Механизм формирования топологии VPN

Политика экспорта/импорта маршрутов — мощный инструмент создания сетей VPN разных топологий.

При конфигурировании каждой таблицы VRF задаются два атрибута RT: один для определения политики экспорта, а другой для определения политики импор­та маршрутов.

Маршрутные объявления MP-BGP всегда несут атрибут RT, говорящий об экс­порте маршрута. Сравнение значений атрибутов RT в маршрутном объявлении и в параметрах VRF позволяет решить вопрос о принятии или отклонении пред­лагаемого маршрута. А это и означает формирование топологии сети. Рассмот­рим этот механизм на примере.

Пусть изображенный на рис. 24.20 маршрутизатор РЕ2 получил объявление от РЕ1. Прежде чем сохранить информацию о маршруте, он проверяет значение атрибута RT, содержащееся в объявлении, на совпадение с политикой импорта всех своих таблиц VRF, в данном случае VRF2A и VRF2B. Значение атрибута RT равно WHITE, поэтому маршрут добавляется (после преобразования в фор­мат IPv4 путем удаления префикса RD) только в таблицу VRF2A, так как для нее определена политика импорта WHITE. Таблица VRF2B остается в неизмен­ном виде, так как ее политика импорта говорит о том, что в нее должны поме­щаться только маршруты с атрибутом RT, равным GRAY.

Задание одного и того же значения для политики экспорта и импорта для всех таблиц VRF определенной сети VPN (именно этот случай для сети VPN А пока­зан на рис. 24.20) приводит к полносвязной топологии — каждый сайт может по­сылать пакеты непосредственно тому сайту, в котором находится сеть назначения.

Существуют и другие варианты топологии VPN. Например, за счет конфигури­рования политики экспорта/импорта можно реализовать такую популярную то­пологию, как «звезда», когда все сайты (spoke) общаются друг с другом через вы­деленный центральный сайт (hub).

Для достижения этого эффекта достаточно определить для VRF центрального сайта политику импорта как Import = spoke, а экспорта как Export = hub, а на таблицах VFR периферийных сайтов поступить наоборот, задав Import = hub, a Export = spoke (рис. 24.22).

сети VPN А Рис. 24.22. Конфигурирование топологии звезда для сети VPN А

В результате таблицы VRF периферийных сайтов не будут принимать маршрут­ные объявления друг от друга, поскольку они передаются по сети протоколом MP-BGP с атрибутом RT = spoke, между тем как их политика импорта разреша­ет получать объявления с атрибутом RT ^e hub. Зато объявления VRF перифе­рийных сайтов принимает таблица VRF центрального сайта, для которого как раз и определена политика импорта spoke. Этот сайт обобщает все объявления периферийных сайтов и отсылает их обратно, но уже с атрибутом RT = hub, что совпадает с политикой импорта периферийного сайта. Таким образом, в табли­цах VRF каждого периферийного сайта появляются записи о сетях в других периферийных сайтах. А в качестве следующего транзитного узла будет указан адрес интерфейса РЕ, связанного с центральным сайтом, поскольку объявление пришло от него. Поэтому пакеты между периферийными сайтами будут прохо­дить транзитом через пограничный маршрутизатор РЕЗ, подключенный к цен­тральному сайту.

Из описания механизмов MPLS VPN можно сделать вывод, что процесс конфи­гурирования новой или модификации существующей сети VPN достаточно сло­жен, но он хорошо формализуется и автоматизируется. Для исключения воз­можных ошибок конфигурирования, например приписывания сайту ошибочной политики импорта/экспорта маршрутных объявлений, что может привести к присоединению сайта к чужой сети VPN, некоторые производители разработали автоматизированные программные системы конфигурирования MPLS.