Documente Academic
Documente Profesional
Documente Cultură
2012
VPN BGP-MPLS
VPN
Virtual Private Networks
Types de VPN
! 1) implant par qui ?
! quipement client (CPE : Customer Premise Equipment)
! ex : tunnels IPsec, GRE, L2TP,
! pas de multicast, transparent oprateur ! configuration client : autant de tunnel que site ?
! quipement oprateur
! ex : VPN RFC 2547 (BGP-MPLS)
! service offert par loprateur
Termes/Modle
! CE : Customer Equipment
! routeur simple (routage intra par exemple)
! PE : Provider Equipment
! routeur BGP/MPLS/RFC2547
Architecture
VPN A VPN A
oprateur
CE PE P CE PE VPN B VPN B
2012 VPN BGP-MPLS
CE PE CE VPN C
CE CE VPN A
6
Principes
! PE
! plusieurs tables de routage virtuelles (VRF) ! 1 par VPN
! trafic des VPN entre PE encapsul via MPLS ! informations de routage dun VPN transmises via BGP ! 2 niveaux de label
! fond de pile identifie VPN (ou VRF ou mme route) : smantique bout en bout ! sommet de pile : LSP entre 2 PE
2012 VPN BGP-MPLS 7
ASN du provider, 2 octets sous numro repre le VPN (gr par cet AS), 4 octets
! Type 1 <IP address> <sous-numro>
! Remarque : daprs le RFC 4364, les adresses des PE (next hop) doivent tre encapsules dans des adresses IP4 VPN avec RD = 0
2012
VPN BGP-MPLS
! utilise entre PE1 et PE2 ! <=> PE1 exporte RT1 et PE2 importe RT1
2012 VPN BGP-MPLS 10
2012
VPN BGP-MPLS
11
2012
VPN BGP-MPLS
12
Exemple annonce
! Hypothses
! VPN V1 associ RD1 ! VRF1 est un stub pour VPN V1
! exporte vers HI, importe de HO
2012
VPN BGP-MPLS
13
Exemple annonce
! PE1 (VRF1)
! apprend prfixe P du VPN V1 (CE1) (via routage CE) ! PE1 choisit label L1 (associ VRF1 ou int) ! PE1 annonce
<RD1, P> <RT=HI> <L1> NRLI et 2 attributs : Route Target et label
Annonce (suite)
! PE3(VRF3>
! refuse (ignore) 1re annonce
! car nimporte pas HI
2012
VPN BGP-MPLS
15
Label
! Choix du label : plusieurs possibilits
1) un label par VRF Egress
! => ncessite lookup (de P) larrive VRF
Construction LSP
! VRF (PE2)
! accepte <RD, P> <RT> <L> de PE1 ! LDP demande LSP vers PE1 (si aucun) :
! Label Request FEC = PE1 ! ncessite route vers PE1 ( /32)
+10.13.0.0/16
VPN A, 10.10.0.0/16
PE2 P
P=10.13.0.0/16 CE
X PE3
BGP (<RD, P>, HO, L2) VPN C P=10.13.0.0/16 CE3 VPN A, 10.12.0.0/16
18
CE
+10.13.0.0/16
2012
VPN BGP-MPLS
19
2012
VPN BGP-MPLS
20
2012
VPN BGP-MPLS
21
+10.13.0.0/16
VPN A, 10.11.0.0/16
VPN A, 10.10.0.0/16 L5, L1 D 10.13.0.01 L4, L1 D 10.13.0.01 CE CE1 P=10.13.0.0/16 P PE2 D 10.13.0.01 PE1 P CE PE3 VPN B, 10.13.0.0/16 VPN B
2012 VPN BGP-MPLS
CE
Remarques
! Dans le rseau MPLS
! une route /32 par PE (indpendant routes externes) ! un LSP par PE (indpendant # VPN) ! labels de fonds de pile
! uniques pour un PE => pas de problme dallocation
Remarques (2)
! Connexion nouveau site client
! crer VRF si nouveau VPN et associer Int. ! configurer politique import/extport
! route-map sur les Route-Target ! en gnral seulement sur 1 seul PE
! Routage entre CE et PE
! plusieurs possibilits
! routes statiques ( ex : pas de routeur CE) ! IGP (ex OSPF) (une instance par VRF) ! eBGP
2012 VPN BGP-MPLS 24
Remarques (3)
! Extension multi-providers possible ! Fonctionnalits sur divers matriels
! Cisco, Juniper, Alcatel, !
biblio
! RFC 2547 BGP/MPLS VPNs, mars 1999 remplac par ! RFC 4364 - BGP/MPLS IP Virtual Private Networks (VPNs), fvrier 2006 ! RFC 4360 BGP Extended Communities Attribute, fvrier 2006 ! RFC 2784 : encapsulation GRE mars 2000 ! RFC 4023 GRE pour MPLS mars 2005
2012
VPN BGP-MPLS
26