Опубликован: 28.09.2007 | Уровень: специалист | Доступ: платный
Лекция 9:

Маршрутизация для групп ЭВМ

9.2. Маршрутизация для VPN (Мультипротокольные расширения для BGP-4 – RFC-2858)

Широкое внедрение протокола MPLS (Multiprotocol Label Switching —мультипротокольная коммутация пакетов по меткам) ставит некоторые новые задачи маршрутизации. Специфика коммутации на основе меток, записанных в пакетах, принципиально меняет идеологию маршрутизации. Наиболее часто VPN формируются сервис-провайдерами. Протокол MPLS позволяет достаточно просто решить эту проблему. Маршруты через опорную сеть прокладываются с помощью протокола BGP (Border Gateway Protocol).

Одной из причин широкого внедрения протоколов коммутации пакетов по меткам является непомерный рост объема маршрутных таблиц и, как следствие, увеличение задержек (RTT) из-за необходимости просмотра этих таблиц.

Рассмотрим набор сайтов, которые подсоединены к общей сети, называемой опорной. Определим некоторую политику при создании субнаборов этого набора и введем следующее правило: два сайта могут взаимодействовать друг с другом через опорную сеть, только если, по крайней мере, один из этих субнаборов содержит оба эти сайта.

Субнаборы, которые создаются, являются "Частными виртуальными сетями" (VPN). Два сайта имеют IP-коннективность через опорную сеть, только если существует VPN, которая содержит в себе оба эти сайта. Два сайта, которые не имеют общих VPN, не имеют связи через опорную сеть. (Смотри также RFC-2547.)

Если все сайты в VPN принадлежат одной и той же компании, VPN является корпоративной "интранет". Если разные сайты в VPN принадлежат различным компаниям, VPN считается "экстранетом". Сайт может состоять в более чем одной VPN, например, интранет и несколько экстранетов. Будем рассматривать интранеты и экстранеты как VPN. Вообще, при использовании термина VPN в дальнейшем не будет делаться различия между интранетами и экстранетами.

Будем рассматривать случай, когда опорная сеть принадлежит и обслуживается одним или несколькими сервис-провайдерами (SP). Владельцы сайтов являются клиентами SP. Будет ли конкретный набор сайтов VPN, определяется политикой клиентов. Некоторые клиенты могут пожелать, чтобы реализация политики осуществлялась исключительно SP. Другие клиенты могут осуществлять политику самостоятельно или делить ответственность с SP. Далее обсуждаются механизмы, которые могут быть применены для реализации такой политики. Эти механизмы являются достаточно общими, чтобы реализовать политику либо самим SP, либо клиентом VPN совместно с SP . Большая часть обсуждения, однако, посвящена последнему варианту.

Обсуждаемые механизмы допускают реализацию широкого диапазона политик. Например, в пределах данной VPN каждому сайту позволяется иметь прямой маршрут до любого другого сайта ("полная сетка") или можно выделить определенные пары сайтов, которые будут связаны друг с другом ("частичная сетка").

Здесь обсуждается случай, когда предприятие использует опорную сеть провайдера, или нескольких провайдеров, с которыми оно поддерживает отношения.

Предполагается, что на каждом сайте имеется одно или более оконечное устройство клиента CE (Customer Edge), каждое из которых подключено через какой-то канал (например, PPP, ATM, Ethernet, Frame Relay, GRE-туннель, и т.д.) к одному или более оконечному маршрутизатору провайдера PE (Provider Edge).

Если конкретный сайт имеет одну ЭВМ, эта машина может быть оконечным устройством CE. Если конкретный сайт имеет одну субсеть, оконечным устройством CE может стать сетевой переключатель. Вообще, устройством CE может быть маршрутизатор, который называется в этом случае CE-маршрутизатором.

Будем говорить, что PE-маршрутизатор подключен к определенной VPN, если он подключен к оконечному устройству CE, которое находится в VPN. Аналогично, будем считать, что маршрутизатор PE подключен к определенному сайту, если он подсоединен к устройству CE, которое находится в пределах этого сайта. Когда в качестве CE выступает маршрутизатор, он является маршрутным партнером PE, к которому подключен, но не является маршрутным партнером CE-маршрутизаторов в других сайтах. Маршрутизаторы в различных сайтах непосредственно не обмениваются маршрутной информацией. В действительности, они даже могут не знать о существовании друг друга. Как следствие, очень большие VPN (т.e., VPN с большим числом сайтов) хорошо поддерживаются и в то же время маршрутные стратегии каждого индивидуального сайта существенно упрощаются.

Важно сохранять четкие административные границы между SP и их клиентами [4]. Маршрутизаторы PE и P должны администрироваться SP, клиенты SP не должны иметь доступа к их управлению. Устройства CE должны управляться клиентом (если только клиент не заключил соглашение с SP).

VPN с перекрывающимися адресными пространствами

Предположим, что любые две не пересекающиеся VPN (т.e., VPN, не имеющие общих сайтов) могут иметь перекрывающиеся адресные пространства. Один и тот же адрес может использоваться повторно для разных систем в различных VPN. Поскольку оконечное устройство имеет уникальный адрес в области VPN, которой оно принадлежит, оконечное устройство не нуждается в какой-либо дополнительной информации о VPN.

В этой модели владельцы VPN не имеют опорной сети, которую нужно администрировать, не имеют даже виртуальной опорной сети. SP не должен администрировать опорную сеть для каждой VPN. Оптимальной маршрутизацией является путь в опорной сети от сайт-к-сайту (в рамках ограничений политики, использованной при формировании VPN).

VPN с разными маршрутами до одной и той же системы

Хотя сайт может находиться в нескольких VPN, не обязательно маршрут к данной системе будет тем же, что для всех прочих VPN. Предположим, например, что имеется интранет, состоящий из сайтов A, B и C, а также экстранет, включающий в себя A, B, C и "чужой" сайт D. Будем считать, что сайт A является сервером и мы хотим предоставить клиентам из B, C или D доступ к этому серверу. Предположим также, что сайт B является файерволом. Мы хотим, чтобы весь трафик из сайта D к серверу проходил через файервол, так, чтобы он мог контролироваться трафик из экстранета. Однако мы не хотим, чтобы трафик от C проходил через firewall на пути к серверу, поскольку это трафик интранет.

Это означает, что нужно конфигурировать два маршрута к серверу. Один маршрут, используемый сайтами B и C, организует трафик к сайту A. Второй маршрут, используемый сайтом D, формирует трафик через firewall сайта B. Если firewall позволяет проходить трафику, этот трафик затем рассматривается как приходящий из сайта B и следующий до узла A.

Таблицы переадресации в PE

Каждый маршрутизатор PE должен поддерживать несколько различных таблиц переадресации. Каждому сайту, к которому подключен PE, должна быть поставлена в соответствие такая таблица переадресации.

Когда пакет получен от определенного сайта, происходит обращение к ассоциированной с этим сайтом таблице переадресаций, чтобы определить, как маршрутизовать данный пакет. В таблицу переадресации, ассоциированную с сайтом S, записываются только маршруты, ведущие к другим сайтам, которые принадлежат, по крайней мере, одной VPN общей с S. Это предотвращает коммуникации между сайтами, которые не принадлежат общим VPN, и это позволяет двум VPN, не имеющим общих сайтов, использовать общее или перекрывающееся адресное пространство.

Маршрутизаторы опорной сети SP

Опорная сеть SP состоит из PE-маршрутизаторов, а также других маршрутизаторов (P-маршрутизаторы), которые не подключены к CE устройствам.

Если каждый маршрутизатор в опорной сети SP должен поддерживать маршрутную информацию для всех VPN, с которыми работает SP, такая модель будет иметь серьезные проблемы с масштабируемостью. Число поддерживаемых сайтов будет лимитировано объемом маршрутной информации, хранимой одним маршрутизатором. Важно, следовательно, потребовать, чтобы маршрутная информация о конкретном VPN присутствовала только в тех PE-маршрутизаторах, которые соединены с этой VPN. В частности, P-маршрутизаторы не должны иметь какой-либо маршрутной информации о любых VPN.

VPN может пользоваться услугами нескольких сервис-провайдеров. Предполагается, что когда путь между PE-маршрутизаторами пересекает границу между сетями SP, это делается согласно пиринговому соглашению, в рамках которого существует договоренность между двумя провайдерами. В частности, каждый провайдер должен доверять друг другу пересылку только корректной маршрутной информации и передавать ее в помеченных (в значении MPLS [9]) пакетах, только если эти пакеты были помечены отправителями, достойными доверия. Предполагается, что маршрутам, коммутируемым по меткам, разрешается пересекать границы между сервис-провайдерами.

Сайты и CE

С точки зрения конкретной опорной сети, набор IP-систем представляет собой сайт, если эти системы имеют взаимную коннективность, а коммуникации между ними происходят без использования опорной сети. Вообще, сайт образуется из набора систем, которые географически близки. Однако это не является верным всегда: две географические позиции, соединенные через выделенную линию и отстоящие друг от друга сколь угодно далеко, тоже будут представлять собой один сайт, так как коммуникация между ними не предполагает применение опорной сети.

CE-устройства всегда рассматриваются принадлежащими одному сайту (хотя, как мы это увидим, сайт может состоять из множества "виртуальных сайтов"). Сайт, однако, может принадлежать многим VPN.

PE-маршрутизатор может быть подключен к CE-устройствам нескольких различных сайтов, если эти устройства размещены в одной или разных VPN. CE-устройства могут для надежности быть присоединены к нескольким маршрутизаторам PE, одного или нескольких сервис-провайдеров. Если CE-устройством является маршрутизатор, то PE- и CE-маршрутизаторы окажутся смежными.

В то время как базовым блоком сети является сайт, описываемая архитектура позволяет создавать более тонкую степень гранулярности для управления коннективностью. Например, определенные системы сайта могут быть участниками Интернет или одного или нескольких экстранетов, в то время как для других систем того же сайта достаточно быть членами только интранета.

Таблицы переадресации сайта в PE

Каждый PE-маршрутизатор поддерживает одну или несколько таблиц переадресации сайта. Каждый сайт, к которому подключен PE-маршрутизатор, ассоциируется с одной из таких таблиц. Конкретный IP-адрес места назначения отыскивается в определенной таблице переадресации сайта, если только пакет пришел непосредственно от сайта, соответствующего этой таблице.

Как заполняются таблицы переадресации сайтов?

В качестве примера, пусть PE1, PE2 и PE3 являются PE-маршрутизаторами и пусть CE1, CE2 и CE3 являются CE-маршрутизаторами. Предположим, что PE1 узнает от CE1 маршруты, которые достижимы в сайте CE1. Если PE2 и PE3 подключены соответственно к CE2 и CE3 и имеется VPN V, содержащая CE1, CE2 и CE3, тогда PE1 использует BGP для посылки маршрутной информации PE2 и PE3, которую он получил от CE1. PE2 и PE3 используют эти маршруты для заполнения таблиц переадресации, которые ассоциируются ими с сайтами CE2 и CE3, соответственно. Маршруты из сайтов, которые находятся вне VPN V, не заносятся в эти таблицы, поэтому пакеты от CE2 или CE3 не могут быть посланы сайтам, которые не принадлежат VPN V.

Если сайт принадлежит нескольким VPN, таблица переадресации, ассоциированная с этим сайтом, может содержать маршруты от полного набора сетей VPN, членом которого является сайт.

PE содержит вообще только одну таблицу переадресации на сайт, даже если он соединен с сайтом несколькими путями. Различные сайты могут использовать одну и ту же таблицу переадресации, если они намерены пользоваться одним и тем же набором маршрутов.

Предположим, что пакет получен PE-маршрутизатором от определенного сайта, соединенного с ним непосредственно, но место назначения пакета не связано ни с одной из записей таблицы переадресации данного сайта. Если SP не предоставляет доступа к Интернет для данного сайта, то пакет отбрасывается. Если SP предоставляет доступ к Интернет для данного сайта, тогда просматривается таблица переадресации PE.

Для поддержки надежной изоляции одной VPN от другой важно, чтобы ни один маршрутизатор в опорной сети не принимал помеченных пакетов от смежных устройств не опорной сети, если выполняются следующие условия:

(a) метка в верхней позиции стека действительно прислана маршрутизатором опорной сети в устройство не опорной сети, и

(b) маршрутизатор опорной сети может определить, что использование этой метки вызовет уход пакета из опорной сети, до того как будет рассмотрена какая-либо ниже лежащая в стеке метка и до того как будет проанализирован IP-заголовок. Эти ограничения необходимы, чтобы препятствовать попаданию пакетов в VPN, которой они не принадлежат.

Таблицы переадресации сайта в PE используются только для пакетов, которые приходят от сайта, непосредственно связанного с PE. Они не используются для маршрутизации пакетов, которые присылаются другими маршрутизаторами, принадлежащими опорной сети SP. В результате может существовать несколько разных маршрутов до одной и той же системы, определяемых сайтом, из которого пакет попадает в опорную сеть. Например, может существовать маршрут до данной системы для пакетов из экстранет (где маршрут идет через firewall) и другой маршрут для пакетов из интранет (включая пакеты, которые уже идут через firewall).

Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????

Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989