Join Telegram Study Group ▷
ما هي VPN؟
تم تصميم الشبكة الخاصة الافتراضية (VPN) لتزويد المستخدمين بإمكانيات شبكة مخصصة من خلال بنية تحتية مشتركة. يتصلون بالموقع البعيد ويوفرون نفس مستوى الخصوصية الذي توفره الشبكة الخاصة. توفر شبكة VPN ذات أمان IP (ipsec) سرية البيانات باستخدام التشفير، واستخدام صحة مصادقة الرسائل، وسلامة بيانات خوارزمية التجزئة، واستخدام إعادة تشغيل مضادة للرقم التسلسلي الذي تم التحقق منه. تُستخدم شبكات VPN ذات IPSec بشكل شائع في تصميمات Hub-Spoke حيث يكون عدد الروابط مساويًا لـ n-1. ومع ذلك، في طوبولوجيا الشبكة الكاملة، يزداد عدد الروابط بشكل كبير، وفقًا للصيغة n * (n-1)/2. تعمل أجهزة توجيه العملاء من نظير إلى نظير مع بعضها البعض، لذا فإن إضافة موقع VPN جديد يتطلب إجراء تغييرات في التكوين على جميع المواقع الموجودة. من الواضح أن مشكلة قابلية التوسع هي العيب الرئيسي لشبكة VPN IPSec، حيث تزداد تكلفة التكوين بشكل كبير لعدد كبير من المواقع.
فوائد VPN من الطبقة 3 BGP / MPLS
عند دعم الطوبولوجيات المعقدة، تمثل شبكة VPN من الطبقة 3 BGP / MPLS بديلاً لشبكة VPN من IPSec. فهي تحل مشكلة قابلية التوسع لشبكة VPN التقليدية IPSec المنتشرة في نموذج الشبكة الكاملة وتقلل من تكلفة التكوين عند توصيل مواقع متعددة. تتطلب إضافة موقع جديد إلى شبكة VPN إجراء تغيير على جهاز حافة المزود (PE) الذي يتصل بجهاز توجيه العميل. يستخدم جهاز توجيه حافة العميل (CE) بروتوكول IGP أو eBGP للربط مع جهاز توجيه PE الخاص بموفري الخدمة وتبادل معلومات التوجيه من الطبقة 3 مع جهاز توجيه PE. ومع ذلك، لا تدرك أجهزة توجيه CE شبكة VPN. يتم إنشاء شبكة VPN، RFC 4760.MP-BGP بين أجهزة توجيه RFC التي تعمل بامتداد BGP-4 متعدد البروتوكولات (MP-BGP) لتعيين بادئات العملاء لشبكة المزودين. يتم تبديل بيانات العملاء في شبكة تبديل العلامات متعدد البروتوكولات (MPLS) الخاصة بموفري الخدمة بناءً على العلامات. تمر حركة المرور عبر مسار تبديل العلامات المحدد مسبقًا (LSP)، وهو نفق أحادي الاتجاه بين زوج من أجهزة توجيه PE.
ملاحظة: يضمن الجمع بين VRF وMPLS وMP-BGP عدم تسرب حركة المرور من شبكة VPN واحدة إلى شبكة VPN أخرى وأن نفس مساحة عنوان IP الخاص (RFC 1918) متاحة لمواقع VPN.
إن استخدام MPLS لإعادة توجيه الحزم في شبكة العمود الفقري للمزودين يجلب فائدة أخرى في شكل هندسة المرور (TE). يمكن نقل حركة مرور العملاء عبر مسارات غير مستغلة في شبكة MPLS للمزودين، أو يمكن تحديد الأولوية وفقًا للخدمة. لأن المسار غير المزدحم مع التأخير العالي في TE أفضل من المسار ذي التأخير الأقل. يستخدم IGP الكلاسيكي، مثل OSPF، التوجيه غير TE. في حالة OSPF، تُستخدم تكلفة كل رابط كمقياس لخوارزمية SPF للعثور على أقصر مسار. في هذه الحالة، قد يتم استخدام أفضل مسار عبر نواة مزود الخدمة على نطاق واسع، بينما لن يتم الاستفادة الكاملة من المسارات الزائدة الأخرى. قد يساعد تغيير التكاليف، لكنه قد يؤثر على الشبكة بأكملها في نفس الوقت.
البنية التحتية لشبكة VPN من المستوى 3 BGP / MPLS
يوضح الشكل 1 البنية الأساسية لشبكة VPN من الطبقة 3 باستخدام بروتوكول BGP/MPLS. وتوضح هذه المقالة بشكل أكبر وظائف كل جهاز في الشبكة.
يقع جهاز توجيه Customer Edge (CE) على حافة موقع العميل، وعادة ما يكون مملوكًا للعميل. يعلن جهاز توجيه العميل عن المسار إلى جهاز توجيه PE من خلال بروتوكول التوجيه. يقوم جهاز توجيه PE بتثبيت المسار المستقبل في VRF مع تسمية VPN MPLS المناسبة.
يقع جهاز توجيه حافة المزود (PE) على حافة شبكة المزود ويربط جهاز توجيه CE واحدًا أو أكثر. يتم تشغيل جداول توجيه إعادة التوجيه المتعددة، والمعروفة أيضًا باسم جدول توجيه وإعادة توجيه VPN (VRF)، على أجهزة توجيه PE في كل موقع. يتم تعيين واجهة موجهة للعملاء إلى VRF، ويتم تكوين كل موقع باستخدام VRF الخاص به. تقوم أجهزة توجيه PE بتعيين معرفات التوجيه (RD) لكل VRF، على النحو التالي أو: إضافة RD مكون من 8 بايت، يقوم جهاز توجيه PE بتحويل توجيه العميل إلى عنوان VPN-IPv4 مكون من 12 بايت (يُعرف أيضًا باسم VPNv4). يضمن هذا أن تكون بادئة العميل فريدة في شبكة المزودين، حتى إذا كان العميل يستخدم عناوين خاصة متداخلة.
في مثال التكوين التالي، يتصل عميلان بجهاز التوجيه PE. وقد حدد مزود الخدمة مثيلين VRF، واحد لكل عميل. ويستخدم المزود رقم AS BGP 64501. يحدد Route-target كيفية استيراد وتصدير المسارات من VRF. على سبيل المثال، يقود PE1 الطريق للخروج من VRF Customer1 بواسطة 172.16.1.0 / 24 ويخصصه لـ route-target 64501 / 1. يقوم جهاز التوجيه PE2 بتثبيت هذا الطريق في VRF Customer1 لأنه تم تكوينه باستخدام RT 64501 / 1 (غير موضح). تشير الكلمات الرئيسية إلى كل من مسارات الاستيراد والتصدير من/إلى VRF. لذلك، يقود جهاز التوجيه PE1 الطريق للخروج من VRF Customer2 إلى 172.16.2.0 / 24 ويخصص له هدف توجيه 64501 / 2. يقوم جهاز التوجيه PE2 بعد ذلك بتثبيت المسار 172.16.2.0 / 24 في VRF Customer2 لأنه تم تكوينه باستخدام RT 64501 / 2.
PE1(config)# IP vrf العميل 1
PE1(config-vrf)# rd 64501:1
PE1(config-vrf)# route-target كلاهما 64501:1
PE1(config-vrf)# IP vrf العميل2
PE1(config-vrf)# rd 64501:2
PE1(config-vrf)# route-target كلاهما 64501:2
ملاحظة: تُستخدم عناوين VPN-IPv4 فقط في شبكة الموفر. تتم عملية التحويل من IP إلى VPN-IPv4 فقط على جهاز التوجيه PE. تحافظ أجهزة التوجيه PE على مسارات VPN، ومع ذلك، فهي تحتاج فقط إلى معرفة مسارات VPN التي تحتوي على المواقع المرفقة.
تقوم الأوامر أدناه بتعيين واجهات مواجهة للعملاء على جهاز التوجيه PE1 إلى VRFs معينة.
PE1(config)# واجهة f0/1
PE1(config-if)# إعادة توجيه ip vrf العميل 1
PE1(config-if)# عنوان IP 10.0.0.1 255.255.255.252
PE1(config-if)# واجهة f0/2
PE1(config-if)# إعادة توجيه ip vrf العميل 2
PE1(config-if)# عنوان IP 10.0.0.5 255.255.255.252
يقوم جهاز توجيه PE بتمييز مسارات VPN-IPv4 بمجتمع ممتد ويعلن عنها عبر MP-BGP. يسمح بروتوكول BGP متعدد البروتوكولات لـ BGP بدعم عائلات عناوين أخرى غير IPv4 مثل VPN-IPv4. تتلقى جميع أجهزة توجيه PE مسارات عبر BGP وتقوم بتصفية المسارات بناءً على مجتمع VPN الممتد.
PE1(config)# router BGP 64501
PE1(config-router)# الجار 10.1.1.3 عن بعد 64501
PE1(config-router)# الجار 10.1.1.3 update-source loopback 0
PE1(جهاز التوجيه التكويني)# عائلة العناوين vpnv4
PE1(config-router-af)# الجار 10.1.1.3 تفعيل
يعد جهاز التوجيه Ingress PE1 هو جهاز التوجيه ذو الحافة الملصقة (LER)، والذي يستخدم لدفع ملصق VPN إلى رأس MPLS لحركة مرور العملاء. علامات VPN هي علامات داخلية لا تتأثر بموجهات P. تُستخدم هذه العلامة لتحديد القفزة التالية الصحيحة على جهاز التوجيه PE البعيد. بعبارة أخرى، تستخدم موجهات PE علامات VPN لتوجيه الحزم إلى جهاز CE الصحيح. تتلقى موجهات PE البعيدة الحزم التي تحتوي على علامات VPN، وتقوم بإظهار العلامة، وإعادة توجيه حركة مرور العملاء إلى جهاز التوجيه CE الصحيح
ملاحظة: يتم توزيع توجيه VPN-IPv4، مع علامات VPN الداخلية وأهداف التوجيه، بواسطة MP-BGP بين أجهزة توجيه PE. تعرف على علامات LSP الخارجية من خلال LDP (بروتوكول توزيع العلامات).
بالإضافة إلى تسمية VPN الداخلية، يستخدم جهاز التوجيه PE تسمية LSP (مسار تبديل التسمية) الخارجية لتكديس حزم IP. تسمية LSP لها أهمية محلية فقط ويتم تبادلها مع التسمية الجديدة عبر كل جهاز توجيه p على المسار. جهاز التوجيه p الأخير هو جهاز التوجيه الثاني المتبادل لـ lsps. يقوم بإخراج تسمية LSP ويحول حركة مرور العميل إلى جهاز التوجيه PE باستخدام التسمية الداخلية (VPN) فقط.
جهاز التوجيه المزود (P) هو جهاز التوجيه بتبديل العلامات (LSR) لأنه غير متصل بأي جهاز توجيه CE. لا تحتوي أجهزة التوجيه P على مسارات VPNv4، ولكنها تحتوي فقط على مسارات لأجهزة توجيه P وPE الأخرى. يقوم جهاز التوجيه P فقط بفحص علامة LSP العلوية (الخارجية) ويتبادل العلامة الخارجية مع علامة LSP الجديدة قبل إعادة توجيه الحزمة. يتم استخدام محتوى رأس LSP لإعادة توجيه الحزم، مما يتجنب أطول مطابقة بادئة لعنوان IP على كل جهاز توجيه P.
ملاحظة: لإنشاء اتصال BGP، تقوم أجهزة التوجيه PE وP بتشغيل IGP، مثل OSPF. داخل شبكة المزود
خاتمة:
تظهر شبكات VPN BGP / MPLS عادةً في بيئة مؤسسية. يتم تكوينها بواسطة مزود الخدمة ولا تتطلب تكوينات متعلقة بشبكات VPN على جهاز توجيه العميل. يمكن استخدام شبكات VPN BGP / MPLS بسهولة لتوفير بنية شبكة شبكية كاملة. بدلاً من الاعتماد على خوارزميات التشفير، يتم تحقيق الخصوصية من خلال تحديد مسار واحد في شبكة المزودين. يتم تحقيق فصل التوجيه من خلال تعيين جهاز توجيه العميل إلى VRF منفصل على جهاز توجيه PE. يتم تحقيق فصل عنوان العميل من خلال إنشاء مسار VPNv4 فريد. يتم تنفيذ هذه الآليات من خلال دمج تقنية MP-BGP وMPLS، مما يسمح للمستخدمين بالحفاظ على فصل حركة المرور من شبكات المشتركين المتعددة عند تبديل حركة المرور من خلال نواة مشتركة واحدة.
نبذة عن سبوتو:
تركز SPOTO على تدريب شهادات تكنولوجيا المعلومات عبر الإنترنت منذ 16 عامًا. تقدم SPOTO اختبارات تدريبية حقيقية وصالحة بنسبة 100% لاختبارات Cisco CCNA وCCNP وCCIE وISC وAmazon AWS وMicrosoft وغيرها من اختبارات تكنولوجيا المعلومات. ولدينا العديد من الدورات التدريبية المجانية عبر الإنترنت لاختبار Cisco على YouTube. يمكنك العثور على العديد من النصائح والاقتراحات المفيدة. إذا كنت لا تزال قلقًا بشأن الاستعداد واجتياز اختبار Cisco، فجرب SPOTO الآن. سيساعدك مدرسو SPOTO في الحصول على رقم CCIE في المحاولة الأولى.
