Virtual Private LAN Service
سرویس VPLS که به Transparent LAN Service) TLS) نیز معروف است، در حقیقت یک سرویس اترنت P2MP است که میتواند یک یا چند ناحیه شهری را پوششدهد و اتصال بین چندین سایت را که به یک LAN اترنت متصلند فراهم نماید. برخلاف سرویس اترنت، P2MP که در حال حاضر روی بستری ارائه میشود که ترکیبی از سوییچهای اترنت است، VPLS از زیرساخت IP-MPLS برای ارائه سرویس استفاده مینماید. به طور کلی میتوان تصور کرد تمام کاربران یک شبکه VPLS بدون توجه به مکان فیزیکی، به صورت مجازی در یک LAN قرار دارند که برای هر سازمان میتوان یک یا چند دامنه VPLS domain) VPLS) را همچون VLAN بهکار برد.
امروزه سرویس اترنت شهری که فراهمکنندگان سرویس در نواحی مختلف آنرا ارائه میکنند و اغلب اتصالات نقطهبهنقطه بین چندین سایت، در همان شبکه شهری است. به هر حال هدف نهایی اترنت شهری، گذر از اتصال نقطه به نقطه در محدوده ناحیه شهری به ارائه اتصال چند نقطه به چندنقطه در داخل یک ناحیه شهری و یا چندین ناحیه شهری است. به عبارت دیگر، ارائه سرویس به سازمان به گونهای انجام شود که تمام سایتهای آن در صورت اتصال به LAN به صورت یکسان ظاهر شوند؛ صرفنظر از اینکه آیا این سایتها در یک ناحیه شهری هستند یا در چندین ناحیه شهری گسترده شدهاند. پس یکی از مطرحترین روشها برای تحقیق این تصور، سرویسLAN خصوصی مجازی (VPLS) است که اتصال اترنت چندنقطه به چندنقطه را هم در داخل و هم بین شبکههای شهری تحت شبکه فراهمکننده سرویس IP/MPLS قابل توسعه فراهممینماید.
VPLS در حقیقت VPN لایه ۲ می باشد.قابلیت مهم VPLS ، پوینت تو مالتی پوینت بودن آن می باشد. VPLS هم در بستر IP و هم در بستر MPLS قابل پیاده سازی است ولی در بستر IP تاکنون پیاده سازی نشده است.
اساس کار VPLS بر اساس تعریف Pseudo wire می باشد. Pseudo wire را می توان به مثابه سیمی در نظر گرفت که دفاتر مختلف یک مشترک را بهم وصل می کند. با عنایت به دو فاکتور MAC Learning و BPDU Processing سرویس VPLS به دو دسته کلی تقسیم می شود.البته خود نوع دوم نیز، به دو حالت تبدیل می شود :
– Transport LAN service (TLS) : Unqualified Learning
در این نوع، روتر ما Tag را نمی فهمد بنابراین اینترفیس به سمت مشترک باید در حالت Access Mode باشد.
این بدین معنی است که تمام شعبات مشترک در یک Broadcast Domain قرار می گیرند.
Ethernet Virtual Connection Service (EVCS) : Qualified Learning
Tag را می فهمد. بنابراین اینترفیس به سمت مشترک باید در حالت Trunk Mode یا dot1q Tunnel باشد.
این نوع سرویس برای مشترکینی مناسب است که می خواهند هر VLAN آنها یک Broadcast Domain مجزاباشد.
همانطور که می دانید در یک VLAN وقتی می خواهیم ارتبلط بین VLAN های مختلف را برقرار کنیم، نیاز به یک رئتر داریم تا Inter VLAN Routing انجام دهیم. در VPLS و در حالت EVCS ، از دید مشترک، Provider نقش Integrated Routing and Bridging دارد یعنی هم کار Routing انجام می دهد و هم کار Bridging.
بنابراین با توجه به مطالب فوق، اگر یک مشترک چند شعبه ( دفتر) در شهرهای مختلف داشته باشد و بخواهد این شعبات را بهم وصل کند، سه حالت قابل تصور است :
– به مشترک بگوییم از VLAN استفاده نکند( و به فریم خود Tag نزند) ، ما شعبات آن را بهم وصل خواهیم کرد.
– به مشترک بگوییم از VLAN استفاده کند( و به فریم خود Tag بزند) ، ما شعبات آن را بهم وصل خواهیم کرد.
مشکل این روش این است که اگر هر کدام از مشترکین ما بطور متوسط ۱۰ عدد VLAN استفاده کند، ما نهایتاً می توانیم در کل شبکه ۴۰۰ عدد مشترک داشته باشیم.بنابراین با این روش ما تعداد زیادی VLAN از دست می دهیم.
– در این روش که بهترین حالت می باشد ما به ازای هر مشترک در شبکه Provider ، یک VLAN تعریف می کنیم. یعنی اگر مشترک به فریم خود یک Tag اضافه کند ، ما نیز یک Tag تحت عنوان QinQ به آن اضافه می کنیم. در نتیجه ما می توانیم ۴۰۹۵ مشترک در شبکه داشته باشیم.
اترنت وسیعترین و در دسترسترین فناوری شبكه محلی در جهان است كه امروزه با بیش از یكصدمیلیون مشتری پیادهسازی شده است. برخی از مزایای این سرویس كه موجب استفاده گسترده از آن گردیده است، عبارتند از:
▪ به دلیل هزینه نسبتاً پایین و سادگی آن در مقایسه با فناوریهای دیگر، فناوری منتخب شبكههای LAN است.
▪ پهنای باند ثابت، قابل انعطاف و قابل توسعهتری را نسبت به راهحلهای متداول پهنای باند ثابت فراهم كرده و محیط شبكه شهری را متحول نموده است.
▪ برای كاربر نهایی كمهزینهتر است. برقراری اتصال در آن آسان و مدیریت آن نیز سادهاست.
▪ برای فراهمكننده سرویس، ارزانتر است و قابلیت انعطاف بیشتری دارد و این امكان را فراهم میسازد كه سرویسهای جدید نسبت به راهحلهای قدیمی بسیار سادهتر و سریعتر فراهم شوند.
در سالهای قبل، ابتكار و نوآوریهای قابل توجه و مهمی در مورد استانداردهای اترنت انجام شده است كه این نوآوریها نه تنها به صورت بالارفتن چشمگیر خروجی از ۱۰Mbps به ۱۰Gbps بوده، بلكه با ارتقای پروتكل دسترسی فیزیكی، شبكه اترنت را بهگونهای توسعه میدهند كه به صورت شبكه گسترده (WAN) درآید.
همچنین اترنت با بهرهگیری از پیادهسازی وسیع فیبر نوری در نواحی شهری، شهرت زیادی را به عنوان فناوری شبكه شهری بهدست آورده است. امروزه سرویس LAN خصوصی مجازی دسترسی به اترنت را بیشتر توسعه و آنرا به عنوان فناوریWAN فعال مینماید.
فناوریهای دیگری كه اترنت را در سراسر WAN فعال میسازد، مانند اترنت روی MPLS، اترنت روی SONET/SDH ،Bridging اترنت روی (LAN (ATM LAN ،ATM Emulation، هرچند كه تنها اتصال نقطه به نقطه را فراهم میكنند، اما پیادهسازی انبوه آنها بهعلت پیچیدگی زیاد محدود میشود.
همچنین آنها برای تسهیل همگرایی شبكه، به معماری شبكه اختصاصی احتیاج دارند.
البته Frame Relay و ATM سالها به عنوان فناوریهای برگزیده برای شبكههای مبتنی بر Packet رواج داشتند و سازمانها معمولاً اتصال WAN خود را با همبندیهای hub-and-spoke و یا نیمه mash طراحی میكردند. این طرحها نتیجه استفاده زیرساخت شبكه با درنظر گرفتن عوامل قیمت و ویژگی نقطه به نقطه Frame Relay و ATM است. نسل جدید كاربردهای سازمانی لزوم وجود معماری WAN سازمانی را كه بتواند همبندیهای انعطافپذیرتر و ظرفیت پهنای باند بالاتری را ارائه كند ایجاد كرده است.
اخیراً فراهمكنندگان سرویس برای پاسخگویی به این نیازهای جدید به ارائه IP مبتنی بر MPLS-VPN لایه سه متوسل شدهاند. در ضمن VPLS به عنوان راهكار دیگری برای پیادهسازی سرویسهای چندنقطهای با پهنای باند بالا در شبكه WAN مبتنی بر اترنت پیشنهاد میشود.
- معماری VPLS
دو معماری مطرح در VPLS عبارتند از: معماری سلسله مراتبی و معماری تكسطحی. در معماری تك سطحی، ارتباطات به صورت نقطه به نقطه مطرح میشود. در این روش بین entityها در VPLS یك تونل ایجاد میشود.
این تونل مجازی كه بخش PWE۳ آنرا استاندارد كرده است، در گذشته به “تونل مارتینی” معروف بوده است. به خاطر دارید در چند سال گذشته برای برقراری ارتباط و تضمین كیفیت در زمانی كه بستهها به لایههای بالاتر ارسال میشدند، استانداردهای متعددی تدوین گردیده است.
یكی از استانداردهایی كه به منظور تضمین كیفیت، ترافیك لایه دو را روی ترافیك لایه سه Map مینمود، استانداردDraft Martini بود كه به واسطه آن تضمین كیفیت یك سرویس امكانپذیر بود.
تونلهایی كه با استفاده از این استاندارد در سراسر مسیر ایجاد میشوند، سرویسهای لایه دو را با فرمت MPLS كپسوله و منتقلمینمایند. برای این منظور لازم است كلیه ویژگیهای پایهای اترنت را پشتیبانی نمایند.
در معماری VPLS به صورت تكسطحی تونلها به صورت P۲P تعریف میشوند. در حالی كه با گسترش روز افزون سرویسها و نیاز به ایجاد تونلهایی به صورت mesh بین نقاط مختلف، این ساختار جوابگوی نیازهای شبكه نیست.
معماری سلسله مراتبی (HVPLS) در VPLS برای پاسخ به این نیاز مطرح شده است. این معماری بر پایه همان روش سنتی ارائه سرویس بنا شده است. اما با توجه به حجم بالای تونلها در یك شبكه، توسعهای بر روش سنتی در نظر گرفته شده است كه نتیجتاً منجر به ایجاد همبندی سلسله مراتبی برای این فناوری شده است. در این همبندی برای ایجاد تونلهایی به صورت full mesh لازم است، در سمت مشترك روترهایی نصب شود كه برای ایجاد سلسله مراتب در شبكه به روترهای PE متصل شود.
در پیادهسازی این همبندی توسط ارائه دهندگان سرویس، به طور معمول در نقاط اصلی شبكه برای ایجاد امكان ارائه سرویس به كاربران از تعدادی Multi Tenant Unit) MTU) استفاده میشود كه هر كدام میتوانند به تعداد زیاد شبكههای سازمانی را به صورت ایجاد VPLS VPN سرویسدهی نمایند.
شبكه ترافیك تمام MTUها مجتمع میكند و برای PE اصلی كه در حقیقت نقطه تمركز شبكه است، ارسال میشود.
در طراحی این سرویس تجهیزاتی كه در MTU نصب میشود یك سوییچ اترنت است كه كلیه عملیات سوییچینگ لایه دو را انجام میدهد. این تجهیزات معمولاً به صورت اختصاصی در اختیار یك سازمان قرار میگیرند. اما برای استفاده بهینه از منابع WAN، عملكردهای VPLS روی MTU ها نیز تعریف میشود.
در شبكهای كه MTUها نیز عملكردی شبیه PE دارند، محدودیتهایی نظیر ایجاد تونل، تكرار اطلاعات و ایجاد جدول آدرسهای MAC ایجاد میشود. برای مقابله با این محدودیت، در شبكه سلسله مراتب تعریف میشود. به این صورت كه Core شبكه به صورت Full mesh تعریف میشود و در لایه دسترسی ارتباطات به صورت تونلهای مجزا بین نقاط تعریف میشوند. (شكل ۳)
با توجه به ساختار كلیای كه از VPLS ارائه شد، این سرویس نه تنها برای ایجاد شبكههای اترنت شهری مناسب است بلكه از آن برای برقراری ارتباط میان شبكههای شهری مختلف كه با استفاده از فناوریهای متفاوتی نظیر نسل آینده SDH و یا RPR ایجاد شدهاند نیز استفاده میشود.
مسئله مهم دیگری كه در پیادهسازی این سرویس مطرح است، آشكارسازی خودكار و سیگنالینگ است. آشكارسازی خودكار برای فعالسازی فراهمكنندگان سرویس بسیار مهم است تا با استفاده از آن هزینههای كاربری را پایین نگه دارند و نیز در این سرویس از BGP و یا LDP به عنوان مكانیزم سیگنالینگ استفاده گردد.
- مسیریابی در VPLS
استفاده از پروتكلهای مسیریابی شبكه IP به جای پروتكل Spanning tree و برچسبهای MPLS به جای شناسههای VLAN در زیرساخت، موجب بهبود و پیشرفت قابل توجهی در قابلیت توسعه سرویس VPLS میشود.
تفاوت VPLS با L۳VPN در تجهیزات طرف CE است. در ایجاد شبكهها با استفاده از VPLS لزومی ندارد در سمت CE تجهیزاتی نظیر روتر قرارگیرد.
در سمت PE نیز به ازای هر CE لزومی به تعریف جدول مسیریابی نیست، بلكه ترافیك لایه دو در MPLS LSP به سادگی Map میشود. در حقیقت VPLS آنچه را BGP MPLS VPN در لایه سه ارائه مینماید، در لایه دو در اختیار كاربر قرار میدهد؛ اما رسانه انتقال آن شبكهIP نیست، بلكه ارتباطات از طریق اترنت برقرار میشوند. (شكل۴)
برای ایجاد یك شبكه VPLS لازم است مواردی نظیر افزونگی ارتباط میان CEها و PEها همانگونه كه در لایه دو مطرح است در نظر گرفته شود.
زیرا هر ارتباط میان یك CE و PE میتواند یك Single Point of Failure باشد. برای جلوگیری از این پیشامد، باید هر CE حداقل به دو PE متصل شود. به منظور ایجاد ارتباطات افزونهای كه به صورت یك bundle تعریف شود، لازم است از مشخصه smart trunking در ارتباط میان CE و PE استفاده نمود. از Smart trunkها به طور معمول برای افزایش ظرفیت استفاده میشود.
نویسنده: دکتر امین گلستانی، مدیرکل نظام مدیریت امنیت اطلاعات