L2 VPN канал (обычно Metro Ethernet)

Для объединения корпоративных сетей на уровне Ethernet наиболее подходящим решением будет использование либо высокоскоростных арендованных каналов, либо услуг L2 VPN.

Для заказчика подключение к L2 VPN каналам обычно представляется в виде подключения к порту Ethernet (на скорости 10 или 100Мбит/с). При этом сеть оператора связи выступает в роли «виртуального коммутатора», пересылающего пакеты между ЛВС отдельных офисов. Количество офисов при этом теоретически не ограничено. Возможна организация соединения между офисами Ethernet-транками (стандарт IEEE 802.1q).

У провайдера в таком случае применяется технология инкапсуляции пользовательских VLAN в один свой VLAN по технологии Q-in-Q.

Однако при таком подключении зачастую сложно организовать резервные каналы из-за того, что провайдер может не пропускать по своей сети BPDU-пакеты заказчика и есть угроза возникновения петель в его Ethernet-сети.

К плюсам таких решений для корпоративного пользователя относится низкая, по сравнению с аналогичными решениями на базе MPLS сети, стоимость канала, простота настройки оборудования и его стоимость, возможность передачи трафика, отличного от IP.

Относительно низкая стоимость организации высокоскоростных Ethernet-каналов позволяет рассматривать данный способ подключения и для соединения сетей заказчика на уровне IP с установкой на окончании канала маршрутизаторов, на которые часто возлагается задача шифрования передаваемого трафика.

Разделение данных между клиентами в операторских MetroEthernet сетях основано на использовании меток VLAN-ID в сетях провайдера. Если по сети передаются конфиденциальные данные, то обычно предпринимаются дополнительные меры по обеспечению их безопасности.

Решение для шифрования Ethernet-трафика на высоких скоростях не распространено. Поэтому при необходимости шифрования Ethernet-трафика применяются специальные решения.

В частности, применяется инкапсуляция Ethernet-фреймов в IP-пакеты, которые затем шифруются перед передачей в каналы сети Metro Ethernet. Данное решение требует установки дополнительного высокопроизводительного сетевого оборудования. Зачастую проще и дешевле произвести изначальное планирование сети передачи данных так, чтобы соединение между офисами производилось на сетевом (IP) уровне или чтобы данные, требующие дополнительной защиты, шифровались до передачи в сеть на уровне приложений.