VRF Lite и L3VPN в СКАТ

28 апреля 2023
СКАТ
VRF Lite и L3VPN в СКАТ
L3VPN и L2VPN – востребованные услуги у операторов связи, и являются решающим фактором при выборе поставщика интернет для юридических лиц.

В этой статье речь пойдет о провайдерском VPN: для его реализации провайдер предоставляет клиенту несколько точек доступа и создает каналы между ними внутри своей сети, которые клиент оплачивает.

В чем особенность провайдерского VPN по сравнению с клиентским? В том, что провайдер берет на себя обязательства по предоставлению определенного качества услуг (допустимый уровень задержки, джиттера, процент потерь пакетов, максимальный период недоступности сервисов и т.д.) и гарантии безопасности.

L2VPN или L3VPN?

В использовании L2- и L3VPN есть своя специфика: L2VPN чаще используется, если есть задача обеспечить связность между хостами в одном широковещательном домене с резервированием, а L3VPN – чтобы предоставлять разные сервисы (L3VPN + Internet, VRF-Aware NAT и т.д.). L3VPN набирает все большую популярность, и в 13 версии СКАТ появилась поддержка VRF Lite, который позволяет реализовать один из вариантов L3VPN.

Принципы VRF

Один и тот же принцип виртуальных маршрутизаторов по-разному называется у разных вендоров: VRF в Cisco, VPN-instance в Huawei и Routing Instance в Juniper. Все они представляют собой виртуальные машины, которые по сути создаются на одном физическом маршрутизаторе и являются отдельными VPN, с индивидуальными таблицами маршрутизации, FIB и списками интерфейсов.

Каждый VRF изолирован от других VRF и от самого физического маршрутизатора. VRF локален для одного маршрутизатора, не существует за его пределами и не связан с VRF на другом. Однако, как и в случае с виртуальными серверами, между ними возможна коммуникация.

Тема L3VPN и L2VPN подробно раскрыта в серии статей «Сети для самых маленьких».

VRF Lite

На СКАТ первым этапом реализован VRF lite. Приставка lite означает, что СКАТ только разделяет таблицы маршрутизации, но не помещает трафик отдельного VRF в уникальный туннель (MPLS, VXLAN). VRF lite позволяет изолировать предоставляемые сервисы между собой и оптимизировать маршрутизацию при использовании разных каналов.

VRF lite

Изоляция сервисов с помощью VRF предполагает помещение правил маршрутизации от разных типов абонентов или устройств в разные таблицы, чтобы задать специфичный маршрут. Примером может служить выделение трафика от IPTV приставки, которая также находится в L2-домене с BRAS, как и CPE. IPTV приставка получает доступ только к локальным ресурсам, CPE получает доступ в интернет.

Реализация VRF в СКАТ

Реализация VRF в СКАТ выполнена с помощью Soft-Router, который строит RIB таблицу и взаимодействует с основным процессом СКАТ (fastDPI). fastDPI обеспечивает построение FIB таблицы. Данное разделение позволяет обеспечить высокую производительность при незначительном росте использования оперативной памяти сервера в случае получения Full View в каждый VRF.

Реализация L3VPN с помощью VRF lite возможна двумя путями.

  • Первый вариант – это поместить трафик определенного VRF в GRE-туннель. Такой способ используется для построения L3VPN через сеть Интернет. Данная функциональность уже доступна в СКАТ.
  • Второй вариант предполагает, что точки, которые нужно связать, находятся внутри операторской сети. Тогда рекомендуем использовать MPLS или VXLAN. Реализовать такой подход можно путем подключения СКАТ к маршрутизатору с поддержкой MPLS, который добавит метки для определенных VRF. Поддержка полноценного MPLS на СКАТ находится в планах развития.
Мы используем файлы cookies для оптимизации функциональности сайта и улучшения качества услуг. Нажимая «Принять», вы даете согласие на работу с этими файлами. Чтобы узнать больше, пожалуйста, прочтите нашу Политику конфиденциальности.