宽带普及后,同一系统不同路由的VPN配置实例经常面临VPN配置实例设置的问题。所以,今天我就来介绍一下VPN配置实例的设置技巧,希望这篇文章能教给大家更多的东西,给大家的生活带来便利。
一个站点可以有多个VPN配置实例,但是不同VPN配置实例到站点中系统的路由不必相同。例如,假设一个内部网包含站点A、B和C,一个外部网包含站点A、B和C以及一个外部站点D,如果站点A上有服务器,我们希望来自B、C和D的客户可以使用它。
同时,b站点有一个防火墙,为了控制来自外网的服务准入,所有连接到D站点服务器的服务都要经过这个防火墙。而来自站点C的业务是内网,不需要通过防火墙到达服务器。
也就是说,有两条到服务器的路径。站点B和C使用一条路径直接通向站点A,站点D使用第二条路径先到达站点B的防火墙。如果防火墙允许流量通过,该流量将像来自站点b的流量一样被发送到站点A。
PE上的转发表
每个PE路由器维护几个独立的转发表。连接到PE的每个站点必须对应一个转发表。当从一个站点接收到分组时,需要查找对应于该站点的转发表,以确定分组的转发路径。只有当路由的目的站点和站点S至少在一个VPN配置实例中时,才会生成站点S的转发表,这样可以防止不在同一个VPN配置实例中的两个站点之间的通信。而且,这样两个没有公共站点的VPN配置实例也可以使用重叠的地址空间。
SP骨干路由器
SP的骨干网包括PE路由器和其他不直接连接到CE设备的路由器(P路由器)。如果SP骨干网中的每台路由器都要维护所有VPN配置实例的路由信息,那么这种模式无疑扩展性很差,SP能够支持的站点数量取决于一台路由器能够存储的路由信息数量。
因此,一个重要的要求是,一个VPN的路由信息只保存在连接该VPN的PE路由器上,而P路由器不需要保存任何VPN配置实例的路由信息。一个VPN配置实例可以跨越多个服务提供商。如果两个服务提供商SP相互信任。
那么它们的PE路由器之间的路径可以根据专用对等体跨越SP网络之间的边界。特别是,每个提供商信任另一方,并向另一方传送正确的路由信息和带有可靠来源的标记数据包(在MPLS [9]的情况下)。这里,我们假设标签交换路径可以跨越sp之间的边界。
安全性
即使没有加密,VPN配置实例模型也应该提供相当于第二层主干网络(如帧中继)的保证。也就是说,即使不同的VPN配置实例被错误配置或故意互联,一个VPN的系统也无法进入另一个VPN配置实例的系统。同时,该模型还应采用标准措施。