Aller au contenu principal

11. Accessing the Internet from a VPN (Accéder à Internet depuis un VPN)

11. Accessing the Internet from a VPN (Accéder à Internet depuis un VPN)

De nombreux VPN auront besoin de pouvoir accéder à l'Internet public, ainsi que d'accéder à d'autres sites VPN. Nous décrivons ci-dessous quelques alternatives pour y parvenir.

  1. Dans certains VPN, un ou plusieurs sites auront un accès Internet via une "passerelle Internet" (peut-être un pare-feu) qui est attachée à une interface non-VRF d'un ISP. L'ISP peut être la même organisation que le SP fournissant le service VPN, ou non. Le trafic vers/de la passerelle Internet sera acheminé selon la table de transfert par défaut du routeur PE.

    Dans ce cas, le site ayant l'accès Internet peut distribuer la route par défaut à son PE, qui à son tour la redistribue aux autres PE, et donc aux autres sites du VPN. Cela fournit un accès Internet à tous les sites du VPN.

    Afin de traiter correctement le trafic provenant de l'Internet, l'ISP doit distribuer à l'Internet des routes vers les adresses à l'intérieur du VPN. Ceci est complètement indépendant de toute procédure de distribution de route décrite dans ce document. La structure interne du VPN n'est généralement pas visible depuis l'Internet ; de telles routes mèneraient simplement à l'interface non-VRF où la passerelle Internet du VPN est connectée.

    Dans ce modèle, il n'y a pas d'échange de routes entre la table de transfert par défaut d'un routeur PE et l'une de ses VRF. Le processus de distribution des routes VPN et le processus de distribution des routes Internet sont complètement indépendants.

    Notez que bien que certains sites du VPN utilisent des interfaces VRF pour communiquer avec l'Internet, en fin de compte, tous les paquets vers/de l'Internet traversent une interface non-VRF avant de quitter/entrer dans le VPN, c'est pourquoi nous appelons cela "l'accès Internet non-VRF".

    Notez que le routeur PE où l'interface non-VRF est connectée n'a pas nécessairement besoin de maintenir toutes les routes Internet dans sa table de transfert par défaut. La table de transfert par défaut peut avoir aussi peu qu'une seule route, "par défaut", vers un autre routeur (peut-être adjacent) qui a les routes Internet. Une variante de ce schéma est que les paquets reçus par le routeur PE via l'interface non-VRF soient tunnelisés vers un autre routeur qui maintient l'ensemble complet des routes Internet.

  2. Certains VPN peuvent obtenir un accès Internet via une interface VRF ("Accès Internet VRF"). Si le PE reçoit un paquet via une interface VRF, et si l'adresse de destination du paquet ne correspond à aucune route dans la VRF, il est possible d'essayer de la faire correspondre à la table de transfert par défaut du PE. S'il y a correspondance, le paquet peut être transféré nativement via le réseau dorsal vers l'Internet, au lieu d'être transféré via MPLS.

    Afin que le trafic circule nativement dans la direction inverse (de l'Internet vers l'interface VRF), certaines routes dans la VRF doivent être exportées vers la table de transfert Internet. Inutile de dire que toute route de ce type doit correspondre à une adresse globalement unique.

    Dans ce schéma, la table de transfert par défaut peut avoir l'ensemble complet des routes Internet, ou elle peut avoir aussi peu qu'une seule route par défaut vers un autre routeur qui a l'ensemble complet des routes Internet dans sa table de transfert par défaut.

  3. Supposez que le PE a la capacité de stocker des "routes non-VPN" dans une VRF. Si l'adresse de destination d'un paquet correspond à une "route non-VPN", alors le paquet est transporté nativement, plutôt que via MPLS. Si la VRF contient une route par défaut non-VPN, tous les paquets pour l'Internet public y correspondront, et seront transférés nativement au prochain saut de la route par défaut. À ce prochain saut, l'adresse de destination du paquet sera recherchée dans la table de transfert par défaut, et pourra correspondre à une route plus spécifique.

    Cette technique n'est disponible que s'il n'y a pas de routeur CE distribuant une route par défaut.

  4. Il est également possible d'obtenir un accès Internet via une interface VRF en faisant en sorte que la VRF contienne des routes Internet. Par rapport au modèle 2, cela élimine la seconde recherche, mais a l'inconvénient de nécessiter que les routes Internet soient répliquées dans chaque VRF de ce type.

    Si cette technique est utilisée, le SP peut vouloir faire de son interface vers l'Internet une interface VRF, et utiliser les techniques de la section 4 pour distribuer les routes Internet en tant que routes VPN-IPv4 vers d'autres VRF.

Il doit être clairement compris que par défaut, il n'y a pas d'échange de routes entre les VRF et la table de transfert par défaut. Cela n'est fait qu'UNIQUEMENT (ONLY) sur accord entre le client et le SP, et uniquement si cela est cohérent avec les politiques du client.

Dernière mise à jour le