Alexandre

CHARGROS

VPN Routing Forwarding

1. Dfinition
Le VRF (VPN Routing and Forwarding) permet de sparer les utilisateurs sur un rseau partag comme l'IP VPN en utilisant diffrentes instances de VRF sur les routeurs de bordure du Service Provider appels des PE (Provider Edge). Cette dernire technologie permet de sparer les clients en se basant sur les couches 2(Liaison de donne : Adresse MAC) et 3 (Rseau : Adresse IP) du modle OSI. Les Services Providers peuvent ainsi sparer les clients sur leur rseau Backbone en utilisant les VRF coupls dautres technologies comme le MPLS : les clients situs dans un VPN spcifique ne peuvent pas voir le trafic en dehors de leur VPN. Il est important de prciser que les VRF contiennent des routes pour les sites VPN directement connects.

2. Exemple
Actuellement sans VRF, les paquets du Client A et du Client B sont mlangs. Pour empcher cela, le service provider met chaque client dans un VRF spar, ainsi les paquets de chaque client sont logiquement spars linstar des VLAN dans les rseaux internes des entreprises.

Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.

Alexandre CHARGROS

3. Cration
Un VRF est compos de deux lments. Le premier, le Route Distinguisher (RD) qui permet didentifier un VPN dans le rseau dun Service Provider. Cet identifiant est compos de deux parties : - - Soit un Autonomous System number sur 2 octets suivi par un numro arbitraire sur 4 octets. Exemple : 101:3. Soit une adresse ip sur 4 octets suivi par un numro arbitraire (2 octets). Exemple : 192.168.122.15:1.

Le deuxime, le Route Target (RT) qui indique lappartenance dune route un VPN et autorise les routes du VPN tre importes/exportes dans/hors des VRF. Il fonctionne de la mme faon quune politique de routage en dterminant comment les routes sont distribues via un VPN spcifiques. Il est compos comme le RT, c'est--dire sur 8 octets : - Soit un Autonomous System number sur 2 octets suivi par un numro arbitraire sur 4 octets. Exemple : 101:3.

Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.

Alexandre CHARGROS

Soit une adresse ip sur 4 octets suivi par un numro arbitraire (2 octets). Exemple : 192.168.122.15:1.

4. Configuration dun VRF

Il sagit dtablir la configuration de larchitecture prcdente, c'est--dire : configurer deux VRF (un pour chaque client) sur le routeur de Service Provider. Le Client 1 aura le RD (Route Distinguisher) suivant : 192.168.1.1:100 et le Client 2 aura le RD (Route Distinguisher) suivant : 192.168.1.1:200. Client 1:
Service_Provider(config)#interface loopback 1 Service_Provider(config-if)#description Interface loopback pour Client_1 VRF Service_Provider(config)#interface g0/0 Service_Provider(config-if)#description Connexion au routeur du Client_1 Service_Provider(config)#ip vrf Client_1 Service_Provider(config-vrf)#rd 192.168.1.1:100 Service_Provider(config-vrf)#route-target import 192.168.1.255:100 Service_Provider(config-vrf)#route-target export 192.168.1.255:100

Client 2:
Service_Provider(config)#interface loopback 2 Service_Provider(config-if)#description Interface loopback pour Client_2 VRF Service_Provider(config)#interface g0/1 Service_Provider(config-if)#description Connexion au routeur du Client_2 Service_Provider(config)#ip vrf Client_2 Service_Provider(config-vrf)#rd 192.168.2.1:200 Service_Provider(config-vrf)#route-target import 192.168.2.255:200 Service_Provider(config-vrf)#route-target export 192.168.2.255:200

Ci-dessous la reprsentation schmatique de la sparation des Clients laide des VRF sur le routeur PE.

Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.

Alexandre CHARGROS

5. Assignation des VRF aux interfaces

Aprs avoir cr les deux VRF, il faut les assigner aux diverses interfaces et commencer sparer les deux clients. Attention : il ne faut pas assigner dadresse ip aux interfaces avant dassigner le VRF sinon lip sera supprime et il faudra de nouveau la rassigner. Client 1:
Service_Provider(config)#interface lo1 Service_Provider(config-if)#ip vrf forwarding Client_1 Service_Provider(config-if)#ip address 192.168.1.1 255.255.255.255 Service_Provider(config)#interface g0/0 Service_Provider(config-if)#ip vrf forwarding Client_1 Service_Provider(config-if)#ip address 10.1.1.1 255.255.255.252

Client 2:
Service_Provider(config)#interface lo2 Service_Provider(config-if)#ip vrf forwarding Client_2 Service_Provider(config-if)#ip address 192.168.2.1 255.255.255.255 Service_Provider(config)#interface g0/1 Service_Provider(config-if)#ip vrf forwarding Client_2 Service_Provider(config-if)#ip address 10.1.2.1 255.255.255.25

Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.

Alexandre CHARGROS Cette partie de configuration a pour but dassigner un VRF une interface du routeur du Service Provider pour lui indiquer telle interface route tel VRF qui correspond tel client.

Ainsi aprs configuration, larchitecture ressemble ceci :

Une fois un VRF configur (il est possible de vrifier la configuration laide de la commande : show ip vrf) sur la bonne interface, ltablissement de la connectivit et du routage entre le routeur du client et le celui du Service Provider peut commencer.

6. Mise en situation n 1
Prenons lexemple dune autre architecture, un peu plus complexe. Un rseau comportant quatre sites, deux sites font parti dun VPN, et les deux autres font parti dun autre VPN.

Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.

Alexandre CHARGROS

Voici larchitecture et la configuration adquate :

Nous voyons bien que le site 1 dispose dun RD spcifique tout comme les 3 autres sites. Nous voyons aussi dans la configuration du routeur PE 1 du Service Provider que ce dernier fait la diffrence entre la table de routage du Site 1 et du Site 2 car ce sont deux VRF diffrents.

Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.

Alexandre CHARGROS

Remarquons aussi le fait que PE 1 ne dispose pas dinfos sur le VRF 3 ou 4, en effet, ces derniers ne lui sont pas directement connects.

7. Mise en situation N 2
Prenons la situation dun rseau partag qui route deux VPN diffrents pour 3 sites chaque fois qui ncessite dtre Fully Meshed (Chaque Client est connect avec tous les autres avec lesquels ils communiquent.

Il existe deux VPNs, le A qui englobe les clients 1, 3 et 5, le B qui englobe les clients 4, 2, 6.

Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.

Alexandre CHARGROS

Le but est ici de spcifier la mme route-target en import/export sur tous les VRFs du VPN A : A, C, E (idem pour le VPN B : B, D, F) pour que chaque client puisse communiquer avec les clients du mme VPN. La configuration est la suivante : Configuration du routeur PE 1:
Service Provider_1 (config)#PE_1 Service Provider_1(config)#ip vrf vrfA Service Provider_1(config-vrf)#route-target both 777:1 Service Provider_1(config-vrf)#exit Service Provider_1(config)#ip vrf vrfB Service Provider_1(config-vrf)#route-target both 777:2

Configuration du routeur PE 2:
Service_Provider_2 (config)# PE_2 Service_Provider_2(config)#ip vrf vrfC Service_Provider_2(config-vrf)#route-target both 777:1 Service_Provider_2(config-vrf)#exit Service_Provider_2(config)#ip vrf vrfD Service_Provider_2(config-vrf)#route-target both 777:2

Configuration du routeur PE 3:
Service_Provider_3(config)#ip vrf vrfE Service_Provider_3(config-vrf)#route-target both 777:1 Service_Provider_3(config-vrf)#exit Service_Provider_3(config)#ip vrf vrfF Service_Provider_3(config-vrf)#route-target both 777:2

Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.

Alexandre CHARGROS

8. Conclusion
Le VRF permet donc linstar des VLAN, de sparer les clients lintrieur de rseau partag du service provider. Ainsi le Service Provider dispose dautant de table de routage quil connait de VRF. Le MPLS VPN vrifie alors lip de destination dun paquet dans le VRF correspondant seulement si le paquet arrive depuis une interface configure pour le VRF spcifique.

Ce document est une oeuvre intellectuelle protge par les droits dauteurs. Copyright 2009 Alexandre CHARGROS. Aucune reproduction de ce document ,mme partielle,ne peut tre faite sans lautorisation expresse de lauteur. Sinon vous encourez selon la loi jusqu 3 ans de prison et jusqu 300 000 Euros de dommages et intrts.