olifer_v_g_olifer_n_a_kompyuternye_seti_principy_tehnologii / glava_24

При получении от сайта клиента нового маршрута по протоколу класса IGP (RIP, OSPF или IS-IS) маршрутизатор РЕ заносит его в соответствующую таблицу VRF и распространяет дальше между другими сайтами данной сети VPN. Обмен маршрутной информацией между сайтами каждой отдельной сети VPN выполняется под управлением протокола MP-BGP. Маршрутное объявление MP-BGP имеет следующий, расширенный по сравнению с протоколом BGP набор атрибутов.

• Адрес сети назначения в формате VPN-IPv4.

• Адрес следующего маршрутизатора (NextHop). Протокол BGP указывает в данном случае адрес одного из внутренних (идущих к маршрутизаторам Р) интерфейсов того маршрутизатора РЕ, на котором он работает.

• Метка виртуальной частной сети (VPN Label, LVPN) уникально определяет внешний интерфейс маршрутизатора РЕ и подключенный к нему сайт клиента, куда ведет объявляемый маршрут. Она назначается маршруту входным маршрутизатором РЕ при получении им локального маршрута от присоединенного маршрутизатора СЕ.

• Расширенные атрибуты сообщества (extended community attributes), один из которых — маршрутная цель (Route Target, RT) — является обязательным. Этот атрибут идентифицирует набор сайтов (VRF), входящих в данную сеть VPN, которым маршрутизатор РЕ должен посылать маршруты. Значение атрибута RT в объявлении о маршруте определяется политикой экспорта маршрутных объявлений (политику экспорта и импорта маршрутных объявлений мы будем обсуждать в разделе «Механизм формирования топологии VPN»), которая задается администратором при конфигурировании таблицы VRF, содержащей данный маршрут.

Пусть, например, маршрутизатор РЕ1 получает с сайта 1 сети VPN А по протоколу класса IGP следующее объявление о маршруте в формате IPv4 (см. рис. 24.20):

Net = 10.1.0.0

NextHop = СЕ1

На основании этого объявления в таблицу VRF 1A заносится соответствующая запись. Протокол BGP периодически просматривает таблицу VRF 1A и, обнаружив новую запись, генерирует объявление о маршруте, для чего выполняет следующие действия.

1. Добавляет к адресу сети назначения префикс RD (в данном случае он равен 123.45.67.89:1).

2. Переписывает значение поля NextHop, заменяя адрес внешнего интерфейса СЕ1 адресом внешнего интерфейса РЕ1, через который пролегает путь к адресу назначения (пусть в данном случае это будет 123.45.7.5).

3. Назначает метку LVPN, указывающую на таблицу VRF 1A и интерфейс маршрутизатора РЕ1, к которому подключен сайт клиента, содержащий узел назначения (в данном случае значение метки равно 7, на рис. 24.20 этот интерфейс обозначен Int 7).

4. Задает атрибут RT (на рис. 24.20 значение атрибута RT условно обозначено как WHITE, что идентифицирует набор всех сайтов, входящих в сеть VPN А).

В результате получается такое маршрутное объявление:

VPN-IPv4: 123.45.67.89:1:10.1.0.0

Nexthop = 123.45.7.5

LVPN = 7

RT = WHITE

Это объявление протокол MP-BGP посылает всем своим соседям (на рисунке объявление помещено внутрь широкой стрелки).

Когда выходной маршрутизатор РЕ получает маршрут к сети VPN-IPv4, он делает обратное преобразование, отбрасывая префикс RD, и только потом помещает маршрут в таблицу VRF 2A и объявляет о нем связанному с ним маршрутизатору заказчика СЕ3 из данной сети VPN А. В результате в таблице VRF 2A появляется новая запись:

Net = 10.1/16

Nexthop = 123.45.7.5 (BGP)

LVPN = 7

Перемещение пакета по сети MPLS VPN

Теперь, когда мы обсудили схему распространения маршрутной информации по сети MPLS VPN, давайте посмотрим, как перемещаются данные между узлами одной сети VPN.

Пусть, например, с сайта 2 сети VPN А узел с адресом 10.2.1.1/16 отправляет пакет узлу сайта 1 этой же сети VPN, имеющему адрес 10.1.0.3/16 (рис. 24.21). Стандартными транспортными средствами IP-пакет доставляется на пограничный маршрутизатор сайта СЕ3, в таблице которого для номера сети 10.1.0.0 в качестве следующего маршрутизатора указан маршрутизатор РЕ2. На маршрутизатор РЕ2 пакет поступает с интерфейса 2, поэтому для дальнейшего продвижения пакета он обращается к таблице VRF 2A, связанной с данным интерфейсом.

В таблице VRF 2A адресу 10.1.0.0 соответствует запись протокола BGP, которая указывает, что следующим маршрутизатором (next hop) для пакета определен маршрутизатор РЕ1. Поле метки содержит значение LVPN = 7, определяющее интерфейс выходного маршрутизатора РЕ1. Это значение должно быть присвоено пакету для того, чтобы он попал в нужную сеть VPN. Здесь также указывается, что запись была сделана протоколом BGP, а не IGP. На этом основании маршрутизатор РЕ2 «понимает», что очередной маршрутизатор не является непосредственным соседом и путь к нему надо искать в глобальной таблице маршрутизации.

Рис. 24.21. Путешествие пакета по сети MPLS VPN

В глобальной таблице для адреса РЕ1 указывается начальное значение метки пути LSP, равное 3. Мы не будем останавливаться на способе прокладки пути между маршрутизаторами РЕ1 и РЕ2 — этот вопрос мы обсуждали при изучении технологии MPLS в главе 22.

В сетях MPLS VPN используются иерархические свойства путей MPLS, за счет чего пакет может быть снабжен несколькими метками, помещаемыми в стек. На входе во внутреннюю сеть поставщика, образуемую маршрутизаторами Р, пакет будет снабжен двумя метками LVPN = 7 и L = 3. Метка LVPN интерпретируется как метка нижнего уровня — оставаясь на дне стека, она не используется, пока пакет путешествует по туннелю РЕ1-РЕ2. Продвижение пакета происходит на основании метки верхнего уровня L. Каждый раз, когда пакет проходит очередной маршрутизатор Р вдоль туннеля, метка L анализируется и заменяется новым значением. И только после достижения конечной точки туннеля — маршрутизатора РЕ1 — из стека извлекается метка LVPN. В зависимости от ее значения пакет направляется на тот или иной выходной интерфейс маршрутизатора РЕ1 (на рис. 24.20 этот интерфейс обозначен Int 7).

Из таблицы VRF 1A, связанной с данным интерфейсом и содержащей маршруты VPN A, извлекается запись о маршруте к узлу назначения, указывающая на СЕ1 в качестве следующего маршрутизатора. Заметим, что запись об этом маршруте была помещена в таблицу VRF 1A протоколом IGP. Последний отрезок путешествия пакета от СЕ1 до узла 10.1.0.3 осуществляется традиционными средствами IP.

Механизм формирования топологии VPN

Политика экспорта/импорта маршрутов — мощный инструмент создания сетей VPN разных топологий.

При конфигурировании каждой таблицы VRF задаются два атрибута RT: один для определения политики экспорта, а другой для определения политики импорта маршрутов.

Маршрутные объявления MP-BGP всегда несут атрибут RT, говорящий об экспорте маршрута. Сравнение значений атрибутов RT в маршрутном объявлении и в параметрах VRF позволяет решить вопрос о принятии или отклонении предлагаемого маршрута. А это и означает формирование топологии сети. Рассмотрим этот механизм на примере.

Пусть изображенный на рис. 24.20 маршрутизатор РЕ2 получил объявление от РЕ1. Прежде чем сохранить информацию о маршруте, он проверяет значение атрибута RT, содержащееся в объявлении, на совпадение с политикой импорта всех своих таблиц VRF, в данном случае VRF 2A и VRF 2B. Значение атрибута RT равно WHITE, поэтому маршрут добавляется (после преобразования в формат IPv4 путем удаления префикса RD) только в таблицу VRF 2A, так как для нее определена политика импорта WHITE. Таблица VRF 2B остается в неизменном виде, так как ее политика импорта говорит о том, что в нее должны помещаться только маршруты с атрибутом RT, равным GRAY.

Задание одного и того же значения для политики экспорта и импорта для всех таблиц VRF определенной сети VPN (именно этот случай для сети VPN А показан на рис. 24.20) приводит к полносвязной топологии — каждый сайт может посылать пакеты непосредственно тому сайту, в котором находится сеть назначения.

Существуют и другие варианты топологии VPN. Например, за счет конфигурирования политики экспорта/импорта можно реализовать такую популярную топологию, как «звезда», когда все сайты (spoke) общаются друг с другом через выделенный центральный сайт (hub).

Для достижения этого эффекта достаточно определить для VRF центрального сайта политику импорта как Import = spoke, а экспорта как Export = hub, а на таблицах VFR периферийных сайтов поступить наоборот, задав Import = hub, a Export = spoke (рис. 24.22).

В результате таблицы VRF периферийных сайтов не будут принимать маршрутные объявления друг от друга, поскольку они передаются по сети протоколом MP-BGP с атрибутом RT = spoke, между тем как их политика импорта разрешает получать объявления с атрибутом RT = hub. Зато объявления VRF периферийных сайтов принимает таблица VRF центрального сайта, для которого как раз и определена политика импорта spoke. Этот сайт обобщает все объявления периферийных сайтов и отсылает их обратно, но уже с атрибутом RT = hub, что совпадает с политикой импорта периферийного сайта. Таким образом, в таблицах VRF каждого периферийного сайта появляются записи о сетях в других периферийных сайтах. А в качестве следующего транзитного узла будет указан адрес интерфейса РЕ, связанного с центральным сайтом, поскольку объявление пришло от него. Поэтому пакеты между периферийными сайтами будут проходить транзитом через пограничный маршрутизатор РЕ3, подключенный к центральному сайту.

Рис. 24.22. Конфигурирование топологии звезда для сети VPN A

Из описания механизмов MPLS VPN можно сделать вывод, что процесс конфигурирования новой или модификации существующей сети VPN достаточно сложен, но он хорошо формализуется и автоматизируется. Для исключения возможных ошибок конфигурирования, например приписывания сайту ошибочной политики импорта/экспорта маршрутных объявлений, что может привести к присоединению сайта к чужой сети VPN, некоторые производители разработали автоматизированные программные системы конфигурирования MPLS.

Степень защищенности

Повысить степень защищенности MPLS VPN можно с помощью традиционных средств, например, применяя средства аутентификации и шифрования протокола IPSec, устанавливаемые в сетях клиентов или в сети поставщика. Услуга MPLS VPN может легко интегрироваться с другими услугами IP, например с предоставлением доступа к Интернету пользователям VPN с защитой их сети средствами межсетевого экрана, установленного в сети поставщика. Поставщик также может предоставлять пользователям MPLS VPN услуги, базирующиеся на других возможностях MPLS, в частности гарантированное качество обслуживания на основе методов инжиниринга трафика MPLS. Что же касается сложностей ведения в маршрутизаторах поставщика услуг таблиц маршрутизации пользователей, на которые указывают некоторые специалисты, то они, на наш взгляд, несколько преувеличены, так как таблицы создаются автоматически с помощью стандартных протоколов маршрутизации и только на пограничных маршрутизаторах (РЕ). Механизм виртуального маршрутизатора полностью изолирует эти таблицы от глобальных таблиц маршрутизации поставщика услуг, что обеспечивает необходимые уровни надежности и масштабируемости решений MPLS VPN. Впрочем, реальное качество данной технологии покажет время и, скорее всего, достаточно скоро.

Технология MPLS VPN не обеспечивает безопасности за счет шифрования и аутентификации, как это делают технологии IPSec и РРТР, но допускает применение данных технологий как дополнительных мер защиты в случае необходимости.

Перед MPLS VPN не ставится задача поддержки качества обслуживания, но в случае необходимости поставщик может использовать методы дифференцированного обслуживания и инжиниринга трафика.

Выводы

Сервисы защиты передаваемой информации позволяют клиентам через публичную сеть, например Интернет, безопасно передавать информацию, обеспечивая ее аутентичность, целостность и конфиденциальность.

Сервисы защиты передаваемой информации можно построить с помощью системных средств, реализованных на разных уровнях модели OSI. К числу наиболее популярных сервисов подобного рода можно отнести протоколы защищенного канала SSL, IPSec, PPTP, а также сервисы VPN.

IPSec — это согласованный набор открытых стандартов, имеющий сегодня вполне очерченное ядро, включающее три протокола: протокол АН гарантирует целостность и аутентичность данных, протокол ESP шифрует передаваемые данные, обеспечивая их конфиденциальность, а также аутентификацию и целостность, протокол IKE устанавливает логическое соединение и распределяет секретные ключи.

При установлении однонаправленного логического соединения, называемого в IPSec безопасной ассоциацией, стороны принимают ряд соглашений, регламентирующих процесс передачи потока данных между ними: тип и режим работы протокола защиты (АН или ESP), методы шифрования, секретные ключи и др. Наборы текущих параметров, определяющих все активные ассоциации, хранятся на обоих оконечных узлах защищенного канала в виде баз данных SAD. Каждая сторона поддерживает также другой тип базы данных — SPD, которая задает соответствие между признаками IP-пакетов и установленными для них правилами обработки.

Использование баз SPD и SAD для защиты трафика позволяет достаточно гибко сочетать механизм логических соединений с дейтаграммным характером трафика протокола IP.

Технология VPN позволяет с помощью разделяемой несколькими предприятиями сетевой инфраструктуры реализовать сервисы, приближающиеся к сервисам частной сети по качеству (безопасность, доступность, предсказуемая пропускная способность, независимость в выборе адресов).

Сеть VPN может быть реализована как самим предприятием (CPVPN), так и поставщиком услуг (PPVPN). Она может строиться на базе оборудования, установленного на территории как потребителя, так и поставщика услуг.

Технологии VPN можно разделить на два класса в зависимости от того, каким образом они обеспечивают безопасность передачи данных: технологии разграничения трафика (ATM VPN, Frame Relay VPN, MPLS VPN) и технологии на основе шифрования (IPSec VPN).

От других виртуальных частных сетей, таких как ATM/FR VPN или IPSec VPN, сеть MPLS VPN выгодно отличает хорошая масштабируемость, возможность автоматического конфигурирования и естественная интеграция с другими сервисами IP.

Механизмом, с помощью которого сайты, принадлежащие к одной и той же сети VPN, обмениваются маршрутной информацией, является многопротокольное расширение для протокола BGP (MP-BGP).

Политика экспорта/импорта маршрутных объявлений — мощный инструмент для создания сетей MPLS VPN разных топологий.

Вопросы и задания

1. Можно ли, не внося никаких изменений в прикладную программу, использовать протокол IPSec для безопасной передачи данных, генерируемых этой программой?

2. Зачем в системе IPSec наряду с протоколом АН, обеспечивающим целостность и аутентификацию, предусмотрен протокол ESP, также выполняющий эти функции?

3. Чтобы получатель имел возможность проверить целостность данных, многие протоколы помещают в пакет контрольную сумму. В IPSec для обеспечения целостности используется дайджест. Поясните, в чем разница этих двух подходов.

4. Предположим, на вашем компьютере работают три приложения, данные которых вы хотите передавать в зашифрованном виде своему партнеру, используя для этого протокол IPSec. Сколько безопасных ассоциаций необходимо создать для этого?

5. Сравните транспортный и туннельный режимы IPSec. Какой из них обеспечивает более высокую безопасность? Какой лучше масштабируется? Какой экономичней?

6. Приведите примеры того, как злоумышленник может воспользоваться информацией из заголовка IP.

7. Повышает ли безопасность передаваемых данных использование протокола АН в туннельном, а не в транспортном режиме?

8. Какой механизм защиты от дубликатов, навязываемых злоумышленниками, используется в IPSec?

9. Заполнитель является еще одним средством обеспечения конфиденциальности. Поясните почему.

10. Каким образом шлюз безопасности (SG) определяет, какой вид обработки необходимо применять к каждому из поступающих на него пакетов?

11. Какие свойства реальных частных сетей могут поддерживаться виртуальными частными сетями?

12. Предложите классификацию VPN.

13. Какие технологии в сетях VPN используются, чтобы обеспечить безопасность разграничения трафика?

14. В чем состоят достоинства и недостатки сети VPN уровня 3 по сравнению с сетью VPN уровня 2?

15. Какой недостаток вы считаете основным в сети IPSec VPN?

16. Опишите механизм, применяемый в технологии MPLS VPN для разграничения адресных пространств сетей разных клиентов.

17. Как формируется таблица VRF?

18. Как могло бы выглядеть маршрутное объявление протокола MP-BGP, работающего на устройстве РЕ2, полученное в результате трансляции следующего маршрутного объявления, поступившего от устройства СЕ3 (см. рис. 24.20):

Net = 10.2/16

NextHop = СЕ3

19. В сети MPLS VPN пакет снабжается двумя метками — внутренней LVPN и внешней L. Какую роль играет каждая из этих меток в продвижении пакета?

20. Вы изучили принципы работы сети MPLS VPN уровня 3 для случая, когда все сайты всех клиентов соединены с магистралью одного поставщика. Попробуйте развить эти принципы для более общего случая, когда магистраль поддерживается несколькими поставщиками (рис. 24.23).

Рис. 24.23. Сеть VPN, построенная на основе сетей трех поставщиков

На этом рисунке сайты трех клиентов, А, В и С, присоединены к сетям поставщиков ISP2 и ISP3. Сети этих поставщиков, в свою очередь, соединяются друг с другом с помощью сети поставщика ISP1. Примените для решения задания иерархический подход, сделав ISP1 поставщиком верхнего уровня. В этом случае ISP2 и ISP3 будут исполнять для поставщика IPS1 роль клиентов из схемы MPLS VPN. Предложите возможную реализацию идеи иерархии поставщиков MPLS VPN, приняв в качестве основы возможности протокола BGP и идею стека меток MPLS.

21. Сравните количество необходимых виртуальных каналов и путей LSP, которые нужно проложить поставщику услуг VPN для двух случаев:

• поставщик использует сеть Frame Relay для предоставления услуг VPN;

• поставщик использует сеть IP/MPLS для предоставления услуг VPN.

У поставщика имеется 25 клиентов, сети каждого клиента состоят из 10 сайтов, соединенных с сетью поставщика услуг. Клиентам нужны услуги Интернета, то есть соединения между сайтами клиентов не предусматриваются.

22. В подразделе «Перемещение пакета по сети MPLS VPN» раздела «Технология MPLS VPN» приведен пример передачи пакета из узла 10.2.1.1/16 сайта 2 сети VPN А к узлу 10.1.0.3/16 сайта 1 той же сети VPN (см. рис. 24.21). Используя рис. 24.21, опишите передачу пакета в обратном направлении, то есть от узла 10.1.0.3/16 к узлу 10.2.1.1/16. Приведите возможное содержимое таблиц маршрутизации СЕ1 и РЕ1. Предложите собственные значения для недостающих данных и поместите на рисунок поясняющий текст.