对不同路由同一系统的VPN配置实例,宽带普及以后,经常面临VPN配置实例设置的问题。所以,今天我准备向大家介绍VPN配置实例的设置技巧,希望本文能教会你更多东西,为大家的生活带来方便。
一个站点可以在多个VPN配置实例中,但不同VPN配置实例到该站点中某一系统的路由无须相同。例如,假设一个内联网中包含站点A、B、C,一个外联网中包含A、B、C和一个外部站点D。若在站点A上有一个服务器,我们希望来自于B、C、D的客户能使用该服务器。
同时,在站点B上有一个防火墙,为了对来自外联网的业务进行接纳控制,所有站点D连到服务器的业务都要通过这个防火墙。而来自站点C的业务是内联网的,无须经由该防火墙到达服务器。
也就是说,到服务器有两条路径。站点B和C使用一条路径直接通向站点A,站点D使用第二条路径,先到达站点B的防火墙,如果防火墙允许该业务流通过,该业务就象从站点B发出的业务流一样发往站点A。
PE上的转发表
每个PE路由器都要维护若干独立的转发表。每个与PE相连的站点必须对应于其中的一个转发表。当从某个站点收取一个包时,需查找与该站点相应的转发表以确定该包的转发路径。只有当路由的目标站点与站点S同在至少一个VPN配置实例中时,才产生站点S的转发表,这可以防止两个不在同一VPN配置实例的站点间的通信,而且,这样两个没有公共站点的VPN配置实例也可以使用重叠的地址空间。
SP主干网路由器
SP的主干网包括PE路由器和未直接与CE设备相连的其它路由器(P路由器)。如果SP主干网中的每个路由器都得为所有VPN配置实例维护路由信息,那么无疑这个模式的扩展能力很差,SP能支持的站点数取决于一个路由器上可保存的路由信息的数量。
因此,一个重要的要求就是,一个VPN的路由信息只保存在与该VPN相连的PE路由器上,而P路由器无需保存任何VPN配置实例的路由信息。VPN配置实例可以跨越多个服务提供商。如果两个服务提供商SP之间是相互信任的。
那么它们的PE路由器间的通路可根据一个专用的对等穿越SP网络间的边界。特别是,每个提供商信任对方并把正确的路由信息和来源可靠的带有标签的包(在MPLS情况下[9])传递给对方。在此,我们假定标签交换路径可以穿越SP间的边界。
安全Security
即使不加密,一个VPN配置实例模型也应当提供相当于第二层主干网(如FrameRelay)的保证。也就是说,即使在误配置或故意将不同VPN配置实例间互连的情况下,一个VPN的系统也不能进入另一个VPN配置实例的系统。同时,该模型应该也可以采用标准的措施。
转载请注明:IT运维空间 » 安全防护 » 对不同路由同一系统的VPN配置实例
发表评论