Нажмите "Enter", чтобы перейти к содержанию

L2 vpn что это: Каналы связи L2 и L3 VPN — Отличия физических и виртуальных каналов разного уровня

Содержание

Что такое L2VPN? Описание услуги

Многие задавались вопросом, что такое L2-VPN, как он работает и зачем он нужен. L2-VPN это сервис виртуальной частной сети (англ. Virtual Private Network — виртуальная частная сеть), предоставляемый операторами связи по типу точка-точка. Сеть провайдера для клиента в данной услуге абсолютно прозрачна.

 Где это может понадобиться?

Допустим, вы частный предприниматель, у вас есть офис в г. Урюпинск и г. Воронеж. Вы хотите объединить 2 сети в 1 большую локальную сеть.  С точки зрения вас (клиента) данная услуга будет выглядеть так, как показано на рисунке 1.

рис 1.

Т.е. как подключение к одному большому L2-коммутатору. В случае необходимости вы можете самостоятельно устанавливать в своем vpn канале дополнительные сервисы сетевой защиты, шифрования, аутентификации, например IPSec-туннель и т.д.

Как это выглядит с точки зрения провайдера ?

Здесь будет немного сложнее. Заявив ему, что вы хотите данную услугу, выбранный вами провайдер подключит оба офиса в свои ближайшие коммутаторы, произведет манипуляции на оборудовании, и вы получите заветную услугу. Сеть провайдера может быть огромна. Чтобы вашим пакетикам из Урюпинска дойти до Воронежа и обратно, им придется преодолеть нцать коммутаторов, несколько роутеров и много-много километров пути. Если схематично, то можно представить так, как показано на рисунке 2.

рис 2.

Данную услугу провайдеры предоставляют на основе  своей сети IP/MPLS. Стоимость данной услуги, провайдер рассчитывает исходя от расстояния, емкости канала, совокупных затрат на содержание и эксплуатацию оборудования, амортизационных отчислений и тд. Однако, при всем при этом цена является в несколько раз завышена для клиента.

 Заключение

Данная услуга является одной из самых популярных среди клиентов провайдеров Она очень проста и не требует настроек на оборудовании клиента.

Преимущества:

  • ускоренный обмен файлами и сообщениями внутри сети;
  • высокая безопасность передачи информации;
  • совместная работа над документами и базами данных;
  • доступ к корпоративным информационным http — серверам;
  • организация между офисами высококачественной видеоконференцсвязи и видео трансляций

Однако есть и недостатки. Т.к. услуга является L2, то операторам связи очень сложно отслеживать проблемы на данной услуге и практически всегда они узнают о проблеме от клиента.  По сути, клиент сам берет на себя всю диагностику и работу с провайдером, поэтому если существуют какие-то проблемы то их решение очень затягивается.

Существует и более интересная услуга, позволяющая организовывать соединения точка-многоточка на уровне  L2 модели OSI — это VPLS подробнее про нее можно прочитать перейдя по ссылке.

Купить\Заказать услугу L2VPN можно здесь.

Сети для самых матёрых. Часть двенадцатая. MPLS L2VPN

L3VPN, который мы рассмотрели в прошлом выпуске, покрывает собой огромное количество сценариев, необходимых большинству заказчиков. Огромное, но не все. Он позволяет осуществлять связь только на сетевом уровне и только для одного протокола - IP. Как быть с данными телеметрии, например, или трафиком от базовых станций, работающих через интерфейс E1? Существуют также сервисы, которые используют Ethernet, но тоже требуют связи на канальном уровне. Опять же ЦОДы между собой любят на языке L2 общаться. 
Вот и нашим клиентам вынь да положь L2.

Традиционно раньше всё было просто: L2TP, PPTP да и всё по большому счёту. Ну в GRE ещё можно было спрятать Ethernet. Для всего прочего строили отдельные сети, вели выделенные линии ценою в танк (ежемесячно). Однако в наш век конвергентных сетей, распределённых ЦОДов и международных компаний это не выход, и на рынок выплеснулось некоторое количество масштабируемых технологий випиэнирования на канальном уровне.

Мы же в этот раз сосредоточимся на MPLS L2VPN.

 

Технологии L2VPN

Прежде чем погрузиться в тёплый MPLS, взглянем на то, какие вообще виды L2VPN существуют.

  • VLAN/QinQ - их можно сюда отнести, поскольку основные требования VPN выполняются - организуется виртуальная L2 сеть между несколькими точками, данные в которой изолированы от других. По сути VLAN per-user организует Hub-n-Spoke VPN.
  • L2TPv2/PPTP - устаревшие и скучные вещи.
  • L2TPv3 вместе с GRE имеют проблемы с масштабированием.
  • VXLAN, EVPN - варианты для ЦОД"ов. Очень интересно, но DCI не входит в планы этого выпуска. Зато о них был отдельный подкаст (слушайте запись 25-го ноября)
  • MPLS L2VPN - это набор различных технологий, транспортом для которых выступает MPLS LSP. Именно он сейчас получил наиболее широкое распространение в сетях провайдеров.

Почему он победитель? Главная причина, безусловно, в способности маршрутизаторов, передающих MPLS-пакеты абстрагироваться от их содержимого, но при этом различать трафик разных сервисов.
Например, Е1-кадр приходит на PE, сразу же инкапсулируется в MPLS и уже никто по пути даже не заподозрит, что там внутри - важно только вовремя поменять метку.
А на другой порт приходит Ethernet-кадр и по тому же самому LSP он может пройти по сети, только с другой меткой VPN.
А кроме того MPLS TE позволяет строить каналы с учётом требований трафика к параметрам сети.
В связке же с LDP и BGP становится более просто настраивать VPN и автоматически находить соседей.
Возможность инкапсулировать трафик любого канального уровня в MPLS называется AToM - Any Transport over MPLS.
Вот список поддерживаемых AToM протоколов:

  • ATM Adaptation Layer Type-5 (AAL5) over MPLS
  • ATM Cell Relay over MPLS
  • Ethernet over MPLS
  • Frame Relay over MPLS
  • PPP over MPLS
  • High-Level Data Link Control (HDLC) over MPLS

 


Для построения любого L2VPN существуют два концептуально разных подхода.

  • Point-to-Point. Применим к любым типам протоколов канального уровня и в принципе, в полной мере исчерпывает все сценарии применения L2VPN. Поддерживает все мыслимые и немыслимые протоколы. Причём некоторые из них ещё и по-разному может реализовывать.
    В основе лежит концепция PW - PseudoWire - псевдопровод.
    Вы хотите соединить два узла друг с другом. Тогда сеть провайдера для вас будет как один виртуальный кабель - то, что вошло в него на одном конце обязательно выйдет на другом без изменений.
    Общее название услуги: VPWS - Virtual Private Wire Service.
  • Point-to-Multipoint. Этот режим только для Ethernet, поскольку только в нём фактически такая необходимость есть. В этом случае у клиента может быть три-пять-десять-сто точек подключения/филиалов, и все они должны передавать данные друг другу, причём, как одному конкретному филиалу, так и всем сразу. Это до боли напоминает обычный Ethernet-коммутатор, но было бы страшной банальностью об этом говорить.
    Название технологии: VPLS - Virtual Private LAN Service.

Терминология

Традиционно термины будут вводиться по мере необходимости. Но о некоторых сразу.
PE - Provider Edge - граничные маршрутизаторы MPLS-сети провайдера, к которым подключаются клиентские устройства (CE).
CE - Customer Edge - оборудование клиента, непосредственно подключающееся к маршрутизаторам провайдера (PE).
AC - Attached Circuit - интерфейс на PE для подключения клиента.
VC - Virtual Circuit - виртуальное однонаправленное соединение через общую сеть, имитирующее оригинальную среду для клиента. Соединяет между собой AC-интерфейсы разных PE. Вместе они составляют цельный канал: AC→VC→AC.

PW - PseudoWire - виртуальный двунаправленный канал передачи данных между двумя PE - состоит из пары однонаправленных VC. В этом и есть отличие PW от VC.


 

 

VPWS - Virtual Private Wire Service.
В основе любого решения MPLS L2VPN лежит идея PW - PseudoWire - виртуальный кабель, прокинутый из одного конца сети в другой. Но для VPWS сам этот PW и является уже сервисом.
Эдакий L2-туннель, по которому можно беззаботно передавать всё, что угодно.
Ну, например, у клиента в Котельниках находится 2G-базовая станция, а контроллер - в Митино. И эта БС может подключаться только по Е1. В стародавние времена пришлось бы протянуть этот Е1 с помощью кабеля, радиорелеек и всяких конвертеров.
Сегодня же одна общая MPLS-сеть может использоваться, как для этого Е1, так и для L3VPN, Интернета, телефонии, телевидения итд.
(Кто-то скажет, что вместо MPLS для PW можно использовать L2TPv3, но кому он нужен с его масштабируемостью и отсутствием Traffic Engineering"а?)

VPWS сравнительно прост, как в части передачи трафика, так и работы служебных протоколов.

VPWS Data Plane или передача пользовательского трафика


Туннельная метка - то же, что и транспортная, просто длинное слово "транспортное" не помещалось в заголовок.

0. Между R1 и R6 уже построен транспортный LSP с помощью протокола LDP или RSVP TE. То есть R1 известна транспортная метка и выходной интерфейс к R6.
1. R1 получает от клиента CE1 некий L2 кадр на AC интерфейс (то может оказаться Ethernet, TDM, ATM итд. - не имеет значения).
2. Этот интерфейс привязан к определённому идентификатору клиента - VC ID - в некотором смысле аналогу VRF в L3VPN. R1 даёт кадру сервисную метку, которая сохранится до конца пути неизменной. VPN-метка является внутренней в стеке.
3. R1 знает точку назначения - IP-адрес удалённого PE-маршрутизатора - R6, выясняет транспортную метку и вставляет её в стек меток MPLS. Это будет внешняя - транспортная метка.

4. Пакет MPLS путешествует по сети оператора через P-маршрутизаторы. Транспортная метка меняется на новую на каждом узле, сервисная остаётся без изменений.
5. На предпоследнем маршрутизаторе снимается транспортная метка - происходит PHP. На R6 пакет приходит с одной сервисной VPN-меткой.
6. PE2, получив пакет, анализирует сервисную метку и определяет, в какой интерфейс нужно передать распакованный кадр.

Если вы читали предыдущий выпуск про L3VPN, то в вопросе передачи пользовательского трафика не увидите ничего нового - пара MPLS-меток и передача по транспортному LSP. Ingress PE проверяет какие метки поставить и в какой интерфейс отправить, P меняет транспортную метку, а Egress PE по метке VPN принимает решение, в какой AC-интерфейс передать полученный кадр.

 

VPWS Control Plane или работа служебных протоколов

Транспортная метка может назначаться как LDP (см. выпуск про MPLS), так и RSVP-TE (ещё ждёт своего часа).
Для примера, возьмём LDP - по всей сети запускается этот протокол, который для каждого Loopback-адреса каждого MPLS-маршрутизатора распространит по сети метки.
В нашем случае R1 после работы LDP будет, грубо говоря, знать 5 меток: как добраться до каждого из оставшихся маршрутизаторов.
Нас интересует LSP R1→R6 и обратно. Заметьте, что для того, чтобы VC перешёл в состояние UP, должны быть оба LSP - прямой и обратный.

Существует несколько разных способов реализации услуги VPWS. Об этом мы поговорим чуть ниже, а для примера разберём ту, которая наиболее часто сейчас используется.

За распространение сервисных меток отвечает тот же LDP, только генно-модифицированный - Targeted LDP. Теперь он может устанавливать соединение с удалёнными маршрутизаторами и обмениваться с ними метками.
В нашем примере к R1 и R6 подключены клиенты. R1 через LDP сообщит свою метку для этого клиента R6 и наоборот.

На обоих концах вручную мы настраиваем удалённую LDP-сессию. Она никак не привязана к VPN. То есть одна и та же сессия может использоваться для обмена метками любым количеством VPN.
Обычный LDP - это link-local протокол и ищет соседей среди непосредственно подключенных маршрутизаторов, то есть TTL его пакетов - 1. Однако tLDP достаточна IP-связность.

Как только с обеих сторон появятся AC-интерфейсы с одинаковым VC-ID, LDP поможет им сообщить друг другу метки.

В чём отличия tLDP от LDP?

 

 

 

LDP tTLDP
Соседями могут быть только непосредственно подключенные маршрутизаторы Соседом может быть любой маршрутизатор в сети, с которым есть IP-связность.
Поиск всех возможных соседей Соседи уже определены конфигурацией
Широковещательная рассылка сообщений Discovery Адресная отправка сообщения Discovery конкретным соседям.
В качестве FEC обычно выступает IP-адрес В качестве FEC обычно выступает VC ID

Чтобы сильно далеко не убегать, сразу же практика.

 

 

 

Как собрать лабу для MPLS L2VPN?

В качестве тестового стенда использована связка UnetLab + CSR1000V. И то и другое вы можете получить совершенно бесплатно и законно.
UnetLab OVA.
Cisco CSR1000V IOS-XE.
Инструкции по установке UNL и добавлению образов CSR1000V: Тыц.

Соответственно далее все команды по настройке MPLS L2VPN даны в нотации Cisco IOS-XE.

Внимание: для каждой ноды CSR1000V требуется 2,5 ГБ RAM. В противном случае образ либо не запустится, либо будут различные проблемы, вроде того, что порты не поднимаются или наблюдаются потери.


 

 

Практика VPWS

Упростим топологию до четырёх магистральных узлов. По клику можете открыть её в новой вкладке, чтобы смотреть на неё Alt+Tab"ом, а не ворочать страницу вверх-вниз.

Наша задача - прокинуть Ethernet от Linkmeup_R1 (порт Gi3) до Linkmeup_R4 (порт Gi3).

На шаге 0 IP-адресация, IGP-маршрутизация и базовый MPLS уже настроены (см. как).


Файл начальной конфигурации.

 

  1. Настраиваем xconnect на обоих концах на AC-интерфейсах (PE-CE), обращаем внимание, что VC-ID должен быть одинаковым. Linkmeup_R1(config)#interface Gi 3
    Linkmeup_R1(config-if)#xconnect 4.4.4.4 127 encapsulation mpls

    Linkmeup_R4(config)#interface Gi 3
    Linkmeup_R4(config-if)#xconnect 1.1.1.1 127 encapsulation mpls

    Команда xconect 4.4.4.4 127 encapsulation mpls заставляет LDP поднять удалённую сессию с узлом 4.4.4.4 и создаёт MPLS PW с VC ID 127. Важно, чтобы VC ID совпадали на двух противоположных AC-интерфейсах - это указатель того, что их нужно срастить.

  2. Профит.

 

 

На этом конфигурация VPWS закончена.
Файл конфигурации VPWS.


Давайте проследим, что там происходило за кулисами протоколов (дамп снят с интерфейса GE1 Linkmeup_R1). Можно выделить основные вехи:

0) IGP сошёлся, LDP определил соседей, поднял сессию и раздал транспортные метки.
Как видите, Linkmeup_R4 выделил транспортную метку 19 для FEC 4.4.4.4.

1) А вот tLDP начал свою работу.

--А. Сначала мы настроили его на Linkmeup_R1 и tLDP начал периодически отправлять свой Hello на адрес 4.4.4.4

Как видите, это юникастовый IP пакет, который отправляется с адреса Loopback-интерфейса 1.1.1.1 на адрес такого же Loopback удалённого PE - 4.4.4.4.
Упакован в UDP и передаётся с одной меткой MPLS - транспортной - 19. Обратите внимание на приоритет - поле EXP - 6 - один из наивысших, поскольку это пакет служебного протокола. Подробнее мы об этом поговорим в выпуске о QoS.

Состояние PW пока в DOWN, потому что с обратной стороны ничего нет.

--Б. После того, как настроили xconnect на стороне Linkmeup_R4 - сразу Hello и установление соединения по TCP.

В этот момент установлено LDP-соседство

--В. Пошёл обмен метками:

В самом низу можно видеть, что FEC в случае VPWS - это VC ID, который мы указали в команде xconnect - это идентификатор нашего VPN - 127.
А чуть ниже выделенная ему Linkmeup_R4 метка - 0х16 или 22 в десятичной системе.
То есть этим сообщением Linkmeup_R4 сообщил Linkmeup_R1, мол, если ты хочешь передать кадр в VPN с VCID 127, то используй сервисную метку 22.

 

 

Тут же вы можете видеть ещё кучу других сообщений Label Mapping - это LDP делится всем, что нажил - информацией про все FEC. Нас это мало интересует, ну а Lilnkmeup_R1 и подавно.

 


То же самое делает и Linkmeup_R1 - сообщает Linkmeup_R4 свою метку:

После этого поднимаются VC и мы можем увидеть метки и текущие статусы:

Команды show mpls l2transport vc detail и show l2vpn atom vc detail в целом идентичны для наших примеров.

2) Далее соседи будут только поддерживать контакт:

3) Теперь всё готово для передачи пользовательских данных. В этот момент мы запускаем ping. Всё предсказуемо просто: две метки, которые мы уже видели выше.
 

 

 

 

Почему-то Wireshark не разобрал внутренности MPLS, но я вам покажу, как прочитать вложение:

Два блока, выделенных, красным - это MAC-адреса. DMAC и SMAC соответственно. Жёлтый блок 0800 - поле Ethertype заголовка Ethernet - значит внутри IP.
Далее чёрный блок 01 - поле Protocol заголовка IP - это номер протокола ICMP. И два зелёных блока - SIP и DIP соответственно.
Теперь вы можете в Wireshark!


Соответственно ICMP-Reply возвращается только с меткой VPN, потому что на Linkmeup_R2 возымел место PHP и транспортная метка была снята.

Если VPWS - это просто провод, то он должен спокойно передать и кадр с меткой VLAN?
Да, и нам для этого не придётся ничего перенастраивать.
Вот пример кадра с меткой VLAN:

Здесь вы видите Ethertype 8100 - 802.1q и метку VLAN 0x3F, или 63 в десятичной системе.

Если мы перенесём конфигурацию xconnect на сабинтерфейс с указанием VLAN, то он будет терминировать данный VLAN и отправлять в PW кадр без заголовка 802.1q.

 

 

 


 

Виды VPWS

Рассмотренный пример - это EoMPLS (Ethernet over MPLS). Он является частью технологии PWE3, которая суть развитие VLL Martini Mode. И всё это вместе и есть VPWS. Тут главное не запутаться в определениях. Позвольте мне быть вашим проводником.
Итак, VPWS - общее название решений для L2VPN вида точка-точка.
PW - это виртуальный L2-канал, который лежит в основе любой технологии L2VPN и служит туннелем для передачи данных.
VLL (Virtual Leased Line) - это уже технология, которая позволяет инкапсулировать кадры различных протоколов канального уровня в MPLS и передавать их через сеть провайдера.

Выделяют следующие виды VLL:
VLL CCC - Circuit Cross Connect. В этом случает нет метки VPN, а транспортные назначаются вручную (статический LSP) на каждом узле, включая правила swap. То есть в стеке будет всегда только одна метка, а каждый такой LSP может нести трафик только одного VC. Ни разу не встречал его в жизни. Главное его достоинство - он может обеспечить связность двух узлов, подключенных к одному PE.

VLL TCC - Translational Cross Connect. То же, что CCC, но позволяет с разных концов использовать разные протоколы канального уровня.
Работает это только с IPv4. PE при получении удаляет заголовок канального уровня, а при передаче в AC-интерфейс вставляет новый.
Интересно? Начните отсюда.

VLL SVC - Static Virtual Circuit. Транспортный LSP строится обычными механизмами (LDP или RSVP-TE), а сервисная метка VPN назначается вручную. tLDP в этом случае не нужен. Не может обеспечить локальную связность (если два узла подключены к одному PE).

Martini VLL - это примерно то, с чем мы имели дело выше. Транспортный LSP строится обычным образом, метки VPN распределяются tLDP. Красота! Не поддерживает локальную связность.

Kompella VLL - Транспортный LSP обычным образом, для распределения меток VPN - BGP (как и полагается, с RD/RT). Уау! Поддерживает локальную связность. Ну и ладно.

 


PWE3 - Pseudo Wire Emulation Edge to Edge. Строго говоря, область применения этой технология шире, чем только MPLS. Однако в современном мире в 100% случаев они работают в связке. Поэтому PWE3 можно рассматривать как аналог Martini VLL с расширенным функционалом - сигнализацией так же занимаются LDP+tLDP.
Коротко его отличия от Martini VLL можно представить так:

 

 

  • Сообщает статус PW, используя сообщение LDP Notification.
  • Поддерживает Multi-Segment PW, когда end-to-end канал состоит из нескольких более мелких кусков. В этом случае один и тот же PW может стать сегментов для нескольких каналов.
  • Поддерживает TDM-интерфейсы.
  • Предоставляет механизм согласования фрагментации.
  • Другие...

Сейчас PWE3 - стандарт де факто и именно он был в примере выше.

 

 

 

Я тут везде говорю об Ethernet для того, чтобы показать наиболее наглядный пример. Всё, что касается других канальных протоколов, это, пожалуйста, на самостоятельное изучение.

 

 


Продолжение читайте на сайте linkmeup.

 

Виртуальный канал связи (L2 VPN) — Официальный сайт МегаФона, Московский регион

С помощью услуги «Виртуальный канал связи» два удалённых офиса объединяются в защищённую корпоративную сеть. Передача данных производится по протоколу Ethernet (на уровне Layer2). Информация передаётся по защищённому каналу со скоростью до 10 Гбит/с.

Чтобы пользоваться услугой, в каждом из офисов достаточно установить обычный Ethernet-коммутатор.

Какие задачи решает «Виртуальный канал связи»?

  • обмен коммерческой, конфиденциальной информацией;
  • быстрый доступ к корпоративным базам данных и бизнес-приложениям в режиме «онлайн» для сотрудников обоих офисов;
  • организация голосовой и видеосвязи, проведение видеоконференций и онлайн-трансляций;
  • обеспечение устойчивой работы электронных корпоративных систем управления (CRM, ERP).

Как работает «Виртуальный канал связи»

Виртуальный канал связи (L2 VPN) объединяет два офиса в единую сеть с топологией «точка-точка» (point-to-point).

Тип порта настраивается исходя из ваших потребностей. Существует три класса обслуживания, которые отличаются по требуемым параметрам качества трафика (задержка передачи пакетов, процент потерянных пакетов информации, колебание сетевых задержек). В зависимости от используемых бизнес-приложений для каждого порта Виртуального канала связи выбирается один из классов:

  • Real-time — для трафика под приложения реального времени (голос/видео), для которых критичны задержка и колебания задержки пакетов, есть ограничения по возможной доле потери пакетов;
  • Business-critical — для трафика корпоративных информационных систем, где критичен процент потерянных пакетов информации;
  • Best-effort — для трафика приложений, где допускаются задержки и потери доли пакетов (http, ftp, e-mail) при наличии высокоприоритетного трафика.

Дополнительные сервисы:

  • «Криптозащита» (обеспечение криптографической защиты информации Клиента в пределах распределенной корпоративной сети).

Преимущества «Виртуального канала связи» от «МегаФона»

  • Сетевая инфраструктура «МегаФона» присутствует во всех регионах России;
  • «МегаФон» обладает развитой высокоскоростной магистральной IP/MPLS-сетью;
  • Мы гарантируем высокую надёжность услуги благодаря проверенному сетевому оборудованию ведущих мировых производителей;
  • Есть возможность предоставления услуги с повышенным уровнем обслуживания (SLA).

Стоимость услуги

Ежемесячная абонентская плата зависит от параметров качества обслуживания и объёма пропущенного трафика.

Канал L2 И L3 Что Это

Студийные микрофоны

ОКТАВА

  • Валерий Меладзе интересуется микрофонами "Октава"

  • Музыканты группы "Мастер" представляют ламповый студийный микрофон Октава МКЛ-100

  • Дмитрий Маликов подтверждает качество микрофонов "Октава"

  • На фото Алексей Белов поёт в ламповый студийный микрофон "Октава" МКЛ-5000

  • Cолист группы "Ария" Артур Беркут поёт в ламповый студийный микрофон "Октава" МКЛ-5000

  • Тестовые записи сравнения микрофонов Октава с микрофонами других брендов

Хотите выбрать микрофон для студии звукозаписи?
Вам нужен чистый и прозрачный звук?
Желаете студийный микрофон, вокальный или инструментальный, качество которого превосходило бы качество именитых брендов, а цена была бы гораздо ниже?

Добро пожаловать!

Вы находитесь на сайте, посвященном студийным микрофонам "Oktava".
Качество этих микрофонов признано во всем мире! За рубежом микрофоны "Oktava" популярны не мене, чем микрофоны фирм: Rode, AKG, Neumann, Shure...

Виды VPN-соединений (PPTP, L2TP, IPSec, SSL)

Что такое Виртуальная частная сеть (VPN)?

Раньше для осуществления безопасной передачи данных возникала необходимость в выделенной линии, связывающей два пункта. Расходы на организацию таких линий довольно велики.
Виртуальная частная сеть дает пользователям безопасный способ доступа к ресурсам корпоративной сети через Интернет или другие общественные или частные сети без необходимости выделения линии.

Безопасная частная виртуальная сеть представляет собой совокупность технологий/служб туннелирования, аутентификации, управления доступом и контроля, используемых для защиты данных и передачи трафика через Интернет.

Существует много причин для использования виртуальных частных сетей. Наиболее типичны следующие из них:

Безопасность (защита данных). 
С помощью аутентификации получатель сообщения, являющийся пользователем виртуальной частной сети, может отслеживать источник полученных пакетов и обеспечить целостность данных.
С средств защиты данных в виртуальных частных сетях гарантируется конфиденциальность исходных пользовательских данных.

Стоимость (снижение количества линий доступа и уменьшение расходов на междугороднюю телефонную связь).
Организация виртуальной частной сети позволяет компании передавать данные через линии доступа к Интернету, таким образом уменьшая необходимость в некоторых из существующих линий.
При организации виртуальной частной сети снижаются расходы на междугороднюю телефонную связь, поскольку пользователь обычно получает услуги от местного Интернет-провайдера, а не совершает междугородний звонок для установления прямой связи с компанией.

Известно, что сети, использующие протокол IP, имеют "слабое место", обусловленное самой структурой протокола IP. Разработчики IP не намеревались обеспечивать каких-либо функций безопасности на уровне IP, а гибкость IP позволяет хитроумно использовать особенности данного протокола в целях преодоления контроля за трафиком, управления доступом и других мер безопасности. Поэтому данные в сети, использующей протокол IP, могут быть легко подделаны или перехвачены.
При туннелировании для передачи по сети протокольных пакетов сети одного типа они вставляются или инкапсулируются в протокольные пакеты другой сети. Это обеспечивает безопасность при передаче данных.

Протоколы для построения VPN-туннеля:

PPTP

PPTP (Point-to-Point Tunneling Protocol) - туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. Протокол PPTP позволяет инкапсулировать (упаковывать или скрыть от использования) пакеты PPP в пакеты протокола Internet Protocol (IP) и передавать их по сетям IP (в том числе и Интернет).

PPTP обеспечивает безопасную передачу данных от удаленного клиента к отдельному серверу предприятия путем создания в сети TCP/IP частной виртуальной сети. PPTP может также использоваться для организации туннеля между двумя локальными сетями. PPTP работает, устанавливая обычную PPP-сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation (GRE). Второе соединение на TCP порту 1723 используется для инициации и управления GRE-соединением. Для защиты данных PPTP-трафика может быть использован протокол MPPE. Для аутентификация клиентов могут использоваться различные механизмы, наиболее безопасные из них — MSCHAPv2 и EAP-TLS.

Для обеспечения работы клиента по протоколу PPTP, необходимо установить IP-соединение с туннельным сервером PPTP. Все передаваемые по этому соединению данные могут быть защищены и сжаты. По туннелю PPTP могут передаваться данные различных протоколоыв сетевого уровня (TCP/IP, NetBEUI и IPX).

Преимущества протокола PPTP:

    • Использование частного IP-адреса. Пространство IP-адресов частной сети не должно координироваться с пространством глобальных (внешних) адресов. 
    • Поддержка множества протоколов. Можно осуществлять доступ к частным сетям, использующим различные комбинации TCP/IP или IPX. 
    • Безопасность передачи данных. Для предотвращения несанкционированного подключения используются протоколы и политики обеспечения безопасности сервера удаленного доступа. 
    • Возможность использования аутентификации и защиты данных при передачи пакетов через Интернет.

L2TP

L2TP (Layer 2 Tunneling Protocol) - протокол туннелирования уровня 2 (канального уровня). Объединяет протокол L2F (Layer 2 Forwarding), разработанный компанией Cisco, и протокол PPTP корпорации Microsoft. Позволяет организовывать VPN с заданными приоритетами доступа, однако не содержит в себе средств для защиты данных и механизмов аутентификации.

Протокол L2TP использует сообщения двух типов: управляющие и информационные сообщения. Управляющие сообщения используются для установления, поддержания и ликвидации туннелей и вызовов. Для обеспечения доставки ими используется надежный управляющий канал протокола L2TP. Информационные сообщения используются для инкапсулирования кадров PPP, передаваемых по туннелю. При потере пакета он не передается повторно.

Структура протокола описывает передачу кадров PPP и управляющих сообщений по управляющему каналу и каналу данных протокола L2TP. Кадры PPP передаются по ненадежному каналу данных, предварительно дополняясь заголовком L2TP, а затем - по транспорту для передачи пакетов, такому как Frame Relay, ATM и т.п. Управляющие сообщения передаются по надежному управляющему каналу L2TP с последующей передачей по тому же транспорту для пересылки пакетов.

Все управляющие сообщения должны содержать порядковые номера, используемые для обеспечения надежной доставки по управляющему каналу. Информационные сообщения могут использовать порядковые номера для упорядочивания пакетов и выявления утерянных пакетов. 

Преимущества протокола L2TP:

    • Разнообразие протоколов. Так как используется кадрирование PPP, удаленные пользователи могут использовать для доступа к корпоративому узлу большое количество различных протоколов, таких как IP, IPX и т.д.
    • Создание туннелей в различных сетях. L2TP может работать как в сетях IP, так и в сетях ATM, Frame Relay и др.
    • Безопасность передачи данных. При этом, пользователь не должен иметь никакого специального программного обеспечения.
    • Возможность аутентификации пользователей. 

IPSec

IPSec (IP Security) - набор протоколов, касающихся вопросов обеспечения защиты данных при транспортировке IP-пакетов. IPSec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. Протоколы IPSec работают на сетевом уровне (уровень 3 модели OSI).

Internet-протокол (IP) не имеет средств защиты передаваемых данных. Он даже не может гарантировать, что отправитель является именно тем, за кого он себя выдает. IPSec представляет собой попытку исправить ситуацию. При использовании IPSec весь передаваемый трафик может быть защищен перед передачей по сети. При использовании IPSec получатель сообщения может отслеживать источник полученных пакетов и удостовериться в целостности данных. Необходимо быть уверенным в том, что транзакция может осуществляться только один раз (за исключением случая, когда пользователь уполномочен повторять ее). Это означает, что не должно существовать возможности записи транзакции и последующего ее повторения в записи с целью создания у пользователя впечатления об осуществлении нескольких транзакций. Представьте себе, что мошенник получил информацию о трафике и знает, что передача такого трафика может дать ему какие-то преимущества (например, в результате на его счет будут переведены деньги). Необходимо обеспечить невозможность повторной передачи такого трафика.

С помощью виртуальной частной сети (VPN) можно решать следующие прикладные задачи:

    • Виртуальная частная сеть между организациями
    • Мобильный пользователь
    • Пользователь SOHO

IPSec VPN оптимален для объединения сетей разных офисов через Интернет.

Можно устанавливать VPN-соединение с использованием протокола IPSec.

Для пользователей SMB/SOHO (Малый бизнес/Малый офис/Домашний офис):

    • Экономическая эффективность
    • Законченное решение для коммерческого использования

Для дистанционных пользователей:

    • Интегрированное безопасное решение
    • Нет необходимости в дополнительном программном обеспечении
    • Простота конфигурирования

Для коллективных пользователей:

    • Экономически эффективное решение для дистанционных пользователей и филиалов
    • Совместимость с решениями большинства поставщиков решений для виртуальных частных сетей.

Существует две разновидности протокола IPSec: ESP (Encapsulation Security Payload, инкапсуляция защищенных данных) и AH (Authentication Header, Аутентифицирующий заголовок). ESP и AH - новые протоколы IP. О том, что пакет является пакетом ESP, говорит значение в поле протокола заголовка IP, равное 50, а для пакета AH - равное 51.

В пакетах ESP и AH между заголовком IP (IP header) и данными протокола верхнего уровня вставляется заголовок ESP/AH (ESP/AH header).
ESP может обеспечивать как защиту данных, так и аутентификацию, а также возможен вариант протокола ESP без использования защиты данных или без аутентификации. Однако, невозможно использовать протокол ESP одновременно без защиты данных и без аутентификации, поскольку в данном случае безопасность не обеспечивается. При осуществлении защиты передаваемых данных заголовок ESP не защищен, но защищены данные протокола верхнего уровня и часть трейлера ESP.
А в случае аутентификации производится аутентификация заголовка ESP, данных протокола верхнего уровня и части трейлера ESP.
Хотя протокол AH может обеспечивать только аутентификацию, она выполняется не только для заголовка AH и данных протокола верхнего уровня, но также и для заголовка IP.

Протоколы семейства IPSec могут использоваться для защиты либо всех полезных данных IP-пакета, либо данных протоколов верхнего уровня в поле полезных данных IP-пакета. Это различие определяется выбором двух различных режимов протокола IPSec: транспортного режима или туннельного режима.
Транспортный режим в основном используется хостом IP для защиты генерируемых им самим данных, а туннельный режим используется шлюзом безопасности для предоставления услуги IPSec другим машинам, не имеющим функций IPSec. Однако функции хоста IPSec и шлюза безопасности могут выполняться одной и той же машиной. Оба протокола IPSec, AH и ESP, могут выполняться в транспортном или туннельном режиме.


 

SSL VPN

SSL (Secure Socket Layer) протокол защищенных сокетов, обеспечивающий безопасную передачу данных по сети Интернет. При его использовании создается защищенное соединение между клиентом и сервером.

SSL использует защиту данных с открытым ключом для подтверждения подлинности передатчика и получателя. Поддерживает надёжность передачи данных за счёт использования корректирующих кодов и безопасных хэш-функций.

SSL использует RC4, MD5, RSA и другие алгоритмы защиты данных.
SSL использует два ключа для защиты данных - открытый ключ и закрытый или частный ключ известный только получателю сообщения.

На сегодняшний день, в сети Интернет можно встретить множество сайтов на которых используется протокол SSL для обеспечения безопасности пользовательских данных (например, веб-сайты предоставляющие коммерческие и банковские сервисы). Практически все самые популярные браузеры, почтовые клиенты и интернет-приложения поддерживают работу с протоколом SSL. Для доступа к страницам, защищённым протоколом SSL, в URL вместо обычного префикса http, как правило, применяется префикс https (порт 443), указывающий на то, что будет использоваться SSL-соединение.
SSL также может обеспечить защиту протоколов прикладного уровня (уровень 7 модели OSI), например, таких как POP3 или FTP. Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат. 
Безопасное соединение между клиентом и сервером при использовании SSL выполняет две функции - аутентификацию и защиту данных.

SSL состоит из двух уровней. На нижних уровнях (уровни 4-5) многоуровневого транспортного протокола (например, TCP) он является протоколом записи и используется для инкапсуляции (то есть формирования пакета) различных протоколов. Для каждого инкапсулированного протокола он обеспечивает условия, при которых сервер и клиент могут подтверждать друг другу свою подлинность, выполнять защиту передаваемых данных и производить обмен ключами, прежде чем протокол прикладной программы начнет передавать и получать данные.

Преимущества протокола SSL:

    • Простота использования
    • Нет необходимости в дополнительном программном обеспечении
    • Безопасный удаленный доступ

SSL VPN оптимален для подключения удаленных пользователей к ресурсам локальной сети офиса через Интернет.

Источник

Свой собственный L2TP VPN / Блог компании RUVDS.com / Хабр

Покопавшись по просторам интернета в поисках софта для построения своего собственного VPN, постоянно натываешься на кучу гайдов связанных с неудобным в настройке и использовании OpenVPN, требующим проприетарного клиента Wireguard, только один SoftEther из всего этого цирка отличается адекватной реализацией. Но мы расскажем, так сказать, о нативной для Windows реализации VPN – Routing And Remote Access (RRAS).

По странной причине, никто ни в одном гайде не написал про то, как это все развернуть и как включить на нем NAT,  поэтому мы сейчас все исправим и расскажем, как сделать свой собственный VPN на Windows Server.

Ну а уже готовый и преднастроенный VPN можно заказать из нашего маркетплейса, он кстати работает из коробки.



1. Устанавливаем службы


Сначала, нам понадобится Windows Server Desktop Experience. Установка Core нам не подойдет, ибо отсутствует компонент NPA. Если компьютер будет членом домена, можно остановиться и на Server Core, в таком случае все это дело можно уложить в гигабайт ОЗУ.

Нам нужно установить RRAS и NPA (Network Policy Server). Первый нам понадобится для создания туннеля, а второй нужен в случае если сервер не является членом домена.

В выборе компонентов RRAS выбираем Direct access and VPN и Routing.

2. Настраиваем RRAS


После того, как мы установили все компоненты и перезагрузили машину, нужно приступить к настройке. Как на картинке, в пуске, находим диспетчер RRAS.

Через эту оснастку мы можем управлять серверами с установленным RRAS. Жмем правой кнопкой мыши, выбираем настройку и переходим.

Пропустив первую страницу переходим к выбору конфигурации, выбираем свою.

На следующей странице нам предлагается выбрать компоненты, выбираем VPN и NAT.

Далее, далее. Готово.

Теперь нужно включить ipsec и назначить пул адресов, который будет использовать наш NAT. Жмем правой кнопкой мыши по серверу и переходим в свойства.

Первым делом вводим свой пароль для l2TP ipsec.

На вкладке IPv4 обязательно нужно установить выдаваемый клиентам диапазон ip адресов. Без этого NAT не заработает.

Теперь осталось добавить интерфейс за NAT. Переходим в подпункт IPv4, жмем правой кнопкой мыши по пустому месту и добавляем новый интерфейс.

На интерфейсе (тот который не Internal) включаем NAT.

3. Разрешаем правила в брандмауэре


Тут все просто. Нужно найти группу правил Routing and Remote Access и включить их всех.

4. Настраиваем NPS


Ищем в пуске Network Policy Server.

В закладках, где перечислены все политики, нужно включить обе стандартные. Это разрешит всем локальным пользователям подключение к VPN.

5. Подключаемся по VPN


Для демонстрационных целей выберем Windows 10. В меню пуск ищем VPN.

Жмем на кнопку добавления подключения и переходим в настройки.

Имя подключения задавайте какое вам хочется.
IP адрес – это адрес вашего VPN сервера.
Тип VPN – l2TP с предварительным ключом.
Общий ключ – vpn (для нашего образа в маркетплейсе.)
А логин и пароль — это логин и пароль от локального пользователя, то есть от администратора.

Жмем на подключение и готово. Вот и ваш собственный VPN готов.

Надеемся, наш гайд даст еще одну опцию тем, кто хочет сделать свой собственный VPN не связываясь с Linux или просто хочет добавить шлюз в свою AD.

Lab and fun!: MPLS L2VPN VPLS

Концепция VPLS умещается в пару строк и в состоянии предоставить клиенту виртуальную Ethernet сеть. В таком случае, сеть провайдера для абонента выглядит как один большой коммутатор. Этот коммутатор, как и любой другой, может понимать теги VLAN, обычно такой коммутатор знает что делать с двумя тегами VLAN (QinQ) или, скажем, умеет VLAN трансляцию. Более того, "большой коммутатор" может даже участвовать в клиентском STP или быть членом Link Aggregation Group. Об этом я напишу в посте про обеспечение отказоустойчивости в MPLS.


Трафик в MPLS сети проходит ряд довольно очевидных этапов. Рассмотрим простой пример, когда в только что сконфигурированной VPLS сети побежал первый пакет.
  1. Клиент A решает отправить Ethernet-кадр клиенту B.
  2. Клиент А отправляет ARP-запрос на широковещательный адрес сети.
  3. Этот запрос идет по сети абонента и рано или поздно покидает CE1. Допустим кадр имеет всего одну метку VLAN 30.
  4. Запрос доходит до PE1 маршрутизатора, который по метке 30 понимает, что это трафик для сервиса VPLS 300.
  5. PE1 отбрасывает метку 30 и отдает трафик на инспекцию VSI.
  6. VSI записывает исходящий MAC-адрес в таблицу FDB и осознает, что это broadcast трафик, он должен быть направлен в сторону всех возможных получателей, которые находятся за PE2 и PE3.
  7. PE1 отправляет трафик через установленные pseudowire в сторону PE2 и PE3, для этого он:
  • Сверху трафика (с которого он снял метку VLAN30) лепит pseudowire метку, которую он согласовал с PE2
  • Сверху лепит ещё одну транспортную метку, которая используется в ядре (PSN) и отправляет кадр в сторону PE2.
  • Тоже самое он делает и для PE3.
  • PE2 получив такой кадр, отбрасывает первую транспортную метку (потому что он является выходящей точкой из туннеля), видит ещё метку, отбрасывает вторую метку (потому как PE2 является выходом из pseudowire).
  • PE2 отдает трафик VSI.
  • VSI изучает MAC адрес компьютера А, понимает, что это broadcast кадр и он должен быть отправлен только в сторону клиента, здесь действует split horizon правило (PE2 не будет отправлять этот трафик в pseudowire до PE3)
  • Попадая на порт в сторону CE21, роутер в соответствии с настройками точки подключения вешает на кадр метку 30 и ещё одну метку 300 (абонент так захотел, что сказать).
  • Попадая на порт в сторону CE22, роутер отдает трафик нетегированным.
  • Аналогичный кадр попадает и на PE3. Он так же снимает все метки, консультируется с VSI и понимает, что трафик должен быть отправлен в сторону клиентов. Таковых, увы, нет на PE3 и трафик просто сбрасывается, обратно в pseudowire туннели он не уйдет.
  • Трафик рано или поздно доходит до устройств B и С. Последний просто игнорирует его, а устройство В отвечает ARP-ответом.
  • Конечно, непонятно зачем VPLS300 вообще настроен на PE3 раз на нем нет клиентов. Допустим, подключение будет сегодня ) Вот как-то так дела обстоят с обычным ARP-запросом. Конечно же, можно вообще абсолютно прозрачно передавать трафик абонента не обращая внимания ни на какие тэги VLAN. В таком случае, весь трафик абонента вместе с тегами будет ходить от одной точки подключения к другой.

    Hierarchical VPLS

    Везде где есть топология каждый с каждым есть проблема с огромным количеством "линков", посчитать которые можно формулой n(n-1)/2. В итоге была придумана концепция H-VPLS, которая немного сокращала число линков частично избавляя от full mesh топологии.

    По сути, H-VPLS чисто технически отличается от обычного VPLS только введением нового типа pseudowire, который называется "spoke pseudowire". Этот тип отличается от обычного pseudowire туннеля в VPLS лишь отсутствием split horizon правила.

    В обычном VPLS, трафик из pseudowire ("mesh pseudowire") не может быть отправлен в другую "mesh pseudowire". В H-VPLS, таковых ограничений нет, трафик из spoke pseudowire может быть отправлен в другую spoke pseudowire, в точку подключения абонента или в mesh pseudowire. В общем, если придерживаться визуализации с коммутатором и проводами, то mesh-pseudowire подключена к этому виртуальному коммутатору обычным проводом в порт, который действует как порт на обычном коммутаторе. А вот порт в который подключен mesh pseudowire туннель имеет на себе ряд ограничений в виде split horizon.

    Наверное, на примерах будет понятнее. Рассмотрим сеть, в которой введен иерархический дизайн. Все PE маршрутизаторы теперь не обязаны иметь pseudowire до каждого другого PE.
    Теперь среди PE выбрано три hub-PE, которые агрегируют spoke pseudowire туннели с spoke PE. Все hub-PE по прежнему имеют pseudowire-подключения по принципу каждый с каждым. Все pseudowire в ядре настроены как mesh pseudowire, что инструктирует VSI придерживаться правила split horizon в отношении таких туннелей. Трафик пришедший из такого туннеля не может быть отправлен в другой такой же. Это обеспечивает более ровное распределение трафика в ядре, неплохую отказоустойчивость и защиту от колец/петель.

    Все spoke-PE теперь подключены всего одним spoke pseudowire к ближайшему hub-PE. Это существенно уменьшает количество туннелей, упрощает настройку, в случае добавления нового spoke-PE, ну и отказоустойчивость, конечно, чуть страдает (об этом как-нибудь в другой раз). Hub-PE имеет spoke pseudowire в сторону абонентов и mesh pseudowire в сторону ядра. Spoke pseudowire направлены в сторону абонентов и VSI не применяет правило split horizon на них. Т.е. трафик пришедший к hub-PE из одной spoke pseudowire вполне может быть отправлен в другую spoke pseudowire. Это штатный случай.

    Ясно, что защита от петель тут достигается нормальным дизайном и правильной конфигурацией. Наряду со страдающей отказоустойчивостью, выбор между H-VPLS и обычным VPLS всегда вопрос баланса.

    Определение spoke или mesh pseudowire носит локальный характер, по сути это всего лишь соответствуюшая настройка VSI, который выключает split horizon на spoke туннелях. Однако его можно включить назад, объединив несколько spoke pseudowire в группу. Таким образом получится некий аналог Private VLAN. Трафик из одной spoke pseudowire не будет передан в другую spoke pseudowire. Может быть клиент захотел такую топология, в которой его офисы не должны общаться напрямую, а весь трафик должен проходить через его центральный офис, в котором стоит файервол.

    Spoke pseudowire используются и в другом случае, когда нужно соединить два VPLS домена с разграничением ответственности. Скажем у нас есть два VPLS домена, которые по каким-то причинам управляются разными отделами/компаниями. В таком случае, выбираются некие "пограничные" PE роутеры, которые соединяются с помощью spoke pseudowire между собой. В итоге из одного VPLS домена не видно топологию другого VPLS домена. Весь трафик приходит через один spoke pseudowire. Если нужно отправить трафик клиенту в другой VPLS домен, то выбор прост и очевиден, отправляем трафик в spoke pseudowire и все.

    Вообще, имея сеть с MPLS для каждого клиента можно и, в некоторых случаях, даже нужно выбирать подходящую топологию под каждого абонента. Для кого-то будет лучше строить обычный VPLS (если мало точек подключения и критично "качественное" прохождение трафика), для кого-то нужно строить H-VPLS (точек много, но оптимальность прохождения трафика не так важна).

    Пока все.
    Хотя нет, не все.

    Возможно, читая все эти многобуквы, у вас возникло чувство некоего дискомфорта в душе. И это абсолютно правильно, ведь все приходится настраивать руками... Фу... Сначала нужно настроить PSN туннели (GRE, LDP, RSVP-TE), потом поверх них нужно настроить pseudowire туннели, сконфигурировать на каждой ноде VSI сущность. Все это можно автоматизировать с помощь...

    BGP-Auto Discovery (BGP AD)

    Принцип использования MG-BGP в L2VPN VPLS примерно такой же как и в L3VPN VPRN. Настроив на каждом PE роутере BGP-AD, мы получаем возможность динамически добавлять в определенный VPLS определенные ноды, поднимать транспортные (PSN) туннели согласно определенным шаблонам и затем сигнализировать по другим шаблонам pseudowire до нужных PE через них. Короче, все круто. Обычно, есть ряд ограничений связанных с использование с BGP-AD. Тот же Алкатель, к примеру, не может сигнализировать PSN использую RSVP-TE, поэтому их главная рекомендация - настраивать необходимые PSN руками, а BGP-AD уже будет создать psewdowire по шаблонам.

    BGP AD оперирует двумя сущностями Route Target(RT) и Route Distiguisher(RD). С помощью настроенного импорта/экспорта этих значений в VPLS, мы можем строить различные VPLS топологии. 

    Если вы хоть раз сталкивались с RT и RD, то вы точно знаете, что тема их различия у многих вызывает конфуз. На столько у многих, что даже в некоторых учебных материалах просто игнорируют эту тему. Было у меня как-то собеседование, на котором я начал хвалится своими рыгалиями, на что интервьювер отреагировал примерно так:"Это все понятно. А вот в чем отличие RT от RD, вы знаете?".

    Если очень кратко отвечать на этот вопрос и не вдаваться в технические подробности, например, какое значение передается в extended community, а что в NLRI, то:

    • Route Distinguisher (RD) - значение, которое использует BGP для того чтобы сделать все маршруты (NLRI) в сети уникальными. Получая NLRI, BGP добавляет к нему RD для того чтобы получить уникальный NLRI. Пример из L3VPN, есть у BGP префикс 192.168.0.0/24, который пришел от клиента. Есть такой же префикс, который пришел от другого клиента. BGP добивает к ним RD в соответствии с тем, из какого VPN пришли префиксы, и получаем две уникальных сущности 65000:1:192.168.0.0/24 и 6500:2:192.168.0.0/24. RD - имеет локальный характер.
    • Route Target (RT) - даже из названия понятно, что у RT совсем не локальный характер. Это некая метка для удаленного устройства, с помощью которой он решит в какой VPN засунуть маршрут. Манипулирую с импортом/экспортом различных значений RT, мы можем строить причудливые топологии в L2 и L3 VPN.

    Допустим, у нас есть сеть из четырех маршрутизаторов, на каждом настроен BGP-AD c VPLS100. Мы хотим построить типичную hub-and-spoke топологию. R1 должен иметь связность с R2, R3 и R4, которые должны общаться только через центральную ноду R1. Сделать мы это можем с помощью манипулирования с RT, импорта и экспорта его в VPLS инстанс.


    Нода R1 экспортирует из VPLS RT 65000:1 и импортирует в него RT 65000:2, 65000:3, 65000:4

    Нода R2 экспортирует из VPLS RT 65000:2 и импортирует в него RT 65000:1

    Нода R3 экспортирует из VPLS RT 65000:3 и импортирует в него RT 65000:1

    Нода R4 экспортирует из VPLS RT 65000:4 и импортирует в него RT 65000:1

    Таким образом, когда по сети разойдутся BGP апдейты, R2 увидит необходимость построить pseudowire до R1, аналогично R2 и R3. А к R1 придут сообщения с RT 65000:2 от R2, 65000:3 от R3 и 65000:4 от R4, что говорит ему построить pseudowire до них.

    Добавляя определенные RT в импорт или экспорт, мы получаем возможность строить различные топологии. Например, добавим ещё один роутер R5. Путь этот роутер должен построить pseudowire до R1 и R2. Ок. Пусть он экспортит RT 65000:5 и импортит RT 65000:1 и 65000:2. На нодах R1 и R2 нужно добавить 65000:5 на импорт и соответсвубщие pseudowire сигнализируются.

    Тема MP-BGP сложна, многогранна и монструозна. Настоятельно рекомендую к прочтению статью по L3VPN от ребят из linkmeup.ru.


    Provider Backbone Bridge (PBB) 802.1ah

    Мы уже рассмотрели как в VPLS была решена проблема многочисленных pseudowire (H-VPLS) и необходимости ручной настройки (BGP-AD). Пришло время решить ещё одну проблему, которая связана с количеством MAC адресов в VPLS сети. Помним, что VSI на каждом роутере участвующим в VPLS изучает MAC-адреса клиентов. Количество их может быть довольно большим, если не сказать огромным, если провайдер предоставляет несколько сервисов VPLS большим клиентам.

    PBB придумывался как средство для уменьшения MAC-адресов в сети и позднее был добавлен в VPLS. В PBB есть два типа устройств:

    • Backbone Edge Brindge (BEB) - добавляет к клиентскому трафику ещё один заголовок, в котором содержится:
      • Instance TAG - позволяет идентифицировать клиента, по характеру похож на сервисную метку pseudowire в MPLS. В VPLS по I-TAG роутер понимает в какой VPLS инстанс засунуть трафик.
      • Backbone VLAN (B-VID) - VLAN тэг, который позволяет разделить PBB сеть на сегменты.
      • Backbone Source Address (B-SA) - MAC адрес источника в PBB сети
      • Backbone Destination Address (B-DA) - MAC адрес назначения в PBB сети
    • Backbone Brindge (BB) - коммутируют трафик глядя только на B-VID, B-SA и B-DA. Это позволяет существенно сократить FDB таблицу на BB устройствах.
    PBB - это такая Ethernet сеть для Ethernet сетей. В чем-то есть схожесть с MPLS или TRILL. Сама суть проста - к абонентскому трафику (а это может быть и QinQ, к примеру) добавляем ещё VLAN и пару MAC адресов, дальнейшая обработка трафика будет происходить по ним.

    Процесс адаптации PBB для VPLS просто убивает своей терминологией. Весь VPLS домен разделяется на две части. Одна часть смотрит в сторону клиента и носит название Edge Domain или Interface Domain (I-domain), вторая часть ассоциируется с ядром сети и носит название Backbone Domain (B-domain). Граница между доменами обычно проходит по hub-PE устройствам, которые агрегируют pseudowire c spoke-PE, которые уже подключены к клиенту. Такие hub-PE носят название IB-PE. На них настраивается фактически два VPLS инстанса с двумя разными VSI. Один (I-VPLS) подключен к обычной VPLS сети, где ещё бегают клиентские MACи, другой (B-VPLS) подключен в ядро, в котором коммутация происходит по новому заголовку. Все роутеры в ядре изучают только MAC адреса в новом заголовке. Есть и другой принцип, когда I-VPLS и B-VPLS располагаются на разных устройствах, но мы умеренно проигнорируем этот факт.

    Трафик по такой сети ходит довольно причудливо.

    1. Кадры от PE1 до ближайшего IB-PE1 ходят аналогично H-VPLS. Попадая на IB-PE, трафик сначала передается на VSI на I-VPLS инстанс. Тот изучает MAC клиента, смотрим в FDB и находит там (если ARP уже прошли) MAC адрес клиента, который "светится" со стороны  B-VPLS.
    2. I-VPLS производит PBB инкапсуляцию. На кадр навешивается ещё один заголовок, в качестве MAC адреса источника используется специальный сконфигурированный MAС, а в качестве назначения такой же специальный MAC со стороны IB-PE2. Далее трафик отправляется на B-VPLS в пределах одного устройства IB-PE1.
    3. VSI в B-VPLS изучает тот самый специальный MAC адрес со стороны I-VPLS, смотрит в свою FDB и видит, что адрес источника известен ему через pseudowure до IB-PE2. B-VPLS навешивает MPLS заголовки и отправляет трафик по pseudowire.
    4. IB-PE2 получает трафик, отбрасывате MPLS заголовки и передает кадры на B-VPLS. Тот изучает MAC (тот самый специальный), смотрит в FDB, находит там MAC назначения, который светится на I-VPLS и передает ему трафик по внутреннему линку.
    5. I-VPLS на IB-PE2 отбрасывает PBB заголовок, смотрит в FDB, находит там MAC адрес назначения (уже клиентский) и понимает, что надо отправить трафик в сторону PE2, уже "чистым" MPLSом.

    В итоге, обычный Ethernet-трафик клиента, допустим даже без тегов, проходя через MPLS ядро, претерпевает множество инкапсуляций. На него навешивается новый заголовок PBB, сервисная и транспортная метки, после чего трафик попадает в сеть, в которой на него могут быть навешены ещё метки в случае FRR, например.

    В ядре провайдера кадр будет выглядеть например так (часть полей не учитываем). Нарисуем HTML-табличку в стиле Web1.0...

    Хвост транспортного заголовка FCS
    Оригинальный кадр абонента Полезная нагрузка
    С-VID (если есть QinQ)
    S-VID (если есть QinQ)
    Source MAC address
    Destination MAC address
    PBB Instance TAG (I-TAG)
    Backbone Vlan ID (B-LID)
    Backbone Source Address (B-SA)
    Backbone Destination Address (B-DA)
    MPLS Service Label
    Transport Label
    FRR Bypass Tunnel Label
    Заголовок транспортного уровня Link Source Address
    Link Destination Address

    Вот теперь все... 90000 What Is L2TP (Layer 2 Tunneling Protocol)? 90001 90002 What Is L2TP? 90003 90004 L2TP stands for Layer 2 Tunneling Protocol, and it's - like the name implies - a tunneling protocol that was designed to support VPN connections. Funnily enough, L2TP is often employed by ISPs to allow VPN operations. 90005 90004 L2TP was first published in 1999. It was designed as a sort of successor to PPTP, and it was developed by both Microsoft and Cisco.The protocol takes various features from Microsoft's PPTP and Cisco's L2F (Layer 2 Forwarding) protocol, and improves on them. 90005 90002 How L2TP Works - The Basics 90003 90004 L2TP tunneling starts out by initiating a connection between LAC (L2TP Access Concentrator) and LNS (L2TP Network Server) - the protocol's two endpoints - on the Internet. Once that's achieved, a PPP link layer is enabled and encapsulated, and afterwards it's carried over the web. 90005 90004 The PPP connection is then initiated by the end-user (you) with the ISP.Once the LAC accepts the connection, the PPP link is established. Afterwards, a free slot within the network tunnel is assigned, and the request is then passed on to the LNS. 90005 90004 Lastly, once the connection is fully authenticated and accepted, a virtual PPP interface is created. At that moment, link frames can freely be passed through the tunnel. The frames are accepted by the LNS, which then removes the L2TP encapsulation and proceeds to process them as regular frames. 90005 90016 Some Technical Details About the L2TP Protocol 90017 90018 90019 L2TP is often paired up with IPSec in order to secure the data payload.90020 90019 When paired with IPSec, L2TP can use encryption keys of up to 256-bit and the 3DES algorithm. 90020 90019 L2TP works on multiple platforms, and is natively supported on Windows and macOS operating systems and devices. 90020 90019 L2TP's double encapsulation feature makes it rather secure, but it also means it's more resource-intensive. 90020 90019 L2TP normally uses TCP port 1701, but when it's paired up with IPSec it also uses UDP ports 500 (for IKE - Internet Key Exchange), 4500 (for NAT), and 1701 (for L2TP traffic).90020 90029 90004 The L2TP data packet structure is as follows: 90005 90018 90019 IP Header 90020 90019 IPSec ESP Header 90020 90019 UDP Header 90020 90019 L2TP Header 90020 90019 PPP Header 90020 90019 PPP Payload 90020 90019 IPSec ESP Trailer 90020 90019 IPSec Authentication Trailer 90020 90029 90002 How Does L2TP / IPSec Work? 90003 90004 Basically, here's a quick overview of how an L2TP / IPSec VPN connection takes place: 90005 90018 90019 The IPSec Security Association (SA - an agreement between two network devices on security attributes) is first negotiated.That is normally done through IKE and over UDP port 500. 90020 90019 Next, the Encapsulating Security Payload (ESP) process is established for the transport mode. This is done using IP protocol 50. Once ESP is established, a secure channel between the network entities (VPN client and VPN server, in this case) has been set up. However, for now, no actual tunneling is taking place. 90020 90019 That's where L2TP comes into play - the protocol negotiates and establishes a tunnel between the network endpoints.L2TP uses TCP port тисячі сімсот одна for that, and the actual negotiation process takes place within the IPSec encryption. 90020 90029 90002 What Is L2TP Passthrough? 90003 90004 Since an L2TP connection has to generally access the web through a router, L2TP traffic will need to be able to pass through said router in order for the connection to work. L2TP Passthrough is essentially a router feature that allows you to enable or disable L2TP traffic on it. 90005 90004 You should also know that - sometimes - L2TP does not work well with NAT (Network Address Translation) - a feature that ensures multiple Internet-connected devices that use a single network can use the same connection and IP address instead of multiple ones.That's when L2TP Passthrough comes in handy since enabling it on your router will allow L2TP to work well with NAT. 90005 90004 In case you'd like to learn more about VPN Passthrough, we have an article you might be interested in. 90005 90002 How Good Is L2TP Security? 90003 90004 While L2TP tunneling is generally considered an improvement over PPTP, it's very important to understand that L2TP encryption does not really exist on its own - the protocol does not use any. As a result, using only the L2TP protocol when you're online is not a smart move.90005 90074 90004 That's why L2TP is always paired up with IPSec, which is a pretty secure protocol. It can use powerful encryption ciphers like AES, and it also uses double encapsulation to further secure your data. Basically, the traffic is first encapsulated like a normal PPTP connection, and then a second encapsulation takes place courtesy of IPSec. 90005 90004 Still, it is worth mentioning that there have been rumours that L2TP / IPSec has been either cracked or intentionally weakened by the NSA.Now, there is not any clear proof to those claims, though they do come from Edward Snowden himself. So, it ultimately depends on whether or not you want to take his word for it. You should know that Microsoft has been the first partner of the NSA PRISM surveillance program, though. 90005 90004 In our personal opinion, L2TP / IPSec is a safe enough VPN protocol, but you should make sure you use a reliable, no-log VPN provider as well. Also, if you're dealing with very sensitive information, it's better to just use a more secure protocol instead or try out VPN cascading.90005 90002 How Fast Is L2TP? 90003 90004 On its own, L2TP would be considered very fast due to its lack of encryption. Of course, the downside of not having your connections secured is very serious, and should not be overlooked for the sake of speed. 90005 90004 As for L2TP / IPSec, the VPN protocol can offer decent speeds, though it's recommended to have a fast broadband connection (somewhere around or over 100 Mbps) and a fairly powerful CPU. Otherwise, you might see some drops in speed, but nothing too serious that would ruin your online experience.90005 90002 How Easy Is It to Set Up L2TP? 90003 90004 On most Windows and macOS devices, it's as simple as just going into your Network Settings, and following a few steps to establish and configure the L2TP connection. The same thing goes for the L2TP / IPSec VPN protocol - usually you might just have to change an option or two to select the IPSec encryption. 90005 90004 L2TP and L2TP / IPSec are pretty simple to set up manually on devices with no native support for them too. You might have to follow a few extra steps, but the whole setup process should not take you too long or require too much knowledge and effort.90005 90002 What Is an L2TP VPN? 90003 90004 Like the name implies, an L2TP VPN is a VPN service that offers users access to the L2TP protocol. Please be aware that you are not very likely to find a VPN provider who only offers access to L2TP on its own. Normally, you'll only see providers who offer L2TP / IPSec to make sure users 'data and traffic are secured. 90005 90004 Ideally, you should choose a VPN provider who offers access to multiple VPN protocols, though. Only being able to use L2TP on its own is usually a red flag, and just having access to L2TP / IPSec is not too bad, but there's no reason you should be limited only to it.90005 90002 L2TP Advantages and Disadvantages 90003 90101 Advantages 90102 90018 90019 L2TP can be paired up with IPSec to offer a decent level of online security. 90020 90019 L2TP is readily available on many Windows and macOS platforms since it's built into them. It also works on many other devices and operating systems too. 90020 90019 L2TP is fairly easy to set up, and that goes the same for L2TP / IPSec. 90020 90029 90101 Disadvantages 90102 90018 90019 L2TP has no encryption on its own.It must be paired with IPSec for proper online security. 90020 90019 L2TP and L2TP / IPSec have been allegedly weakened or cracked by the NSA - though, that's only according to Snowden, and there's no hard proof to back up that claim. 90020 90019 Due to its double encapsulation feature, L2TP / IPSec tends to be a bit resource-intensive and not extremely fast. 90020 90019 L2TP can be blocked by NAT firewalls if it's not further configured to bypass them. 90020 90029 90002 Need a Reliable L2TP VPN? 90003 90004 We've got just what you need - a high-end, high-speed VPN service that can offer you a smooth online experience with a well-configured and optimized L2TP / IPSec protocol.What's more, you can also choose from five other VPN protocols: OpenVPN, IKEv2 / IPSec, SoftEther, PPTP, SSTP. 90005 90004 And yes, our L2TP / IPSec VPN protocol comes built-in with our user-friendly VPN clients, so setting up a connection is extremely easy. 90005 90129 90016 Enjoy Top-Notch Security and Peace of Mind 90017 90004 We want to make sure you never have to worry about abusive surveillance and nasty cybercriminals on the Internet, which is why we made sure you will (depending on your operating system) either use AES-256 or AES-128 with our L2TP / IPSec protocol.90005 90004 Not only that, but we also follow a strict no-logging policy at our company, which means you never need to worry about anyone at CactusVPN knowing what you do online. 90005 90016 Give Our Service a Free Try First 90017 90004 Before checking out our subscriptions plans, why not test-drive our VPN service free of charge first? You do not need to provide any credit card info, and you can easily sign up with your social media profile. 90005 90004 That's not all - after you become a CactusVPN user, we'll still have you covered with our 30-day money-back guarantee if our VPN service does not work as advertised.90005 90004 Try CactusVPN for Free 90005 90002 L2TP vs. Other VPN Protocols 90003 90004 For all intents and purposes, we'll be comparing L2TP / IPSec to other VPN protocols in this section. L2TP on its own offers 0 security, which is why pretty much all VPN providers offer it alongside IPSec. So, when you normally see a VPN provider talking about the L2TP protocol and saying it offers access to it, they're actually referring to L2TP / IPSec. 90005 90016 L2TP vs. PPTP 90017 90004 For starters, L2TP offers superior security to PPTP (Point-to-Point Tunneling Protocol) due to IPSec.What's more, compared to PPTP's 128-bit encryption, L2TP offers support for 256-bit encryption. Also, L2TP can use extremely secure ciphers like AES (military-grade encryption), while PPTP is stuck with MPPE which is not as safe to use. 90005 90004 In terms of speed, PPTP tends to be much faster than L2TP, but it losses to the L2TP protocol when it comes to stability since PPTP is very easy to block with firewalls. Since L2TP runs over UDP, it's more elusive. Also, a VPN provider can tweak the protocol even more to make sure it is not blocked by NAT firewalls.90005 90004 Lastly, there's also the fact that PPTP was solely developed by Microsoft (a company that's known to leak sensitive data to the NSA), while L2TP was developed by Microsoft working together with Cisco. For that reason, some users consider L2TP as being more secure and trustworthy. Furthermore, PPTP is known to have been cracked by the NSA, while L2TP has only allegedly been cracked by the NSA (not yet proven). 90005 90004 All in all, you should know that L2TP is considered the improved version of PPTP, so you should always pick it over that protocol.90005 90004 In case you'd like to read more about the PPTP VPN protocol, feel free to check out this article. 90005 90016 L2TP vs. IKEv2 90017 90004 It's worth mentioning that IKEv2 is a tunneling protocol that's based on IPSec, so you'll often see VPN providers talking about IKEv2 / IPSec when they refer to IKEv2. So, you normally get to enjoy the same level of security with IKEv2 that you get with L2TP - the only big difference being that there are not any rumors from Snowden that IKEv2 was weakened by the NSA.90005 90004 Besides that, IKEv2 is far more reliable than L2TP when it comes to stability, and it's all thanks to its Mobility and Multihoming protocol (MOBIKE) that allows the protocol to resist network changes. Basically, with IKEv2, you can freely switch from a WiFi connection to your data plan without needing to worry about the VPN connection going down. IKEv2 can also automatically resume working after a sudden interruption of your VPN connection (like a power outage, for example). 90005 90004 While IKEv2 was also developed by Microsoft together with Cisco, another reason many people prefer it over the L2TP protocol is because there are open-source versions of IKEv2, making it more trustworthy.90005 90004 If you'd prefer to learn more about IKEv2, please check out this article. 90005 90016 L2TP vs. OpenVPN 90017 90004 Both protocols offer a decent level of security, but OpenVPN is considered the superior choice because it's open-source, it uses SSL 3.0, and can be configured to offer extra protection. The downside to all that extra security is lower connection speeds. OpenVPN is normally slower than L2TP, though results might be a bit different if you use OpenVPN on UDP.90005 90004 However, when it comes to stability, L2TP takes a backseat because of its use of limited ports. Simply put, the protocol can be blocked by NAT firewalls - unless it's properly configured (which can be an extra hassle if you're not experienced enough). OpenVPN, on the other hand, can essentially use any port it wants - including port 443, the port reserved for HTTPS traffic. That means it's very difficult for any ISP or network admin to block OpenVPN with a firewall. 90005 90004 As for availability and setup, OpenVPN does work on many platforms, but it's not exactly natively available on them like L2TP is.As a result, it's usually going to take you much longer to set up an OpenVPN connection on your device than an L2TP connection. Luckily, if you use a VPN that offers OpenVPN connections, you do not need to do much since everything is already set up for you. 90005 90004 Want to find out more about OpenVPN? Follow this link then. 90005 90016 L2TP vs. SSTP 90017 90004 Like OpenVPN, SSTP (Secure Socket Tunneling Protocol) uses SSL 3.0 and can use port 443. So, it's more secure than L2TP, and it's also harder to block with a firewall.SSTP is developed by Microsoft alone, so - in that regard - L2TP might be a bit more trustworthy because Cisco was involved in its development process. 90005 90004 Regarding speed, SSTP is often considered to be faster than L2TP because no double encapsulation takes place. But when it comes to cross-platform compatibility, L2TP fares better because SSTP is only built-in on Windows operating systems, and it can be also set up on: 90005 90004 L2TP, on the other hand, is available on many other platforms, and it's also built-in in most of them.So, setting up the VPN protocol is also easier. 90005 90004 Overall, if you were to choose between SSTP and L2TP, you'd be better off with SSTP. If you'd like lt learn more about that protocol, follow this link. 90005 90016 L2TP vs. Wireguard 90017 90004 Wireguard is a very new VPN protocol whose main purpose is to apparently replace IPSec. As a result, Wireguard is supposed to be much more secure than L2TP - especially since it's open-source and only uses a single cryptographic suite (meaning it might have less security holes).It's also claimed to be faster and lighter. 90005 90004 But for the moment, we still recommend using L2TP over Wireguard - given that Wireguard just works on Linux for now, and it's still in its experimental phase. Therefore, it is not a secure protocol for now due to its high instability rate. 90005 90004 Still, if you'd like to learn more about Wireguard, follow this link. 90005 90016 L2TP vs. SoftEther 90017 90004 Like L2TP, SoftEther can also use a 256-bit encryption key and an encryption cipher as strong as AES.But SoftEther goes the extra mile - it's also open-source, it uses SSL 3.0, and it's also very stable. In fact, SoftEther is often considered a good alternative to OpenVPN. 90005 90004 What's more, here's a very interesting thing about SoftEther - it's both a protocol and a VPN server. And the VPN server can actually support the L2TP / IPSec protocol, alongside many others: 90005 90018 90019 IPSec 90020 90019 OpenVPN 90020 90019 SSTP 90020 90019 SoftEther 90020 90029 90004 That's the kind of thing you will not get with an L2TP VPN server.90005 90004 In terms of speed, you're better off with SoftEther. Despite its high security, the protocol is also shown to be very fast. According to its developers, it all has to do with the fact that SoftEther was programmed with high-speed throughput in mind, while a protocol like L2TP that's based on PPP was built with narrowband telephone lines in mind. 90005 90004 L2TP seems to shine when it comes to the setup process, though. While SoftEther does work on almost as many platforms as L2TP does, it's harder to set up.Since it's a software-based solution, you'll also have to download and install SoftEther software on your device - yes, even if you use a VPN provider who offers the SoftEther protocol. 90005 90004 In case you're interested in reading more about SoftEther, we've already got an article on that topic. 90005 90016 L2TP vs. IPSec 90017 90004 We're saving this comparison for last since it's a bit unusual. Still, since there are VPN providers who offer access only to IPSec as a protocol, we thought some of you might be interested in seeing how L2TP compares to it on its own.90005 90004 For starters, IPSec offers online security compared to L2TP, which does not provide any encryption on its own. Also, IPSec is much harder to block with a firewall than L2TP because it's able to encrypt data without any end application being aware of it. 90005 90004 On the other hand, L2TP can transport protocols other than IP, while IPSec can not do that. 90005 90004 In terms of L2TP / IPSec vs. IPSec, the security is pretty similar, but L2TP / IPSec might be a bit more resource-intensive and less speedy because of the additional encapsulation that adds an extra IP / UDP packet and an L2TP header.90005 90004 Want to learn more about IPSec? Feel free to check out out article on it. 90005 90016 So Then, Is L2TP a Good VPN Protocol? 90017 90004 As long as L2TP is used with IPSec, it makes for a pretty secure protocol - depending on how you view Snowden's accusations and claims, though. It's not the fastest protocol out there due to its double encapsulation feature, but it's rather stable and it works on multiple operating systems and devices. 90005 90002 In Conclusion - What Is L2TP? 90003 90004 L2TP (Layer 2 Tunneling Protocol) is a VPN tunneling protocol that is considered to be an improved version of PPTP.As it has no encryption, L2TP is often used alongside IPSec. So, you'll mostly see VPN providers offering access to L2TP / IPSec, not L2TP on its own. 90005 90004 L2TP / IPSec is fairly safe to use, though it's worth mentioning that there have been claims the protocol was cracked or weakened by the NSA. In terms of speed, L2TP is not too bad, but you might experience slower connection speeds due to the protocols double encapsulation feature. As for availability, L2TP works natively on many Windows and macOS platforms, and is pretty easy to configure on other devices and operating systems too.90005 90004 Overall, L2TP / IPSec is a decent VPN protocol, but we recommend choosing a VPN provider who offers a selection of multiple VPN protocols besides L2TP if you want a truly secure online experience. 90005 .90000 What Is IKEv2? (Your Guide to the IKEV2 VPN Protocol) 90001 90002 What Is IKEv2? 90003 90004 IKEv2 (Internet Key Exchange version 2) is a VPN encryption protocol that handles request and response actions. It makes sure the traffic is secure by establishing and handling the SA (Security Association) attribute within an authentication suite - usually IPSec since IKEv2 is basically based on it and built into it. 90005 90004 IKEv2 was developed by Microsoft together with Cisco, and it's the successor to IKEv1.90005 90008 Here's How IKEv2 Works 90003 90004 Like any VPN protocol, IKEv2 is responsible for establishing a secure tunnel between the VPN client and the VPN server. It does that by first authenticating both the client and the server, and then agreeing on which encryption methods will be used 90005 90004 We already mentioned that IKEv2 handles the SA attribute, but what is SA? Simply put, it's the process of establishing security attributes between two network entities (in this case, the VPN client and the VPN server).It does that by generating the same symmetric encryption key for both entities. Said key is then used to encrypt and decrypt all the data that travels through the VPN tunnel. 90005 90014 General Technical Details About IKEv2 90015 90016 90017 IKEv2 supports IPSec's latest encryption algorithms, alongside multiple other encryption ciphers. 90018 90017 Generally, the IKE daemon (a program that runs as a background process) runs in the user space (system memory dedicated to running applications) while the IPSec stack runs in kernel space (the core of the operating system).That helps boost performance. 90018 90017 The IKE protocol uses UDP packets and UDP port 500. Normally, four to six packets are necessary for creating the SA. 90018 90017 IKE is based on the following underlying security protocols: 90016 90017 ISAKMP (Internet Security Association and Key Management Protocol) 90018 90017 SKEME (Versatile Secure Key Exchange Mechanism) 90018 90017 OAKLEY (Oakley Key Determination Protocol) 90018 90031 90018 90017 The IKEv2 VPN protocol supports MOBIKE (IKEv2 Mobility and Multihoming Protocol), a function that allows the protocol to resist network changes.90018 90017 IKEv2 supports PFS (Perfect Forward Secrecy). 90018 90017 While IKEv2 was developed by Microsoft together with Cisco, there are open-source implementations of the protocol (like OpenIKEv2, Openswan, and strongSwan). 90018 90017 IKE uses X.509 certificates when it handles the authentication process. 90018 90031 90008 IKEv1 vs. IKEv2 90003 90004 Here's a list of the main differences between IKEv2 and IKEv1: 90005 90016 90017 IKEv2 offers support for remote access by default thanks to its EAP authentication.90018 90017 IKEv2 is programmed to consume less bandwidth than IKEv1. 90018 90017 The IKEv2 VPN protocol uses encryption keys for both sides, making it more secure than IKEv1. 90018 90017 IKEv2 has MOBIKE support, meaning it can resist network changes. 90018 90017 IKEv1 does not have built-in NAT traversal like IKEv2 does. 90018 90017 Unlike IKEv1, IKEv2 can actually detect if a VPN tunnel is "alive" or not. That feature allows IKEv2 to automatically re-establish a dropped connection. 90018 90017 IKEv2 encryption supports more algorithms than IKEv1.90018 90017 IKEv2 offers better reliability through improved sequence numbers and acknowledgements. 90018 90017 The IKEv2 protocol will first determine if the requester actually exist before proceeding to perform any actions. Because of that, it's more resistant to DoS attacks. 90018 90031 90002 Is IKEv2 Secure? 90003 90004 Yes, IKEv2 is a protocol that's safe to use. It supports 256-bit encryption, and can use ciphers like AES, 3DES, Camellia, and ChaCha20. What's more, IKEv2 / IPSec also supports PFS + the protocol's MOBIKE feature makes sure your connection will not be dropped when changing networks.90005 90004 Another thing worth mentioning is that IKEv2's certificate-based authentication process makes sure that no action is taken until the identity of the requester is determined and confirmed. 90005 90004 Also, it's true that Microsoft worked on IKEv2, and that's not a very trustworthy corporation. However, they did not work on the protocol alone, but together with Cisco. Also, IKEv2 is not completely closed-source since open-source implementations of the protocol exist. 90005 90004 Still, we should address three security-related issues regarding IKEv2 / IPSec: 90005 90014 1.Password Issues 90015 90004 Back in 2018, some research came to light that highlighted the potential security weaknesses of both IKEv1 and IKEv2. The IKEv1 problems should not really concern you as long as you do not use the protocol. As for the IKEv2 issue, it seems that it could be relatively easily hacked if the login password that is used by it is weak. 90005 90004 Still, that normally is not a huge security concern if you are using a strong password. The same can be said if you are using a third-party VPN service since they'll be handling the IKEv2 login passwords and authentication on your behalf.As long as you choose a decent, secure provider, there should be no problems. 90005 90014 2. NSA Exploitation of ISAKMP 90015 90004 The German magazine 90085 Der Spiegel 90086 released leaked NSA presentations that claimed the NSA was able to exploit IKE and ISAKMP to decrypt IPSec traffic. In case you did not know, ISAKMP is used by IPSec to implement VPN service negotiations. 90005 90004 Unfortunately, the details are a bit vague, and there's no exact way to guarantee that the presentations are valid.In case you're very worried about this issue, you should avoid setting up the connection on your own and instead get an IKEv2 connection from a reliable VPN provider who uses powerful encryption ciphers. 90005 90014 3. Man-in-the-Middle Attacks 90015 90004 It seems that IPSec VPN configurations that are intended to allow multiple configurations to be negotiated could potentially be subjected to downgrade attacks (a type of Man-in-the-Middle attacks). That can happen even if IKEv2 is used instead of IKEv1.90005 90004 Luckily, the problem can be avoided if stricter configurations are used, and if the client systems are carefully segregated on multiple service access points. What that means in English is that if the VPN provider does its job right, you should not have to worry about this. 90005 90002 Is IKEv2 Fast? 90003 90004 Yes, IKEv2 / IPSec offers decent online speeds. In fact, it's one of the fastest VPN protocols that are available to online users - potentially even as fast as PPTP or SoftEther.And that's all thanks to its improved architecture and efficient response / request message exchange process. Also, the fact that it runs on UDP port 500 ensures there is low latency. 90005 90004 Better yet, due to its MOBIKE feature, you do not need to worry about IKEv2 'speeds going down or being interrupted when you change networks. 90005 90008 IKEv2 Advantages and Disadvantages 90003 90104 Advantages 90105 90016 90017 IKEv2 security is quite strong since it supports multiple high-end ciphers.90018 90017 Despite its high security standard, IKEv2 offers fast online speeds. 90018 90017 IKEv2 can easily resist network changes due to its MOBIKE support, and can automatically restore dropped connections. 90018 90017 IKEv2 is natively available on BlackBerry devices, and can be configured on other mobile devices too. 90018 90017 Setting up an IKEv2 VPN connection is relatively simple. 90018 90031 90104 Disadvantages 90105 90016 90017 Since IKEv2 only uses UDP port 500, a firewall or network admin could block it.90018 90017 IKEv2 does not offer as much cross-platform compatibility like other protocols (PPTP, L2TP, OpenVPN, SoftEther). 90018 90031 90008 What Is IKEv2 VPN Support? 90003 90004 IKEv2 VPN support is basically when a third-party VPN provider offers access to IKEv2 / IPSec connections through its service. Fortunately, more and more VPN providers have started recognizing how important this protocol is to mobile users, so you're more likely to find services that offer IKEv2 connections now than before.90005 90004 Still, we do recommend choosing a VPN provider who offers access to multiple VPN protocols. While IKEv2 / IPSec is a great protocol on mobile, it does not hurt to have a decent backup (like OpenVPN or SoftEther) when you're using other devices at home 90005 90008 Need an IKEv2 VPN You Can Rely on? 90003 90004 CactusVPN is just the service you need. We offer high-speed IKEv2 / IPSec connections that are secured with AES, 256-bit NIST Elliptic Curve, SHA-256, and RSA-2048.What's more, we protect your privacy by not logging any of your data, and our service comes equipped with DNS leak protection and a Killswitch too 90005 90004 Besides that, you should know that IKEv2 will not be the only option at your disposal. We also offer access to other VPN protocols: OpenVPN, SoftEther, SSTP, L2TP / IPSec and PPTP. 90005 90014 Set Up an IKEv2 Connection With Extreme Ease 90015 90004 You can set up an IKEv2 / IPSec tunnel with just a few clicks if you use CactusVPN.We offer multiple cross-platform compatible clients which are very user-friendly. 90005 90142 90014 Try Our Services for Free Right Now 90015 90004 Interested in seeing what CactusVPN can do for you? Why not try out our free 24-hour trial first? You do not need to give out any credit card details, and you can easily sign up with your social media info. 90005 90004 Plus, once you do become a CactusVPN user, you'll be happy to know that we offer a 30-day money-back guarantee if the service does not work as advertised.90005 90004 Try CactusVPN for Free 90005 90008 IKEv2 vs. Other VPN Protocols 90003 90004 Before we start, we should mention that when we'll be discussing IKEv2 in this section, we'll be referring to IKEv2 / IPSec since that's the protocol VPN providers generally offer. Also, IKEv2 can not normally be used on its own since it's a protocol built within IPSec (which is why it's paired up with it). With that out of the way, let's begin: 90005 90014 1. IKEv2 vs. L2TP / IPSec 90015 90004 Both L2TP and IKEv2 are generally paired up with IPSec when they're offered by VPN providers.That means they tend to offer the same level of security. Still, while L2TP / IPSec is closed-source, there are open-source implementations of IKEv2. That, and Snowden has claimed that the NSA have weakened L2TP / IPSec, though there's no real evidence to back that claim up. 90005 90004 IKEv2 / IPSec is faster than L2TP / IPSec since L2TP / IPSec is more resource-intensive due to it double encapsulation feature, and also takes longer to negotiate a VPN tunnel. And while both protocols pretty much use the same ports due to being paired up with IPSec, L2TP / IPSec might be easier to block with a NAT firewall since L2TP tends to sometimes not work well with NAT - especially if L2TP Passthrough is not enabled on the router.90005 90004 Also, while we're on the topic of stability, it should be mentioned that IKEv2 is far more stable than L2TP / IPSec since it can resist network changes. Basically, that means you can switch from a WiFi connection to a data plan connection without the IKEv2 connection going down. Not to mention that even if an IKEv2 connection goes down, it's restored immediately. 90005 90004 As for accessibility, L2TP / IPSec is natively available on more platforms than IKEv2 / IPSec is, but IKEv2 is available on BlackBerry devices.90005 90004 Overall, it would seem that IKEv2 / IPSec is a better choice for mobile users, whereas L2TP / IPSec works well for other devices. 90005 90004 90168 In case you'd like to find out more about L2TP, follow this link. 90169 90005 90014 2. IKEv2 vs. IPSec 90015 90004 IKEv2 / IPSec is pretty much better in all regards than IPSec since it offers the security benefits of IPSec alongside the high speeds and stability of IKEv2. Also, you can not really compare IKEv2 on its own with IPSec since IKEv2 is a protocol that's used within the IPSec protocol suite.Also, IKEv2 is essentially based on IPSec tunneling. 90005 90004 90168 If you'd like to read more about IPSec, check out our article about it. 90169 90005 90014 3. IKEv2 vs. OpenVPN 90015 90004 OpenVPN is extremely popular with online users due to its enhanced security, but you should know that IKEv2 can offer a similar level of protection. It's true that IKEv2 secures information at the IP level while OpenVPN does that at the Transport level, but it's not really something that should make a huge difference.90005 90004 However, we can not deny the fact that OpenVPN being open-source makes it a more appealing option than IKEv2. Of course, that no longer becomes such a huge problem if you use open-source implementations of IKEv2. 90005 90004 In terms of online speeds, IKEv2 is usually faster than OpenVPN - even when OpenVPN uses the UDP transmission protocol. On the other hand, it's much harder for a network admin to block OpenVPN connections since the protocol uses port 443, which is the HTTPS traffic port.IKEv2, unfortunately, uses only UDP port 500 which a network admin can block without having to worry about stopping other vital online traffic. 90005 90004 As for connection stability, both protocols fare pretty well, but IKEv2 surpasses OpenVPN on mobile devices since it can resist network changes. It's true that OpenVPN can be configured to do the same with the "float" command, but it's not as efficient and stable as IKEv2 is. 90005 90004 Regarding cross-platform support, IKEv2 is a bit behind OpenVPN, but it does work on BlackBerry devices.Also, IKEv2 is usually a bit easier to set up since it's normally natively integrated into the platforms it's available on. 90005 90004 90168 Want to find out more about OpenVPN? Here's an in-depth guide we wrote about it 90169 90005 90014 4. IKEv2 vs. PPTP 90015 90004 IKEv2 is generally a much better choice than PPTP simply because it's way more secure than it. For one, it offers support for 256-bit encryption keys and high-end ciphers like AES. Also, as far as we know, IKEv2 traffic has yet to be cracked by the NSA.The same can not be said about PPTP traffic. 90005 90004 Besides that, PPTP is much less stable than IKEv2. It can not resist network changes with ease like IKEv2, and - even worse - it's extremely easy to block with a firewall - especially a NAT firewall since PPTP is not natively supported on NAT. In fact, if PPTP Passthrough is not enabled on a router, a PPTP connection can not even be established. 90005 90004 Normally, one of PPTP's main highlights that make it stand out from its competition is its very high speed.Well, the funny thing is that IKEv2 is actually capable of offering speeds similar to the ones offered by PPTP. 90005 90004 Basically, the only way PPTP is better than IKEv2 is when it comes to availability and ease of setup. You see, PPTP is natively built into tons of platforms, so configuring a connection is extremely simple. Still, that might not be the case in the future since native support for PPTP has started being removed from newer versions of some operating systems. For example, PPTP is no longer natively available on iOS 10 and macOS Sierra.90005 90004 All in all, you should always pick IKEv2 over PPTP if possible. 90005 90004 90168 If you'd like to learn more about PPTP, and find out why it's such a risky option, follow this link. 90169 90005 90014 5. IKEv2 vs. Wireguard 90015 90004 Wireguard is a very new open-source VPN protocol that apparently aims to become significantly better than IPSec (the tunneling protocol IKEv2 is based on). By that logic, Wireguard should be more secure, faster, and more convenient to use than IKEv2 - and that might very well be the case in the future.90005 90004 Still, for the moment, Wireguard is just in the experimental stage, and is not very stable, nor does it work on multiple platforms. In fact, right now, Wireguard mostly just works on Linux distributions. According to these benchmarks, Wireguard is much faster than IPSec, though that does not necessarily mean it's faster than IKEv2 for now since IKEv2 is faster than IPSec too. 90005 90004 So, it's still safer to use IKEv2 when you're on the Internet. 90005 90004 90168 In case you'd like to learn more about Wireguard, here's a link to our guide.90169 90005 90014 6. IKEv2 vs. SoftEther 90015 90004 Both IKEv2 and SoftEther are fairly secure protocols, and even though SoftEther might be more trustworthy because it's open source, you can find open-source implementations of IKEv2 too. Both protocols are also very fast, though SoftEther might be a bit speedier than IKEv2. 90005 90004 When it comes to stability, things are different. For one, SoftEther is much harder to block with a firewall because it runs on port 443 (the HTTPS port).On the other hand, IKEv2's MOBIKE feature allows it to seamlessly resist network changes (like when you switch from a WiFi connection to a data plan one). 90005 90004 It might also interest you to know that while the SoftEther VPN server has support for the IPSec and L2TP / IPSec protocols (among others), it does not have any support for the IKEv2 / IPSec protocol. 90005 90004 In the end, SoftEther is pretty much a better option than IKEv2, though you might prefer using IKEv2 if you're a mobile user - especially since it's available on BlackBerry devices.90005 90004 90168 If you'd like to find out more about SoftEther, check out this link. 90169 90005 90014 7. IKEv2 vs. SSTP 90015 90004 IKEv2 and SSTP offer a similar level of security, but SSTP is much more firewall-resistant since it uses TCP port 443, a port that can not be normally blocked. On the other hand, SSTP is not available on as many platforms as IKEv2 is. SSTP is only built into Windows systems (Vista and higher), and it can further be configured on routers, Linux, and Android.IKEv2 works on all those platforms and more (macOS, iOS, FreeBSD, and BlackBerry devices). 90005 90004 Both IKEv2 and SSTP were developed by Microsoft, but IKEv2 was developed by Microsoft together with Cisco. That makes it a bit more trustworthy than SSTP which is solely owned by Microsoft - a company that has handed the NSA access to encrypted messages in the past, and that is also part of the PRISM surveillance program. 90005 90004 In terms of connection speeds, both protocols are pretty tied, but it's very likely that IKEv2 is faster than SSTP.Why? Because SSTP's speeds are often compared to OpenVPN's speeds, and we've already mentioned that IKEv2 is faster than OpenVPN. Besides that, there's also the fact that SSTP only uses TCP, which is slower than UDP (the transmission protocol used by IKEv2). 90005 90004 90168 Interested in learning more about SSTP? Here's an article we wrote about it. 90169 90005 90249 So, Is the IKEv2 Protocol a Good Choice? 90015 90004 Yes, IKEv2 is a good option for a safe, smooth online experience.We'd still recommend you use either OpenVPN or SoftEther, but if those options are not available for some reason, IKEv2 works well too - especially if you use your mobile and you travel quite often. 90005 90008 What Is IKEv2? In Conclusion 90003 90004 IKEv2 is both a VPN protocol and an encryption protocol used within the IPSec suite. 90005 90004 Essentially, it's used to established and authenticate a secured communication between a VPN client and a VPN server. 90258 90005 90004 IKEv2 is very safe to use, as it has support for powerful encryption ciphers, and it also improved all the security flaws that were present in IKEv1.Also, IKEv2 is an excellent choice for mobile users due to its MOBIKE support which allows IKEv2 connections to resist network changes. 90005 90004 Still, we do recommend choosing a VPN provider that offers access to multiple protocols alongside IKEv2. While it is a great option for mobile users, it does not hurt to have even better protocols (like OpenVPN and SoftEther) as an alternative for other devices. 90005 .90000 OpenVPN vs. IKEv2 vs. L2TP: Which VPN Protocol is the Best? 90001 90002 A virtual private network (VPN) provides users with privacy and secure data when they browse the internet or engage in online activity. One of the most crucial elements of a VPN is the protocol that protects user anonymity from hackers, advertisement agencies and government entities. 90003 90002 The protocol determines how the VPN will secure data in transit. Providers offer a wide range of protocols based on computer operating systems, devices, performance and other aspects.Below, we examine three of the most widely used protocols in the industry: OpenVPN, IKEv2 and L2TP. Which one is best? Let's take a closer look. 90003 90006 90007 OpenVPN 90008 90009 90002 OpenVPN is the most popular and recommended protocol by VPN experts. OpenVPN is versatile and highly secure, making it a mainstay of the virtual private network industry. The VPN is aptly named open because it relies on open source technologies such as OpenSSL encryption library or SSL V3 / TLS V1 protocols.90003 90002 In an OpenVPN platform, providers maintain, update and assess the technology. One of the reasons why an OpenVPN is so effective is because it shields users who engage in online activity in plain sight. Users are less vulnerable to hackers and less likely to be detected by government agencies or aggressive marketers. 90003 90002 According to this source, when data travels through the OpenVPN viewers can not differentiate between an HTTPS and the SSL connection. The protocol can operate on any port while utilizing UDP or TCP protocols.This makes it easy for users to get around firewalls. Companies can utilize a wide range of strategies such as AES encryption, HMAC or OpenSLL when adding OpenVPN to their processes. 90003 90002 OpenVPNs require a third-party application because they are not supported by any platforms. Third-party providers such as iOS and Android, however, are supported. Although most companies offer customized OpenVPN configurations, they also allow users to personalize their own configuration. 90003 90002 So let's summarize: 90003 90020 90007 OpenVPN 90008 90007 Pros: 90008 90025 90026 90027 Bypasses most firewalls.90028 90027 Vetted by third parties. 90028 90027 Offers top-level security. 90028 90027 Works with multiple encryption methods. 90028 90027 Can be configured and customized to suit any preference. 90028 90027 Can bypass firewalls. 90028 90027 Supports a wide range of cryptic algorithms. 90028 90041 90020 90007 OpenVPN 90008 90007 Cons: 90008 90025 90026 90027 Highly technical and complex setup. 90028 90027 Relies upon third-party software. 90028 90027 Desktop-strong, but mobile can be weak.90028 90041 90006 90007 IKEv2 90008 90009 90002 IKEv2 was designed as a joint project between Cisco Systems and Microsoft. It operates as a true protocol and controls the IPSec key exchange. 90003 90002 IKEv2 has the distinction of operating on non-mainstream platforms such as Linux, BlackBerry or other marginal platforms. However, it also comes with the Windows 7 operating system. Because of its ability to adapt, IKEv2 offers a consistent connection in various networks. So, if a connection drops, the IKEv2 helps the user maintain a VPN connection.90003 90002 Like most protocols, IKEv2 meets user privacy demands. Since it offers support for MOBIKE, it can adapt to changes in any network. Therefore, if the user suddenly switches from a Wi-Fi connection to a data connection, IKEv2 can handle it flawlessly without losing the connection. 90003 90002 In summary: 90003 90020 90007 IKEv2 90008 90007 Pros: 90008 90025 90026 90027 Supports a wide range of encryption protocols. 90028 90027 Offers high-level stability and consistent connectivity.90028 90027 Offers easy setup. 90028 90027 Super-fast VPN protocol. 90028 90041 90020 90007 IKEv2 90008 90007 Cons: 90008 90025 90026 90027 Limited support for platforms. 90028 90027 Not immune to firewall blocks. 90028 90041 90006 90007 L2TP 90008 90009 90002 The most notable characteristic of L2TP is its inability to operate alone. To offer encryption or protection for data in transit, it must be paired with IPSec. 90003 90002 L2TP is an extension of the PPTP protocol. It operates on a double encapsulation that includes a PPP connection on level one and an IPsec encryption on level two.While the L2TP protocol does support AES-256, stronger protocols can slow the performance. 90003 90002 Most desktop and mobile OSes contain L2TP, which makes implementation relatively simple. However, users and developers alike have noted that L2TP can be blocked by firewalls. What struggles it may have with firewalls, it more than makes up for in sender / receiver privacy. 90003 90002 The L2TP design prevents hackers from viewing or intercepting data in transit. 90003 90002 While the connection is secure, the protocol can be weak and slow.The connection can be hindered due to the traffic conversion into the L2TP format. Developers and users must also account for the additional layer of encryption. 90003 90002 Let's look at the summary: 90003 90020 90007 L2TP 90008 90007 Pros: 90008 90025 90026 90027 Available on nearly all devices and operating systems. 90028 90027 Easy setup process. 90028 90027 High levels of security that display some weaknesses. 90028 90027 Multithreading improves performance. 90028 90041 90020 90007 L2TP 90008 90007 Cons: 90008 90025 90026 90027 Can be blocked by firewalls.90028 90027 Performance can be blocked. 90028 90027 Double encapsulation can slow down performance. 90028 90041 90006 90007 Which Protocol is Best? 90008 90009 90002 With the different elements of each protocol and their varying application, the best protocol depends on the needs of the developer and the users. While the OpenVPN may be considered the go-to protocol, there are several factors to consider. 90003 90002 The OpenVPN is speedy, versatile and secure. It's also compatible with any operating system both on-site and remote.Users that want a problem-free, high-performance protocol should probably stick with OpenVPN. 90003 90002 Remember, however, that OpenVPNs requires a third-party. Developers that have an issue with this type of setup may want to turn to an L2TP or IKEv2. Some main considerations are security, speed, connectivity consistency and overall high performance. So, third-party support may not be high on the priority list. 90003 90002 And last, how will the configuration with all platforms and devices affect the overall performance of the service and network? Developers need to ask these questions from their client's perspective.Can a developer provide exceptional service with a VPN that does not provide the absolute best security or super-fast speed? 90003 90002 Taking everything into consideration, our belief is the OpenVPN is still the best protocol for all types of operating systems, devices and platforms. 90003 90002 - Naomi Hodges 90003.90000 MPLS Layer 2 VPNs Configuration Guide - L2VPN Interworking [Cisco ASR 1000 Series Aggregation Services Routers] 90001 90002 This interworking type provides interoperability between the Frame Relay attachment VC and Ethernet attachment VC connected to different PE routers. Bridged encapsulation corresponding to the bridged (Ethernet) interworking mechanism is used. 90003 90002 For an FR-to-Ethernet port case, the interworking function is performed at the PE router connected to the FR attachment VC based on multiprotocol interconnect over Frame Relay (see the figure below).The interworking is implemented similar to an ATM-to-Ethernet case. 90003 Figure 7. Network Topology for FR-to-Ethernet AToM Bridged Interworking 90006 90002 The advantage of this architecture is that the Ethernet PE router (connected to the Ethernet segment) operates similar to Ethernet like-to-like services: a pseudowire label is assigned to the Ethernet port and then the remote Label Distribution Protocol (LDP) session distributes the labels to its peer PE router.Ethernet frames are carried through the MPLS network using Ethernet over MPLS (EoMPLS). 90003 90002 On the PE router with interworking function, in the direction from the Frame Relay segment to the MPLS cloud, the bridged encapsulation (FR / SNAP header) is discarded and the Ethernet frame is encapsulated with the labels required to go through the pseudowire using the VC type 5 (Ethernet) (see the figure below).90003 90002 In the opposite direction, after the label disposition from the MPLS cloud, Ethernet frames are encapsulated over Frame Relay using bridged encapsulation. 90003 90002 The following translations are supported: 90003 90002 The PE router automatically supports translation of both Cisco and IETF Frame Relay encapsulation types coming from the CE, but translates only to IETF when sending to the CE router.This is not a problem for the Cisco CE router, because it can handle IETF encapsulation on receipt even if it is configured to send Cisco encapsulation. 90003 90002 The existing QoS functionality for Frame Relay is supported. The PVC status signaling works the same way as in the like-to-like case. The PE router reports the PVC status to the CE router, based on the availability of the pseudo wire.90003 90002 The AC MTU must match when connected over MPLS. Only Frame Relay DLCI mode is supported; Frame Relay port mode is not supported in the bridged interworking. 90003 90002 The figure below shows the protocol stack for FR-to-Ethernet bridged interworking. 90003 Figure 8.Protocol Stack for FR-to-Ethernet AToM Bridged Interworking - without VLAN Header 90023 .

    Отправить ответ

    avatar
      Подписаться  
    Уведомление о