6. Maintaining Proper Isolation of VPNs (Maintien d'une isolation appropriée des VPN)
6. Maintaining Proper Isolation of VPNs (Maintien d'une isolation appropriée des VPN)
Afin de maintenir une isolation appropriée d'un VPN par rapport à un autre, il est important qu'aucun routeur du réseau dorsal n'accepte un paquet tunnelisé de l'extérieur du réseau dorsal, à moins d'être certain que les deux extrémités du tunnel se trouvent à l'extérieur du réseau dorsal.
Si MPLS est utilisé comme technologie de tunnel, cela signifie qu'un routeur du réseau dorsal ne doit pas (MUST NOT) accepter un paquet étiqueté d'un appareil voisin n'appartenant pas au réseau dorsal, à moins que les deux conditions suivantes soient remplies :
-
L'étiquette en haut de la pile d'étiquettes a effectivement été distribuée par le routeur dorsal à cet appareil n'appartenant pas au réseau dorsal, et
-
Le routeur dorsal peut déterminer que l'utilisation de cette étiquette fera sortir le paquet du réseau dorsal avant que toute étiquette inférieure de la pile ne soit inspectée, et avant que l'en-tête IP ne soit inspecté.
La première condition garantit que tout paquet étiqueté reçu d'un routeur n'appartenant pas au réseau dorsal a une étiquette en haut de la pile d'étiquettes qui est légitime et correctement attribuée. La deuxième condition garantit que le routeur dorsal ne regardera jamais en dessous de cette étiquette supérieure. Bien sûr, la façon la plus simple de satisfaire ces deux conditions est de faire en sorte que les appareils du réseau dorsal refusent d'accepter des paquets étiquetés provenant d'appareils n'appartenant pas au réseau dorsal.
Si MPLS n'est pas utilisé comme technologie de tunnel, alors un filtrage doit être effectué pour garantir que les paquets IP-in-IP ou GRE-in-IP ne peuvent être acceptés dans le réseau dorsal que si l'adresse de destination IP du paquet l'amène à être envoyé à l'extérieur du réseau dorsal.