В этой статье речь пойдет о провайдерском VPN: для его реализации провайдер предоставляет клиенту несколько точек доступа и создает каналы между ними внутри своей сети, которые клиент оплачивает.
В чем особенность провайдерского VPN по сравнению с клиентским? В том, что провайдер берет на себя обязательства по предоставлению определенного качества услуг (допустимый уровень задержки, джиттера, процент потерь пакетов, максимальный период недоступности сервисов и т.д.) и гарантии безопасности.
L2VPN или L3VPN?
В использовании L2- и L3VPN есть своя специфика: L2VPN чаще используется, если есть задача обеспечить связность между хостами в одном широковещательном домене с резервированием, а L3VPN – чтобы предоставлять разные сервисы (L3VPN + Internet, VRF-Aware NAT и т.д.). L3VPN набирает все большую популярность, и в 13 версии СКАТ появилась поддержка VRF Lite, который позволяет реализовать один из вариантов L3VPN.
Принципы VRF
Один и тот же принцип виртуальных маршрутизаторов по-разному называется у разных вендоров: VRF в Cisco, VPN-instance в Huawei и Routing Instance в Juniper. Все они представляют собой виртуальные машины, которые по сути создаются на одном физическом маршрутизаторе и являются отдельными VPN, с индивидуальными таблицами маршрутизации, FIB и списками интерфейсов.
Каждый VRF изолирован от других VRF и от самого физического маршрутизатора. VRF локален для одного маршрутизатора, не существует за его пределами и не связан с VRF на другом. Однако, как и в случае с виртуальными серверами, между ними возможна коммуникация.
Тема L3VPN и L2VPN подробно раскрыта в серии статей «Сети для самых маленьких».
VRF Lite
На СКАТ первым этапом реализован VRF lite. Приставка lite означает, что СКАТ только разделяет таблицы маршрутизации, но не помещает трафик отдельного VRF в уникальный туннель (MPLS, VXLAN). VRF lite позволяет изолировать предоставляемые сервисы между собой и оптимизировать маршрутизацию при использовании разных каналов.
Изоляция сервисов с помощью VRF предполагает помещение правил маршрутизации от разных типов абонентов или устройств в разные таблицы, чтобы задать специфичный маршрут. Примером может служить выделение трафика от IPTV приставки, которая также находится в L2-домене с BRAS, как и CPE. IPTV приставка получает доступ только к локальным ресурсам, CPE получает доступ в интернет.
Реализация VRF в СКАТ выполнена с помощью Soft-Router, который строит RIB таблицу и взаимодействует с основным процессом СКАТ (fastDPI). fastDPI обеспечивает построение FIB таблицы. Данное разделение позволяет обеспечить высокую производительность при незначительном росте использования оперативной памяти сервера в случае получения Full View в каждый VRF.
Реализация L3VPN с помощью VRF lite возможна двумя путями.
- Первый вариант – это поместить трафик определенного VRF в GRE-туннель. Такой способ используется для построения L3VPN через сеть Интернет. Данная функциональность уже доступна в СКАТ.
- Второй вариант предполагает, что точки, которые нужно связать, находятся внутри операторской сети. Тогда рекомендуем использовать MPLS или VXLAN. Реализовать такой подход можно путем подключения СКАТ к маршрутизатору с поддержкой MPLS, который добавит метки для определенных VRF. Поддержка полноценного MPLS на СКАТ находится в планах развития.