GENEL BAKIŞ VPLS i (Virtual Private LAN Service) Anlamak VPLS ya da Sanal Özel Yerel Ağ Hizmeti (Virtual Private LAN Service), günümüzün iletişim ağı ortamında sıkça kullanılan bir terimdir. VPLS, genellikle geleceğin iletişim ağı olarak anılan, gelecek teknolojiler içerisinde yer alacağa benzemektedir. Bu konuyu tartışırken, kullanıcı tanımlamalarını anlamak oldukça önemlidir. Şekil 1 Sanal Özel Yerel Ağ mı yoksa Hat mı? Bugün artan popülerliğine rağmen, aslında VPLS sadece kısa bir süredir kullanımdadır ve bu terimin nasıl tanımlandığını anlamak dikkat gerektirir. Bazıları VPLS in Sanal Özel Hat Hizmeti için olduğunu ve uzun erimli bir hizmet olarak nitelendirilmesi gerektiğine inanmaktadır. Çerçeve Aktarıcı (Frame Relay), ATM (Eşzamansız Aktarım Modu Asynchronous Transfer Mode), anahtarlamalı (switched) Ethernet ve MPLS VPN leri gibi hizmetleri bazen VPLS olarak adlandırılır. AT&T in Tanımı Ancak, Sanal Özel Yerel Ağ Hizmeti olarak, VPLS genelikle anahtarlamalı bir ortam içerisinde sanal bağlantıları olan herhangi birinden diğerine ulaşan bir mimari olarak adlandırılır. AT&T, VPLS i herhangi birinden diğerine, uzun ya da kısa erimli Ethernet olarak tanımlamaktadır. Ethernet VPLS in ayrılmaz bir parçası olduğundan dolayı, Ethernet in nasıl çalıştığını ve bir işletme ağı içerisinde nasıl kullanıldığını anlamak oldukça önemlidir. Ethernet Ethernet, uzun yıllardır Yerel Ağlar yaratmak için kullanılmıştır ve Kentsel Alan Ağlarını (Metropolitan Area Networks MAN) ve Geniş Alan Ağlarını (Wide Area Networks WAN) desteklemek için geliştirilmiştir. Bir Yerel Ağ, genellikle, küçük bir coğrafi alanda, bir şirket içerisindeki bilgisayarlı cihazları, bilgi paylaşımı için yüksek hızda erişim sağlayarak birbirine bağlayan, küçük ve özel bir iletişim ağıdır. Yerel Ağlar, OSI (Open Systems Interconnection Açık Sistemler Arabağlaşımı) Modeli ne en alt iki katman olan, Fiziksel ve Veri Bağı Katmanları ile bağlıdır. Ethernet OSI Modelinin Fiziksel Katmanını desteklediği gibi, aynı zamanda Veri Bağı Katmanının alt yarısını da destekler. Veri Bağı Katmanı, son noktaları tanımlamak için MAC (Media Access Control Medya Erişim Kontrolü) Adreslerini kullanır ve verileri çerçeveler halinde biçimlendirir (Şekil 1). Bu şekil OSI Modelinin 7 katmanını göstermektedir. OSI Model: OSI (Open Systems Interconnection Açık Sistemler Arabağlaşımı) Modeli Application Uygulama Presentation Sunum Session Oturum Transport Taşıma Network İletişim Ağı Data Link Veri Bağı Physical Fiziksel LAN Technology Yerel Ağ (LAN) Teknolojisi Logical Link Control (LLC) Mantıksal Bağ Kontrolü (LLC) Media Access Control (MAC) Medya Erişimi Kontrolü (MAC) Physical Fiziksel
Genel Bakış VPLS i Anlamak 2 Ethernet, kentsel alan içindeki iki konum arasında, iki şehir arasında veya WAN boyunca, yüksek bant genişliliğinde bağlantı sağlayan iletişim ağı çözümleri yaratmak için 2. ya da 3. katmanı kullanabilir. Ethernet, bir 3. katman teknolojisine erişim yöntemi olarak ya da noktandan noktaya, noktadan bir den çok noktaya veya herhangi bir hizmetten diğerine uygulanabilir. Noktadan noktaya olarak, 1. katman hizmeti Ethernet, bir kentsel alan içerisinde adanmış bir bağlantı sağlar, ya da Kentsel SONET (Synchronous Optical Network Eşzamanlı Optik Ağ) Halkasında biçimlendirilmiş hizmet kanalları sağlayabilir. Genel anlamda, çok noktalı ve herhangi birinden diğerine (any to any) hizmetleri, bireysel barındırıcılara ya da bölütlere bağlanmak için anahtar kullanan, anahtarlamalı Ethernet lerdir. Kimi zaman paylaşımlı Ethernet ler olarak anılan, geleneksel Ethernet ler ile barındırıcılar aynı bant genişliği için yarışırlar. Anahtarlar, kullanıcılarla veya küçük bir grup kullanıcıyla, onların hedef noktası arasında özelleştirilmiş yollar yaratmalarına olanak sağlar. Bireysel bağlantı noktaları sağlanmıştır ve bir bağlantı noktasına gelen her çerçevenin, bağlantı noktasına nereye gitmesi gerektiğini söyleyen, bir Hedef Adresi vardır. Anahtarlar her çerçevenin Hedef Adresini inceler ve veriyi sadece hedef cihaza bağlı bağlantı noktasına iletir. Anahtar aracılığıyla aynı anda çok fazla etkileşim iletildiğinden dolayı, bant genişliği daha verimli bir şekilde kullanılır. Anahtarlamalı Ethernet ler LAN bağlanırlığı için, herhangi birinden diğerine yüksek bant genişliği sağlar ve var olan Ethernet lerin bant genişliğini arttırmak için uygun ve verimli bir yöntemdir (Şekil 2). Şekil 2 Bu şekil, LAN LAN bağlantısını sağlayan bir Ethernet Özel Sanal Ağı göstermektedir. Bu hizmet şeffaf LAN gereklerine cevap vermektedir. Customer Location A Single Tenant Unit Müşteri Yeri A Tek Kullanıcı Birimi Customer Location B Single Tenant Unit Müşteri Yeri B Tek Kullanıcı Birimi Fiber Transport Fiber Taşıma ISP Backbone for Internet Access Internet Erişimi için ISP (Internet Servisi Sağlayıcısı) Omurgası Ethernet Switch Ethernet Anahtarı Core Ethernet Optical Network Çekirdek Optik Ethernet Ağı Customer Location C Müşteri Yeri C Ethernet Switch Ethernet Anahtarı Floor 12 12. Kat Multi Tenant Unit Çok Kullanıcılı Birim Çok noktalı hizmetler iki farklı yöntemle sağlanabilir. 1. Bir taşıyıcı (carrier), Ethernet anahtarlarını ve Sanal LAN (VLAN) anahtarlarını, işletme tek bir yerdeymiş gibi, konuşlandırabilir. VLAN lar, farklı fiziksel LAN bölütlerinde olan bir cihazın, aynı fiziksel LAN bölütündeymiş gibi iletişim kurmalarına olanak sağlar. Coğrafi yöntemlerden farkı olarak, bölümlere ya da uygulamalara göre, iş istasyonlarının haritasını çıkarırlar (şekil 3). VLAN lar, bir iletişim ağını ayrı yayınlama alanlarına böldüğünden dolayı, yayın akışını taşımak için ağa konuşlandırılan yönlendiricilere olan ihtiyacı azaltırlar. Bir iletişim ağı üzerindeki yayınlama alanlarının kısıtlanmasının bir sonucu olarak, ağ üzerindeki akış önemli bir oranda azalır. Bu ayarlama ile birlikte, yönetim maliyetlerini düşürerek, iş istasyonları eklenebilir ve fiziksel bir LAN da olduğundan daha kolay yönetilir. Yönlendiricilerin doğrudan iletişimi ve VLAN grupları arasındaki güvenlik duvarı nedeniyle, VLAN ların kullanımı ile birlikte ilave bir güvenlik katmanı sağlanmış olur. VLAN etiketleri bir Ethernet çerçevesi üzerine eklenebilir. Bir VLAN etiketi, kullanıcı önceliği için 3 bit, VLAN ID si için 12 bit içeren ve Ethernet çerçevesi üzerine eklenen 2 bit alandır (Şekil 3). Her müşterinin akışı, çerçevede taşınan etiket üzerinde belirtilen, ayrı bir VLAN a toplanır. VLAN lar, belirli bilgileri belirli partilere karşı emniyete almak isteyen, görünürlük endişesi taşıyan şirketler için oldukça faydalı bir biçimde, iletişimi alacak konumların sayısını sınırlandırır. VLAN lar gösterecekleri değerlerin sayısı ile sınırlıdırlar. Bu, bir VLAN ile katılmaya ihtiyacı olan, çok yeri olan daha büyük ağlar için sorun olabilir.
Genel Bakış VPLS i Anlamak 3 Şekil 3 sağlayıcıyla 3. katmanda ara yüzlemez. Sağlayıcı, işletmenin IP yollarını görmez ve müşteri yönlendirmeyi yaparken, sadece 2. katman herhangi birinden diğerine hizmeti sunar. Anahtarlamalı Ethernet, herhangi birinden diğerine biçimlendirilmesi içindeyken, VPLS olarak adlandırılır. AT&T, VPLS olması için, göbek ve ispit (hub and spoke) ayarlamasını veya noktan noktaya bağlantıyı dikkate almaz. VLAN lar, ayrılık sağlaması için VPLS ile birlikte kullanılabilirler. Şekil 4 Bu şekil bilgiyi kontrol eden bir VLAN ı ve VLAN etiketlerini göstermektedir. Access control between VLANs VLAN lar arasında erişim kontrolü Floor 1 1. Kat Floor 2 2. Kat Floor 3 3. Kat VLAN Group 1 VLAN Grubu 1 VLAN Group 2 VLAN Grubu 2 Max length = 1518, 1522 with Maksimum Uzunluk = 1518, 1522 ile No. of Bytes Bayt Sayısı Preamble and Start of Frame 8 Eşzamanlama eki (Preamble) ve 8. Çerçevenin Başlangıcı Dest Address Hedef Adres Source Address Kaynak Adres Length/Type 2 Uzunluk/Tür 2 Payload + Pad Min = 64 Max = Taşınan Veri + Bağlantı Ayağı Min. = 64 Maks. = Frame Check Sequence 4 Çerçeve Denetim Dizisi 4 Type = 802.1Q tag (0x8100) 2 Tür: 802.1Q etiket (0x8100) 2 Tag Control Info 2 Etiket Kontrol Bilgisi 2 3 bits User Priority Field 3 bit Kullanıcı Öncelik Alanı (8 levels) 802.1P (8 seviye) 802.1P 12 bits VLAN Identifier 12 bit VLAN Tanımlayıcı (4096 values) 802.1Q (4096 değer) 802.1Q 2. Çok noktalı hizmetlerin uygulanması için ikinci bir yöntem ise, bir sağlayıcının herhangi birin diğerine bir Ethernet bağlanırlık modeli yaratmak için MPLS omurgası kullandığı, VPLS gibi hizmetler önermektir (Şekil 4). VPLS ile sağlayıcının iletişim ağı MPLS üzerinden bağlantılar örgüsü yaratır. VPLS Ethernet gibi çalıştığından dolayı, bu teknolojinin kullanıcıları, Ethernet ten elde edecekleri faydaların aynısı elde ederler. Hizmet bir MPLS omurgası kullandığı halde, işletme, Bu resim MPLS üzerinden VPLS uygulamasını açıklamaktadır. Bu çizimde, bir şirket içerisindeki farklı grupları destelemek için VLAN lar yaratılmıştır. Her VLAN içerisindeki her bireyin yalnızca o VLAN üzerindeki bilgilere ve kişilere erişimi vardır. Agency Location 1 Acente Yeri 1 Agency Location 2 Acente Yeri 2 Label Switched Routers Etiketli Anahtarlamalı Yönlendiricileri IP/MPLS Network IP/MPLS Ağı Customer Edge Müşteri Ayrıtı Provider Edge Sağlayıcı Ayrıtı VPLS Nasıl Çalışır? VPLS, geniş alan ağı üzerinde bir LAN ın işlevselliği ile aynı işi yapar. VPLS ile işletme, MPLS içersine Ethernet Çerçevesi sarmalayan ve paketi iletişim ağı boyunca uygun, dışarı giden ara yüze yönlendiren bir VPLS sağlayıcı ayrıt yönlendiricisine Ethernet erişimine sahip olur. Kısaca VPLS, Ethernet Çerçevesini, MPLS olarak, iletişim ağı boyunca taşır. Her müşteri ayrıt (customer edge CE) cihazı, hedef Ethernet adresini arayan ve pakete sanal bir kanal etiketi ekleyen, Sağlayıcı Ayrıt (provider edge PE) yönlendiricisine bağlanır. Paketler, MPLS Anahtarlamalı Etiket Yönlendiricileri (Label Switched Routers) aracılığıyla, MPLS ağından geçerek, diğer uçtaki PE yönlendiricisine yöneltilirler. VPLS, Ethernet anahtarı işlevini şunları yaparak görür: 1. Ethernet Çerçevelerini yönlendirerek 2. Sanal LAN (VLAN) üzerindeki tüm bağlantı noktalarına bilgileri yönlendirerek 3. Dinamik olarak son istasyonlar için Medya Erişim Kontrolü (MAC) adreslerini (LAN bağdaştırıcıları ile ilişkili özgün adresler) öğrenerek
Genel Bakış VPLS i Anlamak 4 Ethernet LAN ları, bilgilerin alınması için tüm cihazlara iletilebildiği, yayınlama alanları ya da kısıtlı bölgelerdir. MAC adreslerini kullanılarak, her hangi bir cihaz aynı yayınlama alanındaki diğer bir cihaza gönderebilir ve malzemenin göndericisinin tanımlayabilir. Bu, gönderildiğinden emin olmak için paketin izinin sürülebilmesine imkan tanır. Şeffaf LAN Hizmeti (transparent LAN service TLS) olarak bilinen hizmet ile VPLS, bağlantıların tek Ethernet ağı olarak gözükmesine olanak sağlar. Ağ çözümü, şehirler ve ülkeler boyunca, iletişim ağını kentsel alanın dışlına genişleterek, tek bir LAN olarak gözükür. Şekil 5 VPLS aracılığıyla bir Ethernet WAN çözümünü göstermektedir. Şekil 5 Bu şekil, VPLS aracılığıyla bir Ethernet WAN çözümünü göstermektedir. MPLS Core Customer Site Routing Adjacency VPLS in Faydası MPLS Çekirdeği Müşteri Sitesi Yönlendirme Bitişikliği VPLS, işletmelerin bant genişliğini megabitlerden gigabitlere ölçeklendirmesine olanak sağlayarak, Ethernet in tüm yararlarını sunar. Donanımların iyileştirilmesi kolay olduğu için, bant genişliği gereksinimleri kisa zamanda karşılanabilir. Daha yüksek hızda bir hizmete ölçeklendirmek, var olan donanımda küçük bir değişiklik yaparak kolay olabilir. Çoğu işletmenin hali hazırda yerinde Ethernet donanımı mevcuttur, VPLS yapmak düşük maliyetli (cost effective) bir çözümdür. Ayrıca, yüksek hızlara ulaşmak, bakırdan fibere geçiş yapmayı gerektirmez. Hizmet, protokolden bağımsızdır, IP, IPX ve diğer protokolleri de destekler. VPLS in yararlarından biri de, yönlendirme (routing) esnekliği ve kontrolüdür. Ethernet in özünde olan herhangi birinden diğerine bağlanabilmek yeteneği, sitelerin eklenmesini veya çıkarılmasını kolaylaştırır. Bir ışletme, bir kere ağa bağlandığı zaman, ağ üzerindeki herhangi bir yere ulaşabilir. Bir Ethernet anahtarına benzer olarak, VPLS, yeni bir site çevrimiçi olduğunda, tablolarını günceller. Yeni bir siteyle iletişim kurabilmek için, ağ üzerinde var olan sitelerde bir değişiklik yapılmasına gerek kalmaz. VPLS ile işletme, yönlendirme üzerinde kontrolü ele alır ve taşıyıcıyla 3. katman tablolarını paylaşmaz. Bu, yollarını paylaşmak istemeyen ve güvenlik endişesi taşıyan işletmeler için önemli bir faydadır. Buna ek olarak, VPLS 2. katman bir hizmet olduğundan dolayı, işletmenin Sınır Ağ Geçidi Protokolü (Border Gateway Protocol BGP) gibi, yönlendirme protokollerinin varlığından endişe duymasına gerek kalmaz, çünkü onlar şeffaftır. VPLS, SNA, NetBIOS ve Apple Talk gibi eskiden kalma protokolleri de destekler. Son olarak, Ethernet yaygın bir şekilde kullanıldığı için, VPLS uygularken işletmenin BT personelinin eğitilmesi gerekmez ya da çok az bir eğitim gerekir. VPLS Ne Zaman İyi Bir Çözümdür? Eğer bir işletme, örgülü bağlantıya (meshed connectivity) ve iletişim ağını ölçeklendirebilmeye (ability to scale the network) gereksinim duyuyorsa, VPLS iyi bir çözümdür. IP yolları bir sağlayıcıyla paylaşılmadığından dolayı, yönlendirmeyi (routing) kontrol etmek isteyen ve kendi ağlarını ve bağlantılarını yönetmek isteyen müşteriler için oldukça uygundur. Genellikle bu, küçük ve daha az karmaşık iletişim ağı ortamını yansıtır. İşletmeler, var olan yerel Ethernet ara yüzlerinden faydalanabilir ve iletişim ağlarını Geniş Alan Ağlarına (Wide Area Networks) genişletebilirler. VPLS, örgülü olmayan ağların, Ethernet bağlantısına ihtiyaç duyulmayan, yüksek sayıdaki sitelerin bir ağ içerisinde birbirleriyle iletişim kurmaları gereken yerlerin veya IP yollarını duyurmak (advertise IP Routes) isteyen bir işletmenin gereksinimini karşılayamayabilir. Ethernet in bazı coğrafi kapsam sınırlamaları olduğu için, belirli bölgelerde daha büyük ağları tamamlamak amacıyla kullanılabilinir, fakat coğrafi olarak dağılmış birden çok yerin gereğini karşılayamayabilir. Buna ek olarak, yönlendiricilerin barındırabileceği MAC adreslerinin de sınırları vardır. Birçok yol gerektiren daha büyük ağlar için, IP adresleme ile birlikte 3. katman (Layer 3) MPLS VPN, daha uygun olabilir. VPLS, sorun çözmek (troubleshhoting) için, küme denetlemesi (cloud monitoring) araçları gerektirmesi açısından, 3. katman MPLS VPN ye benzer. Diğer 2. katman hizmetlerinin, bağlantının açık ya da kapalı olduğunu gösteren açık sınırlama noktaları (dmarcs) mevcuttur. 3. katman MPLS VPN e benzer başka bir özellik olarak, VPLS yol değişiklileri mutlaka sağlayıcı yönlendiricileri ve 3. katmandaki yol yansıtıcıları aracılığıyla yayılmalıdır. Erişim yanlışlarını VPLS ile onarmak, diğer geleneksel 2. katman hizmetlerine göre biraz daha uzun sürebilir. Özet Tek Bir Ölçü Hepsine Birden Uymaz VPLS, kolay ölçeklendirilebilir mimarisine, esnekliğine ve karşılanabilirliğine bağlı olarak giderek daha popüler hale gelmektedir. Günümüzde kullanılan birçok teknolojide olduğu gibi, VPLS in iyi bir çözüm olup olmadığına karar verebilmek için, işletmenin gereksinimleri göz önünde bulundurulmalıdır. Bazı durumlarda, çözümlerin bir karışımı gerekebilir (Şekil 6).
Genel Bakış VPLS i Anlamak 5 Şekil 6 Bu şekil, hem 3. katman (Layer 3) MPLS VPN, hem de 2. katman (Layer 2) VPLS in kullanımını göstermektedir. Müşteri, merkezlerin hareketini kolaylaştırmak için, veri merkezleri için olan yönlendirmeyi kontrol altına almak istemiştir. Müşteri, VPLS kullanarak, veri merkezi yönlendirmesinde tam kontrolü elinde tutmuştur. Bir 3. katman MPLS VPN, veri merkezlerine uzak sitelerin bağlantısı için kullanılmıştır. Customer Data Centers and Hubs Müşteri Veri Merkezleri ve Göbekleri (Hubs) Ethernet Port Ethernet Bağlantı Noktası FR Çerçeve Aktarıcı (Frame Relay) PPP Noktalar Arası Protokol (Point to point Protocol) ATM Eşzamansız Aktarım Modu (Asynchronous Transfer Mode) DSL Sayısal Abone Hattı (Digital Subscribers Line) Daha fazla bilgi için AT&T Temsilcinizle iletişime geçin ya da bizi www.att.com/business adresinden ziyaret edin. 07/02/08 AB 1252 2008 AT&T Fikri Hakları. Tüm Hakları Saklıdır. AT&T ve AT&T logosu, AT&T Fikri Hakları nın tescilli markalarıdır.