ENSA Marrakech

Prof N. Idboufker Sommaire

INTRODUCTION GENERALE.................................................................... 1 CHAPITRE 1 MPLS : NOUVELLE ARCHITECTURE POUR UN MEILLEUR SERVICE VPNIP .................................................................................................. 3 INTRODUCTION................................................................................... 3 1. ARCHITECTURE MPLS ...................................................................... 4 1.1. Concepts MPLS .................................................................... 4 1.1.1. Terminologie MPLS ............................................................ 4 1.1.2. Distribution de label........................................................... 5 1.1.3. Protocole LDP................................................................... 5 1.1.4. Tables MPLS ..................................................................... 5 1.1.5. La notion de FEC ............................................................... 6 1.1.6. Commutation des labels ...................................................... 6 1.2. Services MPLS ..................................................................... 7 2. SERVICE VPN-IP ........................................................................... 8 2.1. Modles de rfrence VPN...................................................... 8 2.2. Modles dimplmentation Overlay Vs Peer-to-Peer .................... 10 2.3. MPLS VPN.......................................................................... 13 2.3.1. Vue gnrale................................................................... 13 2.3.2. Composantes du rseau :.................................................... 13 2.3.2.1. Customer Edge : ......................................................... 13 2.3.2.2. Provider Edge ............................................................ 13 2.3.2.3. Provider Router .......................................................... 14 2.4. Apports du MPLS VPN........................................................... 14 2.4.1. Dfis et Solutions ............................................................. 15 2.4.1.1. Overlapping............................................................... 15 2.4.1.2. Connectivit contraignante ........................................... 15 CONCLUSION GENERALE ..................................................................... 18

i ENSA 2008-2009 Prof N.Idboufker

Introduction Gnrale

Introduction gnrale

En moins de dix ans, nous avons assist chez les oprateurs lavnement dun modle infrastructurel rvolutionnaire dont les caractristiques sont linteractivit des canaux de communication, linstantanit des changes et la porte universelle. Bnficiant dune infrastructure rseau robuste, couvrant toute la chane de valeurs Telecom (Mobile, Fixe, IP), riche en canaux de communication, en connecteurs et en Gateways, les oprateurs offrent une diversification de services et des prestations grande valeur ajoute [7] [9]. Cette diversification de prestations engendre une masse informationnelle colossale grer et un niveau de synergies lev entre les branches de loprateur et vis--vis de lextrieur. A lexception de la crise UMTS, cette dernire dcennie constitue par excellence lage dor des oprateurs. Les revenus colossaux quils ont raliss leur ont permis de btir une infrastructure rseaux robuste et dans les rgles de lart. Maintenant que le rgime de progression conomique des oprateurs arrive son quasi stabilit et que les rfrentiels Oprateur sont bien dfinis, de nouveaux dfis quil faut tre capable de relever, sont constats. En effet, la fin de lre du monopole et la libralisation du march condamnent les oprateurs rtudier leurs structures organisationnelles, procdurales et commerciales, hrites, gnralement, dune logique tatique. Le cadre rglementaire actuel du march des tlcommunications tend donc encourager la comptition et permettre plusieurs oprateurs de se positionner sue le march et de concurrencer sur les services rseaux notamment les services lis la voix, aux donnes et au protocole IP. En outre, on assiste lavnement de nouveaux outils commerciaux et de vente (e-business, gestion des relations avec la clientle CRM (Customer Relationship Manager)) et la planification des ressources dentreprises ERP (Enterprise Resources
1 ENSA 2008-2009 Prof N.Idboufker

Introduction gnrale

Planning)), laccroissement du besoin des usagers en nouveaux services personnalisables et volus non supports par les rseaux traditionnels. Ces facteurs combins la forte tendance la convergence des rseaux fixes et mobiles et des services voix et donns ont pouss les acteurs des tlcommunications dployer des infrastructures rseaux convergentes. Cette architecture utilise principalement le protocole IP et elle est axe sur le service et non plus le simple transport des trafics clients. Elle transforme les oprateurs rseaux en des fournisseurs de services au lieu de vendeurs de trafic en minute. Nanmoins, le protocole IP a t dvelopp sur deux principes de base. Primo, il a pour finalit de dlivrer les paquets en mode datagramme en sappuyant sur le routage "hop-by-hop". Secundo, il fournit un service opportuniste et de type "best-effort". Sur un autre plan, lomniprsence de la technologie ATM, dans lvolution des rseaux IP accompagne dune demande de plus en plus grande en services, a convaincu les architectes IP de la ncessit de doter ce protocole de mcanismes semblables ceux dATM afin dapprocher le routage aux performances de la commutation ATM. MPLS fut alors cre. MPLS est davantage une architecture quun protocole ou un modle de gestion. En effet, elle est compose dun certain nombre de protocoles dfinis ou en cours de dfinition, et se base sur un ensemble de concepts tels que la classe FEC (Forward Equivalent Class), les chemins virtuels, En outre, elle trouve de nouveaux domaines dapplications lapprochant jour aprs jour des utilisateurs finaux en leur offrant des services encore plus proches des couches applicatives tel que le service MPLS-VPN-IP. Cette ralit a contraint les oprateurs fournir encore plus de services et admettre limportance cruciale et croissante de la relation avec sa clientle pour lacqurir et la fidliser. Lobjectif est alors la diffrenciation des offres tout en fiabilisant et en optimisant les ressources infrastructurelles. Ceci a abouti la naissance du concept qualit de service ou QoS et des procdures de gestion des niveaux QoS dont les plus populaires sont SLS, SLA, SLM,

2 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker

Chapitre 1

MPLS : Nouvelle architecture pour un meilleur service VPN-IP

Chapitre I

Introduction
Au dbut des annes 90, un protocole original pour grer la problmatique dinterconnexion des rseaux est apparu : IP (Internet Protocol), un moyen de communication invent par larme amricaine et adopt par la suite par les universitaires. IP a t dvelopp sur deux principes de base. Primo, il a pour finalit de dlivrer les paquets en mode datagramme en sappuyant sur le routage "hop-by-hop". Secundo, il fournit un service opportuniste et de type "best-effort". Lexplosion dInternet a par la suite permis un grand nombre dISP (Internet Service Provider) de se dvelopper et les plus grands dentre eux ont dploy de gigantesques infrastructures IP. A lpoque, lensemble des plaques Backbone des ISP tait bti sur des architectures overlay IP sappuyant sur des infrastructures ATM. Toutefois, cette superposition IP/ATM prsentait un inconvnient : la ncessit de grer lexplosion en O(n2) du nombre de circuits virtuels ATM ncessaires pour assurer un maillage complet des liaisons virtuelles entre les paires de routeurs connects au nuage ATM sans pouvoir utiliser les capacits QoS de cette dernire. Cette omniprsence dATM, au niveau du plan de transport, dans lvolution des rseaux IP accompagne dune demande de plus en plus grande en services a conduit les architectes IP la ncessit de doter ce protocole de mcanismes semblables ceux dATM permettant dapprocher le routage IP aux performances de la commutation ATM. Dans ce contexte plusieurs constructeurs ont propos des solutions de commutation IP. Parmi les plus connues, on reconnat Tag Switching propos par Cisco, IP Switching propos par Ipsilon, ARIS propos par IBM, Fast IP propos par 3Com et SwitchNode de Nortel Networks. LIETF sest grandement inspir de la solution de Cisco pour la mise au point de la norme MPLS. MPLS fut alors cre. Au mois de mars 1997, lIETF a mis en place le groupe de travail MPLS pour dfinir une approche normative de la commutation dtiquettes.

3 ENSA 2008-2009 Prof N.Idboufker

Chapitre Premier

MPLS / VPN-IP

1.

Architecture MPLS
1.1. Concepts MPLS

MPLS est davantage une architecture [1] quun protocole ou un modle de gestion. En effet, elle est compose dun certain nombre de protocoles dfinis ou en cours de dfinition, et se base sur un ensemble de concepts tels que la classe FEC, les chemins virtuels,

1.1.1. Terminologie MPLS

Toute larchitecture MPLS [11] est organise autour dune principale notion que constitue le label ou tiquette dont le format dpend explicitement des caractristiques du rseau utilis. Comme les identificateurs VPI/VCI de ATM, le label MPLS [12] na quune signification locale entre deux quipements MPLS. Len-tte MPLS occupe 4 octets (32-bits), compos de champs suivants :

Label: etiquette MPLS COS: (EXP): class of service TTL: time to live.

FIGURE 1 : ENTTE MPLS Pour tre en mesure de procder au traitement de ce label, MPLS se base sur lutilisation de deux principales familles dquipements savoir : Label switch router (LSR) : qui est un quipement de type routeur ou commutateur capable de commuter des paquets ou des cellules, en fonction de la valeur des labels quils contiennent. Dans le cur du rseau, les LSRs procdent tout simplement la lecture et la commutation des labels, et non les adresses des protocoles de niveau suprieur. Chaque LSR construit une table FIB (Forwarding Information Base). Edge Label Switch Router (ELSR) : qui est un routeur dextrmit qui joue un rle important dans lassignation et la suppression des labels au moment o les paquets entrent dans le rseau ou en sortent. Label switch path (LSP) : cest le chemin dfini par les diffrents labels qui seront assigns chacun des paquets. Il peut tre statique ou dynamique, selon quil est dfini ou quil utilise les informations de routage. Ce LSP est fonctionnellement quivalent un circuit virtuel ATM ou Frame Relay.

4 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker

Chapitre Premier

MPLS / VPN-IP

1.1.2. Distribution de label

Les LSRs se basent sur linformation de label pour commuter les paquets au travers du backbone MPLS. Chaque routeur, lorsquil reoit un paquet taggu, utilise le label pour dterminer linterface et le label de sortie. Il est donc ncessaire de propager les informations sur ces labels tous les LSRs. Pour cela, des protocoles de distributions de labels sont utiliss. A cet effet, ces protocoles doivent cooprer avec des protocoles de routage de niveau suprieur IS-IS, OSPF, RIP, BGP, Diffrents protocoles peuvent tre utiliss pour assurer la fonction de distribution de labels entre LSRs tels que le protocole TDP (Tag Distribution Protocol) propritaire CISCO, le RSVP (Resource Reservation Protocol) utilis en Traffic Engineering pour tablir des LSPs en fonction de critres de ressources et dutilisation des liens, le MPBGP (MultiProtocol Border Gateway Protocol) qui permet la distribution des labels en mme temps que la propagation des routes, IP et VPN, enfin le protocole LDP (Label Distribution Protocol) , le plus utilis, dfini par lIETF dans la RFC3036 [11] utilis pour le mapping des adresses IP unicast,

1.1.3. Protocole LDP

Le LDP est un nouveau protocole permettant dapporter aux LSRs les informations ncessaires concernant les diffrents labels dun rseau MPLS. Les sessions LDP [22] sont tablies entre homologues dun rseau MPLS sans que ceux-ci aient besoin dtre adjacents. Lchange des messages LDP suppose pralablement la dcouverte du voisinage suivie de ltablissement dune session de transport entre voisins LDP. LDP est indpendant de tout protocole de routage, car il exploite la table de routage que gnre ce dernier. Comme tout protocole de distribution de labels, LDP a pour objectif dassigner des labels des FECs et de les distribuer.
Domaine MPLS
LSR Ingress LSR

LIB LSR

LSR

LSR Egress LSR

Domaine IGP avec un protocol de distribution de labels(LDP)

FIGURE 2: DISTRIBUTION DE LABELS

1.1.4. Tables MPLS

Sur la base des informations collectes par le protocole LDP, les LSRs et ELSRs construisent les deux tables LIB (Label Information Base) et LFIB (Label Forwarding Information Base) qui serviront par la suite pour la prise de dcision au niveau de la
5 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker

Chapitre Premier

MPLS / VPN-IP

commutation de labels. En effet, pour chaque valeur prise par la classe de transfert, FEC, la connectivit VPN est traduite au niveau de la table LIB travers tous les labels collects par les LSRs voisins. De son ct, la table LFIB est utilise pour la commutation proprement dite des paquets MPLS, elle est en fait compose dun sousensemble de la LIB.
IN I/F 0 IN LAB 5 Adress Prefix 171.68.10/24 Out I/F 1 Out LAB 7

171.68.10/24

RTr-A

Label = 5 Label = 21 IP packet D=171.68.10.12

RTr-B Label = 7 Label = 21 IP packet D=171.68.10.12

RTr-C

FIGURE 3 : TABLE DE COMMUTATION MPLS

1.1.5. La notion de FEC

La mise en uvre de MPLS repose sur la dfinition de caractristiques communes un ensemble de paquets. Ces caractristiques constitueront la base du traitement rserv ces paquets et dont dpendra tout particulirement leur acheminement. Cette nouvelle notion introduite par MPLS appele FEC (Forwarding Equivalence Class) est fondamentale la comprhension de la puissance et la souplesse des rseaux MPLS. Ainsi, MPLS permet de constituer diffrentes classes FEC selon des critres aussi varis que les besoins humains en matire de communication : mme adresse source, mme adresse destination, mme contexte QoS, mme niveau de scurit A la diffrence du routage traditionnel, lassignation de la valeur FEC se fait juste au niveau de laccs au rseau.

1.1.6. Commutation des labels

Comme il a t expliqu, le principe de base de MPLS est la commutation de labels. Ces labels, simples nombres entiers, sont insrs entre les enttes de niveaux 2 et 3 par les routeurs ELSRs sur la base de la valeur FEC. Les paquets sont par la suite commuts par les routeurs LSRs tout au long du rseau jusqu destination, sans avoir besoin de consulter lentte IP et leur table de routage. Une fois arriv au niveau du routeur ELSR de sortie, le label est supprim pour procder au routage du paquet. Le schma suivant montre le rle des diffrents routeurs en fonction de leur emplacement dans le rseau MPLS :

6 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker

Chapitre Premier

MPLS / VPN-IP

Simple commutation des labels pas de reclassent dans le backbone Les paquets sont classs leurs entre dans lebackbonepar le EdgeLSR suivantlIGPou les critres deQoSou TE Imposition de label Imposition de label

LSR

LSR

LesEdgeLSR retirent les labels et dlivrent les paquets Suppression de label

Ingress LSR

LSR

LSR

Egress LSR

BackboneMPLS
FIGURE 4 : COMMUTATION DE LABELS DANS UN RESEAU

1.2. Services MPLS

Le concept de MPLS est intellectuellement intelligent dans ses principes et trs sduisant dans ses intentions. Son objectif est de tirer profit de la capacit de transmission des technologies existantes tels que ATM et FR (Frame Relay). Ainsi, MPLS a su apporter la puissance de la commutation au domaine de routage pour tre adopte comme technologie autour de laquelle peuvent tre btis de rapide rseaux dorsaux. En outre, MPLS trouve de nouveaux domaines dapplications lapprochant jour aprs jour des utilisateurs finaux en leur offrant des services proches des couches applicatives. La figure ci-dessous numre quelques exemples de nouveaux services valeur ajoute pouvant se greffer au dessus de MPLS.
L2 VPN IP v6 Carrier Supporting Multicast Over VPN BGP LDP OSPE IS-IS PIM LDP RSVP

ATOM Virtual Private Networks Any Transport over MPLS IP IP Trafic Fast DiffServ Multicas Switching CoS Engineering Restoring TE t

Label Forwarding Information Base (LFIB) Per-Label Forwarding, Queuing, Multicast, Restoration MechanM,ms , GRE, ...) L2 protocols (PPP, POS, AT is FR FIGURE 5 : SERVICES MPLS

C EF

Dans la suite de ce chapitre nous allons exposer le principal service qui peut tre immdiatement mis en place au dessus de MPLS savoir le service VPN-IP.
7 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker

Chapitre Premier

MPLS / VPN-IP

2.

Service VPN-IP

Ltendue gographique de la connectivit IP amne les oprateurs de service utiliser linfrastructure publique pour assurer une interconnexion de sites clients de nature privs par lutilisation des ressources publics. Ainsi la mise en place du service de rseau priv virtuel VPN Virtual Private Networks [1] est devenue une ncessite. Le service VPN consiste en la mise en place dun rseau priv bti sur une infrastructure mutualise fournie par loprateur de service SP Service Provider. Laspect virtuel est d labsence de la rservation lien physique de bout en bout entre les diffrents sites du mme client. Ajoutons cela que la confidentialit est assure par la prservation des plans de routage et dadressage de ce mme client. Les arguments plaidant pour le choix de ce nouveau type de service sont principalement loptimisation des ressources oprateurs, lefficience des cots, la flexibilit et la simplicit de gestion. Il est rappeler que le concept VPN nest pas nouveau. En effet, des technologies comme RNIS, FR ou ATM ont t, et le sont toujours, utilises durant la dernire dcade comme base dimplmentation de ce service. Ce sont des technologies qui utilisent des circuits virtuels pour tablir des connexions point--point, conduisant au partage statistique de linfrastructure SP.

2.1. Modles de rfrence VPN

Les modles de rfrence VPN se basent sur trois composantes fondamentales savoir : CE (Customer Edge) qui est lquipement permettant au client laccs au rseau travers une connexion vers le routeur PE ; PE (Provider Edge) qui est le routeur desservant un ensemble de CEs. Routeur P : qui est le routeur backbone qui permet linterconnexion des PEs sans avoir de connexion vers les CEs.

Dans la littrature Tlcoms trois principaux modles de rfrence VPN sont gnralement rpertoris : CPE-Based VPN, Network-based layer 3 IPVPN et le modle Network-based layer 2 IPVPN et qui sont illustrs par les figures 1 et 2. La connexion CE-PE peut tre supporte par tout type de connexion daccs et peut consister en un circuit physique ddi, un circuit logique (FR ou ATM), ou un tunnel IP (utilisant par exemple IPsec, L2TP). Dans le backbone SP, les tunnels VPN sont normalement utiliss pour interconnecter les quipements PEs.

8 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker

Chapitre Premier

MPLS / VPN-IP

FIGURE 6 : MODLE CPE-BASED VPN Dans le cas du CPE-Based VPN et vis--vis des mcanismes de contrle du VPN, le rseau de loprateur de service est compltement transparent. Tandis que dans le cas du modle Network-Based VPN toute lintelligence est hberge dans le routeur PE du SP. En effet, et dans le contexte du Network-based VPN, chaque routeur PE met en uvre une ou plusieurs instances VFI et maintient un tat par VPN. Une instance VFI VPN Forwarding Instance peut tre dfinie comme tant une entit logique, ddie, rsidant dans le routeur PE qui contient la base dinformation du routeur ainsi que la base dinformation de transfert (Forwarding) pour un VPN spcifique. Gnralement, une VFI termine les tunnels dinterconnexion avec les autres VFIs et peut aussi terminer les connexions daccs aux CEs. En fonction de larchitecture VPN, la VFI peut aussi prendre lappellation de VRF ou VR expliques dans le paragraphe 2.3.2. Le Network-Based layer 2 IPVPN est une variante du modle Network-Based layer 3. Dans cette variante le concept de VSI Virtual Switching Instance prend la place de la VFI du modle de couche 3. Comme la VFI, la VSI est hberge par le routeur PE. Elle supporte les fonctions relatives au processus de Forwarding des trames de niveau 2, des cellules ou des paquets pour un VPN spcifique en plus de la terminaison des tunnels VPNs.

9 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker

Chapitre Premier

MPLS / VPN-IP

FIGURE 7 : MODLE NETWORK-BASED LAYER 3 IP-VPN

FIGURE 8 : MODLE NETWORK-BASED LAYER 2 IP-VPN

2.2. Modles dimplmentation Overlay Vs Peer-to-Peer

Une autre mthode qui est trs utilise pour la classification des VPNs se base sur la logique dchange des informations de routage entre le CPE et le SP [1]. Deux principaux modles peuvent tre dfinis sur la base de ce critre :
10 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker

Chapitre Premier

MPLS / VPN-IP

1. Le modle Overlay o le service VPN est fonctionnellement quivalent des liaisons loues mules. Le SP et le CE nchangent aucune information de routage de niveau 3. Ce modle offre une nette sparation des domaines de responsabilits Clients et SP. Nanmoins, limplmentation dun nouveau site ncessite la mise jour de la matrice de trafic, lajout de (n-1) PVC permanent virtual conduit, la rvision de la taille des PVCs en maille complte, la mise jour du routage et la reconfiguration de chaque CPE pour la topologie couche 3.
Site 2 CE Site 1 CE

PE PE

PE PE

CE Site 3

CE Site 4

FIGURE 9 : MODLE OVERLAY VPN 2. Le modle Peer to Peer qui se base sur le principe de la participation active du SP dans le routage client, lacceptation de ses routes, leur transport sur le backbone et finalement leur distribution vers les autres sites clients. Cest en effet un modle simple, souple et extensible offrant une facilit de provisioning et une meilleure gestion des ressources rseau.
Site 2 Site 1
CE

VR

PE

PE

PE

PE

Site 3

CE

CE

Site 4

FIGURE 10 : MODLE PEER TO PEER VPN Chacun des deux modles prsente des avantages et des inconvnients. Les tableaux ci-dessous rsument lessentiel de la critique :
ARCHITECTURE MPLS ENSA- 2006/2007

11

Pr. N.Idboufker

Chapitre Premier

MPLS / VPN-IP

Les avantages :
Overlay VPN Peer to Peer VPN

- Implmentation facile et archi-connue

- Garanti un routage optimale entre les sites - Le Fournisseur de service ne participe pas clients au routage client - Lajout dun site additionnel est plus facile - Le rseau client et le rseau du Fournisseur - Les sites sont les seuls sont bien isols approvisionns et non les liaisons

tre

Les inconvnients
Overlay VPN Peer to Peer VPN

- Limplmentation dun routage optimale - Le Fournisseur participe dans le routage requiert des VC (virtual conduit) en maille client complte - Le Fournisseur devient responsable de la - Les VCs sont approvisionns manuellement convergence chez le client. - La bande passante doit tre approvisionne - Les PEs diffusent toutes les routes des sur la base du site site clients - Souffre de lencapsulation doverheads - Le Fournisseur a besoin connaissance accrue du routage IP dune

Les points cits ci-dessus, et dans le cas des implmentations oprateurs, militent en faveur de lutilisation dune architecture hybride mettant en jeu le modle NetworkBased layer 3 IPVPN utilisant une logique Peer to Peer pour lchange des informations de routage. VPN X25 VPN FR VPN ATM

VPN Classique Couche 2

VPN Overlay VPN VPN Peer To Peer

VPN MPLS Couche 2 VPN IP Tunneling VPN avec routeurs ddi VPN BGP/MPLS VPN Routeurs Virtuels

VPN GRE VPN IPsec

FIGURE 11 : CLASSIFICATION DES TECHNOLOGIES VPN

12 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker

Chapitre Premier

MPLS / VPN-IP

2.3. MPLS VPN

2.3.1. Vue gnrale
Le RFC 2547bis [13] dfinit un mcanisme permettant aux SPs dutiliser leur backbones IP pour offrir des services VPN. Ces VPNs son communment appels BGP/MPLS-VPNs vu que le protocole BGP est utilis pour la distribution des informations de routage travers le backbone, et que MPLS est utilis pour acheminer le trafic dun site du VPN un autre. Les objectifs de cette approche sont de rendre le service simple dusage pour les clients mme sils ne disposent pas dexprience dans le routage IP, de le rendre extensible et flexible pour faciliter un dploiement grande chelle et de permettre au SP doffrir un service forte valeur ajoute capable de galvaniser sa loyaut.

2.3.2. Composantes du rseau :

Au niveau Infrastructure, la mise en uvre du service VPN repose sur le dploiement dun ensemble dquipements. A savoir les routeurs CE, PE et P. Dans le contexte du RFC 2547, un VPN est dfini par une collection de politiques qui contrlent la connectivit dun ensemble de sites. Ainsi, un site client est connect au rseau du SP par un ou plusieurs ports, et le SP associe chaque port une table de routage VPN appele VRF (VPN Routing and Forwarding).

VR 1

CE

VR 2

VR 3

Routeur PE FIGURE 12 : ARCHITECTURE DUN ROUTEUR VIRTUEL VR2.3.2.1.Customer Edge : Le CE (Customer Edge) est lquipement qui permet laccs du client au rseau du SP travers un ou plusieurs routeurs PE. Typiquement, cest un routeur qui tablit une adjacence avec les PEs auxquels il est directement connect. Aprs ltablissement de ladjacence, le CE annonce aux PEs les routes VPN du site local pour quil puisse recevoir de ce dernier les routes VPN distantes. 2.3.2.2.Provider Edge Cest grce au concept de routeur PE (Provider Edge) implmentant une ou plusieurs VRF quil est devenu possible de mettre en place des rseaux doprateurs souples et commercialement viables. Le PE change les informations de routage avec le CE en utilisant le routage statique ou dynamique, RIPv2, OSPF ou BGP. Au moment o
ARCHITECTURE MPLS ENSA- 2006/2007

13

Pr. N.Idboufker

Chapitre Premier

MPLS / VPN-IP

le PE maintient les informations de routage VPN, il lui est requis seulement de maintenir les routes VPN de ceux qui lui sont directement connects. Ce qui contribue fortement lamlioration de lextensibilit du rseau. Chaque PE maintient une VRF relative chaque site qui lui est directement connect. Chaque connexion (Frame Relay, LL, ..) est mappe une VRF spcifique. Do la justification du choix dun port (interface), et non un site, pour lassocier une VRF. Ltanchit des VPNs est rendu possible grce au maintient par le PE dune multitude de VRF, rendant aise la tache de routage et amliorant les performances des quipements de commutation. Les informations de routage locales aux CEs sont utilises par les routeurs PE pour tablir, via BGP, la connectivit IP. Cette connectivit IP sera par la suite traduite en connectivit de label. 2.3.2.3.Provider Router Le routeur P est nimporte quel routeur situ dans le backbone MPLS et qui nest connect aucun CE. Le P fonctionne en MPLS transit (LSRs) quant il achemine un trafic VPN entre PEs. Les P sont chargs du maintien des routes au PE, et non du maintien dinformation spcifique de routage pour les sites clients.

2.4. Apports du MPLS VPN

La mise en place du service VPN sur la base de larchitecture MPLS profite pleinement des avantages de celle-ci en terme sparation des plans logiques et physiques savoir : Labsence de contraintes sur le plan dadressage [14] adopt par chaque VPN client. Le client peut ainsi utiliser un adressage publique ou priv. Pour le SP, plusieurs clients peuvent utiliser les mmes plages dadresses. Du fait que le modle adopt est le Network Based layer 3 VPN, le CE nchange pas directement les informations de routage avec les autres CE du mme VPN. Les clients ne sont alors pas obligs davoir une parfaite connaissance du schma de routage utilis dans le rseau. Les clients nont pas un backbone virtuel administrer. De ce fait, la tache de management PE ou P, voire CE, est une tache de moins. Le SP administre un seul rseau mutualis pour lensemble de ses clients. Le VPN client peut sappuyer sur un ou plusieurs backbone SP. Mme sans lutilisation de technique de cryptographie, la scurit est quivalente celle supporte par les VPNs de la couche 2 (ATM ou Frame Relay). Les SPs peuvent utiliser une infrastructure commune pour offrir les services de connectivit VPN et Internet. Conformit au modle DiffServ. Une QoS flexible et extensible grce lutilisation des bits EXP de lentte MPLS ou par lutilisation du trafic Engineering (RSVP) Le modle RFC 2547bis est indpendant du lien de la couche 2.
14 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker

Chapitre Premier

MPLS / VPN-IP

2.4.1. Dfis et Solutions

MPLS-VPN utilise plusieurs mcanismes pour amliorer lextensibilit de son approche et rsout ainsi des problmes spcifiques dexploitation. Le support du chevauchement des plans dadressages ou Overlapping, la connectivit contraignante au rseau et le maintien jour des informations de routage VPN ont t les principaux dfis relever. 2.4.1.1. Overlapping Les clients VPN grent souvent leurs propres rseaux et utilisent des espaces dadresses privs conformes au RFC 1918 [14] dfinissant les plages dadressage priv. Si les clients nutilisent pas des adresses universelles, les mmes adresses IPv4 [4]peuvent tre utilises pour identifier diffrents systmes dans diffrents VPNs. Le rsultat serait lchec de routage vu que BGP [3]exige que chaque adresse IPv4 quil vhicule soit globalement unique. Pour surmonter cette difficult MPLs-VPN supporte un mcanisme qui convertit les adresses IP non uniques en adresses uniques par la combinaison de lutilisation de la famille dadresses VPN-IPv4 grce au dploiement des extensions du Multi-Protocoles BGP (MP-BGP) [15][16]. BGP est un protocole qui traite deux routes ayant le mme prfixe comme si elles sont quivalentes et nen garde quune seule. Prsentant linconvnient de ne supporter que les adresses IPv4, BGP a contraint lIETF se pencher sur la question et publier les RFC 2283 [15] et 2858 [16]. Les extensions objets de ces RFCs ont donn naissance au MP-BGP, que les PE doivent supporter la place du BGP conventionnel. Ainsi, la famille dadresses VPNv4 a t adopte comme solution la problmatique doverlapping. Une adresse VPNv4 est forme de 12 Octets. 8 octets composent le RD (Route Distinguisher) suivi des octets de ladresse IPv4.
Assigned Number Subfield IPv4 Adress Prefix

Type Field Administrator field

2 Octets

6 Octets

4 Octets

FIGURE 13 : FORMAT DADRESSE VPN-V4 2.4.1.2.Connectivit contraignante Assumant une table de routage qui ne contient pas une route par dfaut, il est admis, pour le routage IP, que si la route un rseau spcifique nest pas installe dans une table de transfert Forwarding Table ce rseau est alors injoignable. Le modle MPLS-VPN se base sur un contrle plus granulaire des informations de routage par lajout de deux mcanismes supplmentaires savoir le Multiples Forwarding Tables et le BGP extended communities. Multiples Forwarding Tables : Au niveau dun routeur PE, chacune de ses VRFs est associe un ou plusieurs de ses ports (interfaces/sous interfaces) qui le connectent directement au site client. Si un site donn contient des machines qui sont membres dans plusieurs VPNs, la VRF
15 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker

Chapitre Premier

MPLS / VPN-IP

associe au site client contient alors des routes pour tous les VPNs dans lesquels ce site est membre. BGP extended communities : La distribution des informations de routage est conditionne par lusage des nouveaux attributs du BGP que sont les Extended Communities. Ces attributs font parties des messages BGP en tant quattributs de la route. Ils identifient la route comme appartenant une collection spcifique de routes et qui font objet de la mme politique de traitement. Chaque attribut BGP Extended Community doit tre globalement unique et ne peut alors tre utilis que par un seul VPN. Nanmoins, un VPN dun client donn peut faire usage du BGP Extended Communities pour aider au contrle de la distribution des informations de routage. Les attributs BGP Extended Communities utiliss sont de 32 bits au lieu de 16 bits. Lutilisation de ces 32 bits vise lamlioration de lextensibilit des rseaux doprateurs 232 communities. Par ailleurs et puisque lattribut contient lidentificateur du systme autonome du SP, il peut aussi servir pour contrler lattribution locale tout en maintenant son unicit. Trois types dattributs BGP Extended Communities sont utiliss : Le RT (Route Target) qui identifie une collection de sites VRFs vers lesquelles le PE distribue les routes. Un PE utilise cet attribut pour contraindre limport de routes vers ses VRFs. Le VPN-of-origin qui identifie une collection de sites et tablit la route associe comme venant dun des sites de lensemble. Le Site-of-origin qui identifie le site spcifique partir duquel le PE apprend une route. Il est encod comme attribut de route origin extended community , qui peut tre utilis pour prvenir les boucles de routage. En mode oprationnel, et avant de distribuer ses routes locales aux autres PEs, le PE dentre affecte un RT chaque route apprise par les sites directement connects, qui est bas sur la valeur de la politique cible dexport configure. Cette approche offre une flexibilit norme dans la mesure o un PE peut attribuer un RT une route. Le PE dentre (ingress) peut ainsi tre configur pour assigner un seul RT lensemble des routes apprises dun site donn, ou dassigner un RT un groupe de routes apprises dun site et autres RTs aux autres routes apprises dun autre. Avant dinstaller les routes distantes distribues par un PE, chaque VRF dans un PE sortant (egress) est configure avec une politique import cible. Un PE peut uniquement installer une route VPNv4 dans une VRF si le RT transport avec la route correspond une VRF import cible. Cette approche permet un SP dutiliser un seul mcanisme pour servir les clients ayant une large politique de connectivit inter sites. Par le biais dune configuration sereine dImport Target et Export Target, le SP peut alors construire diffrents types de topologies VPN : maille complte, maille partielle, Hub, Spoke, . Maintien jour des informations de routage : Lors de tout changement de la configuration dun PE par la cration dune nouvelle VRF ou lajout dune ou de plusieurs politiques Import Target une VRF, le PE aura besoin dobtenir les routes VPN-Ipv4 quil a annul auparavant.
16 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker

Le BGP4 peut prsenter une entrave la mise jour rapide que ncessite le PE dans la mesure o il sagit dun protocole stateful qui ne procde pas au rafrachissement automatique des routes, une limitation dont ne souffre pas le MP-BGP grce sa fonction Route Refresh Capability. Ainsi lors du changement de la configuration dun PE, celui-ci envoie une requte de mise jour via le MP-iBGP peer. Quand les routes sont rediffuses, la politique Import Target est alors applique et le PE procde la population de ses VRFs.

ENSA 2008-2009

17 Prof N.Idboufker

Conclusion gnrale

Conclusion gnrale

Loffre commerciale de tout oprateur ne peut tre viable que si elle est personnalise et adapte aux besoins de chaque client. La QoS est une symphonie se basant sur une harmonie complte entre les diffrentes composantes du rseau MPLS. De ce fait, la mise en uvre de la QoS, au niveau de la couche IP, pour le service VPN-IP passe par la fine spcification dune politique agissant lchelle globale du rseau et mettant en jeu lensemble des potentialits de diffrentiation et de gestion des quipements du rseau MPLS au niveau des plans accs et du plan Backbone. Ajoutons cela quil est impratif de doter le plan de gestion de fonctionnalits de spcification, de provisioning et de reporting QoS permettant la mise en vidence de la qualit du service rendu au niveau du Backbone (PE-PE) et au client CE-CE. Aussi, il faut noter que les mtriques SLA doivent tre les plus larges possibles, se basant sur une multitude de test effectu au niveau Backbone pour mieux modliser et caractriser les mtrique QoS.

18 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker