LSP, чий префікс довше інших. Процедура вибору одного з цих LSP в даному документі не розглядається.
Якщо відомо, що пакет повинен пройти через певний вихідний маршрутизатор, і мається LSP, який має елемент FEC адресного префікса, який є адресою цього маршрутизатора, тоді пакет асоціюється з цим LSP.
Відзначимо кілька наслідків цих правил:
пакет може бути посланий по LSP, чий адресний префікс елемента FEC є адресою вихідного маршрутизатора, тільки якщо немає LSP, що узгоджуються з адресою місця призначення пакета;
пакет може відповідати двом LSP, одному з FEC елементом адреси ЕОМ, а іншому з FEC елементом префікса адреси. У цьому випадку пакети асоціюються завжди з другим з цих LSP;
пакет, який не відповідає визначеним FEC-елементу адреси ЕОМ, не може бути посланий по відповідному LSP, навіть якщо FEC елемент адреси ЕОМ ідентифікує вихідний маршрутизатор для даного пакета.
.4.6 Безпека в мережах MPLS / VPN
Функціональність MPLS-VPN підтримує рівень безпеки, еквівалентний безпеки оверлейних віртуальних каналів в мережах Frame Relay і ATM. Безпека в мережах MPLS-VPN підтримується за допомогою поєднання протоколу BGP і системи вирішення IP-адрес.
BGP-протокол відповідає за поширення інформації про маршрути. Він визначає, хто і з ким може зв'язуватися з допомогою багатопротокольних розширень і атрибутів community. Членство в VPN залежить від логічних портів, які об'єднуються в мережу VPN і яким BGP присвоює унікальний параметр Route Distinguisher (RD). Параметри RD невідомі кінцевим користувачам, і тому вони не можуть отримати доступ до цієї мережі через інший порт і перехопити чужий потік даних. До складу VPN входять тільки певні призначені порти. У мережі VPN з функціями MPLS протокол BGP поширює таблиці FIB (Forwarding Information Base) з інформацією про VPN тільки учасникам даної VPN, забезпечуючи таким чином безпеку передачі даних за допомогою логічного поділу трафіку.
Саме провайдер, а не замовник присвоює порти певної VPN під час її формування. У мережі провайдера кожен пакет асоційований з RD, і тому спроби перехоплення пакета або потоку трафіку не можуть привести до прориву хакера в VPN. Користувачі можуть працювати в мережі інтранет або екстранет, тільки якщо вони пов'язані з потрібним фізичним або логічним портом і мають потрібний параметр RD. Ця схема надає мережам Cisco MPLS-VPN дуже високий рівень захищеності.
В опорній мережі інформація про маршрути передається за допомогою стандартного протоколу Interior Gateway Protocol (IGP), такого як OSPF або IS-IS. Прикордонні пристрої РЕ в мережі провайдера встановлюють між собою зв'язки-шляху, використовуючи LDP для призначення міток. Призначення міток для зовнішніх (для користувача) маршрутів поширюється між РЕ-Маршрутизатор не через LDP, а через багатопротокольна розширення BGP. Атрибут Community BGP обмежує рамки інформації про доступність мереж і дозволяє підтримувати дуже великі мережі, не перевантажуючи їх інформацією про зміни маршрутної інформації. Протокол BGP не оновлюється інформацію на всіх периферійних пристроях РЕ, що знаходяться в провайдерської сети, а приводить у відповідність таблиці FIB тільки тих РЕ, які належать до конкретної VPN.
Якщо віртуальні канали створюю...
