VPN - IPSEC, wirtualne sieci prywatne

Ciąg dalszy wykładów na temat VPN. Dzisiaj w Akademii Internetu dowiemy się czym są GRE Tunnels.

wszystkie części:  1  2

 

GRE Tunnels:

Protokół GRE (Generic Routing Encapsulation), podobnie jak IPsec, umożliwia tworzenie logicznych połączeń pomiędzy lokalizacjami oddzielonymi siecią publiczną (poprzez zestawianie tuneli point-to-point lub point-to-multipoint między routerami w poszczególnych sieciach). Protokół GRE, w przeciwieństwie do IPsec, umożliwia transmisję ruchu typu multicast, a tym samym uruchomienie routingu dynamicznego pomiędzy lokalizacjami. Minusem protokołu GRE jest brak odpowiednich mechanizmów bezpieczeństwa (jak szyfrowanie danych), ale szczęśliwie ograniczenie to da się obejść zabezpieczając tunele GRE za pomocą protokołów IPsec.

Poniżej przedstawiony jest przykład połączenia 3 oddziałów firmy za pomocą tunelów GRE. Pomiędzy RTR1 i RTR3, oraz RTR2 i RTR3 zestawiony jest routing w oparciu o protokół RIP, dzięki czemu wszystkie 3 routery posiadają informację o sieciach lokalnych znajdujących się w poszczególnych lokacjach. W przypadku zestawiania tuneli GRE przez sieć publiczną koniecznie trzeba pamiętać o zaszyfrowaniu komunikacji poprzez mechanizmy IPSec.

 

 

 

MPLS L3VPN

Kolejnym sposobem zapewnienia łączności między oddalonymi sieciami jest wykorzystanie łącz MPLS. Jest to rozwiązanie drogie i często niedostępne w niektórych lokalizacjach, lecz zapewniające wysokie SLA oraz pełną możliwość implementacji mechanizmów QoS. W przypadku usług MPLS operator tworzy dla danej firmy oddzielną instancję routingu z wykorzystaniem technologii VRF (virtual routing and forwarding).

W celu zestawienia transmisji pomiędzy dwoma (lub większą liczbą oddziałów) konieczne jest zestawienie po obu stronach łącza sesji BGP/OSPF z routerami PE (Provider Edge) operatora, które następnie instalują rozgłoszone trasy w dedykowanej dla danej firmy tablicy routingu.

 

Routery klienckie R1, R2, R3 (CE, Customer Edge) nie wymagają żadnej konfiguracji pod kątem transmisji MPLS. Same zestawienie i konfiguracja połączeń w obrębie sieci MPLS odbywa się po stronie operatora i jest transparentna dla użytkownika.

 

Rozwiązania L2VPN

Oprócz sposobu opisanego w poprzednim wpisie, połączenia site2site można również realizować za pomocą technik L2VPN pozwalających na tworzenie połączenia w warstwie Ethernet (tzw. pseudowires) w infrastrukturze operatora (opartej o technologię MPLS lub IP). Rozwiązania L2VPN, oprócz tworzenia tuneli Ethernet w sieci operatora, pozwalają również na zestawienie połączeń Frame Relay, ATM czy HDLC poprzez sieć publiczną.

Wyróżnia się 3 rodzaje połączeń L2VPN:

E-Line: połączenia point-to-point
E-LAN: połączenia multipoint-to-multipoint
E-Tree: połączenia point-to-multipoint

 

Obecnie najpopularniejszym rozwiązaniem L2VPN wydaje się być Ethernet over MPLS. EoMPLS wspiera zarówno rozwiązania point-to-point (Virtual Private Wire Service – VPWS), pozwalając na zestawienie „tunelii” Ethernet między dwiema lokalizacjami, jak i typu multipoint (Virtual Private LAN service – VPLS).

 

Dla EoMPLS typu VPLS cała infrastruktura operatora, z punktu widzenia użytkownika, wygląda jak przełącznik 2-giej warstwy, do której wpięte są urządzenia klienckie. W rzeczywistości, między routerami PE operatora tworzone są połączenia „pseudowire” (topologia full-mesh).

 

wszystkie części:  1  2

 

 

 

Akademia Internetu EXTEL BIZNES+ jest niekomercyjnym programem edukacyjnym kierowanym przede wszystkim do kadry IT oraz zajmującej się zamówieniami usług dla biur. O nowych artykułach informujemy poprzez newsletter. Napisz do nas