MPLS چیست؟
MPLS (Switching Label Multiprotocol) چیست؟
در اواسط دهه 1990، شبکه های ارتباطی بزرگ هنوز با نسبت قابل توجهی ارتباط صوتی (تلفن) نسبت به ارتباطات داده (اینترنت) مشخص می شدند. در آن زمان، ارائه دهندگان مخابرات هنوز شبکه های جداگانه ای را برای هر دو نوع انتقال اداره می کردند که از یک سو بسیار گران بود و از سوی دیگر کیفیت خدمات جامع را تضمین نمی کرد . شبکه های صوتی با کیفیت بالا و اتصال گرا در مقابل شبکه های داده بدون اتصال که فاقد پهنای باند لازم بودند قرار گرفتند. معرفی پروتکل ATM ( حالت انتقال ناهمزمان ) تا حد زیادی این مشکل را با فعال کردن انتقال صدا و داده بر روی یک زیرساخت مشترک حل کرد . اما این تنها تغییر برچسب چند پروتکلی در پایان دهه 1990 بود که راه حلی برای استفاده کارآمد از پهنای باند موجود ارائه کرد .
به منظور انجام این کار، MPLS در نهایت سیستم های مسیریابی تحت فشار را رها کرد: به جای داشتن مسیر بهینه بسته داده ای که توسط ایستگاه های میانی منفرد تعیین می شود – همانطور که قبلاً چنین بود – این فرآیند امکان از پیش تعریف مسیرهایی را ارائه می دهد که نشان می دهد مسیر یک بسته از نقطه ورودی (روتر ورودی) تا نقطه شروع (مسیریاب خروجی). ایستگاه های میانی (روترهای سوئیچ برچسب) این مسیرها را با ارزیابی برچسب هایی که حاوی اطلاعات مسیریابی و سرویس مناسب هستند و به بسته داده مربوطه اختصاص داده می شوند، تشخیص می دهند. ارزیابی در بالای لایه پیوند داده (لایه 2) با استفاده از سخت افزار مناسب (به عنوان مثال یک سوئیچ) انجام می شود، در حالی که مسیریابی وقت گیر در لایه شبکه (لایه 3) حذف می شود.
به لطف پسوند MPLS تعمیم یافته، این فناوری که در ابتدا فقط برای شبکه های IP توسعه یافته بود، اکنون برای انواع شبکه های دیگر مانند SONET/SDH (شبکه نوری سنکرون / سلسله مراتب دیجیتال همزمان) یا WSON (شبکه نوری سوئیچ شده با طول موج) نیز در دسترس است.
سوئیچینگ برچسب چند پروتکلی چگونه کار می کند؟
استفاده از MPLS در شبکه های IP نیازمند یک زیرساخت منطقی و فیزیکی متشکل از روترهایی با قابلیت MPLS است. فرآیند برچسب اساساً در یک سیستم مستقل (AS) عمل می کند – مجموعه ای از شبکه های IP مختلف که به عنوان یک واحد مدیریت می شوند و از طریق حداقل یک پروتکل مشترک دروازه داخلی (IGP) متصل می شوند. مدیران چنین سیستم هایی معمولاً ارائه دهندگان اینترنت، دانشگاه ها یا شرکت های بین المللی هستند.
قبل از اینکه مسیرهای جداگانه تنظیم شوند، IGP مورد استفاده باید اطمینان حاصل کند که همه روترها در سیستم خودمختار می توانند به یکدیگر دسترسی پیدا کنند. سپس نقاط گوشه مسیرها که به نام مسیرهای سوئیچ برچسب (LSP) نیز شناخته می شوند، تعیین می شوند. این روترهای ورودی و خروجی که قبلا ذکر شد معمولاً در ورودی و خروجی یک سیستم قرار دارند. سپس LSP ها به صورت دستی، نیمه خودکار یا کاملاً خودکار فعال می شوند:
- پیکربندی دستی : هر گره ای که یک LSP از آن عبور می کند باید به صورت جداگانه پیکربندی شود. این رویکرد برای شبکه های بزرگ بی اثر است.
- پیکربندی نیمه خودکار : فقط برخی از ایستگاه های میانی (به عنوان مثال سه پرش اول) باید به صورت دستی پیکربندی شوند، در حالی که بقیه LSP ها اطلاعات خود را از پروتکل دروازه داخلی دریافت می کنند.
- پیکربندی تمام اتوماتیک : در نسخه تمام اتوماتیک، پروتکل دروازه داخلی به طور کامل مسیر را تعیین می کند. با این حال، هیچ بهینه سازی مسیر به دست نمی آید.
- بسته های داده ای که در یک شبکه MPLS پیکربندی شده ارسال می شوند، یک هدر MPLS اضافی از روتر ورودی دریافت می کنند. این بین اطلاعات لایه های دوم و سوم درج می شود که به عنوان عملیات فشار نیز شناخته می شود . در طول مسیر انتقال، تک تک هاپهای درگیر برچسب را با یک نوع سازگار با اطلاعات اتصال خود ( تأخیر ، پهنای باند و جهش مقصد) مبادله میکنند – این فرآیند اغلب عملیات تعویض نامیده میشود . در انتهای مسیر، برچسب به عنوان بخشی از عملیات pop از سرآیند IP حذف می شود.
ساختار سربرگ سوئیچینگ برچسب چند پروتکلی
MPLS هدر IP معمولی را با ورودی پشته برچسب MPLS گسترش می دهد که به عنوان هدر شیم MPLS نیز شناخته می شود. این ورودی با طول 4 بایت (32 بیت) بسیار کوتاه است، به همین دلیل می توان آن را به سرعت پردازش کرد. خط هدر مناسبی که بین هدرهای لایه 2 و لایه 3 درج شده است به این صورت است:
ساختار سربرگ سوئیچینگ برچسب چند پروتکلی
نمونه ساختار سربرگ تعویض برچسب چندپروتکلی
32 بیت اضافی از ورودی های پشته برچسب MPLS، چهار قطعه اطلاعات را به یک بسته IP برای پرش شبکه بعدی اضافه می کند:
- برچسب : برچسب حاوی اطلاعات اصلی ورودی MPLS است، به همین دلیل است که بزرگترین مؤلفه با طول 20 بیت است. همانطور که قبلا ذکر شد، یک برچسب در مسیر همیشه منحصر به فرد است و بنابراین فقط بین دو روتر خاص واسطه می شود. سپس بر این اساس برای انتقال داده به ایستگاه میانی بعدی سازگار می شود.
- کلاس ترافیک (TC): با استفاده از فیلد کلاس ترافیک، هدر اطلاعاتی را در مورد خدمات متفاوت (DiffServ) منتقل می کند. این طرح می تواند برای طبقه بندی بسته های IP برای اطمینان از کیفیت خدمات استفاده شود. به عنوان مثال، 3 بیت می تواند به زمانبندی شبکه بگوید که آیا باید یک بسته داده را اولویت بندی کند یا در اولویت قرار دهد.
- Bottom of Stack (S): پایین پشته مشخص می کند که آیا مسیر انتقال زیرین یک مسیر ساده است یا اینکه چندین LSP درون یکدیگر تودرتو هستند. اگر مورد دوم باشد، یک بسته می تواند چندین برچسب را نیز دریافت کند که به اصطلاح در پشته برچسب ترکیب می شوند. سپس پرچم پایین پشته به روتر اطلاع میدهد که برچسبهای بیشتری دنبال میشوند، یا در صورت عدم موفقیت، ورودی حاوی آخرین برچسب MPLS پشته است.
- Time to live (TTL): 8 بیت آخر ورودی پشته با قابلیت MPLS طول عمر بسته داده را نشان می دهد. برای این منظور آنها تنظیم می کنند که بسته مجاز به عبور از چند مسیریاب در مسیر است (محدودیت 255 روتر است).
- نقش تعویض برچسب چند پروتکلی امروزه
- در دهه 1990، MPLS به ارائه دهندگان کمک کرد تا شبکه های خود را به سرعت گسترش دهند و رشد دهند. با این حال ، مزیت سرعت اولیه در انتقال داده ها با نسل جدید روترهای قدرتمند با پردازنده های شبکه یکپارچه در پس زمینه محو شد. با این حال، امروزه هنوز هم توسط بسیاری از ارائه دهندگان خدمات به عنوان فرآیندی استفاده می شود که با آن می توان کیفیت خدمات تضمین شده را تضمین کرد. این در مورد به اصطلاح مهندسی ترافیک است – فرآیندی که با تجزیه و تحلیل و بهینه سازی جریان داده ها سر و کار دارد. علاوه بر طبقه بندی تک تک اتصالات داده، تجزیه و تحلیل پهنای باند و ظرفیت عناصر شبکه نیز صورت می گیرد . بر اساس نتایج، هدف توزیع بهینه بار داده به منظور تقویت کل شبکه است.
یکی دیگر از حوزههای کاربردی مهم، شبکههای خصوصی مجازی (VPN) است – شبکههای ارتباطی مجازی و مستقل که از زیرساختهای شبکه عمومی مانند اینترنت به عنوان یک رسانه حملونقل استفاده میکنند. این اجازه می دهد تا دستگاه ها به یکدیگر بپیوندند و یک شبکه را بدون اتصال فیزیکی به یکدیگر تشکیل دهند. اساساً، دو نوع از این شبکه های مجازی MPLS وجود دارد:
- VPN های لایه 2 : شبکه های خصوصی مجازی لایه پیوند را می توان برای اتصالات نقطه به نقطه یا دسترسی از راه دور طراحی کرد . لایه 2 به طور منطقی به کاربر چنین VPN به عنوان یک رابط برای ایجاد یک اتصال خدمت می کند. پروتکل تونل زنی نقطه به نقطه (PPTP) یا پروتکل تونل زنی لایه 2 (L2TP) به عنوان پروتکل های اساسی عمل می کند. به این ترتیب، ارائه دهندگان خدمات این فرصت را دارند که خدمات مشابه SDH و خدمات اترنت را به مشتریان خود ارائه دهند.
- VPN های لایه 3 : VPN های لایه 3 مبتنی بر شبکه یک راه حل ساده برای ارائه دهندگان خدمات ارائه می کنند تا ساختارهای شبکه کاملاً مسیریابی شده را بر اساس یک زیرساخت IP واحد به مشتریان مختلف (صرف نظر از محدوده آدرس IP خصوصی) ارائه دهند . کیفیت خدمات با این واقعیت تضمین می شود که مشتریان به طور جداگانه از یکدیگر با استفاده از برچسب های MPLS مجزا و مسیرهای بسته از پیش تعریف شده مدیریت می شوند. علاوه بر این، پرش های شبکه از مسیریابی در امان هستند.
اپراتورهای شبکههای بزرگ WAN (شبکه وسیع) از پیشنهادات ارائهدهندهای سود میبرند که مبتنی بر تعویض برچسب چند پروتکلی است: مسیرهای سوئیچ برچسب استراتژیک با پیکربندی صحیح، ترافیک داده را بهینه میکنند و بنابراین تا حد امکان اطمینان حاصل میکنند که همه کاربران همیشه پهنای باند مورد نیاز را دارند. – در حالی که تلاش خود شما محدود است. این فرآیند همچنین راه حل مناسبی برای شبکه های پردیس مانند شبکه های دانشگاهی یا شرکتی به شرط در اختیار داشتن بودجه لازم است.
مزایای MPLS VPN در یک نگاه
سوئیچینگ برچسب چند پروتکلی به عنوان یک فناوری برای شبکه های مجازی رقابت می کند، از جمله، با پسوند IPsec پشته پروتکل IP . ارتقای امنیتی پروتکل اینترنت به ویژه با مکانیزم های رمزگذاری خاص خود و هزینه های پایین آن مشخص می شود. اما بر خلاف فرآیند MPLS، پیاده سازی زیرساخت با استفاده از IPsec بر عهده ارائه دهنده نیست، بلکه بر عهده خود کاربر است، این بدان معناست که کاربر باید تلاش بیشتری انجام دهد. فرآیند MPLS در اینجا یک مزیت را ارائه می دهد. همانطور که لیست زیر نشان می دهد، تنها مزیت شبکه های “برچسب” نیست:
تلاش عملیاتی کم : عملکرد شبکه MPLS، مانند پیکربندی و مسیریابی IP، بر عهده ارائه دهنده است. به عنوان یک مشتری، از یک زیرساخت آماده بهره می برید و تلاش زیادی برای راه اندازی شبکه خود صرفه جویی می کنید.
عملکرد درجه یک : مسیرهای داده از پیش تعریف شده سرعت انتقال بسیار سریع را تضمین می کنند که فقط در معرض نوسانات جزئی هستند. قراردادهای سطح سرویس (SLA) که بین ارائه دهنده و مشتری منعقد می شود، پهنای باند مورد نظر و کمک سریع را در صورت بروز اختلال تضمین می کند.
انعطاف پذیری بالا : VPN های مبتنی بر سوئیچینگ برچسب چند پروتکل به ارائه دهندگان اینترنت آزادی عمل زیادی را در مورد توزیع منابع می دهند که برای مشتریان نیز سودمند است. این بدان معنی است که بسته های خدمات بسیار خاص را می توان توافق کرد و شبکه ها را می توان به راحتی در هر زمان گسترش داد.
توانایی اولویت بندی خدمات : زیرساخت MPLS به ارائه دهندگان اجازه می دهد تا سطوح مختلفی از کیفیت خدمات را ارائه دهند. پهنای باند اجاره شده به هیچ وجه ثابت نیست، بلکه می تواند طبقه بندی شود (کلاس خدمات). به این ترتیب می توان خدمات مورد نظر مانند VoIP را برای تضمین انتقال پایدار در اولویت قرار داد.
شبکه های MPLS چقدر امن هستند؟
مزایای MPLS و شبکههای خصوصی مجازی مبتنی بر این فناوری برای شرکتها و مؤسساتی که در مکانهای مختلف پراکنده شدهاند و همچنین میخواهند به مشتریان خود دسترسی به شبکه خودشان را بدهند، مورد توجه خاص است. بر این اساس، چنین شبکه های مجازی اغلب اولین انتخاب در هنگام راه اندازی زیرساخت فناوری اطلاعات هستند . به این ترتیب تمامی کاربران مورد نظر بدون نیاز به اتصال فیزیکی یا آدرس های IP عمومی جهت مسیریابی در اینترنت در یک شبکه متحد می شوند.
اساساً، VPN سوئیچینگ برچسب چندپروتکلی فقط برای کاربرانی قابل دسترسی است که داده های مناسب برای برقراری اتصال را دارند . با این حال، این واقعیت به تنهایی شبکههای مجازی را از دسترسی غیرمجاز مصون نمیسازد: ویژگی «خصوصی» در چنین شبکههایی به معنای محرمانه بودن و رمزگذاری نیست، بلکه به سادگی میتوان به آدرسهای IP مورد استفاده فقط در داخل دسترسی پیدا کرد. بدون رمزگذاری اضافی، تمام اطلاعات به صورت متن ساده منتقل می شود. با این حال، اگر ترافیک عادی اینترنت از طریق روتر انتقال (که «لبه ارائهدهنده» (PE) نیز نامیده میشود) بین شبکه MPLS و LAN مشتری اجرا شود، حتی یک گواهینامه مناسب نیز محافظت 100 درصدی را ارائه نمیکند . برخی از خطرات احتمالی هنگام استفاده از زیرساخت MPLS در زیر ذکر شده است:
بستههای MPLS به VPN اشتباه ختم میشوند : خطاهای نرمافزار و پیکربندیهای نادرست اغلب علت بستههای IP با برچسبهای MPLS هستند که VPN واقعی را ترک میکنند و در شبکه دیگری قابل مشاهده میشوند. در این حالت، روتر بسته ها را به اشتباه به سیستم های غیرقابل اعتمادی که مسیر IP برای آنها وجود دارد، ارسال می کند. همچنین اگر روتر لبه ارائه دهنده بسته های مربوطه را بپذیرد، ممکن است بسته های داده با برچسب های تغییر یافته (جعل برچسب MPLS) به طور خاص به یک VPN شخص ثالث قاچاق شوند.
اتصال یک روتر انتقال غیرمجاز : اگر VPN های مختلف به زیرساخت MPLS متصل شوند، همچنین خطر زیادی وجود دارد که لبه ارائه دهنده بدون مجوز در VPN مشتری دیگر ادغام شود . این می تواند به دلیل یک پیکربندی نادرست ناخواسته یا یک حمله هدفمند ایجاد شود. این بدان معناست که حملات بیشتر مبتنی بر شبکه را می توان به راحتی توسط کاربران شخص ثالث انجام داد.
ساختار منطقی شبکه ارائهدهنده قابل مشاهده است : اگر مهاجم به ساختار منطقی شبکه MPLS که ارائهدهنده سرویس راهاندازی کرده است، بینش پیدا کند، احتمال حمله به روترهای انتقال بسیار زیاد است – به خصوص اگر آدرسهای آنها قابل مشاهده باشد.
حمله DDOs انکار سرویس به روتر PE : به عنوان یک گره مهم برای شبکه های درگیر، روتر لبه ارائه دهنده یک هدف آسیب پذیر برای حملات انکار سرویس است که در دسترس بودن سرویس VPN را به خطر می اندازد . از یک طرف، بهروزرسانیهای مسیریابی مداوم، به عنوان مثال از طریق EIGRP (پروتکل مسیریابی دروازه داخلی پیشرفته) یا OSPF (ابتدا کوتاهترین مسیر) قابل تصور است، اما از سوی دیگر، بارگذاری بیش از حد روتر به دلیل سیل هدفمند با بستههای داده کوچک.
بنابراین، علاوه بر رمزگذاری، هر VPN باید مکانیسم های حفاظتی اضافی برای محافظت از روتر(های) لبه ارائه دهنده در برابر دسترسی خارجی داشته باشد. آنچه به ویژه توصیه می شود ایجاد یک منطقه غیرنظامی بین دو فایروال و استفاده از سیستم های نظارت شبکه است. علاوه بر این، به روز رسانی منظم نرم افزار و سخت افزار و همچنین اقدامات امنیتی در برابر دسترسی فیزیکی به دروازه ها باید استاندارد باشد.
MPLS (Multiprotocol Label Switching)
