутизаторов для крупных предприятий и операторов связи. Маршрутизаторы серии Cisco 7200 отличаются превосходным соотношением цена/производительность, предлагая самый широкий спектр поддерживаемых интерфейсов и непревзойденный набор функций. Компактные по размерам и построенные на высокопроизводительных модульных процессорах, эти устройства отличаются самой высокой в отрасли эксплуатационной надежностью и удобством в управлении. Благодаря модульной архитектуре эти маршрутизаторы позволяют создавать масштабируемые решения, отвечающие самым различным требованиям к плотности, производительности и ассортименту услуг, одновременно обеспечивая защиту инвестиций с учетом будущего развития сети [1].
В числе преимуществ маршрутизаторов серии Cisco 7200: · поддержка самого широкого спектра функций IP/MPLS в программном обеспечении Cisco IOS (управление качеством обслуживания, агрегирование широкополосных подключений, безопасность, мультисервисный доступ, мультипротокольная коммутация на основе меток и другие);
· широкий ассортимент гибких, модульных интерфейсов (от DS0 до OC12);
· поддержка интерфейсов Fast Ethernet, Gigabit Ethernet, Packet Over Sonet и других;
· полностью модульная конструкция в формате 3RU;
· полная поддержка терминации L2TP и PPP;
· поддержка до 16000 широкополосных абонентских сессий;
· акселератор услуг на базе технологии Cisco PXF;
· поддержка различных протоколов;
· низкие первоначальные капиталовложения;
· масштабируемость и гибкость; идеально подходят для модернизации сетей.
Рисунок 2.5 - Маршрутизатор Cisco серии 7200 в разобранном виде
Маршрутизаторы серии Cisco 7200 предназначены для использования в качестве центрального высокопроизводительного маршрутизатора крупных сетей. Имея широкий выбор доступных интерфейсных модулей (порт-адаптеров) он может быть подключен практически к любой сети, а возможности операционной системы Cisco IOS, позволяют эффективно маршрутизировать любой трафик при практическом отсутствии каких-либо ограничений на конфигурацию сети.
Это позволяет, в частности, использовать маршрутизаторы серии 7200 для объединени
Список литературы
1. CISCO Internetworking Technology Overview/ пер. В. Плешакова. URL: .
4. Берлин А. Н. Телекоммуникационные сети и устройства. // Интернет-университет информационных технологий ИНТУИТ.ру. - М.: ЗАО «Издательство БИНОМ», 2008.
6. Бройдо В. Вычислительные системы, сети и телекоммуникации. СПБ.: Питер, 2004 г. 688 с.
7. Булдырина Н.В., Шуваров В.П. Телекоммуникационные сети с многопротокольной коммутацией по меткам (MPLS) - Санкт-Петербург, Горячая Линия - Телеком, 2008 г.- 446 с.
8. Гейн Л. Основы MPLS. - Индианаполис: Cisco Press, 2007. - 651 с.
9. Гольдштейн А.Б., Гольдштейн Б.С Технология и протоколы MPLS. - СПБ.: БХВ - Санкт-Петербург, 2005. - 304 с
10. Гулевич Д. С. Сети связи следующего поколения. // Интернет-университет информационных технологий ИНТУИТ.ру. М.: ЗАО «Издательство БИНОМ», 2007.
11. Гучард Б. Архитектура MPLS и VPN. - Индианаполис: Cisco Press, 2006. -504 с.
12. Захватов М. Построение виртуальных частные сетей (VPN) на базе технологии MPLS. - М.: Cisco Systems, 2011. - 52 с.
13. Кульгин М. Е. Технологии корпоративных сетей. - СПБ: Питер, 2009 г.
14. Олвейн В. Структура и реализация современной технологии MPLS. - М.: Издательский дом «Вильямс», 2009. - 480 с.
15. Основы организации сетей Cisco. Том 1. (Третье издание) М.: Вильямс, 2007 г., 512 с.
16. Олифер В. Г. Компьютерные сети. Принципы, технологии, протоколы / В. Г Олифер, Н.А. Олифер. - СПБ.: Питер, 2010. - 429 с.
17. Проект OPENNET, статьи по открытому ПО и сетям - портал [Электронный ресурс]. - Режим доступа: . Дата обращения: 17.06.2013.
18. Редди К. Построение MPLS сетей. - Индианаполис: Cisco Press, 2010. - 408 с.
19. Росляков А.В. Виртуальные частные сети. Основы построения и применения. СПБ.: Эко-Трендз, 2008 г.- 304 с.
20. Трибунский Д. С., Шувалов В. П. Проектирование сетей с многопротокольной коммутацией по меткам.- Санкт-Петербург, Горячая Линия - Телеком, 2010 г.- 146 с.
21. Таненбаум Э. Компьютерные сети.- СПБ.: Питер, 2007 г., 992 г.