Che cos'è un servizio di rete LAN privata virtuale?

Il servizio di LAN privata virtuale (VPLS) è un tipo di configurazione WAN che utilizza una dorsale IP/MPLS per connettere siti remoti.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire VPLS
  • Comprendere come funziona il DNS
  • Confronto tra VPLS e SD-WAN

Copia link dell'articolo

Che cos'è un servizio di rete LAN privata virtuale?

Il servizio di LAN privata virtuale (VPLS) è un tipo di tecnologia di rete privata virtuale (VPN) che utilizza una backbone IP/MPLS gestita dal provider per connettere molti siti remoti in un unico dominio di broadcast Ethernet condiviso. Questa tecnologia è utilizzata da organizzazioni con più sedi distaccate perché semplifica la gestione della rete e offre un'esperienza di connessione ad alte prestazioni. In sostanza, VPLS fa sì che sembri che tutte le sedi separate di un'azienda siano collegate direttamente alla stessa rete locale, indipendentemente dalla loro posizione fisica.

VPLS viene spesso utilizzato come soluzione di rete geografica (WAN) che sfrutta la scalabilità e l'affidabilità della rete MPLS centrale di un fornitore di servizi. Poiché opera al livello 2 del modello OSI, VPLS gestisce i frame Ethernet (un'unità di dati al livello 2, analoga ai pacchetti) senza la necessità di configurazioni complesse di routing nei siti dei clienti. Consente alle aziende di collegare le loro diverse reti locali (LAN) utilizzando tunnel sicuri e ad alta velocità. È particolarmente rilevante per le organizzazioni che hanno bisogno di minimizzare la latenza per applicazioni in tempo reale come voce e video.

Come funziona VPLS

VPLS si basa sull'infrastruttura di rete del fornitore di servizi, in particolare sui router del provider edge (PE) sul perimetro della rete e sui dispositivi di bordo del cliente (CE) presso la sede del cliente. I router PE apprendono gli indirizzi Media Access Control (MAC) del cliente, in modo simile a come opera un grande switch. Questi router creano una rete "full mesh" di connessioni virtuali, note come pseudowire, attraverso la rete MPLS centrale per garantire la connettività any-to-any tra tutti i siti dei clienti.

Poiché VPLS opera al livello 2 (il livello di collegamento dati), trasferisce in modo trasparente i frame Ethernet attraverso la WAN. Ciò significa che il traffico di rete del cliente può attraversare la VPLS senza conoscere la rete di trasporto MPLS sottostante. Il fornitore utilizza etichette MPLS per separare logicamente il traffico e instradare i dati dei clienti in modo sicuro all'interno della propria rete dorsale privata.

Aspetti tecnici chiave dell'implementazione di VPLS:

  • I pseudofili (tunnel) formano un'architettura mesh completa per la comunicazione tra qualsiasi dispositivo.
  • I router PE del fornitore di servizi gestiscono l'apprendimento e l'inoltro degli indirizzi MAC dei clienti.
  • VPLS utilizza tipicamente MPLS, che fornisce percorsi prevedibili, qualità del servizio (QoS) e bassa latenza per la rete aggregata del cliente.

VPLS e SD-WAN

Configurate nell'hardware, le politiche di instradamento VPLS e la capacità sono essenzialmente immutabili. Sebbene colleghi efficacemente le sedi distaccate, il lavoro da remoto e il cloud computing possono causare un degrado delle prestazioni. Il traffico di rete potrebbe seguire percorsi non ottimali da e verso destinazioni esterne alle filiali, poiché VPLS è progettato per il traffico da sito a sito. Il traffico verso un'applicazione SaaS spesso deve lasciare la VPLS presso un hub centrale o un datacenter. Gli hub centrali possono diventare punti di strozzatura che vengono sovraccaricati quando il traffico supera la larghezza di banda, degradando ulteriormente il servizio.

VPLS crea anche rischi di spostamento laterale, poiché non dispone di segmentazione nativa o controlli zero trust. Le organizzazioni con una rete VPLS hanno essenzialmente adottato un modello di sicurezza "castello e fossato", in cui difendono il perimetro di rete, ma gli attaccanti all'interno della rete (oltre il fossato, per così dire) possono muoversi liberamente.

La rete geografica definita dal software (SD-WAN) è un modello che incorpora molteplici tipi di connettività, tra cui linee dedicate, 5G, Internet pubblico e percorsi di rete cloud. Pertanto, offre una maggiore flessibilità rispetto a VPLS e può supportare meglio le esigenze aziendali moderne rispetto a VPLS. L'SD-WAN riduce la dipendenza dagli hub centrali per il traffico di rete. L'adozione di SD-WAN può anche far parte di un passaggio verso un modello Secure Access Service Edge (SASE), in cui la sicurezza zero trust è integrata nativamente con i servizi di rete.

Confronto tra VPLS e SASE:

VPLSSASE
Traffico da sito a sitoGli utenti possono trovarsi ovunque
Il traffico scorre attraverso hub centraliRouting flessibile
Larghezza di banda immutabileLarghezza di banda non limitata dall'hardware
Rischi di spostamento lateraleSicurezza Zero Trust
Cloudflare One modernizza le reti migliorando o sostituendo i circuiti MPLS e VPLS legacy. Questa piattaforma fornisce Zero Trust Network Access (ZTNA), servizi di sicurezza cloud native e connettività cloud tramite WAN-as-a-service. Il risultato è una connettività sicura e flessibile tra utenti, sedi distaccate e infrastruttura cloud a livello globale. Scopri di più su Cloudflare One.

 

DOMANDE FREQUENTI

Cos'è un servizio di LAN privata virtuale?

Il servizio di LAN privata virtuale (VPLS) è un tipo di tecnologia di rete privata virtuale (VPN) che collega più sedi remote in un unico dominio di broadcast Ethernet condiviso.

Perché le organizzazioni scelgono di utilizzare VPLS?

Le aziende con diverse filiali usano spesso il VPLS perché semplifica la gestione della rete e fornisce una connessione ad alte prestazioni.

Quale ruolo svolgono i dispositivi PE e CE in un'architettura VPLS?

Il VPLS si basa su router di provider edge (PE) e dispositivi di customer edge (CE). I router PE apprendono gli indirizzi Media Access Control (MAC) dei clienti e stabiliscono una mesh completa di connessioni virtuali, note come pseudowires, per garantire la connettività any-to-any tra tutti i siti.

Come viene gestita la sicurezza all'interno di una rete VPLS?

I fornitori di servizi utilizzano etichette MPLS per separare logicamente il traffico e instradare i dati in modo sicuro all'interno della loro dorsale privata. Tuttavia, il VPLS manca di controlli integrati di Zero Trust, il che può creare rischi di spostamento laterale se un aggressore ottiene l'accesso alla rete tramite account utente compromessi o dispositivi infetti da malware.

In che modo SD-WAN differisce da VPLS?

A differenza di VPLS, le reti geografiche definite dal software (SD-WAN) utilizzano molteplici tipi di connettività, come il 5G e Internet pubblico, per offrire maggiore flessibilità. SD-WAN riduce la necessità di hub centrali, migliorando la compatibilità con il cloud. SD-WAN consente di integrare più facilmente la sicurezza Zero Trust come parte di una distribuzione Secure Access Service Edge (SASE).

Informazioni sul livello di rete