4. 21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 4/31
Interconnexion de plusieurs sites d’une entreprise: Solution 1: • Consiste à relier l...
P (Provider) : ces routeurs du coeur du backbone MPLS, n'ont aucune connaissance de la notion de
Soyez le premier à commenter
Be the first to like this
Aucun téléchargement
Vues
Total des vues
108
Sur Slideshare
0
À partir des ajouts
0
Nombre d'ajouts
0
Actions
Partages
6
Téléchargements
0
Commentaires
0
J'aime
0
Ajouts 0
No embeds
Signaler un contenu
Signaler comme inapproprié
Plainte relative aux droits d'auteur
No notes for slide
Transcript of "MPLS VPN"
1. 1. Chapitre 2 : Technologie MPLS VPN Enseignant: M. BOUZID Aymen CCNA Certified
CCNP Certified Email: bouzidaymen@gmail.com
2. 2. • Introduction à MPLS/VPN • Architecture MPLS/VPN • VRF (VPN Routing and
Forwarding) • Multiprotocol BGP (MPBGP) Notion de RD (Route Distinguisher) Notion
de RT (Route Target) • Transmission des paquets IP • Propagation d’étiquette VPN 2
3. 3. Interconnexion de plusieurs sites d’une entreprise: Solution 1: • Consiste à relier les
sites au moyen de liaisons spécialisées, dédiées à l’entreprise (LS) Critique Solution 1 – coût
prohibitif de ces liaisons – la non faisabilité technique, par exemple avec des sites séparés de
plusieurs centaines de km Motivation Solution 2 • Les fournisseurs d’accès disposent de
backbones étendus, et couvrant la plupart du temps une large portion de territoire. • Simple pour
une entreprise de relier ses sites aux points de présence (POP) de l’opérateur et mettre en place
une solution VPN (Virtual Private Networks). 3
4. 4. P (Provider) : ces routeurs du coeur du backbone MPLS, n'ont aucune connaissance de la
notion de VPN. Ils acheminent les données grâce à la commutation de labels LDP . PE
(Provider Edge) : ces routeurs sont situés à la frontière du backbone MPLS et ont par définition
une ou plusieurs interfaces reliées à des routeurs clients. CE (Customer Edge) : ces routeurs
appartiennent au client et n’ont aucune connaissance des VPN ou même de la notion de label. 4
5. 5. • VPN implique l’isolation du trafic entre sites clients n’appartenant pas aux mêmes VPN •
les routeurs PE ont la capacité de gérer plusieurs tables de routage grâce à la notion de VRF
(VPN Routing and Forwarding) afin de faire cette séparation. Une VRF est constituée de: •
Une table de routage spécifique (exemple table vrf Green, table vrf Blue) • Une FIB
5. 21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 5/31
VPN. Ils acheminent les...
(Forwarding Information Base) spécifique Les tables sont indépendantes des tables des autres
VRFs Chaque VRF est désignée par un nom (par ex. RED, GREEN, etc.) sur les routeurs PE.
VRF (VPN Routing and Forwarding) 5
6. 6. Le routeur PE installe le réseau appris par le routeur CE dans la table de routage VRF
approprié Le routeur PE installe les routes du Backbone dans la table de routage global
Lors de la réception de paquets IP sur une interfaces client, le routeur PE procède à un examen
de la table de routage de la VRF à laquelle est rattachée l’interface Le routeur PE ne consulte
pas sa table de routage globale 6 VRF (VPN Routing and Forwarding)
7. 7. 7 MPBGP (MultiProtocol Border Gateway Protocol) Comment construire les tables
VRF? les PE doivent s'échanger les routes correspondant aux différents VPN Echange des
routes VPN entre les routeurs PE. L'échange des routes VPN s'effectue grâce au protocole
MPBGP
8. 8. 8 Propagation d’étiquette VPN Le propagation d'étiquette VPN doit suivre les étapes
suivants: • Etape1 : le routeur PE de sortie PE1 assigne une étiquette à chaque route VPN reçu
des routeurs CE attachés, il la récapitule à l'intérieur du routeur PE. Cette étiquette est alors
employée comme la deuxième étiquette dans la pile d'étiquette de MPLS par les routeurs PE
d'entrée en marquant des paquets VPN. • Etape 2 : Les étiquettes de VPN assignées par les
routeurs PE de sortie sont annoncées à tous autres routeurs PE ainsi que le préfixe VPNv4 dans
les mises à jour MPBGP. • Etape 3 : le routeur PE d'entrée PE2 a deux étiquettes liées à une
route VPN distante. une étiquette pour le prochain saut BGP assigné par le prochain saut du
routeur P (protocole LDP) l'étiquette assignée par le routeur distant PE (protocole MPBGP)
Les deux étiquettes sont combinées dans une pile d'étiquette et installées dans la table FIB
spécifique au vrf.
9. 9. 9 Update MPBGP Étape 1 : le routeur CE envoie une mise à jour du cheminement IPv4
au routeur PE. Étape 2 : le routeur PE1 translate l’adresse IPv4 à une adresse VPNv4
Étape 3 : le préfixe VPNv4 est propagé par l'intermédiaire d'une session interne MPIBGP
(MultiProtocol Internal Border Gateway Protocol) à d'autres routeurs PE. Étape 4 : le
routeur de réception PE 2 reçoit et vérifie si la RT=green (40:101) est configurer dans une des
VRF comme étant une RT import. Étape 5 : PE2 translate le prefixe VPNv4 à un préfixe
IPv4, installe le préfixe dans la table de routage VRF, mise à jour de la table FIB du VRF avec
le label 100 pour le réseau 10.1.1.0/24
10. 10. 10
11. 11. Le routeur PE2 impose deux labels pour chaque paquet allant vers la destion 10.1.1.0/24
Le label du sommet est LDP est appris et délivré à partir des routes IGP du backbone, sert à
atteindre le PE de destination. Le second Label est appris via MPBGP et détermine
l'interface de sortie sur le PE, à laquelle est relié le CE 11
12. 12. 12 MPBGP (MultiProtocol Border Gateway Protocol) Update MPBGP VPN v4
Pour convertir l’adresse IPv4 à une addresse VPNv4, RD est rajouté à l’adresse IPv4, pour créer
une route global unique Route target Label VPN Le Label (pour le VPN v4 Prefixe) est
assigné seulement par les routeur PE dont leurs adresses est un attribut « saut suivant » Les
routeurs dans le Backbone IGP ne connaissent que les adresses des PEs , ils ne connaissent pas
les adresses réseaux des sites clients.
13. 13. 13 MPBGP (MultiProtocol Border Gateway Protocol) Configuration d’une VRF Les
VRF sont configurées sur les routeurs PE avec les paramètres suivants : Nom de VRF (case
sensitive) RD (Route Distinguisher) RT exportés RT importés
14. 14. 14 MPBGP (MultiProtocol Border Gateway Protocol) Notion de RD (Route
Distinguisher) – les routes échangées entre PE doivent être rendues uniques au niveau des
updates BGP. – un identifiant appelé RD (Route Distinguisher), codé sur 64 bits, est accolé à
chaque subnet IPv4 d’une VRF donnée – Une route VPNv4, formé d’un RD et d’un préfixe
IPv4, s’écrit ainsi sous la forme RD:Subnet/Masque. Exemple : 100:1:100.10.5.5/32. Lors de la
création d’une VRF sur un PE, un RD doit être configuré. Les routes apprises par les CE
rattachés au PE seront ainsi exportées dans les updates MPBGP avec ce RD.
15. 15. 15 MPBGP (MultiProtocol Border Gateway Protocol) Notion de RT (Route Target) •
Le RD permet de garantir l’unicité des routes VPNv4 échangées entre PE. • RD ne définit pas la
6. 21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 6/31
• VPN implique l’isolation du trafic entre sites clients n’appartenant pas aux mêmes VPN •...
Le routeur PE installe le réseau appris par le routeur CE dans la table de routage VRF approprié
manière dont les routes vont être insérées dans les VRF des routeurs PE. • L’import et l’export
de routes sont gérés grâce à une communauté étendue BGP (extended community) appelée RT
(Route Target). • Les RT ne sont rien de plus que des sortes de filtres appliqués sur les routes
VPNv4. • Chaque VRF définie sur un PE est configurée pour exporter ses routes suivant un
certain nombre de RT. • Une route VPN exportée avec un RT donné sera ajoutée dans les VRF
des autres PE important ce RT.
16. 16. 16 MPBGP (MultiProtocol Border Gateway Protocol) Architecture Hub and Spoke
17. 17. 17 MPBGP (MultiProtocol Border Gateway Protocol) Même VPN dans les sites
18. 18. Principe des VRF: • Concevoir aisément des routeurs virtuels, qui consultent leurs
différentes tables de routage en fonction de l’interface d’entrée des paquets Les tables sont
remplies avec les routes du VPN associé Le backbone MPLS assure la transmission des
paquets entre les routeurs PE Problèmes l’accès à Internet, situé par définition à l’extérieur
des différents VPN les fournisseurs d’accès Internet disposant de plusieurs points de sortie
Méthodes d’accès à Internet: Route par défaut statique (Static Default Route). Route par
défaut dynamique (Dynamic Default Route) Routage optimal (Optimum Routing) 18
19. 19. Route par défaut statique (Static Default Route) • Utiliser une extension de la commande «
ip route » dans PE ip route vrf nomVRF 0.0.0.0 0.0.0.0 @PEInternet global • Pour que le
retour des paquets puisse être effectif vers le CE concerné, les routes VPN du CE doivent être
déclarées globalement sur son PE de rattachement ip route @reseauconnecteCE masque @CE
19
20. 20. Route par défaut statique (Static Default Route) Etapes de routage: • le PE recevra un
paquet sur la VRF, il effectuera un lookup dans la table de routage de cette VRF • Si aucune
entrée n’est trouvée pour la destination IP, la route par défaut injectée au moyen de la
commande « ip route » sera utilisée • la table de routage globale du routeur est examinée pour
atteindre PEInternet, et que les paquets traversent le backbone MPLS sans label VPN (seul le
label de PEInternet est accolé par le PE). Inconvénient route par défaut statique • Ce type de
routage n’est pas optimal, car si plusieurs PE disposent d’un accès Internet, seul le PE déclaré
dans la route par défaut sera employé • Cette méthode « casse » la notion de VRF avec la
déclaration des routes VPN de manière globale sur les PE 20
21. 21. Route par défaut statique (Static Default Route) Etapes de routage: • le PE recevra un
paquet sur la VRF, il effectuera un lookup dans la table de routage de cette VRF • Si aucune
entrée n’est trouvée pour la destination IP, la route par défaut injectée au moyen de la
commande « ip route » sera utilisée • la table de routage globale du routeur est examinée pour
atteindre PEInternet, et que les paquets traversent le backbone MPLS sans label VPN (seul le
label de PEInternet est accolé par le PE). Inconvénient route par défaut statique • Ce type de
routage n’est pas optimal, car si plusieurs PE disposent d’un accès Internet, seul le PE déclaré
dans la route par défaut sera employé • Cette méthode « casse » la notion de VRF avec la
déclaration des routes VPN de manière globale sur les PE 21
22. 22. Route par défaut dynamique (Dynamic Default Route) • Une solution plus propre
techniquement Sur le routeur PEInternet, une VRF particulière est configurée pour annoncer la
route par défaut (apprise par un autre routeur, généralement avec eBGP). • Si l’on souhaite
propager manuellement cette route à un certains sites de différents VPN, il suffit d’employer la
politique d’attribution des RT 22
23. 23. Route par défaut dynamique (Dynamic Default Route) • Il est ainsi possible de ne propager
la route par défaut qu’à certains sites d’un même VPN (les VRF de ces sites devant traiter les
RT du VPN « Internet »), en configurant les PE adéquats et en ne changeant rien sur les autres
23
24. 24. Route par défaut dynamique (Dynamic Default Route) • Si l’on souhaite propager
automatiquement la route par défaut à tous les sites d’un même VPN sans avoir à modifier la
configuration des différents PE, il suffit d’importer et d’exporter le RT de ce VPN dans la VRF
« Internet » 24
Recommandé
More from this author
8. 21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 8/31
7 MPBGP (MultiProtocol Border Gateway Protocol) Comment construire les tables VRF? les PE
doivent s'échang...
Soutenance Finale
Slim Bejaoui
5,199
How to Get Compensated for Personal Injury.
jufcyinfographics
70
Datawise Consultants PPT Modified
Roli Singh
106
Лекція 6 baldrige award
Pavlo Syrvatka
90
Comedy horror film posters
claudiacapper
121
Chlorcyclizine h cl 1620219apimanufacturersuppliers
ChlorcyclizineHCl1620219api
119