メインコンテンツまでスキップ

11. Accessing the Internet from a VPN (VPN からのインターネットへのアクセス)

11. Accessing the Internet from a VPN (VPN からのインターネットへのアクセス)

多くの VPN は、他の VPN サイトへのアクセスだけでなく、パブリックインターネットにアクセスできる必要があります。これを実現するためのいくつかの代替方法について説明します。

  1. 一部の VPN では、1 つ以上のサイトが、ISP の非 VRF インターフェースに接続された「インターネットゲートウェイ」 (おそらくファイアウォール) を介してインターネットアクセスを取得します。ISP は、VPN サービスを提供する SP と同じ組織である場合とそうでない場合があります。インターネットゲートウェイへのトラフィックおよびインターネットゲートウェイからのトラフィックは、PE ルータのデフォルト転送テーブルに従ってルーティングされます。

    この場合、インターネットアクセスを持つサイトは、PE にデフォルトルートを配布し、PE はそれを他の PE に再配布し、したがって VPN 内の他のサイトに再配布します。これにより、VPN のすべてのサイトにインターネットアクセスが提供されます。

    インターネットからのトラフィックを適切に処理するために、ISP は VPN 内のアドレスへのルートをインターネットに配布する必要があります。これは、このドキュメントで説明されているルート配布手順とは完全に独立しています。VPN の内部構造は一般にインターネットから見えません。そのようなルートは、単に VPN のインターネットゲートウェイが接続されている非 VRF インターフェースにつながります。

    このモデルでは、PE ルータのデフォルト転送テーブルとその VRF のいずれかの間でルート交換はありません。VPN ルーティング配布プロセスとインターネットルーティング配布プロセスは完全に独立しています。

    VPN の一部のサイトは VRF インターフェースを使用してインターネットと通信しますが、最終的にインターネットとのすべてのパケットは、VPN を出る/入る前に非 VRF インターフェースを通過するため、これを「非 VRF インターネットアクセス」と呼びます。

    非 VRF インターフェースが接続されている PE ルータは、必ずしもデフォルト転送テーブルにすべてのインターネットルートを維持する必要はないことに注意してください。デフォルト転送テーブルには、インターネットルートを持つ別のルータ (隣接している可能性があります) への単一のルート「デフォルト」しかない場合があります。このスキームのバリエーションは、非 VRF インターフェースを介して PE ルータから受信したパケットが、完全なインターネットルートセットを維持する別のルータにトンネリングされることです。

  2. 一部の VPN は、VRF インターフェースを介してインターネットアクセスを取得できます (「VRF インターネットアクセス」)。PE が VRF インターフェースを介してパケットを受信し、パケットの宛先アドレスが VRF 内のどのルートとも一致しない場合、PE のデフォルト転送テーブルと照合される可能性があります。そこで一致する場合、パケットは MPLS を介するのではなく、ネイティブにバックボーンを介してインターネットに転送できます。

    トラフィックが逆方向 (インターネットから VRF インターフェースへ) にネイティブに流れるようにするには、VRF 内の特定のルートをインターネット転送テーブルにエクスポートする必要があります。言うまでもなく、そのようなルートはグローバルに一意なアドレスに対応する必要があります。

    このスキームでは、デフォルト転送テーブルにはインターネットルートの完全なセットがあるか、またはデフォルト転送テーブルにインターネットルートの完全なセットを持つ別のルータへのデフォルトルートが 1 つだけある場合があります。

  3. PE が「非 VPN ルート」を VRF に保存する機能を持っているとします。パケットの宛先アドレスが「非 VPN ルート」と一致する場合、パケットは MPLS を介してではなくネイティブに転送されます。VRF に非 VPN デフォルトルートが含まれている場合、パブリックインターネットへのすべてのパケットはそれに一致し、デフォルトルートのネクストホップにネイティブに転送されます。そのネクストホップでは、パケットの宛先アドレスがデフォルト転送テーブルで検索され、より具体的なルートと一致する可能性があります。

    この手法は、デフォルトルートを配布する CE ルータがない場合にのみ使用できます。

  4. VRF にインターネットルートを含めることにより、VRF インターフェースを介してインターネットアクセスを取得することも可能です。モデル 2 と比較して、これは 2 回目のルックアップを排除しますが、インターネットルートがそのような各 VRF で複製される必要があるという欠点があります。

    この手法を使用する場合、SP はインターネットへのインターフェースを VRF インターフェースにし、セクション 4 の手法を使用してインターネットルートを VPN-IPv4 ルートとして他の VRF に配布することができます。

デフォルトでは、VRF とデフォルト転送テーブルの間でルート交換は行われないことを明確に理解しておく必要があります。これは、顧客と SP の合意があり、顧客のポリシーと一致する場合にのみ (ONLY) 行われます。

最終更新