Skip to end of metadata
Go to start of metadata

Kuvaus

Funet-verkossa voidaan toteuttaa esimerkiksi jäsenorganisaation kampusverkot yhdistäviä tai jäsenorganisaatioiden välisiä, julkisesta verkosta eristettyjä L2- ja L3-tason MPLS-yhteyspalveluita ("MPLS VPN"). MPLS-yhteyspalveluiden avulla Funet-verkon ja jäsenorganisaation yhteyksien kapasiteettia voidaan hyödyntää julkisesta verkosta eristettyjen, organisaation sisäisten tai organisaatioiden välisten yhteyksien käyttöön. MPLS-yhteyspalveluita voidaan toteuttaa kaikkiin Funetin IP-runkoverkkoon kytkeytyviin Funet-yhteyksiin.

MPLS-yhteyspalveluiden avulla voidaan toteuttaa sekä reititettyjä L3 VPN-yhteyksiä että erilaisia L2-tason yhteyksiä, joiden avulla halutut Ethernet VLAN-segmentit voidaan ulottaa toimipisteiden välille. Erityyppisistä VPN-yhteyksistä on tarkempi kuvaus alla. Huomionarvoista on, että samojen liityntäyhteyksien kautta ja samoille yhteysväleille voidaan toteuttaa samanaikaisesti useita eri tasoisia VPN-yhteyksiä  - esimerkiksi kahden toimipisteen välille voidaan tehdä yhdessä VLAN:ssa reititetty L3 VPN-yhteys ja rinnakkaisissa VLAN:eissa ajaa L2 VPN-yhteyksiä.

Olemassa oleviin Funet-yhteyksiin MPLS VPN-yhteydet tuodaan tällöin jäsenorganisaation reunalaitteelle omissa VLAN:eissaan. Mikäli MPLS VPN-yhteys halutaan toteuttaa toimipisteeseen, josta ei ennestään ole fyysistä liityntää Funet-runkoverkkoon, on sinne rakennettava Funet-lisäyhteys, joka laskutetaan voimassa olevan hinnaston mukaisesti. Kun (etä)toimipiste on kerran liitetty Funet-runkoverkkoon, voidaan saman liityntäyhteyden kautta toteuttaa MPLS VPN-yhteyksiä mihin tahansa muihin Funet-verkkoon kytkettyihin toimipisteisiin.

MPLS-yhteyspalvelut hyödyntävät Funet-runkoverkon ja jäsenorganisaation Funet-yhteyksien vapaata verkkokapasiteettia. MPLS VPN-yhteyksiä varten on varattu verkossa omaa kapasiteettia, jolloin julkisen verkon ruuhkatilanteet eivät estä MPLS VPN-yhteyksien toimintaa (ja päinvastoin). MPLS-yhteyspalveluita on mahdollista toteuttaa myös Less than Best-Effort (LBE)-tasoisina, jolloin MPLS VPN-yhteys hyödyntää vain yhteyksien vapaata kapasiteettia. Tällaisiä VPN-yhteyksiä voidaan käyttää esimerkiksi suurten datamäärien taustasiirtoon (esim. backup-ajot), jolloin datasiirto ei häiritse muuta verkon käyttöä.

L3 VPN

Reititetty L3 VPN-yhteys on palvelu, jossa koko Funet-runkoverkko näkyy jäsenorganisaatiolle ikäänkuin yhtenä virtuaalisena reitittimenä. Palvelun avulla jäsenorganisaation sisäverkon IP-aliverkot voidaan yhdistää toisiinsa suljetun, muusta liikenteestä loogisesti eristetyn virtuaaliverkon kautta. L3 VPN-yhteyden yli voidaan reitittää mitä tahansa jäsenorganisaation haluamia verkkoja, myös RFC1918-privaattiverkkoja. L3 VPN-palvelu tukee myös IPv6-verkkojen reititystä.

L3 VPN-palvelu soveltuu erityisen hyvin esimerkiksi etätoimipisteverkkojen liittämiseksi jäsenorganisaation sisäverkkoon tai reititetyn virtuaaliverkon luomiseen eri jäsenorganisaatioiden verkkojen välille. L3 VPN-palvelu on hyvin skaalautuva ja teknisesti hyvä ratkaisu erityisesti varmennetuille Funet-liityntäyhteyksille, joissa reittivarmennus saadaan toteutettua reititysprotokollan avulla.

Funet-verkon ja jäsenorganisaation välisellä yhteydellä palvelu tarjotaan lähtökohtaisesti omassa VLAN:ssaan loogisesti erillään esimerkiksi jäsenorganisaation muusta Funet-liikenteestä. Mikäli jäsenorganisaation reunalaite on reitittävä laite, konfiguroidaan L3 VPN-yhteyden VLAN:iin yleensä point-to-point -linkkiverkko, jonka kautta halutut verkot reititetään joko staattisesti tai dynaamista reititysprotokollaa (yleensä BGP, myös esim. OSPF mahdollinen). Joissain tapauksissa jäsenorganisaation LAN-segmentti voidaan kytkeä suoraan Funet-runkoreitittimeen, jolloin verkon yhdyskäytävä on Funetin reitittimellä. Tarvittaessa gateway voidaan tällaisissa tilanteissa varmentaa VRRP:n avulla.

Kampusverkon topologiasta ja mahdollisista muista reunaehdoista riippuen L3VPN-yhteys kannattaa sijoittaa loogisesti omaan virtuaalireitittimeensä myös jäsenorganisaation reunalla. Useimmat nykyaikaisista IP-reitittimistä tukevat virtuaalireitittimiä jossain muodossa (VRF, virtual-router, VRF-lite yms.). Funet-reititinpalvelun käyttäjille tällainen virtualisointi voidaan toteuttaa reititinpalvelun laitteissa.

L2 VPN / VPLS

L2 VPN-palvelun avulla voidaan ulottaa VLAN-segmenttejä esimerkiksi eri toimipisteiden välille. Tarpeesta riippuen yhteys voidaan toteuttaa joko kahden pisteen välisenä point-to-point -yhteytenä, jolloin Funet-verkko toimii kampusverkkojen näkökulmasta ikään kuin virtuaalinen Ethernet-silta, tai multipoint-to-multipoint -yhteytenä, jolloin Funet-verkko toimii kuten virtuaalinen Ethernet-kytkin.

Mikäli jäsenorganisaation reunalaite tukee QinQ-kehystystä, Funet-liityntäyhteydellä Ethernet-kehykset voidaan kehystää kahdella VLAN-tagilla, jolloin jäsenorganisaatio voi ajaa saman VLAN:n läpi mitä tahansa haluamiaan sisempiä VLAN:eja. Funet-verkko on tällöin läpinäkyvä jäsenorganisaation VLAN:eille. Mikäli QinQ-kehystys ei ole mahdollista, L2VPN-yhteys voidaan vaihtoehtoisesti toteuttaa siten, että se hyväksyy ennalta määritellyn VLAN-avaruuden. Tällöin jokaisen yksittäisen VLAN:n ulottamiseksi toiseen toimipisteeseen ei tarvitse toteuttaa erillistä VPN-yhteyttä. Funetin reitittimillä voidaan myös tarvittaessa tehdä joustavasti VLAN-tunnisteiden uudelleenkirjoituksia, minkä ansiosta VLAN-tunnisteiden ei ole välttämätöntä olla samat yhteyden eri päissä.

Tyypillinen käyttötapaus on sellainen, jossa L2 VPN-yhteyden VLAN:t halutaan kytkeä jäsenorganisaation reunalaitteelta edelleen sisäverkkoon. Jos VPN-yhteys toteutetaan käyttäen hyväksi jäsenorganisaation olemassa olevaa Funet-liityntäyhteyttä, pitää jäsenorganisaation reunalaitteen tällöin pystyä tekemään L2-kytkentää halutuille VLAN:eille. Tämä tulee ottaa huomioon erityisesti tilanteissa, joissa Funet-liityntäyhteys on päätetty suoraan pelkkään L3-reititystä tekevään laitteeseen. Mikäli Funet-liityntäyhteys on jo ennestään kytketty fyysisesti L2-kytkimen kautta, voidaan VLAN:t kytkeä suoraviivaisesti reunakytkimellä sisäverkkoon. Funetin ja jäsenorganisaation välisellä linkillä on kummassakin tapauksessa otettava VLAN-taggaus käyttöön.

IP/MPLS-verkon päällä tarjottavat L2-tason VPN-yhteydet eivät ole DWDM-valopolkujen tapaan täysin läpinäkyviä (bit-transparent) eikä esimerkiksi erilaisten L2-tason kontrollikehysten (Spanning Tree BPDU, LACP jne.) välittämistä MPLS-verkon yli lähtökohtaisesti tueta. Funet-verkon reitittimet eivät myöskään osallistu jäsenorganisaation L2-verkon Spanning Tree -topologiaan. Mikäli jäsenorganisaation Funet-liityntäyhteys on kahdennettu, voidaan myös L2 VPN-yhteys toteuttaa varmennettuna, mutta silloin aktiivisen reitin valinta ja L2-tason silmukan esto hoidetaan Funet-runkoverkon toiminnallisuuksia käyttäen. Erityisesti varmennetuilla yhteyksillä suositellaan käyttämään Ethernet OAM -toiminnallisuuksia Funetin reitittimen ja jäsenorganisaation reunalaitteen välillä, jotta reittivarmennus ei olisi riippuvainen pelkästä linkkitilasta.

Alla olevassa kuvassa on havainnollistettu, kuinka eri toimipisteissä olevat L2-segmentit voidaan yhdistää toisiinsa L2-tasolla VPLS-palvelun avulla Funet-verkon kautta. Käytännössä Funet-verkko on jäsenorganisaation näkökulmasta kuin yksi iso virtuaalinen kytkin. L2VPN-palvelu on muuten samankaltainen, mutta siinä yhteydet ovat luonteeltaan kahden pisteen välisiä (point-to-point), kun taas VPLS on luonteeltaan kuvan kaltainen multipoint-to-multipoint -palvelu. Kuvassa jäsenorganisaation Funet-yhteys on piirretty terminoitavaksi kytkinlaitteeseen, mutta on syytä huomata että reunalaitteen ominaisuuksista riippuen L2-kytkintoiminnallisuudet voidaan usein toteuttaa samalla fyysisellä laitteella kuin jäsenorganisaation L3-reunareititys.

Kansainväliset yhteydet

Funet-verkon sisäisten yhteyksien lisäksi Funet-verkosta on mahdollista toteuttaa MPLS VPN-yhteyksiä myös ulkomaille muihin tutkimusverkkoihin.

Ulkomaille rakennettavat MPLS VPN-yhteydet toteutetaan pääsääntöisesti hyödyntämällä kansainvälistä MDVPN-infrastruktuuria (Multi-Domain VPN). MDVPN-tekniikka on käytettävissä useisiin maihin Euroopassa. Jos MDVPN-tekniikka ei ole käytettävissä siinä tutkimusverkossa johon yhteys halutaan rakentaa, voidaan yhteyksiä toteuttaa myös ns.  Bandwidth-on-Demand (BoD)-tekniikan avulla. BoD-tekniikka on käytettävissä muutamissa maissa joissa MDVPN ei ole käytössä.

MDVPN-tekniikan avulla voidaan toteuttaa sekä L3 VPN-yhteyksiä, että point-to-point L2 VPN-yhteyksiä. BoD-tekniikkaa tukeviin tutkimusverkkoihin voidaan rakentaa point-to-point L2 VPN-yhteyksiä.

Käyttöönotto

Palvelun käyttöönottamiseksi ota yhteyttä Funet NOC:iin: Yhteystiedot.

Hinnoittelu

Katso Hinnasto (vaatii sisäänkirjautumista). 

  • No labels