6. Maintaining Proper Isolation of VPNs (Mantenere un adeguato isolamento delle VPN)
6. Maintaining Proper Isolation of VPNs (Mantenere un adeguato isolamento delle VPN)
Per mantenere un adeguato isolamento di una VPN da un'altra, è importante che nessun router nella dorsale accetti un pacchetto incanalato dall'esterno della dorsale, a meno che non sia sicuro che entrambe le estremità del tunnel siano al di fuori della dorsale.
Quando MPLS viene utilizzato come tecnologia di tunneling, ciò significa che un router dorsale NON DEVE (MUST NOT) accettare un pacchetto etichettato da un dispositivo adiacente non dorsale a meno che non siano soddisfatte le seguenti due condizioni:
-
L'etichetta in cima alla pila di etichette è stata effettivamente distribuita dal router dorsale a quel dispositivo non dorsale, e
-
Il router dorsale può determinare che l'uso di tale etichetta farà sì che il pacchetto lasci la dorsale prima che qualsiasi etichetta inferiore nella pila venga ispezionata e prima che l'intestazione IP venga ispezionata.
La prima condizione assicura che qualsiasi pacchetto etichettato ricevuto da un router non dorsale abbia un'etichetta in cima alla pila di etichette che è legittima e correttamente assegnata. La seconda condizione assicura che il router dorsale non guardi mai sotto tale etichetta superiore. Ovviamente, il modo più semplice per soddisfare queste due condizioni è che i dispositivi dorsali rifiutino di accettare pacchetti etichettati da dispositivi non dorsali.
Se MPLS non viene utilizzato come tecnologia di tunneling, è necessario eseguire il filtraggio per garantire che i pacchetti IP-in-IP o GRE-in-IP possano essere ammessi nella dorsale solo se l'indirizzo IP di destinazione del pacchetto è tale da causare l'uscita dalla dorsale.