Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Vwarding: 1. Définition

    Hochgeladen von

    billl
    19 Ansichten9 Seiten
    afz

    Originaltitel

    2

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    afz

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    19 Ansichten9 Seiten

    Vwarding: 1. Définition

    Hochgeladen von

    billl
    afz

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 9

    Alexandre

    CHARGROS

    Vwarding

    1. Dfinition
    Le VRF (VPN Routing and Forwarding) permet de sparer les utilisateurs sur un rseau partag comme
    l'IP VPN en utilisant diffrentes instances de VRF sur les routeurs de bordure du Service Provider appels
    des PE (Provider Edge). Cette dernire technologie permet de sparer les clients en se basant sur les
    couches 2(Liaison de donne : Adresse MAC) et 3 (Rseau : Adresse IP) du modle OSI.

    Les Services Providers peuvent ainsi sparer les clients sur leur rseau Backbone en utilisant les VRF
    coupls dautres technologies comme le MPLS : les clients situs dans un VPN spcifique ne peuvent
    pas voir le trafic en dehors de leur VPN. Il est important de prciser que les VRF contiennent des routes
    pour les sites VPN directement connects.

    2. Exemple
    Actuellement sans VRF, les paquets du Client A et du Client B sont mlangs. Pour empcher cela, le
    service provider met chaque client dans un VRF spar, ainsi les paquets de chaque client sont
    logiquement spars linstar des VLAN dans les rseaux internes des entreprises.

    Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme
    partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages
    et intrts.

    1
    Alexandre CHARGROS

    3. Cration
    Un VRF est compos de deux lments.

    Le premier, le Route Distinguisher (RD) qui permet didentifier un VPN dans le rseau dun Service
    Provider.

    Cet identifiant est compos de deux parties :

    - Soit un Autonomous System number sur 2 octets suivi par un numro


    arbitraire sur 4 octets. Exemple : 101:3.

    - Soit une adresse ip sur 4 octets suivi par un numro arbitraire (2


    octets). Exemple : 192.168.122.15:1.

    Le deuxime, le Route Target (RT) qui indique lappartenance dune route un VPN et autorise les
    routes du VPN tre importes/exportes dans/hors des VRF.

    Il fonctionne de la mme faon quune politique de routage en dterminant comment les routes sont
    distribues via un VPN spcifiques. Il est compos comme le RT, c'est--dire sur 8 octets :

    - Soit un Autonomous System number sur 2 octets suivi par un numro


    arbitraire sur 4 octets. Exemple : 101:3.

    Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme
    partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages
    et intrts.

    2
    Alexandre CHARGROS

    - Soit une adresse ip sur 4 octets suivi par un numro arbitraire (2


    octets). Exemple : 192.168.122.15:1.

    4. Configuration dun VRF


    Il sagit dtablir la configuration de larchitecture prcdente, c'est--dire : configurer deux VRF (un pour chaque
    client) sur le routeur de Service Provider. Le Client 1 aura le RD (Route Distinguisher) suivant : 192.168.1.1:100
    et le Client 2 aura le RD (Route Distinguisher) suivant : 192.168.1.1:200.

    Client 1:

    Service_Provider(config)#interface loopback 1
    Service_Provider(config-if)#description Interface loopback pour Client_1 VRF
    Service_Provider(config)#interface g0/0
    Service_Provider(config-if)#description Connexion au routeur du Client_1
    Service_Provider(config)#ip vrf Client_1
    Service_Provider(config-vrf)#rd 192.168.1.1:100
    Service_Provider(config-vrf)#route-target import 192.168.1.255:100
    Service_Provider(config-vrf)#route-target export 192.168.1.255:100

    Client 2:

    Service_Provider(config)#interface loopback 2
    Service_Provider(config-if)#description Interface loopback pour Client_2 VRF
    Service_Provider(config)#interface g0/1
    Service_Provider(config-if)#description Connexion au routeur du Client_2
    Service_Provider(config)#ip vrf Client_2
    Service_Provider(config-vrf)#rd 192.168.2.1:200
    Service_Provider(config-vrf)#route-target import 192.168.2.255:200
    Service_Provider(config-vrf)#route-target export 192.168.2.255:200

    Ci-dessous la reprsentation schmatique de la sparation des Clients laide des VRF sur le routeur PE.

    Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme
    partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages
    et intrts.

    3
    Alexandre CHARGROS

    5. Assignation des VRF aux interfaces


    Aprs avoir cr les deux VRF, il faut les assigner aux diverses interfaces et commencer sparer les deux clients.

    Attention : il ne faut pas assigner dadresse ip aux interfaces avant dassigner le VRF sinon lip sera supprime et il
    faudra de nouveau la rassigner.

    Client 1:

    Service_Provider(config)#interface lo1
    Service_Provider(config-if)#ip vrf forwarding Client_1
    Service_Provider(config-if)#ip address 192.168.1.1 255.255.255.255
    Service_Provider(config)#interface g0/0
    Service_Provider(config-if)#ip vrf forwarding Client_1
    Service_Provider(config-if)#ip address 10.1.1.1 255.255.255.252

    Client 2:

    Service_Provider(config)#interface lo2
    Service_Provider(config-if)#ip vrf forwarding Client_2
    Service_Provider(config-if)#ip address 192.168.2.1 255.255.255.255
    Service_Provider(config)#interface g0/1
    Service_Provider(config-if)#ip vrf forwarding Client_2
    Service_Provider(config-if)#ip address 10.1.2.1 255.255.255.25

    Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme
    partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages
    et intrts.

    4
    Alexandre CHARGROS

    Cette partie de configuration a pour but dassigner un VRF une interface du routeur du Service Provider pour lui
    indiquer telle interface route tel VRF qui correspond tel client.
    Ainsi aprs configuration, larchitecture ressemble ceci :


    Une fois un VRF configur (il est possible de vrifier la configuration laide de la commande : show ip
    vrf) sur la bonne interface, ltablissement de la connectivit et du routage entre le routeur du client et
    le celui du Service Provider peut commencer.

    6. Mise en situation n 1
    Prenons lexemple dune autre architecture, un peu plus complexe.

    Un rseau comportant quatre sites, deux sites font parti dun VPN, et les deux autres font parti dun
    autre VPN.

    Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme
    partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages
    et intrts.

    5
    Alexandre CHARGROS

    Voici larchitecture et la configuration adquate :

    Nous voyons bien que le site 1 dispose dun RD spcifique tout comme les 3 autres sites. Nous voyons
    aussi dans la configuration du routeur PE 1 du Service Provider que ce dernier fait la diffrence entre la
    table de routage du Site 1 et du Site 2 car ce sont deux VRF diffrents.

    Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme
    partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages
    et intrts.

    6
    Alexandre CHARGROS

    Remarquons aussi le fait que PE 1 ne dispose pas dinfos sur le VRF 3 ou 4, en effet, ces derniers ne lui
    sont pas directement connects.

    7. Mise en situation N 2
    Prenons la situation dun rseau partag qui route deux VPN diffrents pour 3 sites chaque fois qui
    ncessite dtre Fully Meshed (Chaque Client est connect avec tous les autres avec lesquels ils
    communiquent.

    Il existe deux VPNs, le A qui englobe les clients 1, 3 et 5, le B qui englobe les clients 4, 2, 6.

    Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme
    partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages
    et intrts.

    7
    Alexandre CHARGROS

    Le but est ici de spcifier la mme route-target en import/export sur tous les VRFs du VPN A : A, C, E
    (idem pour le VPN B : B, D, F) pour que chaque client puisse communiquer avec les clients du mme
    VPN.

    La configuration est la suivante :

    Configuration du routeur PE 1:

    Service Provider_1 (config)#PE_1

    Service Provider_1(config)#ip vrf vrfA

    Service Provider_1(config-vrf)#route-target both 777:1

    Service Provider_1(config-vrf)#exit

    Service Provider_1(config)#ip vrf vrfB

    Service Provider_1(config-vrf)#route-target both 777:2

    Configuration du routeur PE 2:

    Service_Provider_2 (config)# PE_2

    Service_Provider_2(config)#ip vrf vrfC

    Service_Provider_2(config-vrf)#route-target both 777:1

    Service_Provider_2(config-vrf)#exit

    Service_Provider_2(config)#ip vrf vrfD

    Service_Provider_2(config-vrf)#route-target both 777:2

    Configuration du routeur PE 3:

    Service_Provider_3(config)#ip vrf vrfE

    Service_Provider_3(config-vrf)#route-target both 777:1

    Service_Provider_3(config-vrf)#exit

    Service_Provider_3(config)#ip vrf vrfF

    Service_Provider_3(config-vrf)#route-target both 777:2

    Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme
    partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages
    et intrts.

    8
    Alexandre CHARGROS

    8. Conclusion

    Le VRF permet donc linstar des VLAN, de sparer les clients lintrieur de rseau partag du service provider.
    Ainsi le Service Provider dispose dautant de table de routage quil connait de VRF. Le MPLS VPN vrifie alors lip
    de destination dun paquet dans le VRF correspondant seulement si le paquet arrive depuis une interface
    configure pour le VRF spcifique.

    Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme
    partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages
    et intrts.

    Das könnte Ihnen auch gefallen