El servicio de LAN privada virtual ( VPLS ) es una forma de proporcionar comunicación multipunto a multipunto basada en Ethernet sobre redes IP o MPLS . Permite que sitios geográficamente dispersos compartan un dominio de difusión Ethernet conectando sitios a través de pseudowires . El término sitios incluye multiplicidades tanto de servidores como de clientes. Las tecnologías que se pueden utilizar como pseudo-wire pueden ser Ethernet sobre MPLS , L2TPv3 o incluso GRE . Hay dos RFC de seguimiento de estándares IETF (RFC 4761 [1] y RFC 4762) [2] que describen el establecimiento de VPLS.
VPLS es una tecnología de red privada virtual (VPN). A diferencia de L2TPv3, que solo permite túneles de capa 2 punto a punto , VPLS permite conectividad de cualquier punto a cualquier punto (multipunto).
En un VPLS, la red de área local (LAN) de cada sitio se extiende hasta el borde de la red del proveedor. La red del proveedor luego emula un conmutador o puente para conectar todas las LAN del cliente y crear una única LAN con puente.
VPLS está diseñado para aplicaciones que requieren acceso multipunto o de transmisión.
Dado que VPLS emula una LAN, se requiere conectividad de malla completa. Existen dos métodos para el establecimiento de una malla completa para VPLS: utilizando el Protocolo de puerta de enlace de borde (BGP) y utilizando el Protocolo de distribución de etiquetas (LDP). El "plano de control" es el medio por el cual los enrutadores de borde del proveedor (PE) se comunican para el descubrimiento automático y la señalización. El descubrimiento automático se refiere al proceso de encontrar otros enrutadores PE que participan en la misma VPN o VPLS. La señalización es el proceso de establecer pseudowires (PW). Los PW constituyen el "plano de datos", mediante el cual los PE envían tráfico VPN/VPLS del cliente a otros PE.
BGP proporciona tanto detección automática como señalización. Los mecanismos utilizados son muy similares a los utilizados para establecer VPN MPLS de capa 3. Cada PE está configurado para participar en un VPLS determinado. El PE, mediante el uso de BGP, descubre simultáneamente todos los demás PE en el mismo VPLS y establece una malla completa de pseudowires para esos PE.
Con LDP, cada enrutador PE debe configurarse para participar en un VPLS determinado y, además, debe recibir las direcciones de otros PE que participan en el mismo VPLS. Luego, se establece una malla completa de sesiones LDP entre estos PE. Luego, se utiliza LDP para crear una malla equivalente de PW entre esos PE.
Una ventaja de utilizar los protocolos de acceso como tecnología subyacente para el plano de datos es que, en caso de fallo, el tráfico se enrutará automáticamente a lo largo de las rutas de respaldo disponibles en la red del proveedor de servicios. La conmutación por error será mucho más rápida que la que se podría lograr con, por ejemplo, el protocolo Spanning Tree (STP). Por lo tanto, VPLS es una solución más fiable para conectar redes Ethernet en diferentes ubicaciones que simplemente conectar un enlace WAN a conmutadores Ethernet en ambas ubicaciones.
VPLS tiene ventajas significativas tanto para los proveedores de servicios como para los clientes. Los proveedores de servicios se benefician porque pueden generar ingresos adicionales al ofrecer un nuevo servicio Ethernet con ancho de banda flexible y sofisticados acuerdos de nivel de servicio (SLA). VPLS también es más simple y rentable de operar que un servicio tradicional. Los clientes se benefician porque pueden conectar todos sus sitios a una VPN Ethernet que proporciona una red segura, de alta velocidad y homogénea. Además, VPLS proporciona un siguiente paso lógico en la evolución continua de Ethernet desde un protocolo LAN compartido de 10 Mbit/s a un servicio global de varios Gbps.
Los paquetes MPLS de VPLS tienen una pila de dos etiquetas. La etiqueta externa se utiliza para el reenvío MPLS normal en la red del proveedor de servicios. Si se utiliza BGP para establecer el VPLS, la etiqueta interna es asignada por un PE como parte de un bloque de etiquetas. Si se utiliza LDP, la etiqueta interna es un identificador de circuito virtual asignado por LDP cuando estableció por primera vez una malla entre los PE participantes. Cada PE realiza un seguimiento de la etiqueta interna asignada y las asocia con la instancia VPLS.
Los PE que participan en una VPN basada en VPLS deben aparecer como un puente Ethernet para los dispositivos de borde del cliente (CE) conectados. Las tramas Ethernet recibidas deben tratarse de manera tal que se garantice que los CE puedan ser dispositivos Ethernet simples.
Cuando un PE recibe una trama de un CE, la inspecciona y obtiene la dirección MAC del CE, almacenándola localmente junto con la información de enrutamiento LSP. Luego, verifica la dirección MAC de destino de la trama. Si se trata de una trama de difusión o si el PE no conoce la dirección MAC, envía la trama a todos los PE de la red.
Ethernet no tiene un campo de tiempo de vida (TTL) en el encabezado de su trama, por lo que la prevención de bucles debe organizarse por otros medios. En las implementaciones Ethernet habituales, se utiliza el protocolo Spanning Tree para esto. En VPLS, la prevención de bucles se organiza mediante la siguiente regla: un PE nunca reenvía una trama recibida de un PE a otro PE. El uso de una malla completa combinada con el reenvío de horizonte dividido garantiza un dominio de difusión sin bucles.
VPLS se utiliza generalmente para conectar una gran cantidad de sitios entre sí. Por lo tanto, la escalabilidad es un problema importante que debe abordarse.
VPLS requiere una malla completa tanto en el plano de control como en el de datos, lo que puede resultar difícil de escalar. En el caso de BGP, el problema de la escalabilidad del plano de control se ha abordado desde hace tiempo mediante el uso de reflectores de ruta (RR). Los RR se utilizan ampliamente en el contexto del enrutamiento de Internet, así como para varios tipos de VPN. Para escalar el plano de datos para el tráfico de multidifusión y difusión, se está trabajando para utilizar LSP punto a multipunto como transporte subyacente.
Para LDP, se desarrolló un método para subdividir una VPN VPLS en dos o tres redes jerárquicas escalonadas. Se denomina VPLS jerárquico ( HVPLS ) e introduce un nuevo tipo de dispositivo MPLS: el conmutador de unidad multiusuario ( MTU ). Este conmutador agrega varios clientes en un único PE, que a su vez necesita solo una conexión de plano de datos y control en la malla. Esto puede reducir significativamente la cantidad de sesiones LDP y LSP y, por lo tanto, aliviar la red central al concentrar a los clientes en dispositivos de borde.
También se puede utilizar HVPLS (LDP) para unir dos estructuras de malla VPLS. Sin utilizar HVPLS, cada nodo de cada malla VPLS debe estar enmallado con todos los nodos de la otra malla VPLS. Sin embargo, con HVPLS, las dos mallas se pueden unir básicamente en determinadas ubicaciones. Las técnicas como los pseudowires redundantes pueden proporcionar resiliencia en caso de fallos en los puntos de interconexión.
Dado que VPLS vincula varios dominios de difusión de Ethernet, crea efectivamente un dominio de difusión mucho más grande. Dado que cada PE debe realizar un seguimiento de todas las direcciones MAC y la información de enrutamiento LSP asociada, esto puede generar la necesidad de una gran cantidad de memoria en cada PE de la malla.
Para solucionar este problema, los sitios pueden usar un enrutador como dispositivo CE. Esto oculta todas las direcciones MAC de ese sitio detrás de la dirección MAC del CE.
Los dispositivos PE también pueden estar equipados con memoria direccionable por contenido (CAM), similar a los conmutadores Ethernet de alta gama.
Un mecanismo alternativo es utilizar MAT (traducción de direcciones MAC). [3] Sin embargo, al momento de escribir esto, no hay proveedores que proporcionen la funcionalidad MAT.
En una VPN basada en VPLS con una gran cantidad de sitios, la configuración manual de cada PE participante no es una buena opción. Si se pone en servicio un nuevo PE, es necesario ajustar la configuración de cada PE existente para establecer una sesión LDP con el nuevo PE. Se está trabajando en la estandarización para permitir el descubrimiento automático de los PE participantes. Se está trabajando en tres implementaciones:
El método LDP de autodescubrimiento de PE se basa en el utilizado por el Protocolo de distribución de etiquetas para distribuir etiquetas entre enrutadores P y PE dentro de un único sistema autónomo.
El método BGP de autodescubrimiento de PE se basa en el que utilizan las VPN MPLS de capa 3 para distribuir rutas VPN entre los PE que participan en una VPN. Las extensiones BGP4 Multi-Protocol (BGP-MP) se utilizan para distribuir identificadores de VPN e información de accesibilidad específica de VPN. Dado que IBGP requiere una malla completa de sesiones BGP o el uso de un reflector de ruta, habilitar el identificador de VPN en la configuración BGP existente de un PE participante le proporciona una lista de todos los PE en esa VPN. Tenga en cuenta que este método es solo para el autodescubrimiento; LDP aún se utiliza para la señalización. El método de establecimiento de VPLS con BGP descrito anteriormente logra tanto el autodescubrimiento como la señalización.
Este método requiere que todos los PE estén configurados con uno o más servidores RADIUS para su uso. Cuando el primer enrutador CE en una VPN VPLS particular se conecta al PE, utiliza la identificación del CE para solicitar la autenticación del servidor RADIUS. Esta identificación puede ser proporcionada por el CE o puede estar configurada en el PE para ese CE en particular. Además de un nombre de usuario y una contraseña, la cadena de identificación también contiene un nombre de VPN y un nombre de proveedor opcional.
El servidor RADIUS realiza un seguimiento de todos los PE que solicitaron autenticación para una VPN en particular y devuelve una lista de ellos al PE que solicita la autenticación. Luego, el PE establece sesiones LDP con todos los PE de la lista.