Рис. 2. Формирование таблицы маршрутизации
MP-BGP передается показанное на рис. 2 сообщение, включающее
в себя атрибуты, в том числе атрибуты RT [7]. Сравнение значений
атрибутов RT в этом сообщении и в установленных VRF позволяет
решить вопрос о принятии или отклонении предлагаемого марш-
рута, что, в свою очередь, позволяет формировать топологию сети
VPN. Маршрутизатор РЕ2 проверяет значение атрибута RT (политика
экспорта — WHITE) в этом сообщении на совпадение с политикой
импорта всех своих таблиц VRF (VRF2
А
и VRF2
В
). Атрибут RT
WHITE совпадает с таблицей импорта VRF2
А
, но не совпадает с
таблицей импорта VRF2
В
(GREY). Поэтому пакеты сайта 1 VPN
А
в рассмотренном случае корректного конфигурирования VRF будут
приниматься только клиентами сайта
2
VPN
А
и не приниматься кли-
ентами сайта 2 VPN
В
. Такая топология, когда значения политики
экспорта и импорта определенной сети VPN, которая рассматривает-
ся в настоящем примере, называется полносвязной, т.е. каждый сайт
может посылать пакеты непосредственно сайту, в котором находится
сеть назначения. Теперь рассмотрим один из примеров некорректного
конфигурирования VRF.
При получении от РЕ1 сообщения сайта VPN
A
маршрутизатор
РЕ2 проверяет значение атрибута RT WHITE в этом сообщении на
совпадение с политикой IMPORT всех своих таблиц VRF (VRF2
А
и
VRF2
В
). Значение атрибута RT WHITE совпадает с RT WHITE по-
литики IMPORT таблицы VRF2
А
той же VPN
А
, но не совпадает с
RT GREY политики IMPORT таблицы VRF2
B
другой VPN (VPN
B
).
Поэтому пакеты сайта 1 VPN
А
будут приниматься только клиентами
сайта 2 VPN
А
и не будут приняты клиентами сайта 2 VPN
В
. Если
злоумышленник при конфигурировании таблицы VRF сети VPN
B
установит одинаковые значения атрибуты RT, не равные GREY, а рав-
ные WHITE, то от сайта 1 VPN
A
будут поступать пакеты данных
ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2013. № 4 83
