Académique Documents
Professionnel Documents
Culture Documents
CHARGROS
1. Dfinition
Le
VRF
(VPN
Routing
and
Forwarding)
permet
de
sparer
les
utilisateurs
sur
un
rseau
partag
comme
l'IP
VPN
en
utilisant
diffrentes
instances
de
VRF
sur
les
routeurs
de
bordure
du
Service
Provider
appels
des
PE
(Provider
Edge).
Cette
dernire
technologie
permet
de
sparer
les
clients
en
se
basant
sur
les
couches
2(Liaison
de
donne
:
Adresse
MAC)
et
3
(Rseau
:
Adresse
IP)
du
modle
OSI.
Les
Services
Providers
peuvent
ainsi
sparer
les
clients
sur
leur
rseau
Backbone
en
utilisant
les
VRF
coupls
dautres
technologies
comme
le
MPLS
:
les
clients
situs
dans
un
VPN
spcifique
ne
peuvent
pas
voir
le
trafic
en
dehors
de
leur
VPN.
Il
est
important
de
prciser
que
les
VRF
contiennent
des
routes
pour
les
sites
VPN
directement
connects.
2. Exemple
Actuellement
sans
VRF,
les
paquets
du
Client
A
et
du
Client
B
sont
mlangs.
Pour
empcher
cela,
le
service
provider
met
chaque
client
dans
un
VRF
spar,
ainsi
les
paquets
de
chaque
client
sont
logiquement
spars
linstar
des
VLAN
dans
les
rseaux
internes
des
entreprises.
Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.
Alexandre CHARGROS
3. Cration
Un
VRF
est
compos
de
deux
lments.
Le
premier,
le
Route
Distinguisher
(RD)
qui
permet
didentifier
un
VPN
dans
le
rseau
dun
Service
Provider.
Cet
identifiant
est
compos
de
deux
parties
:
- - Soit
un
Autonomous
System
number
sur
2
octets
suivi
par
un
numro
arbitraire
sur
4
octets.
Exemple
:
101:3.
Soit
une
adresse
ip
sur
4
octets
suivi
par
un
numro
arbitraire
(2
octets).
Exemple
:
192.168.122.15:1.
Le deuxime, le Route Target (RT) qui indique lappartenance dune route un VPN et autorise les routes du VPN tre importes/exportes dans/hors des VRF. Il fonctionne de la mme faon quune politique de routage en dterminant comment les routes sont distribues via un VPN spcifiques. Il est compos comme le RT, c'est--dire sur 8 octets : - Soit un Autonomous System number sur 2 octets suivi par un numro arbitraire sur 4 octets. Exemple : 101:3.
Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.
Alexandre CHARGROS
Soit une adresse ip sur 4 octets suivi par un numro arbitraire (2 octets). Exemple : 192.168.122.15:1.
Client
2:
Service_Provider(config)#interface
loopback
2
Service_Provider(config-if)#description
Interface
loopback
pour
Client_2
VRF
Service_Provider(config)#interface
g0/1
Service_Provider(config-if)#description
Connexion
au
routeur
du
Client_2
Service_Provider(config)#ip
vrf
Client_2
Service_Provider(config-vrf)#rd
192.168.2.1:200
Service_Provider(config-vrf)#route-target
import
192.168.2.255:200
Service_Provider(config-vrf)#route-target
export
192.168.2.255:200
Ci-dessous la reprsentation schmatique de la sparation des Clients laide des VRF sur le routeur PE.
Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.
Alexandre CHARGROS
Client
2:
Service_Provider(config)#interface
lo2
Service_Provider(config-if)#ip
vrf
forwarding
Client_2
Service_Provider(config-if)#ip
address
192.168.2.1
255.255.255.255
Service_Provider(config)#interface
g0/1
Service_Provider(config-if)#ip
vrf
forwarding
Client_2
Service_Provider(config-if)#ip
address
10.1.2.1
255.255.255.25
Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.
Alexandre CHARGROS Cette partie de configuration a pour but dassigner un VRF une interface du routeur du Service Provider pour lui indiquer telle interface route tel VRF qui correspond tel client.
Une
fois
un
VRF
configur
(il
est
possible
de
vrifier
la
configuration
laide
de
la
commande
:
show
ip
vrf)
sur
la
bonne
interface,
ltablissement
de
la
connectivit
et
du
routage
entre
le
routeur
du
client
et
le
celui
du
Service
Provider
peut
commencer.
6. Mise
en
situation
n
1
Prenons
lexemple
dune
autre
architecture,
un
peu
plus
complexe.
Un
rseau
comportant
quatre
sites,
deux
sites
font
parti
dun
VPN,
et
les
deux
autres
font
parti
dun
autre
VPN.
Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.
Alexandre CHARGROS
Nous voyons bien que le site 1 dispose dun RD spcifique tout comme les 3 autres sites. Nous voyons aussi dans la configuration du routeur PE 1 du Service Provider que ce dernier fait la diffrence entre la table de routage du Site 1 et du Site 2 car ce sont deux VRF diffrents.
Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.
Alexandre CHARGROS
Remarquons aussi le fait que PE 1 ne dispose pas dinfos sur le VRF 3 ou 4, en effet, ces derniers ne lui sont pas directement connects.
7. Mise
en
situation
N
2
Prenons
la
situation
dun
rseau
partag
qui
route
deux
VPN
diffrents
pour
3
sites
chaque
fois
qui
ncessite
dtre
Fully
Meshed
(Chaque
Client
est
connect
avec
tous
les
autres
avec
lesquels
ils
communiquent.
Il existe deux VPNs, le A qui englobe les clients 1, 3 et 5, le B qui englobe les clients 4, 2, 6.
Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.
Alexandre CHARGROS
Le
but
est
ici
de
spcifier
la
mme
route-target
en
import/export
sur
tous
les
VRFs
du
VPN
A
:
A,
C,
E
(idem
pour
le
VPN
B
:
B,
D,
F)
pour
que
chaque
client
puisse
communiquer
avec
les
clients
du
mme
VPN.
La
configuration
est
la
suivante
:
Configuration
du
routeur
PE
1:
Service
Provider_1
(config)#PE_1
Service
Provider_1(config)#ip
vrf
vrfA
Service
Provider_1(config-vrf)#route-target
both
777:1
Service
Provider_1(config-vrf)#exit
Service
Provider_1(config)#ip
vrf
vrfB
Service
Provider_1(config-vrf)#route-target
both
777:2
Configuration
du
routeur
PE
2:
Service_Provider_2
(config)#
PE_2
Service_Provider_2(config)#ip
vrf
vrfC
Service_Provider_2(config-vrf)#route-target
both
777:1
Service_Provider_2(config-vrf)#exit
Service_Provider_2(config)#ip
vrf
vrfD
Service_Provider_2(config-vrf)#route-target
both
777:2
Configuration
du
routeur
PE
3:
Service_Provider_3(config)#ip
vrf
vrfE
Service_Provider_3(config-vrf)#route-target
both
777:1
Service_Provider_3(config-vrf)#exit
Service_Provider_3(config)#ip
vrf
vrfF
Service_Provider_3(config-vrf)#route-target
both
777:2
Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.
Alexandre CHARGROS
8. Conclusion
Le
VRF
permet
donc
linstar
des
VLAN,
de
sparer
les
clients
lintrieur
de
rseau
partag
du
service
provider.
Ainsi
le
Service
Provider
dispose
dautant
de
table
de
routage
quil
connait
de
VRF.
Le
MPLS
VPN
vrifie
alors
lip
de
destination
dun
paquet
dans
le
VRF
correspondant
seulement
si
le
paquet
arrive
depuis
une
interface
configure
pour
le
VRF
spcifique.
Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.