Académique Documents
Professionnel Documents
Culture Documents
INTRODUCTION GENERALE.................................................................... 1 CHAPITRE 1 MPLS : NOUVELLE ARCHITECTURE POUR UN MEILLEUR SERVICE VPNIP .................................................................................................. 3 INTRODUCTION................................................................................... 3 1. ARCHITECTURE MPLS ...................................................................... 4 1.1. Concepts MPLS .................................................................... 4 1.1.1. Terminologie MPLS ............................................................ 4 1.1.2. Distribution de label........................................................... 5 1.1.3. Protocole LDP................................................................... 5 1.1.4. Tables MPLS ..................................................................... 5 1.1.5. La notion de FEC ............................................................... 6 1.1.6. Commutation des labels ...................................................... 6 1.2. Services MPLS ..................................................................... 7 2. SERVICE VPN-IP ........................................................................... 8 2.1. Modles de rfrence VPN...................................................... 8 2.2. Modles dimplmentation Overlay Vs Peer-to-Peer .................... 10 2.3. MPLS VPN.......................................................................... 13 2.3.1. Vue gnrale................................................................... 13 2.3.2. Composantes du rseau :.................................................... 13 2.3.2.1. Customer Edge : ......................................................... 13 2.3.2.2. Provider Edge ............................................................ 13 2.3.2.3. Provider Router .......................................................... 14 2.4. Apports du MPLS VPN........................................................... 14 2.4.1. Dfis et Solutions ............................................................. 15 2.4.1.1. Overlapping............................................................... 15 2.4.1.2. Connectivit contraignante ........................................... 15 CONCLUSION GENERALE ..................................................................... 18
Introduction Gnrale
Introduction gnrale
En moins de dix ans, nous avons assist chez les oprateurs lavnement dun modle infrastructurel rvolutionnaire dont les caractristiques sont linteractivit des canaux de communication, linstantanit des changes et la porte universelle. Bnficiant dune infrastructure rseau robuste, couvrant toute la chane de valeurs Telecom (Mobile, Fixe, IP), riche en canaux de communication, en connecteurs et en Gateways, les oprateurs offrent une diversification de services et des prestations grande valeur ajoute [7] [9]. Cette diversification de prestations engendre une masse informationnelle colossale grer et un niveau de synergies lev entre les branches de loprateur et vis--vis de lextrieur. A lexception de la crise UMTS, cette dernire dcennie constitue par excellence lage dor des oprateurs. Les revenus colossaux quils ont raliss leur ont permis de btir une infrastructure rseaux robuste et dans les rgles de lart. Maintenant que le rgime de progression conomique des oprateurs arrive son quasi stabilit et que les rfrentiels Oprateur sont bien dfinis, de nouveaux dfis quil faut tre capable de relever, sont constats. En effet, la fin de lre du monopole et la libralisation du march condamnent les oprateurs rtudier leurs structures organisationnelles, procdurales et commerciales, hrites, gnralement, dune logique tatique. Le cadre rglementaire actuel du march des tlcommunications tend donc encourager la comptition et permettre plusieurs oprateurs de se positionner sue le march et de concurrencer sur les services rseaux notamment les services lis la voix, aux donnes et au protocole IP. En outre, on assiste lavnement de nouveaux outils commerciaux et de vente (e-business, gestion des relations avec la clientle CRM (Customer Relationship Manager)) et la planification des ressources dentreprises ERP (Enterprise Resources
1 ENSA 2008-2009 Prof N.Idboufker
Introduction gnrale
Planning)), laccroissement du besoin des usagers en nouveaux services personnalisables et volus non supports par les rseaux traditionnels. Ces facteurs combins la forte tendance la convergence des rseaux fixes et mobiles et des services voix et donns ont pouss les acteurs des tlcommunications dployer des infrastructures rseaux convergentes. Cette architecture utilise principalement le protocole IP et elle est axe sur le service et non plus le simple transport des trafics clients. Elle transforme les oprateurs rseaux en des fournisseurs de services au lieu de vendeurs de trafic en minute. Nanmoins, le protocole IP a t dvelopp sur deux principes de base. Primo, il a pour finalit de dlivrer les paquets en mode datagramme en sappuyant sur le routage "hop-by-hop". Secundo, il fournit un service opportuniste et de type "best-effort". Sur un autre plan, lomniprsence de la technologie ATM, dans lvolution des rseaux IP accompagne dune demande de plus en plus grande en services, a convaincu les architectes IP de la ncessit de doter ce protocole de mcanismes semblables ceux dATM afin dapprocher le routage aux performances de la commutation ATM. MPLS fut alors cre. MPLS est davantage une architecture quun protocole ou un modle de gestion. En effet, elle est compose dun certain nombre de protocoles dfinis ou en cours de dfinition, et se base sur un ensemble de concepts tels que la classe FEC (Forward Equivalent Class), les chemins virtuels, En outre, elle trouve de nouveaux domaines dapplications lapprochant jour aprs jour des utilisateurs finaux en leur offrant des services encore plus proches des couches applicatives tel que le service MPLS-VPN-IP. Cette ralit a contraint les oprateurs fournir encore plus de services et admettre limportance cruciale et croissante de la relation avec sa clientle pour lacqurir et la fidliser. Lobjectif est alors la diffrenciation des offres tout en fiabilisant et en optimisant les ressources infrastructurelles. Ceci a abouti la naissance du concept qualit de service ou QoS et des procdures de gestion des niveaux QoS dont les plus populaires sont SLS, SLA, SLM,
Chapitre 1
Chapitre I
Introduction
Au dbut des annes 90, un protocole original pour grer la problmatique dinterconnexion des rseaux est apparu : IP (Internet Protocol), un moyen de communication invent par larme amricaine et adopt par la suite par les universitaires. IP a t dvelopp sur deux principes de base. Primo, il a pour finalit de dlivrer les paquets en mode datagramme en sappuyant sur le routage "hop-by-hop". Secundo, il fournit un service opportuniste et de type "best-effort". Lexplosion dInternet a par la suite permis un grand nombre dISP (Internet Service Provider) de se dvelopper et les plus grands dentre eux ont dploy de gigantesques infrastructures IP. A lpoque, lensemble des plaques Backbone des ISP tait bti sur des architectures overlay IP sappuyant sur des infrastructures ATM. Toutefois, cette superposition IP/ATM prsentait un inconvnient : la ncessit de grer lexplosion en O(n2) du nombre de circuits virtuels ATM ncessaires pour assurer un maillage complet des liaisons virtuelles entre les paires de routeurs connects au nuage ATM sans pouvoir utiliser les capacits QoS de cette dernire. Cette omniprsence dATM, au niveau du plan de transport, dans lvolution des rseaux IP accompagne dune demande de plus en plus grande en services a conduit les architectes IP la ncessit de doter ce protocole de mcanismes semblables ceux dATM permettant dapprocher le routage IP aux performances de la commutation ATM. Dans ce contexte plusieurs constructeurs ont propos des solutions de commutation IP. Parmi les plus connues, on reconnat Tag Switching propos par Cisco, IP Switching propos par Ipsilon, ARIS propos par IBM, Fast IP propos par 3Com et SwitchNode de Nortel Networks. LIETF sest grandement inspir de la solution de Cisco pour la mise au point de la norme MPLS. MPLS fut alors cre. Au mois de mars 1997, lIETF a mis en place le groupe de travail MPLS pour dfinir une approche normative de la commutation dtiquettes.
Chapitre Premier
MPLS / VPN-IP
1.
Architecture MPLS
1.1. Concepts MPLS
MPLS est davantage une architecture [1] quun protocole ou un modle de gestion. En effet, elle est compose dun certain nombre de protocoles dfinis ou en cours de dfinition, et se base sur un ensemble de concepts tels que la classe FEC, les chemins virtuels,
Label: etiquette MPLS COS: (EXP): class of service TTL: time to live.
FIGURE 1 : ENTTE MPLS Pour tre en mesure de procder au traitement de ce label, MPLS se base sur lutilisation de deux principales familles dquipements savoir : Label switch router (LSR) : qui est un quipement de type routeur ou commutateur capable de commuter des paquets ou des cellules, en fonction de la valeur des labels quils contiennent. Dans le cur du rseau, les LSRs procdent tout simplement la lecture et la commutation des labels, et non les adresses des protocoles de niveau suprieur. Chaque LSR construit une table FIB (Forwarding Information Base). Edge Label Switch Router (ELSR) : qui est un routeur dextrmit qui joue un rle important dans lassignation et la suppression des labels au moment o les paquets entrent dans le rseau ou en sortent. Label switch path (LSP) : cest le chemin dfini par les diffrents labels qui seront assigns chacun des paquets. Il peut tre statique ou dynamique, selon quil est dfini ou quil utilise les informations de routage. Ce LSP est fonctionnellement quivalent un circuit virtuel ATM ou Frame Relay.
Chapitre Premier
MPLS / VPN-IP
LIB LSR
LSR
Chapitre Premier
MPLS / VPN-IP
commutation de labels. En effet, pour chaque valeur prise par la classe de transfert, FEC, la connectivit VPN est traduite au niveau de la table LIB travers tous les labels collects par les LSRs voisins. De son ct, la table LFIB est utilise pour la commutation proprement dite des paquets MPLS, elle est en fait compose dun sousensemble de la LIB.
IN I/F 0 IN LAB 5 Adress Prefix 171.68.10/24 Out I/F 1 Out LAB 7
171.68.10/24
RTr-A
RTr-C
Chapitre Premier
MPLS / VPN-IP
Simple commutation des labels pas de reclassent dans le backbone Les paquets sont classs leurs entre dans lebackbonepar le EdgeLSR suivantlIGPou les critres deQoSou TE Imposition de label Imposition de label
LSR
LSR
Ingress LSR
LSR
LSR
Egress LSR
BackboneMPLS
FIGURE 4 : COMMUTATION DE LABELS DANS UN RESEAU
ATOM Virtual Private Networks Any Transport over MPLS IP IP Trafic Fast DiffServ Multicas Switching CoS Engineering Restoring TE t
Label Forwarding Information Base (LFIB) Per-Label Forwarding, Queuing, Multicast, Restoration MechanM,ms , GRE, ...) L2 protocols (PPP, POS, AT is FR FIGURE 5 : SERVICES MPLS
C EF
Dans la suite de ce chapitre nous allons exposer le principal service qui peut tre immdiatement mis en place au dessus de MPLS savoir le service VPN-IP.
7 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
2.
Service VPN-IP
Ltendue gographique de la connectivit IP amne les oprateurs de service utiliser linfrastructure publique pour assurer une interconnexion de sites clients de nature privs par lutilisation des ressources publics. Ainsi la mise en place du service de rseau priv virtuel VPN Virtual Private Networks [1] est devenue une ncessite. Le service VPN consiste en la mise en place dun rseau priv bti sur une infrastructure mutualise fournie par loprateur de service SP Service Provider. Laspect virtuel est d labsence de la rservation lien physique de bout en bout entre les diffrents sites du mme client. Ajoutons cela que la confidentialit est assure par la prservation des plans de routage et dadressage de ce mme client. Les arguments plaidant pour le choix de ce nouveau type de service sont principalement loptimisation des ressources oprateurs, lefficience des cots, la flexibilit et la simplicit de gestion. Il est rappeler que le concept VPN nest pas nouveau. En effet, des technologies comme RNIS, FR ou ATM ont t, et le sont toujours, utilises durant la dernire dcade comme base dimplmentation de ce service. Ce sont des technologies qui utilisent des circuits virtuels pour tablir des connexions point--point, conduisant au partage statistique de linfrastructure SP.
Dans la littrature Tlcoms trois principaux modles de rfrence VPN sont gnralement rpertoris : CPE-Based VPN, Network-based layer 3 IPVPN et le modle Network-based layer 2 IPVPN et qui sont illustrs par les figures 1 et 2. La connexion CE-PE peut tre supporte par tout type de connexion daccs et peut consister en un circuit physique ddi, un circuit logique (FR ou ATM), ou un tunnel IP (utilisant par exemple IPsec, L2TP). Dans le backbone SP, les tunnels VPN sont normalement utiliss pour interconnecter les quipements PEs.
Chapitre Premier
MPLS / VPN-IP
FIGURE 6 : MODLE CPE-BASED VPN Dans le cas du CPE-Based VPN et vis--vis des mcanismes de contrle du VPN, le rseau de loprateur de service est compltement transparent. Tandis que dans le cas du modle Network-Based VPN toute lintelligence est hberge dans le routeur PE du SP. En effet, et dans le contexte du Network-based VPN, chaque routeur PE met en uvre une ou plusieurs instances VFI et maintient un tat par VPN. Une instance VFI VPN Forwarding Instance peut tre dfinie comme tant une entit logique, ddie, rsidant dans le routeur PE qui contient la base dinformation du routeur ainsi que la base dinformation de transfert (Forwarding) pour un VPN spcifique. Gnralement, une VFI termine les tunnels dinterconnexion avec les autres VFIs et peut aussi terminer les connexions daccs aux CEs. En fonction de larchitecture VPN, la VFI peut aussi prendre lappellation de VRF ou VR expliques dans le paragraphe 2.3.2. Le Network-Based layer 2 IPVPN est une variante du modle Network-Based layer 3. Dans cette variante le concept de VSI Virtual Switching Instance prend la place de la VFI du modle de couche 3. Comme la VFI, la VSI est hberge par le routeur PE. Elle supporte les fonctions relatives au processus de Forwarding des trames de niveau 2, des cellules ou des paquets pour un VPN spcifique en plus de la terminaison des tunnels VPNs.
Chapitre Premier
MPLS / VPN-IP
Chapitre Premier
MPLS / VPN-IP
1. Le modle Overlay o le service VPN est fonctionnellement quivalent des liaisons loues mules. Le SP et le CE nchangent aucune information de routage de niveau 3. Ce modle offre une nette sparation des domaines de responsabilits Clients et SP. Nanmoins, limplmentation dun nouveau site ncessite la mise jour de la matrice de trafic, lajout de (n-1) PVC permanent virtual conduit, la rvision de la taille des PVCs en maille complte, la mise jour du routage et la reconfiguration de chaque CPE pour la topologie couche 3.
Site 2 CE Site 1 CE
PE PE
PE PE
CE Site 3
CE Site 4
FIGURE 9 : MODLE OVERLAY VPN 2. Le modle Peer to Peer qui se base sur le principe de la participation active du SP dans le routage client, lacceptation de ses routes, leur transport sur le backbone et finalement leur distribution vers les autres sites clients. Cest en effet un modle simple, souple et extensible offrant une facilit de provisioning et une meilleure gestion des ressources rseau.
Site 2 Site 1
CE
VR
PE
PE
PE
PE
Site 3
CE
CE
Site 4
FIGURE 10 : MODLE PEER TO PEER VPN Chacun des deux modles prsente des avantages et des inconvnients. Les tableaux ci-dessous rsument lessentiel de la critique :
ARCHITECTURE MPLS ENSA- 2006/2007
11
Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
Les avantages :
Overlay VPN Peer to Peer VPN
- Garanti un routage optimale entre les sites - Le Fournisseur de service ne participe pas clients au routage client - Lajout dun site additionnel est plus facile - Le rseau client et le rseau du Fournisseur - Les sites sont les seuls sont bien isols approvisionns et non les liaisons
tre
Les inconvnients
Overlay VPN Peer to Peer VPN
- Limplmentation dun routage optimale - Le Fournisseur participe dans le routage requiert des VC (virtual conduit) en maille client complte - Le Fournisseur devient responsable de la - Les VCs sont approvisionns manuellement convergence chez le client. - La bande passante doit tre approvisionne - Les PEs diffusent toutes les routes des sur la base du site site clients - Souffre de lencapsulation doverheads - Le Fournisseur a besoin connaissance accrue du routage IP dune
Les points cits ci-dessus, et dans le cas des implmentations oprateurs, militent en faveur de lutilisation dune architecture hybride mettant en jeu le modle NetworkBased layer 3 IPVPN utilisant une logique Peer to Peer pour lchange des informations de routage. VPN X25 VPN FR VPN ATM
VPN MPLS Couche 2 VPN IP Tunneling VPN avec routeurs ddi VPN BGP/MPLS VPN Routeurs Virtuels
Chapitre Premier
MPLS / VPN-IP
VR 1
CE
VR 2
VR 3
Routeur PE FIGURE 12 : ARCHITECTURE DUN ROUTEUR VIRTUEL VR2.3.2.1.Customer Edge : Le CE (Customer Edge) est lquipement qui permet laccs du client au rseau du SP travers un ou plusieurs routeurs PE. Typiquement, cest un routeur qui tablit une adjacence avec les PEs auxquels il est directement connect. Aprs ltablissement de ladjacence, le CE annonce aux PEs les routes VPN du site local pour quil puisse recevoir de ce dernier les routes VPN distantes. 2.3.2.2.Provider Edge Cest grce au concept de routeur PE (Provider Edge) implmentant une ou plusieurs VRF quil est devenu possible de mettre en place des rseaux doprateurs souples et commercialement viables. Le PE change les informations de routage avec le CE en utilisant le routage statique ou dynamique, RIPv2, OSPF ou BGP. Au moment o
ARCHITECTURE MPLS ENSA- 2006/2007
13
Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
le PE maintient les informations de routage VPN, il lui est requis seulement de maintenir les routes VPN de ceux qui lui sont directement connects. Ce qui contribue fortement lamlioration de lextensibilit du rseau. Chaque PE maintient une VRF relative chaque site qui lui est directement connect. Chaque connexion (Frame Relay, LL, ..) est mappe une VRF spcifique. Do la justification du choix dun port (interface), et non un site, pour lassocier une VRF. Ltanchit des VPNs est rendu possible grce au maintient par le PE dune multitude de VRF, rendant aise la tache de routage et amliorant les performances des quipements de commutation. Les informations de routage locales aux CEs sont utilises par les routeurs PE pour tablir, via BGP, la connectivit IP. Cette connectivit IP sera par la suite traduite en connectivit de label. 2.3.2.3.Provider Router Le routeur P est nimporte quel routeur situ dans le backbone MPLS et qui nest connect aucun CE. Le P fonctionne en MPLS transit (LSRs) quant il achemine un trafic VPN entre PEs. Les P sont chargs du maintien des routes au PE, et non du maintien dinformation spcifique de routage pour les sites clients.
Chapitre Premier
MPLS / VPN-IP
2 Octets
6 Octets
4 Octets
FIGURE 13 : FORMAT DADRESSE VPN-V4 2.4.1.2.Connectivit contraignante Assumant une table de routage qui ne contient pas une route par dfaut, il est admis, pour le routage IP, que si la route un rseau spcifique nest pas installe dans une table de transfert Forwarding Table ce rseau est alors injoignable. Le modle MPLS-VPN se base sur un contrle plus granulaire des informations de routage par lajout de deux mcanismes supplmentaires savoir le Multiples Forwarding Tables et le BGP extended communities. Multiples Forwarding Tables : Au niveau dun routeur PE, chacune de ses VRFs est associe un ou plusieurs de ses ports (interfaces/sous interfaces) qui le connectent directement au site client. Si un site donn contient des machines qui sont membres dans plusieurs VPNs, la VRF
15 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
associe au site client contient alors des routes pour tous les VPNs dans lesquels ce site est membre. BGP extended communities : La distribution des informations de routage est conditionne par lusage des nouveaux attributs du BGP que sont les Extended Communities. Ces attributs font parties des messages BGP en tant quattributs de la route. Ils identifient la route comme appartenant une collection spcifique de routes et qui font objet de la mme politique de traitement. Chaque attribut BGP Extended Community doit tre globalement unique et ne peut alors tre utilis que par un seul VPN. Nanmoins, un VPN dun client donn peut faire usage du BGP Extended Communities pour aider au contrle de la distribution des informations de routage. Les attributs BGP Extended Communities utiliss sont de 32 bits au lieu de 16 bits. Lutilisation de ces 32 bits vise lamlioration de lextensibilit des rseaux doprateurs 232 communities. Par ailleurs et puisque lattribut contient lidentificateur du systme autonome du SP, il peut aussi servir pour contrler lattribution locale tout en maintenant son unicit. Trois types dattributs BGP Extended Communities sont utiliss : Le RT (Route Target) qui identifie une collection de sites VRFs vers lesquelles le PE distribue les routes. Un PE utilise cet attribut pour contraindre limport de routes vers ses VRFs. Le VPN-of-origin qui identifie une collection de sites et tablit la route associe comme venant dun des sites de lensemble. Le Site-of-origin qui identifie le site spcifique partir duquel le PE apprend une route. Il est encod comme attribut de route origin extended community , qui peut tre utilis pour prvenir les boucles de routage. En mode oprationnel, et avant de distribuer ses routes locales aux autres PEs, le PE dentre affecte un RT chaque route apprise par les sites directement connects, qui est bas sur la valeur de la politique cible dexport configure. Cette approche offre une flexibilit norme dans la mesure o un PE peut attribuer un RT une route. Le PE dentre (ingress) peut ainsi tre configur pour assigner un seul RT lensemble des routes apprises dun site donn, ou dassigner un RT un groupe de routes apprises dun site et autres RTs aux autres routes apprises dun autre. Avant dinstaller les routes distantes distribues par un PE, chaque VRF dans un PE sortant (egress) est configure avec une politique import cible. Un PE peut uniquement installer une route VPNv4 dans une VRF si le RT transport avec la route correspond une VRF import cible. Cette approche permet un SP dutiliser un seul mcanisme pour servir les clients ayant une large politique de connectivit inter sites. Par le biais dune configuration sereine dImport Target et Export Target, le SP peut alors construire diffrents types de topologies VPN : maille complte, maille partielle, Hub, Spoke, . Maintien jour des informations de routage : Lors de tout changement de la configuration dun PE par la cration dune nouvelle VRF ou lajout dune ou de plusieurs politiques Import Target une VRF, le PE aura besoin dobtenir les routes VPN-Ipv4 quil a annul auparavant.
16 ARCHITECTURE MPLS ENSA- 2006/2007 Pr. N.Idboufker
Le BGP4 peut prsenter une entrave la mise jour rapide que ncessite le PE dans la mesure o il sagit dun protocole stateful qui ne procde pas au rafrachissement automatique des routes, une limitation dont ne souffre pas le MP-BGP grce sa fonction Route Refresh Capability. Ainsi lors du changement de la configuration dun PE, celui-ci envoie une requte de mise jour via le MP-iBGP peer. Quand les routes sont rediffuses, la politique Import Target est alors applique et le PE procde la population de ses VRFs.
ENSA 2008-2009
17 Prof N.Idboufker
Conclusion gnrale
Conclusion gnrale
Loffre commerciale de tout oprateur ne peut tre viable que si elle est personnalise et adapte aux besoins de chaque client. La QoS est une symphonie se basant sur une harmonie complte entre les diffrentes composantes du rseau MPLS. De ce fait, la mise en uvre de la QoS, au niveau de la couche IP, pour le service VPN-IP passe par la fine spcification dune politique agissant lchelle globale du rseau et mettant en jeu lensemble des potentialits de diffrentiation et de gestion des quipements du rseau MPLS au niveau des plans accs et du plan Backbone. Ajoutons cela quil est impratif de doter le plan de gestion de fonctionnalits de spcification, de provisioning et de reporting QoS permettant la mise en vidence de la qualit du service rendu au niveau du Backbone (PE-PE) et au client CE-CE. Aussi, il faut noter que les mtriques SLA doivent tre les plus larges possibles, se basant sur une multitude de test effectu au niveau Backbone pour mieux modliser et caractriser les mtrique QoS.