6. Maintaining Proper Isolation of VPNs (Aufrechterhaltung einer angemessenen Isolierung von VPNs)
6. Maintaining Proper Isolation of VPNs (Aufrechterhaltung einer angemessenen Isolierung von VPNs)
Um eine angemessene Isolierung eines VPNs von einem anderen aufrechtzuerhalten, ist es wichtig, dass kein Router im Backbone ein getunneltes Paket von außerhalb des Backbones akzeptiert, es sei denn, er ist sicher, dass sich beide Enden des Tunnels außerhalb des Backbones befinden.
Wenn MPLS als Tunneltechnologie verwendet wird, bedeutet dies, dass ein Backbone-Router ein gelabeltes Paket von einem benachbarten Nicht-Backbone-Gerät NICHT (MUST NOT) akzeptieren darf, es sei denn, die folgenden zwei Bedingungen sind erfüllt:
-
Das Label oben auf dem Label-Stapel wurde tatsächlich vom Backbone-Router an dieses Nicht-Backbone-Gerät verteilt, und
-
Der Backbone-Router kann feststellen, dass die Verwendung dieses Labels dazu führt, dass das Paket das Backbone verlässt, bevor ein niedrigeres Label im Stapel inspiziert wird und bevor der IP-Header inspiziert wird.
Die erste Bedingung stellt sicher, dass jedes gelabelte Paket, das von einem Nicht-Backbone-Router empfangen wird, ein Label oben auf dem Label-Stapel hat, das legitim und ordnungsgemäß zugewiesen ist. Die zweite Bedingung stellt sicher, dass der Backbone-Router niemals unter dieses Top-Label schaut. Der einfachste Weg, diese beiden Bedingungen zu erfüllen, besteht natürlich darin, dass die Backbone-Geräte sich weigern, gelabelte Pakete von Nicht-Backbone-Geräten zu akzeptieren.
Wenn MPLS nicht als Tunneltechnologie verwendet wird, muss eine Filterung durchgeführt werden, um sicherzustellen, dass IP-in-IP- oder GRE-in-IP-Pakete nur dann in das Backbone aufgenommen werden können, wenn die IP-Zieladresse des Pakets dazu führt, dass es aus dem Backbone herausgesendet wird.