Виртуальные частные сети на основе MPLS

Место MPLS VPN среди других технологий виртуальных частных сетей.

«MPLS представляет собой своеобразный технологический «ключ», открывающий дорогу в новый мир услуг IP VPN».

Документ Cisco Systems

«MPLS VPN мертвы. Они не могут масштабироваться даже в той степени, какая нужна была Internet пять лет назад. Они разрушат вашу сеть».

Стив Белловин, эксперт компании AT&T, член IETF

Будущее технологии коммутации меток (Multi Protocol Label Switching, MPLS) и виртуальных частных сетей на ее основе (MPLS Virtual Private Network, MPLS VPN) все еще туманно. Многочисленные положительные отзывы, высказываемые на различных конференциях, форумах и в средствах массовой информации, достигают порой таких превосходных степеней, как «наиболее значимая сетевая технология», на деле успехи MPLS пока весьма скромны. Причина не только в отсутствии достаточного числа внедрений. Сомнению и жесточайшей критике подвергаются даже теоретические положения, на которых базируется эта технология.

Два авторитетных специалиста из компании AT&T (и одновременно члена IETF) — Стив Белловин и Рэнди Буш подвергли MPLS VPN резкой критике. Белловин, будучи гуру по безопасности, считает, что сети MPLS VPN обеспечивают для корпоративных пользователей меньший уровень защищенности по сравнению с уже зарекомендовавшими себя технологиями ATM/FR VPN и IPSec VPN. Буш, как специалист по сетевым операциям, указывает на плохую масштабируемость MPLS VPN — в основном из-за того, что таблицы маршрутизации для узлов клиентов конфигурируются и хранятся на пограничных маршрутизаторах провайдера. Эти и ряд других аргументов завершаются убийственным выводом: «MPLS — это социальная болезнь...» Достаточно серьезные обвинения, если учесть статус авторов, тем более что компания AT&T применяет MPLS в своей сети, предлагая на базе этой технологии услугу IP-Enabled Frame Relay.

Среди серьезных аргументов в защиту MPLS VPN выдвигается тезис о том, что отсутствие встроенного шифрования в MPLS не является ее недостатком, так как потребитель этой услуги или сам провайдер в случае повышенных требований к безопасности может применить шифрование IPSec как дополнение к MPLS VPN. В остальных случаях MPLS VPN предоставляет тот же уровень защиты, что и ATM/FR VPN, так как и те, и другие базируются на виртуальных каналах (в MPLS они называются иначе — пути коммутации меток, но это не меняет их сути). Многие специалисты опровергают утверждение о недостаточной масштабируемости MPLS VPN. Они указывают на то, что MPLS VPN автоматически обеспечивает связь узлов виртуальной сети по принципу «каждый с каждым» (как в обычной сети IP), так что попарные связи между узлами не требуется конфигурировать вручную, как это необходимо в противопоставляемых технологиях ATM/FR VPN. (Под термином «узел» здесь и далее понимается территориально обособленная часть корпоративной сети, например сеть удаленного филиала.)

Кэролин Даффи Марсан высказывает и такое мнение по поводу противоречивых оценок MPLS: отношение к MPLS — вопрос не столько технический, сколь мировоззренческий, он связан с общим отношением конкретного специалиста к стратегии развития Internet и технологий IP. Те, кто считает, что Internet должен сохранить простоту «тупой» сети и доставку данных «по мере возможности» (best effort), никогда не признают MPLS. Чтобы обосновать свою предвзятую позицию, они могут приводить множество аргументов «против», но суть кроется в их принципиальном неприятии идеи усложнения транспортной инфраструктуры Internet. Те же, кто придерживается мнения, что Internet может превратиться в Сеть нового поколения (Next Generation Network) только с приобретением новых свойств (в частности, стать более интеллектуальной и централизованно управляемой сетью, обеспечивающей контроль над путями следования трафика и высокий уровень качества обслуживания), безоговорочно приветствуют MPLS как одно из средств трансформации глобальной сети.

Как видим, вопрос о перспективах MPLS VPN совсем не прост, он затрагивает различные аспекты сетевой индустрии: технические, организационные и даже философские. MPLS VPN — это только одна из разновидностей виртуальных частных сетей. Чтобы оценить справедливость аргументов противоборствующих сторон, полезно сначала понять, что такое «виртуальная частная сеть» в самом общем виде, какие основные типы VPN существуют сегодня в сетевом мире и какие критерии следует использовать при их сравнении.

ОПРЕДЕЛЕНИЕ ЧАСТНОЙ ВИРТУАЛЬНОЙ СЕТИ

Из того, что VPN — это виртуальная частная сеть, следует, что она каким-то образом воспроизводит свойства действительно частной сети. Без всяких натяжек назвать сеть частной можно только в том случае, когда предприятие единолично владеет и управляет всей сетевой инфраструктурой — кабелями, кроссовым оборудованием, каналообразующей аппаратурой, коммутаторами, маршрутизаторами и другим коммуникационным оборудованием.

Самым существенным отличительным свойством частной сети является ее изолированность от других сетей. Ниже приведены следствия такой изолированности.

• Независимый выбор сетевых технологий: выбор ограничивается только возможностями производителей оборудования.
• Независимая система адресации. В частных сетях нет ограничений на выбор адресов: они могут быть любыми.
• Предсказуемая производительность. Собственные каналы связи гарантируют заранее известную пропускную способность между узлами предприятия (для глобальных соединений) или коммуникационными устройствами (для локальных соединений).
• Максимально возможная безопасность. Отсутствие связей с внешним миром ограждает от атак извне и существенно снижает вероятность "прослушивания" трафика по пути следования.

Но частная сеть — решение крайне неэкономичное! Такие сети, особенно в национальном или международном масштабах, могут себе позволить только очень крупные и богатые предприятия. Роскошь создания частной сети — привилегия тех, кто имеет производственные предпосылки для создания собственной сетевой инфраструктуры. Например, нефтяные или газовые компании способны с относительно невысокими издержками прокладывать собственные технологические кабели связи вдоль трубопроводов. Частные сети были популярны в относительно далеком прошлом, когда общедоступные сети передачи данных были развиты очень слабо. Сегодня же их почти повсеместно вытеснили VPN, которые предлагают компромисс между качеством услуг и их стоимостью.

Технология VPN позволяет с помощью разделяемой (shared) несколькими предприятиями сетевой инфраструктуры реализовать сервисы, приближающиеся к сервисам частной (private) сети по качеству (безопасность, доступность, предсказуемая пропускная способность, независимость в выборе адресов). Она может быть реализована как самим предприятием, так и провайдером услуг. В первом случае провайдер предоставляет только «простые» традиционные услуги общедоступной сети по объединению узлов клиента, а специалисты предприятия самостоятельно конфигурируют средства VPN и управляют ими. Название «Поддерживаемые клиентом VPN» (Customer Provided VPN, CPVPN) отражает тот факт, что все тяготы поддержки VPN ложатся на плечи потребителя. Во втором случае провайдер на основе собственной сети воспроизводит частную сеть для каждого своего клиента, изолируя и защищая ее от остальных. Этот тип VPN получил название «Поддерживаемые провайдером VPN» (Provider Provisioned VPN, PPVPN). Такой способ организации VPN сравнительно нов и не столь широко распространен, как первый. Но в последние год-два популярность поддерживаемых провайдером VPN растет — заботы по созданию и управлению VPN довольно обременительны и специфичны, поэтому многие предприятия предпочитают переложить их на плечи надежного провайдера. Реализация услуг VPN позволяет провайдеру оказывать и ряд дополнительных услуг: контроль за работой клиентской сети, хостинг Web и почтовых служб, хостинг специализированных приложений клиентов.

Кроме деления VPN на CPVPN и PPVPN существует еще и другая классификация — в зависимости от места расположения устройств, выполняющих функции VPN. Виртуальная частная сеть может строиться:

• на базе оборудования, установленного на территории заказчика (Customer Premises Equipment based VPN, CPE-based VPN, или Customer Edge based VPN, CE-based VPN);
• на основе собственной инфраструктуры провайдера (Network-based VPN, или Provider Edge based VPN, PE-based VPN).

Слово «граница» (Edge) в названиях типов VPN указывает на то, что основную часть функций (или даже все) по поддержанию VPN выполняют пограничные устройства сети — либо клиента, либо провайдера.

Сети, поддерживаемые провайдером, могут быть как типа PE-based, так и типа CE-based (см. Рисунок 1). Первый вариант наиболее понятен: провайдер управляет расположенным в его сети оборудованием. Во втором случае оборудование VPN расположено на территории клиента, но провайдер управляет им удаленно, что освобождает специалистов предприятия-клиента от достаточно сложных и специфических обязанностей.

Когда VPN поддерживается клиентом (CPVPN), оборудование всегда находится в его сети — это вариант CE-based VPN.

КРИТЕРИИ ОЦЕНКИ И СРАВНЕНИЯ VPN

Классифицировать и сравнивать различные типы VPN можно также и по другим критериям.

VPN, как и любая моделирующая система, оценивается, во-первых, по тому, какой объект моделируется, во-вторых, по степени приближенности к оригиналу, и, в-третьих, по используемым средствам моделирования.

Тип (уровень) сервисов VPN зависит от того, какие элементы частной сети являются предметом эмуляции (можно сказать, и «виртуализации»).

Практически все VPN эмулируют собственные каналы в разделяемой сетевой инфраструктуре провайдера — понятно, что без каналов сети просто не будет. Здесь возможна небольшая терминологическая путаница — эмуляция собственных каналов в среде сети оператора на базе TDM (телефонной, PDH или SDH) традиционно не считается виртуальной частной сетью. Сети, построенные на собственном сетевом оборудовании, но на арендованных (leased) физических каналах, обычно называют частными. Это связано с тем, что используемая в этих сетях синхронная технология TDM позволяет гарантированно изолировать информационные потоки пользователей друг от друга и обеспечить в разделяемой среде для каждого потока фиксированную пропускную способность, а также задержки и другие параметры QoS на уровне неразделяемой среды. Недаром такие каналы называют также выделенными (dedicated) — они предоставляются клиенту в единичное владение, и их ресурсами другие клиенты воспользоваться не смогут. Более того, подавляющее число частных сетей работает не на собственных, а на арендованных каналах — по соображениям стоимости глобальных линий связи.

Поэтому термин «виртуальная частная сеть» применяется только тогда, когда физические каналы эмулируются средствами пакетных технологий: АТМ, frame relay, X.25, IP или IP/MPLS. Характер связи между узлами клиентов в этом случае уже вполне ощутимо отличается от собственного физического канала — такой канал обладает неопределенностью в пропускной способности и других характеристиках связи, поэтому определение «виртуальная» становится здесь уместным. При применении пакетных сетей для построения VPN клиентам предоставляются не только физические каналы, но и определенная технология канального уровня (например, ATM или frame relay), а при использовании IP — и сетевого.

Виртуальная частная сеть может эмулировать и более высокоуровневые (в терминах модели OSI) элементы сети. Так, сеть VPN способна работать на сетевом уровне, поддерживая трафик IP клиента с созданием эффекта изолированной сети IP (другие сетевые протоколы под давлением технологий Internet ушли сегодня в тень, поэтому для организации VPN они практически не используются). В этом случае помимо эмуляции физических каналов VPN производит некоторые дополнительные сетевые операции над клиентским трафиком — сбор разнообразной статистики, фильтрацию и экранирование взаимодействий между пользователями и подразделениями одного и того же предприятия (не нужно путать с экранированием от внешних пользователей — это основная функция VPN) и т. п.

Эмуляция сервисов прикладного уровня встречается в VPN гораздо реже, чем эмуляция собственно транспортных функций, но также возможна. Например, провайдер в состоянии поддерживать для клиента сайты Web, почтовую систему или специализированные приложения управления предприятием.

Приближенность предлагаемых сервисов к свойствам сервисов частной сети. Обычно степень приближенности оценивается по таким аспектам, как защищенность, качество транспортного обслуживания и независимость адресного пространства виртуальной частной сети.

Безопасность VPN подразумевает весь набор атрибутов защищенной сети — конфиденциальность, целостность и доступность информации при передаче через общедоступную сеть, а также защищенность внутренних ресурсов сети клиента и провайдера от внешних атак. Степень безопасности VPN варьируется в широких пределах, в зависимости от применяемых средств защиты — шифрования трафика, аутентификации пользователей и устройств, изоляции адресных пространств (например, на основе NAT), использования виртуальных каналов и туннелей «точка-точка», затрудняющих подключение к ним несанкционированных пользователей. Так как ни один способ защиты не дает абсолютных гарантий, то средства безопасности могут комбинироваться для создания эшелонированной обороны.

Качество транспортного обслуживания подразумевает, в первую очередь, гарантии пропускной способности для трафика клиента, к которым могут добавляться и другие параметры QoS — максимальные задержки и процент потерянных данных. В пакетных сетях пульсации трафика, переменные задержки и потери пакетов — неизбежное зло, поэтому степень приближения виртуальных каналов к каналам TDM всегда неполная и вероятностная (в среднем, но никаких гарантий для отдельно взятого пакета). Разные пакетные технологии отличаются различным уровнем поддержки QoS. В АТМ, например, механизмы качества обслуживания наиболее совершенны и отработаны, а в сетях IP они только начинают внедряться. Поэтому далеко не в каждой VPN эти особенности частной сети эмулируются. Считается, что безопасность — обязательное свойство VPN, а качество транспортного обслуживания — только желательное.

Независимость адресного пространства VPN — это одновременно и удобство конфигурирования сети клиента, и способ поддержания безопасности. Причем желательно, чтобы не только клиенты ничего не знали об адресных пространствах друг друга, но и магистраль провайдера имела собственное адресное пространство, неизвестное пользователям. В этом случае сеть провайдера будет более надежно защищена от умышленных атак или неумышленных действий своих клиентов, а значит, более высоким будет качество предоставляемых услуг VPN.

Сложность и стоимость создания, поддержания и модификации VPN определяют, в конечном счете, ее успех. Заметим, что у клиентов и провайдеров различные подходы к этим вопросам. Один тип VPN потребует от клиентов больших первоначальных и последующих затрат и будет сложным в поддержке сети, но для провайдера может оказаться весьма простым. В таком случае услуги будут относительно дешевыми. И наоборот — если технология VPN переносит все сложности организации и обеспечения дальнейшей работы сети на провайдера, собственные усилия клиента будут незначительными, но стоимость услуг провайдера возрастет. Заказчики должны отдавать себе отчет, что затраты на создание любой VPN всегда включают две составляющие — затраты на приобретение, инсталляцию, эксплуатацию собственных средств VPN и оплату услуг провайдера. В различных вариантах VPN эти составляющие имеют различный вес: в CPVPN первая больше, чем в PPVPN, зато со второй составляющей картина будет обратной. Необходимо учитывать, что для снижения стоимости услуг VPN обязательно должна обладать масштабируемостью — иначе провайдер не сможет обслужить достаточное количество клиентов. Свойство масштабируемости подразумевает возможность полной или частичной автоматизации работ по модификации связей между узлами клиента и добавлению новых клиентов. Обычно масштабируемость VPN оценивается зависимостью числа условных конфигурационных операций от количества узлов клиентов VPN.

ТЕХНОЛОГИИ СОЗДАНИЯ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ

Технологии, с помощью которых строятся виртуальные частные сети, оказывают существенное влияние на их свойства. Собственно, провайдеру, решившему оказывать услуги VPN, требуется прежде всего выбрать технологию, с помощью которой он сможет это делать.

VPN на базе технологий с поддержкой виртуальных каналов. Перечень таких технологий ограничивается на практике ATM и frame relay. X.25, которая поддерживает виртуальные каналы и имеет собственные VPN, сегодня может быть отнесена к унаследованным технологиям, заканчивающим свой жизненный цикл. Так как и АТМ, и frame relay используют при передаче данных только два уровня стека протоколов, варианты VPN, построенные на их основе, называют также VPN второго уровня (L2VPN). (В полной мере это справедливо только в случае постоянных виртуальных каналов PVC, при установлении же коммутируемых виртуальных каналов SVC привлекаются протоколы третьего уровня. Однако сервис на базе SVC не столь популярен у клиентов, поскольку его использование ведет к задержкам при установлении канала, к тому же провайдерам проще и безопасней поддерживать только услуги на базе PVC.) Виртуальные каналы «точка-точка» имитируют сервис выделенных каналов, проходя от пограничного устройства одного узла клиента (CE) через сеть провайдера к пограничному устройству другого узла клиента. Наличие в технологиях АТМ и frame relay механизмов поддержки QoS позволяет достаточно хорошо эмулировать качество выделенных каналов. Безопасность достигается главным образом благодаря тому, что весь трафик в магистральной сети не маршрутизируется, а коммутируется на основе локальных меток VPI/VCI (АТМ) или DLCI (frame relay) вдоль виртуальных каналов, к которым несанкционированный пользователь не может подключиться, не изменив таблицы коммутации устройств провайдера, а значит, ему не удастся провести атаку или прочитать данные.

Информация третьего уровня никогда не анализируется и не меняется в этих сетях — это одновременно и достоинство, и недостаток. Преимущество в том, что клиент может передавать по такому виртуальному каналу трафик любых протоколов, а не только IP. Кроме того, IP-адреса клиентов и провайдера изолированы и независимы друг от друга — они могут выбираться произвольным образом, так как не используются при передаче трафика через магистраль провайдера. Никаких других знаний о сети провайдера, кроме значений меток виртуальных каналов, клиенту не требуется. Недостаток этого подхода состоит в том, что провайдер не оперирует трафиком IP клиента и, следовательно, не может оказывать дополнительные услуги, связанные с сервисами IP, а это сегодня очень перспективное направление провайдерского бизнеса.

Сложность VPN на основе виртуальных каналов (L2VPN) достаточно высока, как и ее стоимость. При организации полносвязной топологии узлов клиента зависимость операций конфигурирования от числа сайтов имеет квадратичный характер (см. Рисунок 2а). Действительно, необходимо создать N x (N-1)/2 двунаправленных виртуальных каналов (или N x (N-1) однонаправленных), что, например, при 100 узлах дает 5000 операций конфигурирования (хотя они и выполняются с помощью автоматизированных систем управления, ручной труд и вероятность ошибки все равно сохраняются). При поддержке только услуг Intranet общее количество конфигурируемых соединений прямо пропорционально количеству клиентов — и это хорошо! Но оказание услуг Extranet ухудшает ситуацию, так как необходимо обеспечить связь узлов разных клиентов. Масштабируемость ATM/FR VPN можно улучшить, если клиент откажется от полносвязной топологии и организует связи типа «звезда» (hub and spoke) через один или несколько выделенных транзитных узлов (см. Рисунок 2б). Конечно, производительность сети клиента при этом уменьшится, так как увеличится число транзитных передач информации. Однако экономия средств будет налицо — провайдеры взимают деньги за свои виртуальные каналы, как правило, «поштучно».

По отношению к сети ATM/FR VPN сеть IP является наложенной. (Без этой сети провайдеру все равно не обойтись, поскольку он не может не оказывать услуги доступа к Internet, да и управлять своей сетью ATM/FR без IP у него вряд ли получится.) Наложенная структура, при которой клиентские сети IP ничего не знают о структуре (а в данном случае — даже о наличии) сети IP у провайдера, — характерная особенность организации VPN (см. Рисунок 3). За счет этого и выполняется изоляция сети IP клиента — как от провайдера, так и от других клиентов.

VPN на базе общедоступной сети IP провайдера. В эту категорию попадают различные технологии: IPSec VPN, MPLS VPN, VPN на основе других технологий туннелирования через IP, например GRE, PPTP или L2TP. Так как при передаче трафика через сеть провайдера используется технология третьего уровня, то эти варианты VPN называют также VPN третьего уровня (L3VPN).

Во всех случаях клиент посылает трафик в сеть провайдера с помощью протокола IP, поэтому провайдер в состоянии оказывать не только услуги VPN, но и дополнительные, в том числе и прикладного уровня.

IPSec VPN. Технология IPSec — стандарт Internet, при этом ее смело можно назвать одной из наиболее популярных и перспективных технологий обеспечения безопасности трафика в сетях IP. Стандарты IPSec обеспечивают высокую степень гибкости, позволяя выбирать нужный режим защиты (с шифрованием или только с обеспечением аутентичности и целостности данных), а также использовать различные алгоритмы аутентификации и шифрования. Режим инкапсуляции IPSec позволяет изолировать адресные пространства клиента и провайдера за счет применения двух IP-адресов — внешнего и внутреннего.

Чаще всего IPSec нужны для поддерживаемых клиентом VPN (CPVPN), когда он самостоятельно создает туннели IPSec через сеть IP провайдера. Причем от последнего требуется только предоставление стандартного сервиса по объединению сетей — а значит, доступны как услуги в пределах сети провайдера, так и услуги Internet. Сложность конфигурирования IPSec VPN высокая — поскольку туннели IPSec представляют собой туннели «точка-точка», то при полносвязной топологии их количество пропорционально N x (N-1). Необходимо учесть еще и непростую задачу поддержания инфраструктуры ключей.

IPSec может применяться и для создания VPN, поддерживаемых провайдером, — туннели в них также строятся на базе устройств клиента (CE-based), но эти устройства удаленно конфигурируются и управляются провайдером.

Из всех свойств частной сети виртуальные частные сети на основе IPSec эмулируют только ее защищенность и изолированность адресного пространства. Пропускная способность каналов и другие параметры QoS этой технологией не поддерживаются, но, если оператор предоставляет услуги QoS (например, с помощью DiffServ), туннель IPSec может ими пользоваться.

VPN на основе туннелирования через IP. Этот термин объединяет различные технологии, которые для образования VPN используют туннели через сеть IP провайдера. Туннель обеспечивает изоляцию адресного пространства клиента, он может переносить незашифрованный трафик (GRE, L2TP) или же шифровать его (PPTP).

Таблицы маршрутизации для клиентов могут быть построены автоматически — с помощью протокола BGP и техники виртуального маршрутизатора. Виртуальный маршрутизатор соответствует случаю, когда для каждого узла клиента создается отдельная таблица маршрутизации. Протокол BGP с расширениями позволяет изолировать маршрутную информацию различных VPN, распространяя ее только между виртуальными маршрутизаторами, принадлежащими одной VPN. В некоторых вариантах таких VPN обеспечивается автоматическое построение туннеля во время добавления нового узла к сети провайдера (и соответствующем конфигурировании виртуального маршрутизатора). В этой ситуации сложность конфигурирования VPN становится пропорциональной не числу туннелей, а числу узлов — т. е. достигается масштабируемость обычных сетей IP!

С точки зрения пользователя, такие VPN ничем не отличаются от стандартной сети IP, так как их функциональность скрыта от пользователя наложенной структурой.

Недостатком данного типа VPN можно считать применение не очень распространенных методов туннелирования (а в случае PPTP они даже не являются стандартом Internet), что сдерживает их развитие и не сулит хороших перспектив.

MPLS VPN. Этот тип VPN сочетает свойства VPN второго и третьего уровней, так как доставка трафика до пограничного устройства сети провайдера осуществляется с помощью протокола IP (третий уровень), а внутри сети провайдера — с помощью MPLS. Правда, уровень MPLS определить не так просто — это постоянная тема яростных (и часто безрезультатных) споров о терминологии, но продвижение пакетов на основе локальных меток соответствует второму уровню, так что давайте на этом остановимся и не будем углубляться в терминологические дебри. Сегодня основным документом, описывающим организацию MPLS VPN, считается информационный RFC 2547, подготовленный специалистами Cisco Systems.

Методика продвижения, аналогичная виртуальным каналам ATM/FR, обеспечивает MPLS VPN безопасность примерно в той же степени, что и ATM/FR VPN (так как способы прокладки путей коммутации меток MPLS отличаются от способов прокладки PVC ATM/FR, то о полном соответствии говорить нельзя).

MPLS VPN использует разделение адресных пространств клиентов с помощью виртуального маршрутизатора, а протокол BGP с расширениями обеспечивает автоматическое построение таблиц маршрутизации клиентов. Пути MPLS между узлами клиентов устанавливаются автоматически, также с помощью BGP, так что сложность конфигурирования MPLS VPN пропорциональна количеству узлов клиента — это хорошая масштабируемость!

MPLS VPN не обеспечивают безопасность за счет шифрования и аутентификации, как это делает IPSec или PPTP, но допускает применение данных технологий как дополнительных мер защиты в случае необходимости.

Перед MPLS VPN не ставится задача поддержки качества обслуживания, но в случае необходимости провайдер может использовать методы DiffServ и MPLS Traffic Engineering (см. статью авторов «Искусство оптимизации сети» в декабрьском номере «Журнал сетевых решений/LAN» за 2001 г.).

У технологии MPLS VPN появились первые практические успехи. Она востребована рядом крупных международных провайдеров, которых принято называть провайдерами первого уровня (Tier 1). К ним относятся AT&T и WorldCom. Еще несколько провайдеров сообщили о реализации MPLS в своих сетях и скором начале предоставления коммерческих услуг VPN на ее основе. Осенью 2001 г. соответствующие заявления сделали Cable & Wireless, Global Crossing и Infonet. Компания Global Crossing уже начала предоставлять такую услугу под названием ExpressRoute. Cable & Wireless планирует начать в первом квартале, а Infonet — в середине 2002 г. Эти факты, учитывая вес перечисленных операторов в телекоммуникационном мире, говорят о многом.

В следующей статье MPLS будет рассмотрена более подробно, чтобы читатель смог сам сделать выводы о ее достоинствах и недостатках.