Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Descripción de la utilización de VPN de capa 2 y capa 3 basadas en MPLS en conmutadores de la serie EX

 

En los conmutadores EX8200 y EX4500, puede utilizar redes privadas virtuales (VPN) basadas en MPLS de capa 2 y capa 3, o en MPLS circuitos de capa 2, lo que le permite conectar de manera segura a diversos sitios geográficamente en una red MPLS. Los servicios de MPLS se pueden usar para conectar varios sitios a una red troncal y para garantizar un rendimiento mejor para las aplicaciones de baja latencia, como voz sobre IP (VoIP) y otras funciones críticas para la empresa.

Una red privada virtual (VPN) utiliza una infraestructura pública de telecomunicaciones, como Internet, para proporcionar a las oficinas remotas o a’usuarios particulares acceso seguro a la red s de su organización. Las VPN están diseñadas para proporcionar el mismo nivel de rendimiento y seguridad que las redes de propiedad privada o concedidas, pero sin el costo del operador.

Este tema describe lo siguiente:

VPN de capa 2 basadas en MPLS

En una VPN de capa 2 basada en MPLS, el tráfico lo reenvía el’conmutador (o enrutador) del perímetro del cliente (CE) del’cliente al conmutador de borde del proveedor de servicios (PE) en un formato de capa 2. Lo realiza MPLS a través de la red del’proveedor de servicios y volver a convertirla al formato de capa 2 en el sitio receptor.

En una VPN de capa 2, el enrutamiento se produce’en los conmutadores cliente s, normalmente en el conmutador CE. El conmutador CE conectado a un proveedor de servicios de una VPN de capa 2 debe seleccionar el circuito adecuado en el que se va a enviar el tráfico. El conmutador de PE que recibe el tráfico lo envía a través’de la red del proveedor de servicios al conmutador de PE conectado al sitio receptor. Los modificadores de PE no almacenan ni procesan las rutas del cliente’; los conmutadores deben estar configurados para enviar datos al túnel apropiado.

En el caso de una VPN de capa 2, los clientes deben configurar sus propios conmutadores para que transporten todo el tráfico de capa 3. El proveedor de servicios solo debe detectar la cantidad de tráfico que debe transportar la VPN de capa 2. Los conmutadores’del proveedor de servicios s llevan el’tráfico entre los sitios del cliente que utilizan las interfaces VPN de capa 2. La topología VPN está determinada por las directivas configuradas en los conmutadores de PE.

Los clientes deben saber qué interfaces VPN se conectan con cuál de sus propios sitios. Figura 1 muestra una VPN de capa 2 de malla completa en la que cada sitio cuenta con una interfaz VPN vinculada con cada uno de los demás sitios del cliente. En una topología de malla completa entre los tres sitios, cada sitio requiere dos interfaces lógicas (una para cada uno de los demás enrutadores o conmutadores de la CE), aunque solo es necesario un único vínculo físico para conectar cada conmutador de PE a cada enrutador o conmutador de CE.

Figura 1: Conmutadores CE de conexión a VPN de capa 2
Conmutadores CE de conexión a VPN de capa 2

Circuitos de capa 2

Un circuito de capa 2 es una conexión punto a punto 2 que utiliza MPLS u otra tecnología de túnel en la red del proveedor’de servicios. Un circuito de capa 2 es similar a un circuito de conexión cruzada entre circuitos (CCC), excepto en que varios circuitos de capa 2 se pueden transportar a través de un túnel de ruta de acceso con conmutación de una sola etiqueta entre dos conmutadores de borde de proveedor (PE). Por el contrario, cada CCC requiere un LSP dedicado.

La Junos OS implementación de circuitos de capa 2 admite únicamente el formato remoto de un circuito de capa 2; es decir, una conexión de un conmutador local de perímetro de un cliente (CE) a un conmutador CE remoto.

Los paquetes se envían al conmutador CE remoto por medio de una etiqueta de red privada virtual (VPN) de salida anunciada por el conmutador remoto PE. La etiqueta VPN atraviesa un túnel RSVP o de un LSP LDP (u otro tipo) en el conmutador PE remoto conectado al conmutador remoto CE. LDP es el protocolo de señalización utilizado para anunciar etiquetas VPN.

El tráfico de retorno enviado desde el conmutador remoto CE al conmutador local CE utiliza una etiqueta VPN de entrada anunciada por el conmutador local de PE.

VPN de capa 3 basadas en MPLS

En una VPN de capa 3, el enrutamiento se produce en los’enrutadores del proveedor de servicios. Por lo tanto , las VPN de capa 3 requieren más configuración por parte del proveedor de servicios, ya’que los enrutadores PE del proveedor de servicios’deben almacenar y procesar las rutas del cliente.

En el Junos OS, las VPN de capa 3 se basan en RFC 4364, BGP/MPLS IP Private Virtual Networks. Esta RFC define un mecanismo a través del cual los proveedores de servicios pueden utilizar sus redes troncales IP para proporcionar servicios VPN de capa 3 a sus clientes. Los sitios que componen una VPN de capa 3 se conectan’a través de una red troncal de Internet pública de proveedores existente.

Las VPN basadas en el documento RFC 4364 también se conocen como VPN de BGP/MPLS porque BGP se utiliza para distribuir información de’enrutamiento VPN a través de la red troncal del proveedor, y MPLS se utiliza para reenviar el tráfico VPN a través de la red troncal a sitios VPN remotos.

Las redes de clientes, dado que son privadas, pueden utilizar direcciones públicas o privadas, tal y como se define en RFC 1918, asignación de direcciones para Internet privadas. Cuando las redes del cliente que utilizan direcciones privadas se conectan a la infraestructura pública de Internet, las direcciones privadas podrían superponerse con las direcciones privadas utilizadas por otros usuarios de la red. BGP/MPLS las VPN resuelven este problema prefijando un identificador VPN a cada dirección de un sitio VPN determinado, con lo que se crea una dirección que es exclusiva en la VPN y en la Internet pública.

Además, cada VPN tiene su propia tabla de enrutamiento específica de VPN que contiene la información de enrutamiento de esa VPN únicamente. Dos VPN diferentes pueden utilizar direcciones superpuestas. A cada una de las rutas de una VPN se le asigna una etiqueta de MPLS (por ejemplo, MPLS-ARCH, MPLS-BGP o MPLS-engorros). Cuando BGP distribuye una ruta VPN, también distribuye una etiqueta MPLS para esa ruta. Antes de que un paquete de datos de clientes viaje’a través de la red troncal del proveedor de servicios, se encapsula junto con el MPLS etiqueta que corresponde’a la ruta dentro de la VPN del cliente que es’la mejor coincidencia basada en el paquete de destino domicilio. Este paquete MPLS se encapsula con otra etiqueta MPLS o con un IP, de modo que obtiene un túnel a través de la red troncal hasta el conmutador de extremo de proveedor de salida (PE). Por lo tanto, los conmutadores principales de red troncal no necesitan conocer las rutas VPN.

Comparación de una capa basada en la MPLS 2 VPN y una capa basada en el MPLS 3 VIRTUALES

Las diferencias entre las VPN de capa 2 y las VPN de Laer 3 aparecen resumidas en Tabla 1

Tabla 1: Comparación de una VPN de capa 2 basada en MPLS y una VPN de capa 3 basada en MPLS

VPN de capa 2VPN de capa 3

Los sitios del cliente parecen estar en la misma LAN, incluso si están dispersos geográficamente.

La experiencia’técnica de los proveedores de servicios garantiza un enrutamiento eficiente entre sitios y sitios.

Los proveedores de servicios pueden proporcionar servicios adicionales de valor agregado a través de la convergencia de red que engloba voz, vídeo y datos.

El proveedor de servicios no requiere información acerca de la’topología de red del cliente, políticas, información de enrutamiento, etc.

El cliente tiene un control total sobre las políticas y el enrutamiento.

Los clientes deben compartir información acerca de su topología de red.

El proveedor de servicios determina las políticas y el enrutamiento.

El conmutador CE reenvía el tráfico al conmutador’de proveedores de servicios PE en formato de capa 2.

El conmutador’del cliente s CE debe configurarse para usar BGP o OSPF para comunicarse con el’conmutador de proveedores de servicios PE para transportar prefijos IP en la red. No se admiten otros paquetes de protocolo.