Académique Documents
Professionnel Documents
Culture Documents
de Tunis El Manar
Ecole NaConale d’Ingénieurs de Tunis
Département TIC
PARCOURS THÉMATIQUE
Infrastructures Convergées & Cloud CompuCng
3ème année TélécommunicaCons
A.U 2020-2021
Principe
- Les labels sont affectés en fonction d’un nœud de sortie et non d’une
adresse IP destination
- Tous les paquets à destination d’un même nœud de sortie reçoivent le même
label et subissent donc le même traitement dans le réseau.
5
MulC Protocol Label Switching : MPLS
1) Principe de base d’un réseau MPLS
- L’augmentation du nombre de sites raccordés est transparente au cœur du
réseau, seuls les organes de périphéries sont affectés
- Les LSR de périphéries ou Label Edge Router (LER) sont à l’interface entre le
réseau IP et le réseau MPLS.
3. Le LSR suivant reçoit sur son port A, un paquet MPLS labelisé 5, il consulte sa
table de labels (FLIB), dans laquelle il est indiqué qu’il doit changer le label en 3
et commuter le paquet MPLS en C.
4. A l’instar des autres systèmes reposant sur la notion de circuits virtuels, le label
n’a qu’une valeur locale, il est modifié par chaque nœud (Swap tag)
5. Enfin le LER de sortie (MPLS egress node) examine sa FLIB et constate qu’il
doit supprimer le label (Untag), il consulte sa table de routage IP et achemine le
datagramme IP sur le port de sortie D.
Rmq
• Dans un réseau MPLS, un même paquet MPLS peut recevoir plusieurs labels
(Push tag).
• L’empilement de labels permet notamment de définir une agrégation de
routes en interne dans le réseau et des réseaux virtuels (VPN, Virtual
Private Network)
• L’opération Pop tag permet de supprimer le label de haut de pile, alors que
Untag supprime le dernier label 8
MulC Protocol Label Switching : MPLS
Mécanisme particulier : Le dépilement du pénultième saut
-Le LER de sortie dit aussi « egress LER » effectue une double consultation.
-La FLIB lui indique de supprimer le dernier label (Untag), puis la table de routage IP
lui indique d’acheminer le datagramme vers le prochain routeur IP (sortie du
domaine MPLS).
-Entre le dernier LSR et le LER aucune opération ne nécessite la présence d’un
label.
-Afin d’optimiser le travail du LER de sortie, c’est l’avant-dernier LSR traversé qui
supprime le label (PHP, Penultimate Hop Popping).
-C’est l’identification du protocole supérieur contenu dans l’unité de données du
niveau liaison qui permet d’identifier le contenu et de déterminer si un « tag »
MPLS est présent ou non.
9
MulC Protocol Label Switching : MPLS
2) Le protocole LDP (RFC 3036)
- LDP (Label Distribution Protocol) s’appuie sur les protocoles de routages IP
dont il utilise les table de routage.
- LDP définit un ensemble de procédures et de messages pour l’échange de labels
entre LSR.
- A chaque fois qu’une destination IP est découverte, LDP sollicite, pour obtenir un
label pour cette destination, le LSR amont (DownStream on demand) ou en
attribue un au LSR aval (Unsolicited downstream)
11
MulC Protocol Label Switching : MPLS
3) La distribution des labels :
Deux modes de distribution des labels:
1. Distribution des labels en mode non sollicité
à Dans le premier, chaque LSR amont informe ses voisins qu’il sait joindre une FEC
et que ceux–ci doivent utiliser tel label pour telle FEC. Ce mode est dit
distribution en mode non sollicité (Unsollicited dowstream)
à Le LSR2 qui découvre que pour la FEC 10.2.0.0/16 le prochain saut (Next hop)
est son voisin (LSR3) en informe ses voisins en leur demandant d’utiliser pour
cette FEC le label 5.
à Dans ce mode de distribution des labels, il n’est pas impossible que le LSR1
dispose déjà d’une route pour cette classe d’équivalence !
13
MulC Protocol Label Switching : MPLS
2. Distribution des labels en mode sollicité
à Dans le second mode de distribution des labels, le LSR qui découvre que son
voisin est le prochain saut pour une FEC donnée, lui demande de lui fournir pour
cette FEC un label.
14
Conf-MPLS
Commandes de base mpls
AcCver globalement la commutaCon MPLS et
la signalisaCon ldp Ip cef
mpls label protocol ldp
AcCver mpls sur chaque interface souhaitée
interface FastEthernet1/0
ip address 10.0.0.1 255.255.255.252
mpls ip
Quelques commandes de visualisaCon mpls
Voisins ldp
sho mpls ldp neighbor
table des labels
sho mpls ldp bindings
15
MulC Protocol Label Switching : MPLS
Conclusion:
MPLS apporte au protocole IP, non orienté connexion, les avantages du mode
connecté tout en conservant la souplesse du mode non connecté, en outre il
permet:
16
EX 1: MPLS
1. Expliquer pourquoi MPLS est considéré comme une soluJon pour améliorer les performances
des routeurs, en parJculier leur rapidité de traitement des paquets.
2. Un routeur MPLS uJlise une table qui conJent des labels. Un routeur IP uJlise une table de
routage qui conJent des adresses IP. Discuter les analogies et différences entre ces deux
tables
3. Donner les étapes de foncJonnement du réseau MPLS schémaJsé dans la figure suivante.
Compléter les FLIB (Forwording Label InformaJon Base) de chaque LSR (Label Switching
Router) et ELSR (Edge Label Switching Router)
4. Les LSP (Label Switched Path) aller/retour des flux sont idenJques ?
17
Déploiement du Trafic Engineering
Principe:
-Dans un réseau, le Traffic Engineering (ou TE) permet d'optimiser
l'utilisation des ressources d'un réseau afin d'éviter la congestion.
àC'est la prise en compte de la bande passante disponible sur un lien lors des décisions de
routage qui rende possible cette optimisation.
18
Déploiement du Trafic Engineering
=>Le principe du TE dans MPLS est d'utiliser des tunnels unidirectionnels
pour décaler le trafic d'un chemin sur un autre.
Plusieurs tunnels peuvent être utilisés pour répartir le trafic si celui-ci est trop
important pour être véhiculé par un seul chemin.
=>La réservation de bande passante éventuelle qui doit être faites sur les
routeurs est très souvent faites grâce au protocole RSVP-TE.
19
Déploiement du Trafic Engineering
Principaux Protocoles de distribution d’étiquettes et de génie de trafic
20
Déploiement du Trafic Engineering
Principaux Protocoles de distribution d’étiquettes et de génie de trafic
21
MPLS-TE
Le mécanisme de routage par contrainte MPLS-TE regroupe un ensemble de
fonctions permettant de router les TE-Trunks en fonction de leurs contraintes TE
et des ressources disponibles dans la topologie TE. Ce mécanisme repose sur
trois fonctions principales :
22
MPLS-TE
1- Fonction de découverte de la topologie
Ce\e foncJon permet à tous les routeurs d'avoir une vision actualisée de la topologie TE et
en parJculier de la BP résiduelle réservable sur les liens.
Ce\e foncJon est assurée par un protocole à états de liens IGP-TE.
On disJngue deux protocoles IGP-TE : ISIS-TE et OSPF-TE, extensions des IGP (Interior
Gateway Protocol-TE) à états de liens IS-IS et OSPF.
La topologie TE est enregistrée par chaque routeur du réseau dans une base de données TE
appelée TED (pour TE Database), qui enregistre pour chaque lien du réseau les paramètres
TE suivants:
1. bande passante maximale : il s'agit de la bande passante maximale pouvant être uJlisée sur un lien. Elle
correspond généralement à la bande passante physique du lien.
2. bande passante maximale réservable : il s'agit de la quanJté maximale de bande passante pouvant être
réservée par un ensemble de TE-LSP sur un lien. Ce\e bande passante peut éventuellement être supérieure
(overbooking) ou inférieure (underbooking) à la bande passante maximale du lien ;
3. bande passante disponible : il s'agit de la bande passante résiduelle réservable par des TE-LSP sur le lien. Elle est
modifiée dynamiquement lors de la créaJon ou de la suppression d'un TE-LSP. Ce paramètre TE comprend huit
valeurs de bande passante. Elles correspondent aux huit niveaux de priorité de préempJon des TE-LSP, Il s'agit
de la bande passante réservable pour chaque niveau de priorité de TE-LSP.
4. La métrique TE : ce\e métrique complète la métrique IGP. Elle permet d'uJliser, pour le placement des TE-LSP,
une topologie avec des poids de liens différents de la topologie IP. Il devient, par exemple, possible de calculer
un plus court chemin avec un délai contraint ; la métrique IGP représentant le critère à opJmiser et la métrique
TE le délai à borner.
23
MPLS-TE
2- Fonction de calcul de chemin
Cette fonction permet de calculer les chemins pour les TE-LSP en utilisant un
algorithme de routage par contrainte (CSPF: : Algorithme de calcul du chemin
le plus court dans un graphe contraint.).
Elle prend en entrée les contraintes des TE-LSP (bande passante, groupes à
inclure/exclure, etc.) et la topologie TE (TED) alimentée par le protocole IGP-
TE.
Principe du CSCF:
(1) ConfiguraJon du LSP-TE sur le routeur de
t ê t e : d é fi n i J o n d e s o b j e c J f s e t
contraintes.
//Une contrainte peut être le minimum de bande passante
demandé par un lien, le délai de bout en bout, le nombre
maximal de liens traversés, inclure/exclure des nœuds.
(2) EliminaJon des liens qui ne valident pas les
critères TE du LSP-TE.
(3) Calcul du plus court chemin (SPF) sur la
topologie contrainte résultante.
24
MPLS-TE
3- Fonction de signalisation des TE-LSP
Cette fonction est chargée également du maintien des LSP, de leur suppression
et de la signalisation des erreurs.
25
MPLS-TE
Établissement des LSP par RSVP-TE
L'établissement d'un LSP par RSVP-TE est effectué en deux temps :
àun message Path contenant la route explicite et l'ensemble des paramètres
TE (identifiants LSP, source/destination, bande passante, etc.) est tout d'abord
envoyé de la source vers la destination de proche en proche, le long de la route
explicite.
àIl crée un état RSVP correspondant au LSP sur tous les routeurs du chemin.
En réponse, le routeur de destination renvoie un message Resv de proche en
proche vers l'origine du LSP. Le message Resv réserve la bande passante et
distribue les labels. Il s'agit d'une distribution sollicitée de labels (initiée par les
routeurs en amont). Cela entraîne une mise à jour des tables MPLS en transit et
de la table IP sur le routeur de tête du LSP.
àLorsque le message Resv est arrivé sur la tête et que la table de routage IP
est mise à jour, le tunnel peut être utilisé pour aiguiller du trafic le long du LSP.
27
MPLS-TE
Établissement des LSP par RSVP-TE
(1) R1 est tête du tunnel TE (head-end), il envoie un Path message à R2. Celui-ci vérifie le
format du message et la disponibilité des ressources TE demandées.
Si les ressources ne sont pas disponibles, R2 renvoie un message PathErr à R1, la
séquence d’établissement est alors annulée.
(2) R2 envoie un Path message à R3. R3 fait les mêmes vérifications qu’en (1).
(3) R3 envoie un Path message à R5. Mêmes vérifications.
(4) R5 envoie un Path message à R6. Mêmes vérifications.
(5) R6 envoie un Path message à R7. Mêmes vérifications.
(6) R7 est la queue de tunnel TE (tail-end). Il envoie un Resv message à R6. Ce message
contient le label de commutation MPLS à employer pour le tunnel TE par R6. Dans ce cas
le label=implicit-null.
(7) R6 envoie un Resv message à R5 et indique un incoming label=42.
(8) R5 envoie un Resv message à R3 et indique un incoming label=10921.
(9) R3 envoie un Resv message à R2 et indique un incoming label=21.
(10) R2 envoie un Resv message à R1 et indique un incoming label=18. L’établissement du
LSP-TE est alors finalisé.
28
MPLS-TE
Maintien des LSP-TE, états RSVP-TE
À chaque LSP-TE signalé sur un nœud est associé un état RSVP-TE regroupant l’ensemble
des informations du LSP-TE à savoir : {@ source et destination, Num de tunnel-TE et de
LSP-TE, Bande passante, Nœud précédent, nœud suivant, Route explicite, Labels entrant
et sortant.}
Si un sous-état RSVP-TE n’est pas rafraîchi au-delà d’une période d’expiration d’état, il expire
et le LSP est détruit. Il s’agit d’une propriété de RSVP que RSVP-TE hérite. C’est une procédure
locale entre deux routeurs qui utilise les messages Hello.
Avantages: le support des pertes de messages, des re routages et des pertes de connectivité
ainsi que la suppression des états en cas d’isolement d’un nœud.
Inconvénients: une lourdeur de traitement et un impact sur la CPU des routeurs. À chaque
sous-état RSVP-TE (PSB, RSB) sont associés deux timers : le timer de rafraîchissement R, à
30s par défaut, et le timer d’expiration L. Par défaut, on a L = 4 R, c’est-à-dire qu’un état
expire sur non-réception de quatre messages de rafraîchissement successifs.
29
MPLS-TE
Priorités de LSP
Le but des priorités est de marquer un certain LSPs comme plus important que
d'autres et de leur permettre de confisquer des ressources de LSPs moins
important. Faire ceci garantit cela:
- en l’absence de LSPs important, des ressources peuvent être réservées par LSPs
moins important,
- un LSP important s’établit toujours le long du chemin le plus optimal (le plus
court), indépendamment des réservations existantes,
- et quand il y a besoin de re router LSPs (par exemple, suivant une panne de lien)
LSPs importants ont une meilleure possibilité de trouver une voie de déroutement.
30
MPLS-TE
Priorités de LSP
PréempJon de LSP (I)
Un CR-LSP porte une priorité de LSP. Cette priorité peut être employée pour
permettre à un nouveau LSPs de cogner LSPs existant avec une priorité plus
basse afin de voler leurs ressources.
C'est particulièrement utile pendant des périodes de panne et permet de ranger
LSPs de façon que les plus importants obtiennent des ressources avant LSPs
moins important.
Celles-ci s'appellent le setupPriority et le holdingPriority et 8 niveaux sont définis.
31
MPLS-TE
Priorités de LSP
PréempJon de LSP (II)
Quand un LSP est établi, son setupPriority est comparé au holdingPriority de
LSPs existant. LSPs existant avec le holdingPriority inférieur peut être cogné
pour obtenir leurs ressources.
Ce processus peut être continué d'une mode de domino jusqu'au moment
quand les plus bas holdingPriority LSPs sont enlevés ou se trouvent sur les
plus mauvais chemins.
32
MPLS-TE
Commandes pour l’ingénierie de trafic TE
AcJver les tunnels TE
mpls traffic-eng tunnels
AcJver OSPF-TE
router ospf 10
mpls traffic-eng router-id Loopback0
mpls traffic-eng area 0
Pour chaque interface où on souhaite réserver pour les tunnels TE
interface FastEthernet1/0
mpls ip
mpls traffic-eng tunnels
ip rsvp bandwidth 10000 10000 /* bande passante réservable */
il ne reste plus qu’à déclarer les tunnels
Interface tunnel 0
ip unnumbered Loopback0 /* le tunnel uElise l’adresse de lo0 */
tunnel desEnaEon 10.10.10.4 /* desEnaEon du tunnel */
tunnel mode mpls traffic-eng /* mode créaEon du tunnel */
tunnel mpls traffic-eng autoroute announce /* tunnel annoncé dans le routage */
tunnel mpls traffic-eng priority 1 1 /* niveau de priorité des réservaEons /*
tunnel mpls traffic-eng bandwidth 4000 /* bande passante réservée pour ce tunnel */
tunnel mpls traffic-eng path-opEon 1 dynamic
no rouEng dynamic 33
Conf-MPLS TE
34
ConfiguraCon du Backbone MPLS
Le Backbone MPLS est représenté par 11 routeurs Cisco désignés par 3 routeurs Provider Edge (PE1, PE2, PEGateway) et 8 routeurs
Provider.
Afin de me\re en place la maque\e du Backbone MPLS,vous allez configurer :
• Le protocole OSPF au niveau des routeurs du Backbone MPLS ;
• Le mécanisme MPLS dans les routeurs du Backbone MPLS ;
• Les VRF au niveau des routeurs du Backbone MPLS ;
• Le protocole MP-iBGP entre PE1 et PE2, entre PE1 et PE Gateway et entre PE2 et PE Gateway.
1) ConfiguraCon du protocole OSPF au niveau du Backbone MPLS
Le protocole OSPF est configuré au niveau des routeurs PE et Px, pour chaque routeur il faut déclarer les réseaux voisins du
Backbone MPLS. Ci-dessous un exemple de configuraJon pour le routeur PE :
35
VérificaCons des interfaces des voisins LDP et MPLS
36
configuraJon d’un
path explicite LSP1
au niveau du PE1.
38
MPLS-TE et DiffServ
Solution : MPLS-DiffServ-TE
39
MPLS-TE et DiffServ
Rappel: Points de code de DiffServ dans l'en-tête d'IP
40
MPLS-TE et DiffServ
Domaine de DiffServ
DiffServ ne peut pas garantir QoS si le chemin suivi par le flux n'a pas
assez de ressources pour répondre aux exigences de QoS.
MPLS DiffServ
Comment on peut encoder des valeurs de DSCP (exprimées dans un
domaine de 6 bits qui peut coder jusqu'à 64 valeurs) dans un champ
d‘CoS de 3 bits qui peut porter seulement huit valeurs distinctes ?
• Le numéro de label
• CoS ou Exp ou TC: Traffic Class (QoS): Chaque paquet labelisé peut se
voir attribuer une Class of service, afin de permettre différentes
« discard politics » ou « scheduling politics » pour des paquets ayant
le même numéro de label. // Cependant la RFC précise que c’est un
champ encore experimental d’où son actuelle notation
• S : bottom of stack. Le bit "S" est à 1 quand le dernier label de la pile
est atteint.
• TTL : Ce champ à le même rôle que le TTL de l’entête IP. Etant
donné que l’entête IP n’est pas analyser par les LSR, la valeur du
TTL est recopié dans l’entête MPLS à l’entrée du réseau par le
Ingress LER. Ensuite, à chaque commutation par un LSR, le TTL est
modifié. La valeur TTL de l’entête MPLS est ensuite recopié dans
l’entête IP à la sortie du réseau MPLS par le Egress LER.
42
MPLS-TE et DiffServ
Exp(E ou CoS ou TC)-LSP
E-LSPs peut porter des paquets avec jusqu'à huit comportements distincts
de PHB dans un LSP.
43
MPLS-TE et DiffServ
L-LSP (Label-LSP)
L'étiquette détermine où expédier le paquet et l’ordonnancement du
paquet, par contre les bits d'EXP donnent l'information concernant la
priorité de tomber du paquet.
44
MPLS-TE et DiffServ
45
MPLS-TE et DiffServ
TE-classe est définie comme combinaison de (CT, priorité de LSP).
46
Mécanisme Fast ReRoute
Protection des tunnels MPLS-TE
Pour fiabiliser un tunnel MPLS-TE, plusieurs modes de protection existent :
47
Mécanisme Fast ReRoute
Protection locale d’un lien ou d’un nœud « Fast Reroute » (FRR) : La
protection locale d’un lien ou d’un nœud s’effectue sur le nœud en amont, où
est créé un tunnel de protection locale unidirectionnel FRR de type « Next HOP
» (NHOP) ou « Next Next HOP» (NNHOP).
48
Mécanisme Fast ReRoute
49
Mécanisme Fast ReRoute
La procédure de création de tunnels de protection locale FRR est :
50
Mécanisme Fast ReRoute
51
Mécanisme Fast ReRoute
52
Mécanisme Fast ReRoute
Les tunnels de FRR ne sont pas associés à un tunnel MPLS-TE en particulier. Ils
protègent tous les LSP des tunnels MPLS-TE qui transitent par les liens/nœuds
protégés. Les tunnels éligibles à la protection seront sélectionnés en fonction des
ressources disponibles dans la topologie TE, des paramètres des tunnels de
FRR et des paramètres de bande passante et niveaux de préemption des tunnels
TE
53
Mécanisme Fast ReRoute
En situation de défaut du lien ou nœud protégé, la session RSVP Hello n’est
plus active, le défaut est alors détecté et le Fast Reroute activé :
54
Mécanisme Fast ReRoute
La création des tunnels de protection FRR d’un lien ou d’un nœud peut
également être effectuée automatiquement via la configuration suivante :
55
Graceful Restart et MPLS
• Le mécanisme de Graceful Restart, spécifié pour BGP dans la RFC 4724,
permet de limiter l’indisponibilité des préfixes dues aux redémarrages du
processus BGP sur un routeur.
• Sur une interconnexion BGP entre deux pairs, l’annonce de la capacité dite
de Graceful Restart permet de conserver le transfert des paquets pendant le
redémarrage du processus BGP d’un des deux routeurs.
• Le transfert s’effectue pendant une durée limitée au-delà de laquelle les
routes utilisées sont supprimées.
• Une fois le redémarrage effectué, le routeur sélectionne les meilleures
routes parmi celles que ses pairs lui ont envoyées, et met à jour sa RIB
(RouJng InformaJon Base ou table de routage) et sa FIB (Forwarding InformaJon
Base ou table de transfert)
56
Graceful Restart et MPLS
57
MPLS-VPN
Qu’est-ce qu’un VPN ?
Un réseau à usage privé mis en œuvre de façon logique au-dessus d’une
infrastructure « publique »
Qu’est-ce qu’un PPVPN ?
Un VPN mis en œuvre par un fournisseur a destination d’un client
àProvider Provisioned VPN Réseau privé virtuel fourni par un prestataire à
un client.
Terminologie ITU-T : NB-VPN (Network-Based VPN).
Les enjeux
• Pour le client
• Disponibilité Sécurité
• Qualité de service
Pour le prestataire
• Passage à l’ échelle
• Administration
• Interopérabilité
58
Les différents types de VPN
Layer 1 VPN
• Réseau virtuel dont le plan de données est au niveau 1
• Service de communication de niveau 1
• Fourni à un client
• Par un réseau fournisseur de niveau 1
• Avec un contrôle du client sur la connectivité
• Indépendance entre connectivité
• Du plan de donnée
• Du plan de contrôle
• Groupe de travail 13 de l’ITU-T
• Fourniture d’un service de type optique ou TDM
Layer 3 VPN
Interconnexion d’hôtes et de routeurs
Sur la base d’adresses de niveau 3
Routage fonde uniquement sur l’entête IP
Layer 2 VPN ou MPLS
Interconnexion d’équipements au niveau 2.
Peut prendre différentes formes
• Virtual Private Wire Service (VPWS)
• Point à point « Parfois nomme »
• VLLS (Virtual Leased Line Service)
• Virtual Private LAN Service (VPLS)
• Interconnexion «classique» de LANs traditionnels
• Parfois nommé TLS (Transparent LAN Service) ou
VPSN (Virtual Private Switched Network)
• IP-only LAN-like Service (IPLS)
Idem mais de l’IP uniquement
59
MPLS-VPN
Un système de VPN doit pouvoir mettre en œuvre les fonctionnalités
suivantes :
1. Authentification d'utilisateur
2. Cryptage des données
3. Gestion de clés. Les clés de cryptage pour le client et le serveur doivent
pouvoir être générées et régénérées.
4. Gestion d'adresses: chaque client sur le réseau doit avoir une adresse
privée. Cette adresse privée doit rester confidentielle. Un nouveau client
doit pourvoir se connecter facilement au réseau et recevoir une adresse.
5. Prise en charge multi protocoles: la solution VPN doit supporter les
protocoles les plus utilisés sur les réseaux publics en particulier IP et
next.
60
MPLS-VPN
Utilisation du MPLS pour les VPN
Des tunnels sont créés entre des routeurs MPLS de périphérie appartenant à
l'opérateur et dédiés à des groupes fermés d'usagers particuliers, qui constituent
des VPN. Dans l'optique MPLS/VPN, un VPN est un ensemble de sites placés
sous la même autorité administrative, ou groupés suivant un intérêt particulier.
Routeurs P, EP et CE
P (Provider) : ces routeurs, composant le
cœur du backbone MPLS, n'ont aucune
connaissance de la notion de VPN. Ils se
contentent d'acheminer les données grâce
à la commutation de labels ;
PE (Provider Edge) : ces routeurs sont
situés à la frontière du backbone MPLS et
ont par définition une ou plusieurs
interfaces reliées à des routeurs clients ;
CE (Customer Edge) : ces routeurs
appartiennent au client et n'ont aucune
connaissance des VPN ou même de la
notion de label. Tout routeur « traditionnel
» peut être un routeur Ce, quel que soit
son type ou la version d'OS utilisée.
61
MPLS-VPN
Mise en place des VPNs
62
MPLS-VPN
63
MPLS-VPN
64
MPLS-VPN
Routeurs Virtuels : VRF (Vpn Routing and Forwarding)
Les routeurs PE ont la capacité de gérer plusieurs tables de routage grâce à la
notion de VRF (Vpn Routing and Forwarding).
Une VRF est constituée d'une table de routage, d'une FIB (Forwarding
Information Base) et d'une table CEF spécifiques, indépendantes des autres
VRF et de la table de routage globale.
Chaque VRF est désignée par un nom (par ex. RED, GREEN, etc.) sur les routeurs
Pe. Les noms sont affectés localement et n'ont aucune signification vis-à-vis des
autres routeurs.
aaa authenCcaCon login userauthen local //enable Xauth for user authenJcaJon, !--- enable the aaa
authenCcaCon commands
crypto dynamic-map dynmap 10 //Create a dynamic map and apply the transform set that
set transform-set myset was created earlier.
reverse-route
crypto map clientmap client authenCcaCon list userauthen //Create the actual crypto map, and apply the AAA lists that
crypto map clientmap isakmp authorizaCon list were created earlier.
groupauthor
crypto map clientmap client configuraCon address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
interface Loopback0
ip address 10.11.0.1 255.255.255.0
ip nat inside //Create the loopback interface for the VPN user traffic
ip virtual-reassembly
…
interface Ethernet0/0
ip address 10.10.10.1 255.255.255.0
half-duplex
ip nat inside
67
interface FastEthernet1/0 //Apply the crypto map on the interface.
ip address 172.16.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
ip policy route-map VPN-Client
duplex auto
speed auto
crypto map clientmap
ip nat inside source list 101 interface FastEthernet1/0 //Enables Network Address TranslaJon (NAT)
overload
access-list 101 permit ip any any //The access list is used to specify which traffic is to be
translated for the outside Internet.
access-list 144 permit ip 192.168.1.0 0.0.0.255 any //InteresJng traffic used for policy route
route-map VPN-Client permit 10 //Configures the route map to match the interesJng traffic
match ip address 144 (access list 144) !--- and routes the traffic to next hop 68
set ip next-hop 10.11.0.2 address 10.11.0.2
Bibliographie
69
Livres utiles
Zenoss Core Network and System Monitoring. de Michael Badger
TCP/IP Network Administration, 3rd Edition. Hunt
TCP/IP et les protocoles Internet . José DORDOIGNE & Philippe ATELIN
Réseau & Télécoms. Claude SERVIN
Fin du Cours
70