Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Arten von VPNs

Ein Virtual Private Network (VPN) besteht aus zwei topologischen Bereichen: dem Netzwerk des Anbieters und dem Netzwerk des Kunden. Das Netzwerk des Kunden befindet sich üblicherweise an mehreren physischen Standorten und ist zudem privat (nicht internetbasiert). Ein Kundenstandort besteht in der Regel aus einer Gruppe von Routern oder anderen Netzwerkgeräten, die sich an einem einzigen physischen Standort befinden. Das Netzwerk des Anbieters, das über die öffentliche Internetinfrastruktur verläuft, besteht aus Routern, die VPN-Dienste für das Netzwerk eines Kunden bereitstellen, sowie Routern, die andere Dienste bereitstellen. Das Netzwerk des Anbieters verbindet die verschiedenen Kundenstandorte in einem Netzwerk, das dem Kunden und dem Anbieter als privates Netzwerk erscheint.

Um sicherzustellen, dass VPNs privat und isoliert von anderen VPNs und vom öffentlichen Internet bleiben, unterhält das Netzwerk des Anbieters Richtlinien, die Routing-Informationen von verschiedenen VPNs getrennt halten. Ein Provider kann mehrere VPNs bedienen, solange seine Richtlinien Routen von verschiedenen VPNs getrennt halten. Ebenso kann eine Kundenseite zu mehreren VPNs gehören, solange sie die Routen von den verschiedenen VPNs getrennt hält.

Das Betriebssystem Junos® (Junos OS) bietet verschiedene Arten von VPNs; Sie können die beste Lösung für Ihre Netzwerkumgebung auswählen. Jedes der folgenden VPNs hat unterschiedliche Fähigkeiten und erfordert unterschiedliche Arten von Konfigurationen:

Layer 2-VPNs

Die Implementierung eines Layer-2-VPN auf einem Router ähnelt der Implementierung eines VPN mit anderen Layer-2-Technologien. Bei einem Layer-2-VPN auf einem Router wird der Datenverkehr jedoch im Layer-2-Format an den Router weitergeleitet. Sie werden von MPLS über das Netzwerk des Service Providers übertragen und dann am Empfangsstandort wieder in ein Layer-2-Format konvertiert. Sie können verschiedene Layer-2-Formate an den Sende- und Empfangsstandorten konfigurieren.

Bei einem Layer-2-VPN erfolgt das Routing auf den Routern des Kunden, in der Regel auf dem CE-Router. Der CE-Router, der über ein Layer-2-VPN mit einem Service Provider verbunden ist, muss den entsprechenden Circuit auswählen, an den der Datenverkehr gesendet werden soll. Der PE-Router, der den Datenverkehr empfängt, sendet ihn über das Netzwerk des Service Providers an den PE-Router, der mit dem Empfangsstandort verbunden ist. Die PE-Router müssen die Routen des Kunden nicht speichern oder verarbeiten. Sie müssen nur so konfiguriert werden, dass sie Daten an den entsprechenden Tunnel senden.

Für ein Layer-2-VPN müssen Kunden ihre eigenen Router konfigurieren, um den gesamten Layer-3-Datenverkehr zu übertragen. Der Service Provider muss nur wissen, wie viel Datenverkehr das Layer-2-VPN übertragen muss. Die Router des Service Providers übertragen den Datenverkehr zwischen den Standorten des Kunden über Layer-2-VPN-Schnittstellen. Die VPN-Topologie wird durch die auf den PE-Routern konfigurierten Richtlinien bestimmt.

Layer 3-VPNs

In einem Layer-3-VPN erfolgt das Routing auf den Routern des Service Providers. Daher erfordern Layer-3-VPNs mehr Konfiguration seitens des Service Providers, da die PE-Router des Service Providers die Routen des Kunden speichern und verarbeiten müssen.

Im Junos OS basieren Layer-3-VPNs auf RFC 4364, BGP/MPLS IP Virtual Private Networks (VPNs). Dieser RFC definiert einen Mechanismus, mit dem Service Provider ihre IP-Backbones nutzen können, um ihren Kunden Layer-3-VPN-Services bereitzustellen. Die Standorte, aus denen ein Layer-3-VPN besteht, sind über den bestehenden öffentlichen Internet-Backbone eines Anbieters verbunden.

VPNs, die auf RFC 4364 basieren, werden auch als BGP/MPLS-VPNs bezeichnet, da BGP zur Verteilung von VPN-Routing-Informationen über das Backbone des Anbieters und MPLS zur Weiterleitung des VPN-Datenverkehrs über den Backbone an entfernte VPN-Standorte verwendet wird.

Da Kundennetzwerke privat sind, können sie entweder öffentliche Adressen oder private Adressen verwenden, wie in RFC 1918, Address Allocation for Private Internets, definiert. Wenn Kundennetzwerke, die private Adressen verwenden, eine Verbindung mit der öffentlichen Internetinfrastruktur herstellen, können sich die privaten Adressen mit den privaten Adressen überschneiden, die von anderen Netzwerkbenutzern verwendet werden. BGP/MPLS-VPNs lösen dieses Problem, indem sie jeder Adresse einer bestimmten VPN-Site eine VPN-Kennung voranstellen und so eine Adresse erstellen, die sowohl innerhalb des VPN als auch im öffentlichen Internet eindeutig ist. Darüber hinaus verfügt jedes VPN über eine eigene VPN-spezifische Routing-Tabelle, die nur die Routing-Informationen für dieses VPN enthält.

VPLS

Mit dem Virtual Private LAN Service (VPLS) können Sie geografisch verteilte Kundenstandorte so verbinden, als wären sie mit demselben LAN verbunden. In vielerlei Hinsicht funktioniert es wie ein Layer-2-VPN. VPLS- und Layer-2-VPNs verwenden dieselbe Netzwerktopologie und funktionieren ähnlich. Ein Paket, das aus dem Netzwerk eines Kunden stammt, wird zuerst an ein CE-Gerät gesendet. Anschließend wird er an einen PE-Router im Netzwerk des Service Providers gesendet. Das Paket durchläuft das Netzwerk des Service Providers über einen MPLS LSP. Er gelangt am ausgehenden PE-Router, der den Datenverkehr dann an das CE-Gerät am Zielkundenstandort weiterleitet.

Der Hauptunterschied bei VPLS besteht darin, dass Pakete das Netzwerk des Service Providers Punkt-zu-Mehrpunkt-Verfahren durchlaufen können, was bedeutet, dass ein Paket, das von einem CE-Gerät stammt, an PE-Router im VPLS Broadcast werden kann. Im Gegensatz dazu leitet ein Layer-2-VPN Pakete nur Punkt-zu-Punkt-Weise weiter. Das Ziel eines Pakets, das von einem CE-Gerät von einem PE-Router empfangen wird, muss bekannt sein, damit das Layer-2-VPN ordnungsgemäß funktioniert.

Nur in einem Layer-3-Netzwerk können Sie VPLS (Virtual Private LAN Service) konfigurieren, um geografisch verteilte Ethernet-LAN-Standorte (Local Area Networks) über einen MPLS-Backbone miteinander zu verbinden. Für ISP-Kunden, die VPLS implementieren, scheinen sich alle Standorte im selben Ethernet-LAN zu befinden, obwohl der Datenverkehr über das Netzwerk des Service Providers geleitet wird. VPLS ist für die Übertragung von Ethernet-Datenverkehr über ein MPLS-fähiges Service Provider-Netzwerk ausgelegt. In gewisser Weise ahmt VPLS das Verhalten eines Ethernet-Netzwerks nach. Wenn ein PE-Router, der mit einer VPLS-Routing-Instanz konfiguriert ist, ein Paket von einem CE-Gerät empfängt, prüft er zunächst die entsprechende Routing-Tabelle auf das Ziel des VPLS-Pakets. Wenn der Router das Ziel hat, leitet er es an den entsprechenden PE-Router weiter. Wenn das Ziel nicht vorhanden ist, sendet es das Paket an alle anderen PE-Router, die Mitglieder derselben VPLS-Routing-Instanz sind. Die PE-Router leiten das Paket an ihre CE-Geräte weiter. Das CE-Gerät, das der vorgesehene Empfänger des Pakets ist, leitet es an sein endgültiges Ziel weiter. Die anderen CE-Geräte verwerfen es.

Virtuelle Router-Routing-Instanzen

Eine Routing-Instanz eines virtuellen Routers verwaltet wie eine VPN-Routing-Instanz (VPN Routing and Forwarding, VRF) separate Routing- und Weiterleitungstabellen für jede Instanz. Viele Konfigurationsschritte, die für VRF-Routing-Instanzen erforderlich sind, sind jedoch nicht für virtuelle Router-Routing-Instanzen erforderlich. Insbesondere müssen Sie keine Routenunterscheidung, keine Routing-Tabelle-Richtlinie (die vrf-exportvrf-import, und route-distinguisher -Anweisungen) oder MPLS zwischen den P-Routern konfigurieren.

Sie müssen jedoch separate logische Schnittstellen zwischen den einzelnen Routern des Service Providers konfigurieren, die an einer Routing-Instanz des virtuellen Routers beteiligt sind. Außerdem müssen Sie separate logische Schnittstellen zwischen den Routern des Service Providers und den Kundenroutern konfigurieren, die an jeder Routing-Instanz beteiligt sind. Jede Instanz eines virtuellen Routers erfordert einen eigenen Satz logischer Schnittstellen für alle teilnehmenden Router.

Abbildung 1 zeigt, wie das funktioniert. Die Service Provider-Router G und H sind für die virtuellen Router-Routing-Instanzen Rot und Grün konfiguriert. Jeder Router des Service Providers ist direkt mit zwei lokalen Kundenroutern verbunden, einem in jeder Routing-Instanz. Die Router der Service Provider sind auch über das Netzwerk des Service Providers miteinander verbunden. Diese Router benötigen vier logische Schnittstellen: eine logische Schnittstelle zu jedem der lokal verbundenen Kundenrouter und eine logische Schnittstelle für die Übertragung des Datenverkehrs zwischen den beiden Service Provider-Routern für jede virtuelle Router Instanz.

Abbildung 1: Logische Schnittstelle pro Router in einer virtuellen Router-Routing-Instanz Logical Interface per Router in a Virtual-Router Routing Instance

Layer-3-VPNs haben diese Konfigurationsanforderung nicht. Wenn Sie mehrere Layer-3-VPN-Routing-Instanzen auf einem PE-Router konfigurieren, können alle Instanzen dieselbe logische Schnittstelle verwenden, um einen anderen PE-Router zu erreichen. Dies ist möglich, weil Layer-3-VPNs MPLS (VPN)-Labels verwenden, die Datenverkehr zu und von verschiedenen Routing-Instanzen unterscheiden. Ohne MPLS- und VPN-Labels benötigen Sie, wie in einer Routing-Instanz eines virtuellen Routers, separate logische Schnittstellen, um den Datenverkehr von verschiedenen Instanzen zu trennen.

Eine Methode zur Bereitstellung dieser logischen Schnittstelle zwischen den Routern der Service Provider ist die Konfiguration von Tunneln zwischen ihnen. Sie können IP-Sicherheit (IPsec), generische Routing-Verkapselung (GRE) oder IP-IP-Tunnel zwischen den Routern des Service Providers konfigurieren und die Tunnel an der Instanz des virtuellen Routers beenden.