11. Accessing the Internet from a VPN (Accesso a Internet da una VPN)

11. Accessing the Internet from a VPN (Accesso a Internet da una VPN)

Molte VPN avranno bisogno di poter accedere all'Internet pubblico, così come di accedere ad altri siti VPN. Di seguito discutiamo alcune alternative per raggiungere questo obiettivo.

1. In alcune VPN, uno o più siti avranno accesso a Internet tramite un "gateway Internet" (forse un firewall) che è collegato a un'interfaccia non VRF di un ISP. L'ISP può essere la stessa organizzazione dell'SP che fornisce il servizio VPN, oppure no. Il traffico verso/dal gateway Internet sarà instradato secondo la tabella di inoltro predefinita del router PE.

   In questo caso, il sito che ha l'accesso a Internet può distribuire la rotta predefinita al suo PE, che a sua volta la ridistribuisce agli altri PE, e quindi agli altri siti nella VPN. Ciò fornisce l'accesso a Internet a tutti i siti nella VPN.

   Per gestire correttamente il traffico proveniente da Internet, l'ISP deve distribuire in Internet le rotte verso gli indirizzi all'interno della VPN. Questo è completamente indipendente da qualsiasi procedura di distribuzione delle rotte descritta in questo documento. La struttura interna della VPN non è generalmente visibile da Internet; tali rotte condurrebbero semplicemente all'interfaccia non VRF in cui è collegato il gateway Internet della VPN.

   In questo modello, non vi è alcuno scambio di rotte tra la tabella di inoltro predefinita di un router PE e una qualsiasi delle sue VRF. Il processo di distribuzione delle rotte VPN e il processo di distribuzione delle rotte Internet sono completamente indipendenti.

   Si noti che, sebbene alcuni siti nella VPN utilizzino interfacce VRF per comunicare con Internet, in definitiva tutti i pacchetti verso/da Internet passano attraverso un'interfaccia non VRF prima di lasciare/entrare nella VPN, motivo per cui chiamiamo questo "accesso Internet non VRF".

   Si noti che il router PE in cui è collegata l'interfaccia non VRF non ha necessariamente bisogno di mantenere tutte le rotte Internet nella sua tabella di inoltro predefinita. La tabella di inoltro predefinita può avere anche solo un'unica rotta, "predefinita", verso un altro router (forse uno adiacente) che ha le rotte Internet. Una variante di questo schema è che i pacchetti ricevuti dal router PE tramite l'interfaccia non VRF vengano incanalati verso un altro router che mantiene l'insieme completo delle rotte Internet.

2. Alcune VPN possono ottenere l'accesso a Internet tramite un'interfaccia VRF ("Accesso Internet VRF"). Se il PE riceve un pacchetto tramite un'interfaccia VRF e se l'indirizzo di destinazione del pacchetto non corrisponde ad alcuna rotta nella VRF, è possibile provare a farlo corrispondere alla tabella di inoltro predefinita del PE. Se c'è una corrispondenza lì, il pacchetto può essere inoltrato nativamente attraverso la dorsale verso Internet, invece di essere inoltrato tramite MPLS.

   Affinché il traffico fluisca nativamente nella direzione opposta (da Internet a un'interfaccia VRF), alcune rotte nella VRF devono essere esportate nella tabella di inoltro Internet. Inutile dire che qualsiasi rotta di questo tipo deve corrispondere a un indirizzo univoco a livello globale.

   In questo schema, la tabella di inoltro predefinita può avere l'insieme completo delle rotte Internet, oppure può avere anche solo un'unica rotta predefinita verso un altro router che ha l'insieme completo delle rotte Internet nella sua tabella di inoltro predefinita.

3. Supponiamo che il PE abbia la capacità di memorizzare "rotte non VPN" in una VRF. Se l'indirizzo di destinazione di un pacchetto corrisponde a una "rotta non VPN", il pacchetto viene trasportato nativamente, anziché tramite MPLS. Se la VRF contiene una rotta predefinita non VPN, tutti i pacchetti per l'Internet pubblico corrisponderanno ad essa e saranno inoltrati nativamente al next hop della rotta predefinita. In quel next hop, l'indirizzo di destinazione del pacchetto verrà cercato nella tabella di inoltro predefinita e potrebbe corrispondere a una rotta più specifica.

   Questa tecnica è disponibile solo se non c'è alcun router CE che sta originando la distribuzione di una rotta predefinita.

4. È anche possibile ottenere l'accesso a Internet tramite un'interfaccia VRF facendo in modo che la VRF contenga rotte Internet. Rispetto al modello 2, questo elimina la seconda ricerca, ma ha lo svantaggio di richiedere che le rotte Internet siano replicate in ogni VRF di questo tipo.

   Se viene utilizzata questa tecnica, l'SP può voler rendere la sua interfaccia verso Internet un'interfaccia VRF e utilizzare le tecniche della Sezione 4 per distribuire le rotte Internet come rotte VPN-IPv4 ad altre VRF.

Deve essere chiaramente compreso che per impostazione predefinita non vi è alcuno scambio di rotte tra le VRF e la tabella di inoltro predefinita. Ciò viene fatto SOLO (ONLY) previo accordo tra il cliente e l'SP, e solo se è coerente con le policy del cliente.