Chapitre 2 : Technologie MPLS VPN
Enseignant: M. BOUZID Aymen
CCNA Certified
CCNP Certified
E-mail: bouzidaymen@gmail.com
• Introduction à MPLS/VPN
• Architecture MPLS/VPN
• VRF (VPN Routing and Forwarding)
• Multiprotocol BGP (MP-BGP)
 Notion...
 Interconnexion de plusieurs sites d’une entreprise:
 Solution 1:
• Consiste à relier les sites au moyen de liaisons spé...
- P (Provider) : ces routeurs du coeur du backbone MPLS, n'ont aucune connaissance
de la notion de VPN. Ils acheminent les...
• VPN implique l’isolation du trafic entre sites clients n’appartenant pas
aux mêmes VPN
• les routeurs PE ont la capacité...
 Le routeur PE installe le réseau appris par le routeur CE dans la table de routage
VRF approprié
 Le routeur PE install...
7
MP-BGP (Multi-Protocol Border
Gateway Protocol)
 Comment construire les tables VRF?
les PE doivent s'échanger les route...
8
Propagation d’étiquette VPN
Le propagation d'étiquette VPN doit suivre les étapes suivants:
• Etape1 : le routeur PE de ...
9
Update MP-BGP
 Étape 1 : le routeur CE envoie une mise à jour du cheminement IPv4 au routeur PE.
 Étape 2 : le routeur...
10
 Le routeur PE2 impose deux labels pour chaque paquet allant vers la
destion 10.1.1.0/24
 Le label du sommet est LDP est...
12
MP-BGP (Multi-Protocol Border
Gateway Protocol)
 Update MP-BGP
VPN v4
 Pour convertir l’adresse IPv4 à une addresse V...
13
MP-BGP (Multi-Protocol Border
Gateway Protocol)
 Configuration d’une VRF
Les VRF sont configurées sur les routeurs PE ...
14
MP-BGP (Multi-Protocol Border
Gateway Protocol)
 Notion de RD (Route Distinguisher)
– les routes échangées entre PE do...
15
MP-BGP (Multi-Protocol Border
Gateway Protocol)
 Notion de RT (Route Target)
• Le RD permet de garantir l’unicité des ...
16
MP-BGP (Multi-Protocol Border
Gateway Protocol)
 Architecture Hub and Spoke
17
MP-BGP (Multi-Protocol Border
Gateway Protocol)
 Même VPN dans les sites
Principe des VRF:
• Concevoir aisément des routeurs virtuels, qui consultent leurs différentes
tables de routage en foncti...
Route par défaut statique (Static Default Route)
• Utiliser une extension de la commande « ip route » dans PE
ip route vrf...
Route par défaut statique (Static Default Route)
Etapes de routage:
• le PE recevra un paquet sur la VRF, il effectuera un...
Route par défaut statique (Static Default Route)
Etapes de routage:
• le PE recevra un paquet sur la VRF, il effectuera un...
Route par défaut dynamique (Dynamic Default Route)
• Une solution plus propre techniquement Sur le routeur PE-Internet, un...
Route par défaut dynamique (Dynamic Default Route)
• Il est ainsi possible de ne propager la route par défaut qu’à certain...
Route par défaut dynamique (Dynamic Default Route)
• Si l’on souhaite propager automatiquement la route par défaut à tous ...
Prochain SlideShare
Chargement dans…5
×

MPLS VPN

2 119 vues

Publié le

C'est le deuxième chapitre du module MPLS . au niveau du quel on va présenté la technologie MPLS-VPN qui permet une sécurité et la séparation du traffic

Publié dans : Technologie
2 commentaires
10 j’aime
Statistiques
Remarques
  • Tres interessant.... j'aimerai bien avoir un lien de telechargement SVP a l'adresse houndeton.didier@hotmail.fr
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • Tres interessant.... j'aimerai bien avoir un lien de telechargement SVP
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
Aucun téléchargement
Vues
Nombre de vues
2 119
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
0
Commentaires
2
J’aime
10
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

MPLS VPN

  1. 1. Chapitre 2 : Technologie MPLS VPN Enseignant: M. BOUZID Aymen CCNA Certified CCNP Certified E-mail: bouzidaymen@gmail.com
  2. 2. • Introduction à MPLS/VPN • Architecture MPLS/VPN • VRF (VPN Routing and Forwarding) • Multiprotocol BGP (MP-BGP)  Notion de RD (Route Distinguisher) Notion de RT (Route Target) • Transmission des paquets IP • Propagation d’étiquette VPN 2
  3. 3.  Interconnexion de plusieurs sites d’une entreprise:  Solution 1: • Consiste à relier les sites au moyen de liaisons spécialisées, dédiées à l’entreprise (LS)  Critique Solution 1 – coût prohibitif de ces liaisons – la non faisabilité technique, par exemple avec des sites séparés de plusieurs centaines de km Motivation Solution 2 • Les fournisseurs d’accès disposent de backbones étendus, et couvrant la plupart du temps une large portion de territoire. • Simple pour une entreprise de relier ses sites aux points de présence (POP) de l’opérateur et mettre en place une solution VPN (Virtual Private Networks). 3
  4. 4. - P (Provider) : ces routeurs du coeur du backbone MPLS, n'ont aucune connaissance de la notion de VPN. Ils acheminent les données grâce à la commutation de labels LDP . - PE (Provider Edge) : ces routeurs sont situés à la frontière du backbone MPLS et ont par définition une ou plusieurs interfaces reliées à des routeurs clients. - CE (Customer Edge) : ces routeurs appartiennent au client et n’ont aucune connaissance des VPN ou même de la notion de label. 4
  5. 5. • VPN implique l’isolation du trafic entre sites clients n’appartenant pas aux mêmes VPN • les routeurs PE ont la capacité de gérer plusieurs tables de routage grâce à la notion de VRF (VPN Routing and Forwarding) afin de faire cette séparation.  Une VRF est constituée de: • Une table de routage spécifique (exemple table vrf Green, table vrf Blue) • Une FIB (Forwarding Information Base) spécifique  Les tables sont indépendantes des tables des autres VRFs  Chaque VRF est désignée par un nom (par ex. RED, GREEN, etc.) sur les routeurs PE. VRF (VPN Routing and Forwarding) 5
  6. 6.  Le routeur PE installe le réseau appris par le routeur CE dans la table de routage VRF approprié  Le routeur PE installe les routes du Backbone dans la table de routage global  Lors de la réception de paquets IP sur une interfaces client, le routeur PE procède à un examen de la table de routage de la VRF à laquelle est rattachée l’interface  Le routeur PE ne consulte pas sa table de routage globale 6 VRF (VPN Routing and Forwarding)
  7. 7. 7 MP-BGP (Multi-Protocol Border Gateway Protocol)  Comment construire les tables VRF? les PE doivent s'échanger les routes correspondant aux différents VPN  Echange des routes VPN entre les routeurs PE.  L'échange des routes VPN s'effectue grâce au protocole MP-BGP
  8. 8. 8 Propagation d’étiquette VPN Le propagation d'étiquette VPN doit suivre les étapes suivants: • Etape1 : le routeur PE de sortie PE1 assigne une étiquette à chaque route VPN reçu des routeurs CE attachés, il la récapitule à l'intérieur du routeur PE. Cette étiquette est alors employée comme la deuxième étiquette dans la pile d'étiquette de MPLS par les routeurs PE d'entrée en marquant des paquets VPN. • Etape 2 : Les étiquettes de VPN assignées par les routeurs PE de sortie sont annoncées à tous autres routeurs PE ainsi que le préfixe VPNv4 dans les mises à jour MP-BGP. • Etape 3 : le routeur PE d'entrée PE2 a deux étiquettes liées à une route VPN distante.  une étiquette pour le prochain saut BGP assigné par le prochain saut du routeur P (protocole LDP)  l'étiquette assignée par le routeur distant PE (protocole MP-BGP) Les deux étiquettes sont combinées dans une pile d'étiquette et installées dans la table FIB spécifique au vrf.
  9. 9. 9 Update MP-BGP  Étape 1 : le routeur CE envoie une mise à jour du cheminement IPv4 au routeur PE.  Étape 2 : le routeur PE1 translate l’adresse IPv4 à une adresse VPNv4  Étape 3 : le préfixe VPNv4 est propagé par l'intermédiaire d'une session interne MPIBGP (Multi-Protocol Internal Border Gateway Protocol) à d'autres routeurs PE.  Étape 4 : le routeur de réception PE 2 reçoit et vérifie si la RT=green (40:101) est configurer dans une des VRF comme étant une RT import.  Étape 5 : PE2 translate le prefixe VPNv4 à un préfixe IPv4, installe le préfixe dans la table de routage VRF, mise à jour de la table FIB du VRF avec le label 100 pour le réseau 10.1.1.0/24
  10. 10. 10
  11. 11.  Le routeur PE2 impose deux labels pour chaque paquet allant vers la destion 10.1.1.0/24  Le label du sommet est LDP est appris et délivré à partir des routes IGP du backbone, sert à atteindre le PE de destination.  Le second Label est appris via MP-BGP et détermine l'interface de sortie sur le PE, à laquelle est relié le CE 11
  12. 12. 12 MP-BGP (Multi-Protocol Border Gateway Protocol)  Update MP-BGP VPN v4  Pour convertir l’adresse IPv4 à une addresse VPNv4, RD est rajouté à l’adresse IPv4, pour créer une route global unique Route target Label VPN  Le Label (pour le VPN v4 Prefixe) est assigné seulement par les routeur PE dont leurs adresses est un attribut « saut suivant »  Les routeurs dans le Backbone IGP ne connaissent que les adresses des PEs , ils ne connaissent pas les adresses réseaux des sites clients.
  13. 13. 13 MP-BGP (Multi-Protocol Border Gateway Protocol)  Configuration d’une VRF Les VRF sont configurées sur les routeurs PE avec les paramètres suivants : Nom de VRF (case-sensitive) RD (Route Distinguisher) RT exportés RT importés
  14. 14. 14 MP-BGP (Multi-Protocol Border Gateway Protocol)  Notion de RD (Route Distinguisher) – les routes échangées entre PE doivent être rendues uniques au niveau des updates BGP. – un identifiant appelé RD (Route Distinguisher), codé sur 64 bits, est accolé à chaque subnet IPv4 d’une VRF donnée – Une route VPNv4, formé d’un RD et d’un préfixe IPv4, s’écrit ainsi sous la forme RD:Subnet/Masque. Exemple : 100:1:100.10.5.5/32. Lors de la création d’une VRF sur un PE, un RD doit être configuré. Les routes apprises par les CE rattachés au PE seront ainsi exportées dans les updates MP-BGP avec ce RD.
  15. 15. 15 MP-BGP (Multi-Protocol Border Gateway Protocol)  Notion de RT (Route Target) • Le RD permet de garantir l’unicité des routes VPNv4 échangées entre PE. • RD ne définit pas la manière dont les routes vont être insérées dans les VRF des routeurs PE. • L’import et l’export de routes sont gérés grâce à une communauté étendue BGP (extended community) appelée RT (Route Target). • Les RT ne sont rien de plus que des sortes de filtres appliqués sur les routes VPNv4. • Chaque VRF définie sur un PE est configurée pour exporter ses routes suivant un certain nombre de RT. • Une route VPN exportée avec un RT donné sera ajoutée dans les VRF des autres PE important ce RT.
  16. 16. 16 MP-BGP (Multi-Protocol Border Gateway Protocol)  Architecture Hub and Spoke
  17. 17. 17 MP-BGP (Multi-Protocol Border Gateway Protocol)  Même VPN dans les sites
  18. 18. Principe des VRF: • Concevoir aisément des routeurs virtuels, qui consultent leurs différentes tables de routage en fonction de l’interface d’entrée des paquets  Les tables sont remplies avec les routes du VPN associé  Le backbone MPLS assure la transmission des paquets entre les routeurs PE Problèmes  l’accès à Internet, situé par définition à l’extérieur des différents VPN  les fournisseurs d’accès Internet disposant de plusieurs points de sortie Méthodes d’accès à Internet:  Route par défaut statique (Static Default Route).  Route par défaut dynamique (Dynamic Default Route)  Routage optimal (Optimum Routing) 18
  19. 19. Route par défaut statique (Static Default Route) • Utiliser une extension de la commande « ip route » dans PE ip route vrf nom-VRF 0.0.0.0 0.0.0.0 @PE-Internet global • Pour que le retour des paquets puisse être effectif vers le CE concerné, les routes VPN du CE doivent être déclarées globalement sur son PE de rattachement ip route @reseau-connecte-CE masque @CE 19
  20. 20. Route par défaut statique (Static Default Route) Etapes de routage: • le PE recevra un paquet sur la VRF, il effectuera un lookup dans la table de routage de cette VRF • Si aucune entrée n’est trouvée pour la destination IP, la route par défaut injectée au moyen de la commande « ip route » sera utilisée • la table de routage globale du routeur est examinée pour atteindre PEInternet, et que les paquets traversent le backbone MPLS sans label VPN (seul le label de PE-Internet est accolé par le PE). Inconvénient route par défaut statique • Ce type de routage n’est pas optimal, car si plusieurs PE disposent d’un accès Internet, seul le PE déclaré dans la route par défaut sera employé • Cette méthode « casse » la notion de VRF avec la déclaration des routes VPN de manière globale sur les PE 20
  21. 21. Route par défaut statique (Static Default Route) Etapes de routage: • le PE recevra un paquet sur la VRF, il effectuera un lookup dans la table de routage de cette VRF • Si aucune entrée n’est trouvée pour la destination IP, la route par défaut injectée au moyen de la commande « ip route » sera utilisée • la table de routage globale du routeur est examinée pour atteindre PEInternet, et que les paquets traversent le backbone MPLS sans label VPN (seul le label de PE-Internet est accolé par le PE). Inconvénient route par défaut statique • Ce type de routage n’est pas optimal, car si plusieurs PE disposent d’un accès Internet, seul le PE déclaré dans la route par défaut sera employé • Cette méthode « casse » la notion de VRF avec la déclaration des routes VPN de manière globale sur les PE 21
  22. 22. Route par défaut dynamique (Dynamic Default Route) • Une solution plus propre techniquement Sur le routeur PE-Internet, une VRF particulière est configurée pour annoncer la route par défaut (apprise par un autre routeur, généralement avec eBGP). • Si l’on souhaite propager manuellement cette route à un certains sites de différents VPN, il suffit d’employer la politique d’attribution des RT 22
  23. 23. Route par défaut dynamique (Dynamic Default Route) • Il est ainsi possible de ne propager la route par défaut qu’à certains sites d’un même VPN (les VRF de ces sites devant traiter les RT du VPN « Internet »), en configurant les PE adéquats et en ne changeant rien sur les autres 23
  24. 24. Route par défaut dynamique (Dynamic Default Route) • Si l’on souhaite propager automatiquement la route par défaut à tous les sites d’un même VPN sans avoir à modifier la configuration des différents PE, il suffit d’importer et d’exporter le RT de ce VPN dans la VRF « Internet » 24

×