Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Arten von VPNs

Ein virtuelles privates Netzwerk (VPN) besteht aus zwei topologischen Bereichen: dem Netzwerk des Anbieters und dem Netzwerk des Kunden. Das Netzwerk des Kunden befindet sich üblicherweise an mehreren physischen Standorten und ist auch privat (nicht in das Internet). Ein Kundenstandort würde in der Regel aus einer Gruppe von Routern oder anderen Netzwerkgeräten bestehen, die sich an einem einzigen physischen Standort befinden. Das Netzwerk des Anbieters, das über die öffentliche Internetinfrastruktur läuft, besteht aus Routern, die VPN-Services für das Netzwerk eines Kunden bereitstellen, sowie Routern, die andere Services bereitstellen. Das Netzwerk des Anbieters verbindet die verschiedenen Kundenstandorte in einem, was für den Kunden und den Provider als ein privates Netzwerk erscheint.

Um sicherzustellen, dass VPNs privat bleiben und von anderen VPNs und dem öffentlichen Internet isoliert sind, verwaltet das Netzwerk des Anbieters Richtlinien, die Routing-Informationen von verschiedenen VPNs getrennt halten. Ein Provider kann mehrere VPNs bedienen, solange seine Richtlinien die Routen von verschiedenen VPNs getrennt halten. Ebenso kann ein Kundenstandort zu mehreren VPNs gehören, solange die Routen von den verschiedenen VPNs getrennt sind.

Das Junos-Betriebssystem® (Junos OS) bietet mehrere Arten von VPNs; können Sie die beste Lösung für Ihre Netzwerkumgebung wählen. Jedes der folgenden VPNs verfügt über unterschiedliche Funktionen und erfordert unterschiedliche Konfigurationstypen:

Layer 2-VPNs

Die Implementierung eines Layer-2-VPN auf einem Router ist ähnlich wie die Implementierung eines VPN mit einer Layer-2-Technologie wie ATM oder Frame Relay. Bei einem Layer-2-VPN auf einem Router wird der Datenverkehr jedoch im Layer-2-Format an den Router weitergeleitet. Es wird von MPLS über das Netzwerk des ServiceAnbieters übertragen und dann am Empfangsstandort wieder in das Layer-2-Format konvertiert. Sie können verschiedene Layer-2-Formate an den Sende- und Empfangsstandorten konfigurieren. Die Sicherheit und der Datenschutz eines MPLS Layer 2 VPN entsprechen denen eines ATM oder Frame Relay VPN.

Auf einem Layer-2-VPN erfolgt das Routing auf den Routern des Kunden, typischerweise auf dem CE-Router. Der CE-Router, der mit einem Service Provider auf einem Layer-2-VPN verbunden ist, muss die entsprechende Verbindung auswählen, auf der Datenverkehr gesendet werden soll. Der PE-Router, der den Datenverkehr empfängt, sendet ihn über das Netzwerk des Service Providers an den PE-Router, der mit dem Empfangsstandort verbunden ist. Die PE-Router müssen die Routen des Kunden nicht speichern oder verarbeiten. sie müssen nur so konfiguriert werden, dass Sie Daten an den entsprechenden Tunnel senden.

Für ein Layer-2-VPN müssen Kunden ihre eigenen Router so konfigurieren, dass sie den gesamten Layer-3-Datenverkehr übertragen. Der Service Provider muss nur wissen, wie viel Datenverkehr das Layer-2-VPN transportieren muss. Die Router des Service Providers übertragen den Datenverkehr zwischen den Standorten des Kunden über Layer-2-VPN-Schnittstellen. Die VPN-Topologie wird durch richtlinien bestimmt, die auf den PE-Routern konfiguriert sind.

Layer 3-VPNs

In einem Layer-3-VPN erfolgt das Routing auf den Routern des Service Providers. Daher erfordern Layer-3-VPNs mehr Konfiguration seitens des ServiceAnbieters, da die PE-Router des Service Providers die Routen des Kunden speichern und verarbeiten müssen.

In Junos OS basieren Layer-3-VPNs auf RFC 4364, BGP/MPLS IP Virtual Private Networks (VPNs). Dieser RFC definiert einen Mechanismus, mit dem Service Provider ihre IP-Backbones nutzen können, um ihren Kunden Layer-3-VPN-Services bereitzustellen. Die Standorte, aus denen ein Layer-3-VPN besteht, sind über das vorhandene öffentliche Internet-Backbone eines Anbieters verbunden.

VPNs basierend auf RFC 4364 werden auch als BGP/MPLS-VPNs bezeichnet, da BGP verwendet wird, um VPN-Routing-Informationen über den Backbone des Anbieters zu verteilen, und MPLS wird verwendet, um VPN-Datenverkehr über das Backbone an entfernte VPN-Standorte weiterzuleiten.

Kundennetzwerke können, da sie privat sind, entweder öffentliche oder private Adressen verwenden, wie in RFC 1918 , Address Allocation for Private Internets definiert. Wenn Kundennetzwerke, die private Adressen verwenden, mit der öffentlichen Internetinfrastruktur verbunden sind, können sich die privaten Adressen mit den privaten Adressen überschneiden, die von anderen Netzwerkbenutzern verwendet werden. BGP/MPLS-VPNs lösen dieses Problem, indem jeder Adresse einer bestimmten VPN-Site ein VPN-Identifikator vorangestellt wird, wodurch eine Adresse erstellt wird, die sowohl innerhalb des VPN als auch innerhalb des öffentlichen Internets eindeutig ist. Darüber hinaus verfügt jedes VPN über eine eigene VPN-spezifische Routing-Tabelle, die nur die Routing-Informationen für dieses VPN enthält.

VPLS

Virtual Private LAN Service (VPLS) ermöglicht es Ihnen, geografisch verteilte Kundenstandorte so zu verbinden, als ob sie mit demselben LAN verbunden wären. In vielerlei Hinsicht funktioniert es wie ein Layer-2-VPN. VPLS und Layer 2 VPNs verwenden dieselbe Netzwerktopologie und funktionieren ähnlich. Ein Paket, das aus dem Netzwerk eines Kunden stammt, wird zuerst an ein CE-Gerät gesendet. Sie wird dann an einen PE-Router innerhalb des Netzwerks des Service Providers gesendet. Das Paket durchquert das Netzwerk des Service Providers über einen MPLS-LSP. Er kommt am Ausgangs-PE-Router an, der den Datenverkehr dann an das CE-Gerät am Zielkundenstandort weiterleitet.

Der entscheidende Unterschied bei VPLS besteht darin, dass Pakete das Netzwerk des ServiceAnbieters Punkt-zu-Multipoint-Weise durchqueren können, was bedeutet, dass ein Paket, das von einem CE-Gerät stammt, an PE-Router in der VPLS übertragen werden kann. Im Gegensatz dazu leitet ein Layer-2-VPN Pakete nur Punkt-zu-Punkt-Weise weiter. Das Ziel eines Pakets, das von einem CE-Gerät von einem PE-Router empfangen wird, muss bekannt sein, damit das Layer-2-VPN ordnungsgemäß funktioniert.

Nur in einem Layer-3-Netzwerk können Sie den virtuellen privaten LAN-Service (VPLS) so konfigurieren, dass geografisch verteilte Ethernet Local Area Networks (LAN)-Standorte über ein MPLS-Backbone miteinander verbunden werden. Für ISP-Kunden, die VPLS implementieren, scheinen sich alle Standorte im selben Ethernet-LAN zu befinden, obwohl der Datenverkehr über das Netzwerk des ServiceAnbieters geleitet wird. VPLS wurde entwickelt, um Ethernet-Datenverkehr über ein MPLS-fähiges Service Provider-Netzwerk zu übertragen. Auf bestimmte Weise ahmt VPLS das Verhalten eines Ethernet-Netzwerks nach. Wenn ein PE-Router, der mit einer VPLS-Routing-Instanz konfiguriert ist, ein Paket von einem CE-Gerät empfängt, überprüft er zunächst die entsprechende Routing-Tabelle für das Ziel des VPLS-Pakets. Wenn der Router das Ziel hat, leitet er es an den entsprechenden PE-Router weiter. Wenn es das Ziel nicht hat, sendet es das Paket an alle anderen PE-Router, die Mitglieder derselben VPLS-Routing-Instanz sind. Die PE-Router leiten das Paket an ihre CE-Geräte weiter. Das CE-Gerät, das der beabsichtigte Empfänger des Pakets ist, leitet es an sein endgültiges Ziel weiter. Die anderen CE-Geräte verwerfen sie.

Routing-Instanzen für virtuelle Router

Eine Routing-Instanz mit virtuellem Router, z. B. eine VPN-Routing- und Weiterleitungsinstanz (VRF), verwaltet für jede Instanz separate Routing- und Weiterleitungstabellen. Viele Konfigurationsschritte für VRF-Routing-Instanzen sind für routing-Instanzen mit virtuellen Routern jedoch nicht erforderlich. Insbesondere müssen Sie keinen Routenscheider, eine Routingtabellenrichtlinie (die vrf-export, vrf-importund route-distinguisher Anweisungen) oder MPLS zwischen den P-Routern konfigurieren.

Sie müssen jedoch separate logische Schnittstellen zwischen jedem der Service Provider-Router konfigurieren, die an einer Routing-Instanz des virtuellen Routers teilnehmen. Außerdem müssen Sie separate logische Schnittstellen zwischen den Service Provider-Routern und den Kundenroutern konfigurieren, die an jeder Routing-Instanz teilnehmen. Jede virtuelle Router-Instanz erfordert einen eigenen Satz logischer Schnittstellen zu allen beteiligten Routern.

Abbildung 1 zeigt, wie das funktioniert. Die Service Provider-Router G und H sind für virtuelle Router-Routing-Instanzen Rot und Grün konfiguriert. Jeder Service Provider-Router ist direkt mit zwei lokalen Kundenroutern verbunden, einer in jeder Routing-Instanz. Die Service Provider-Router sind auch über das Service Provider-Netzwerk miteinander verbunden. Diese Router benötigen vier logische Schnittstellen: eine logische Schnittstelle zu jedem der lokal verbundenen Kundenrouter und eine logische Schnittstelle, um den Datenverkehr zwischen den beiden Service Provider-Routern für jede virtuelle Router-Instanz zu übertragen.

Abbildung 1: Logische Schnittstelle pro Router in einer virtuellen Router-Routing-Instanz Logical Interface per Router in a Virtual-Router Routing Instance

Layer 3-VPNs haben diese Konfigurationsanforderung nicht. Wenn Sie mehrere Layer 3-VPN-Routing-Instanzen auf einem PE-Router konfigurieren, können alle Instanzen dieselbe logische Schnittstelle verwenden, um einen anderen PE-Router zu erreichen. Dies ist möglich, weil Layer-3-VPNs MPLS (VPN)-Label verwenden, die datenverkehrsweise an und von verschiedenen Routing-Instanzen unterscheiden. Ohne MPLS- und VPN-Label, wie in einer Routing-Instanz eines virtuellen Routers, benötigen Sie separate logische Schnittstellen, um den Datenverkehr von verschiedenen Instanzen zu trennen.

Eine Methode zur Bereitstellung dieser logischen Schnittstelle zwischen den Service Provider-Routern ist die Konfiguration von Tunneln zwischen ihnen. Sie können IP-Sicherheit (IPsec), generic Routing Encapsulation (GRE) oder IP-IP-Tunnel zwischen den Service Provider-Routern konfigurieren und die Tunnel in der virtuellen Router-Instanz beenden.