Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Tipos de VPN

Una red privada virtual (VPN) consta de dos áreas topológicas: la red del proveedor y la red del cliente. La red del cliente suele estar ubicada en múltiples sitios físicos y también es privada (no Internet). Normalmente, un sitio de cliente consistiría en un grupo de enrutadores u otros equipos de red ubicados en una sola ubicación física. La red del proveedor, que se ejecuta en la infraestructura pública de Internet, consta de enrutadores que proporcionan servicios VPN a la red de un cliente, así como enrutadores que proporcionan otros servicios. La red del proveedor conecta los diversos sitios de clientes en lo que al cliente y al proveedor les parece una red privada.

Para garantizar que las VPN permanezcan privadas y aisladas de otras VPN y de la Internet pública, la red del proveedor mantiene políticas que mantienen separada la información de enrutamiento de las diferentes VPN. Un proveedor puede dar servicio a varias VPN, siempre y cuando sus políticas mantengan separadas las rutas de diferentes VPN. Del mismo modo, el sitio de un cliente puede pertenecer a varias VPN, siempre y cuando mantenga separadas las rutas de las distintas VPN.

El sistema operativo de Junos® (Junos OS) ofrece varios tipos de VPN; Puede elegir la mejor solución para su entorno de red. Cada una de las siguientes VPN tiene diferentes capacidades y requiere diferentes tipos de configuración:

VPN de capa 2

La implementación de una VPN de capa 2 en un enrutador es similar a la implementación de una VPN con otras tecnologías de capa 2. Sin embargo, para una VPN de capa 2 en un enrutador, el tráfico se reenvía al enrutador en formato de capa 2. Es transportado por MPLS a través de la red del proveedor de servicios y luego convertido de nuevo a un formato de capa 2 en el sitio receptor. Puede configurar diferentes formatos de capa 2 en los sitios de envío y recepción.

En una VPN de capa 2, el enrutamiento se produce en los enrutadores del cliente, normalmente en el enrutador CE. El enrutador CE conectado a un operador de telecomunicaciones en una VPN de capa 2 debe seleccionar el circuito adecuado para enviar el tráfico. El enrutador de PE que recibe el tráfico lo envía a través de la red del proveedor de servicios al enrutador de PE conectado al sitio receptor. Los enrutadores de PE no necesitan almacenar ni procesar las rutas del cliente; solo necesitan configurarse para enviar datos al túnel adecuado.

Para una VPN de capa 2, los clientes deben configurar sus propios enrutadores para transportar todo el tráfico de capa 3. El proveedor de servicios solo necesita saber cuánto tráfico debe transportar la VPN de capa 2. Los enrutadores del proveedor de servicios transportan tráfico entre los sitios del cliente mediante interfaces VPN de capa 2. La topología VPN viene determinada por las políticas configuradas en los enrutadores de PE.

VPN de capa 3

En una VPN de capa 3, el enrutamiento se produce en los enrutadores del proveedor de servicios. Por lo tanto, las VPN de capa 3 requieren más configuración por parte del proveedor de servicios, ya que los enrutadores de PE del proveedor de servicios deben almacenar y procesar las rutas del cliente.

En Junos OS, las VPN de capa 3 se basan en RFC 4364, Redes privadas virtuales (VPN) de IP BGP/MPLS. Este RFC define un mecanismo mediante el cual los proveedores de servicios pueden usar sus redes troncales de IP para proporcionar servicios VPN de capa 3 a sus clientes. Los sitios que componen una VPN de capa 3 se conectan a través de la red troncal de Internet pública existente de un proveedor.

Las VPN basadas en RFC 4364 también se conocen como VPN BGP/VPN de MPLS porque BGP se usa para distribuir información de enrutamiento VPN a través de la red troncal del proveedor y MPLS se usa para reenviar tráfico VPN a través de la red troncal a sitios VPN remotos.

Las redes de clientes, debido a que son privadas, pueden usar direcciones públicas o privadas, como se define en RFC 1918, Asignación de direcciones para Internet privadas. Cuando las redes de clientes que utilizan direcciones privadas se conectan a la infraestructura pública de Internet, las direcciones privadas pueden superponerse con las direcciones privadas utilizadas por otros usuarios de la red. Las VPN BGP/VPN de MPLS resuelven este problema mediante el prefijo de un identificador VPN a cada dirección desde un sitio VPN en particular, creando así una dirección que es única tanto dentro de la VPN como dentro de la Internet pública. Además, cada VPN tiene su propia tabla de enrutamiento específica de VPN que contiene la información de enrutamiento solo para esa VPN.

VPLS

El servicio de LAN privada virtual (VPLS) le permite conectar sitios de clientes dispersos geográficamente como si estuvieran conectados a la misma LAN. En muchos sentidos, funciona como una VPN de capa 2. VPLS y VPN de capa 2 utilizan la misma topología de red y funcionan de manera similar. Un paquete que se origina en la red de un cliente se envía primero a un dispositivo CE. Luego se envía a un enrutador de PE dentro de la red del proveedor de servicios. El paquete atraviesa la red del proveedor de servicios a través de un LSP MPLS. Llega al enrutador de PE de salida, que luego reenvía el tráfico al dispositivo CE en el sitio del cliente de destino.

La diferencia clave en VPLS es que los paquetes pueden atravesar la red del proveedor de servicios de punto a multipunto, lo que significa que un paquete que se origina en un dispositivo CE se puede difundir a enrutadores de PE en VPLS. Por el contrario, una VPN de capa 2 reenvía paquetes solo de punto a punto. El destino de un paquete recibido de un dispositivo CE por un enrutador de PE debe conocerse para que la VPN de capa 2 funcione correctamente.

Solo en una red de capa 3, puede configurar el servicio LAN privado virtual (VPLS) para conectar sitios de redes de área local (LAN) Ethernet dispersos geográficamente entre sí a través de una red troncal MPLS. Para los clientes de ISP que implementan VPLS, todos los sitios parecen estar en la misma LAN Ethernet, aunque el tráfico viaje a través de la red del proveedor de servicios. VPLS está diseñado para transportar tráfico Ethernet a través de una red de proveedor de servicios habilitada para MPLS. En ciertos aspectos, VPLS imita el comportamiento de una red Ethernet. Cuando un enrutador de PE configurado con una instancia de enrutamiento VPLS recibe un paquete de un dispositivo CE, primero comprueba la tabla de enrutamiento adecuada para el destino del paquete VPLS. Si el enrutador tiene el destino, lo reenvía al enrutador de PE adecuado. Si no tiene el destino, difunde el paquete a todos los demás enrutadores PE que sean miembros de la misma instancia de enrutamiento VPLS. Los enrutadores de PE reenvían el paquete a sus dispositivos CE. El dispositivo CE que es el destinatario previsto del paquete lo reenvía a su destino final. Los otros dispositivos CE lo descartan.

Instancias de enrutamiento de enrutador virtual

Una instancia de enrutamiento de enrutador virtual, como una instancia de enrutamiento de enrutamiento y reenvío VPN (VRF), mantiene tablas de enrutamiento y reenvío independientes para cada instancia. Sin embargo, muchos pasos de configuración necesarios para las instancias de enrutamiento VRF no son necesarios para las instancias de enrutamiento de enrutador virtual. En concreto, no necesita configurar un diferenciador de ruta, una política de tabla de enrutamiento (las vrf-exportinstrucciones , vrf-import, y route-distinguisher ) o MPLS entre los enrutadores P.

Sin embargo, debe configurar interfaces lógicas independientes entre cada uno de los enrutadores del proveedor de servicios que participan en una instancia de enrutamiento de enrutador virtual. También debe configurar interfaces lógicas independientes entre los enrutadores del proveedor de servicios y los enrutadores del cliente que participan en cada instancia de enrutamiento. Cada instancia de enrutador virtual requiere su propio conjunto único de interfaces lógicas para todos los enrutadores participantes.

La Figura 1 muestra cómo funciona esto. Los enrutadores del proveedor de servicios G y H están configurados para instancias de enrutamiento de enrutadores virtuales Rojo y Verde. Cada enrutador de proveedor de servicios está conectado directamente a dos enrutadores de clientes locales, uno en cada instancia de enrutamiento. Los enrutadores del proveedor de servicios también están conectados entre sí a través de la red del proveedor de servicios. Estos enrutadores necesitan cuatro interfaces lógicas: una interfaz lógica para cada uno de los enrutadores del cliente conectados localmente y una interfaz lógica para transportar el tráfico entre los dos enrutadores del proveedor de servicios para cada instancia de enrutador virtual.

Figura 1: Interfaz lógica por enrutador en una instancia Logical Interface per Router in a Virtual-Router Routing Instance de enrutamiento de enrutador virtual

Las VPN de capa 3 no tienen este requisito de configuración. Si configura varias instancias de enrutamiento VPN de capa 3 en un enrutador de PE, todas las instancias pueden utilizar la misma interfaz lógica para comunicarse con otro enrutador de PE. Esto es posible porque las VPN de capa 3 utilizan etiquetas MPLS (VPN) que diferencian el tráfico que va hacia y desde varias instancias de enrutamiento. Sin etiquetas MPLS y VPN, como en una instancia de enrutamiento de enrutador virtual, necesita interfaces lógicas independientes para separar el tráfico de diferentes instancias.

Un método para proporcionar esta interfaz lógica entre los enrutadores del proveedor de servicios es la configuración de túneles entre ellos. Puede configurar la seguridad IP (IPsec), la encapsulación de enrutamiento genérico (GRE) o los túneles IP-IP entre los enrutadores del proveedor de servicios, terminando los túneles en la instancia del enrutador virtual.