VPN BGP-MPLS

2012

VPN BGP-MPLS

VPN
Virtual Private Networks

Objectifs des VPN

! interconnecter quipements travers rseau tiers (FAI, !)
! raisons conomiques,
! partage dune infrastructure longue distance ! cot du personnel et de la maintenance, !

! mobilit (personnel domicile, commerciaux, !)

! garder caractristiques rseau priv

! scurit ! Matrise/indpendance routage, adressage, gestion
2012 VPN BGP-MPLS 2

Types de VPN
! 1) implant par qui ?
! quipement client (CPE : Customer Premise Equipment)
! ex : tunnels IPsec, GRE, L2TP,
! pas de multicast, transparent oprateur ! configuration client : autant de tunnel que site ?

! quipement oprateur
! ex : VPN RFC 2547 (BGP-MPLS)
! service offert par loprateur

! 2) implant quel niveau ?

! niveau 3 (IP) ! niveau 2 (ATM, Frame Relay) ! niveau 2 sur niveau 3 (VPLS: trames sur IP)
2012 VPN BGP-MPLS 3

VPN type RFC2547

! ! ! ! ! Service fourni par loprateur (PE) pas ou peu de configuration chez client transparence espace adressage client accs possible du VPN Internet extensible
! taille VPN
! choix routage interne au VPN : toile,mesh, !

! nombre VPN ! Multi-oprateurs ?

2012 VPN BGP-MPLS 4

Termes/Modle
! CE : Customer Equipment
! routeur simple (routage intra par exemple)

! PE : Provider Equipment
! routeur BGP/MPLS/RFC2547

! P : Equipement interne du Provider

! routeur MPLS (LSR)

! VRF Virtual Routing and Forwarding

! RIB et FIB virtuelle pour un VPN
2012 VPN BGP-MPLS 5

Architecture
VPN A VPN A

oprateur
CE PE P CE PE VPN B VPN B
2012 VPN BGP-MPLS

CE PE CE VPN C

CE CE VPN A
6

Principes
! PE
! plusieurs tables de routage virtuelles (VRF) ! 1 par VPN

! trafic des VPN entre PE encapsul via MPLS ! informations de routage dun VPN transmises via BGP ! 2 niveaux de label
! fond de pile identifie VPN (ou VRF ou mme route) : smantique bout en bout ! sommet de pile : LSP entre 2 PE
2012 VPN BGP-MPLS 7

Routage : Extensions BGP

1)! nouvelle famille dadresse : VPN IPv4
AFI=1 (IPv4), SAFI=128 ! Format : <RD> <Adresse IPv4> ! Route Distinguisher 8 octets

<type field> <value field> ex :

! Type 0 <ASN> <Sous-numro>

ASN du provider, 2 octets sous numro repre le VPN (gr par cet AS), 4 octets
! Type 1 <IP address> <sous-numro>

IP adresse publique (4 octets) sous-numro gr par propritaire adresse (2 octets)

2012 VPN BGP-MPLS 8

Routage : Extensions BGP

! Type 2 <ASN> <Sous-numro>

idem type 0 mais ASN sur 4 octets

deux prfixes de 2 VPN diffrents

! => RD diffrents (provider identique ou diffrent)

! => adresses IPv4 rutilisables (RD diffrents)

Adresses prives 10.0.0.0/8, !

! Remarque : daprs le RFC 4364, les adresses des PE (next hop) doivent tre encapsules dans des adresses IP4 VPN avec RD = 0

2012

VPN BGP-MPLS

Extensions BGP (2)

2) Nouvel attribut label VPN de type Label 3) Nouvel attribut route target
! de type extended communities (RFC 4360) ! une VRF a une liste dimport et dexport ! contrle de la topologie du VPN
! route marque route Target RT1
! = EC RT1

! utilise entre PE1 et PE2 ! <=> PE1 exporte RT1 et PE2 importe RT1
2012 VPN BGP-MPLS 10

Topologie et Route Target

Topologie Mesh (maillage complet)
! une seule communaut
! tout VRF importe et exporte cette communaut ! quivalent Full Mesh iBGP

! + court chemin dans le rseau oprateur

2012

VPN BGP-MPLS

11

Topologie et Route Target

Topologie Hub (toile)
! 2 communauts HI et HO
! Hub importe HI et exporte HO ! Stubs importent HO et exportent HI ! Entre 2 stubs, 1 saut via hub en plus

! permet de centraliser politique au Hub

! redistribution entre sites du VPN, vers Internet

2012

VPN BGP-MPLS

12

Exemple annonce
! Hypothses
! VPN V1 associ RD1 ! VRF1 est un stub pour VPN V1
! exporte vers HI, importe de HO

! VRF2 est un hub pour VPN V1

! exporte vers HO, importe de HI

! VRF3 est un stub :

! exporte vers HI, importe de HO

2012

VPN BGP-MPLS

13

Exemple annonce
! PE1 (VRF1)
! apprend prfixe P du VPN V1 (CE1) (via routage CE) ! PE1 choisit label L1 (associ VRF1 ou int) ! PE1 annonce
<RD1, P> <RT=HI> <L1> NRLI et 2 attributs : Route Target et label

! PE2(VRF2) accepte annonce

! importe HI ! place <RD1, P> dans sa table ! annonce <RD1, P> <HO> <L2>
2012 VPN BGP-MPLS 14

Annonce (suite)
! PE3(VRF3>
! refuse (ignore) 1re annonce
! car nimporte pas HI

! accepte 2me annonce

! car importe HO

! Route de VRF3 vers P passe par VRF2 (hub)

! utilisera LSP L2 vers VRF2 puis L1 vers VRF1

2012

VPN BGP-MPLS

15

Label
! Choix du label : plusieurs possibilits
1) un label par VRF Egress
! => ncessite lookup (de P) larrive VRF

2) un label par interface de sortie (~ FEC) vite tout lookup en rception

sauf ventuellement pour link layer (ARP)

3) un label par route (permet QoS) Remarque :

un label par PE ne serait pas suffisant mme adresse IP destination dans +sieurs VPN
2012 VPN BGP-MPLS 16

Construction LSP
! VRF (PE2)
! accepte <RD, P> <RT> <L> de PE1 ! LDP demande LSP vers PE1 (si aucun) :
! Label Request FEC = PE1 ! ncessite route vers PE1 ( /32)

! un seul LSP vers PE pour

! plusieurs prfixes mme VRF ! plusieurs VRF mme PE
2012 VPN BGP-MPLS 17

+10.13.0.0/16

VPN A, 10.11.0.0/16 BGP (<RD, P>, HI, L1) CE

VPN A, 10.10.0.0/16

CE1 P=10.13.0.0/16 PE1

PE2 P

P=10.13.0.0/16 CE

CE BGP (<RD, P>, HI, L1) VPN B, 10.13.0.0/16 VPN B

2012 VPN BGP-MPLS

X PE3

BGP (<RD, P>, HO, L2) VPN C P=10.13.0.0/16 CE3 VPN A, 10.12.0.0/16
18

CE

+10.13.0.0/16

2012

VPN BGP-MPLS

19

Donnes : Exemple (1)

! CE3 reoit paquet pour 10.13.0.1
! envoie PE3 (ex : route par dfaut vers VPN)

! PE3 reoit paquet par interface IntA

! VPN A => VRF3A ! VRF3A : lookup 10.13.0.0/16 associ L2, PE2
! PUSH L2, puis ! PUSH L3 (label LSP) (MPLS normal FEC PE2) ! mission

2012

VPN BGP-MPLS

20

Donnes : Exemple (2)

! PE2 reoit paquet, POP
! L2 : vers VRF2A (POP de L2) ! lookup table, PUSH L1, PUSH L4 (label LSP vers PE1)

! PE1 reoit paquet, POP

! L1 : vers VRF1 (et POP L1) ! lookup table VRF1 : envoy vers Int A (vers CE1)

2012

VPN BGP-MPLS

21

+10.13.0.0/16

VPN A, 10.11.0.0/16

VPN A, 10.10.0.0/16 L5, L1 D 10.13.0.01 L4, L1 D 10.13.0.01 CE CE1 P=10.13.0.0/16 P PE2 D 10.13.0.01 PE1 P CE PE3 VPN B, 10.13.0.0/16 VPN B
2012 VPN BGP-MPLS

CE L3, L2 D 10.13.0.01 VPN C D 10.13.0.01 CE3 VPN A, 10.12.0.0/16

22

CE

Remarques
! Dans le rseau MPLS
! une route /32 par PE (indpendant routes externes) ! un LSP par PE (indpendant # VPN) ! labels de fonds de pile
! uniques pour un PE => pas de problme dallocation

! => systme extensible grande chelle ! Cration VPN

! dfinir Route Distinguisher (provider) pour VPN ! dfinir politique routage (Hub, mesh, !) et les RT
2012 VPN BGP-MPLS 23

Remarques (2)
! Connexion nouveau site client
! crer VRF si nouveau VPN et associer Int. ! configurer politique import/extport
! route-map sur les Route-Target ! en gnral seulement sur 1 seul PE

! configurer routage avec CE via interface

! Routage entre CE et PE
! plusieurs possibilits
! routes statiques ( ex : pas de routeur CE) ! IGP (ex OSPF) (une instance par VRF) ! eBGP
2012 VPN BGP-MPLS 24

Remarques (3)
! Extension multi-providers possible ! Fonctionnalits sur divers matriels
! Cisco, Juniper, Alcatel, !

! Propos par plusieurs providers ! Premire version

! RFC2547 (informationnel) mars 99 ! RFC2547bis publi comme RFC 4364 en fvrier 2006
2012 VPN BGP-MPLS 25

biblio
! RFC 2547 BGP/MPLS VPNs, mars 1999 remplac par ! RFC 4364 - BGP/MPLS IP Virtual Private Networks (VPNs), fvrier 2006 ! RFC 4360 BGP Extended Communities Attribute, fvrier 2006 ! RFC 2784 : encapsulation GRE mars 2000 ! RFC 4023 GRE pour MPLS mars 2005

2012

VPN BGP-MPLS

26