6. Maintaining Proper Isolation of VPNs (VPN の適切な分離の維持)
6. Maintaining Proper Isolation of VPNs (VPN の適切な分離の維持)
ある VPN を別の VPN から適切に分離するために、バックボーン内のどのルータも、トンネルの両端がバックボーンの外側にあることが確実でない限り、バックボーンの外側からのトンネリングされたパケットを受け入れないことが重要です。
トンネリング技術として MPLS が使用されている場合、これは、バックボーン内のルータが、次の 2 つの条件が満たされない限り、隣接する非バックボーンデバイスからのラベル付きパケットを受け入れてはならない (MUST NOT) ことを意味します:
-
ラベルスタックの一番上のラベルが、実際にそのバックボーンルータによってその非バックボーンデバイスに配布されたものであること、および
-
バックボーンルータは、そのラベルの使用により、スタックの下位にあるラベルが検査される前、および IP ヘッダが検査される前に、パケットがバックボーンから出ることになると判断できること。
最初の条件は、非バックボーンルータから受信したラベル付きパケットが、ラベルスタックの最上部に正当かつ適切に割り当てられたラベルを持っていることを保証します。2 番目の条件は、バックボーンルータがそのトップラベルより下を決して見ないことを保証します。もちろん、これら 2 つの条件を満たす最も簡単な方法は、バックボーンデバイスに非バックボーンデバイスからのラベル付きパケットの受け入れを拒否させることです。
トンネリング技術として MPLS が使用されていない場合、IP-in-IP または GRE-in-IP パケットの IP 宛先アドレスがバックボーンの外部に送信されることになる場合にのみ、パケットをバックボーンに受け入れることができるようにフィルタリングを行う必要があります。