Tipos de VPNs
Uma rede privada virtual (VPN) consiste em duas áreas topológicas: a rede do provedor e a rede do cliente. A rede do cliente é comumente localizada em vários sites físicos e também é privada (não-Internet). Normalmente, um site do cliente consistia em um grupo de roteadores ou outros equipamentos de rede localizados em um único local físico. A rede do provedor, que é executado em toda a infraestrutura de Internet pública, consiste em roteadores que fornecem serviços VPN para a rede de um cliente, bem como roteadores que fornecem outros serviços. A rede do provedor conecta os vários sites de clientes no que parece ser uma rede privada para o cliente e o provedor.
Para garantir que as VPNs permaneçam privadas e isoladas de outras VPNs e da Internet pública, a rede do provedor mantém políticas que mantêm as informações de roteamento de diferentes VPNs separadas. Um provedor pode atender várias VPNs desde que suas políticas mantenham rotas de diferentes VPNs separadas. Da mesma forma, um site do cliente pode pertencer a várias VPNs, desde que mantenha as rotas das diferentes VPNs separadas.
O Junos® Operating System (Junos OS) oferece vários tipos de VPNs; você pode escolher a melhor solução para o seu ambiente de rede. Cada uma das VPNs a seguir tem recursos diferentes e requer diferentes tipos de configuração:
VPNs de Camada 2
Implementar uma VPN de Camada 2 em um roteador é semelhante à implementação de uma VPN usando uma tecnologia de Camada 2, como ATM ou Frame Relay. No entanto, para uma VPN de Camada 2 em um roteador, o tráfego é encaminhado para o roteador em formato de Camada 2. Ele é transportado pelo MPLS pela rede do provedor de serviços e depois convertido de volta ao formato de Camada 2 no site de recebimento. Você pode configurar diferentes formatos de Camada 2 nos sites de envio e recebimento. A segurança e a privacidade de uma VPN de Camada 2 MPLS são iguais às de uma VPN atm ou Frame Relay.
Em uma VPN de Camada 2, o roteamento ocorre nos roteadores do cliente, normalmente no roteador CE. O roteador CE conectado a um provedor de serviços em uma VPN de Camada 2 deve selecionar o circuito apropriado para enviar tráfego. O roteador PE que recebe o tráfego envia-o pela rede do provedor de serviços para o roteador PE conectado ao site de recebimento. Os roteadores PE não precisam armazenar ou processar as rotas do cliente; eles só precisam ser configurados para enviar dados para o túnel apropriado.
Para uma VPN de Camada 2, os clientes precisam configurar seus próprios roteadores para transportar todo o tráfego de Camada 3. O provedor de serviços precisa saber apenas quanto tráfego a VPN de Camada 2 precisa transportar. Os roteadores do provedor de serviços transportam tráfego entre os sites do cliente usando interfaces VPN de Camada 2. A topologia vpn é determinada por políticas configuradas nos roteadores PE.
VPNs de Camada 3
Em uma VPN de Camada 3, o roteamento ocorre nos roteadores do provedor de serviços. Portanto, as VPNs de Camada 3 exigem mais configuração por parte do provedor de serviços, porque os roteadores PE do provedor de serviços devem armazenar e processar as rotas do cliente.
No Junos OS, as VPNs de Camada 3 são baseadas em RFC 4364, BGP/MPLS IP Virtual Private Networks (VPNs). Esse RFC define um mecanismo pelo qual os provedores de serviços podem usar seus backbones IP para fornecer serviços VPN de Camada 3 aos seus clientes. Os sites que compõem uma VPN de Camada 3 estão conectados pelo backbone da Internet pública existente de um provedor.
VPNs baseadas no RFC 4364 também são conhecidas como VPNs BGP/MPLS porque o BGP é usado para distribuir informações de roteamento VPN no backbone do provedor, e o MPLS é usado para encaminhar o tráfego de VPN pelo backbone para sites vpn remotos.
As redes de clientes, por serem privadas, podem usar endereços públicos ou endereços privados, conforme definido no RFC 1918, alocação de endereços para Internets privadas. Quando as redes de clientes que usam endereços privados se conectam à infraestrutura pública da Internet, os endereços privados podem se sobrepor aos endereços privados usados por outros usuários da rede. As VPNs BGP/MPLS resolvem esse problema prefixando um identificador de VPN em cada endereço de um determinado site de VPN, criando assim um endereço exclusivo tanto na VPN quanto na Internet pública. Além disso, cada VPN tem sua própria tabela de roteamento específica para VPN que contém as informações de roteamento apenas para essa VPN.
VPLS
O serviço de LAN privada virtual (VPLS) permite que você conecte sites de clientes geograficamente dispersos como se estivessem conectados à mesma LAN. Em muitos aspectos, funciona como uma VPN de Camada 2. VPLS e VPNs de Camada 2 usam a mesma topologia e função de rede de maneira semelhante. Um pacote originado na rede de um cliente é enviado primeiro para um dispositivo CE. Em seguida, ele é enviado para um roteador PE dentro da rede do provedor de serviços. O pacote atravessa a rede do provedor de serviços por um LSP MPLS. Ele chega ao roteador PE de saída, que depois encaminha o tráfego para o dispositivo CE no local do cliente de destino.
A principal diferença no VPLS é que os pacotes podem atravessar a rede do provedor de serviços de forma ponto a multiponto, o que significa que um pacote originado de um dispositivo CE pode ser transmitido para roteadores PE no VPLS. Por outro lado, uma VPN de Camada 2 encaminha pacotes apenas de forma ponto a ponto. O destino de um pacote recebido de um dispositivo CE por um roteador PE deve ser conhecido para que a VPN de Camada 2 funcione corretamente.
Somente em uma rede de Camada 3, você pode configurar serviços de LAN privadas virtuais (VPLS), para conectar sites de redes locais de Ethernet (LAN) geograficamente dispersos entre si em um backbone MPLS. Para os clientes isp que implementam VPLS, todos os sites parecem estar na mesma LAN Ethernet, embora o tráfego viaje pela rede do provedor de serviços. O VPLS foi projetado para transportar o tráfego Ethernet por uma rede de provedores de serviços habilitada para MPLS. De certas maneiras, o VPLS imita o comportamento de uma rede Ethernet. Quando um roteador PE configurado com uma instância de roteamento VPLS recebe um pacote de um dispositivo CE, ele primeiro verifica a tabela de roteamento apropriada para o destino do pacote VPLS. Se o roteador tiver o destino, ele o encaminha para o roteador PE apropriado. Se ele não tiver o destino, ele transmite o pacote para todos os outros roteadores PE que são membros da mesma instância de roteamento VPLS. Os roteadores PE encaminham o pacote para seus dispositivos CE. O dispositivo CE que é o destinatário pretendido do pacote o encaminha ao seu destino final. Os outros dispositivos CE o descartam.
Instâncias de roteamento de roteador virtual
Uma instância de roteamento de roteador virtual, como uma instância de roteamento e encaminhamento de VPN (VRF), mantém tabelas separadas de roteamento e encaminhamento para cada instância. No entanto, muitas etapas de configuração necessárias para instâncias de roteamento VRF não são necessárias para instâncias de roteamento de roteador virtual. Especificamente, você não precisa configurar um diferencial de rota, uma política de tabela de roteamento (o vrf-export
, vrf-import
e route-distinguisher
declarações) ou MPLS entre os roteadores P.
No entanto, você precisa configurar interfaces lógicas separadas entre cada um dos roteadores de provedores de serviços que participam de uma instância de roteamento de roteador virtual. Você também precisa configurar interfaces lógicas separadas entre os roteadores de provedores de serviços e os roteadores de clientes que participam de cada instância de roteamento. Cada instância do roteador virtual requer seu próprio conjunto exclusivo de interfaces lógicas para todos os roteadores participantes.
A Figura 1 mostra como isso funciona. Os roteadores de provedores de serviços G e H estão configurados para instâncias de roteamento de roteador virtual Red e Green. Cada roteador de provedor de serviços está diretamente conectado a dois roteadores de clientes locais, um em cada instância de roteamento. Os roteadores de provedores de serviços também estão conectados entre si na rede de provedores de serviços. Esses roteadores precisam de quatro interfaces lógicas: uma interface lógica para cada um dos roteadores de clientes conectados localmente e uma interface lógica para transportar tráfego entre os dois roteadores de provedores de serviços para cada instância do roteador virtual.
As VPNs de Camada 3 não têm esse requisito de configuração. Se você configurar várias instâncias de roteamento VPN de Camada 3 em um roteador PE, todas as instâncias podem usar a mesma interface lógica para chegar a outro roteador PE. Isso é possível porque as VPNs de Camada 3 usam rótulos MPLS (VPN) que diferenciam o tráfego indo e vindo de várias instâncias de roteamento. Sem rótulos MPLS e VPN, como em uma instância de roteamento de roteador virtual, você precisa de interfaces lógicas separadas para separar o tráfego de diferentes instâncias.
Um método de fornecer essa interface lógica entre os roteadores de provedores de serviços é configurar túneis entre eles. Você pode configurar segurança IP (IPsec), encapsulamento de roteamento genérico (GRE) ou túneis IP-IP entre os roteadores de provedores de serviços, encerrando os túneis na instância do roteador virtual.