Сервис-провайдер также может предоставить доступ к услугам своей внутренней сети. Ниже описан подход к доступу через шлюз с ориентацией на заказчика. Это означает, что каждый заказчик будет идентифицироваться на шлюзе с помощью отдельного подинтерфейса. Преимущество этого подхода заключается в точной идентификации заказчиков, четком определении необходимых им услуг и простоте управления. Любое изменение кон
Рисунок 20. Доступ к услугам и преобразование адресов на устройстве СЕ
фигурации связывается только с данным заказчиком (таблицей VRF и подинтерфейсом), что ограничивает влияние конфигурационных ошибок на других заказчиков. Небольшой недостаток состоит в том, что для каждого заказчика нужно определять отдельный интерфейс и таблицу VRF, что увеличивает объем конфигурации и требует большего объема памяти на шлюзе и PE-маршрутизаторах в точке предоставления услуг.
В этом сценарии весь трафик, предназначенный для доступа к внешним услугам, должен проходить через шлюз (service gateway router). Этот шлюз транслирует адреса и отправляет пакет к следующей VRF или непосредственно к подключенному хосту. Кроме этого, шлюз выполняет функции межсетевого экрана, повышая общий уровень безопасности. Преимущество шлюза состоит в том, что его пул адресов может использоваться всеми заказчиками. Таким образом повышается эффективность использования адресов.
На рисунке 21 показаны два заказчика, пользующиеся услугами, которые предоставляются через шлюз Service Gateway 1. Этот шлюз настроен на предоставление пяти разных услуг. Три из них предоставляются по прямым каналам связи со шлюзом (A, B, C), а две другие предоставляются в других местах, и доступ к ним осуществляется с помощью индивидуальных таблиц VRF (Public Service 1 и Public Service 2). Эти таблицы определяются на PE-маршрутизаторе. Все услуги должны иметь зарегистрированные IP-адреса.
Каждый заказчик должен иметь на шлюзе свой от дельный подинтерфейс. Шлюз подключается к соответствующему PE-маршрутизатору, который имеет таблицу VRF данного заказчика, определенную на каждом подинтерфейсе, ведущем к шлюзу.
3.5.2.3 Доступ к услугам через шлюз (с ориентацией на услуги)
Описанную выше схему можно изменить, сориентировав ее не на заказчиков, а на услуги. Каждая услуга на шлюзе (service gateway) будет иметь связанную с ней таблицу VRF и подинтерфейс. Эти таблицы VRF определяются в той части сети, где действуют непреобразован-ные адреса. Другими словами, в большинстве случаев в этих таблицах будет отражаться частное адресное пространство заказчика. Из этого вытекает, что адреса любого заказчика, который пользуется шлюзом (service gateway), не должны совпадать с адресами других заказчиков, которые пользуются тем же шлюзом (такое же правило действует и в предыдущем сценарии, ориентированном на заказчиков).
Любой заказчик, подписывающийся на данную услугу, должен импортировать данные о маршрутах (routetarget), которые экспортируются из сервисной таблицы VRF. И наоборот, каждая сервисная таблица VRF должна импортировать маршруты заказчиков для поддержки двусторонней связи. В этом примере единая таблица VRF для всех услуг создается в той части сети, где используются преобразованные адреса. Это упрощает задачи настройки конфигурации, но затрудняет точный контроль над доступом.
На рисунке 22 показан тот же шлюз (service gateway), который был описан в сценарии, ориентированном на заказчика, но у него имеется пять таблиц VRF, определенных на стороне с непреобразованными адресами, и одна таблица VRF для всех услуг на стороне с преобразованными адресами. Заказчик 2 подписывается на услугу P2, импортируя маршрут к P2 (route-target). Заказчик 1 подписывается на услуги P1 и A, импортируя маршрут к P1 и маршрут к A.
С той стороны шлюза (service gateway), где действуют преобразованнные адреса, располагается единая таблица VRF со статическим маршрутом для всех преобразованных адресов Cxt. Этот маршрут ведет обратно к шлюзу. Пул преобразованных адресов Cxtтакже импортируется в каждую сервисную таблицу VRF (P1 и P2), чтобы трафик мог вернуться к шлюзу.
Таблицы VRF с преобразованными адресами на РЕмаршрутизаторе PE-I импоритруют маршруты каждой услуги (P1 и P2), к которой предоставляется доступ. Услуги A, B и C являются локальными для домена маршрутизации шлюза и поэтому не требуют специальной конфигурации MPLS-VPN.
⇐Доступ к услугам на устройстве ce | Построение виртуальных частных сетей | Услуга интернет-доступа 3.6.1. простой совместный интернет-доступ (транслация адресов на множестве общих шлюзов)⇒