--------------------------------------------------------------------------------------------- Optimizer of Information Technology & Communication ----------------------------------------------------------------------
امنیت، سرعت و دقت را از ما بخواهید

تکنولوژی VPLS

Virtual Private LAN Service

سرویس VPLS که به Transparent LAN Service) TLS) نیز معروف است، در حقیقت یک سرویس اترنت P2MP است که می‌تواند یک یا چند ناحیه شهری را پوشش‌دهد و اتصال بین چندین سایت را که به یک LAN اترنت متصلند فراهم ‌نماید. برخلاف سرویس اترنت، P2MP که در حال حاضر روی بستری ارائه می‌شود که ترکیبی از سوییچ‌های اترنت است، VPLS از زیرساخت IP-MPLS برای ارائه سرویس استفاده می‌نماید. به طور کلی می‌توان تصور کرد تمام کاربران یک شبکه VPLS بدون توجه به مکان فیزیکی، به صورت مجازی در یک LAN قرار دارند که برای هر سازمان می‌توان یک یا چند دامنه VPLS domain) VPLS)  را همچون VLAN به‌کار برد.

امروزه سرویس اترنت شهری که فراهم‌کنندگان سرویس در نواحی مختلف آن‌را ارائه می‌کنند و اغلب اتصالات نقطه‌به‌نقطه بین چندین سایت، در همان شبکه شهری است. به هر حال هدف نهایی اترنت شهری، گذر از اتصال نقطه ‌به ‌نقطه در محدوده ناحیه شهری به ارائه اتصال چند نقطه به چندنقطه در داخل یک ناحیه شهری و یا چندین ناحیه شهری است. به عبارت دیگر، ارائه سرویس به سازمان به گونه‌ای انجام شود که تمام سایت‌های آن در صورت اتصال به LAN به صورت یکسان ظاهر شوند؛ صرف‌نظر از این‌که آیا این سایت‌ها در یک ناحیه شهری هستند یا در چندین ناحیه شهری گسترده شده‌اند. پس یکی از مطرح‌ترین روش‌ها برای تحقیق‌ این تصور، سرویسLAN   خصوصی مجازی (VPLS) است که اتصال اترنت چندنقطه به چندنقطه را هم در داخل و هم بین شبکه‌های شهری تحت شبکه فراهم‌کننده سرویس IP/MPLS قابل توسعه فراهم‌می‌نماید.

VPLS در حقیقت VPN لایه ۲ می باشد.قابلیت مهم VPLS ، پوینت تو مالتی پوینت بودن آن می باشد. VPLS هم در بستر IP و هم در بستر MPLS قابل پیاده سازی است ولی در بستر IP تاکنون پیاده سازی نشده است.

اساس کار VPLS بر اساس تعریف Pseudo wire می باشد. Pseudo wire را می توان به مثابه سیمی در نظر گرفت که دفاتر مختلف یک مشترک را بهم وصل می کند. با عنایت به دو فاکتور MAC Learning و BPDU Processing سرویس VPLS به دو دسته کلی تقسیم می شود.البته خود نوع دوم نیز، به دو حالت تبدیل می شود :
– Transport LAN service (TLS) : Unqualified Learning

در این نوع، روتر ما Tag را نمی فهمد بنابراین اینترفیس به سمت مشترک باید در حالت Access Mode باشد.

این بدین معنی است که تمام شعبات مشترک در یک Broadcast Domain قرار می گیرند.
Ethernet Virtual Connection Service (EVCS) : Qualified Learning
Tag را می فهمد. بنابراین اینترفیس به سمت مشترک باید در حالت Trunk Mode یا dot1q Tunnel باشد.
این نوع سرویس برای مشترکینی مناسب است که می خواهند هر VLAN آنها یک Broadcast Domain مجزاباشد.

همانطور که می دانید در یک VLAN وقتی می خواهیم ارتبلط بین VLAN های مختلف را برقرار کنیم، نیاز به یک رئتر داریم تا Inter VLAN Routing انجام دهیم. در VPLS و در حالت EVCS ، از دید مشترک، Provider نقش Integrated Routing and Bridging دارد یعنی هم کار Routing انجام می دهد و هم کار Bridging.
بنابراین با توجه به مطالب فوق، اگر یک مشترک چند شعبه ( دفتر) در شهرهای مختلف داشته باشد و بخواهد این شعبات را بهم وصل کند، سه حالت قابل تصور است :
– به مشترک بگوییم از VLAN استفاده نکند( و به فریم خود Tag نزند) ، ما شعبات آن را بهم وصل خواهیم کرد.
– به مشترک بگوییم از VLAN استفاده کند( و به فریم خود Tag بزند) ، ما شعبات آن را بهم وصل خواهیم کرد.
مشکل این روش این است که اگر هر کدام از مشترکین ما بطور متوسط ۱۰ عدد VLAN استفاده کند، ما نهایتاً می توانیم در کل شبکه ۴۰۰ عدد مشترک داشته باشیم.بنابراین با این روش ما تعداد زیادی VLAN از دست می دهیم.
– در این روش که بهترین حالت می باشد ما به ازای هر مشترک در شبکه Provider ، یک VLAN تعریف می کنیم. یعنی اگر مشترک به فریم خود یک Tag اضافه کند ، ما نیز یک Tag تحت عنوان QinQ به آن اضافه می کنیم. در نتیجه ما می توانیم ۴۰۹۵ مشترک در شبکه داشته باشیم.

اترنت وسیع‌ترین و در دسترس‌ترین فناوری شبكه محلی در جهان است كه امروزه با بیش از یكصدمیلیون مشتری پیاده‌سازی شده است. برخی از مزایای این سرویس كه موجب استفاده گسترده از آن گردیده است، عبارتند از:

▪ به دلیل هزینه نسبتاً پایین و سادگی‌ آن در مقایسه با فناوری‌های دیگر، فناوری منتخب شبكه‌های LAN است.

▪ پهنای باند ثابت، قابل انعطاف و قابل توسعه‌تری را نسبت به راه‌حل‌های متداول پهنای باند ثابت فراهم كرده و محیط شبكه شهری را متحول نموده است.

▪ برای كاربر نهایی كم‌هزینه‌تر است. برقراری اتصال در آن آسان‌ و مدیریت آن نیز ساده‌است.

▪ برای فراهم‌كننده سرویس، ارزان‌تر است و قابلیت انعطاف بیشتری دارد و این امكان را فراهم می‌سازد كه سرویس‌های جدید نسبت به راه‌حل‌های قدیمی بسیار ساده‌تر و سریع‌تر فراهم شوند.

در سال‌های قبل، ابتكار و نوآوری‌های قابل توجه و مهمی در مورد استانداردهای اترنت انجام شده است كه این نوآوری‌ها نه تنها به صورت بالارفتن چشمگیر خروجی از ۱۰Mbps به ۱۰Gbps بوده، بلكه با ارتقای پروتكل دسترسی فیزیكی، شبكه اترنت را به‌گونه‌ای توسعه می‌دهند كه به صورت شبكه گسترده (WAN) درآید.

همچنین اترنت با بهره‌گیری از پیاده‌سازی وسیع فیبر نوری در نواحی شهری، شهرت زیادی را به عنوان فناوری شبكه شهری به‌دست آورده است. امروزه سرویس LAN خصوصی مجازی دسترسی به اترنت را بیشتر توسعه و آن‌را به عنوان فناوریWAN فعال می‌‌نماید.

فناوری‌های دیگری كه اترنت را در سراسر WAN فعال می‌سازد، مانند اترنت روی MPLS، اترنت روی SONET/SDH ،Bridging اترنت روی (LAN (ATM LAN ،ATM Emulation، هرچند كه تنها اتصال نقطه به نقطه را فراهم می‌كنند، اما پیاده‌سازی انبوه آن‌ها به‌علت پیچیدگی زیاد محدود می‌شود.

همچنین آن‌ها برای تسهیل همگرایی شبكه، به معماری شبكه اختصاصی احتیاج دارند.

البته Frame Relay و ATM سال‌ها به عنوان فناوری‌های برگزیده برای شبكه‌های مبتنی بر Packet رواج داشتند و سازمان‌ها معمولاً اتصال WAN خود را با همبندی‌های hub-and-spoke و یا نیمه mash طراحی می‌كردند. این طرح‌ها نتیجه استفاده زیرساخت شبكه با درنظر گرفتن عوامل قیمت و ویژگی نقطه به نقطه Frame Relay و ATM است. نسل جدید كاربردهای سازمانی لزوم وجود معماری WAN سازمانی را كه بتواند همبندی‌های انعطاف‌پذیرتر و ظرفیت پهنای باند بالاتری را ارائه ‌كند ایجاد كرده است.

اخیراً فراهم‌كنندگان سرویس برای پاسخگویی به این نیازهای جدید به ارائه IP مبتنی بر MPLS-VPN لایه سه متوسل شده‌اند. در ضمن VPLS به عنوان راهكار دیگری برای پیاده‌سازی سرویس‌های چندنقطه‌ای با پهنای باند بالا در شبكه WAN مبتنی بر اترنت پیشنهاد می‌شود.

  • معماری VPLS

دو معماری مطرح در VPLS عبارتند از: معماری سلسله مراتبی و معماری تك‌سطحی. در معماری تك سطحی، ارتباطات به صورت نقطه به نقطه مطرح می‌شود. در این روش بین entityها در VPLS یك تونل ایجاد می‌شود.

این تونل مجازی كه بخش PWE۳ آن‌را استاندارد كرده است، در گذشته به “تونل مارتینی” معروف بوده است. به خاطر دارید در چند سال گذشته برای برقراری ارتباط و تضمین كیفیت در زمانی كه بسته‌ها به لایه‌های بالاتر ارسال می‌شدند، استانداردهای متعددی تدوین گردیده است.

یكی از استانداردهایی كه به منظور تضمین كیفیت، ترافیك لایه دو را روی ترافیك لایه سه Map می‌نمود، استانداردDraft Martini بود كه به واسطه آن تضمین كیفیت یك سرویس امكانپذیر بود.

تونل‌هایی كه با استفاده از این استاندارد در سراسر مسیر ایجاد می‌شوند، سرویس‌های لایه دو را با فرمت MPLS كپسوله و منتقل‌می‌‌نمایند. برای این منظور لازم است كلیه ویژگی‌های پایه‌ای اترنت را پشتیبانی نمایند.

در معماری VPLS به صورت تك‌سطحی تونل‌ها به صورت P۲P تعریف می‌شوند. در حالی كه با گسترش روز افزون سرویس‌ها و نیاز به ایجاد تونل‌هایی به صورت mesh بین نقاط مختلف، این ساختار جوابگوی نیازهای شبكه نیست.

معماری سلسله مراتبی (HVPLS) در VPLS برای پاسخ به این نیاز مطرح شده است. این معماری بر پایه همان روش سنتی ارائه سرویس بنا شده است. اما با توجه به حجم بالای تونل‌ها در یك شبكه، توسعه‌ای بر روش سنتی در نظر گرفته شده است كه نتیجتاً منجر به ایجاد همبندی سلسله مراتبی برای این فناوری شده است. در این همبندی برای ایجاد تونل‌هایی به صورت full mesh لازم است، در سمت مشترك روترهایی نصب شود كه برای ایجاد سلسله مراتب در شبكه به روترهای PE متصل شود.

در پیاده‌سازی این همبندی توسط ارائه دهندگان سرویس، به طور معمول در نقاط اصلی شبكه برای ایجاد امكان ارائه سرویس به كاربران از تعدادی Multi Tenant Unit) MTU) استفاده می‌شود كه هر كدام می‌توانند به تعداد زیاد شبكه‌های سازمانی را به صورت ایجاد VPLS VPN سرویس‌دهی نمایند.

شبكه ترافیك تمام MTUها مجتمع می‌كند و برای PE اصلی كه در حقیقت نقطه تمركز شبكه است، ارسال می‌شود.

در طراحی این سرویس تجهیزاتی كه در MTU نصب می‌شود یك سوییچ اترنت است كه كلیه عملیات سوییچینگ لایه دو را انجام می‌دهد. این تجهیزات معمولاً به صورت اختصاصی در اختیار یك سازمان قرار می‌گیرند. اما برای استفاده بهینه از منابع WAN، عملكردهای VPLS روی MTU ها نیز تعریف می‌شود.

در شبكه‌ای كه MTUها نیز عملكردی شبیه PE دارند، محدودیت‌هایی نظیر ایجاد تونل، تكرار اطلاعات و ایجاد جدول آدرس‌های MAC ایجاد می‌شود. برای مقابله با این محدودیت، در شبكه سلسله مراتب تعریف می‌شود. به این صورت كه Core شبكه به صورت Full mesh تعریف می‌شود و در لایه دسترسی ارتباطات به صورت تونل‌های مجزا بین نقاط تعریف می‌شوند. (شكل ۳)

با توجه به ساختار كلی‌ای كه از VPLS ارائه شد، این سرویس نه تنها برای ایجاد شبكه‌های اترنت شهری مناسب است بلكه از آن برای برقراری ارتباط میان شبكه‌های شهری مختلف كه با استفاده از فناوری‌های متفاوتی نظیر نسل آینده SDH و یا RPR ایجاد شده‌اند نیز استفاده می‌شود.

مسئله مهم دیگری كه در پیاده‌سازی این سرویس مطرح است، آشكارسازی خودكار و سیگنالینگ است. آشكارسازی خودكار برای فعال‌سازی فراهم‌كنندگان سرویس بسیار مهم است تا با استفاده از آن هزینه‌های كاربری را پایین نگه دارند و نیز در این سرویس از BGP و یا LDP به عنوان مكانیزم سیگنالینگ استفاده گردد.

  • مسیریابی در VPLS

استفاده از پروتكل‌های مسیریابی شبكه IP به جای پروتكل Spanning tree و برچسب‌های MPLS به جای شناسه‌های VLAN در زیرساخت، موجب بهبود و پیشرفت قابل توجهی در قابلیت توسعه سرویس VPLS می‌شود.

تفاوت VPLS با L۳VPN در تجهیزات طرف CE است. در ایجاد شبكه‌ها با استفاده از VPLS لزومی ندارد در سمت CE تجهیزاتی نظیر روتر قرار‌گیرد.

در سمت PE نیز به ازای هر CE لزومی به تعریف جدول مسیریابی نیست، بلكه ترافیك لایه دو در MPLS LSP به سادگی Map می‌شود. در حقیقت VPLS آنچه را BGP MPLS VPN در لایه سه ارائه می‌نماید، در لایه دو در اختیار كاربر قرار می‌دهد؛ اما رسانه انتقال آن شبكهIP نیست، بلكه ارتباطات از طریق اترنت برقرار می‌شوند. (شكل۴)

برای ایجاد یك شبكه VPLS لازم است مواردی نظیر افزونگی ارتباط میان CEها و PEها همان‌گونه كه در لایه دو مطرح است در نظر گرفته شود.

زیرا هر ارتباط میان یك CE و PE می‌تواند یك Single Point of Failure باشد. برای جلوگیری از این پیشامد، باید هر CE حداقل به دو PE متصل شود. به منظور ایجاد ارتباطات افزونه‌ای كه به صورت یك bundle تعریف شود، لازم است از مشخصه smart trunking در ارتباط میان CE و PE استفاده نمود. از Smart trunkها به طور معمول برای افزایش ظرفیت استفاده می‌شود.

نویسنده: دکتر امین گلستانی،  مدیرکل نظام مدیریت امنیت اطلاعات

براي دانلود كاتالوگ ما كليك كنيد
**** ورود شما را به اين سايت علمي آموزشي خوش آمد مي گوييم و منتظر نقطه نظرات ارزشمند شما هستيم ****    
Copy Protected by Chetan's WP-Copyprotect. برو به بالا