Magazín KPI

Časopis Katedry počítačov a informatiky FEI TUKE
kpi

Princípy technológie MPLS VPN

VPN postavená na technológii MPLS ponúka vysokorýchlostné prenášanie údajov v oddelených IP prostrediach mnohých zákazníkov po celom svete. Zaručuje šírku pásma a nízky čas odozvy. Článok sa venuje rozboru toho ako MPLS spolu s konceptom VRF a protokolom BGP funguje, obsahuje príkladovú topológiu spolu s konfiguračnými krokmi a grafickým znázornením smerovania, a prináša aj pohľad na zariadenia, ktoré sú v dobe písania článku vedúcim štandardom pre spojazdnenie vysokorýchlostného a bezpečného prenosu. Od čitateľa sa očakáva základná znalosť IP smerovania a ISO/OSI modelu pre porozumenie funkcionality a znalosť príkazového riadku Cisco zariadení pre pochopenie konfigurácie a verifikácie.

Poznámka 1: Vzhľadom na to, že nemám prístup k Cisco smerovačom s daným vybavením, ktoré by som použil ako príklad a nebudem (ani nechcem) používať nelegálne stiahnuté emulované operačné systémy smerovačov, za ktoré sa normálne platí, použijem pre tento článok obrázok a zdrojové kódy z webu noction.com.

Poznámka 2: V článku sa budem odkazovať na prepínače a smerovače ako na jedno a to isté zariadenie, pretože s technológiou používanou v prostredí poskytovateľov služieb dnes je medzi nimi len veľmi tenká hranica.

Prečo VPN? IPSec alebo MPLS?

Účelom VPN je ukryť a bezpečne preniesť používateľove dáta v nešifrovanom a tým pádom aj nebezpečnom prostredí. Online služby ponúkajú vytvorenie VPN pomocou štandardu IPSec pre koncových používateľov, kedy sa dáta šifrujú a vysielajú do verejného prostredia internetu. Tým sa zvyšuje veľkosť každého paketu a nie je možné ovplyvniť kadiaľ budú dáta smerované, čo nie je problém pri malom objeme dát.

Čo však v prípade kedy veľká firma potrebuje navzájom prepojiť množstvo svojich pobočiek po celom svete. Vtedy sa berie do úvahy každá milisekunda navyše a je potrebné vtesnať do šírky pásma čo možno najviac megabajtov.

Riešením je využiť už existujúcu fyzickú infraštruktúru globálneho poskytovateľa služieb a v nej si zaplatiť svoju vlastnú uzavretú VPN kde by bolo možné ovplyvňovať ako sú dáta smerované a rovnako tak dynamicky prideľovať širku pásma rôznym typom komunikácie. To znamená, že celá IP doména jedného zákazníka by bola úplne izolovaná od sveta internetu čím odpadáva potreba šifrovania a teda zbytočných bajtov navyše (overhead) vzhľadom na to, že o všetku bezpečnosť sa stará poskytovateľ. Prístup doň by zákazníkov správca siete reguloval na základe požiadaviek aby sa predišlo rizikám spojeným s online kyberútokmi. Práve takéto riešenie je VPN postavená na technológii MPLS, VRF a MP-BGP ako jedna zo služieb AToM (Any Transport over MPLS).

Dizajn VPN

Fyzický dizajn, teda použité zariadenia, sú rozdelené na najnižšej úrovni na dve časti: poskytovateľskú a zákaznícku časť (provider-customer). Zákazníci majú na svojej strane zariadenia (customer equipment, CE), ktoré komunikujú s ich pobočkou. Poskytovateľ má na svojej strane, inak povedané, vo svojom jadre zariadenia (MPLS switches, P devices) na ultrarýchle prepínanie (switching) dát medzi všetkými zákazníkmi. Prepojenia medzi jednotlivými prepínačmi majú rýchlosť v terabitoch za sekundu. Je to dosiahnuté zoskupením viacerých 10, 40 a 100 gigabitových rozhraní (link bundling).

Na rozmedzí medzi danými dvoma časťami sedia hraničné zariadenia poskytovateľa (provider edge, PE). Tie sa starajú o zaradenie používateľových dát a jeho smerovacích informácií do správnej smerovacej tabuľky a o vyslanie dát von správnym rozhraním.

Vo vnútri jadra fungujú dva smerovacie protokoly. Jeden, pomocou ktorého medzi sebou komunikujú MPLS prepínače aj hraničné zariadenia, najčastejšie je to OSPF alebo iBGP. Takto si vymieňajú hello pakety, keepalive paket, router IDs a nadviažu MPLS komunikáciu.

Druhý je MP-BGP, ktorý funguje iba na hraničných smerovačoch a MPLS zariadenia vnútri iba využíva na prenos dát. Práve tento protokol spolu s MPLS poháňa VPN.

Nižšie uvedený obrázok znázorňuje zariadenia a ich názvy v doméne VPN. Pre samotné fungovanie VPN je potrebné iba to, čo je v obdĺžniku s titulom Service Provider MPLS Network. Ostatné zariadenia sú zákazníci, ktorí VPN využívajú.

Príkladová topológia pre tento článok je na obrázku 1. Máme 2 zákazníkov, CustomerA a CustomerB. COREXY su zariadenia na strane zákazníka rovnako ako CEXY, to sú ich hraničné smerovače. Smerovače PEXY sú hranicou poskytovateľa služieb a smerovač P je v našom prípade jadrom, MPLS switch. Pre znázornenie funkcie VPN používajú obaja zákazníci rovnaké IP podsiete 172.16.1.x a .2.x s maskou /24 a jadro MPLS používa iBGP.

Obr. 1: Topológia L3VPN, zdroj noction.com
Obr. 1: Topológia L3VPN, zdroj noction.com

Stavebné bloky

VPN využíva už vyššie spomínané MPLS na rýchle a spoľahlivé posielanie dát, BGP (konkrétne MP-BGP) protokol, koncept VRF a na Cisco smerovačoch aj CEF (Cisco Express Forwarding).

Spolu sa tieto technológie starajú o control plane a data forwarding plane. Control plane je VRF s jej RD a RT (rozpísané nižšie) vďaka čomu smerovač vie ku ktorému zákazníkovi patria aké podsieťe vrámci VPN. Data plane sa stará o samotné vysokorýchlostné smerovanie/prepínanie dát vrámci zákazníkovej VPN.

VRF a MP-BGP

Virtual Routing and Forwarding je možnosť rozšíriť smerovač o ďalšie smerovacie tabuľky. Termín VRF je špecifický pre Cisco no u iných výrobcov (napr. Juniper) tento koncept funguje na rovnakej báze len pod iným menom. Každý smerovač má jednu jedinú hlavnú smerovaciu tabuľku, na základe ktorej robí rozhodnutia. No VRF dokáže rozdeliť rozhrania do rôznych, na sebe nezávislých a vzájomne nevidiťeľných smerovacích domén. Je to rovnaké ako rozdeliť ethernetový prepínač (L2 switch) na virtuálne LAN segmenty (VLANs) s tým rozdielom, že VRF sa deje na úrovni 3 a nie 2 vrámci ISO/OSI.

Koncept viacerých smerovacích tabuliek prináša 2 problémy. Berúc do úvahy obrázok 1 - ako bude smerovač PE1 vedieť od seba rozlíšiť sieťové prefixy 172.16.1.x/24 ak ich má pripojené na dvoch rôznych rozhraniach? Druhý - ak dostane smerovač PE1 pomocou MP-BGP správu o prefixe 172.16.2.x od smerovača PE2, ako bude vedieť do ktorej virtuálnej tabuľky ho zaradiť? Odpoveďou sú dve hlavné charakteristiky VRF - route distinguisher a route target.

Route Distinguisher alebo RD, je 64 bitová hodnota, ktorú si smerovač pripojí na každý prefix, ktorý spadá do jeho virtuálnej tabuľky a každá VRF má práve jeden RD, ktorý je zadaný správcom siete. Takto sa z obyčajného IPv4 prefixu stáva VPNv4 prefix. Daný RD má stanovený formát číslo:číslo. Aké čísla tam správca dá je na ňom no existujú na to best practices, napríklad na webe packetlife.com.

Obr. 2: Príklad VPNv4 prefixu, zdroj huawei forums
Obr. 2: Príklad VPNv4 prefixu, zdroj huawei forums

Route Target alebo RT je rovnaká hodnota ako RD čo sa týka veľkosti aj tvaru zápisu no plní inú funkciu. Pomocou RT dokáže správca siete nakonfigurovať aký ma jeho VRF identifikátor a od ktorých VRF chce alebo nechce prijať prefixy do tej svojej pomocou smerovacieho protokolu.

Border Gateway Protocol často označovaný aj ako protokol internetu bol navrhnutý na spracovanie obrovského množstva smerovacích informácií. V čase písania článku obsahuje smerovacia tabuľka internetu (podľa odhadov) asi 500000 záznamov, ktoré musí BGP efektívne vedieť rozdistribuovať. Prvá verzia dokázala spracovať iba IPv4. Postupom času sa dostal do verzie 4, kde vie spracovávať IPv4 unicast, multicast, IPv6 unicast, multicast a v neposlednom rade aj VPNv4 a v6 prefixy v jeho rozšírení MP-BGP.

Podstata BGP nie je súčasťou článku, viac napríklad na webe networklessons.com. V našom prípade je potrebné vedieť iba to, že hraničný smerovač (pretože len tam beží MG-BGP) prijme VPNv4 prefix od iného hraničného smerovača, pozrie sa na jeho RT, pozrie sa na import RT vo všetkých svojich nakonfigurovaných VRF a tento prefix zaradí všade kde nájde zhodu.

V skratke: vďaka VRF a MP-BGP vie smerovač zaradiť zákazníkove podsiete do správnej VPN za predpokladu, že to správca siete korektne nakonfiguruje.

MPLS

Multi Protocol Label Switching pozostáva z dvoch kľúčových častí, ktoré obsahuje aj samotný názov. Multi Protocol znamená, že dokáže preniesť akýkoľvek sieťový protokol (network/layer 3) ako sú IP, IPv6, IPX, X.25, AppleTalk, atď. Label Switching, teda prepínanie, nie smerovanie a to na základe značiek (labels).

Klasické ethernetové smerovače odpoja záhlavie data-linkovej vrstvy, pozrú do záhlavia IP paketu kde nájdu IP adresu cieľa. Potom pozrú do smerovacej tabuľky a hľadajú najlepšiu zhodu s nájdenou IP adresou. Vytvoria nové data-link záhlavie, napoja ho, prepočítajú hash paketu (kontrola integrity) a vyšlú paket von. Toto je relatívne pomalý proces, ktorý bol postupom času urýchlený cachingom adries na danom rozhraní a technológiou CEF spolu s pre tento účel vytvorenými obvodmi, ktorá dokáže predvypočítať data-link záhlavie skôr ako paket dorazí.

Prepínače na druhej strane pracujú na rýchlosti obvodov a neodpájajú časti paketov. Tu máme MPLS prepínače, ktoré hľadajú v pakete MPLS header. Ten nesie značku, na základe ktorej dôjde k rozhodnutiu v prepínači. Header sa nachádza medzi záhlavím data-linku a sieťovej vrstvy. Dané vrstvy majú v známom ISO/OSI modeli čísla vrstvy 2 a 3, preto sa MPLS označuje často aj ako technológia 2.5 vrstvy pretože nezapadá celkom ani do jednej. Okrem značky je v MPLS záhlaví miesto pre EXP, S a TTL.

Obr. 3: IP paket s MPLS záhlavím medzi vrstvou 2 a 3. Zdroj: ourtechplanet.com
Obr. 3: IP paket s MPLS záhlavím medzi vrstvou 2 a 3. Zdroj: ourtechplanet.com

Dôležité je spomenúť, že jeden paket v sebe môže niesť viacero MPLS značiek za sebou, maximálny počet závisí od výrobcu hardwaru. V našom prípade sa budú používať práve dve značky - MPLS značka a VPN značka, tieto pomenovania slúžia iba na rozlíšenie, nemajú iný význam. Na MPLS značku sa pozerajú všetky zariadenia v jadre označované aj LSR (Label Switch Router) a na VPN značku iba tie na rozhraní, preto sa im okrem hraničných hovorí aj LER (Label Egde Router).

Tlačí sa otázka, ako sa na paket značka dostane? Priradí ju tam prepínač. VPN značku priradí vždu iba ten LER, ktorý paket vyšle a MPLS značku prilepí LER a každý ďalší LSR ju prepíše alebo odoberie. Viac o tomto v príklade nižšie. Značky sú na prepínačoch priradené buď staticky správcom siete alebo (častejšia možnosť) pomocou LDP (Label Distribution Protocol). Poradie značiek od jedného smerovača k druhému sa nazýva LSP (Label Switched Path) a táto cesta je asynchrónna, čo znamená, že v MPLS dáta nemusia ísť rovnakou cestou tam aj naspäť.

Detailnejší pohľad na MPLS a LDP

Tento odstavec nie je kritický pre pochopenie článku, obsahuje skôr zaujímavosti a detaily ohľadom MPLS.

Ako bolo spomenuté, záhlavie obsahuje ešte 3 informácie okrem značky. EXP je 3 bitová informácia o Class of Service daného paketu, teda akú má prioritu nad ostatnými. To sa využíva najmä pri aplikáciách senzitívnych na odozvu alebo jitter. Keďže už vieme, že značiek môže byť v pakete niekoľko, je potrebné vedieť to, ktoré je posledné. Práve hodnota S je 1 bit reprezentujúci to, či značka v danom záhlaví je poslednou značkou v poradí. TTL je 8 bitov hovoriacich o tom, koľkokrát môže byť paket smerovaný. Je to rovnaký princíp ako TTL hodnota IP paketu.

MPLS rozdeľuje toky dát do takzvaných Forwarding Equivalance Class - FEC a to minimálne na základe IP adresy cieľa no ovplyvniť to môže aj napríklad QoS nastavené na danom pakete. Najčastejšie platí, že jedna FEC patrí do jednej LSP. V praxi sa to dá premietnuť tak, že poskytovateľ má vo svojom jadre istú širku pásma, ktorú rozdelí na rôzne LSP. Niektoré majú nízku odozvu ale rovnako tak aj malú šírku pásma, tu sa smeruje predovšetkým voice. Ostatné budú mať vačšie pásmo ale odozva by bola neprijateľná pre voice alebo video. Inými slovami ide o to, že dáta vždy prídu do správneho cieľa ale MPLS to vie rozdeliť tak, že pôjdu rôznymi na to určenými cestami a nie jednou, ktorá by bola preťažená.

LDP operuje na báze TCP spojenia na porte 646 a používa sa vtedy, keď je potrebné vytobiť full-mesh medzi zariadeniami. Môže fungovať v dvoch módoch. Pri Solicited LDP vstupný LER posiela LDP label request pre istú podsieť na smerovač, z ktorého prišla správa o tejto podsieti. Tento výstupný smerovač odpovie svojou značkou pre podsieť. Unsolicited LDP funguje tak, že každé zariadenie (nie iba hraničné) povedia všetkým svojim susedom aké majú značky a s čím si to majú susedia spojiť.

Pre manuálne priraďovanie značiek a ovplyvňovanie smerovania v jadre sa využíva Traffic Engineering za použitia protokolu RSVP. To sa nedá zhrnúť do jedného odstavca, vzhľadom na to, že sú na to napísané celé knihy. Výborný článok je na packetpushers.net.

Príkladová topológia a konfigurácia

Vezmime si rovnakú topológiu ako na obr. 1, pre jednoduchosť je tu skopírovaná nanovo aj s popisom.

Máme 2 zákazníkov, CustomerA a CustomerB. COREXY sú zariadenia na strane zákazníka rovnako ako CEXY, sú to ich hraničné smerovače. Smerovače PEXY sú hranicou poskytovateľa služieb a smerovač P je v našom prípade jadrom, MPLS switchom/routrom. Pre znázornenie funkcie VPN používajú obaja zákazníci rovnaké IP podsiete 172.16.1.x a .2.x s maskou /24, jadro MPLS používa iBGP a CE a PE beží eBGP (najčastejší prípad).

Príkladová topológia
Príkladová topológia

Pred prvým krokom predpokladáme, že IP adresy sú pridelené jednotlivým rozhraniam na všetkých zariadeniach. Rovnako predpokladáme, že zákazník na svojej strane nakonfiguruje BGP klasickou cestou, nie je to súčasťou témy článku. Jeho router nepozná MPLS svet ani VRF svet, PE smerovač je preň iba obyčajným BGP susedom. Jemu iba oznamuje podsiete, ktoré chce aby boli vo VPN, rovnako tak od neho podsiete z VPN dostáva.

  1. Zapnutie MPLS na rozhraniach, kde je potrebné - teda iba v jadre a na hranici na PE1, P a PE2.

    Pomocou príkazu

     (config-if)# mpls ip
    

    na úrovni jednotlivých rozhraní je MPLS povolené, zapne sa LDP a pridelí rozhraniam jedinečné značky. Týmto sa v celom jadre vytvoria LSP. Neprideľujeme značky manuálne. Toto je rovnako jediný krok, kedy konfigurujeme aj prepínač P. Jeho jedinou úlohou je MPLS switching a nepozná VPN ani VRF.

  2. Vytvorenie VRF pre jednotlivých zákazníkov. Dá sa povedať, že v tomto kroku vytvárame zákazníkom VPN.

     PE1(config)# ip vrf CustomerA
     PE1(config-vrf)# rd 64501:1
     PE1(config-vrf)# route-target both 64501:1
        
     PE1(config-vrf)# ip vrf CustomerB
     PE1(config-vrf)# rd 64501:2
     PE1(config-vrf)# route-target both 64501:2
        
     PE2(config)# ip vrf CustomerA
     PE2(config-vrf)# rd 64501:1
     PE2(config-vrf)# route-target both 64501:1
        
     PE2(config-vrf)# ip vrf CustomerB
     PE2(config-vrf)# rd 64501:2
     PE2(config-vrf)# route-target both 64501:2
    

    Na oboch PE sme vytvorili dve VRF, teda dve VPN, pretože máme 2 zákazníkov. Zákazníkovi A sme priradili RD 64501:1, B 64501:2. Ďalej hovoríme, že VPN zákazníka A má na oboch smerovačoch RT 64501:1 pre export aj import (príkaz both je macro pre oba). To znamená, že zákazník A prijme do svojej VPN len prefixy, ktoré majú na sebe RT 64501:1 a sám vysiela prefixy s týmto RT. Rovnaká teória platí pre zákazníka B.

    Takto bude fungovať control plane a vďaka tomu môžu mať všetci zákazníci rovnaké siete no poskytovateľove smerovače ich budú presne vedieť rozlíšiť.

  3. Priradenie rozhraní na PE smerovačoch, ktoré sú pripojené ku zákazníkom, do správnej VPN/VRF.

     PE1(config)# interface gigabitEthernet 0/1
     PE1(config-if)# ip vrf forwarding CustomerA
        
     PE1(config)# interface gigabitEthernet 0/2
     PE1(config-if)# ip vrf forwarding CustomerB
    

    Rovnako aj na PE2.

  4. Konfigurácia BGP v 2 krokoch:

    a. Zapnutie MP-EBGP medzi hraničnými smerovačmi

     PE1(config)# router bgp 64501
     PE1(config-router)# address-family vpnv4
     PE1(config-router-af)# neighbor 10.1.1.3 activate
        
     PE2(config)# router bgp 64501
     PE2(config-router)# address-family vpnv4
     PE2(config-router-af) # neighbor 10.1.1.1 activate
    

    Príkaz address-family vpnv4 v kontexte BGP hovorí aby od definovaného suseda počúval VPNv4 prefixy, nie obyčajné IPv4. Rovnako tak mu ich bude oznamovať.

    b. Zapnutie BGP medzi PE smerovačmi a smerovačmi zákazníka pre každú VPN.

     PE1(config)# router bgp 64501
        
     PE1(config-router)# address-family ipv4 vrf CustomerA
     PE1(config-router-af)# neighbor 10.0.0.2 remote-as 64401
        
     PE1(config-router)# address-family ipv4 vrf CustomerB
     PE1(config-router-af)# neighbor 10.0.0.6 remote-as 64301
    

    Príkaz address-family ipv4 vrf <VPN name> hovorí, že BGP bude posielať a prijímať správy od daného suseda iba v danej VRF/VPN. V tomto kroku hraničné smerovače priradia VPN značku pripojený rozhraniam.

Overenie

Pridelenie značiek na PE1. Tabuľka MPLS značiek na Cisco zariadení.

Obr. 4: MPLS tabuľka značiek smerovača PE1
Obr. 4: MPLS tabuľka značiek smerovača PE1

Pre zákazníka A je priradená VPN značka 21, pre B 22 v stĺpci Local Label. Tie značky sa nemenia počas celej cesty MPLS sieťou a sú rovnaké všade kde je VPN daného zákazníka. Používajú ich iba LER/PE aby vedeli lokálne vybrať, ktorým rozhraním sa dostanú dáta k zákazníkovi. Rovnako priradí značku pre svojho iBGP suseda P a MP-BGP suseda PE2.

V stĺpci Outgoing Label je MPLS značka - tá sa pripojí nad VPN značku. Pomocou MPLS značky vedia MPLS prepínače vnútri vysokorýchlostne prepínať bez hlbšej inšpekcie paketu. Bude rozlišná na PE1 a PE2, pretože ju musí vedieť rozlíšiť aj ostatné zariadenia. Pre PE1 je to 18.

Podobne to bude vyzerať na PE2. MPLS značka 19.

Obr. 5: MPLS tabuľka značiek smerovača PE2
Obr. 5: MPLS tabuľka značiek smerovača PE2

Nakoniec smerovač P, jadro MPLS, ktorý nepozná ani MP-BGP ani eBGP. Iba svojich iBGP susedov, ktorých poznať musí aby voči nim vedel dáta smerovať. Ak dostane paket, vidí MPLS značku 18 (pretože VPN značku nepozná!), musí urobiť Pop Label (odobrať ju) a vyslať ho von rozhraním 0/4.

Obr.: 6 MPLS tabuľka značiek smerovača P
Obr.: 6 MPLS tabuľka značiek smerovača P

Samotné prepínanie/smerovanie dát

Pre príklad urobí zákazník B ping z počítača 172.16.1.1 → 172.16.2.1 (topológia na obr. 1). Až po PE1 je to klasické smerovanie. Na obrázku 7 je graficky znázornené ako a na ktorom zariadení sa značky spracúvajú.

  • PE1 dostane paket na rozhraní Gi0/2, to patrí do VRF(alebo VPN) CustomerB. Takto je zaručené, že sa dáta nedostanú do sietí iných zákazníkov.
  • Na pakete uvidí IP adresu destinácie 172.16.2.1. V smerovacej tabuľke by našiel, že táto adresa je za podsieťou 10.1.1.3 (jeho MP-BGP sused PE2). Vzhľadom na to, že CEF dávno predvypočítalo kadiaľ má byť paket vyslaný PE1 vie, že spodnú značku má nastaviť na 22 (VPN značka, aby PE2 vedel ktorým rozhraním ku zákazníkovi) a hornú značku na 18 (MPLS značka aby sa dáta ku PE2 mohli dostať, obr. 4). Následne vyšle paket von rozhraním Gi0/3.
  • Paket dorazí na MPLS prepínač v jadre. Ten nepozerá na IP, vidí hornú značku. Keď uvidí 18, pozrel by na svoju MPLS tabuľku (obr. 6) a vedel by, že značku odobrať (Pop Label) a vyslať paket von rozhraním Gi0/4. Vzhľadom na to, že CEF všetko vopred pripravilo, akcia sa vykoná bez zbytočných prehľadávaní tabuľky.
  • Nakoniec paket príde na PE2. Ten uvidí už len VPN značku 22. Pozrel by do svojej MPLS tabuľky (obr. 5) a zistil by, že značka 22 má vyjsť rozhraním Gi0/2. Keďže je to hraničné zariadenie, môže značku odobrať a vyšle paket von. Samozrejme CEF všetko opäť urýchli. Keď paket vyjde von ku zákazníkovi B, jedná sa zas len o klasické smerovanie až ku cieľovému zariadeniu.
  • Odpoveďou na ping echo request je ping echo reply. Deje sa rovnako len v opačnom smere.

Obr. 7: Grafický príklad značiek v MPLS. Pre jednoduchosť sú vyobrazené len záhlavia, IP adresy a MPLS značky aby bolo jasné ktorým smerom komunikácia ide
Obr. 7: Grafický príklad značiek v MPLS. Pre jednoduchosť sú vyobrazené len záhlavia, IP adresy a MPLS značky aby bolo jasné ktorým smerom komunikácia ide

Zariadenia používané v praxi

Berúc do úvahy, že prostredie MPLS sa využíva u poskytovateľov služieb a musí byť schopné naozaj vysokorýchlostného prepínania a zaručenia stability, ceny zariadení sa pohybujú v desaťtisíckach amerických dolárov. Medzi najsilnejších výrobcov patria Cisco a Juniper. Zdroj: fieldengineer.com, Cisco a Juniper. Zdroj cien: Google.

Zariadenia Cisco

  • Cisco ASR9000 series (Aggregated Services Router): Pohybujeme sa v rozmedzí 44Gb/s do 160Tb/s. Cena sa pohybuje od 25,000 do 350,000.

    Obr. 8: Séria Cisco ASR9000
    Obr. 8: Séria Cisco ASR9000

  • Cisco 12000 series: Rozmedzie od 80Gb do 1.2Tb/s. Od 25,000 do 70,000, už sa nepredávajú. Nahradia ich vyššie spomínané.

    Obr. 9: Séria Cisco 12000
    Obr. 9: Séria Cisco 12000

Zariadenia Juniper

  • Juniper MX series: Od 40 Gb/s do 80 Tb/s. Od 24,000 do 237,000.

    Obr. 10: Séria Juniper MX
    Obr. 10: Séria Juniper MX

  • Juniper PTX series: Kombinovaná priepustnosť (všetky porty na zariadení naraz) 2.8Tb/s až 280Tb/s. Ceny siahajú od 170,000 za základný model. Tieto zariadenia nahradili predošlú sériu Juniper T.

Obr. 11: Séria Juniper PTX
Obr. 11: Séria Juniper PTX

Záver

Technológia MPLS a na nej postavené služby AToM ďaleko predčili ich predkov v oblasti poskytovateľov služieb ako napríklad ATM alebo Frame-Relay čo sa týka flexibility, rýchlosti, spoľahlivosti aj škálovateľnosti.

Na druhej strane je potrebné spomenúť, že za služby MPLS si nechajú poskytovatelia veľmi dobre platiť. Kvôli tomu sa do popredia dostáva technológia SD-WAN, ktorá stojí oveľa menej no ponúk nižšiu spoľahlivosť. Preto musia firmy často voliť medzi starým známym cena alebo kvalita. Záujemcovia si môžu pozrieť porovnanie SD-WAN a MPLS.

Ja sám som mal možnosť so sieťovými technológiami pracovať niečo vyše roka u jedného poskytovateľa. Nebol to priamy kontakt typu konfigurácia MPLS. Pracoval som skôr na zariadeniach na rozhraní medzi poskytovateľom a zákazníkom a stávalo sa, že treba hľadať chybu v niekde za okrajovým smerovačom poskytovateľa. Tam si to často žiadalo poznať túto problematiku, pretože obsah celého článku bol častou náplňou mojej práce.

Ak by som mal vyjadriť svoj názor, povedal by som, že je to dobrá a právom drahá služba. Sám som niekedy žasol ako to dokázalo preniesť veľké objemy dát z jedného konca sveta na druhý za taký krátky čas.

Komentáre