Ao implementar uma VPN de provedor, o provedor oferece ao cliente vários pontos de acesso e cria canais entre eles em sua rede, pelos quais ele paga.
Qual é a peculiaridade de uma VPN de provedor em comparação com uma VPN de cliente? O fato de que o provedor assume a obrigação de fornecer uma determinada qualidade de serviços (nível aceitável de latência, jitter, porcentagem de perda de pacotes, período máximo de indisponibilidade dos serviços etc.) e garantias de segurança.
L2VPN ou L3VPN?
O uso de L2 e L3VPN tem suas próprias especificidades: A L2VPN é usada com mais frequência se houver uma tarefa para garantir a conectividade entre hosts no mesmo domínio de transmissão com redundância, e a L3VPN é para fornecer serviços diferentes (L3VPN + Internet, VRF-Aware NAT etc.).). A L3VPN está ganhando cada vez mais popularidade, e na 13ª versão do Stingray SG, foi adicionado o suporte a VRF Lite, que permite implementar uma das opções de L3VPN.
Princípios do VRF
O mesmo princípio de roteadores virtuais é chamado de forma diferente por diferentes fornecedores: VRF na Cisco, VPN-instance na Huawei e Routing Instance na Juniper. Todas elas são máquinas virtuais que são essencialmente criadas no mesmo roteador físico e são VPNs separadas, com tabelas de roteamento, FIB e listas de interface individuais.
Cada VRF é isolada das outras VRFs e do próprio roteador físico. Uma VRF é local em um roteador, não existe fora dele e não está conectada a uma VRF em outro roteador. Entretanto, assim como ocorre com os servidores virtuais, é possível a comunicação entre eles.
VRF Lite
No primeiro estágio, o VRF lite foi implementado no Stingray SG. O prefixo lite significa que o Stingray SG apenas separa as tabelas de roteamento, mas não coloca o tráfego de um VRF separado em um túnel exclusivo (MPLS, VXLAN). O VRF lite permite isolar os serviços fornecidos entre si e otimizar o roteamento ao usar canais diferentes.
O isolamento de serviços usando VRF envolve a colocação de regras de roteamento de diferentes tipos de assinantes ou dispositivos em tabelas diferentes para definir uma rota específica. Um exemplo é a alocação de tráfego de um decodificador de IPTV, que também está localizado no domínio L2 com BRAS, bem como CPE. O decodificador de IPTV obtém acesso apenas aos recursos locais, enquanto o CPE obtém acesso à Internet.
A implementação do VRF no Stingray SG é realizada usando um Soft-Router, que constrói uma tabela RIB e interage com o processo principal do Stingray SG (fastDPI). Essa separação permite alto desempenho com um pequeno aumento no uso da RAM do servidor no caso em que uma Full View é recebida em cada VRF.
A implementação do L3VPN usando o VRF lite é possível de duas maneiras.
- A primeira opção é para colocar o tráfego de um determinado VRF em um túnel GRE. Esse método é usado para criar L3VPN por meio da Internet. Essa funcionalidade já está disponível no Stingray SG.
- A segunda opção pressupõe que os pontos a serem conectados estejam localizados dentro da rede da operadora. Nesse caso, recomendamos utilização de MPLS ou VXLAN. Essa abordagem pode ser implementada conectando o Stingray SG a um roteador habilitado para MPLS, que adicionará tags para determinados VRFs. O suporte para MPLS completo no Stingray SG está nos planos de desenvolvimento.