Professional Documents
Culture Documents
Aviso de copyright
Abstracto
Tabla de contenido
1 . Introducción .................................................
... 3
1.1 . Redes privadas virtuales
................................... 4
1.2 . Borde del cliente y borde del proveedor
............................ 5
1.3 . VPN con espacios de direcciones superpuestos
....................... 6
1.4 . VPN con diferentes rutas para el mismo sistema
.............. 7
1.5 . Enrutadores SP Backbone
.................................... 7
1.6 . Seguridad
................................................. .. 8
2 . Sitios y CE ...............................................
.... 8
3. VRF: Múltiples tablas de reenvío en PE ........................
9
3.1 . VRF y circuitos de conexión
............................... 9
3.2 . Asociación de paquetes de IP con VRF
.......................... 10
3.3 . Poblando los VRF .......................................
11
4 . Distribución de rutas VPN a través de BGP
................................. 12
4.1 . La familia de direcciones VPN-IPv4
............................... 13
4.2 . Codificación de Distinguishers de ruta
.......................... 14
4.3 . Control de la distribución de rutas
............................ 15
4.3.1. El atributo de destino de ruta
......................... 15
4.3.2 . Distribución de rutas entre PE por BGP
................ 17
4.3.3 . Uso de Reflectores de ruta
............................ 20
4.3.4 . Cómo se lleva VPN-IPv4 NLRI en BGP ................
22
4.3.5 . Creación de redes privadas virtuales utilizando
destinos de ruta .................. 23
4.3.6 . Distribución de ruta entre VRF en un solo PE
....... 23
5 . Reenvío ................................................. ....
23
6 . Mantener el aislamiento apropiado de VPNs
........................... 26
7. Cómo aprenden los PE las rutas desde los CE
.................................. 27
8 . Cómo los CE aprenden rutas de PE
.................................. 30
9 . Operadores de transportistas
............................................. 30
10 . Redes troncales Multi-AS
............................................ 32
11 . Acceder a Internet desde una VPN
.............................. 34
12 . VPN de gestión ...............................................
36
13 . Consideraciones de seguridad
................................... 37
13.1 . Plano de datos
............................................... 37
13.2 . Plano de control
............................................ 39
13.3 . Seguridad de los dispositivos P y PE
.............................. 39
14 . Calidad del servicio
............................................ 39
15 . Escalabilidad
................................................. .. 40
16 . Consideraciones IANA
........................................... 40
17 . Agradecimientos ..............................................
41
18 . Contribuyentes
................................................. . 41
19 . Referencias normativas
.......................................... 44
20 . Referencias informativas
........................................ 45
1 . Introducción
Cada sitio VPN debe contener uno o más dispositivos Edge de cliente
(CE).
Cada dispositivo CE está conectado, a través de algún tipo de
circuito de conexión, a
uno o más enrutadores Provider Edge (PE).
1.6 . Seguridad
VPN del tipo que se discute aquí, incluso sin hacer uso de
medidas de seguridad criptográficas, están destinadas a
proporcionar un nivel de
seguridad equivalente a la que se puede obtener cuando una capa 2
de la columna vertebral (por ejemplo,
Frame Relay). Es decir, en ausencia de una mala configuración o
la interconexión deliberada de diferentes VPN, no es posible
sistemas en una VPN para obtener acceso a sistemas en otra VPN. De
Por supuesto, los métodos aquí descritos no encriptan ellos mismos
datos para privacidad, ni proporcionan una manera de determinar si
los datos
ha sido manipulado en el camino. Si esto es deseado, criptográfico
se deben aplicar medidas adicionales. (Ver, por ejemplo, [MPLS /
BGP-IPsec]).
La seguridad se analiza con más detalle en la Sección 13 .
2 . Sitios y CE
Por ejemplo, cada sitio virtual puede realizarse como una VLAN. El
SP
y el cliente podría estar de acuerdo en que los paquetes que llegan
de un
CE particular, ciertos valores de VLAN se usarían para identificar
ciertos
VRFs. Por supuesto, los paquetes de ese CE serían descartados por
el PE
si llevan valores de etiqueta de VLAN que no están en el conjunto
acordado.
Otra forma de lograr esto es usar direcciones de origen de IP. En
En este caso, el PE usa la dirección de origen de IP en un paquete
recibido
del CE, junto con la interfaz sobre la cual se encuentra el paquete
recibido, para asignar el paquete a un VRF particular. Nuevamente,
el
el cliente solo podrá seleccionar entre el conjunto particular
de VRF que ese cliente puede usar.
Como ejemplo, permita que PE1, PE2 y PE3 sean tres enrutadores PE,
y deje que
CE1, CE2 y CE3 serán tres enrutadores CE. Supongamos que PE1
aprende, desde
CE1, las rutas que se pueden alcanzar en el sitio de CE1. Si PE2 y
PE3 son
adjuntas, respectivamente, a CE2 y CE3, y hay algunas VPN V
que contiene CE1, CE2 y CE3, luego PE1 usa BGP para distribuir a
PE2
y PE3 las rutas que aprendió de CE1. Uso de PE2 y PE3
estas rutas para poblar los VRF que asocian, respectivamente,
con los sitios de CE2 y CE3. Rutas de sitios que no están en VPN
V no aparecen en estos VRF, lo que significa que los paquetes de
CE2 o
CE3 no se puede enviar a sitios que no están en VPN V.
Los enrutadores PE usan BGP para distribuir rutas VPN entre sí (más
con precisión, para hacer que las rutas VPN se distribuyan entre
sí).
Cada VRF está asociado con uno o más objetivos de ruta (RT)
atributos.
Cuando se crea una ruta VPN-IPv4 (desde una ruta IPv4 que el PE
tiene
aprendido de un CE) por un enrutador PE, está asociado con uno o
más
Tenga en cuenta que una ruta solo puede tener un RD, pero puede
tener múltiples
Route Targets. En BGP, la escalabilidad se mejora si uno tiene un
solo
ruta con múltiples atributos, a diferencia de múltiples rutas. Uno
- Uno puede elegir tener una sola etiqueta para un VRF completo,
de modo que
una sola etiqueta es compartida por todas las rutas desde ese
VRF. Entonces
cuando el PE de egreso recibe un paquete con esa etiqueta, debe
busca la dirección IP de destino del paquete en ese VRF (el
"salida VRF" del paquete), para determinar la salida del
paquete
circuito de conexión y la correspondiente encapsulación de
enlace de datos.
- Uno puede elegir tener una sola etiqueta para cada archivo
adjunto
circuito, de modo que una sola etiqueta sea compartida por
todas las rutas con
el mismo "circuito de conexión saliente". Esto permite a uno
evitar hacer una búsqueda en el VRF de egreso, aunque algún
tipo de
es posible que deba realizarse una búsqueda para determinar el
enlace de datos
encapsulación, por ejemplo, una búsqueda de Protocolo de
resolución de direcciones (ARP).
- De lo contrario,
Por otro lado, usar BGP puede ser algo nuevo para el CE
administradores.
9 . Portadores de portadores