Beruflich Dokumente
Kultur Dokumente
CHARGROS
Vwarding
1. Dfinition
Le
VRF
(VPN
Routing
and
Forwarding)
permet
de
sparer
les
utilisateurs
sur
un
rseau
partag
comme
l'IP
VPN
en
utilisant
diffrentes
instances
de
VRF
sur
les
routeurs
de
bordure
du
Service
Provider
appels
des
PE
(Provider
Edge).
Cette
dernire
technologie
permet
de
sparer
les
clients
en
se
basant
sur
les
couches
2(Liaison
de
donne
:
Adresse
MAC)
et
3
(Rseau
:
Adresse
IP)
du
modle
OSI.
Les
Services
Providers
peuvent
ainsi
sparer
les
clients
sur
leur
rseau
Backbone
en
utilisant
les
VRF
coupls
dautres
technologies
comme
le
MPLS
:
les
clients
situs
dans
un
VPN
spcifique
ne
peuvent
pas
voir
le
trafic
en
dehors
de
leur
VPN.
Il
est
important
de
prciser
que
les
VRF
contiennent
des
routes
pour
les
sites
VPN
directement
connects.
2. Exemple
Actuellement
sans
VRF,
les
paquets
du
Client
A
et
du
Client
B
sont
mlangs.
Pour
empcher
cela,
le
service
provider
met
chaque
client
dans
un
VRF
spar,
ainsi
les
paquets
de
chaque
client
sont
logiquement
spars
linstar
des
VLAN
dans
les
rseaux
internes
des
entreprises.
Ce
document
est
une
oeuvre
intellectuelle
protge
par
les
droits
dauteurs.
Copyright
2009
Alexandre
CHARGROS.
Aucune
reproduction
de
ce
document
,mme
partielle,ne
peut
tre
faite
sans
lautorisation
expresse
de
lauteur.
Sinon
vous
encourez
selon
la
loi
jusqu
3
ans
de
prison
et
jusqu
300
000
Euros
de
dommages
et
intrts.
1
Alexandre
CHARGROS
3. Cration
Un
VRF
est
compos
de
deux
lments.
Le
premier,
le
Route
Distinguisher
(RD)
qui
permet
didentifier
un
VPN
dans
le
rseau
dun
Service
Provider.
Le
deuxime,
le
Route
Target
(RT)
qui
indique
lappartenance
dune
route
un
VPN
et
autorise
les
routes
du
VPN
tre
importes/exportes
dans/hors
des
VRF.
Il
fonctionne
de
la
mme
faon
quune
politique
de
routage
en
dterminant
comment
les
routes
sont
distribues
via
un
VPN
spcifiques.
Il
est
compos
comme
le
RT,
c'est--dire
sur
8
octets
:
Ce
document
est
une
oeuvre
intellectuelle
protge
par
les
droits
dauteurs.
Copyright
2009
Alexandre
CHARGROS.
Aucune
reproduction
de
ce
document
,mme
partielle,ne
peut
tre
faite
sans
lautorisation
expresse
de
lauteur.
Sinon
vous
encourez
selon
la
loi
jusqu
3
ans
de
prison
et
jusqu
300
000
Euros
de
dommages
et
intrts.
2
Alexandre
CHARGROS
Client 1:
Service_Provider(config)#interface
loopback
1
Service_Provider(config-if)#description
Interface
loopback
pour
Client_1
VRF
Service_Provider(config)#interface
g0/0
Service_Provider(config-if)#description
Connexion
au
routeur
du
Client_1
Service_Provider(config)#ip
vrf
Client_1
Service_Provider(config-vrf)#rd
192.168.1.1:100
Service_Provider(config-vrf)#route-target
import
192.168.1.255:100
Service_Provider(config-vrf)#route-target
export
192.168.1.255:100
Client 2:
Service_Provider(config)#interface
loopback
2
Service_Provider(config-if)#description
Interface
loopback
pour
Client_2
VRF
Service_Provider(config)#interface
g0/1
Service_Provider(config-if)#description
Connexion
au
routeur
du
Client_2
Service_Provider(config)#ip
vrf
Client_2
Service_Provider(config-vrf)#rd
192.168.2.1:200
Service_Provider(config-vrf)#route-target
import
192.168.2.255:200
Service_Provider(config-vrf)#route-target
export
192.168.2.255:200
Ci-dessous la reprsentation schmatique de la sparation des Clients laide des VRF sur le routeur PE.
Ce
document
est
une
oeuvre
intellectuelle
protge
par
les
droits
dauteurs.
Copyright
2009
Alexandre
CHARGROS.
Aucune
reproduction
de
ce
document
,mme
partielle,ne
peut
tre
faite
sans
lautorisation
expresse
de
lauteur.
Sinon
vous
encourez
selon
la
loi
jusqu
3
ans
de
prison
et
jusqu
300
000
Euros
de
dommages
et
intrts.
3
Alexandre
CHARGROS
Attention
:
il
ne
faut
pas
assigner
dadresse
ip
aux
interfaces
avant
dassigner
le
VRF
sinon
lip
sera
supprime
et
il
faudra
de
nouveau
la
rassigner.
Client 1:
Service_Provider(config)#interface
lo1
Service_Provider(config-if)#ip
vrf
forwarding
Client_1
Service_Provider(config-if)#ip
address
192.168.1.1
255.255.255.255
Service_Provider(config)#interface
g0/0
Service_Provider(config-if)#ip
vrf
forwarding
Client_1
Service_Provider(config-if)#ip
address
10.1.1.1
255.255.255.252
Client 2:
Service_Provider(config)#interface
lo2
Service_Provider(config-if)#ip
vrf
forwarding
Client_2
Service_Provider(config-if)#ip
address
192.168.2.1
255.255.255.255
Service_Provider(config)#interface
g0/1
Service_Provider(config-if)#ip
vrf
forwarding
Client_2
Service_Provider(config-if)#ip
address
10.1.2.1
255.255.255.25
Ce
document
est
une
oeuvre
intellectuelle
protge
par
les
droits
dauteurs.
Copyright
2009
Alexandre
CHARGROS.
Aucune
reproduction
de
ce
document
,mme
partielle,ne
peut
tre
faite
sans
lautorisation
expresse
de
lauteur.
Sinon
vous
encourez
selon
la
loi
jusqu
3
ans
de
prison
et
jusqu
300
000
Euros
de
dommages
et
intrts.
4
Alexandre
CHARGROS
Cette
partie
de
configuration
a
pour
but
dassigner
un
VRF
une
interface
du
routeur
du
Service
Provider
pour
lui
indiquer
telle
interface
route
tel
VRF
qui
correspond
tel
client.
Ainsi
aprs
configuration,
larchitecture
ressemble
ceci
:
Une
fois
un
VRF
configur
(il
est
possible
de
vrifier
la
configuration
laide
de
la
commande
:
show
ip
vrf)
sur
la
bonne
interface,
ltablissement
de
la
connectivit
et
du
routage
entre
le
routeur
du
client
et
le
celui
du
Service
Provider
peut
commencer.
6. Mise
en
situation
n
1
Prenons
lexemple
dune
autre
architecture,
un
peu
plus
complexe.
Un
rseau
comportant
quatre
sites,
deux
sites
font
parti
dun
VPN,
et
les
deux
autres
font
parti
dun
autre
VPN.
Ce
document
est
une
oeuvre
intellectuelle
protge
par
les
droits
dauteurs.
Copyright
2009
Alexandre
CHARGROS.
Aucune
reproduction
de
ce
document
,mme
partielle,ne
peut
tre
faite
sans
lautorisation
expresse
de
lauteur.
Sinon
vous
encourez
selon
la
loi
jusqu
3
ans
de
prison
et
jusqu
300
000
Euros
de
dommages
et
intrts.
5
Alexandre
CHARGROS
Nous
voyons
bien
que
le
site
1
dispose
dun
RD
spcifique
tout
comme
les
3
autres
sites.
Nous
voyons
aussi
dans
la
configuration
du
routeur
PE
1
du
Service
Provider
que
ce
dernier
fait
la
diffrence
entre
la
table
de
routage
du
Site
1
et
du
Site
2
car
ce
sont
deux
VRF
diffrents.
Ce
document
est
une
oeuvre
intellectuelle
protge
par
les
droits
dauteurs.
Copyright
2009
Alexandre
CHARGROS.
Aucune
reproduction
de
ce
document
,mme
partielle,ne
peut
tre
faite
sans
lautorisation
expresse
de
lauteur.
Sinon
vous
encourez
selon
la
loi
jusqu
3
ans
de
prison
et
jusqu
300
000
Euros
de
dommages
et
intrts.
6
Alexandre
CHARGROS
Remarquons
aussi
le
fait
que
PE
1
ne
dispose
pas
dinfos
sur
le
VRF
3
ou
4,
en
effet,
ces
derniers
ne
lui
sont
pas
directement
connects.
7. Mise
en
situation
N
2
Prenons
la
situation
dun
rseau
partag
qui
route
deux
VPN
diffrents
pour
3
sites
chaque
fois
qui
ncessite
dtre
Fully
Meshed
(Chaque
Client
est
connect
avec
tous
les
autres
avec
lesquels
ils
communiquent.
Il existe deux VPNs, le A qui englobe les clients 1, 3 et 5, le B qui englobe les clients 4, 2, 6.
Ce
document
est
une
oeuvre
intellectuelle
protge
par
les
droits
dauteurs.
Copyright
2009
Alexandre
CHARGROS.
Aucune
reproduction
de
ce
document
,mme
partielle,ne
peut
tre
faite
sans
lautorisation
expresse
de
lauteur.
Sinon
vous
encourez
selon
la
loi
jusqu
3
ans
de
prison
et
jusqu
300
000
Euros
de
dommages
et
intrts.
7
Alexandre
CHARGROS
Le
but
est
ici
de
spcifier
la
mme
route-target
en
import/export
sur
tous
les
VRFs
du
VPN
A
:
A,
C,
E
(idem
pour
le
VPN
B
:
B,
D,
F)
pour
que
chaque
client
puisse
communiquer
avec
les
clients
du
mme
VPN.
Configuration du routeur PE 1:
Service Provider_1(config-vrf)#exit
Configuration du routeur PE 2:
Service_Provider_2(config-vrf)#exit
Configuration du routeur PE 3:
Service_Provider_3(config-vrf)#exit
Ce
document
est
une
oeuvre
intellectuelle
protge
par
les
droits
dauteurs.
Copyright
2009
Alexandre
CHARGROS.
Aucune
reproduction
de
ce
document
,mme
partielle,ne
peut
tre
faite
sans
lautorisation
expresse
de
lauteur.
Sinon
vous
encourez
selon
la
loi
jusqu
3
ans
de
prison
et
jusqu
300
000
Euros
de
dommages
et
intrts.
8
Alexandre
CHARGROS
8. Conclusion
Le
VRF
permet
donc
linstar
des
VLAN,
de
sparer
les
clients
lintrieur
de
rseau
partag
du
service
provider.
Ainsi
le
Service
Provider
dispose
dautant
de
table
de
routage
quil
connait
de
VRF.
Le
MPLS
VPN
vrifie
alors
lip
de
destination
dun
paquet
dans
le
VRF
correspondant
seulement
si
le
paquet
arrive
depuis
une
interface
configure
pour
le
VRF
spcifique.
Ce
document
est
une
oeuvre
intellectuelle
protge
par
les
droits
dauteurs.
Copyright
2009
Alexandre
CHARGROS.
Aucune
reproduction
de
ce
document
,mme
partielle,ne
peut
tre
faite
sans
lautorisation
expresse
de
lauteur.
Sinon
vous
encourez
selon
la
loi
jusqu
3
ans
de
prison
et
jusqu
300
000
Euros
de
dommages
et
intrts.