VPN ที่ผู้ให้บริการจัดหาให้

Q: บริการ OSI เลเยอร์ 2

VLAN เป็นเทคนิคเลเยอร์ 2 ที่ช่วยให้สามารถใช้งาน โดเมนกระจายสัญญาณ เครือข่ายท้องถิ่น (LAN) หลายโดเมนร่วมกันได้ โดยเชื่อมต่อกันผ่านทางสายสัญญาณหลัก (trunk) โดยใช้ โปรโตคอล IEEE 802.

VPN ที่ผู้ให้บริการจัดหาให้ ( PPVPN ) คือเครือข่ายส่วนตัวเสมือน (VPN) ที่ผู้ให้บริการการเชื่อมต่อหรือองค์กรขนาดใหญ่ติดตั้งใช้งานบนเครือข่ายที่พวกเขาดำเนินการเอง ซึ่งแตกต่างจาก " VPN ที่ลูกค้าจัดหาให้ " ที่ลูกค้าเป็นผู้ใช้งานบริการการเชื่อมต่อโดยอาศัยข้อกำหนดทางเทคนิคเฉพาะของผู้ให้บริการ

เมื่อผู้ให้บริการอินเทอร์เน็ตนำ PPVPN มาใช้ในเครือข่ายของตนเอง รูปแบบความปลอดภัยของโปรโตคอล PPVPN ทั่วไปจะอ่อนแอกว่าโปรโตคอลการสร้างอุโมงค์ที่ใช้ใน VPN ที่ลูกค้าจัดหาให้ โดยเฉพาะอย่างยิ่งในด้านการรักษาความลับ เนื่องจากความเป็นส่วนตัวของข้อมูลอาจไม่จำเป็น

ส่วนประกอบพื้นฐาน VPN ที่ผู้ให้บริการจัดเตรียมไว้ให้

ขึ้นอยู่กับว่า VPN ที่ผู้ให้บริการจัดเตรียม (PPVPN) ทำงานในเลเยอร์ 2 (L2) หรือเลเยอร์ 3 (L3) ส่วนประกอบพื้นฐานที่อธิบายไว้ด้านล่างอาจเป็น L2 เท่านั้น L3 เท่านั้น หรือเป็นการผสมผสานของทั้งสองอย่าง ฟังก์ชัน Multiprotocol Label Switching (MPLS) ทำให้ความแตกต่างระหว่าง L2 และ L3 คลุมเครือโดยการรวมข้อมูลเลเยอร์ L2 เกี่ยวกับลิงก์เครือข่ายเข้ากับเลเยอร์ L3 ^{[ 1 ]}^{[ 2 ]}

RFC 4026ได้สรุปคำศัพท์ต่อไปนี้เพื่อครอบคลุม L2 MPLS VPNและ L3 ( BGP ) VPN แต่คำศัพท์เหล่านี้ได้รับการแนะนำในRFC 2547 ^[³^]^[⁴^]

อุปกรณ์ของลูกค้า: อุปกรณ์ที่อยู่ในเครือข่ายของลูกค้าและไม่ได้เชื่อมต่อโดยตรงกับเครือข่ายของผู้ให้บริการ อุปกรณ์ของลูกค้าจะไม่รับรู้ถึงการใช้งาน VPN
อุปกรณ์ปลายทางของลูกค้า: อุปกรณ์ที่อยู่บริเวณขอบเครือข่ายของลูกค้า ซึ่งทำหน้าที่ให้การเข้าถึง PPVPN บางครั้งมันเป็นเพียงจุดแบ่งเขตระหว่างผู้ให้บริการและลูกค้าเท่านั้น ผู้ให้บริการบางรายอนุญาตให้ลูกค้ากำหนดค่าได้เอง
อุปกรณ์เอดจ์ของผู้ให้บริการ: อุปกรณ์ หรือชุดอุปกรณ์ ที่อยู่บริเวณขอบเครือข่ายของผู้ให้บริการ ทำหน้าที่เชื่อมต่อกับเครือข่ายของลูกค้าผ่านอุปกรณ์ขอบเครือข่ายของลูกค้า และแสดงมุมมองของผู้ให้บริการต่อไซต์ของลูกค้า อุปกรณ์ PE เหล่านี้รับรู้ถึง VPN ที่เชื่อมต่อผ่านพวกมัน และรักษาสถานะของ VPN ไว้
อุปกรณ์ของผู้ให้บริการ: อุปกรณ์ที่ทำงานอยู่ภายในเครือข่ายหลักของผู้ให้บริการและไม่ได้เชื่อมต่อโดยตรงกับปลายทางของลูกค้าใดๆ ตัวอย่างเช่น อาจทำหน้าที่กำหนดเส้นทางสำหรับอุโมงค์ที่ผู้ให้บริการดำเนินการอยู่หลายแห่งซึ่งเป็นของ PPVPN ของลูกค้าหลายราย ในขณะที่อุปกรณ์ P เป็นส่วนสำคัญในการใช้งาน PPVPN แต่ตัวอุปกรณ์เองไม่ได้รับรู้ถึง VPN และไม่ได้รักษาสถานะ VPN บทบาทหลักของมันคือการช่วยให้ผู้ให้บริการสามารถขยายการให้บริการ PPVPN ได้ ตัวอย่างเช่น โดยการทำหน้าที่เป็นจุดรวมข้อมูลสำหรับ PE หลายตัว การเชื่อมต่อแบบ P-to-P ในบทบาทดังกล่าว มักจะเป็นลิงก์ใยแก้วนำแสงความจุสูงระหว่างสถานที่สำคัญของผู้ให้บริการ

บริการ PPVPN ที่ผู้ใช้สามารถมองเห็นได้

บริการ OSI เลเยอร์ 2

วีแลน

VLANเป็นเทคนิคเลเยอร์ 2 ที่ช่วยให้สามารถใช้งาน โดเมนกระจายสัญญาณ เครือข่ายท้องถิ่น (LAN) หลายโดเมนร่วมกันได้ โดยเชื่อมต่อกันผ่านทางสายสัญญาณหลัก (trunk) โดยใช้ โปรโตคอล IEEE 802.1Q trunkingโปรโตคอล trunking อื่นๆ เคยถูกนำมาใช้แต่ล้าสมัยไปแล้ว เช่น Inter-Switch Link (ISL), IEEE 802.10 (เดิมเป็นโปรโตคอลด้านความปลอดภัย แต่มีการนำส่วนย่อยมาใช้เพื่อการทำ trunking) และ ATM LAN Emulation (LANE)

บริการเครือข่าย LAN ส่วนตัวเสมือน (VPLS)

VLAN ซึ่งพัฒนาโดยสถาบันวิศวกรรมไฟฟ้าและอิเล็กทรอนิกส์ (Institute of Electrical and Electronics Engineers ) อนุญาตให้ LAN ที่ติดแท็กหลายๆ เครือข่ายสามารถใช้การเชื่อมต่อหลักร่วมกันได้ โดยส่วนใหญ่ VLAN จะประกอบด้วยสิ่งอำนวยความสะดวกที่เป็นของลูกค้าเท่านั้น ในขณะที่ VPLS ดังที่อธิบายไว้ในส่วนด้านบน (บริการ OSI Layer 1) รองรับการจำลองทั้งโทโพโลยีแบบจุดต่อจุดและจุดต่อหลายจุด วิธีการที่กล่าวถึงในที่นี้เป็นการขยายเทคโนโลยี Layer 2 เช่น802.1dและ802.1q LAN trunking ให้ทำงานบนระบบขนส่งข้อมูล เช่นเมโทรอีเธอร์เน็ต

ในบริบทนี้VPLSคือ PPVPN ระดับเลเยอร์ 2 ซึ่งจำลองการทำงานเต็มรูปแบบของ LAN แบบดั้งเดิม จากมุมมองของผู้ใช้ VPLS ทำให้สามารถเชื่อมต่อเซ็กเมนต์ LAN หลายเซ็กเมนต์เข้าด้วยกันได้อย่างโปร่งใสต่อผู้ใช้ ทำให้เซ็กเมนต์ LAN ที่แยกจากกันทำงานเหมือนเป็น LAN เดียว^{[ 5 ]}

ในระบบ VPLS เครือข่ายของผู้ให้บริการจะจำลองบริดจ์การเรียนรู้ ซึ่งอาจรวมถึงบริการ VLAN ไว้ด้วยก็ได้

สายไฟเทียม (PW)

PW คล้ายกับ VPLS แต่สามารถให้บริการโปรโตคอล L2 ที่แตกต่างกันได้ทั้งสองฝั่ง โดยทั่วไป อินเทอร์เฟซของ PW จะเป็นโปรโตคอล WAN เช่นAsynchronous Transfer ModeหรือFrame Relayในทางตรงกันข้าม เมื่อต้องการสร้างเครือข่าย LAN ที่ต่อเนื่องกันระหว่างสองตำแหน่งขึ้นไป บริการ Virtual Private LAN หรือ IPLS จะเหมาะสมกว่า

การสร้างอุโมงค์อีเธอร์เน็ตผ่าน IP

EtherIP ( RFC 3378 ) ^[⁶^]เป็นข้อกำหนดโปรโตคอลการสร้างอุโมงค์อีเธอร์เน็ตผ่าน IP EtherIP มีเพียงกลไกการห่อหุ้มแพ็กเก็ตเท่านั้น ไม่มีการรักษาความลับหรือการป้องกันความสมบูรณ์ของข้อความ EtherIP ได้รับการแนะนำในสแต็กเครือข่ายFreeBSD ^[⁷^]และโปรแกรมเซิร์ฟเวอร์ SoftEther VPN ^[⁸^]

บริการคล้าย LAN ที่ใช้เฉพาะ IP (IPLS)

IPLS เป็นส่วนย่อยของ VPLS โดยอุปกรณ์ CE ต้องมีคุณสมบัติเลเยอร์ 3 ในขณะที่ IPLS นำเสนอแพ็กเก็ตแทนเฟรม และอาจรองรับ IPv4 หรือ IPv6

เครือข่ายส่วนตัวเสมือนอีเธอร์เน็ต (EVPN)

Ethernet VPN (EVPN) เป็นโซลูชันขั้นสูงสำหรับการให้บริการ Ethernet ผ่านเครือข่าย IP-MPLS แตกต่างจากสถาปัตยกรรม VPLS EVPN ช่วยให้สามารถ เรียนรู้ MAC (และ MAC,IP) บนระนาบควบคุมในเครือข่ายได้ อุปกรณ์ PE ที่เข้าร่วมในอินสแตนซ์ EVPN จะเรียนรู้เส้นทาง MAC (MAC,IP) ของลูกค้าบนระนาบควบคุมโดยใช้โปรโตคอล MP-BGP การเรียนรู้ MAC บนระนาบควบคุมนำมาซึ่งประโยชน์หลายประการที่ช่วยให้ EVPN สามารถแก้ไขข้อบกพร่องของ VPLS ได้ รวมถึงการรองรับ multi-homing พร้อมการกระจายโหลดต่อโฟลว์ และหลีกเลี่ยงการส่งข้อมูลที่ไม่จำเป็นผ่านเครือข่ายหลัก MPLS ไปยังอุปกรณ์ PE หลายตัวที่เข้าร่วมใน P2MP/MP2MP L2VPN (เช่น ในกรณีของการสอบถาม ARP) ซึ่งมีการกำหนดไว้ใน RFC 7432

สถาปัตยกรรม PPVPN เลเยอร์ 3 ของ OSI

ส่วนนี้จะกล่าวถึงสถาปัตยกรรมหลักสำหรับ PPVPN สองแบบ แบบแรกคือ PE จะแยกแยะที่อยู่ซ้ำกันในอินสแตนซ์การกำหนดเส้นทางเดียว และแบบที่สองคือเราเตอร์เสมือน ซึ่ง PE จะมีอินสแตนซ์เราเตอร์เสมือนต่อ VPN หนึ่งตัว วิธีการแบบแรกและรูปแบบต่างๆ ได้รับความสนใจมากที่สุด

หนึ่งในความท้าทายของ PPVPN เกี่ยวข้องกับลูกค้าหลายรายที่ใช้พื้นที่ที่อยู่เดียวกัน โดยเฉพาะพื้นที่ที่อยู่ส่วนตัว IPv4 ^{[ 9 ]}ผู้ให้บริการต้องสามารถแยกแยะที่อยู่ที่มีการทับซ้อนกันใน PPVPN ของลูกค้าหลายรายได้

BGP/MPLS PPVPN: ในวิธีการที่กำหนดโดยRFC 2547ส่วนขยาย BGP จะโฆษณาเส้นทางใน ตระกูลที่อยู่ IPv4 VPN ซึ่งอยู่ในรูปแบบสตริง 12 ไบต์ โดยเริ่มต้นด้วยตัวแยกเส้นทาง (RD) 8 ไบต์ และสิ้นสุดด้วยที่อยู่ IPv4 4 ไบต์ RD จะช่วยแยกที่อยู่ซ้ำกันใน PE เดียวกัน^[¹⁰^]

PE เข้าใจโทโพโลยีของ VPN แต่ละตัว ซึ่งเชื่อมต่อกันด้วยอุโมงค์ MPLS โดยตรงหรือผ่านเราเตอร์ Pในศัพท์เฉพาะของ MPLS เราเตอร์ P คือเราเตอร์สวิตช์ป้ายกำกับที่ไม่รับรู้ถึง VPN ^{[ 10 ]}

เราเตอร์เสมือน PPVPN: สถาปัตยกรรมเราเตอร์เสมือน^{[ 11 ]}^{[ 12 ]}ซึ่งแตกต่างจากเทคนิค BGP/MPLS ไม่จำเป็นต้องแก้ไขโปรโตคอลการกำหนดเส้นทางที่มีอยู่ เช่น BGP ด้วยการจัดเตรียมโดเมนการกำหนดเส้นทางที่เป็นอิสระเชิงตรรกะ ลูกค้าที่ใช้งาน VPN จะรับผิดชอบพื้นที่ที่อยู่ทั้งหมด ในแบบจำลองเราเตอร์เสมือนของ PPVPN ที่ใช้ MPLS นั้น VPN ที่แตกต่างกันจะถูกแยกแยะโดยป้ายกำกับ MPLS ที่เกี่ยวข้องกับอุโมงค์แต่ละอุโมงค์ และไม่จำเป็นต้องใช้ตัวแยกเส้นทาง เนื่องจาก VPN แต่ละตัวจะรักษาตารางการกำหนดเส้นทางที่แยกจากกันเชิงตรรกะของตนเอง^{[ 13 ]}

อุโมงค์ที่ไม่ได้เข้ารหัส

เครือข่ายเสมือนบางเครือข่ายใช้โปรโตคอลการสร้างอุโมงค์โดยไม่มีการเข้ารหัสเพื่อปกป้องความเป็นส่วนตัวของข้อมูล แม้ว่า VPN มักจะให้ความปลอดภัย แต่ เครือข่ายโอเวอร์เลย์ ที่ไม่มีการเข้ารหัส ไม่เข้าข่ายในหมวดหมู่ที่ปลอดภัยหรือน่าเชื่อถือ^{[ 14 ]}ตัวอย่างเช่น อุโมงค์ที่ตั้งค่าระหว่างโฮสต์สองตัวด้วยGeneric Routing Encapsulation (GRE) เป็นเครือข่ายส่วนตัวเสมือน แต่ไม่ปลอดภัยและไม่น่าเชื่อถือ^{[ 15 ]}^{[ 16 ]}

โปรโตคอลการสร้างอุโมงค์ ข้อความธรรมดาดั้งเดิมได้แก่ Layer 2 Tunneling Protocol (L2TP) เมื่อตั้งค่าโดยไม่มีIPsecและPoint-to-Point Tunneling Protocol (PPTP) หรือMicrosoft Point-to-Point Encryption (MPPE) ^{[ 17 ]}

ดูเพิ่มเติม

ลิงก์ภายนอก

" การติดตั้งเครือข่าย ISP เพื่อการเข้าถึงแบบบูรณาการในองค์กรขนาดใหญ่" support.huawei.com สืบค้นเมื่อ12 กรกฎาคม 2024

[ 1 ]

[ 2 ]

[

[ 5 ]

[

[

[

[ 9 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]