Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Tipos de VPNs

Uma rede privada virtual (VPN) consiste em duas áreas topológicas: a rede do provedor e a rede do cliente. A rede do cliente geralmente está localizada em vários locais físicos e também é privada (sem Internet). Um site do cliente normalmente consistiria em um grupo de roteadores ou outros equipamentos de rede localizados em um único local físico. A rede do provedor, que funciona em toda a infraestrutura pública da Internet, consiste em roteadores que fornecem serviços VPN à rede de um cliente, bem como roteadores que fornecem outros serviços. A rede do provedor conecta os vários sites do cliente no que parece ser uma rede privada para o cliente e o provedor.

Para garantir que as VPNs permaneçam privadas e isoladas de outras VPNs e da Internet pública, a rede do provedor mantém políticas que mantêm as informações de roteamento de diferentes VPNs separadas. Um provedor pode atender várias VPNs, desde que suas políticas mantenham as rotas de VPNs diferentes separadas. Da mesma forma, um site de cliente pode pertencer a várias VPNs, desde que mantenha as rotas das diferentes VPNs separadas.

O sistema operacional Junos® (Junos OS) oferece vários tipos de VPNs; Você pode escolher a melhor solução para o seu ambiente de rede. Cada uma das seguintes VPNs tem recursos diferentes e requer diferentes tipos de configuração:

VPNs de camada 2

A implementação de uma VPN de Camada 2 em um roteador é semelhante à implementação de uma VPN usando outras tecnologias de Camada 2. No entanto, para uma VPN de Camada 2 em um roteador, o tráfego é encaminhado para o roteador no formato de Camada 2. Ele é transportado pelo MPLS pela rede do provedor de serviços e depois convertido de volta para um formato de Camada 2 no local de recebimento. Você pode configurar diferentes formatos de Camada 2 nos sites de envio e recebimento.

Em uma VPN de Camada 2, o roteamento ocorre nos roteadores do cliente, normalmente no roteador CE. O roteador CE conectado a um provedor de serviços em uma VPN de Camada 2 deve selecionar o circuito apropriado no qual enviar tráfego. O roteador PE que recebe o tráfego o envia pela rede do provedor de serviços para o roteador PE conectado ao local de recebimento. Os roteadores PE não precisam armazenar ou processar as rotas do cliente; eles só precisam ser configurados para enviar dados para o túnel apropriado.

Para uma VPN de Camada 2, os clientes precisam configurar seus próprios roteadores para transportar todo o tráfego de Camada 3. O provedor de serviços precisa saber apenas quanto tráfego a VPN de Camada 2 precisa transportar. Os roteadores do provedor de serviços transportam tráfego entre os sites do cliente usando interfaces VPN de Camada 2. A topologia VPN é determinada por políticas configuradas nos roteadores PE.

VPNs de camada 3

Em uma VPN de Camada 3, o roteamento ocorre nos roteadores do provedor de serviços. Portanto, as VPNs de camada 3 exigem mais configuração por parte do provedor de serviços, porque os roteadores PE do provedor de serviços devem armazenar e processar as rotas do cliente.

No Junos OS, as VPNs de Camada 3 são baseadas em RFC 4364, BGP/MPLS IP Virtual Private Networks (VPNs). Essa RFC define um mecanismo pelo qual os provedores de serviços podem usar seus backbones de IP para fornecer serviços VPN de Camada 3 a seus clientes. Os sites que compõem uma VPN de Camada 3 são conectados por meio do backbone de Internet pública existente de um provedor.

As VPNs baseadas no RFC 4364 também são conhecidas como BGP/VPNs MPLS porque o BGP é usado para distribuir informações de roteamento VPN pelo backbone do provedor e o MPLS é usado para encaminhar o tráfego VPN pelo backbone para sites VPN remotos.

As redes de clientes, por serem privadas, podem usar endereços públicos ou endereços privados, conforme definido no RFC 1918, Alocação de endereços para Internets privadas. Quando as redes de clientes que usam endereços privados se conectam à infraestrutura pública da Internet, os endereços privados podem se sobrepor aos endereços privados usados por outros usuários da rede. As VPNs MPLS/BGP resolvem esse problema prefixando um identificador de VPN para cada endereço de um site VPN específico, criando assim um endereço exclusivo tanto na VPN quanto na Internet pública. Além disso, cada VPN tem sua própria tabela de roteamento específica de VPN que contém as informações de roteamento somente para essa VPN.

VPLS

O serviço de LAN privada virtual (VPLS) permite que você conecte locais de clientes geograficamente dispersos como se estivessem conectados à mesma LAN. De muitas maneiras, funciona como uma VPN de camada 2. As VPNs de camada 2 e VPLS usam a mesma topologia de rede e funcionam de maneira semelhante. Um pacote originado na rede de um cliente é enviado primeiro para um dispositivo CE. Em seguida, ele é enviado para um roteador PE dentro da rede do provedor de serviços. O pacote atravessa a rede do provedor de serviços por um LSP MPLS. Ele chega ao roteador PE de saída, que então encaminha o tráfego para o dispositivo CE no local do cliente de destino.

A principal diferença no VPLS é que os pacotes podem atravessar a rede do provedor de serviços de forma ponto a multiponto, o que significa que um pacote originado de um dispositivo CE pode ser broadcast para roteadores PE no VPLS. Por outro lado, uma VPN de Camada 2 encaminha pacotes apenas de ponto a ponto. O destino de um pacote recebido de um dispositivo CE por um roteador PE deve ser conhecido para que a VPN de Camada 2 funcione corretamente.

Somente em uma rede de Camada 3, você pode configurar o serviço de LAN privada virtual (VPLS) para conectar sites de redes locais (LAN) Ethernet geograficamente dispersos uns aos outros através de um backbone MPLS. Para clientes ISP que implementam VPLS, todos os sites parecem estar na mesma Ethernet LAN, mesmo que o tráfego viaje pela rede do provedor de serviços. O VPLS foi projetado para transportar tráfego Ethernet através de uma rede de provedores de serviços habilitada para MPLS. De certas maneiras, o VPLS imita o comportamento de uma rede Ethernet. Quando um roteador PE configurado com uma instância de roteamento VPLS recebe um pacote de um dispositivo CE, ele primeiro verifica a tabela de roteamento apropriada para o destino do pacote VPLS. Se o roteador tiver o destino, ele o encaminhará para o roteador PE apropriado. Se não tiver o destino, ele transmite o pacote para todos os outros roteadores PE que são membros da mesma instância de roteamento VPLS. Os roteadores PE encaminham o pacote para seus dispositivos CE. O dispositivo CE que é o destinatário pretendido do pacote o encaminha para seu destino final. Os outros dispositivos CE o descartam.

Instâncias de roteamento de roteador virtual

Uma instância de roteamento de roteador virtual, como uma instância de roteamento de roteamento e encaminhamento de VPN (VRF), mantém tabelas de roteamento e encaminhamento separadas para cada instância. No entanto, muitas etapas de configuração necessárias para instâncias de roteamento VRF não são necessárias para instâncias de roteamento de roteador virtual. Especificamente, você não precisa configurar um diferenciador de rota, uma política de tabela de roteamento (as vrf-exportinstruções , vrf-importe route-distinguisher e) ou MPLS entre os roteadores P.

No entanto, você precisa configurar interfaces lógicas separadas entre cada um dos roteadores do provedor de serviços que participam de uma instância de roteamento de roteador virtual. Você também precisa configurar interfaces lógicas separadas entre os roteadores do provedor de serviços e os roteadores do cliente que participam de cada instância de roteamento. Cada instância de roteador virtual requer seu próprio conjunto exclusivo de interfaces lógicas para todos os roteadores participantes.

A Figura 1 mostra como isso funciona. Os roteadores G e H do provedor de serviços são configurados para instâncias de roteamento de roteador virtual Red e Green. Cada roteador de provedor de serviços é conectado diretamente a dois roteadores locais de clientes, um em cada instância de roteamento. Os roteadores do provedor de serviços também estão conectados uns aos outros pela rede do provedor de serviços. Esses roteadores precisam de quatro interfaces lógicas: uma interface lógica para cada um dos roteadores de clientes conectados localmente e uma interface lógica para transportar tráfego entre os dois roteadores de provedores de serviços para cada instância de roteador virtual.

Figura 1: Interface lógica por roteador em uma instância Logical Interface per Router in a Virtual-Router Routing Instance de roteamento de roteador virtual

As VPNs de camada 3 não têm esse requisito de configuração. Se você configurar várias instâncias de roteamento VPN de Camada 3 em um roteador PE, todas as instâncias poderão usar a mesma interface lógica para alcançar outro roteador PE. Isso é possível porque as VPNs de camada 3 usam rótulos MPLS (VPN) que diferenciam o tráfego que vai e vem de várias instâncias de roteamento. Sem rótulos MPLS e VPN, como em uma instância de roteamento de roteador virtual, você precisa de interfaces lógicas separadas para separar o tráfego de diferentes instâncias.

Um método de fornecer essa interface lógica entre os roteadores do provedor de serviços é configurando túneis entre eles. Você pode configurar túneis de Segurança IP (IPsec), encapsulamento de roteamento genérico (GRE) ou IP-IP entre os roteadores do provedor de serviços, terminando os túneis na instância do roteador virtual.