Лаб8

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,

СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ

УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Кафедра Защищенных систем связи

Факультет Кибербезопасности

Дисциплина Основы построения защищенных компьютерных сетей

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №8

Организация доступа к сети Интернет совместно с предоставлением VPN

(тема отчета)

Направление/специальность подготовки

10.03.01 Информационная безопасность

(код и наименование направления/специальности)

Студент:

Травкина Е.А., ИКБ-14

(Ф.И.О., № группы) (подпись)

Федченко А.С., ИКБ-14

(Ф.И.О., № группы) (подпись)

Преподаватель:

к.т.н., Беккель Л.С.

(должность, Ф.И.О.) (подпись)

В современном информационном обществе сложно представить работу какого-либо предприятия без доступа к глобальной сети Интернет. В упрощенном виде под этим мы понимаем то, что из одной автономной сети может быть организован доступ к другой автономной сети. Для предоставления такой возможности клиенту оператор связи должен быть подключен с помощью протокола External BGP к другим автономным системам, принимать маршруты глобальной сети и анонсировать свои подсети. Для изучения данной возможности в рамках лабораторного стенда расширим топологию рассматриваемой сети (см. Рис. 1).

Рис. 1. Топология сети с подключением к другим AS

На рисунке изображено взаимодействие рассматриваемой нами сети с другой AS с номером 64555. В нашей автономной системе терминируется PI подсеть 100.100.0.0/20, в AS 64555 – 50.50.0.0/18. Подключение между автономными системами осуществляется с помощью протокола eBGP и терминируется на PE-5. Необходимые дополнения в конфигурации на PE‑5 (см. Рис. 2).

Рис. 2. Дополнение к конфигурации PE-5

Со стороны Uplink маршрутизатора (см. Рис. 3).

Рис. 3. Необходимые настройки на UpLink

Настроили протокол динамической маршрутизации eBGP на UpLink для связи с автономной системой 64500 (см. Рис. 4) и добавили настройка для BGP на PE-2 (см. Рис. 5).

Рис. 4. Настройка BGP на UpLink

Рис. 5. Дополнительные настройки на PE-2

После установления BGP сессии можно посмотреть обмен маршрутной информацией (см. Рис. 6).

Рис. 6. Таблица маршрутов BGP на Uplink маршрутизаторе

От PE-5 с помощью протокола iBGP маршрутная информация о внешних сетях передается всем iBGP спикерам (см. Рис. 7).

Рис. 7. Таблица маршрутов BGP на PE-2

Таким образом, для организации подключения сети клиента к глобальной сети Интернет стоит задача организовать доступ к другой автономной системе (AS 64555). Рассмотрим реализацию этого на примере СЕ-B-1.

Для этого необходимо организовать между PE-2 и СЕ-B-1 два логических соединения с помощью инкапсуляции 802.1q. Для существующего VPN подключения будем использовать VLAN 100, а для доступа к сети интернет VLAN 200. Также обычной практикой при организации Интернет-доступа является выделении публичных IP адресов из адресного пространства провайдера. Поэтому выделим для этого подключения подсеть 100.100.10.0/24. Адрес 100.100.10.1/24 будет использоваться для PE-2, адрес 100.100.10.2/24 для CE-B-1 (см. Рис. 8).

Рис. 8. Настройка VLAN на PE-2

Конфигурация на СЕ-B-2 (см. Рис. 9).

Рис. 9. Настройка VLAN на CE-B-1

Теперь необходимо на PE-2 активировать редистрибюцию connected маршрутов в BGP, чтобы передать информацию о присоединенной сети остальным BGP спикерам. Но здесь есть важный момент, подсеть, выделенная для этого клиента, не должна передаваться отдельный анонсам в другие автономные системы. Данное правило справедливо для всех connected сетей входящих в состав агрегированной сети 100.100.0.0/20. Это вызвано тем, что на межоператорских стыках происходит фильтрация принимаемых анонсов по наличию для них соответствующих записей в региональных интернет регистраторах (например, RIPE, APNIC, ARIN). То есть если бы мы анонсировали более специфичный маршрут, то для каждого такого маршрута должна быть создана соответствующая запись, а их может быть десятки тысяч.

Для решения данной задачи, нам необходимо осуществить редистрибюцию connected маршрутов с community no-export, что означает не передавать в другие автономные системы, но внутри нашей автономной системы данный маршрут будет передаваться. Для этого создадим политику маршрутизации, добавляющую необходимое community (см. Рис. 10).

Рис. 10. Настройка анонсирования connected маршрутов

После этого на всех маршрутизаторах в автономной системе 64500 будет анонсироваться подсеть 100.100.10.0/24 с community no-export, и из-за него она не будет передаваться в другие AS (см. Рис. 11, 12).

Рис. 11. Информация о маршруте для клиентской сети на PE-5

Рис. 12. Информация о маршрутах BGP на Uplink маршрутизаторе

Последним шагом необходимо задать статический маршрут по умолчанию на CE-B-1 (см. Рис. 13).

Теперь можно проверить доступность с СЕ-B-1 маршрутизатора в другой AS (см. Рис. 13).

Рис. 13. Настройка статического маршрута и проверка доступности

Таким образом, можно говорить о том, что для CE-B-1 организовано подключение к глобальной сети Интернет. Но мы подключили организовали доступ только для одного сайта клиента. Для подключения других филиалов может использоваться аналогичный подход.

ВЫВОД

В данной работе была продемонстрирована организация подключения клиента к глобальной сети Интернет с использованием протокола eBGP на стыке с другой автономной системой (AS 64555). Подключение клиента предполагает настройку BGP на стыке с провайдером, что позволяет принимать и передавать маршруты для доступа к интернету.

Одним из ключевых моментов стало использование двух VLAN для логического разделения трафика L3VPN и Интернет-доступа между устройствами PE и CE, что соответствует практике выделения публичных IP-адресов для интернет-доступа. В конфигурации было применено управление с помощью community no-export, чтобы маршруты клиента оставались внутри автономной системы, что необходимо для соблюдения правил межоператорского обмена маршрутами и уменьшения нагрузки на глобальную маршрутизацию.

Результаты работы показывают, что клиент (CE-B-1) успешно подключен к Интернету и может взаимодействовать с другими автономными системами.

Санкт-Петербург

2024