Sieci operatorskie: techniki budowy
sieci VPN
Prze³¹czaæ czy rutowaæ – oto jest pytanie
terach du¿ych sieci operatorskich. Technika MPLS wydaje siê
jednak byæ ca³kiem skutecznym panaceum na tego typu bol¹cz-
Debata nad wyborem techniki: prze³¹czanie czy rutowanie jest
ki, jeœli tylko zostanie wzbogacona o niezbêdn¹ dodatkow¹ funk-
niemal¿e tak stara, jak sam œwiat sieci transmisji danych.
cjonalnoϾ.
W przypadku pierwszych takich sieci problem by³ zazwyczaj
sprowadzany do rozwa¿añ dotycz¹cych wyboru warstwy modelu
PODEJŚCIE „VPN WARSTWY
ISO−OSI, w której odbywa³ siê w³aœciwy proces obróbki strumie-
ni danych pochodz¹cych od u¿ytkowników i ich logicznych grup.
TRZECIEJ”
Takie grupy formowa³y abstrakcyjne sieci, które z punktu widze-
nia operatora s¹ wydzielon¹ prywatn¹ sieci¹ danych – VPN ( Vir-
Historycznie rzecz bior¹c technika MPLS VPN warstwy trze-
tual Private Network).
ciej by³a jednym z pierwszych pomys³ów na budowê skalowal-
Mo¿na powiedzieæ, ¿e dziœ problem ten wyst¹pi³ ponownie –
nych sieci VPN. Model ten opiera siê na IETF ( Internet Engine-
tym razem osoby odpowiedzialne za budowê sieci i wdra¿anie
ering Task Force) RFC ( Request for Comments) – RFC2547.
us³ug VPN stoj¹ przed dylematem, jak¹ wybraæ technikê do re-
Rozwi¹zanie to, znane ¿argonowo jako „2547 VPNs”, obecnie
alizacji sieci VPN. Poniewa¿ mówimy o sieciach, których budo-
zosta³o ju¿ wprowadzone w wielu sieciach, w³¹czaj¹c w to szkie-
wa dopiero siê rozpocznie, wybór prawdopodobnie bêdzie doty-
letowe sieci IP/PMLS takich operatorów, jak: AT&T, Bell Canada
czy³ metod realizacji wykorzystuj¹cych technikê MPLS ( Multi-
i Global Crossing.
-Protocol Label Switching). Przysz³y operator stoi wiêc przed
Jak dzia³aj¹ VPN „zgodne z RFC2547”? Samo RFC2547 wy-
wyborem: technik VPN warstwy 3 ISO-OSI opartych na protoko-
jaœnia to w sposób nastêpuj¹cy: Technika MPLS jest u¿yta do
le BGP ( Border Gateway Protocol) lub technik VPN opartych na
transmisji danych u¿ytkownika w samym szkielecie sieci, zaœ
warstwie 2 ISO-OSI korzystaj¹cych z tunelowania w technice
protokó³ BGP jest wykorzystany do dystrybucji informacji rutingo-
MPLS.
wych ka¿dego VPN w obrêbie sieci szkieletowej. Ka¿da sieæ
Celem tego artyku³u jest próba objaœnienia zasady dzia³ania
VPN jest tutaj w zasadzie prywatn¹ sieci¹ IP dzia³aj¹c¹
ka¿dej z tych technik oraz u³atwienie dokonania wyboru sposobu
w wykorzystaniem w³asnych prywatnych planów adresowych IP
implementacji sieci VPN w sieci operatora.
( Internet Protocol) i tablic VRF w ka¿dym z ruterów PE ( Provider
Edge), do których s¹ bezpoœrednio do³¹czone rutery klienta CE
( Customer Edge).
Trochê informacji o podstawach
Informacje o osi¹galnoœci (rutingu) poszczególnych urz¹dzeñ
CE (i do³¹czonych do nich hostów/sieci klienta) rozprowadza siê
Generalnie mo¿na powiedzieæ: cel jest prosty. Operator powi-
wykorzystuj¹c dobrze znany protokó³ BGP, do którego wprowa-
nien zbudowaæ sieæ, która dla klienta – w sposób mo¿liwie naj-
dzono pewne modyfikacje i nazwano MP−BGP ( Multi-Protocol
prostszy – bêdzie stanowi³a przed³u¿enie jego prywatnej sieci
Border Gateway Protocol).
LAN ( Local Area Network). W idealnym œwiecie rezultatem takie-
Zale¿noœci w samym procesie rutingu pomiêdzy ruterem PE
go procesu powinna byæ prosta, szybka i niezawodna sieæ ³¹cz¹-
a ruterem CE s¹ bardzo charakterystyczn¹ cech¹ techniki zgod-
ca rozproszone lokalizacje klienta. Wysoce po¿¹dane jest, aby
nej z RFC2547. W terminologii BGP ruter CE jest peer (równy)
proces ³¹czenia tych lokalizacji, z punktu widzenia osób odpo-
wy³¹cznie w stosunku do rutera PE (nie jest peer w stosunku do
wiedzialnych u klienta za infrastrukturê sieciow¹ ( IT managers),
innych ruterów CE w tej samej sieci VPN).
by³ jak najbardziej zbli¿ony do znanych im metod ³¹czenia urz¹-
Rutery CE dostarczaj¹ do ruterów PE informacje rutingowe
dzeñ w lokalnej sieci LAN.
o ca³ej sieci klienta do³¹czonej do rutera CE (z punktu widzenia
Technika MPLS, wymyœlona do realizacji bardzo du¿ych i z³o-
operatora rutera PE). Proces wymiany informacji rutingowych
¿onych sieci IP (i nie tylko) wydaje siê byæ idealnym œrodkiem do
odbywa siê za pomoc¹ klasycznych technik rutingu: statycznie
realizacji tego typu zadañ. Praktyka jednak wskazuje, ¿e obs³u-
lub dynamicznie. W wariancie dynamicznym odbywa siê to za
ga bardzo wielu prywatnych sieci VPN na jednej wspó³dzielonej
pomoc¹ wybranego protoko³u klasy IGP ( Interior Gateway Proto-
fizycznej infrastrukturze tradycyjnego operatora oznacza równo-
col), takiego jak OSPF ( Open Shortest Path First) czy RIP ( Rou-czeœnie pojawienie siê problemów zwi¹zanych ze skalowalno-
tin Information Protocol).
œci¹ takiego rozwi¹zania. Wystêpuj¹ one zarówno w przypadku
W technice RFC2547 zak³ada siê obecnoœæ w ruterze PE ta-
rozwi¹zañ opartych na drugiej warstwie modelu ISO-OSI, jak i na
blicy VRF dla ka¿dego klienta (liczba VRF nie jest równoznacz-
warstwie trzeciej. Jako przyk³ady zupe³nie podstawowych ograni-
na z liczb¹ sieci VPN czy ruterów CE – bowiem jeden klient ze
czeñ mo¿na podaæ: ograniczenie do 4096 tagów VLAN ( Virtual
swoim ruterem CE mo¿e nale¿eæ jednoczeœnie do wielu sieci
Local Area Network) w technice 802.1q, ju¿ dziœ doœæ „ciasn¹”
VPN). Zazwyczaj w ruterze PE s¹ te¿ obecne informacje rutingo-
przestrzeñ adresow¹ w technice IP v4 czy te¿ zarz¹dzanie tysi¹-
we dotycz¹ce sieci Internet, które ze wzglêdu na rozmiary same-
cami tablic rutingowych VRF ( Virtual Routing Forwarding) w ru-
go Internetu s¹ pokaŸnych rozmiarów (dziœ tablica BGP w szkie-
letowych ruterach ma sto kilkadziesi¹t tysiêcy wpisów!!!). Obra-
zowo sytuacja wygl¹da jak na rys. 1.
* Alcatel Polska S.A., Warszawa,
Technika MPLS spe³nia zadanie transmisji danych pomiêdzy
e−mail: piotr.oniszczuk@alcatel.pl
poszczególnymi wêz³ami sieci VPN w szkieletowej sieci operato-
PRZEGLĄD TELEKOMUNIKACYJNY
ROCZNIK LXXV
i WIADOMOŚCI TELEKOMUNIKACYJNE ! ROCZNIK LXXI ! nr 7/2002
449
ODMIENNA FILOZOFIA:
VPN MPLS WARSTWY 2
Odmienn¹ filozofi¹ budowania sieci VPN mo¿e byæ wykorzy-
stanie techniki MPLS VPN warstwy drugiej. U podstaw takiego
rozwi¹zania le¿y wykorzystanie takich technik, jak TLS ( Trans-
parent LAN Services) czy te¿ VPLS ( Virtual Private LAN Servi-
ces). Pierwotnym celem, jaki przyœwieca³ twórcom tego typu
technik, by³o umiejêtne rozszerzenie istniej¹cych us³ug VPN war-
stwy drugiej, takich jak np. po³¹czenia punkt-punkt w technice
ATM ( Asynchronous Transfer Mode) czy te¿ F. R. ( Frame Relay).
O Rys. 1. Tablice VFR w ruterach PE. Oznaczenia: LSP – ścieżka
Zamiast budowaæ osobn¹ sieæ IP do obs³ugi VPN, lepszym
z przełączaniem etykiet
i prostszym pomys³em okaza³o siê przeniesienie w warstwie dru-
giej ruchu klientów z po³¹czeñ punkt-punkt ATM/F. R. do tuneli
ra. W tym aspekcie techniki VPN, realizowane w warstwach dru-
MPLS. Wybrana tu technika tunelowania ruchu VPN w MPLS
giej lub trzeciej modelu ISO-OSI, dzia³aj¹ bardzo podobnie. Re-
jest identyczna jak w RFC2547 – wykorzystuje zagnie¿d¿anie
alizacja samej transmisji przez protokó³ MPLS ma tutaj jednak
etykiet MPLS.
wielk¹ zaletê w porównaniu z innymi metodami transmisji, takimi
Obydwie techniki VPN: warstwy trzeciej i warstwy drugiej wy-
jak np. IP. Przy u¿yciu protoko³u MPLS, szkieletowe prze³¹czniki
korzystuj¹ identycznie MPLS w sieci szkieletowej – mog¹ wiêc
MPLS LSR ( Label Switch Router) w RFC2547 okreœlane jako ru-
korzystaæ dok³adnie z tych samych ruterów PE operatora. Zasad-
tery P ( Provider routers) nie musz¹ bowiem nic „wiedzieæ” o ob-
nicza odmiennoœæ polega na charakterze wspó³pracy urz¹dzeñ
s³ugiwanych sieciach VPN. Jest to mo¿liwe dziêki temu, ¿e sieæ
PE z CE. W technice MPLS VPN warstwy drugiej, ruter PE nie
VPN – zbudowana w oparciu o RFC2547 wykorzystuje zagnie¿-
jest peer’em w stosunku do CE. Oznacza to, ¿e w ruterze PE nie
d¿anie etykiet MPLS w œcie¿kach LSP ( Label Switched Path).
wystêpuj¹ wielokrotne tablice VRF – i co wa¿niejsze – skompli-
Dwupoziomowy stos etykiet MPLS umo¿liwia wykorzystanie ze-
kowane procesy zwi¹zane z uaktualnianiem i dystrybucj¹ wpi-
wnêtrznej etykiety MPLS do transmisji w szkielecie sieci
sów rutingowych dla ka¿dego VPN. W tej technice urz¹dzenie
operatora za pomoc¹ ruterów P, zaœ na brzegu tej sieci rutery PE
PE raczej w prosty sposób mapuje ruch warstwy drugiej pocho-
korzystaj¹ z wewnêtrznej etykiety MPLS identyfikuj¹cej sieæ
dz¹cy od klienta do œcie¿ki VC−LSP ( Virtual Circuit Label Swit-
VPN. Pakiet MPLS po dotarciu do „docelowego” rutera PE, na
ched Path). VC-LSP s¹ nastêpnie transmitowane w tunelach –
podstawie wewnêtrznej etykiety MPLS, jest kierowany do odpo-
zwanych Tunnel-LSP. W szkieletowej sieci MPLS operatora s¹
wiedniej tablicy VRF i nastêpnie po „zdjêciu” etykiety jako „czy-
zestawione tunele, a nie pojedyncze VC-LSP. Taka hierarchicz-
sty” pakiet IP jest kierowany do w³aœciwej sieci VPN.
na transmisja jest realizowana w³aœnie za pomoc¹ techniki
Rozwi¹zanie to ma doœæ du¿y potencja³ techniczny. Przede
zagnie¿d¿ania etykiet – opisanej wczeœniej w czêœci artyku³u
wszystkim idealnie pasuje do dominuj¹cej obecnoœci protoko³u
poœwiêconej RFC2547. Ideê pracy takiej sieci przedstawiono na
IP w sieciach VPN. Technika zgodna z RFC2547 charakteryzuje
rys. 2.
siê te¿ silnymi mechanizmami dynamicznego rutingu. Oznacza
Bardzo wa¿nym zagadnieniem jest zapewnienie automatycz-
to, ¿e ka¿dy do³¹czony do sieci VPN nowy host jest automatycz-
nego zestawiania VC-LSP przy do³¹czaniu nowego CE lub klien-
nie i stosunkowo szybko widoczny w ca³ej sieci VPN.
ta – dopiero taka funkcjonalnoœæ zapewni bowiem komfort pracy
Z drugiej zaœ strony wyraŸnie widaæ pewne ograniczenia tej
w VPN warstwy drugiej porównywalny z VPN RFC2547. W przy-
techniki. Podejœcie zgodne z RFC2547 mo¿e wi¹zaæ siê z du¿ymi
padku techniki MPLS VPN L2 do zestawiania struktury po³¹czeñ
wymaganiami, jeœli chodzi o funkcjonalnoœæ ruterów PE. Dziœ tyl-
VC-LSP typu „ka¿dy z ka¿dym” wykorzystano dobrze znany pro-
ko bardzo drogie rutery czo³owych dostawców s¹ w stanie spro-
tokó³ LDP ( Label Distribution Protocol). Do zestawiania Tunnel-
staæ wymaganej funkcjonalnoœci i wydajnoœci (oczywiœcie, gdy
-LSP jest wykorzystywany protokó³ IGP pracuj¹cy ju¿ w sieci
mówimy o rozwi¹zaniach operatorskich). Ponadto proces zarz¹-
szkieletowej MPLS operatora. Mo¿e to byæ dobrze znany OSPF
dzania du¿¹ liczb¹ tablic rutingu w urz¹dzeniach PE mo¿e byæ
lub IS−IS ( Intermadiate System – Intermadiate System). Widaæ
bardzo skomplikowany, a wiêc kosztowny i bardzo wra¿liwy na
b³êdy operatora. W œrodowisku intenetowym pojawiaj¹ siê wrêcz
g³osy, ¿e zarz¹dzanie tak¹ liczb¹ tablic rutingu w jednym urz¹dze-
niu jest nie do koñca zbadane. Próba zbudowania us³ug VPN
opartych na technice zgodnej z RFC2547 wymaga bardzo dobrej
znajomoœci protoko³u BGP. Aby skutecznie wdro¿yæ tego typu
rozwi¹zanie na skalê operatorsk¹, nie wystarczy mieæ bieg³¹ zna-
jomoœæ zasad dzia³ania BGP; potrzebne jest du¿e doœwiadczenie
praktyczne obs³uguj¹cych sieæ – doœwiadczenie takie maj¹ w za-
sadzie tylko ludzie, którzy ju¿ od pewnego czasu obs³uguj¹ wiel-
kie sieci internetowe. Niestety, takich osób jest niezbyt wiele.
Czêsto przy tym jest podawany argument, ¿e pocz¹tkowo konfi-
guracje PE mog¹ opieraæ siê na statycznych wpisach rutingowych
w ruterach PE. Jednak doœwiadczenie pokazuje, ¿e prêdzej czy
póŸniej bêdzie konieczne wprowadzenie dynamicznego rutingu –
wtedy problem ten mo¿e wyst¹piæ ze zdwojon¹ si³¹ (bêdzie to bo-
wiem operacja na „¿ywym organizmie sieciowym”, gdy klienci s¹
O Rys. 2. Idea sieci VPN warstwy 2. Oznaczenia: POP – punkt obec−
ju¿ obs³ugiwani, zaœ operator ma ju¿ ustalon¹ reputacjê). Odzy-
ności operatora, CPE – urządzenia klienta, LER – brzegowy ruter
waj¹ siê nawet takie opinie, jakie wyrazi³ np. Randy Bush z AT&T,
z przełączaniem etykiet, LSR – tranzystowy ruter z przełączaniem
który twierdzi, ¿e technika RFC2547 mo¿e zagroziæ integralnoœci
etykiet, VC−LSP – wirtualna ścieżka z przełączaniem etykiet, Tunnel
ca³ej sieci operatora.
LSP – tunel z przełączaniem etykiet, VLAN – wirtualna sieć lokalna
450
PRZEGLĄD TELEKOMUNIKACYJNY
ROCZNIK LXXV
i WIADOMOŚCI TELEKOMUNIKACYJNE ! ROCZNIK LXXI ! nr 7/2002
wiêc, ¿e w pewnym sensie jeden protokó³ rutingu (LDP w sieci
O Tabela 1. Porównanie cech technik VPN L3 i VPN L2
VPN) siê „wykonuje” na drugim (IGP w sieci szkieletowej). Pew-
MPLS VPN warstwy 3
MPLS VPN warstwy 2
n¹ analogi¹ mo¿e byæ tu transmisja MPLS w szkielecie sieci –
Oparty na technikach sieciowych
Oparty na technikach sieciowych
tam te¿ dochodzi do zagnie¿d¿ania etykiet MPLS. St¹d te¿ mo-
(RFC 2547)
(MPLS Martini draft)
del ten czêsto jest nazywany nak³adkowym.
L2 i L3 w VPN jest zarz¹dzany
L2 jest zarz¹dzany przez operato-
Obecnoœæ protoko³u LDP zapewnia pe³n¹ automatykê przy do-
przez operatora
ra, zaœ L3 przez klienta
³¹czaniu nowego CE do sieci VPN (w sensie rozbudowy lub two-
Ruiting IP sieci VPN klienta jest
Ruting w VPN klienta pozostaje
rzenia nowej kolejnej us³ugi/instancji VPN), zaœ IGP w sieci
w pe³ni widoczny dla operatora.
ca³kowicie niewidoczny dla opera-
szkieletowej zapewnia automatyczne wykrywanie nowego PE
Klient mo¿e u¿ywaæ publicznych
tora
w sieci operatora, np. w procesie rozbudowy sieci szkieletowej
lub prywatnych adresów IP, jed-
nak operator zawsze czêœciowo
o kolejne urz¹dzenia PE. Automatyczne rozpoznawanie nowych
uczestniczy w procesach rutingo-
hostów w samej sieci VPN jest zapewnione przez proces samo-
wych klienta
ucz¹cego siê mostu warstwy drugiej ( Self-Lerning Bridge). Nie-
Technika ograniczona w zasadzie
Technika zupe³nie niezale¿na
bezpieczeñstwo powstania pêtli transmisyjnych w takiej sieci
wy³¹cznie do protoko³u IP
w stosunku do L3. Klient mo¿e ko-
VPN jest likwidowane za pomoc¹ algorytmu Fast Spanning-Tree.
rzystaæ w zasadzie z dowolnych
Takie rozwi¹zanie ma wiele zalet. Transmisja danych pomiê-
protoko³ów L3
dzy poszczególnymi PE, za pomoc¹ œcie¿ek LSP, umo¿liwia wy-
Technika niezale¿na od techniki
Technika niezale¿na od warstwy
korzystanie zaawansowanej in¿ynierii ruchu MPLS do oferowa-
realizacji warstwy drugiem (mo¿e
2 pod warunkiem wprowadzenia
to byæ IP, MPLS)
warstwy 2,5 (czyli MPLS)
nia QoS ( Quality of Service) w sieci VPN. Wystarczy bowiem tak
skonfigurowaæ PE, aby VC-LSP np. z sygna³em g³osowym by³y
transmitowane za pomoc¹ osobnych Tunnel-LSP o gwarantowa-
Telseon i IntelliSpace ju¿ dziœ oferuj¹ us³ugi MAN oparte na
nej jakoœci, aby w danym VPN osi¹gn¹æ niezbêdny QoS dla
Ethernecie. Warte podkreœlenia jest to, ¿e w ich przypadku doœæ
us³ug g³osowych. Rród³o danych typu VoIP w takim VPN przed
wa¿nym czynnikiem, maj¹cym wp³yw na sukces, by³a geogra-
wys³aniem strumienia pakietów VoIP do sieci operatora mo¿e je
ficzna dostêpnoœæ do us³ugi. Zdaniem Azhar Sayeed, IP MPLS
wyró¿niæ za pomoc¹ osobnego 802.1q TagVLAN.
Manager in Cisco’s IOS Technologies Division – tego typu us³u-
Zalet¹ jest tak¿e bardzo prosta wspó³praca urz¹dzeñ CE
gi s¹ ograniczone do miejsc, w których wystêpuje optyczna infra-
klienta z PE operatora. Urz¹dzenie CE, „patrz¹c” na sieæ opera-
struktura œwiat³owodowa. Jako kontrargument mo¿na podaæ, i¿
tora, widzi bowiem zwyk³y most ethernetowy ( Ethernet Bridge).
dziœ ogromna wiêkszoœæ implementacji xDSL oferuje us³ugi
O u¿ytkowej prostocie takiego rozwi¹zania nikogo chyba nie na-
mostowania ( bridging) – tak wiêc wykorzystanie par miedzianych
le¿y przekonywaæ. Wart podkreœlenia jest te¿ fakt, i¿ sieæ VPN
przy dostêpie u¿ytkowników indywidualnych (ADSL) i bizneso-
pracuje na warstwie drugiej modelu ISO-OSI – klient w sieci VPN
wych (SHDSL) jest jak najbardziej mo¿liwe.
mo¿e wiêc transmitowaæ dowolny protokó³ warstwy trzeciej – nie
W styczniu 2001 firma Level 3 rozpoczê³a komercyjne ofero-
tylko IP ale te¿ np. IPX (protokó³ firmy Nowell), NetBIOS czy
wanie us³ug „ Ethernet over MPLS” opartych na Martini drafts.
SNA. Ponadto mo¿e to byæ te¿ protokó³ rozg³oszeniowy, a nie
Korporacyjni klienci Level 3 wykorzystuj¹ us³ugi ³¹czenia swoich
tylko rutowalny protokó³ IP, jak to jest w przypadku RFC2547.
sieci LAN za pomoc¹ techniki 802.1q virtual LAN (VLAN).
Jesieni¹ 2001 r. firma Storm rozpoczê³a oferowanie miêdzyna-
rodowych us³ug transmisji danych opartych na technice Ethernet.
CO WIĘC WYBRAĆ?
Us³uga wykorzystuje technikê MPLS w wersji zgodnej z Martini
drafts. W pierwszym etapie zosta³a ona zaoferowana w Europie
Jak ju¿ wspomniano podejœcie do budowy sieci VPN w war-
Zachodniej. Na pocz¹tku roku 2002 firma zaoferowa³a po³¹cze-
stwie trzeciej jest optymalnym rozwi¹zaniem dla „klasycznych”
nia z Nowym Jorkiem. Storm oferuje swoim klientom
du¿ych sieci operatorów dostêpu do Internetu – operatorów, któ-
przep³ywnoœc regulowan¹ z krokiem 1Mbit/s. Jedn¹ z oferowa-
rzy maj¹ ju¿ zainstalowan¹ i dzia³aj¹c¹ du¿¹ bazê ruterów IP.
nych us³ug jest premium service – us³uga gwarantuje dostêpnoœæ
Rozwi¹zanie to jest wygodne dla operatorów oferuj¹cych us³ugê
na poziomie 99,99% oraz czas obiegu danych ( round-trip) po-
wielu du¿ych sieci VPN z czêsto zmieniaj¹c¹ siê ich topologi¹ tj.
miêdzy USA a Europ¹ poni¿ej 80 milisekund.
tam, gdzie szybka reakcja sieci na zmiany w tej topologii jest
W segmencie sieci MAN ( Metropolitan Area Network) takie fir-
wa¿na.
my, jak Telseon traktuj¹ technikê MPLS VPN warstwy drugiej ja-
Technika VPN warstwy drugiej wydaje siê byæ lepsza dla do-
ko doskona³¹ metodê ³atwego ³¹czenia sieci LAN na obszarach
stawców us³ug zamierzaj¹cych rozszerzyæ zestaw ju¿ istniej¹-
metropolitalnych. Aktualnie Telseon narzuca ograniczenia swoim
cych us³ug warstwy drugiej. Odnosi siê to szczególnie do opera-
klientom wymagaj¹c podawania operatorowi przez klienta
torów zorientowanych na us³ugi czysto transmisyjne. Krótkie
konkretnych adresów MAC ( Media Access Control) i znaczników
podsumowanie obydwu technik pokazano w tabeli 1.
802.1q VLAN – w celu zabezpieczenia w³asnej sieci przed ata-
Zestaw dokumentów opisuj¹cych jedn¹ z technik, le¿¹c¹
kami czy nak³adaniem siê znaczników VLAN. Korzystaj¹c z Mar-
u podstaw rozwi¹zania warstwy drugiej – znany jako Martini draft
tini draft, Telseon bêdzie w stanie zupe³nie wyeliminowaæ tego
– ju¿ dziœ cieszy siê znacznym poparciem wielu dostawców
typu ograniczenia.
sprzêtu sieciowego. Przyk³adem mog¹ tu byæ: Cisco, Extreme
Dla klientów klasy korporacyjnej sieci MPLS VPN warstwy
Networks, Riverstone Networks. Jesieni¹ 2001 r. na ostatnich
drugiej s¹ atrakcyjne, wymagaj¹ one bowiem minimalnej inge-
targach NetWorld+Interop – tacy dostawcy, jak Foundry Ne-
rencji w sprzêt transmisyjny administratora sieci. Urz¹dzenia sie-
tworks czy Laurel Networks pokazali pierwsze, zakoñczone suk-
ciowe korporacji „patrz¹c” na sieæ operatora widz¹ dobrze znan¹
cesem testy wspó³pracy swoich rozwi¹zañ z produktami takich
im technikê. Wygl¹da to tak, jakby u operatora sta³ jeden wielki
firm, jak Cisco, Extreme czy Riverstone. Firmy Atrica, Juniper
prze³¹cznik Ethernet z funkcj¹ VLAN.
Networks, TiMetra czy Tenor Networks s¹ dostawcami bardzo in-
tensywnie pracuj¹cymi nad tego typu technik¹ – pierwsze imple-
✽ ✽ ✽
mentacje powinny byæ dostêpne lada dzieñ. Równie¿ wielu
powa¿nych operatorów rozpoczê³o pierwsze implementacje
Podobnie jak w ka¿dej innej dziedzinie ¿ycia – tak¿e w przy-
tej techniki. Mo¿na tu wspomnieæ o takich operatorach jak: Le-
padku sieci VPN nie ma idealnego rozwi¹zania. Architektura sie-
vel 3 Communications, Cable & Wireless, IntelliSpace i Telseon.
ci transmisyjnej (jeœli taka sieæ istnieje), charakter us³ug i klien-
PRZEGLĄD TELEKOMUNIKACYJNY
ROCZNIK LXXV
i WIADOMOŚCI TELEKOMUNIKACYJNE ! ROCZNIK LXXI ! nr 7/2002
451
tów do³¹czanych do sieci operatora s¹ tu czynnikami decyduj¹-
mniej skomplikowanego, ale zupe³nie odmiennego œwiata IP ( In-
cymi o wyborze jednej z omawianych technik. Na pewno bêd¹
ternet Protocol), BGP ( Border Gateway Protocol).
te¿ operatorzy oferuj¹cy obydwie te techniki jednoczeœnie.
Us³ugi sieci VPN, oparte na MPLS VPN warstwy drugiej ISO-
Technika MPLS VPN warstwy trzeciej wydaje siê byæ optymal-
-OSI wydaj¹ siê znacznie ³atwiejsze i tañsze do zaimplemento-
nym rozwi¹zaniem dla istniej¹cych ju¿ operatorów us³ug interne-
wania dla operatorów ju¿ dziœ maj¹cych w swojej ofercie us³ugi
towych ISP ( Internet Service Providers) – tego typu operatorzy
VPN, które s¹ oparte na technikach drugiej warstwy modelu
zazwyczaj maj¹ ju¿ doskonale opanowane takie techniki, jak IP
ISO-OSI – takich jak ATM czy F. R. Tego typu operatorzy – ma-
czy BGP.
j¹cy ca³kiem niez³e doœwiadczenie w œwiadczeniu us³ug trans-
Z kolei dla wielu istniej¹cych ju¿ klasycznych operatorów sieci
portowych – z ³atwoœci¹ przyjm¹ „nak³adkowy” model MPLS VPN
szkieletowych z³o¿onoœæ i koszty operacyjne zwi¹zane z wdro¿e-
warstwy drugiej. Prawdopodobnie stanie siê tak, bowiem inklina-
niem techniki MPLS VPN warstwy trzeciej mog¹ byæ zabójcze.
cje tego typu operatorów s¹ znacznie silniejsze w kierunku roz-
Podstaw¹ tego przypuszczenia jest odmienna zasada dzia³ania
wi¹zañ po³¹czeniowych typu punkt-punkt ni¿ w kierunku bezpo-
sieci i zwi¹zana z tym koniecznoœæ dosyæ dramatycznej „zmiany”
³¹czeniowego rutingu IP. Ponadto w przypadku tego typu opera-
metod projektowania i in¿ynierii sieci. Operator bowiem musi do-
torów model VPN warstwy trzeciej bêdzie wi¹za³ siê z doœæ
konaæ dosyæ raptownego skoku ze œwiata skomplikowanych
znacznymi wydatkami na najwy¿szej jakoœci sprzêt IP, który jest
technik warstwy drugiej ISO-OSI takich jak ATM, czy F. R. do nie
niezbêdny do realizacji tego typu techniki.
452
PRZEGLĄD TELEKOMUNIKACYJNY
ROCZNIK LXXV
i WIADOMOŚCI TELEKOMUNIKACYJNE ! ROCZNIK LXXI ! nr 7/2002