Le VPN rivestono un ruolo di fondamentale importanza nelle reti di comunicazione dati. Le aziende hanno necessità di collegare le loro sedi con dei circuiti sicuri, che impediscano intrusioni e violazioni della sicurezza. Per preservare i propri dati, le aziende hanno negli anni ’80 e negli anni ’90 utilizzato i servizi che mettevano a disposizione i carrier dell’epoca, quali circuiti X.25, Frame-relay e poi ATM. Questo significava che in ogni sede aziendale era necessario disporre di costosi apparecchi in grado di supportare questi protocolli. Gli operatori, a loro volta, dovevano avere una rete a copertura geografica sufficiente per fornire questa tipologia di servizi.
In Italia l’operatore monopolista possedeva una rete X.25, successivamente affiancata da una rete Frame-Relay e quindi da una più recente rete ATM molto nota, oggigiorno, perchè rete di raccolta del traffico che viaggia nei collegamenti XDSL.
In un mondo oramai dominato dal protocollo TCP/IP e dall’ethernet gli svantaggi derivanti dall’uso di una tale infrastruttura appaiono evidenti. L’uso del protocollo IP infatti ha spostato l’uso dei circuiti X.25, Frame-relay o ATM solo come protocolli di rete, delegando al TCP/IP il vero e proprio trasporto dei dati. Viene allora spontaneo chiedersi perchè utilizzare ancora gli obsoleti X.25 e Frame-relay, o il costoso ATM, e non tecnologie più efficienti e moderne.
Con l’abbassamento dei costi e l’aumento delle performance, e l’arrivo di più economici collegamenti di tipo XDSL, molte VPN si sono realizzate a livello 3, utilizzando protocolli quali IPSEC, svincolate dai carrier. In questo caso la VPN è ritagliata su un collegamento internet, senza l’intervento del provider.
D’altro canto per i fornitori di servizio non vi era una soluzione differente dall’uso di protocollo Frame-relay o ATM per fornire VPN. Poichè alla fine i clienti utilizzavano il TCP/IP nel caso di VPN complesse era necessario configurare un gran numero di circuiti e inserire nei router del cliente un notevole numero di policy. La necessità era quella di poter gestire le VPN tramite il protocollo IP svincolandosi il prima possibile dalla commutazione di circuito. è conservarne l’amministrazione lato provider, semplificando il più possibile i costi lato cliente.
L’avvento del protocollo MPLS ha fornito ai provider una soluzione ai loro problemi consentendo loro di svincolarsi dalle vecchie pile protocollari e di concentrasi sull’uso di IP, ethernet, SDH e XDSL. MPLS è una tecnica di trasmissione che utilizza delle etichette per differenziare i vari flussi di traffico Consente di utilizzare il protocollo IP con tutte le specifiche di qualità di servizio, ingegneria di traffico e gestione VPN mancanti nella pila protocollare TCP/IP. Un ultimo vantaggio di Frame-relay e ATM era la possibilità di gestire la qualità del servizio e l’ingegneria del traffico in modo preciso, evitando congestioni, e garantendo ai clienti la banda contrattualizzata.
Questo documento in realtà non parla di MPLS, ma di un suo “prodotto derivato”, ovvero il VRF-lite. MPLS viene infatti utilizzato in ambito campus o provider. Ma questa tecnologia supporta cosi’ bene le VPN che si è sviluppato VRF-lite, un sottoinsieme di VRF, utilizzato invece nelle VPN/MPLS. VRF significa “Virtual Routing and Forwarding” ed è la possibilità di creare un router virtuale per ogni singola VPN e dei servizi ad essa correlati che, quando supportati da VRF, vengono indicati come “VRF-aware”.
Pertanto in questo documento si espone il VRF-lite. Quindi non troverete configurazioni MPLS. In ogni caso difficilmente troverete MPLS in una rete aziendale, dove molto più facilmente potrete trovare o usare il VRF-lite. Nella rete di un provider difficilmente troverete VRF-lite e molto più comunemente troverete MPLS.
Con il Virtual Routing and Forwarding (VRF) si crea un router logico a tutti gli effetti. Un VRF è costituito da una tabella di routing IP, da alcune interfacce, e da alcuni servizi ad esso associati (DHCP, NAT etc.). Possono essere configurati più router logici in uno stesso router fisico.
Con questo sistema è possibile gestire in uno stesso router più circuiti logici separati a livello 3. Possiamo gestire più VPN anche con overlapping degli indirizzi IP in quanto appartenenti a schemi logici isolati tra di loro.
VRF-lite è una semplificazione di VRF. Si usa a livello locale e non a livello provider dove si hanno le MPLS-VPN. I protocolli di routing RIP, EIGRP, OSPF e BGP sono supportati. VRF-lite è a disposizione nell’immagine IOS di default di molti router CISCO, a partire dalla serie 8XX.
About Author
