Эта тема особенно важная, потому что в рунете, да и вообще в интернетах, нет доступного её разбора.
Вполне вероятно, что вы сейчас читаете эксклюзивный материал.
Итак, есть оператор связи, который предоставляет своему клиенту L3VPN. Ни с того ни с сего, с бухты да барахты понадобился ему ещё и Интернет.
Самое очевидное решение — прокинуть ещё один кабель — в одном VPN, в другом Интернет.
Допустим, это сложно. Тогда можно поднять сабинтерфейс и передавать фотки вконтактике в отдельном VLAN'е.
Допустим, там сложный арендованный канал, где можно прокинуть только 1 VLAN или оборудование клиента не умеет VLAN (стоит обычный компьютер), что тогда?
Об этом следующие 36 000 букв вашей жизни.
Итак, провайдер в тот же самый VPN продаёт и доступ в Интернет, через то же самое подключение, через те же адреса. Это значит, что в сети провайдера придётся где-то настроить доступ из приватной сети, в публичную, а следовательно обеспечить пересечение маршрутной информации.
Всё это непотребство имеет своё название — Route Leaking — маршруты протекают из VRF в глобальную таблицу. Название функционала говорящее — прибегать к Route Leaking'у особенно через статические маршруты нужно только в крайних случаях, ибо жуткий костыль.
Есть два подхода к реализации этого функционала:
- Настройка статических маршрутов из VRF в публичную сеть и наоборот.
- Жонглирование Route Target'ами.
Оба имеют право на жизнь.
Начнём со статики.
Ясное дело, нам понадобится NAT, чтобы спрятать частные сети.
Сценарии различаются лишь местом применения:
- В сети клиента — CE NAT.
- В сети провайдера на крайнем PE — PE NAT.
- В сети провайдера на точке выхода в Интернет — VRF Aware NAT.