Una VPN proporcionada por un proveedor (PPVPN) es una red privada virtual (VPN) implementada por un proveedor de servicios de conectividad o una gran empresa en una red que opera por su cuenta, a diferencia de una "VPN proporcionada por el cliente", donde la VPN es implementada por el cliente que adquiere el servicio de conectividad además de las especificidades técnicas del proveedor.
Cuando los proveedores de servicios de Internet implementan PPVPN en sus propias redes, el modelo de seguridad de los protocolos PPVPN típicos es más débil con respecto a los protocolos de tunelización utilizados en las VPN proporcionadas por el cliente, especialmente en términos de confidencialidad, porque la privacidad de los datos puede no ser necesaria.
Dependiendo de si una VPN provista por un proveedor (PPVPN) opera en la capa 2 (L2) o en la capa 3 (L3), los componentes básicos que se describen a continuación pueden ser solo de L2, solo de L3 o una combinación de ambos. La funcionalidad de conmutación de etiquetas multiprotocolo (MPLS) difumina la identidad de L2-L3. [1] [ ¿ Investigación original? ]
El RFC 4026 generalizó los siguientes términos para cubrir las VPN L2 MPLS y las VPN L3 ( BGP ), pero se introdujeron en el RFC 2547. [2] [3]
VLAN es una técnica de Capa 2 que permite la coexistencia de múltiples dominios de difusión de redes de área local (LAN) interconectados a través de enlaces troncales mediante el protocolo de enlaces troncales IEEE 802.1Q . Se han utilizado otros protocolos de enlaces troncales, pero han quedado obsoletos, como Inter-Switch Link (ISL), IEEE 802.10 (originalmente un protocolo de seguridad, pero se introdujo un subconjunto para enlaces troncales) y ATM LAN Emulation (LANE).
Desarrolladas por el Instituto de Ingenieros Eléctricos y Electrónicos , las VLAN permiten que varias LAN etiquetadas compartan enlaces troncales comunes. Las VLAN con frecuencia comprenden solo instalaciones propiedad del cliente. Mientras que VPLS, como se describe en la sección anterior (servicios de capa 1 de OSI), admite la emulación de topologías tanto de punto a punto como de punto a multipunto, el método que se analiza aquí extiende las tecnologías de capa 2, como los enlaces troncales de LAN 802.1d y 802.1q, para ejecutarse sobre transportes como Ethernet metropolitano .
En este contexto, un VPLS es un PPVPN de capa 2 que emula la funcionalidad completa de una LAN tradicional. Desde el punto de vista del usuario, un VPLS permite interconectar varios segmentos de LAN de una manera transparente para el usuario, haciendo que los segmentos de LAN separados se comporten como una única LAN. [4]
En un VPLS, la red del proveedor emula un puente de aprendizaje, que puede incluir el servicio VLAN opcionalmente.
PW es similar a VPLS pero puede proporcionar diferentes protocolos L2 en ambos extremos. Normalmente, su interfaz es un protocolo WAN como Asynchronous Transfer Mode o Frame Relay . Por el contrario, cuando se pretende proporcionar la apariencia de una LAN contigua entre dos o más ubicaciones, el servicio de LAN privada virtual o IPLS sería adecuado.
EtherIP ( RFC 3378) [5] es una especificación de protocolo de tunelización Ethernet sobre IP. EtherIP solo tiene un mecanismo de encapsulación de paquetes. No tiene protección de confidencialidad ni de integridad de mensajes. EtherIP se introdujo en la pila de red FreeBSD [6] y en el programa de servidor SoftEther VPN [7] .
Los dispositivos CE son un subconjunto de VPLS y deben tener capacidades de capa 3; el IPLS presenta paquetes en lugar de tramas. Puede admitir IPv4 o IPv6.
La VPN Ethernet (EVPN) es una solución avanzada para proporcionar servicios Ethernet a través de redes IP-MPLS. A diferencia de las arquitecturas VPLS, EVPN permite el aprendizaje de MAC (y MAC, IP) basado en el plano de control en la red. Los PE que participan en las instancias EVPN aprenden las rutas MAC (MAC, IP) del cliente en el plano de control mediante el protocolo MP-BGP. El aprendizaje de MAC del plano de control aporta una serie de beneficios que permiten a EVPN abordar las deficiencias de VPLS, incluido el soporte para multihoming con equilibrio de carga por flujo y la prevención de inundaciones innecesarias sobre la red central MPLS a múltiples PE que participan en la L2VPN P2MP/MP2MP (en la ocurrencia, por ejemplo, de una consulta ARP). Se define en RFC 7432.
En esta sección se analizan las principales arquitecturas de PPVPN: una en la que el PE elimina la ambigüedad de las direcciones duplicadas en una única instancia de enrutamiento y la otra, la del enrutador virtual, en la que el PE contiene una instancia de enrutador virtual por VPN. El primer enfoque y sus variantes han sido los que han recibido más atención.
Uno de los desafíos de las PPVPN implica que diferentes clientes utilicen el mismo espacio de direcciones, especialmente el espacio de direcciones privadas IPv4. [8] El proveedor debe poder desambiguar las direcciones superpuestas en las PPVPN de múltiples clientes.
Los PE comprenden la topología de cada VPN, que está interconectada con túneles MPLS directamente o a través de enrutadores P. En la terminología MPLS, los enrutadores P son enrutadores de conmutación de etiquetas que no tienen conocimiento de las VPN. [ cita requerida ]
Algunas redes virtuales utilizan protocolos de tunelización sin cifrado para proteger la privacidad de los datos. Si bien las VPN suelen brindar seguridad, una red superpuesta sin cifrar no se ajusta a la categorización de segura o confiable. [11] Por ejemplo, un túnel configurado entre dos hosts con encapsulamiento de enrutamiento genérico (GRE) es una red privada virtual, pero no es segura ni confiable. [12] [13]
Los protocolos de tunelización de texto simple nativos incluyen el Protocolo de tunelización de capa 2 (L2TP) cuando se configura sin IPsec y el Protocolo de tunelización punto a punto (PPTP) o el Cifrado punto a punto de Microsoft (MPPE). [14]