<<
>>

Независимость адресных пространств

Если некоторое множество узлов никогда ни при каких условиях не получает маршрутную информацию от другого множества узлов, то адресация узлов в пределах каждого из этих множеств может выполняться независимо.

Ограничение области распространения маршрутной информации пределами отдельных сетей VPN изолирует адресные пространства каждой сети VPN, позволяя применять в ее пределах как публичные адреса Интернета, так и частные адреса, зарезервированные в соответствии со спецификацией RFC 1819.

Почему же в таком случае не сделать выбор адресов в пределах VPN совершенно произвольным и ограниченным только общими правилами адресации стека TCP/IP? Дело в том, что во многих случаях клиенты не хотят полной изоляции VPN: в частности, они нуждаются в выходе в Интернет. Независимое же (не согласованное с регламентирующими органами Интернета) назначение адресов узлам VPN может привести к совпадению внутренних адресов сайтов с уже использованными в Интернете публичными адресами, в результате чего связь с Интернетом станет невозможной.

При применении зарезервированных частных адресов проблема связи клиентов VPN с внешним миром решается с помощью стандартной техники трансляции адресов (NAT)[51] [52]. В любом случае должно соблюдаться требование уникальности адресов в пределах VPN.

Однако использование в разных сетях VPN одного и того же адресного пространства создает проблему для маршрутизаторов РЕ. Протокол BGP изначально был разработан в предположении, что все адреса, которыми он манипулирует, во-первых, относятся к семейству адресов IPv4 и, во-вторых, однозначно идентифицируют узлы сети, то есть являются глобально уникальными в пределах всей составной сети. Ориентация на глобальную уникальность адресов выражается в том, что, получив очередное маршрутное объявление, протокол BGP анализирует его, не обращая внимания на то, какой сети VPN принадлежит этот маршрут.

Если на вход BGP поступают описания маршрутов к узлам разных сетей VPN, но с совпадающими адресами IPv4, то протокол BGP считает, что все они ведут к одному и тому же узлу, а, следовательно, как и предусмотрено в алгоритме его работы, он помещает в соответствующую таблицу VRF только один лучший (в соответствии с правилами выбора BGP) маршрут.

Эта проблема была решена в MPLS VPN применением вместо потенциально неоднозначных адресов IPv4 расширенных и однозначных адресов нового типа, а именно адресов VPN-IPv4, получаемых путем преобразования исходных адресов IPv4. Преобразование заключается в том, что ко всем адресам IPv4, составляющим адресное пространство той или иной сети VPN, добавляется префикс, называемый различителем маршрутов (Route Distinguisher, RD), который уникально идентифицирует эту сегь. В результате на маршрутизаторе РЕ все адреса, относящиеся к разным сетям VPN, обязательно будут отличаться друг от друга, даже если они имеют совпадающую часть — адрес IPv4.

Именно здесь оказалась полезной способность расширенною протокола MP-BGP переносить в маршрутных объявлениях адреса разных типов, в том числе IPv6, IPX, а главное, — VPN-IPv4. Адреса VPN-IPv4 используются только для маршрутов, которыми маршрутизаторы РЕ обмениваются по протоколу BGP. Прежде чем передать своему напарнику некоторый маршрут, входной маршрутизатор РЕ добавляет к его адресу назначения IPv4 префикс RD для данной VPN, тем самым преобразуя его в адрес VPN-IPv4.

Как уже было отмечено, префиксы RD должны гарантированно уникально идентифицировать VPN, чтобы избежать дублирования адресов. Упростить выбор RD, не создавая для этих целей дополнительных централизованных процедур (например, распределения RD органами Интернета подобно распределению адресов IPv4), предлагается за счет использования в качестве основы для RD заведомо уникальных чисел — либо номеров автономных систем, либо глобальных адресов интерфейсов РЕ со стороны магистральной сети поставщика.

RD имеет длину 8 байт и состоит из трех полей.

? Первое поле типа длиной 2 байт определяет тип и разрядность второго поля.

? Второе поле называется полем администратора и однозначно идентифицирует поставщика. Значение 0 в поле типа говорит о том, что в поле администратора указан IP-aдpec интерфейса маршрутизатора РЕ, и длина данного поля составляет, естественно, 4 байт. Если же значение ноля типа равно 1, то в качестве идентификатора поставщика выбрано значение номера его автономной системы, так что длина поля администратора составит уже 2 байт.

? Третье поле носит название поля назначетино номера, оно служит для обеспечения уникальности адресов VPN в пределах сети поставщика. Назначенные номера выбирает сам поставщик, это могут быть произвольные числа, главное, чтобы существовало однозначное соответствие между ними и VPN поставщика.

Рисунок 24.20 иллюстрирует сложный процесс обмена маршрутными объявлениями в сети MPLS VPN. Этот процесс включает преобразование адресов из формата IPv4 в формат VPN-lPv4, фильтрацию маршрутных объявлений (операции экспорта-импорта) и добавление к объявлениям меток VPN. Мы последовательно будем рассматривать эти вопросы, поэтому читатель должен быть готов, что не все на этом рисунке ему будет нужно и понятно с самого начала.

Рис. 24.20. Маршрутные объявления MP-BGP

Итак, на рис. 24.20 показан пример преобразования адресов формата IPv4 с целью обеспечения уникальности адресов в рамках всех сетей VPN одного поставщика услуг. При формировании RD для каждой из сетей VPN администратор сети сначала выбирает глобальный адрес одного из внешних интерфейсов маршрутизатора РЕ1 (на рисунке это адрес 123.45.67.89), затем добавляет к нему через двоеточие 1, получая значение RD, равное 123.45.67.89:1. Формат RD представлен в табл. 24.1.

Указанное значение RD администратор назначает для сети VPN А. При конфигурировании маршрутизаторов РЕ администратор указывает это значение для всех таблиц VRF, которые соответствуют сети VPN А.

В частности, он задает это значение при создании VRF 1А, так что для протокола MP-BGP все адреса формата IPv4, которые находятся в таблице VRF1A, будут иметь RD 123.45.67:1,

в том числе все адреса с префиксом 10.1/16, которые РЕ1 получает от маршрутизатора СЕ1 сайта 1 в сети VPN А.

Таблица 24.1. Формат RD
Поле типа (2 байта) Поле администратора (4 байта) Поле назначенного номера (2 байта)
0 123.45.67.89 1

Аналогично, администратор выбирает для сетей VPN В значение RD равное 123.45.67.89:2, которое он указывает при конфигурировании VRF 1В на маршрутизаторе РЕ1. Это значение RD будет добавляться ко всем адресам IPv4, хранящимся в таблицах VRF 1 В, при обработке их протоколом MP-BGP.

ПРИМЕЧАНИЕ ---------------------------------------------------------------------------------------------------

Все маршруты в таблицах VRF содержат адреса в формате IPv4.

Сформированные маршруты в формате VPN-IPv4 маршрутизатор РЕ1 передает по протоколу MP-BGP на маршрутизатор РЕ2, к которому подключен сайт 2 сети VPN В. Только благодаря добавлениям RD протоколы BGP, работающие на удаленных маршрутизаторах РЕ, различают маршруты с совпадающими адресами IPv4, относящимися к разным сетям VPN.

Документ RFC 2547bis не требует, чтобы все маршруты внутри одной сети VPN индексировались одним и тем же значением RD. Более того, один и тот же сайт, подключенный к разным интерфейсам одного маршрутизатора РЕ или к разным маршрутизаторам РЕ, может иметь различающиеся значения RD. Благодаря этому путь к одному и тому же узлу может описываться разными маршрутами, что дает возможность выбора того или иного маршрута для различных пакетов. Однако принципиально важно, чтобы значения RD разных сетей VPN не совпадали.

<< | >>
Источник: В. Г. Олифер, Н. А. Олифер. 54 Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 3-е изд. 2006

Еще по теме Независимость адресных пространств:

  1. Адресность обращения (рекомендуется)
  2. Независимый мыслитель
  3. Два пространства
  4. 4.12. СТАНЬТЕ НЕЗАВИСИМЫМ НАБЛЮДАТЕЛЕМ
  5. ИНФОРМАЦИОННАЯ НЕЗАВИСИМОСТЬ
  6. Побольше независимости
  7. Независимость
  8. НЕЗАВИСИМОСТЬ
  9. ПРОСТРАНСТВО: ВОСПРИЯТИЕ
  10. ПРОСТРАНСТВО СЕМАНТИЧЕСКОЕ СУБЪЕКТИВНОЕ
  11. КУЛЬТУРНАЯ НЕЗАВИСИМОСТЬ
  12. РЕЛИГИОЗНАЯ НЕЗАВИСИМОСТЬ
  13. ПРОСТРАНСТВО: ВОСПРИЯТИЕ: НАРУШЕНИЕ
  14. Сохранять эмоциональную независимость трудно