Створення VPN з'єднань за допомогою MPLS

MPLS-VPN - це справжня однорангова VPN, яка розділяє трафік на рівні 3 за допомогою роздільних IP VPN таблиць передачі. MPLS-VPN може відокремити трафік одного замовника від іншого, тому що кожній мережі VPN кожного замовника привласнюється унікальний ідентифікатор (VPN ID). Це створює такі ж умови безпеки, як в мережах АТМ і Frame Relay, тому що користувач мережі VPN не може бачити трафік, що передається за межами цієї мережі.

Ще раз стисло перерахуємо характеристики мереж MPLS-VPN:

1. Використання багатопротокольних розширень BGP для перетворення префіксів адреси IPv4 в унікальні VPN-IPv4 NLRI.

2. З кожним маршрутом замовника пов'язана певна мітка MPLS. Її привласнює PE-маршрутизатор, що стоїть на початку маршруту. Ця мітка використовується для того, щоб направити пакет даних до потрібного крайового РE-маршрутизатора. В процесі передачі пакету даних по магістралі використовуються дві мітки. Верхня мітка направляє пакет до потрібного крайового PE-маршрутизатора. Друга мітка показує, куди цей PE-маршрутизатор повинен направити пакет.

3. У каналах зв'язку між РЕ-маршрутизаторами і СЕ-маршрутизаторамі використовуються стандартні схеми передачі (IP forwarding). PE пов'язує кожен CE з таблицею передачі (forwarding table), в якій зберігаються тільки ті маршрути, які доступні даному CE-маршрутизатору.

У MPLS-VPN мережах прикордонними маршрутизаторами є
PE-маршрутизатори. За підтримкою безлічі мереж VPN в одній спільно використовуваній магістралі абсолютно не потрібне і навіть не рекомендується забезпечувати повну доступність мереж. Повна доступність повинна забезпечуватися тільки між системами, які належать до однієї і тієї ж VPN. Дані про маршрути VPN-IPv4 для конкретної C-мережі передаються
(за допомогою BGP) тільки PE-маршрутизаторам, підключеним до цієї
C-мережі. PE-маршрутизатори, не підключені до C-мережі, не одержують даних про її маршрути. В результаті об'єм інформації про маршрути, який зберігається на PE-маршрутизаторі, не пропорційний загальній кількості мереж VPN, підтримуваних в даній P-мережі. Цей об'єм пропорційний тільки кількості мереж VPN, до яких безпосередньо підключений даний PE-маршрутизатор.

У MPLS-VPN вхідний PE-маршрутизатор повинен підтримувати окрему таблицю (forwarding table) для кожної C-мережі, до якої він підключений. Ця таблиця заповнюється даними про маршрути, що відносяться тільки до цієї конкретної C-мережі. Дані про маршрути збираються через IBGP з інших вузлів PE, підключених до тієї ж C-мережі.

Вхідний PE-маршрутизатор одержує “нормальні IP-пакеты” від свого СЕ-МАРШРУТІЗАТОРА. Далі він шукає “якнайкращий збіг” в VPN B FIB, знаходить IBGP для наступного пристрою (PE2) і привласнює пакету стек міток: Зовнішня мітка + Внутрішня мітка. Всі подальші P-маршрутизатори комутують цей пакет тільки на підставі Зовнішньої мітки. Крайовий PE-маршрутизатор видаляє Зовнішню мітку і за допомогою Внутрішньої мітки визначає, в яку мережу VPN/CE передати пакет. Після цього Зовнішня мітка теж віддаляється, і пакет передається на підключений CE-маршрутизатор.

Маршрут, по якому пакет передається від того, що входить до крайового PE-маршрутизатора, звичайно включає один або декілька проміжних
P-маршрутизаторів. Проміжні P-маршрутизатори не зберігають дані про маршрути VPN і не можуть доставити пакет до кінцевої IP-адреси. Правильне проходження пакету по P-мережі досягається за допомогою комутації по мітках. Якщо для пакету визначений крайовий PE-маршрутизатор, комутація по мітках направляє пакет саме до цього маршрутизатора. Вхідний
PE-маршрутизатор привласнює пакету заголовок для комутації по мітках (Зовнішню мітку), яка указує маршрут (по P-мережі) до крайового
PE-маршрутизатора. Проміжні P-маршрутизатори направляють пакет по цій мітці, а не по IP-адресі. Тому проміжні P-маршрутизатори і не повинні нічого знати про маршрутизацію в C-мережі. Вони також нічого не повинні знати про адреси VPN-IPv4. У принципі, P-маршрутизатори можуть одночасно підтримувати мережі MPLS-VPN і крайові пристрої LSR, що не мають до цих мереж ніякого відношення.