Протокол mpls что это
ИТ База знаний
Полезно
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
MPLS (Multiprotocol label switching) является протоколом для ускорения и формирования потоков сетевого трафика, что, по сути, означает сортировку MPLS и расстановку приоритетов в ваших пакетах данных на основе их класс обслуживания (например, IP-телефон, видео или данные Skype). При использовании протоколов MPLS доступная используемая пропускная способность увеличивается, а критически важные приложения, такие как передача голоса и видео, гарантируют 100% бесперебойную работу.
Полный курс по Сетевым Технологиям
В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer
Как работает MPLS?
MPLS это метод маркировки пакетов, который устанавливает приоритетность данных. Большинство соединений сети должны анализировать каждый пакет данных на каждом маршрутизаторе, чтобы точно понимать его маршрут следования.
Виды маршрутизаторов
CE маршрутизатор, используемый со стороны узла клиента, который непосредственно подключается к маршрутизатору оператора.
CE взаимодействует с маршрутизатором со стороны оператора (PE) и обменивается маршрутами внутри PE. Используемый протокол маршрутизации может быть статическим или динамическим (протокол внутреннего шлюза, такой как OSPF, или протокол внешнего шлюза, такой как BGP).
Некоторые маршрутизаторы PE также выполняют маркировку трафика.
Принципы работы MPLS
Входной маршрутизатор с MPLS (напомним, multiprotocol label switching, с английского) будет помечать пакеты данных при входе в сеть расставляя метки, поэтому, маршрутизаторы будут точно понимать, куда направляются данные, без необходимости снова и снова анализировать пакет с данными.
Чтобы понять принцип работы методики MPLS следует отметить, что в традиционной IP-сети каждому маршрутизатору приходится выполнять поиск IP, путем постоянного поиска его в таблицах с пакетами данных с последующей пересылкой на следующий уровень пока пакеты данных не достигнут нужного пункта назначения.
MPLS технология присваивает метку всем IP-пакетам, а тем временем уже сами маршрутизаторы принимают решение о передаче пакета далее на следующее устройство благодаря нужному значению метки. Метка добавляется в составе MPLS заголовка, который добавляется между заголовком кадра (второй уровень OSI) и заголовком пакета (третий уровень OSI) и, по сути, в дальнейшем идет их наложение друг на друга.
| Хедер (заголовок) фрейма | MPLS хедер (заголовок) | Хедер (заголовок) IP пакета | IP пакет |
Методика MPLS вместо этого выполняет «коммутацию меток«, когда первое устройство выполняет поиск маршрутизации, как и прежде, но вместо поиска следующего перехода он находит конечный маршрутизатор назначения по заранее заданному маршруту. Маршрутизатор определяет метку на основе информации, которую будут использовать маршрутизаторы для дальнейшей маршрутизации трафика без необходимости каких-либо дополнительных поисков IP адресов, по достижению конечного маршрутизатора метка удаляется и пакет доставляется с помощью обычной IP маршрутизацией.
В чем преимущество переключения меток по методу MPLS?
Для работы MPLS используют протоколы маршрутизации распространения меток (LDP), простой неограниченный протокол (без поддержки трафика), протокол резервирования ресурсов с проектированием трафика (RSVP-TE). На практике же обычно используют протокол распространения меток (LDP), однако протокол RSVP-TE необходим для функций организации трафика и в сложных сетях фактически не обойтись без этих двух протоколов с настройкой LDP для туннелирования внутри протокола RSVP.
Передача и управление трафиков происходит за счёт технологии Traffic Engineering, которая осуществляет передачу трафика по каналам по наиболее оптимальному маршруту, но с некоторыми ограничениями благодаря технологии CSPF (Constrained Shortest Path First), которая выбирает пути не только пользуясь критерием, основанном на его оптимальной длине маршрута, но еще и учитывает загрузку маршрутов. Используемые протоколы RSVP-TE позволяют резервировать полосы пропускания в сети.
Технология MPLS также имеет защиту от сбоев основываясь предварительном расчете путей резервного копирования для потенциальных сбоев канала или узла. При наличии сбоя в сети автоматически происходит расчет наилучшего пути, но при наличии одного сбоя расчет необходимого пути начинает происходить еще до обнаружения сбоя. Пути резервного копирования предварительно запрограммированы в FIB маршрутизатора в ожидании активации, которая может произойти в миллисекундах после обнаружения сбоя.
Можно выделить следующие преимущества организации VPN на базе MPLS
В заключении следует отметить, что на практике MPLS в основном используется для пересылки единиц данных протокола IP (PDU, (Protocol Data Unit)) и трафика виртуальной частной локальной сети (VPLS) Ethernet. Основными приложениями MPLS являются инженерия телекоммуникационного трафика и MPLS VPN.
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
Протокол mpls что это
MPLS(Multiprotocol Label Switching) — это технология быстрой коммутации пакетов в многопротокольных сетях, основанная на использовании меток. MPLS разрабатывается и позиционируется как способ построения высокоскоростных IP-магистралей, однако область ее применения не ограничивается протоколом IP, а распространяется на график любого маршрутизируемого сетевого протокола.
Традиционно главными требованиями, предъявляемыми к технологии магистральной сети, были высокая пропускная способность, малое значение задержки и хорошая масштабируемость. Однако современное состояние рынка диктует новые правила игры. Теперь поставщику услуг недостаточно просто предоставлять доступ к своей IP-магистрали. Изменившиеся потребности пользователей включают в себя и доступ к интегрированным сервисам сети, и организацию виртуальных частных сетей (VPN), и ряд других интеллектуальных услуг. Растущий спрос на дополнительные услуги, реализуемые поверх простого IP-доступа, обещает принести Intemet-провайдерам огромные доходы.
Для решения возникающих задач и разрабатывается архитектура MPLS, которая обеспечивает построение магистральных сетей, имеющих практически неограниченные возможности масштабирования, повышенную скорость обработки графика и беспрецедентную гибкость с точки зрения организации дополнительных сервисов. Кроме того, технология MPLS позволяет интегрировать сети IP и АТМ, за счет чего поставщики услуг смогут не только сохранить средства, инвестированные в оборудование асинхронной передачи, но и извлечь дополнительную выгоду из совместного использования этих протоколов.
За развитие архитектуры MPLS отвечает рабочая группа с одноименным названием, входящая в секцию по маршрутизации консорциума IETF. В деятельности группы принимают активное участие представители крупнейших поставщиков сетевых решений и оборудования. В архитектуре MPLS собраны наиболее удачные элементы всех упомянутых разработок, и вскоре она должна превратиться в стандарт Internet благодаря усилиям IETF и компаний, заинтересованных в скорейшем продвижении данной технологии на рынок.
В традиционных сетях IP, в общем случае, маршрутизация пакетов осуществляется на основе IP адреса назначения (destination IP address). Каждый маршрутизатор в сети обладает информацией о том, через какой интерфейс и какому соседу необходимо перенаправить пришедший IP-пакет.
Мультипротокольная коммутация по меткам предлагает несколько другой подход. Каждому IP-пакету назначается некая метка.
Метка — это короткий идентификатор фиксированной длины, который определяет класс FEC(Forwarding Equivalence Class – класс сетевого уровня). По значению метки пакета определяется его принадлежность к определенному классу на каждом из участков коммутируемого маршрута.
Рис. №1. Место MPLS заголовка в кадре.
Формат MPLS заголовка представлен на рис. №2.
Рис. №2. Формат MPLS-метки.
Описание полей MPLS-заголовка:
В рамках архитектуры MPLS вместе с пакетом разрешено передавать не одну метку, а целый их стек. Операции добавления/изъятия метки определены как операции на стеке (push/pop). Результат коммутации задает лишь верхняя метка стека, нижние же передаются прозрачно до операции изъятия верхней. Метка может принимать любое значение, кроме нескольких зарезервированных.
Такой подход позволяет создавать иерархию потоков в сети MPLS и организовывать туннельные передачи.
Пример стека изображён на рис №3.
Рис №3. Пример назначения стека меток.
В рамках архитектуры MPLS различают следующие типы устройств:
В основе MPLS лежит принцип обмена меток. Значение метки уникально лишь для участка пути между соседними узлами сети MPLS. Метка передается в составе любого пакета, причем способ ее привязки к пакету зависит от используемой технологии канального уровня.
Маршрутизатор LSR получает топологическую информацию о сети, участвуя в работе алгоритма маршрутизации. Затем он начинает взаимодействовать с соседними маршрутизаторами, распределяя метки, которые в дальнейшем будут применяться для коммутации. Обмен метками может производиться с помощью как специального протокола распределения меток (Label Distribution Protocol, LDP), так и модифицированных версий других протоколов сигнализации в сети (например, незначительно видоизмененных протоколов маршрутизации, резервирования ресурсов RSVP и др.).
Распределение меток между LSR приводит к установлению внутри домена MPLS путей с коммутацией по меткам (Label Switching Path, LSP). Каждый маршрутизатор LSR содержит таблицу, которая ставит в соответствие паре “входной интерфейс, входная метка” тройку “префикс адреса получателя, выходной интерфейс, выходная метка”. Получая пакет, LSR пo номеру интерфейса, на который пришел пакет, и по значению привязанной к пакету метки определяет для него выходной интерфейс. (Значение префикса применяется лишь для построения таблицы и в самом процессе коммутации не используется.) Старое значение метки заменяется новым, содержавшимся в поле “выходная метка” таблицы, и пакет отправляется к следующему устройству на пути LSP.
Вся операция требует лишь одноразовой идентификации значений полей в одной строке таблицы. Это занимает гораздо меньше времени, чем сравнение IP-адреса отправителя с наиболее длинным адресным префиксом в таблице маршрутизации, которое используется при традиционной маршрутизации.
Сеть MPLS делится на две функционально различные области —ядро и граничную область. Ядро образуют устройства, минимальным требованием к которым является поддержка MPLS и участие в процессе маршрутизации графика для того протокола, который коммутируется с помощью MPLS. Маршрутизаторы ядра занимаются только коммутацией. Все функции классификации пакетов по различным FEC, а также реализацию таких дополнительных сервисов, как фильтрация, явная маршрутизация, выравнивание нагрузки и управление графиком, берут на себя граничные LSR. В результате интенсивные вычисления приходятся на граничную область, а высокопроизводительная коммутация выполняется в ядре, что позволяет оптимизировать конфигурацию устройств MPLS в зависимости от их местоположения в сети.
Таким образом, главная особенность MPLS — отделение процесса коммутации пакета от анализа IP-адресов в его заголовке, что открывает ряд привлекательных возможностей. Очевидным следствием описанного подхода является тот факт, что очередной сегмент LSP может не совпадать с очередным сегментом маршрута, который был бы выбран при традиционной маршрутизации. Поскольку на установление соответствия пакетов определенным классам FEC могут влиять не только IP-адреса, но и другие параметры, нетрудно реализовать, например, назначение различных LSP пакетам, относящимся к различным потокам RSVP или имеющим разные приоритеты обслуживания. Конечно, подобный сценарий удается осуществить и в обычных маршрутизируемых сетях, но решение на базе MPLS оказывается проще и к тому же гораздо лучше масштабируется.
Использование явно задаваемого маршрута в сети MPLS свободно от недостатков стандартной IP-маршрутизации от источника, поскольку вся информация о маршруте содержится в метке и пакету не требуется нести адреса промежуточных узлов, что улучшает управление распределением нагрузки в сети.
Процесс коммутации по меткам (label switching)
Рассмотрим схему, приведённую на рис №4. MPLS-домен образован двумя LSR-ами и двумя E-LSR-ами. К домену подключены два маршрутизатора использующие традиционную IP-маршрутизацию.
Рис. №4. Пример прохождения пакета через MPLS-домен.
Рассмотрим путь следования IP-пакета от маршрутизатора А к маршрутизатору В через MPLS домен. Адресом источника IP-пакета является 10.1.1.1 (на рисунке обозначено «s»). Адресом назначения IP-пакета является 10.2.1.1 (на рисунке обозначено «d»). Заголовки кадров не приведены. Таблицы IP-маршрутизации и MPLS-коммутации приведены в табл. №1-5. В таблицах приведены только используемые в примере записи.
Эффективный механизм передачи данных в опорных IP-сетях с использованием технологии MPLS
Введение
Переход к технологиям нового поколения 4G/5G обуславливает все возрастающие требования современных пользователей Интернета, связанные с увеличением полосы пропускания (ШПД), безопасностью, стабильностью связи, расширением спектра предоставляемых услуг, качеством обслуживания (Quality Of Service, QoS) и виртуальными персональными сетями (Virtual Private Network, VPN). Ведущие провайдеры NSP (Network Service Provider) стремятся организовать свой сервис так, чтобы на базе одной опорной сети можно было бы предоставлять комплекс различных услуг, таких, например, как ШПД, IP-телефония, интерактивные игры, потоковое видео (IPTV), электронная торговля, вебинары, видеоконференции, электронная медицина и др.
Одним из эффективных средств, которые могут быть использованы с этой целью, является технология MPLS (Multiprotocol Label Switching — мультипротокольная коммутация по меткам). Эта масштабируемая технология первоначально была разработана фирмой Cisco для передачи данных от одного узла сети к другому с помощью меток, без использования традиционных методов адресации. Сегодня мы можем наблюдать, как MPLS проникает в наиболее популярные направления новых поколений сетевых технологий (Next Generation Networks, NGN), такие, например, как оптические сети, высокоскоростные магистральные IP-сети, беспроводные сети 3G/4G.
Современные MPLS-сети могут работать с IP-пакетами, ячейками ATM, фреймами SONET/SDH, а также могут быть использованы и для передачи стандартных кадров Ethernet. Целесообразно отметить, что MPLS не заменяет IP-маршрутизацию, а работает поверх нее [1].
С точки зрения модели OSI (рис. 1), технология MPLS включает в себя комбинацию методов передачи данных на сетевом (Network layer — L3) и канальном (Data Link layer — L2) уровнях. Контроль трафика реализуется с помощью передачи части функций уровня L2 уровню L3. Поэтому в описании технологии MPLS говорят о комбинированном подуровне, объединяющем преимущества L2 и L3, который часто называют уровнем L2.5 [2].
Рис. 1. Модель OSI для технологии MPLS
Технология MPLS позволяет достаточно легко создавать виртуальные каналы между узлами сети и инкапсулировать различные протоколы передачи данных.
В сетях MPLS пакетам данных присваиваются так называемые «метки» (Label). Они используются в качестве своеобразного адреса узла, которому предназначен конкретный пакет данных. При этом содержание самого пакета не имеет значения, и данные передаются в соответствии с меткой.
Основное преимущество меток заключается в том, что они коммутируются быстрее, чем маршрутизируются пакеты в стандартных IP-сетях. Под термином «стандартные IP-сети» в данной статье подразумеваются сети, в которых для идентификации устройства, подключенного к локальной сети или Интернету, используется уникальный идентификатор — IP-адрес (Internet Protocol Address). В стандартном варианте Internet IETF (далее Интернет) конечный пользователь определяется по IP-адресу пункта назначения (Destination Internet Protocol address). Каждое устройство в IP-сетях имеет возможность выбирать самостоятельно направление доставки пакета в соответствии с IP-адресом пункта назначения и таблицей маршрутизации.
Технология MPLS дает возможность создания сквозного виртуального канала с любым протоколом передачи данных, независимого от среды передачи. Применяя разные метки, можно создавать несколько разных виртуальных сетей на базе одних и тех же узлов. Кроме того, сети MPLS можно масштабировать.
Следует отметить, что прототипы современных меток MPLS использовались и в более ранних технологиях, таких, например, как FR (Frame Relay) и ATM (Asynchronous Transfer Mode). В технологии FR используются метки с изменяемым размером, а в ATM метки имеют фиксированный объем. Однако сама метка трансформируется в процессе передачи [3]. Аналогичный механизм задействован в MPLS, где метка меняется после каждого транзитного шлюза.
На рис. 2 показан классический формат метки MPLS, определенный регламентом RFC [4].
Рис. 2. Классический формат метки MPLS, определенный регламентом RFC
Четыре поля метки занимают общий объем 32 бита. Первое поле («Метка», Label Value), размером 20 бит, определяет путь коммутации по меткам. Второе поле (Experimental, Exp), занимающее 3 бита, первоначально было зарезервировано для развития технологии. Также это поле можно использовать для указания класса трафика, необходимого для обеспечения уровня QoS. Третье поле (Set field, S), размером 1 бит, определяет иерархию стека меток MPLS. В заголовке последней метки бит S = 1, а во всех остальных бит S = 0. Последнее поле (Time to Live, TTL), занимающее 8 бит, используется для определения количества действующих транзитных маршрутизаторов. Информация этого поля позволяет выбраковывать из пакета закольцованные или поврежденные посылки.
В общем случае MPLS поддерживает форматы кадров технологий РРР, Ethernet, Frame Relay и ATM. В этих кадрах можно размещать пакеты сетевого уровня. Самым распространенным на сетевом уровне является протокол IP. В этом случае метка MPLS встраивается в заголовок IP. Основные характеристики и параметры технологии MPLS описаны в Internet Engineering Task Force (IETF): RFC–2547, 2917, 3031, 3032, 3035, 3270 [5, 6]. Подробное описание структуры метки и методов ее организации можно найти, например, в публикации [7]. Пример простейшей сети MPLS показан на рис. 3 [6].
Базовым устройством сети MPLS является маршрутизатор коммутации меток (Label Switch Router, LSR), который в общем случае определяется, как устройство любого типа, способное создавать, менять и удалять метки MPLS в IP-пакетах [8, 9]. Маршрутизатор LSR также может выступать в роли IP-роутера, коммутатора Frame Relay, а также коммутатора АТМ.
В сетях MPLS различают несколько типов маршрутизаторов коммутации меток.
Входной (граничный) маршрутизатор, как следует из названия, — это первое устройство в домене MPLS, предназначенное для связи с другими сетями. В документациях различных производителей граничный маршрутизатор часто обозначают как LER (Label Edge Router) или PER (Provider Edge Router). Именно этот тип роутера генерирует и ставит метку сразу после того, как IP-пакет попадает в сеть MPLS. Кроме того, используется также термин CER (Customer Edge Router). Под этим названием выступает граничный маршрутизатор пользователя, который подключен в сеть провайдера. Термин PER определяет граничный маршрутизатор провайдера, к которому подключаются устройства CE. Чтобы принять пакет, LER, кроме работы с метками MPLS, должен также поддерживать работу с другими протоколами — такими, например, как обычная маршрутизация по IP-адресу.
Выходной (граничный) Egress LSR — это последний маршрутизатор в домене MPLS. Это устройство снимает метку и отправляет «чистый» IP-пакет во внешнюю сеть. Промежуточный (внутренний) Intermediate LSR работает с протоколами MPLS, меняет метки для различных устройств в домене MPLS и коммутирует пакеты по метке. Под LSP (Label Switched Path) понимают совокупность всех роутеров, через которые передается пакет в сетях MPLS.
Сеть Customer’s Network (C Network, клиентская сеть) полностью контролируется только пользователем. Протокол MPLS не поддерживается этой сетью.
Термин Provider’s Network (P Network), или Backbone Network, определяет опорную (магистральную) сеть интернет-провайдера. В таких сетях может поддерживаться технология MPLS.
Принципы работы технологии MPLS
В зависимости от этапа трансляции данных маршрутизаторы в системе MPLS могут реализовывать различные функции коммутации и управления пакетами.
Как было отмечено выше, MPLS работает только в P Network, в то время как C Network работает как обычная IP-сеть. Технология MPLS начинает действовать с того момента, как IP-пакет попадает в клиентские сети.
Граничные маршрутизаторы выполняют функции назначения и удаления меток. Так, например, на рис. 3 входной граничный маршрутизатор LER1 вставляет метку в пакет, поступивший из внешней сети, между заголовком IP и заголовком уровня 2. Кроме того, LER1 устанавливает класс эквивалентности пересылки пакета (Forwarding Equivalency Class, FEC), определяющий пакеты, пересылаемые одинаково. Маршрут, проходящий через один или более LSR, по которому следуют пакеты одного и того же класса FEC, называется скоммутированным по меткам маршрутом LSP. Этот путь определяется полным набором меток во внутренних маршрутизаторах (LSR1–LSR6), через которые передается пакет в домене MPLS. В технологии MPLS также используется понятие LSP-tunnel, под которым подразумевается последовательность маршрутизаторов, в которой первый маршрутизатор является входным, а последний — выходным пунктом некоего виртуального туннеля.
Внутренние маршрутизаторы LSR пересылают пакет с меткой от одного узла к другому. При этом метка заменяется в зависимости от задачи.
Информация о маршруте пакета передается на все подключенные PER с использованием любого протокола, поддерживаемого системой протокола. Такой процесс часто называют термином PER–CER при описании сетей MPLS VPN. Информация о клиенте сохраняется в исполнительной копии программы в виде виртуальной маршрутизации вместо стандартной таблицы маршрутов. Данная процедура обозначается как Virtual Routing & Forwarding (VRF).
Каждому клиенту присваиваются свои собственные уникальные метки-ярлыки. При этом разграничители маршрутов (Route Distinguishers, RD) позволяют выделить нужный сайт клиента среди всех остальных, доступных данному РЕR. Обмен информацией с целевым устройством реализуется с помощью протоколов IGP (Interior Gateway Protocols), в качестве которых могут быть использованы OSPF, RIP, EIGRP и др.
В большинстве случаев замена меток осуществляется с помощью LDP (Label Distribution Protocol). Однако необходимо иметь в виду, что в случае использования MPLS/BGP VPN применяется многофункциональный протокол BGP (MP–BGP).
Для дополнительной протокольной сигнализации и трафик-инжиниринга в сетях MPLS, как правило, применяется протокол резервирования сетевых ресурсов (Resource ReSerVation Protocol, RSVP).
Следует упомянуть режим работы маршрутизаторов MPLS, связанный с созданием таблицы пересылки (Label Information Base, LIB), которая содержит входную метку и дополнительные вложенные записи. Вложенная запись может нести информацию о назначенной выходной метке, номере выходного интерфейса и адресе следующего внутреннего маршрутизатора LSR.
Выходной граничный маршрутизатор LER2 (рис. 3) снимает метку и направляет пакет во внешнюю сеть [10].
Рис. 3. Пример простой сети MPLS
Функции контроля, управления и пересылки данных технологии MPLS схематически показаны на рис. 4.
Рис. 4. Уровни управления и пересылки данных технологии MPLS
Архитектура MPLS имеет двухуровневую структуру — уровень управления (Control Plane) и уровень пересылки данных (Data Plane). В процессе пересылки пакета по сети MPLS от одного узла к другому метки могут меняться. При этом роутеры на каждом этапе обмениваются соответствующей информацией и выполняют определенные функции.
Сеть MPLS может конфигурироваться с помощью специальных программных средств.
Сразу после появления IP-пакета в сети MPLS ему присваивается метка, которая вставляется между заголовком канального уровня и заголовком IP.
Если сеть имеет несколько транзитных узлов, то при попадании данных в сеть MPLS первый граничный маршрутизатор присваивает IP-пакету свою метку. Затем этот пакет направляется к заданному узлу, и каждый следующий маршрутизатор меняет одну метку на метку другого узла. После выхода из сети MPLS метка снимается и дальше транслируется непосредственно IP-пакет, в том неискаженном виде, каким он был на входе в эту сеть. При этом IP-пакеты могут направляться как в сети пользователя, так и в другие магистральные сети с поддержкой MPLS.
Как видно из рассмотрения рис. 4, последовательность выполнения конкретной операции для определенного маршрутизатора определяется отрабатываемыми на данный момент времени управляющими командами.
Методы доставки пакетов
IP-адресация
Устройство в магистральной IP-сети имеет огромное количество адресных записей, которые сохраняются в IP-таблице маршрутизации. Поиск нужного адреса в таблице представляет собой достаточно сложную комплексную операцию. Роутер должен выполнять поиск IP-адреса по всей таблице для каждого поступающего на него IP-пакета.
Современные маршрутизаторы содержат целый ряд аппаратных и программных средств оптимизации выбора маршрутов. В то же время процедура поиска нужного адреса может отнимать дополнительные ресурсы ЦП, особенно при перестройке таблицы маршрутизации в аварийных ситуациях, при обновлениях маршрутной информации и др.
Метод доставки пакетов в MPLS принципиально отличается от стандартного метода IP, основанного на адресах пунктов назначения. Вместо этого используется метка, внедряемая в заголовок пакета.
Маршрутизатор MPLS проверяет входящую метку и меняет ее на соответствующую исходящую, просматривая таблицу LFIB (Label Forwarding Information Base). Размер таблицы LFIB много меньше по сравнению с IP-таблицей маршрутизации IP-сети.
Поскольку в сети MPLS заранее определяется алгоритм работы с метками, каждое устройство действует в соответствии с общими правилами и не может по своему усмотрению трактовать приоритет и назначение метки.
Технология MPLS в VPN
VPN строятся на базе специальных технологий и протоколов, которые позволяют подключать к частной сети сервисные сети через стандартный Интернет. VPN дают возможность подключения клиентов через маршрутизатор с использованием частных, а не публичных адресов, как это реализуется в варианте IP-сети.
В варианте клиентского VPN личные данные с частными адресами упаковываются в пакеты с публичными адресами и пересылаются через Интернет. В случае провайдерского VPN клиенту предоставляется несколько точек подключения с каналами связи между ними.
В технологии MPLS VPN используется так называемый виртуальный маршрутизатор (Virtual Routing and Forwarding instance, VRF), который дает возможность организовать на одном физическом маршрутизаторе множество виртуальных. Основные параметры отдельных виртуальных маршрутизаторов, такие, например, как таблицы маршрутизации (FIB), список интерфейсов и другие, являются строго индивидуальными. Следует подчеркнуть, что каждый VRF жестко привязан к конкретному физическому маршрутизатору и не может быть задействован другими маршрутизаторами. Однако, несмотря на то, что между отдельными VRF возможно установление связи, они обособлены также и от самого физического маршрутизатора. Таким образом, реализуется возможность создания множества виртуальных сетей, которые друг с другом не пересекаются.
В технологии MPLS VPN вводятся дополнительные понятия (согласно терминологии Cisco): граничный маршрутизатор клиента (CER), который подключен в сеть провайдера, и граничный маршрутизатор провайдера (PER), к которому подключаются устройства CE. Частный клиентский трафик вводится на одном конце PER и выводится на другом его конце в узле назначения. В технологии MPLS VPN коммутация в пределах магистральной сети осуществляется по одной метке MPLS, а принадлежность к конкретному VPN определяется по другой, дополнительной метке. PER назначает и снимает сервисные метки. В принятой терминологии роутеры PE играют роль Ingress LSR и Egress LSR.
Транзитный маршрутизатор, который не является точкой подключения и просто коммутируется по транспортной метке, обозначается как P (Provider router). На нем нет интерфейсов, привязанных к VPN.
Маршрутная информация для конкретного клиента не сохраняется в общей таблице IP-маршрутизации. Вместо этого в память PER записываются данные маршрутизации для каждого VPN, определяющие его путь и конечный пункт назначения.
В настоящее время существуют две различные технологии — L2VPN и L3VPN, в названиях которых подчеркивается тот факт, что передача пакетов в данной технологии реализуется либо через второй (L2), либо через третий (L3) уровни модели OSI.
Технология MPLS L3VPN
Технология MPLS L3VPN позволяет передавать пакеты с использованием только одного протокола IP через сетевой уровень (Network L3).
В случае MPLS L3VPN частные сети подключаются к сервису с использованием магистральной сети MPLS. Этот тип VPN обладает лучшей производительностью, большей масштабируемостью и гибкостью. Частный трафик вводится в LSP-туннель через первый граничный маршрутизатор и выводится из него через последний граничный. В технологии MPLS L3VPN на уровне L3 реализуются: логическая адресация, определение маршрута, вставка заголовка IP в пакет. Одним из основных преимуществ данной технологии является то, что на магистральной сети трафик групп пользователей изолируется, и при этом гарантируется, что данные каждой из групп не будут смешиваться.
Информация о маршрутизации клиента не сохраняется в глобальной адресной таблице. Вместо этого используется виртуальный маршрутизатор VRF.
Следует отметить, что для данной технологии в настоящее время не существует стандартной, общепринятой процедуры обеспечения безопасности. Кроме того, существенным ограничением технологии L3 VPN является то, что она не может работать с другими протоколами, реализуемыми через канальный уровень: например, нельзя использовать интерфейс E1.
Технология MPLS L2VPN и функция AToM
Технология MPLS L2VPN позволяет работать с протоколами второго канального уровня (Data Link L2), на котором определяются правила использования физического уровня узлами сети. С протоколами канального уровня работают некоторые базовые станции мобильной связи и большинство современных дата-центров. Технология стандартизована документами IETF. Она также поддерживает работу с IP-пакетами, поэтому представляется более гибкой и универсальной по сравнению с MPLS L2VPN.
Важнейшей особенностью технологии MPLS L2VPN является функция AToM (Any Transport over MPLS), которая дает возможность инкапсулировать трафик любого канального уровня в MPLS-пакеты [11].
Функция AToM поддерживает следующие протоколы:
Технология L2VPN позволяет реализовать сети двух типов конфигурации. В сетях типа P2P (Point-to-Point) используется принцип псевдопровода (PseudoWire, PW), позволяющий использовать сеть провайдера как один виртуальный туннель (провод), соединяющий два PER, по которому информация передается без изменений. В литературе сервис MPLS L2VPN P2P также называют Virtual Private Wire Service.
В варианте сети P2M (Point-to-Multipoint), который может быть реализован только для Ethernet, сеть MPLS работает как обычный Ethernet-коммутатор. В этом методе отдельные части сети заказчиков фактически представляют собой одну ЛВС, по которой пересылаются фреймы Ethernet. Такие сети часто называют Virtual Private LAN Service (VPLS).
Спецификации и приложения MPLS
Оптимизация управления трафиком MPLS
В англоязычной литературе оптимизация управления трафиком определяется очень емким термином Traffic Engineering (TE). В общем случае под термином ТЕ MPLS подразумевают управление трафиком на базе создания оптимальной модели маршрутизации, обеспечивающей заданное качество обслуживания QoS при минимальных затратах сетевых ресурсов и их сбалансированной загрузке. Такой подход позволяет получить лучшие условия трафика, поскольку учитывает не только кратчайший маршрут, но также дополнительные параметры — такие, например, как полоса пропускания, качество обслуживания и др. [3]. Механизмы, заложенные в структуре ТЕ MPLS, позволяют обеспечить разное качество обслуживания (QoS) для трафиков разных типов. Благодаря отмеченным свойствам ТЕ MPLS в последнее время начинает активно применяться в различных сервисах ИТ и беспроводных технологий.
Спецификация Generalized MPLS (GMPLS)
Модернизированная, расширенная версия MPLS, получившая название Generalized MPLS (GMPLS), стандартизована в документации IETF RFC 3495. Спецификация GMPLS поддерживает работу с оптическими сетями с пространственной и временной коммутацией на канальном уровне L2. В технологии GMPLS поддерживаются SONET/SDH, PDH и TDM [11]. Эта спецификация предназначена для использования в системах оптического управления, а также в системах коммутации пакетов физического пути поверх оптического. Благодаря использованию MPLS непосредственно поверх уровня DWDM появилась возможность отказаться от ATM и SDH. Технология GMPLS позволяет заметно улучшить качество эксплуатации, администрирования и обслуживания сетей MPLS.
Транспортный профиль MPLS-TP
Транспортный профиль MPLS (MPLS-TP) представляет собой стандарт, разработанный IETF специально для использования технологии MPLS в транспортных сетях [12]. Эта спецификация позволяет интегрировать различные транспортные сети в единую инфраструктуру, позволяющую сократить расходы обслуживания и повысить эффективность управления.
В настоящее время спецификация MPLS-TP используется для управления распределением ресурсов, а также для диагностики и устранения сбоев на маршрутах LSP в сетях с псевдопроводом. В таких приложениях используются две важные дополнительные опции: метка общего связанного канала (Generic Associated Channel Label, GAL) и специальный заголовок общего связанного канала (Generic Associated Channel Header, G-Ach).
Опция GAL вводит специальную метку для общего связанного канала управления. Специальное поле заголовка G-Ach идентифицирует тип полезной нагрузки, содержащейся в маршрутах коммутации с меткой MPLS (LSP). G-Ach имеет тот же формат, что и заголовок канала управления, связанный с псевдопроводной связью.
Подробная информация о стандарте MPLS-TP приведена в документе RFC 5654. Дополнительную информацию о GAL и G-Ach можно найти в RFC 5586.
Технология MPLS в беспроводных сетях и сетях MANET
Сети нового поколения 4G представляют собой полноценные IP-системы, в которых голосовая связь и широкополосный доступ выступают в роли приложений. Поэтому оптимизация контроля трафика, модернизация систем IP-адресации и VPN являются крайне актуальными задачами, стоящими перед разработчиками систем 4G/5G.
В беспроводных сетях использование технологии MPLS связано, прежде всего, с разработкой новых систем, связывающих базовые станции с функциональными элементами LTE, которые в англоязычной литературе обозначают термином Mobile Backhaul. Системы Mobile Backhaul в сетях 4G играют одну из главных ролей при предоставлении всех необходимых сервисов, а также в обеспечении синхронизации и качества обслуживания QoS, гарантированного соглашением об уровне сервисных услуг (Service-Level Agreement, SLA).
С этой точки зрения технология MPLS позволяет объединять различные виды транспортного трафика в беспроводных сетях. Кроме того, MPLS дает возможность выбора нескольких вариантов подключения сетей поставщиков услуг, обеспечивая наилучший уровень сервиса для каждого конкретного пользователя.
В настоящее время технология MPLS широко используется не только в магистральных и локальных сетях Ethernet, беспроводных сетях, но также находит все большее применение в MANET, состоящих из мобильных устройств, которые могут независимо передвигаться в любых направлениях. В таких сетях, из-за частого самопроизвольного разрыва связи и необходимости ее быстрого восстановления, одной из основных проблем является сохранение маршрутизации и идентификации узлов назначения. С этой точки зрения технология адресации с использованием меток является очень перспективной для MANET. Более подробно эти вопросы рассмотрены в документе RFC 7367.
Проблемы безопасности в сетях MPLS
Концепция безопасности MPLS
Принципы конфиденциальности в сетях MPLS базируются на запрете приема маршрутной информации и пакетов с метками от непроверенных источников. В сетях IP для этой цели могут быть использованы стандартные средства, например IPSec. В MPLS-сетях, в которых работа с метками осуществляется на канальном уровне, применяется протокол туннельного соединения второго уровня (Layer 2 Tunnelling Protocol, L2TP), поддерживающий процедуры аутентификации. Также на этом уровне используется протокол туннельного соединения (Point to Point Tunneling Protocol, PPTP), обеспечивающий, помимо прочего, функции шифрования.
Для большинства приложений MPLS работа с метками реализуется через протокол распределения меток (Label Distribution Protocol, LDP) [13].
Так, как в технологии MPLS не требуется читать заголовки транспортируемых пакетов, LDP-сообщения не подвергаются шифрованию и не нуждаются в аутентификации. Этот момент можно рассматривать как недостаток — с точки зрения уязвимости сети к хакерским атакам.
Уязвимость протокола LDP
В протоколе LDP не предусмотрены специальные механизмы, обеспечивающие защиту от несанкционированного распределения меток.
В принципе, преднамеренные внешние воздействия могут привести к игнорированию адресов определенных узлов и грубому искажению маршрута. Кроме того, возможно несанкционированное создание «вредоносного» LSP, которым можно манипулировать с использованием внешних сетей.
Угрозу, с точки зрения хакерских атак, при работе с LDP представляют два типа передачи данных: по протоколам UDP и TCP. При использовании UDP работа сети может быть нарушена с помощью сообщений типа «Hello», с адресацией ко всем узлам типа «To all LSR» во всех группах многоадресной рассылки данной подсети. Предотвратить такие атаки можно с помощью запрета подобных сообщений, полного запрета приема сообщений от непроверенных источников или введения дополнительной защитной информации.
Протокол TCP при передаче сообщений LDP уязвим на уровне имитированных сегментов TCP в LDPK-сеансах. Для борьбы с подобными методами используется сигнатура TCP Message Digest 5 (MD5). Более подробно эти проблемы описаны в документе RFC 2385.
Уязвимость меток к атакам полного перебора
Существенную опасность для сетей MPLS представляют так называемые атаки полного перебора (Brute Force Attack, BFA). В этом случае внешний сервер методом перебора всех возможных значений адресов пытается установить связь с меткой. После получения ответа от взломанной метки сервер получает возможность управлять ею и перераспределять маршруты по своему усмотрению. Кроме того, искаженная информация может быть занесена в информационную базу меток (Label Information Base, LIB), что равнозначно разрушению всей сети.
В качестве защиты от подобного рода атаки для особо критичных узлов сети используются специальные системы шифрования. Однако это значительно увеличивает расход ресурсов сети.
Экспериментальные исследования сети с поддержкой технологии MPLS
Структурная схема эксперимента
Авторами данной статьи были проведены экспериментальные исследования сравнительных характеристик сетей IP и MPLS для различных вариантов конфигурации и режимов работы. На рис. 5 показана структурная схема экспериментальных исследований.
Сеть тестировалась посредством передачи голосового трафика между конечными устройствами сети, показанной на рис. 5.
Рис. 5. Структурная схема экспериментальных исследований сравнительных характеристик стандартных IP- и MPLS-сетей
На схеме роль входного маршрутизатора, принимающего исходный пакет и помещающего в него метку MPLS, выполняет роутер Ingress_R1. Промежуточные маршрутизаторы LSR_R1–LSR_R6 перенаправляют пакеты по сети. Последний выходной узел Egress_R6 направляет исходный пакет к адресату, находящемуся вне MPLS-сети.
В качестве IP-маршрутизаторов (R1 и R2) использовались стандартные роутеры Cisco 4000. Роутеры R1 и R2, по существу, являются граничными маршрутизаторами пользователя (CE) и обеспечивают прямое подключение к маршрутизатору провайдера (PE — Ingress_R1), с которого и начинает функционировать сеть MPLS. Голосовой трафик обеспечивался устройствами PC1–PC6.
Для сравнения сквозной задержки в обеих сетях (End-To-End Delay, E2ED) маршруты MPLS были заменены на стандартные IP-маршрутизаторы Cisco 4000.
Для моделирования сетей было задействовано программное обеспечение OPNET, с помощью графической среды которого тестировались и анализировались экспериментальные параметры прохождения голосового трафика через сеть.
Результаты экспериментальных исследований
На рис. 6 приведены результаты определения эффективности использования ЦПУ различными устройствами сети, показанными на рис. 5.
Рис. 6. Результаты измерений эффективности использования ЦПУ различными устройствами сети
Полученные результаты позволяют говорить о том, что в сети MPLS, показанной на рис. 5, при использовании голосового трафика и программного обеспечения OPNET маршрутизаторы MPLS использовали примерно 8% загрузки ЦПУ. В то же время в стандартной IP-сети с аналогичной конфигурацией, в которой LSR были заменены на роутеры Cisco, IP-маршрутизатор R1 отбирал примерно 30% загрузки. В принципе, такая разница загрузки ЦПУ может быть объяснена разницей методов пересылки пакетов в IP и MPLS. Вполне вероятно, что в другой схеме построения эксперимента и для других видов трафика результаты могут быть другие. Следует отметить, что загрузка ЦПУ в значительной мере зависит от количества устройств в сети и используемого программного обеспечения. Поэтому в реальных магистральных сетях загрузка ЦПУ будет выше из-за большего количества использованных устройств, а соответственно, и большего количества записей в таблицах IP-адресов и LFIB.
Рис. 7. Результаты измерений сквозной транзитной задержки голосового пакета в сетях с IP-адресацией
На рис. 7 приведены результаты измерений транзитной задержки голосового пакета (E2ED) в стандартной IP-сети. Результаты испытаний показали, что сквозная транзитная задержка в IP-сети составляет почти 156 мс. Для некоторых приложений, таких, например, как Voice over IP (VoIP), такие времена задержки считаются недопустимо большими. Как показано на рис. 8, за счет использования более эффективного механизма пересылки пакетов в технологии MPLS сквозная транзитная задержка уменьшается до 140 мс.
Рис. 8. Результаты измерений сквозной транзитной задержки голосового пакета в MPLS-сетях
То же самое относится не только к голосовой сети, но и к другим видам трафика, поддерживаемым сетью.
Меньшая задержка приводит к повышению пропускной способности, а также к потерям и закольцовываниям пакетов, что улучшает общую производительность магистральной сети.
Одним из важных параметров, характеризующих работу сети, является вычислительная задержка (PD), определяемая как время обработки пакета маршрутизатором. На рис. 9 показаны результаты определения вычислительной задержки маршрутизаторов в сетях IP и MPLS.
Рис. 9. Результаты определения вычислительной задержки маршрутизаторов в сетях IP и MPLS
Приведенные на нижней части рисунка данные для роутера R1 в стандартной IP-сети дают значение вычислительной задержки, равное примерно 250 мкс. В то же время в сети MPLS вычислительная задержка для маршрутизаторов Egress_R6 и LSR_R1 на порядок меньше (около 20 мкс) за счет упрощенного механизма адресации с помощью меток.
Заключение
Стратегия переадресации, используемая в традиционных сетях с IP-адресацией, очень громоздка и требует значительных затрат вычислительных ресурсов. Использование технологии MPLS позволяет значительно уменьшить загрузку ЦПУ и сократить вычислительную задержку маршрутизаторов.
Простая схема адресации, совместимость с другими технологиями и поддержка протокола IPv6 объясняют, почему технология MPLS становится все более привлекательной для использования в различных магистральных сетях. Благодаря ряду эффективных функций эта технология с успехом внедряется в таких приложениях, как MPLS/BGP VPN, VPLS и других мобильных сетях с обратной связью. Также технология MPLS нашла применение в транспортных сетях и MANET.
Из недостатков технологии MPLS следует отметить несовершенство методов безопасности, связанное с отсутствием соответствующих стандартов. Возрастающая агрессивность хакерских атак на интеллектуальные сети вызывает необходимость разработки более надежных методов защиты. Поэтому вопросы совершенствования и стандартизации способов защиты сетей MPLS от хакерских атак представляются крайне актуальными. С этой точки зрения важно всесторонне исследовать возможные варианты уязвимости механизмов перераспределения меток. Кроме того, необходимо обратить внимание на проблему зацикливания пакетов в сетях MPLS. Также требуется дальнейшее совершенствование методики применения протокола IPv6 в сетях MPLS.
В документе RFC 3945 подробно описан модернизированный вариант технологии — GMPLS, который дает возможность использования технологии меток в приложениях TDM. Это направление является перспективным и требует детального изучения.
Особый интерес представляет внедрение MPLS в беспроводные технологии LTE, WiMAX и другие, использующие протоколы IP.