Introduction MPLS

Scurit 1
Serge Daigle
Autome 2009

1
2
Quest-ce que MPLS?
MPLS: Multiprotocol Label Switching

Multiprotocol Label Switching (MPLS) combine lintlligence du routage
avec la performance de la commutation et par consquent les rseau de
couche 2 et de couche 3 peuvent en bnficier grandement
MPLS combine les capacits dynamique de IP et de routage IP avec la
performance de commutation au niveau des technologies de couche 2.
Une nouvelle technologie WAN originalement dfinit dans RFC 3031 par:
Cisco Systems
Force 10 Networks
Juniper networks
Au dbut cette technologie sappelait TAG switching
3
2 type de MPLS
Frame Mode MPLS (celui que lon tudie)
Indique lusage de MPLS avec ethernet ou autre type dencapsulation utilisant des trammes
(Frames)
Cell mode MPLS
employ par les technologies ATM
ATM des besoins spcifiques cause de ces cellules grandeur fixe
4
Pourquoi MPLS?
Circuit traditionnel de couche 3 (IP)
Avantages:
le routage dynamique, slection automatique dun chemin
fournit les meilleurs route ainsi que des route backup
fournit la Qualit de service (QoS)
Dsavantages:
Introduit des dlais cause du table lookup
Circuit traditonnel de couche 2 (ATM, Frame Relay)
Avantages:
Les destinations sont pr tablis
Par contre beaucoup plus rapide pas de table lookup
Dsavantages:
Par contre plus difficile grer, configuration manuelle, logiciel de
gestion sophistiqu
Plus difficile implanter le QoS, et de gr les SLA (Service level
agreements
ex: frame-relay la bit DE...

5
Pourquoi MPLS (suite)
La Philosophie de MPLS est quune entte de couche 3 contient beaucoup
trop dinformation par rapport linformation requise pour commut ou
router un paquet
il faut simplifier dou lutilit dun label
MPLS permet lextension des rseaux entre les sites dun client et cela mme
si le rseau MPLS appartient un fournisseur de service
Un rseau MPLS:
Converge de faon dynamique
Peut supporter plusieurs technologies
Permet de faire de la qualit de service (QoS)

MPLS - Quelques dfinitions

FEC - Forwarding equivalence class: Un FEC est un groupe
de paquet qui sont routs de la mme faon (en dautre
terme, ils partagent la mme destination).
Label: Cest le fondement de MPLS, un routeur va gnrer
un label (identificateur) pour chaque FEC quil possde. Un
routeur P (provider) va commuter un paquet en se
basant uniquement sur le label sans jamais avoir recours
lentte de la couche 3 du paquet
cest donc un petit identificateur utilis par une groupe de
rseau qui partagent une mme destination. (habituellement
une significance local seulement, comme frame-relay )
6
MPLS Quelques dfinitions
LSR Label Switching router: Un routeur qui est
capable de commut les paquets libell (Label) de
MPLS
CE - customers edge: Un routeur non MPLS
appartenant au client qui est branch a un rseau
MPLS appartenant au fournisseur de service. (route les
paquets au niveau de la couche 3 seulement)
7
MPLS Quelques dfinitions
PE Providers edge: Un routeur MPLS appartenant au fournisseur
de service (provider) qui est branch a un rseau non-MPLS
appartenant au client. Ce routeur est oblig de regarder la table de
routage (couche 3) ou dinsr un label. On peut aussi le rfrer
comme un edge LSR ou un PE router
P Provider :Un routeur qui commut les paquets en se basant
uniquement sur les labels et non sur linformation de couche 3.
On peut aussi le rfrer comme un Non-edge LSR ou un P
router

8
MPLS - Quelques dfinitions
LDP - Label distribution protocol: Aprs avoir
gnr un label pour chaque FEC, un
routeur a besoin dinformer ses routeurs
voisins des labels quil a gnr pour
chaque FEC. LDP est utilis pour distribuer
cette information.

9
Commutation MPLS de base
Aprs que tous les labels sont connu un les P
routers peuvent faire la commutation en se basant
seulement sur les labels
10
MPLS-VPN
Notez-bien que notre objectif est de
permettre lextension des rseaux entre les
sites dun client et cela mme si le rseau
MPLS appartient un fournisseur de service
Les rseaux des client se doivent aussi dtre
prives. Le client A ne doit pas pouvoir
atteindre les rseaux du client B ou vice versa
En dautre terme, les clients doivent tre isol
lun de lautre
11
MPLS-VPN Quelques dfinitions
VRF Virtual Routing and Forwarding: Un instance de table de
routage virtuelle qui va tre associ habituellement aux rseaux
extensionns dun client (les rseaux virtuel privs dun client)
Route Target: On peut le voir comme lidentificateur dun VRF
(VPN) dun client. Les rseaux privs dun client doivent tre
identifi afin de pouvoir circuler sur le rseau du fournisseur de
service et dchanger leur table de routage (MP-BGP) seulement
entre eux.
Le RT peut importer ou exporter des routes. en se basant sur le ID, il
peut importer des routes dans sa table de routage par exemple:
une route par dfaut situ dans un autre VRF
Il peut y avoir plus dun route target par vrf
12
MPLS-VPN Quelques dfinitions
Route Distinguisher: Dans le but de prevenir le
cas de overlapping addresses . Le RD est
attach a chaque route afin quil soit unique dans
le Core. Noubliez pas que les rseaux provenant
du client A peuvent avoir les mmes adresse que
le rseau du client B ou un autre VPN du client A
LE RD a une signification locale sur le routeur PE
ou EDGE LSR.
Il y a seulement un RD par VRF

13
MPLS-VPN Quelques dfinitions
MP-BGP Multi protocol BGP: Chaque
routeur PE doit communiquer aux autre
routeur PE. Vu que les routes sont
maintenant de 96 bits (32 +64 pour le RT) le
protocol rgulier de BGP ne peut pas tre
utilis nous devons utiliser MP-BGP qui offre
des attributs tendus afin de supporter le RT
14
Fonctionnement de MPLS-VPN
Pour le client CE: Aucune configuration spciale
est requise, une connexion point point avec un
masque de /30 devrait suffire
Nous allons utiliser RIP pour transmettre les
route du CE au VRF du PE
15
Fonctionnement de MPLS-VPN
Pour le PE: Il faut crer les instances VRF qui vont
contenir les routes des VPN clients. Dans cet exemple,
Pour le client A nous avons besoin de crer un VRF afin
que les routes du client site A1, soit disponibles sur le
site A2 et vice versa tout en tant isol du client B.
Les routeurs PE doivent communiquer les routes entre
eux dou lutilit de MP-BGP
16
Fonctionnement de MPLS-VPN
Pour le routeur PE (suite): Chaque routeur PE une
connexion iMPBGP tous les autres router PE
Chaque routeur PE va avoir un label dassign afin de
rejoindre les autres routeur PE dans le core MPLS
De plus, chaque route provenant de lintrieur dun vrf va
avoir un label dassign
Donc, lorsquun routeur PE reoit un paquet du CE, il va
vrifier le VRF correspondant et ajouter le label
correspondant au paquet par la suite, va trouver quel est le
routeur PE de sortie qui correspond et ajouter ce label
Il va donc avoir 2 labels qui vont partir du PE dentre
Notez que ceci est unique MPLS-VPN, pour le MPLS de base
seulement un label est ajout
17
Fonctionnement de MPLS-VPN
Pour le routeur P: Ils sont trs efficace. la seul
chose quils ont faire cest de commuter en
se basant sur le dernier label qui t ajout
Notez que les trammes contiennent
effectivement 2 label, le premier reprsentant
le VRF et le deuxime reprsentant le PE de
sortie.
arriv au PE de sortie on pop le label et
forward...
18
Quelques notes sur LDP
lallocation et la distribution des tiquettes (labels) suit les tapes
suivantes:
1. Les protocoles de routage IP btissent la table de routage IP.
2. Chaque LSR ou P(E), va assigner une tiquette pour chaque
destination trouv dans la table de routage IP
3. Les LSR diffuse leurs tiquettes a tous les autres LSR
4. Chaque LSR va btir une table LIB, LFIB et FIB en se basant sur les
tiquette reu
1. lib : Label information base (contrle plane)
2. LFIB :Label forawarding information base (data plane)
3. FIB : forwarding information plane (data plane)
19
LFIB et FIB
Cisco utilise le FIB afin de faire le routage dun
paquet.
afin de voir le FIB
show ip cef details
ip cef est requis afin de faire fonctionner MPLS
Cisco utilise le LFIB pour transmettre une
paquet contenant une tiquette
show mpls forwarding-table
20
Le edge LSR ou PE
Forward the received IP packet based on the IP
destination address and send as an IP packet
Forward the received IP packet based on the IP
destination address and send as a labeled packet
Forward the received labeled packet based on
the label, change (swap) the label, and send the
labeled packet
Forward the received labeled packet based on
the label, remove the label, and send the IP
packet

21
Le edge lsr (suite)
A received labeled packet is dropped if the
label is not found in the LFIB table, even if the
IP destination exists in the IP forwarding table,
also called the FIB.
A received IP packet is dropped if the
destination is not found in the IP forwarding
table (FIB table), even if there is an MPLS
label-switched path toward the destination.

22
23
Capture wireshark
24
Un ping de CA2 vers CA1, capture
entre PE 2 et P
25
RIB
26
RIB vrf ca
27
FIB vrf ca (IP CEF)
28
BGP
29
ROUTE VPNV4
30
Configuration dun MPLS-VPN
Nous avons besoin dun protocole de routage
lintrieur du core MPLS afin de permettre
LDP de faire lassignement des labels pour les
rseaux
Habituellement ce protocole doit tre link
state, soit OSPF, ISIS et EIGRP(hybride)
Cette configuration est la mme que vous faite
habituellement
31
Configuration MPLS de base
Par la suite on peut commencer par configurer MPLS de
base sur les PE et le P
conf t
mpls ip (on doit configurer mpls globalement)
int s0/0
mpls ip (ensuite on active les interface qui font partie du core
MPLS)
Ces commandes vont mettre en fonction LDP et les routeur
MPLS vont commencer schanger des tiquettes
On peut vrifier avec
show mpls forwarding
on peut voir la base de donne des tiquettes avec
show mpls ldp bin
32
Configuration de MPLS-VPN
Pour le MPLS VPN il suffit dajouter la portion
VRF et le protocol MP-BGP
Exemple de config dune portion VRF
PE_A(config)#ip vrf ClientA
PE_A(config-vrf)#route-target 100:1
PE_A(config-vrf)#rd 100:1
PE_A(config-vrf)#ip vrf ClientB
PE_A(config-vrf)#route-target 100:2
PE_A(config-vrf)#rd 100:2
33
Configuration MPLS-VPN
portion VRF (suite): Il faut maintenant associer les
interface aux VRF correspondant
PE_A(config-vrf)#int e1/0
PE_A(config-if)#ip vrf forwarding ClientA
PE_A(config-if)#ip address 192.168.0.1 255.255.255.252
PE_A(config-if)#no shut
PE_A(config-if)#int e1/1
PE_A(config-if)#ip vrf forwarding ClientB
PE_A(config-if)#ip address 192.168.0.5 255.255.255.252
PE_A(config-if)#no shut

34
Configuration MPLS-VPN
Maintenant que les VRF sont configur, il faut
configurer la portion iMP-BGP. iMP-BGP est
requis pour faire passer les routes des clients
dun site lautre
De plus nous devons configurer un protocole
qui va transmettre les route du CE au PE en se
servant du VRF du PE. Par la suite on va
redistribuer ces routes dans BGP
35
iMP-BGP
Portion BGP
router bgp 100
no bgp default ipv4-unicast
neighbor 172.16.1.1 remote-as 100
neighbor 172.16.1.1 update-source Loopback0
!
address-family ipv4
no synchronization
neighbor 172.16.1.1 activate
no auto-summary
exit-address-family
36
iMP-BGP (suite)
configuration du vpnv4 (afin denvoyer les RT)
address-family vpnv4
neighbor 172.16.1.1 activate
neighbor 172.16.1.1
send-community extended
exit-address-family !

37
iMP-BGP (suite)
Configuration du vrf ca
address-family ipv4 vrf ca
no synchronization
redistribute rip metric 1
exit-address-family!
continuer pour les autres vrf

38
MPLS-VPN (RIP)
PE_A(config-router-af)#router rip
PE_A(config-router)#address-family ipv4 vrf ClientA
PE_A(config-router-af)#redistribute bgp 100 metric 1
PE_A(config-router-af)#network x.x.x.x
PE_A(config-router-af)#no auto-summary
PE_A(config-router-af)#version 2
exit
PE_A(config-router-af)#address-family ipv4 vrf ClientB
PE_A(config-router-af)#redistribute bgp 100 metric 1
PE_A(config-router-af)#network x.x.x.x
PE_A(config-router-af)#no auto-summary
PE_A(config-router-af)#version 2
exit

39
Procdure
Core Network PE1, P et PE2

1) configurer les liens sries
mettre les ip sur les interfaces sries, mettre les loopback /32 sur les
routeurs PE1 et PE2
2) vrification:
faite des pings point point
3) configurer le protocoles de routage du core MPLS
le protocole de routage ospf sur PE1, P et PE2, utilis des router-id
4) vrification:
show ip ospf nei, show ip route, ping du loopback de PE1 au loopback
de PE2
5)configurer mpls
mpls ip sur les interfaces sries
6) vrification:
show mpls forwarding

40
Procdure
les clients (CE customers Edge)

5) Configurations des interfaces des clients
mettre les ip sur les interfaces des clients, ainsi que
sur les loopback simulant des rseaux internes
6) configurer la portion vrf des clients sur les PE ou
EDGE LSR
crer les vrf, les route target et RD
associer les interfaces des clients au vrf
mettre les adresses ip sur les interfaces vrf
7) vrification:
faite des ping du client vers le vrf du PE exemple: ca1
ping PE1

41
Procdure:
routage entre CE et PE
8) configurer le protocole de routage sur les
clients et sur le vrf correspondant dans le PE
9) vrification:
sh ip route vrf ca (devrait voir le loopback du
client)
faite un ping du loopback du client l'interface
VRF sur le PE

42
Configuration de iMP-BGP
10) monter le neighbor iBGP (utiliser les lo comme source)
11) vrification:
show ip bgp nei
12) configurer les address-family, ipv4, vpnv4 et vrf
13) Effectuer la double redistribution
redistribuer les routes des clients dans le vrf correspondant de
BGP
redistribuer les routes du vrf de BGP dans le vrf du client
correspondant
14) Vrification:
show ip bgp vpnv4 all
show ip vrf ca
ping du client dun loopback lautre travers du core



43
EXTRA stuff
Source Rick graziani...

44
45
MPLS Features
Label Switch Path (LSP)
The path through one or more LSRs at one level of the hierarchy followed by a
packet in a particular path.
46
MPLS Features
Labels usually correspond to destination networks, similar to Layer 3 routing.
Labels can also correspond to:
Layer 3 VPN destination
Layer 2 virtual circuit
Egress interface
QoS
Source address
MPLS designed to forward any type of Layer 3 packet, but IPv4 and IPv6 is at
the forefront.
47
Label Format
Field Description
20-bit label The actual label. Values 0 to 15 are reserved.
3-bit experimental (EXP)
field
Undefined in the RFC. Used by Cisco to define a class of
service (CoS) (IP precedence).
1-bit bottom-of-stack
indicator
MPLS allows multiple labels to be inserted. The bottom-
of-stack bit determines if this label is the last label in the
packet. If this bit is set (1), the setting indicates that this
label is the last label.
8-bit Time to Live (TTL)
field
Has the same purpose as the TTL field in the IP header.
48
Label Stack
In most cases only one label is assigned to a packet. There are some instances
where more than one label is used:
MPLS VPNs: Multiprotocol BGP (MP-BGP) is used to propagate a second
label that identifies the VPN in addition to the label that is propagated by
Label Distribution Protocol (LDP) to identify the path.
MPLS Traffic Engineering (MPLS TE): Uses Resource Reservation Protocol
(RSVP) to establish label switched path (LSP) tunnels. RSVP propagates
labels that are used to identify the tunnel LSP. This label is in addition to
the label that is propagated by LDP to identify the underlying LSP.
MPLS VPNs combined with MPLS TE: Three or more labels are used to
identify the VPN, tunnel LSP, and the underlying LSP.
49
Label Stack
A label does not contain any information about the Layer 3 protocol that is
being carried in a packet.
This lack of information means that the identity of the network layer protocol
must be inferable from the value of the label.
However for Layer-2 protocols that have TYPE or PID fields new values
indicate the MPLS-enabled Layer-3 protocol.
Unlabeled IP unicast: PID = 0x0800 identifies that the frame payload is a
classic unicast IP packet.
Labeled IP unicast: PID = 0x8847 identifies that the frame payload is a
unicast IP packet with at least one label preceding the IP header.
Labeled IP multicast: PID = 0x8848 identifies that the frame payload is a
multicast IP packet with at least one label preceding the IP header.
50
MPLS Features
Packets are labeled prior to be forwarded at Ingress edge LSR.
After ingress node, there is no routing table lookup.
At each non-edge LSR the label is removed and a new label added at each
hop.
Only edge LSRs perform routing table lookups.
Non-edge LSRs perform forwarding process based only on the label, not
Layer 3 information.
Decreases latency faster packet forwarding.
Final edge LSR (egress LSR):
pops (removes) the label from the packet and
performs a new routing table lookup to forward the packet
51
MPLS Features
Note: The type or protocol ID field indicates as MPLS enabled layer-3 protocol.
52
MPLS
Features
Penultimate hop pop
When the LSR prior to the destination edge router pops the label before
sending the packet to the final edge LSR.
Final edge router then does not need to perform both a label lookup and
a Layer 3 routing lookup, but only the Layer 3 routing lookup.

53
Control and Data
Planes
LSRs funtion at both the control and data planes.
Control plane
Where exchange of routing information takes place
Traditional routing functions associated with routing protocol operations
Process routing protocol updates as they occur
Data plane or Forwarding plane
Where the actual forwarding occurs
MPLS This is done solely based on labels.
LSR
Maintains converged routing table but usually not engaged for packet forwarding
Maintains routing table to ensure the FIB is up to date with the most current
information so that labels can be properly assigned and packets can be
dispatched.
54
MPLS Architecture
Control plane
routing protocols database
IP routing table (RIB)
Routing updates from
other routers
IP forwarding table (FIB)
Data plane
Label forwarding table (LFIB)
Label Information Base (LIB)
Label bindings
learned via LDP from
other routers
Incoming MPLS
Packet
Outgoing MPLS/IP
Packet
Incoming IP Packet
Population of RIB/FIB/LIB/LFIB in an MPLS router
55
Packet Propagation Across an MPLS Network
MPLS Labels: Penultimate Hop Popping
The label at the top of the stack is removed (popped) by the upstream
neighbor of the egress LSR
The egress LSR requests the popping through the label distribution
protocol
Egress LSR advertises implicit-null label
One lookup is saved in the egress LSR
56
57
Penultimate Hop Popping (PHP)
PHP optimizes MPLS performance by reducing CPU
effort on Edge LSRs.
The Edge LSR advertises a pop or implicit null label
(value of 3) to a neighbor.
The pop tells the neighbor to use PHP.