11. Accessing the Internet from a VPN (Zugriff auf das Internet aus einem VPN)

11. Accessing the Internet from a VPN (Zugriff auf das Internet aus einem VPN)

Viele VPNs müssen in der Lage sein, auf das öffentliche Internet sowie auf andere VPN-Standorte zuzugreifen. Wir diskutieren im Folgenden einige Alternativen, um dies zu erreichen.

1. In einigen VPNs haben ein oder mehrere Standorte Internetzugang über ein "Internet-Gateway" (vielleicht eine Firewall), das an eine Nicht-VRF-Schnittstelle eines ISP angeschlossen ist. Der ISP kann dieselbe Organisation sein wie der SP, der den VPN-Dienst bereitstellt, oder auch nicht. Verkehr zum/vom Internet-Gateway wird gemäß der Standard-Weiterleitungstabelle des PE-Routers geroutet.

   In diesem Fall kann der Standort, der den Internetzugang hat, die Standardroute an seinen PE verteilen, der sie wiederum an die anderen PEs und damit an die anderen Standorte im VPN verteilt. Dies bietet Internetzugang für alle Standorte im VPN.

   Um Verkehr aus dem Internet ordnungsgemäß zu handhaben, muss der ISP Routen zu den Adressen innerhalb des VPNs ins Internet verteilen. Dies ist völlig unabhängig von allen in diesem Dokument beschriebenen Verfahren zur Routenverteilung. Die interne Struktur des VPNs ist aus dem Internet im Allgemeinen nicht sichtbar; solche Routen würden einfach zu der Nicht-VRF-Schnittstelle führen, an der das Internet-Gateway des VPNs angeschlossen ist.

   In diesem Modell gibt es keinen Routenaustausch zwischen der Standard-Weiterleitungstabelle eines PE-Routers und einer seiner VRFs. Der Prozess der VPN-Routenverteilung und der Prozess der Internet-Routenverteilung sind völlig unabhängig.

   Beachten Sie, dass, obwohl einige Standorte im VPN VRF-Schnittstellen verwenden, um mit dem Internet zu kommunizieren, letztendlich alle Pakete zum/vom Internet eine Nicht-VRF-Schnittstelle passieren müssen, bevor sie das VPN verlassen/betreten, weshalb wir dies als "Nicht-VRF-Internetzugang" bezeichnen.

   Beachten Sie, dass der PE-Router, an dem die Nicht-VRF-Schnittstelle angeschlossen ist, nicht unbedingt alle Internet-Routen in seiner Standard-Weiterleitungstabelle führen muss. Die Standard-Weiterleitungstabelle kann nur eine einzige Route haben, "default", zu einem anderen Router (vielleicht einem benachbarten), der die Internet-Routen hat. Eine Variante dieses Schemas besteht darin, dass über die Nicht-VRF-Schnittstelle vom PE-Router empfangene Pakete zu einem anderen Router getunnelt werden, der den vollständigen Satz von Internet-Routen führt.

2. Einige VPNs können Internetzugang über eine VRF-Schnittstelle erhalten ("VRF-Internetzugang"). Wenn der PE ein Paket über eine VRF-Schnittstelle empfängt und die Zieladresse des Pakets mit keiner Route in der VRF übereinstimmt, ist es möglich zu versuchen, sie mit der Standard-Weiterleitungstabelle des PE abzugleichen. Wenn es dort eine Übereinstimmung gibt, kann das Paket nativ über das Backbone zum Internet weitergeleitet werden, anstatt über MPLS weitergeleitet zu werden.

   Damit Verkehr in umgekehrter Richtung (vom Internet zu einer VRF-Schnittstelle) nativ fließt, müssen bestimmte Routen in der VRF in die Internet-Weiterleitungstabelle exportiert werden. Es versteht sich von selbst, dass jede solche Route einer global eindeutigen Adresse entsprechen muss.

   In diesem Schema kann die Standard-Weiterleitungstabelle den vollständigen Satz von Internet-Routen haben, oder sie kann nur eine einzige Standardroute zu einem anderen Router haben, der den vollständigen Satz von Internet-Routen in seiner Standard-Weiterleitungstabelle hat.

3. Angenommen, der PE hat die Fähigkeit, "Nicht-VPN-Routen" in einer VRF zu speichern. Wenn die Zieladresse eines Pakets mit einer "Nicht-VPN-Route" übereinstimmt, wird das Paket nativ transportiert, anstatt über MPLS. Wenn die VRF eine Nicht-VPN-Standardroute enthält, passen alle Pakete für das öffentliche Internet darauf und werden nativ an den Next Hop der Standardroute weitergeleitet. An diesem Next Hop wird die Zieladresse des Pakets in der Standard-Weiterleitungstabelle nachgeschlagen und kann mit einer spezifischeren Route übereinstimmen.

   Diese Technik ist nur verfügbar, wenn kein CE-Router ein Verursacher der Verteilung einer Standardroute ist.

4. Es ist auch möglich, Internetzugang über eine VRF-Schnittstelle zu erhalten, indem die VRF Internet-Routen enthält. Im Vergleich zu Modell 2 eliminiert dies die zweite Suche, hat aber den Nachteil, dass die Internet-Routen in jeder solchen VRF repliziert werden müssen.

   Wenn diese Technik verwendet wird, kann der SP seine Schnittstelle zum Internet zu einer VRF-Schnittstelle machen und die Techniken von Abschnitt 4 verwenden, um die Internet-Routen als VPN-IPv4-Routen an andere VRFs zu verteilen.

Es muss klar verstanden werden, dass standardmäßig kein Routenaustausch zwischen VRFs und der Standard-Weiterleitungstabelle stattfindet. Dies geschieht NUR (ONLY) nach Vereinbarung zwischen Kunde und SP und nur dann, wenn es mit den Richtlinien des Kunden vereinbar ist.