Beruflich Dokumente
Kultur Dokumente
Les VPN/MPLS
• Le but de MPLS a été dans un premier temps
l’amélioration de l’acheminement IP La
commutation est plus rapide.
VPN V
CE
IP/MPLS
PE CE
P PE
¨P
PE
PE
CE VPN R
CE
CE
CE
VPN R
VPN B VPN V
VPN/MPLS
• C’est au niveau des PE qu’est déclarée l’appartenance d’un CE
à un VPN donné. Le rôle du PE consiste à gérer les VPN en
coopérant avec les autres PE
PE CE
P PE
¨P
VPN R
P
10.0.0.0/8 20.0.0.0/8
PE
PE
CE VPN R
CE
CE
CE
VPN R VPN B
VPN B
40.0.0.0/8
10.0.0.0/8
PE CE
P PE2
¨P
VPN R
CE 40.0.0.0/8
CE
VPN R
VPN B VPN B
10.0.0.0/8
Les routeur PE1 , PE2 et PE 3 doivent s’échanger des routes sur le VPN R ?
Les routeurs PE1 et PE3 doivent s’échanger des routes sur le VPN B ?
Les PE s’échangent des informations de routage pour construire les VRF
Quel protocole utilisent ils ?
MP-iBGP (Multi-Protocol BGP)
• BGP permet de transporter des informations sur des plages
d’adresses IPv4 sur 4 octets.
• L’IETF a normalisé une extension à ce protocole : Multi-
Protocol BGP RFC 2858.
• Cette extension permet à BGP de transporter des informations
d’autres protocoles d’adresses VPN-IPv4 (12-octet ), IPv6
Multicast, etc...
• Les PE sont des MP-BGP peers ( voisin MP-BGP ) Ils
s’échangent les informations de routage des différents sites
clients d’un même VPN.
• Les plages d’adresses pouvant se recouvrir, il faut
pouvoir les dissocier.
30.0.0.0/8
CE
IP/MPLS
PE CE
P PE2
¨P
VPN R
P 20.0.0.0/8
10.0.0.0/8
PE3
PE1
CE VPN R
CE
CE 40.0.0.0/8
CE
VPN R
VPN B VPN B
10.0.0.0/8
PE1 et PE2 sont des Voisins MP-BGP pour le VPN R
PE1 et PE3 sont des Voisins MP-BGP pour le VPN R
PE1 et PE3 sont des Voisins MP-BGP pour le VPN R
PE1 et PE3 sont des Voisins MP-BGP pour le VPN B
Notion de RD (Route Distinguisher)
• Les deux CE annoncent chacun la route 10.0.0.0/8 à PE1,
comment celui ci va reconnaitre les deux clients et va
annoncer ces 02 routes à un autre PE tout en les distinguant
de manière unique ?
La RD permet au PE de distinguer les routes VPN des clients
pour garantir leur unicité lors de l’échange entre les PE.
• Lorsque les routes VPN sont annoncées entre routeurs PE via MP-BGP,
la RD est incluse dans la route avec le préfixe IP.
➢ La route pour 10.0.0.0/8 dans la VRF du site1 (VPN1) est annoncée
effectivement comme:
• Il doit être importé dans une VRF pour être pris en compte.
• Ces RT sont structurés de manière identique que le RD.
Toutes les routes associées avec un RT 100:1 doivent être distribuées à tous les
routeurs PE qui ont une VRF associée avec le RT 100:1.
Notion de RT (Route Target)
Etant donné que les routes peuvent être soit envoyées par un PE, soit reçues
d’un autre PE, le RT définit quel préfixe réseau est exporté ou importé sur
les routeurs PE .
• Les RT sont des filtres appliqués sur les routes VPNv4.
• Le RT est transmis au voisin BGP pour permettre diverses actions
sur ces routes (filtrage, route-policy , …)
• Par exemple :
– Si la route VPN v4, 2000:1:192.168.1.0/24 est exportée par un
PE avec comme liste de RT 2000:500 et 2000:501.
– Tous les autres routeurs PE vont importer au moins un de ces
deux RT ajouteront cette route dans leurs VRF concernées.
• Associer l’attribut RT à une route VPN-IPv4
permet à cette route d’être placée dans les VRFs
qui sont utilisés pour router le trafic qui est reçu
de ce site.
Topologies des VPN/MPLS
• Il existe deux topologies(architectures ) des VPN/MPLS :
– Full mesh (tout les sites connaissent toutes les routes)
– Hub and spoke (Chaque site ne doit voir que les routes du
siège et le siège connaît toutes les routes).
Les topologies sont fixées par les règles de l’import/export des RT.
Exemple : création de VRF , RD et RT sur PE1 ( topologie Full
Mesh)
•Les deux sites sont connectés sur deux
interfaces différentes.
• Il y a une VRF pour chacune des
10.0.0.0/8 eth1 interfaces.
PE1
• Les routes pour l’interface eth1 ont le RD
eth0 100:1000
CE
• Les routes pour l’interface eth0 ont le
RD 100:2000
VPN R CE • Le RT pour le VPN bleu est 100:2
VPN B • Le RT pour le VPN rouge est 100:1
10.0.0.0/8
PE CE
P PE2
Annonce MPiBGP ¨P
Route: 100:1000:10.0.0.0/8 VPN R
Next-Hop: PE1
RT: 100:1
Label 43
P
10.0.0.0/8
PE3
VPN R
PE1
Annonce MPiBGP CE 20.0.0.0/8
CE
Route: 100:1000:10.0.0.0/8
Next-Hop: PE1
RT: 100:1 CE
CELabel 43
VPN R
VPN B VPN B
10.0.0.0/8 40.0.0.0/8
PE CE
P PE2
¨P
VPN R
P 20.0.0.0/8
10.0.0.0/8
PE3
PE1
CE VPN R
CE
Annonce MPiBGP
Route: 100:2000:10.0.0.0/8
Next-Hop: PE1 CE 40.0.0.0/8
CE RT: 100:2
VPN R VPN B
Label 67
10.0.0.0/8
VPN B
30.0.0.0/8
CE
IP/MPLS
PE CE
P PE2
¨P
VPN R
P 20.0.0.0/8
10.0.0.0/8
PE3
PE1
CE VPN R
CE
CE 40.0.0.0/8 VPN B
CE
VPN R
VPN B Vrf bleu (eth0) PE3
Vrf bleu(eth1) PE1 10.0.0.0/8 B 10.0.0.0/8via PE1 label 67
B 40.0.0.0/8 via PE3 label 45
30.0.0.0/8
CE
IP/MPLS
PE CE
Annonce MPiBGP
Route: 100:1000:10.0.0.0/16 P
¨P
PE2 RD 100:1000
Next-Hop: PE1 RT: 100:1
VPN R Export 100:1
RT: 100:3
Label 43 Import 100:3
P
10.0.0.0/8
PE3
PE1 VPN R
Annonce MPiBGP CE 20.0.0.0/8
CE Route: 100:1000:10.0.0.0/16
Next-Hop: PE1 RD 100:1000
RT: 100:3 RT: 100:1
CE
Label 43 Export 100:1
CE
VPN R Import 100:3
VPN B VPN B
10.0.0.0/8 40.0.0.0/8
Exemple tables de routage Vrf dans une architecture Hub and Spoke
Vrf rouge (eth0)
B 10.0.0.0/8via PE1 label 43
30.0.0.0/8
CE
IP/MPLS
PE CE
P PE2
¨P
VPN R
P 20.0.0.0/8
10.0.0.0/8
PE3
PE1
CE VPN R
CE
CE
CE
VPN R
VPN B VPN B 40.0.0.0/8
10.0.0.0/8 Vrf rouge (eth1)
Vrf rouge (eth1) B 10.0.0.0/8via PE1 label 43
B 20.0.0.0/8 via PE3 label 55
B 30.0.0.0/8via PE2 label 35
Acheminement des paquets dans VPN/MPLS
Pour MPLS /VPN : Deux labels sont rajoutés à l’en tête IP , un label
Interne et un autre externe .
PE3
PE1
CE
CE
VPN R
20.0.0.0/8
VPN R CE CE
• Création de VPN, même pour des sites ayant des plages d’adresses privés.
• Utiliser une table de routage VRF par interface connecté à un VPN.
• Recouvrement de plages d’adresses possibles : utiliser le RD
• Session MP-BGP entre les PE pour annoncer les préfixes des différents
VPN.
• Utiliser un RT pour connaître dans quelle VRF il faut insérer la route (
identifier les membres d’un VPN).
• Lors de l’acheminement des paquets deux labels sont utilisés:
– Un pour atteindre le PE de sortie du site destination ( ID_VPN)
– l’autre pour indiquer le LSP vers le routeur de sortie du VPN (ID_PE)
• Les routeurs du réseau interne (P) n’ont aucune idée des VPN et des
préfixes.