Чтобы понять, как функционирует сеть MPLS, давайте проследим за передачей пакета по сети сервис-провайдера, в которой реализована эта технология.
Заметим, что при этом передаются данные только о тех маршрутах, которые порождаются данной таблицей VRF. В результате на каждом РЕ-маршрутизаторе формируются идентичные маршрутные таблицы VFR данного заказчика, и каждый маршрут заказчика становится доступным через следующий РЕ-маршрутизатор.
Услуга Экстранет VPN
Создание межкорпоративной сети (экстранет) требует импорта/экспорта данных о маршрутах между таблицами VRF нескольких заказчиков. Если у этих заказчиков нет совпадающих IP-адресов, то есть все их IP-адреса являются уникальными, то маршруты могут напрямую импортироваться в таблицы VRF.
На рисунке показаны два заказчика, Заказчик 1 и Заказчик 2, каждый из которых имеет по два сайта, Сайт A и Сайт B. Эти заказчики создают общую сеть экстранет, но она включает только два сайта: Заказчик 1 Сайт A и Заказчик 2 Сайт B. Все другие сайты этих заказчиков не будут подключены к сети экстранет до тех пор, пока их таблицы VRF не будут специально настроены для этого.
В таблице VRF на сайте Заказчик 1 Сайт A хранятся данные о маршрутах для всех сайтов C1 (C1a, C1b Е). Точно так же в таблице VRF на сайте Заказчик 2 Сайт B хранятся данные о маршрутах для всех сайтов C2 (C2a, C2b). Кроме этого, в таблицы VRF обоих сайтов дополнительно импортируются/экспортируются маршруты, используя параметр route-target. Таким образом, в таблице VRF сайта Заказчик 1 Сайт A содержатся данные обо всех маршрутах C2b сайта Заказчик 2 Сайт B, а в таблице VRF сайта Заказчик 2 Сайт B содержатся данные обо всех маршрутах C1a сайта Заказчик 1 Сайт A.
Если заказчики, желающие сформировать сеть экстранет, имеют пересекающееся адресное пространство или если появление новых членов сети экстранет может вызвать проблемы адресации, возникает необходимость в преобразовании (трансляции) адресов, прежде чем трафик попадет в сеть экстранет.
На рисунке заказчики имеют совпадающее адресное пространство C. Чтобы сайт Заказчик 1 Сайт A смог обмениваться данными о маршрутах с сайтом Заказчик 2 Сайт B, необходимо преобразование адресов (NAT), позволяющее сайту C1A передавать трафик в C2B и наоборот.
Текущая версия MPLS не позволяет PE-маршрутизатору напрямую преобразовывать адреса в таблицах VRF, и поэтому данная операция должна происходить за его пределами (либо в общей сервисной точке, либо на CE-маршрутизаторе).
На следующем рисунке показана трансляция адресов в центральной сервисной точке. Каждый заказчик будет иметь отдельный шлюз преобразования адресов (NAT gateway), который подключается к VRF в соответствующей сети Intranet VPN.
Таблица VRF, подключенная к шлюзу NAT, будет включать данные о введенных в нее маршрутах преобразованных адресов другого заказчика. Поэтому Ct1 инжектируется в таблицу VRF сайта Заказчик 2 Сайт B, а Ct2 инжектируется в таблицу VRF сайта Заказчик 1 Сайт А. Каждый заказчик может работать в сети интранет с помощью двух шлюзов NAT. В качестве шлюзов NAT могут использоваться межсетевые экраны с функцией NAT. Это позволит дополнительно повысить безопасность при межсетевом взаимодействии заказчиков, включенных в один экстранет.
На нижеследующем рисунке показана трансляция адресов на границе сети заказчика. Трафик Extranet/NAT и Intranet/non-NAT передается через один и тот же интерфейс, что позволяет экономить аппаратные ресурсы PE-маршрутизаторов.
Если CE-маршрутизаторы принадлежат заказчику, именно он несет ответственность за преобразование адресов на интерфейсах, выходящих на экстранет VRF, и за согласование используемых адресов. Сервис-провайдер берет на себя ответственность за создание таблиц VRF и инжектирование в них данных о маршрутах с преобразованными адресами (в случае, когда используется статическая маршрутизация).
Более благоприятная ситуация возникает, когда сервис-провайдер предлагает заказчику услугу по управлению маршрутизаторами. В этом случае сервис-провайдер контролирует весь маршрут до CE-маршрутизатора и может поддерживать между CE-маршрутизаторами сквозное (end-to-end) управление NAT.
Здесь показаны два заказчика: Заказчик 1 Сайт A (C1A) и Заказчик 2 Сайт B (C2B), которые работают в сети экстранет с преобразованием адресов (NAT). Когда C1A хочет установить связь с C2B, он транслирует свой адрес источника, заменив его на адрес из пула Ct1, с помощью процедур динамической или статической трансляции. C2B поступает точно так же, но он заменяет адрес трафика, предназначенного для C1A, на адрес из пула Ct2.
В таблицах VRF обоих заказчиков будут храниться введенные в них преобразованные адреса, которые позволят направлять пакеты в сеть экстранет. Специальная карта маршрутов и виртуальный интерфейс, которые имеются на каждом маршрутизаторе CE NAT, предотвращают преобразование адресов трафика, предназначенного для внутренних сетей интранет. К трафику интранет будет относиться любой пакет с адресом назначения, относящимся к адресному пространству C.
Поскольку трансляция адресов в экстранет происходит с обеих сторон, то для каждого адреса хоста, требующего взаимодействия через экстранет, требуется статическое преобразование. Если преобразование будет динамическим, мы никогда не сможем определить, какой NAT-адрес был присвоен каждому из внутренних xостов.
Источник www.ciscolab.ru