Vous êtes sur la page 1sur 34

MPLS VPN

1
Terminologies
Le VPN peut être défini comme étant un réseau
d’utilisateurs présents sur plusieurs sites interconnectés
sur une infrastructure partagée, avec les mêmes
stratégies d’accès et de sécurité d’un réseau privé.
• Ce concept n ’est pas nouveau, mais évolue rapidement
suivant l’apparition de nouvelles technologies qui le
rendent plus performant, plus fiable et moins cher
• Au rang des vieux souvenirs on peut citer comme
technologies de VPN :
• Les lignes Louées privées
• Le chiffrement IPSEC
• Les PVC ATM ou FR

• ...
• Toutes ces technologies ont contribué au déploiement
de VPN

2
Terminologie

3
Types VPN
Les services VPN peuvent être offerts en se
basant sur deux modèles majeurs:
• VPN Overlay : dans lequel l’opérateur de
service fournit un lien Virtual point à
point entre les sites du client (X25, Frame
Relay, ATM,…).
• VPN peer-to-peer : dans lequel
l’opérateur de service participe dans le
routage du client (échange des
informations de routage de la couche3)

4
VPN Overlay : exemple
Frame Relay

5
VPN Overlay : routage
niveau 3
– L’infrastructure du fournisseur de service est vu comme
des liens point à point pour les routes du client .
– Les protocoles de routage s’exécutent directement entre
les routeurs du client.
– Le fournisseur de service ne voit pas les routes client, il
doit seulement fournir ou garantir un transport point à
point pour les données client.

6
VPN peer-to-peer

7
Les avantages des
implémentations VPNs
– VPN Overlay :
• Bien connu et facile à mettre en place
• Le fournisseur de service ne participe pas dans le routage
du client.
• Le réseau du client et celui de l’opérateur sont bien isolés

– VPN Peer-to-peer :
• Garanti un routage optimal entre les sites client
• Scalable (solution évolutive)

8
Les inconvénients des

implémentations VPNs
VPN Overlay :
• Un routage optimal nécessite un maillage total des
circuits virtuels (full mesh).
• La bande passante doit être provisionnée pour
chaque lien « site to site » .
• VPN Overlay nécessite une surcharge de plus pour
l’encapsulation overhead (IPsec ou GRE).
– VPN Peer-to-peer :
• Le fournisseur de service participe dans le routage du
client.
– Le fournisseur de service devient responsable de la
convergence du routage du client.
• Les routeurs LSR edge contient toutes les routes des
clients.
• Le fournisseur de service à besoin des détails et des
connaissances du routage IP client.

9
Les inconvénients du VPN
peer-to-peer
– Routeur LSR edge partagé:
• Tous les clients partagent le même espace d’adressage
(provider-assigned or public).
• Le filtrage des paquets nécessite un cout élevé.
• Dégradation des performances à cause du filtrage des
paquets.

– Routeur LSR edge dédié:


• Tous les clients partagent le même espace d’adressage
• Chaque client nécessite un routeur dédié à chaque POP.

10
Architecture du MPLS VPN
MPLS VPN combine les meilleurs des caractéristiques
du VPN overlay et VPN peer-to-peer :
– Les routeurs LSR edge participent dans le routage du
client, garantissant un routage optimal entre les sites et
une souple évolutivité.
– Les routeurs LSR edge supportent ou permettent une
séparation des tables de routage des clients.
– (similaire à l’approche d’un routeur LSR edge dédié).
– Les clients peuvent utiliser le recouvrement d’adresses
(overlapping addresses).

11
Architecture du MPLS VPN :
terminologie

12
Architecture du routeur PE

13
Architecture du routeur PE(LSR
Edge)
Plusieurs structures sont associées avec chaque routeur virtuel
et non seulement une table de routage IP:
• la table FIB “forwarding table“ qu’est générée à partir de la
table de routage ( basée sur la technologie CEF dans le cas
de cisco par exemple).
• un ensemble d’interfaces qui utilisent la table FIB générée
(forwarding table).
• des règles ou des rôles qui contrôlent l’import et l’export des
routes à partir et vers les tables de routage VPN. Ces rôles
sont introduites pour supporter le chevauchement d’adresses
(overlapping VPNs).
• un ensemble de protocoles de routage/peer, qui injectent des
informations dans la table de routage VPN. Ceci inclus le
routage statique.
La combinaison de la table de routage VPN IP et la table FIB
associée “VPN IP forwarding table“ est nomé VPN routing and
forwarding instance (VRF).
14
La propagation de l’information du
routage à travers le réseau de

l’opérateur
Le nombre des routes (tables de routage)
client peut être très grand; BGP est utilisé
comme protocole de routage pour
répondre à ça.
– BGP est utilisé pour l’échange des routes
client entre les routeurs LSR edge.

15
Le RD : Route Distinguishers
– Question: comment l’information des routes identiques
(overlapping subnetworks ) de deux ou plusieurs clients
est propagée via un seul protocole de routage?
– Réponse : Etendre les adresses des clients pour les
rendre globalement unique.
– 64-bit RD sont ajoutés à une adresse IPv4 pour la rendre
globalement unique.
– Le résultat est une adresse VPNv4.
– Les adresses VPNv4 sont échangées entre les routeurs
LSR edge via BGP.
– Le BGP qui supporte les familles d’adresses autres que
IPv4 est appelé multiprotocol BGP (MPBGP).

16
Le Route Distinguishers (suite)

17
Le Route Distinguishers
(suite)

18
L’utilisation du RD dans MPLS VPN

– Le RD est utilisée seulement pour rendre


les adresses IPv4 client (VPN)
globalement unique. Pour créer une
route VPNv4

– Ce concept ne peut pas supporter toutes


les topologies demandée par le client.

19
Exemple service VoIP
• Les exigences :
– Tous les sites d’un même client doivent communiquer entre
eux.
– Le site Central de chaque client doit communiquer avec les
passerelle VoIP (gateways ).
– les autres sites de chaque client différent ne doivent pas
communiquer avec les sites d’un autre client.

20
Exemple : service VoIP

21
Le route target (RT)
– Quelques sites ont besoin de participer à plus d’un
seul VPN.
– le RD ne peut pas identifier l’appartenance à plus
d’un seul VPN. Ne définit pas la manière dont les
routes vont être insérées dans les VPN (VRFs)
– le RT est introduite dans l’architecture MPLS VPN
pour supporter les topologies VPN complexes.
– RT ont des attributs additionnels attachés aux
routes VPNv4 BGP pour indiquer l’appartenance
VPN (VPN membership).

22
Comment fonctionne le RT

– RTs Export:
• Identifier l’appartenance VPN (VPN membership)
• Ajoutée à la route du client lorsqu’elle est
convertie à une route VPNv4.

– RTs Import :
• Associée avec chaque table de routage virtuelle
ou à chaque instance (VRF).
• Les routes sélectionnées sont insérées dans la
table de routage virtuelle.

23
VRF
• one-VPN-one-VRF model
• one-site-one-VRF model (modèle
théorique extrême)
• Tous les sites qui partagent les mêmes
informations de routage, qui ont la
permission de communiquer
directement chacun avec l’autre. Et qui
sont connectés vers le même routeur
PE peuvent être placés dans le même
VRF.
24
Utilisation de BGP

*Un route target identifie un ensemble de sites concernés par


cette route
*Cette route doit être distribuée à chaque LSR edge qui a une
table de forwarding VRF associée à ce VPN
*Le LSR Edge récepteur déduit du route target les tables de
forwarding concernées
*Une route menant à un site peut avoir un route target , et
une route vers un autre site peut avoir un autre route target
(exemple dans le cas d’un VPN Extranet)
25
*Route target est configuré dans le LSR edge
Les exigences de routage MPLS
VPN
– Les routeurs CE ont besoin d’un logiciel
ou protocol de routage standard.

– Les routeurs LSR edge doivent supporter


les services MPLS VPN et le routage
Internet.

– Les routeurs LSR ne traitent pas les


routes VPN.

26
Le routage MPLS VPN : routeurs CE
– Les routeurs CE exécutent le routage IP
standard et échangent les mises à jour
du routage avec le routeur LSR edge.
– Le Routeur LSR edge apparait comme
un autre routeur dans le réseau du
client.

27
Les protocoles de routage LSR
edge-CE
– Les protocoles de routage LSR edge-CE
sont configurés pour des VRFs
individuelles.

– Différents protocoles sont supportés


:BGP, OSPF, statique, RIP, et EIGRP.

– La configuration dans le routeur CE n’a


pas d’information relative au VRF.

28
Le routage MPLS VPN : routeurs
LSR
Les routeurs LSR fonctionne comme
suit:
– Ne participent pas dans le routage MPLS
VPN et ne transportent pas les routes
VPN.
– dédiés à la commutation

29
Le routage MPLS VPN : routeurs
LSR edge
Les routeurs LSR edge échangent :
– Les routes VPN avec les routeurs CE via
les protocoles de routage per-VPN
– Core routes avec les routeurs LSR et les
routeurs LSR edge core IGP
– Les routes VPNv4 avec les autres LSR
edge

30
Le flux d’information de
routage de bout en bout

31
MPLS VPN et l’acheminement des
paquets
Les LSR edge doivent labéliser ou
étiqueter les paquets VPN avec un label
stack (pile de labels) comme suit:
– Utiliser le label LDP pour le routeur LSR
egress comme top label
– Utiliser le label VPN affecté par le LSR
egress comme le second label dans la pile.

32
VPN PHP
– PHP peut être appliqué au niveau du
dernier routeur LSR

33
ETUDE DE CAS
(MPLS VPN)

34