Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Tipos de VPN

Una red privada virtual (VPN) consta de dos áreas topológicas: la red del proveedor y la red del cliente. La red del cliente se encuentra comúnmente en varios sitios físicos y también es privada (no internet). Por lo general, el sitio de un cliente estaría compuesto por un grupo de enrutadores u otros equipos de red ubicados en una única ubicación física. La red del proveedor, que se ejecuta en toda la infraestructura de Internet pública, consta de enrutadores que proporcionan servicios VPN a la red de un cliente, así como enrutadores que proporcionan otros servicios. La red del proveedor conecta los distintos sitios de clientes en lo que al cliente y al proveedor le parece una red privada.

Para garantizar que las VPN permanezcan privadas y aisladas de otras VPN y de la Internet pública, la red del proveedor mantiene políticas que mantienen la información de enrutamiento de diferentes VPN separadas. Un proveedor puede atender varias VPN siempre que sus políticas mantengan separadas las rutas de diferentes VPN. De manera similar, un sitio de cliente puede pertenecer a varias VPN, siempre y cuando mantenga separadas las rutas de las diferentes VPN.

El sistema operativo Junos® (Junos OS) proporciona varios tipos de VPN; puede elegir la mejor solución para su entorno de red. Cada una de las siguientes VPN tiene capacidades diferentes y requiere diferentes tipos de configuración:

VPN de capa 2

Implementar una VPN de capa 2 en un enrutador es similar a implementar una VPN mediante una tecnología de capa 2, como ATM o Frame Relay. Sin embargo, para una VPN de capa 2 en un enrutador, el tráfico se reenvía al enrutador en formato de capa 2. MPLS lo lleva a través de la red del proveedor de servicios y luego se convierte de nuevo al formato de capa 2 en el sitio de recepción. Puede configurar diferentes formatos de capa 2 en los sitios de envío y recepción. La seguridad y privacidad de una VPN MPLS de capa 2 son iguales a las de una VPN ATM o Frame Relay.

En una VPN de capa 2, el enrutamiento se produce en los enrutadores del cliente, normalmente en el enrutador CE. El enrutador CE conectado a un proveedor de servicios en una VPN de capa 2 debe seleccionar el circuito adecuado al que enviar tráfico. El enrutador de PE que recibe el tráfico lo envía a través de la red del proveedor de servicios al enrutador de PE conectado al sitio de recepción. Los enrutadores de PE no necesitan almacenar o procesar las rutas del cliente; solo deben configurarse para enviar datos al túnel adecuado.

Para una VPN de capa 2, los clientes deben configurar sus propios enrutadores para transportar todo el tráfico de capa 3. El operador de telecomunicaciones solo necesita saber cuánto tráfico debe transportar la VPN de capa 2. Los enrutadores del operador de telecomunicaciones transportan tráfico entre los sitios del cliente mediante interfaces VPN de capa 2. La topología vpn está determinada por políticas configuradas en los enrutadores de PE.

VPN de capa 3

En una VPN de capa 3, el enrutamiento se produce en los enrutadores del proveedor de servicios. Por lo tanto, las VPN de capa 3 requieren más configuración por parte del operador de telecomunicaciones, ya que los enrutadores de PE del proveedor de servicios deben almacenar y procesar las rutas del cliente.

En Junos OS, las VPN de capa 3 se basan en RFC 4364, redes privadas virtuales (VPN) IP BGP/MPLS. Este RFC define un mecanismo mediante el cual los proveedores de servicios pueden usar sus redes troncales IP para proporcionar servicios VPN de capa 3 a sus clientes. Los sitios que conforman una VPN de capa 3 están conectados a través de la red troncal de Internet pública existente de un proveedor.

Las VPN basadas en RFC 4364 también se conocen como VPN BGP/MPLS porque BGP se utiliza para distribuir información de enrutamiento VPN en la red troncal del proveedor, y MPLS se utiliza para reenviar tráfico de VPN a través de la red troncal a sitios VPN remotos.

Las redes de clientes, debido a que son privadas, pueden usar direcciones públicas o direcciones privadas, como se define en RFC 1918, Asignación de direcciones para Internet privada. Cuando las redes de clientes que usan direcciones privadas se conectan a la infraestructura de Internet pública, las direcciones privadas pueden superponerse con las direcciones privadas que utilizan otros usuarios de red. Las VPN de BGP/MPLS resuelven este problema prefijando un identificador VPN a cada dirección de un sitio VPN en particular, creando así una dirección que es única tanto dentro de la VPN como dentro de la Internet pública. Además, cada VPN tiene su propia tabla de enrutamiento específica de VPN que contiene la información de enrutamiento solo para esa VPN.

VPLS

El servicio LAN privada virtual (VPLS) le permite conectar sitios de clientes dispersos geográficamente como si estuvieran conectados a la misma LAN. En muchos sentidos, funciona como una VPN de capa 2. Las VPN vpls y de capa 2 usan la misma topología de red y funcionan de manera similar. Un paquete que se origina en la red de un cliente se envía primero a un dispositivo CE. Luego, se envía a un enrutador de PE dentro de la red del proveedor de servicios. El paquete atraviesa la red del proveedor de servicios a través de un LSP MPLS. Llega al enrutador de PE de salida, que luego reenvía el tráfico al dispositivo CE en el sitio del cliente de destino.

La diferencia clave en VPLS es que los paquetes pueden atravesar la red del proveedor de servicios de punto a multipunto, lo que significa que un paquete que se origina en un dispositivo CE se puede difundir a enrutadores PE en el VPLS. Por el contrario, una VPN de capa 2 reenvía paquetes solo de punto a punto. El destino de un paquete recibido de un dispositivo CE por un enrutador de PE debe conocerse para que la VPN de capa 2 funcione correctamente.

En una red solo de capa 3, puede configurar el servicio de LAN privada virtual (VPLS) para conectar sitios de redes de área local (LAN) Ethernet dispersas geográficamente entre sí a través de una red troncal MPLS. Para los clientes del ISP que implementan VPLS, todos los sitios parecen estar en la misma LAN Ethernet aunque el tráfico viaje a través de la red del proveedor de servicios. VPLS está diseñado para transportar el tráfico Ethernet a través de una red de proveedor de servicios habilitado para MPLS. En cierto modo, VPLS imita el comportamiento de una red Ethernet. Cuando un enrutador pe configurado con una instancia de enrutamiento VPLS recibe un paquete de un dispositivo CE, primero comprueba la tabla de enrutamiento adecuada para el destino del paquete VPLS. Si el enrutador tiene el destino, lo reenvía al enrutador de PE adecuado. Si no tiene el destino, transmite el paquete a todos los demás enrutadores de PE que son miembros de la misma instancia de enrutamiento VPLS. Los enrutadores de PE reenvía el paquete a sus dispositivos CE. El dispositivo CE que es el destinatario previsto del paquete lo reenvía a su destino final. Los otros dispositivos CE lo descartan.

Instancias de enrutamiento de enrutador virtual

Una instancia de enrutamiento de enrutador virtual, como una instancia de enrutamiento vpn de enrutamiento y reenvío (VRF), mantiene tablas de enrutamiento y reenvío separadas para cada instancia. Sin embargo, muchos pasos de configuración necesarios para las instancias de enrutamiento VRF no son necesarios para las instancias de enrutamiento de enrutador virtual. Específicamente, no es necesario configurar un distinguidor de ruta, una política de tabla de enrutamiento (las vrf-exportinstrucciones , vrf-importy) route-distinguisher ni MPLS entre los enrutadores P.

Sin embargo, debe configurar interfaces lógicas separadas entre cada uno de los enrutadores del proveedor de servicios que participan en una instancia de enrutamiento de enrutador virtual. También debe configurar interfaces lógicas separadas entre los enrutadores del proveedor de servicios y los enrutadores del cliente que participan en cada instancia de enrutamiento. Cada instancia de enrutador virtual requiere su propio conjunto único de interfaces lógicas para todos los enrutadores participantes.

La figura 1 muestra cómo funciona esto. Los enrutadores G y H del proveedor de servicios están configurados para las instancias de enrutamiento de enrutadores virtuales Rojo y Verde. Cada enrutador de proveedor de servicios está conectado directamente a dos enrutadores de clientes locales, uno en cada instancia de enrutamiento. Los enrutadores de proveedores de servicios también están conectados entre sí a través de la red del proveedor de servicios. Estos enrutadores necesitan cuatro interfaces lógicas: una interfaz lógica para cada uno de los enrutadores del cliente conectados localmente y una interfaz lógica para transportar el tráfico entre los dos enrutadores de proveedores de servicios para cada instancia de enrutador virtual.

Figura 1: Interfaz lógica por enrutador en una instancia Logical Interface per Router in a Virtual-Router Routing Instance de enrutamiento de enrutador virtual

Las VPN de capa 3 no tienen este requisito de configuración. Si configura varias instancias de enrutamiento VPN de capa 3 en un enrutador de PE, todas las instancias pueden usar la misma interfaz lógica para comunicarse con otro enrutador de PE. Esto es posible porque las VPN de capa 3 usan etiquetas MPLS (VPN) que diferencian el tráfico que va hacia y desde varias instancias de enrutamiento. Sin etiquetas MPLS y VPN, como en una instancia de enrutamiento de enrutador virtual, necesita interfaces lógicas separadas para separar el tráfico de diferentes instancias.

Un método para proporcionar esta interfaz lógica entre los enrutadores del proveedor de servicios es mediante la configuración de túneles entre ellos. Puede configurar la seguridad IP (IPsec), la encapsulación de enrutamiento genérico (GRE) o los túneles IP-IP entre los enrutadores del proveedor de servicios, lo que termina los túneles en la instancia del enrutador virtual.