techniki budowy sieci vpn

Piotr ONISZCZUK*

Sieci operatorskie: techniki budowy

sieci VPN

Prze³¹czaæ czy rutowaæ – oto jest pytanie

terach du¿ych sieci operatorskich. Technika MPLS wydaje siê

jednak byæ ca³kiem skutecznym panaceum na tego typu bol¹cz-

Debata nad wyborem techniki: prze³¹czanie czy rutowanie jest

ki, jeœli tylko zostanie wzbogacona o niezbêdn¹ dodatkow¹ funk-

niemal¿e tak stara, jak sam œwiat sieci transmisji danych.

cjonalnoœæ.

W przypadku pierwszych takich sieci problem by³ zazwyczaj

sprowadzany do rozwa¿añ dotycz¹cych wyboru warstwy modelu

PODEJŚCIE „VPN WARSTWY

ISO−OSI, w której odbywa³ siê w³aœciwy proces obróbki strumie-

ni danych pochodz¹cych od u¿ytkowników i ich logicznych grup.

TRZECIEJ”

Takie grupy formowa³y abstrakcyjne sieci, które z punktu widze-

nia operatora s¹ wydzielon¹ prywatn¹ sieci¹ danych – VPN ( Vir-

Historycznie rzecz bior¹c technika MPLS VPN warstwy trze-

tual Private Network).

ciej by³a jednym z pierwszych pomys³ów na budowê skalowal-

Mo¿na powiedzieæ, ¿e dziœ problem ten wyst¹pi³ ponownie –

nych sieci VPN. Model ten opiera siê na IETF ( Internet Engine-

tym razem osoby odpowiedzialne za budowê sieci i wdra¿anie

ering Task Force) RFC ( Request for Comments) – RFC2547.

us³ug VPN stoj¹ przed dylematem, jak¹ wybraæ technikê do re-

Rozwi¹zanie to, znane ¿argonowo jako „2547 VPNs”, obecnie

alizacji sieci VPN. Poniewa¿ mówimy o sieciach, których budo-

zosta³o ju¿ wprowadzone w wielu sieciach, w³¹czaj¹c w to szkie-

wa dopiero siê rozpocznie, wybór prawdopodobnie bêdzie doty-

letowe sieci IP/PMLS takich operatorów, jak: AT&T, Bell Canada

czy³ metod realizacji wykorzystuj¹cych technikê MPLS ( Multi-

i Global Crossing.

-Protocol Label Switching). Przysz³y operator stoi wiêc przed

Jak dzia³aj¹ VPN „zgodne z RFC2547”? Samo RFC2547 wy-

wyborem: technik VPN warstwy 3 ISO-OSI opartych na protoko-

jaœnia to w sposób nastêpuj¹cy: Technika MPLS jest u¿yta do

le BGP ( Border Gateway Protocol) lub technik VPN opartych na

transmisji danych u¿ytkownika w samym szkielecie sieci, zaœ

warstwie 2 ISO-OSI korzystaj¹cych z tunelowania w technice

protokó³ BGP jest wykorzystany do dystrybucji informacji rutingo-

MPLS.

wych ka¿dego VPN w obrêbie sieci szkieletowej. Ka¿da sieæ

Celem tego artyku³u jest próba objaœnienia zasady dzia³ania

VPN jest tutaj w zasadzie prywatn¹ sieci¹ IP dzia³aj¹c¹

ka¿dej z tych technik oraz u³atwienie dokonania wyboru sposobu

w wykorzystaniem w³asnych prywatnych planów adresowych IP

implementacji sieci VPN w sieci operatora.

( Internet Protocol) i tablic VRF w ka¿dym z ruterów PE ( Provider

Edge), do których s¹ bezpoœrednio do³¹czone rutery klienta CE

( Customer Edge).

Trochê informacji o podstawach

Informacje o osi¹galnoœci (rutingu) poszczególnych urz¹dzeñ

CE (i do³¹czonych do nich hostów/sieci klienta) rozprowadza siê

Generalnie mo¿na powiedzieæ: cel jest prosty. Operator powi-

wykorzystuj¹c dobrze znany protokó³ BGP, do którego wprowa-

nien zbudowaæ sieæ, która dla klienta – w sposób mo¿liwie naj-

dzono pewne modyfikacje i nazwano MP−BGP ( Multi-Protocol

prostszy – bêdzie stanowi³a przed³u¿enie jego prywatnej sieci

Border Gateway Protocol).

LAN ( Local Area Network). W idealnym œwiecie rezultatem takie-

Zale¿noœci w samym procesie rutingu pomiêdzy ruterem PE

go procesu powinna byæ prosta, szybka i niezawodna sieæ ³¹cz¹-

a ruterem CE s¹ bardzo charakterystyczn¹ cech¹ techniki zgod-

ca rozproszone lokalizacje klienta. Wysoce po¿¹dane jest, aby

nej z RFC2547. W terminologii BGP ruter CE jest peer (równy)

proces ³¹czenia tych lokalizacji, z punktu widzenia osób odpo-

wy³¹cznie w stosunku do rutera PE (nie jest peer w stosunku do

wiedzialnych u klienta za infrastrukturê sieciow¹ ( IT managers),

innych ruterów CE w tej samej sieci VPN).

by³ jak najbardziej zbli¿ony do znanych im metod ³¹czenia urz¹-

Rutery CE dostarczaj¹ do ruterów PE informacje rutingowe

dzeñ w lokalnej sieci LAN.

o ca³ej sieci klienta do³¹czonej do rutera CE (z punktu widzenia

Technika MPLS, wymyœlona do realizacji bardzo du¿ych i z³o-

operatora rutera PE). Proces wymiany informacji rutingowych

¿onych sieci IP (i nie tylko) wydaje siê byæ idealnym œrodkiem do

odbywa siê za pomoc¹ klasycznych technik rutingu: statycznie

realizacji tego typu zadañ. Praktyka jednak wskazuje, ¿e obs³u-

lub dynamicznie. W wariancie dynamicznym odbywa siê to za

ga bardzo wielu prywatnych sieci VPN na jednej wspó³dzielonej

pomoc¹ wybranego protoko³u klasy IGP ( Interior Gateway Proto-

fizycznej infrastrukturze tradycyjnego operatora oznacza równo-

col), takiego jak OSPF ( Open Shortest Path First) czy RIP ( Rou-czeœnie pojawienie siê problemów zwi¹zanych ze skalowalno-

tin Information Protocol).

œci¹ takiego rozwi¹zania. Wystêpuj¹ one zarówno w przypadku

W technice RFC2547 zak³ada siê obecnoœæ w ruterze PE ta-

rozwi¹zañ opartych na drugiej warstwie modelu ISO-OSI, jak i na

blicy VRF dla ka¿dego klienta (liczba VRF nie jest równoznacz-

warstwie trzeciej. Jako przyk³ady zupe³nie podstawowych ograni-

na z liczb¹ sieci VPN czy ruterów CE – bowiem jeden klient ze

czeñ mo¿na podaæ: ograniczenie do 4096 tagów VLAN ( Virtual

swoim ruterem CE mo¿e nale¿eæ jednoczeœnie do wielu sieci

Local Area Network) w technice 802.1q, ju¿ dziœ doœæ „ciasn¹”

VPN). Zazwyczaj w ruterze PE s¹ te¿ obecne informacje rutingo-

przestrzeñ adresow¹ w technice IP v4 czy te¿ zarz¹dzanie tysi¹-

we dotycz¹ce sieci Internet, które ze wzglêdu na rozmiary same-

cami tablic rutingowych VRF ( Virtual Routing Forwarding) w ru-

go Internetu s¹ pokaŸnych rozmiarów (dziœ tablica BGP w szkie-

letowych ruterach ma sto kilkadziesi¹t tysiêcy wpisów!!!). Obra-

zowo sytuacja wygl¹da jak na rys. 1.

* Alcatel Polska S.A., Warszawa,

Technika MPLS spe³nia zadanie transmisji danych pomiêdzy

e−mail: piotr.oniszczuk@alcatel.pl

poszczególnymi wêz³ami sieci VPN w szkieletowej sieci operato-

PRZEGLĄD TELEKOMUNIKACYJNY

ROCZNIK LXXV

i WIADOMOŚCI TELEKOMUNIKACYJNE ! ROCZNIK LXXI ! nr 7/2002

449

ODMIENNA FILOZOFIA:

VPN MPLS WARSTWY 2

Odmienn¹ filozofi¹ budowania sieci VPN mo¿e byæ wykorzy-

stanie techniki MPLS VPN warstwy drugiej. U podstaw takiego

rozwi¹zania le¿y wykorzystanie takich technik, jak TLS ( Trans-

parent LAN Services) czy te¿ VPLS ( Virtual Private LAN Servi-

ces). Pierwotnym celem, jaki przyœwieca³ twórcom tego typu

technik, by³o umiejêtne rozszerzenie istniej¹cych us³ug VPN war-

stwy drugiej, takich jak np. po³¹czenia punkt-punkt w technice

ATM ( Asynchronous Transfer Mode) czy te¿ F. R. ( Frame Relay).

O Rys. 1. Tablice VFR w ruterach PE. Oznaczenia: LSP – ścieżka

Zamiast budowaæ osobn¹ sieæ IP do obs³ugi VPN, lepszym

z przełączaniem etykiet

i prostszym pomys³em okaza³o siê przeniesienie w warstwie dru-

giej ruchu klientów z po³¹czeñ punkt-punkt ATM/F. R. do tuneli

ra. W tym aspekcie techniki VPN, realizowane w warstwach dru-

MPLS. Wybrana tu technika tunelowania ruchu VPN w MPLS

giej lub trzeciej modelu ISO-OSI, dzia³aj¹ bardzo podobnie. Re-

jest identyczna jak w RFC2547 – wykorzystuje zagnie¿d¿anie

alizacja samej transmisji przez protokó³ MPLS ma tutaj jednak

etykiet MPLS.

wielk¹ zaletê w porównaniu z innymi metodami transmisji, takimi

Obydwie techniki VPN: warstwy trzeciej i warstwy drugiej wy-

jak np. IP. Przy u¿yciu protoko³u MPLS, szkieletowe prze³¹czniki

korzystuj¹ identycznie MPLS w sieci szkieletowej – mog¹ wiêc

MPLS LSR ( Label Switch Router) w RFC2547 okreœlane jako ru-

korzystaæ dok³adnie z tych samych ruterów PE operatora. Zasad-

tery P ( Provider routers) nie musz¹ bowiem nic „wiedzieæ” o ob-

nicza odmiennoœæ polega na charakterze wspó³pracy urz¹dzeñ

s³ugiwanych sieciach VPN. Jest to mo¿liwe dziêki temu, ¿e sieæ

PE z CE. W technice MPLS VPN warstwy drugiej, ruter PE nie

VPN – zbudowana w oparciu o RFC2547 wykorzystuje zagnie¿-

jest peer’em w stosunku do CE. Oznacza to, ¿e w ruterze PE nie

d¿anie etykiet MPLS w œcie¿kach LSP ( Label Switched Path).

wystêpuj¹ wielokrotne tablice VRF – i co wa¿niejsze – skompli-

Dwupoziomowy stos etykiet MPLS umo¿liwia wykorzystanie ze-

kowane procesy zwi¹zane z uaktualnianiem i dystrybucj¹ wpi-

wnêtrznej etykiety MPLS do transmisji w szkielecie sieci

sów rutingowych dla ka¿dego VPN. W tej technice urz¹dzenie

operatora za pomoc¹ ruterów P, zaœ na brzegu tej sieci rutery PE

PE raczej w prosty sposób mapuje ruch warstwy drugiej pocho-

korzystaj¹ z wewnêtrznej etykiety MPLS identyfikuj¹cej sieæ

dz¹cy od klienta do œcie¿ki VC−LSP ( Virtual Circuit Label Swit-

VPN. Pakiet MPLS po dotarciu do „docelowego” rutera PE, na

ched Path). VC-LSP s¹ nastêpnie transmitowane w tunelach –

podstawie wewnêtrznej etykiety MPLS, jest kierowany do odpo-

zwanych Tunnel-LSP. W szkieletowej sieci MPLS operatora s¹

wiedniej tablicy VRF i nastêpnie po „zdjêciu” etykiety jako „czy-

zestawione tunele, a nie pojedyncze VC-LSP. Taka hierarchicz-

sty” pakiet IP jest kierowany do w³aœciwej sieci VPN.

na transmisja jest realizowana w³aœnie za pomoc¹ techniki

Rozwi¹zanie to ma doœæ du¿y potencja³ techniczny. Przede

zagnie¿d¿ania etykiet – opisanej wczeœniej w czêœci artyku³u

wszystkim idealnie pasuje do dominuj¹cej obecnoœci protoko³u

poœwiêconej RFC2547. Ideê pracy takiej sieci przedstawiono na

IP w sieciach VPN. Technika zgodna z RFC2547 charakteryzuje

rys. 2.

siê te¿ silnymi mechanizmami dynamicznego rutingu. Oznacza

Bardzo wa¿nym zagadnieniem jest zapewnienie automatycz-

to, ¿e ka¿dy do³¹czony do sieci VPN nowy host jest automatycz-

nego zestawiania VC-LSP przy do³¹czaniu nowego CE lub klien-

nie i stosunkowo szybko widoczny w ca³ej sieci VPN.

ta – dopiero taka funkcjonalnoœæ zapewni bowiem komfort pracy

Z drugiej zaœ strony wyraŸnie widaæ pewne ograniczenia tej

w VPN warstwy drugiej porównywalny z VPN RFC2547. W przy-

techniki. Podejœcie zgodne z RFC2547 mo¿e wi¹zaæ siê z du¿ymi

padku techniki MPLS VPN L2 do zestawiania struktury po³¹czeñ

wymaganiami, jeœli chodzi o funkcjonalnoœæ ruterów PE. Dziœ tyl-

VC-LSP typu „ka¿dy z ka¿dym” wykorzystano dobrze znany pro-

ko bardzo drogie rutery czo³owych dostawców s¹ w stanie spro-

tokó³ LDP ( Label Distribution Protocol). Do zestawiania Tunnel-

staæ wymaganej funkcjonalnoœci i wydajnoœci (oczywiœcie, gdy

-LSP jest wykorzystywany protokó³ IGP pracuj¹cy ju¿ w sieci

mówimy o rozwi¹zaniach operatorskich). Ponadto proces zarz¹-

szkieletowej MPLS operatora. Mo¿e to byæ dobrze znany OSPF

dzania du¿¹ liczb¹ tablic rutingu w urz¹dzeniach PE mo¿e byæ

lub IS−IS ( Intermadiate System – Intermadiate System). Widaæ

bardzo skomplikowany, a wiêc kosztowny i bardzo wra¿liwy na

b³êdy operatora. W œrodowisku intenetowym pojawiaj¹ siê wrêcz

g³osy, ¿e zarz¹dzanie tak¹ liczb¹ tablic rutingu w jednym urz¹dze-

niu jest nie do koñca zbadane. Próba zbudowania us³ug VPN

opartych na technice zgodnej z RFC2547 wymaga bardzo dobrej

znajomoœci protoko³u BGP. Aby skutecznie wdro¿yæ tego typu

rozwi¹zanie na skalê operatorsk¹, nie wystarczy mieæ bieg³¹ zna-

jomoœæ zasad dzia³ania BGP; potrzebne jest du¿e doœwiadczenie

praktyczne obs³uguj¹cych sieæ – doœwiadczenie takie maj¹ w za-

sadzie tylko ludzie, którzy ju¿ od pewnego czasu obs³uguj¹ wiel-

kie sieci internetowe. Niestety, takich osób jest niezbyt wiele.

Czêsto przy tym jest podawany argument, ¿e pocz¹tkowo konfi-

guracje PE mog¹ opieraæ siê na statycznych wpisach rutingowych

w ruterach PE. Jednak doœwiadczenie pokazuje, ¿e prêdzej czy

póŸniej bêdzie konieczne wprowadzenie dynamicznego rutingu –

wtedy problem ten mo¿e wyst¹piæ ze zdwojon¹ si³¹ (bêdzie to bo-

wiem operacja na „¿ywym organizmie sieciowym”, gdy klienci s¹

O Rys. 2. Idea sieci VPN warstwy 2. Oznaczenia: POP – punkt obec−

ju¿ obs³ugiwani, zaœ operator ma ju¿ ustalon¹ reputacjê). Odzy-

ności operatora, CPE – urządzenia klienta, LER – brzegowy ruter

waj¹ siê nawet takie opinie, jakie wyrazi³ np. Randy Bush z AT&T,

z przełączaniem etykiet, LSR – tranzystowy ruter z przełączaniem

który twierdzi, ¿e technika RFC2547 mo¿e zagroziæ integralnoœci

etykiet, VC−LSP – wirtualna ścieżka z przełączaniem etykiet, Tunnel

ca³ej sieci operatora.

LSP – tunel z przełączaniem etykiet, VLAN – wirtualna sieć lokalna

450

PRZEGLĄD TELEKOMUNIKACYJNY

ROCZNIK LXXV

i WIADOMOŚCI TELEKOMUNIKACYJNE ! ROCZNIK LXXI ! nr 7/2002

wiêc, ¿e w pewnym sensie jeden protokó³ rutingu (LDP w sieci

O Tabela 1. Porównanie cech technik VPN L3 i VPN L2

VPN) siê „wykonuje” na drugim (IGP w sieci szkieletowej). Pew-

MPLS VPN warstwy 3

MPLS VPN warstwy 2

n¹ analogi¹ mo¿e byæ tu transmisja MPLS w szkielecie sieci –

Oparty na technikach sieciowych

Oparty na technikach sieciowych

tam te¿ dochodzi do zagnie¿d¿ania etykiet MPLS. St¹d te¿ mo-

(RFC 2547)

(MPLS Martini draft)

del ten czêsto jest nazywany nak³adkowym.

L2 i L3 w VPN jest zarz¹dzany

L2 jest zarz¹dzany przez operato-

Obecnoœæ protoko³u LDP zapewnia pe³n¹ automatykê przy do-

przez operatora

ra, zaœ L3 przez klienta

³¹czaniu nowego CE do sieci VPN (w sensie rozbudowy lub two-

Ruiting IP sieci VPN klienta jest

Ruting w VPN klienta pozostaje

rzenia nowej kolejnej us³ugi/instancji VPN), zaœ IGP w sieci

w pe³ni widoczny dla operatora.

ca³kowicie niewidoczny dla opera-

szkieletowej zapewnia automatyczne wykrywanie nowego PE

Klient mo¿e u¿ywaæ publicznych

tora

w sieci operatora, np. w procesie rozbudowy sieci szkieletowej

lub prywatnych adresów IP, jed-

nak operator zawsze czêœciowo

o kolejne urz¹dzenia PE. Automatyczne rozpoznawanie nowych

uczestniczy w procesach rutingo-

hostów w samej sieci VPN jest zapewnione przez proces samo-

wych klienta

ucz¹cego siê mostu warstwy drugiej ( Self-Lerning Bridge). Nie-

Technika ograniczona w zasadzie

Technika zupe³nie niezale¿na

bezpieczeñstwo powstania pêtli transmisyjnych w takiej sieci

wy³¹cznie do protoko³u IP

w stosunku do L3. Klient mo¿e ko-

VPN jest likwidowane za pomoc¹ algorytmu Fast Spanning-Tree.

rzystaæ w zasadzie z dowolnych

Takie rozwi¹zanie ma wiele zalet. Transmisja danych pomiê-

protoko³ów L3

dzy poszczególnymi PE, za pomoc¹ œcie¿ek LSP, umo¿liwia wy-

Technika niezale¿na od techniki

Technika niezale¿na od warstwy

korzystanie zaawansowanej in¿ynierii ruchu MPLS do oferowa-

realizacji warstwy drugiem (mo¿e

2 pod warunkiem wprowadzenia

to byæ IP, MPLS)

warstwy 2,5 (czyli MPLS)

nia QoS ( Quality of Service) w sieci VPN. Wystarczy bowiem tak

skonfigurowaæ PE, aby VC-LSP np. z sygna³em g³osowym by³y

transmitowane za pomoc¹ osobnych Tunnel-LSP o gwarantowa-

Telseon i IntelliSpace ju¿ dziœ oferuj¹ us³ugi MAN oparte na

nej jakoœci, aby w danym VPN osi¹gn¹æ niezbêdny QoS dla

Ethernecie. Warte podkreœlenia jest to, ¿e w ich przypadku doœæ

us³ug g³osowych. Rród³o danych typu VoIP w takim VPN przed

wa¿nym czynnikiem, maj¹cym wp³yw na sukces, by³a geogra-

wys³aniem strumienia pakietów VoIP do sieci operatora mo¿e je

ficzna dostêpnoœæ do us³ugi. Zdaniem Azhar Sayeed, IP MPLS

wyró¿niæ za pomoc¹ osobnego 802.1q TagVLAN.

Manager in Cisco’s IOS Technologies Division – tego typu us³u-

Zalet¹ jest tak¿e bardzo prosta wspó³praca urz¹dzeñ CE

gi s¹ ograniczone do miejsc, w których wystêpuje optyczna infra-

klienta z PE operatora. Urz¹dzenie CE, „patrz¹c” na sieæ opera-

struktura œwiat³owodowa. Jako kontrargument mo¿na podaæ, i¿

tora, widzi bowiem zwyk³y most ethernetowy ( Ethernet Bridge).

dziœ ogromna wiêkszoœæ implementacji xDSL oferuje us³ugi

O u¿ytkowej prostocie takiego rozwi¹zania nikogo chyba nie na-

mostowania ( bridging) – tak wiêc wykorzystanie par miedzianych

le¿y przekonywaæ. Wart podkreœlenia jest te¿ fakt, i¿ sieæ VPN

przy dostêpie u¿ytkowników indywidualnych (ADSL) i bizneso-

pracuje na warstwie drugiej modelu ISO-OSI – klient w sieci VPN

wych (SHDSL) jest jak najbardziej mo¿liwe.

mo¿e wiêc transmitowaæ dowolny protokó³ warstwy trzeciej – nie

W styczniu 2001 firma Level 3 rozpoczê³a komercyjne ofero-

tylko IP ale te¿ np. IPX (protokó³ firmy Nowell), NetBIOS czy

wanie us³ug „ Ethernet over MPLS” opartych na Martini drafts.

SNA. Ponadto mo¿e to byæ te¿ protokó³ rozg³oszeniowy, a nie

Korporacyjni klienci Level 3 wykorzystuj¹ us³ugi ³¹czenia swoich

tylko rutowalny protokó³ IP, jak to jest w przypadku RFC2547.

sieci LAN za pomoc¹ techniki 802.1q virtual LAN (VLAN).

Jesieni¹ 2001 r. firma Storm rozpoczê³a oferowanie miêdzyna-

rodowych us³ug transmisji danych opartych na technice Ethernet.

CO WIĘC WYBRAĆ?

Us³uga wykorzystuje technikê MPLS w wersji zgodnej z Martini

drafts. W pierwszym etapie zosta³a ona zaoferowana w Europie

Jak ju¿ wspomniano podejœcie do budowy sieci VPN w war-

Zachodniej. Na pocz¹tku roku 2002 firma zaoferowa³a po³¹cze-

stwie trzeciej jest optymalnym rozwi¹zaniem dla „klasycznych”

nia z Nowym Jorkiem. Storm oferuje swoim klientom

du¿ych sieci operatorów dostêpu do Internetu – operatorów, któ-

przep³ywnoœc regulowan¹ z krokiem 1Mbit/s. Jedn¹ z oferowa-

rzy maj¹ ju¿ zainstalowan¹ i dzia³aj¹c¹ du¿¹ bazê ruterów IP.

nych us³ug jest premium service – us³uga gwarantuje dostêpnoœæ

Rozwi¹zanie to jest wygodne dla operatorów oferuj¹cych us³ugê

na poziomie 99,99% oraz czas obiegu danych ( round-trip) po-

wielu du¿ych sieci VPN z czêsto zmieniaj¹c¹ siê ich topologi¹ tj.

miêdzy USA a Europ¹ poni¿ej 80 milisekund.

tam, gdzie szybka reakcja sieci na zmiany w tej topologii jest

W segmencie sieci MAN ( Metropolitan Area Network) takie fir-

wa¿na.

my, jak Telseon traktuj¹ technikê MPLS VPN warstwy drugiej ja-

Technika VPN warstwy drugiej wydaje siê byæ lepsza dla do-

ko doskona³¹ metodê ³atwego ³¹czenia sieci LAN na obszarach

stawców us³ug zamierzaj¹cych rozszerzyæ zestaw ju¿ istniej¹-

metropolitalnych. Aktualnie Telseon narzuca ograniczenia swoim

cych us³ug warstwy drugiej. Odnosi siê to szczególnie do opera-

klientom wymagaj¹c podawania operatorowi przez klienta

torów zorientowanych na us³ugi czysto transmisyjne. Krótkie

konkretnych adresów MAC ( Media Access Control) i znaczników

podsumowanie obydwu technik pokazano w tabeli 1.

802.1q VLAN – w celu zabezpieczenia w³asnej sieci przed ata-

Zestaw dokumentów opisuj¹cych jedn¹ z technik, le¿¹c¹

kami czy nak³adaniem siê znaczników VLAN. Korzystaj¹c z Mar-

u podstaw rozwi¹zania warstwy drugiej – znany jako Martini draft

tini draft, Telseon bêdzie w stanie zupe³nie wyeliminowaæ tego

– ju¿ dziœ cieszy siê znacznym poparciem wielu dostawców

typu ograniczenia.

sprzêtu sieciowego. Przyk³adem mog¹ tu byæ: Cisco, Extreme

Dla klientów klasy korporacyjnej sieci MPLS VPN warstwy

Networks, Riverstone Networks. Jesieni¹ 2001 r. na ostatnich

drugiej s¹ atrakcyjne, wymagaj¹ one bowiem minimalnej inge-

targach NetWorld+Interop – tacy dostawcy, jak Foundry Ne-

rencji w sprzêt transmisyjny administratora sieci. Urz¹dzenia sie-

tworks czy Laurel Networks pokazali pierwsze, zakoñczone suk-

ciowe korporacji „patrz¹c” na sieæ operatora widz¹ dobrze znan¹

cesem testy wspó³pracy swoich rozwi¹zañ z produktami takich

im technikê. Wygl¹da to tak, jakby u operatora sta³ jeden wielki

firm, jak Cisco, Extreme czy Riverstone. Firmy Atrica, Juniper

prze³¹cznik Ethernet z funkcj¹ VLAN.

Networks, TiMetra czy Tenor Networks s¹ dostawcami bardzo in-

tensywnie pracuj¹cymi nad tego typu technik¹ – pierwsze imple-

✽ ✽ ✽

mentacje powinny byæ dostêpne lada dzieñ. Równie¿ wielu

powa¿nych operatorów rozpoczê³o pierwsze implementacje

Podobnie jak w ka¿dej innej dziedzinie ¿ycia – tak¿e w przy-

tej techniki. Mo¿na tu wspomnieæ o takich operatorach jak: Le-

padku sieci VPN nie ma idealnego rozwi¹zania. Architektura sie-

vel 3 Communications, Cable & Wireless, IntelliSpace i Telseon.

ci transmisyjnej (jeœli taka sieæ istnieje), charakter us³ug i klien-

PRZEGLĄD TELEKOMUNIKACYJNY

ROCZNIK LXXV

i WIADOMOŚCI TELEKOMUNIKACYJNE ! ROCZNIK LXXI ! nr 7/2002

451

tów do³¹czanych do sieci operatora s¹ tu czynnikami decyduj¹-

mniej skomplikowanego, ale zupe³nie odmiennego œwiata IP ( In-

cymi o wyborze jednej z omawianych technik. Na pewno bêd¹

ternet Protocol), BGP ( Border Gateway Protocol).

te¿ operatorzy oferuj¹cy obydwie te techniki jednoczeœnie.

Us³ugi sieci VPN, oparte na MPLS VPN warstwy drugiej ISO-

Technika MPLS VPN warstwy trzeciej wydaje siê byæ optymal-

-OSI wydaj¹ siê znacznie ³atwiejsze i tañsze do zaimplemento-

nym rozwi¹zaniem dla istniej¹cych ju¿ operatorów us³ug interne-

wania dla operatorów ju¿ dziœ maj¹cych w swojej ofercie us³ugi

towych ISP ( Internet Service Providers) – tego typu operatorzy

VPN, które s¹ oparte na technikach drugiej warstwy modelu

zazwyczaj maj¹ ju¿ doskonale opanowane takie techniki, jak IP

ISO-OSI – takich jak ATM czy F. R. Tego typu operatorzy – ma-

czy BGP.

j¹cy ca³kiem niez³e doœwiadczenie w œwiadczeniu us³ug trans-

Z kolei dla wielu istniej¹cych ju¿ klasycznych operatorów sieci

portowych – z ³atwoœci¹ przyjm¹ „nak³adkowy” model MPLS VPN

szkieletowych z³o¿onoœæ i koszty operacyjne zwi¹zane z wdro¿e-

warstwy drugiej. Prawdopodobnie stanie siê tak, bowiem inklina-

niem techniki MPLS VPN warstwy trzeciej mog¹ byæ zabójcze.

cje tego typu operatorów s¹ znacznie silniejsze w kierunku roz-

Podstaw¹ tego przypuszczenia jest odmienna zasada dzia³ania

wi¹zañ po³¹czeniowych typu punkt-punkt ni¿ w kierunku bezpo-

sieci i zwi¹zana z tym koniecznoœæ dosyæ dramatycznej „zmiany”

³¹czeniowego rutingu IP. Ponadto w przypadku tego typu opera-

metod projektowania i in¿ynierii sieci. Operator bowiem musi do-

torów model VPN warstwy trzeciej bêdzie wi¹za³ siê z doœæ

konaæ dosyæ raptownego skoku ze œwiata skomplikowanych

znacznymi wydatkami na najwy¿szej jakoœci sprzêt IP, który jest

technik warstwy drugiej ISO-OSI takich jak ATM, czy F. R. do nie

niezbêdny do realizacji tego typu techniki.

452

PRZEGLĄD TELEKOMUNIKACYJNY

ROCZNIK LXXV

i WIADOMOŚCI TELEKOMUNIKACYJNE ! ROCZNIK LXXI ! nr 7/2002