LES VPN/MPLS

Les VPN/MPLS
• Le but de MPLS a été dans un premier temps
l’amélioration de l’acheminement IP  La
commutation est plus rapide.

• Les nouvelles fonctions de MPLS:

– Les réseaux privés virtuels
– L’ingénierie de trafic
 PLAN
• Introduction et rappels sur les VPN sur
Internet
• Les VPN/MPLS
• Les tables de routage VRF
• Le protocole MP-BGP
• Acheminement des paquets dans un
VPN/MPLS
 Introduction
• Les liaisons WAN qui existent permettent à une entreprise de
construire son propre réseau privé.
• Le réseau Internet est un réseau mondial, son utilisation peut
simplifier la conception des WAN .
• Problème de sécurité : les données transitent par d’autres
opérateurs dans le monde entier, pour cela il faut utiliser des
mécanismes sécurisés pour créer des réseaux privés virtuels
(VPN : Virtual Private Network)
 VPN /MPLS
• C’est un VPN privé qui ne sort pas sur Internet
(d’où une meilleure sécurité).
• Il est maitrisé par un seul opérateur et traverse
un nombre limité de routeurs maitrisés par
l’opérateur lui-même.
• Ce mode de transport à de nombreux avantages,
il permet entre autre de donner des priorités sur
des flux (plan de QoS : qualité de service) comme
la téléphonie et de superviser (via une interface)
ceux-ci de bout en bout.
 VPN/ MPLS
VPN B

VPN V
CE
IP/MPLS

PE CE
P PE
¨P

PE
PE
CE VPN R
CE

CE
CE
VPN R
VPN B VPN V
 VPN/MPLS
• C’est au niveau des PE qu’est déclarée l’appartenance d’un CE
à un VPN donné. Le rôle du PE consiste à gérer les VPN en
coopérant avec les autres PE

• Les sites utilisent un adressage privé  ils ne changent pas

leurs plans d’adressage.
• Le trafic entre les sites d’un même VPN est isolé par rapport
aux autres .
• L’utilisation du VPN est complètement transparente pour
les utilisateurs.
 30.0.0.0/8
CE
IP/MPLS

PE CE
P PE
¨P
VPN R

P
10.0.0.0/8 20.0.0.0/8
PE
PE
CE VPN R
CE

CE
CE
VPN R VPN B
VPN B
40.0.0.0/8
10.0.0.0/8

Comment séparer les flux et les adresses des différents sites ?

 Table de routage VRF :VPN Routing and
Forwarding
• La gestion des VPN dans le backbone est assurée
par l’opérateur à travers les PE.
• Chaque PE associe, de manière statique, une
VRF à chacune de ses interfaces connectée à un
site client ( membre d’un VPN)
• La VRF est une table de routage associée à un
VPN qui donne les routes vers les réseaux IP
faisant partie de ce VPN.
• Les routeurs PE possèdent plusieurs tables de
routage VRF.
• Les tables de routage VRF sont indépendantes
entre elles et indépendantes de la table de routage
globale.
• Chaque VRF est renseignée localement par le CE
rattaché à l’interface de la VRF
 30.0.0.0/8
CE
IP/MPLS VRF eth0

PE CE
P PE2
¨P
VPN R

P VRF eth0 20.0.0.0/8

10.0.0.0/8
VRF eth0 PE3
PE1
VRF eth1 VPN R
CE
VRF eth1 CE

CE 40.0.0.0/8
CE
VPN R
VPN B VPN B
10.0.0.0/8
Les routeur PE1 , PE2 et PE 3 doivent s’échanger des routes sur le VPN R ?
Les routeurs PE1 et PE3 doivent s’échanger des routes sur le VPN B ?
Les PE s’échangent des informations de routage pour construire les VRF
Quel protocole utilisent ils ?
 MP-iBGP (Multi-Protocol BGP)
• BGP permet de transporter des informations sur des plages
d’adresses IPv4 sur 4 octets.
• L’IETF a normalisé une extension à ce protocole : Multi-
Protocol BGP RFC 2858.
• Cette extension permet à BGP de transporter des informations
d’autres protocoles d’adresses VPN-IPv4 (12-octet ), IPv6
Multicast, etc...
• Les PE sont des MP-BGP peers ( voisin MP-BGP )  Ils
s’échangent les informations de routage des différents sites
clients d’un même VPN.
• Les plages d’adresses pouvant se recouvrir, il faut
pouvoir les dissocier.
 30.0.0.0/8
CE
IP/MPLS

PE CE
P PE2
¨P
VPN R

P 20.0.0.0/8
10.0.0.0/8
PE3
PE1
CE VPN R
CE

CE 40.0.0.0/8
CE
VPN R
VPN B VPN B
10.0.0.0/8
PE1 et PE2 sont des Voisins MP-BGP pour le VPN R
PE1 et PE3 sont des Voisins MP-BGP pour le VPN R
PE1 et PE3 sont des Voisins MP-BGP pour le VPN R
PE1 et PE3 sont des Voisins MP-BGP pour le VPN B
 Notion de RD (Route Distinguisher)
• Les deux CE annoncent chacun la route 10.0.0.0/8 à PE1,
comment celui ci va reconnaitre les deux clients et va
annoncer ces 02 routes à un autre PE tout en les distinguant
de manière unique ?
La RD permet au PE de distinguer les routes VPN des clients
pour garantir leur unicité lors de l’échange entre les PE.

La RD est un identifiant codé sur 8 octets  il est associé à

chaque net_ID IPv4 du client (d'une VRF donnée).

• La RD unique par routeur et par VRF

 Adresse VPNv4
La RD sert à créer une adresse
unique sur (12 octets) appelée
adresse VPNv4.
Une adresse VPNv4 est formée
d'une RD et d'un préfixe IPv4,
elle s'écrit :
RD:Subnet/Mask.

La VPNV4 est utilisée par le PE

pour identifier à quel VPN
appartient un paquet .
Grâce à la RD le PE arrive à distinguer entre 10.0.0.1/8 du CE1 et 10.0.0.1/8 du CE2 .
 Configuration de la RD
• La valeur de la RD dépend entièrement de l’administrateur.
• Soit un nombre quelconque ou bien le numéro de l’AS suivi de l’ID du
site:
exemple: 100:1000 où 100 numéro d’AS et 1000 l’ID du site

• Lorsque les routes VPN sont annoncées entre routeurs PE via MP-BGP,
la RD est incluse dans la route avec le préfixe IP.
➢ La route pour 10.0.0.0/8 dans la VRF du site1 (VPN1) est annoncée
effectivement comme:

100:1000:10.0.0.0/8  identifier une route du VPN 1

➢ La route pour 10.0.0.0/8 dans la VRF du site2 (VPN2 ) est annoncée

effectivement comme:

100:2000:10.0.0.0/8  identifier une route du VPN2

 Notion de RT (Route Target)
➢ Comment Remplir les VRFs ?
➢ Avec quel ensemble de routes les VRFs sont elles peuplées ?
➢ Comment contrôler la redistribution des routes VPNv4 ?
L'import et l'export ( diffusion/réception) des routes à travers des VRF est géré grâce à une
communauté étendue BGP (extended community) appelée RT (Route Target).
• Une route VPN exportée avec un RT donné sera ajoutée dans les VRF des autres PE
qui importent cette RT
• A chaque annonce de route un attribut BGP RT est spécifié.
• Cet attribut identifie un ensemble de sites (l’ensemble des sites appartenant au même
VPN),
• La RT indique au PE quelle route appartient à quel VPN

• Il doit être importé dans une VRF pour être pris en compte.
• Ces RT sont structurés de manière identique que le RD.
Toutes les routes associées avec un RT 100:1 doivent être distribuées à tous les
routeurs PE qui ont une VRF associée avec le RT 100:1.
 Notion de RT (Route Target)
Etant donné que les routes peuvent être soit envoyées par un PE, soit reçues
d’un autre PE, le RT définit quel préfixe réseau est exporté ou importé sur
les routeurs PE .
• Les RT sont des filtres appliqués sur les routes VPNv4.
• Le RT est transmis au voisin BGP pour permettre diverses actions
sur ces routes (filtrage, route-policy , …)
• Par exemple :
– Si la route VPN v4, 2000:1:192.168.1.0/24 est exportée par un
PE avec comme liste de RT 2000:500 et 2000:501.
– Tous les autres routeurs PE vont importer au moins un de ces
deux RT ajouteront cette route dans leurs VRF concernées.
• Associer l’attribut RT à une route VPN-IPv4
permet à cette route d’être placée dans les VRFs
qui sont utilisés pour router le trafic qui est reçu
de ce site.
 Topologies des VPN/MPLS
• Il existe deux topologies(architectures ) des VPN/MPLS :
– Full mesh (tout les sites connaissent toutes les routes)
– Hub and spoke (Chaque site ne doit voir que les routes du
siège et le siège connaît toutes les routes).
Les topologies sont fixées par les règles de l’import/export des RT.
Exemple : création de VRF , RD et RT sur PE1 ( topologie Full
Mesh)
•Les deux sites sont connectés sur deux
interfaces différentes.
• Il y a une VRF pour chacune des
10.0.0.0/8 eth1 interfaces.
PE1
• Les routes pour l’interface eth1 ont le RD
eth0 100:1000
CE
• Les routes pour l’interface eth0 ont le
RD 100:2000
VPN R CE • Le RT pour le VPN bleu est 100:2
VPN B • Le RT pour le VPN rouge est 100:1
10.0.0.0/8

Sur l’interface eth1 (config cisco) Sur l’interface eth0(config cisco)

ip vrf rouge ip vrf bleu
rd 100:1000 rd 100:2000
import 100:1 import 100:2
export 100:1 export 100:2
 Annonce effectuée par PE
Quand un PE reçoit l’annonce d’une route d’un CE:
1. il change la route annoncée en une route VPNv4
avec RD pour qu’elle soit unique
2. il rajoute une valeur de communauté (RT) pour
cette annonce.

Le routeur BGP PE1 de sortie pour le VPN R a

associé un label pour le préfixe
(100:1000:10.0.0.0/8) qu’il a distribué aux
autres routeurs de bordure.
 30.0.0.0/8
CE
IP/MPLS

PE CE
P PE2
Annonce MPiBGP ¨P
Route: 100:1000:10.0.0.0/8 VPN R
Next-Hop: PE1
RT: 100:1
Label 43
P
10.0.0.0/8
PE3
VPN R
PE1
Annonce MPiBGP CE 20.0.0.0/8
CE
Route: 100:1000:10.0.0.0/8
Next-Hop: PE1
RT: 100:1 CE
CELabel 43
VPN R
VPN B VPN B
10.0.0.0/8 40.0.0.0/8

Annonces effectuées par PE1 pour le VPN R

 30.0.0.0/8
CE
IP/MPLS

PE CE
P PE2
¨P
VPN R

P 20.0.0.0/8
10.0.0.0/8
PE3
PE1
CE VPN R
CE
Annonce MPiBGP
Route: 100:2000:10.0.0.0/8
Next-Hop: PE1 CE 40.0.0.0/8
CE RT: 100:2
VPN R VPN B
Label 67

10.0.0.0/8
VPN B

Annonces effectuées par PE1 pour le VPN B

Table VRF après échange MP-BGP Vrf rouge (eth0) PE2
B 10.0.0.0/8via PE1 label 43
B 20.0.0.0/8 via PE3 label 55

30.0.0.0/8
CE
IP/MPLS
PE CE
P PE2
¨P
VPN R

P 20.0.0.0/8
10.0.0.0/8
PE3
PE1
CE VPN R
CE

CE 40.0.0.0/8 VPN B
CE
VPN R
VPN B Vrf bleu (eth0) PE3
Vrf bleu(eth1) PE1 10.0.0.0/8 B 10.0.0.0/8via PE1 label 67
B 40.0.0.0/8 via PE3 label 45

Vrf rouge (eth1) PE1 Vrf rouge (eth1) PE3

B 20.0.0.0/8 via PE3 label 55 B 10.0.0.0/8via PE1 label 43
B 30.0.0.0/8 via PE2 label 35 B 30.0.0.0/8 via PE2 label 35
 Exemple d’architecture Hub and Spoke avec annonces MP-BGP

30.0.0.0/8
CE
IP/MPLS

PE CE
Annonce MPiBGP
Route: 100:1000:10.0.0.0/16 P
¨P
PE2 RD 100:1000
Next-Hop: PE1 RT: 100:1
VPN R Export 100:1
RT: 100:3
Label 43 Import 100:3

P
10.0.0.0/8
PE3
PE1 VPN R
Annonce MPiBGP CE 20.0.0.0/8
CE Route: 100:1000:10.0.0.0/16
Next-Hop: PE1 RD 100:1000
RT: 100:3 RT: 100:1
CE
Label 43 Export 100:1
CE
VPN R Import 100:3
VPN B VPN B
10.0.0.0/8 40.0.0.0/8
Exemple tables de routage Vrf dans une architecture Hub and Spoke
Vrf rouge (eth0)
B 10.0.0.0/8via PE1 label 43

30.0.0.0/8
CE
IP/MPLS
PE CE
P PE2
¨P
VPN R

P 20.0.0.0/8
10.0.0.0/8
PE3
PE1
CE VPN R
CE

CE
CE
VPN R
VPN B VPN B 40.0.0.0/8
10.0.0.0/8 Vrf rouge (eth1)
Vrf rouge (eth1) B 10.0.0.0/8via PE1 label 43
B 20.0.0.0/8 via PE3 label 55
B 30.0.0.0/8via PE2 label 35
Acheminement des paquets dans VPN/MPLS
Pour MPLS /VPN : Deux labels sont rajoutés à l’en tête IP , un label
Interne et un autre externe .

Destination En-tête interne (Label En-tête externe (Label

local =ID_VPN) ; S=1 MPLS=ID_PE) ; S=0

Le PE source applique 2 labels au paquet lorsqu'un VPN est utilisé:

– le premier label (interne) spécifie le VPN-ID attribué au VPN et

n'est pas modifié entre le PE source et le PE destination.
– le second label (externe) identifie le chemin vers le PE
destination, et change à chaque saut ( label MPLS classique ).
 Acheminement des paquets dans VPN/MPLS
• A la réception d’un paquet le routeur PE d’entrée , consulte la
table VRF correspondante ( selon l’interface d’entrée ), le label
à utiliser et l’adresse du prochain saut MP-BGP .
• Il insère le label associé à l’adresse du prochain saut BGP (
ID_VPN) (assigné par le routeur de sortie)
• Par la suite , le routeur consulte la table de commutation MPLS
et insère une autre label selon le prochain saut ( ID_PE)
• Les routeurs P , vont utiliser uniquement le label ID_PE pour
acheminer les paquets.
• Sur le PE sortie : le dernier label sera retiré (Selon le
ID_VPN) choisir l’interface de sortie et le prochain saut
(transmet paquet au CE correspondant).
 CE 30.0.0.0/8
IP/MPLS
PE CE
Vrf rouge(eth1) P
¨P
PE2

B 20.0.0.0/8 via PE3 label 55 VPN R

B 30.0.0.0/8 via PE2 label 35
@Dest 20.0.0.2 55 45

@Dest 20.0.0.2 55 23 P @Dest 20.0.0.2

PE3
PE1

CE
CE
VPN R
20.0.0.0/8
VPN R CE CE

10.0.0.0/8 VPN B VPN B

40.0.0.0/8
10.0.0.0/8

Table de commutation de PE1 @IP dest Label out Int-sortie

PE3 23 P1
 CE 30.0.0.0/8
IP/MPLS
PE CE
P PE2
¨P

Vrf rouge (eth1) PE3 VPN R

B 10.0.0.0/8 via PE1 label 43
B 30.0.0.0/8 via PE2 label 35
65 43 P
@Dest 10.0.0.2 @Dest 10.0.0.2
@Dest 10.0.0.2
PE3
PE1
55 43 @Dest 10.0.0.2
CE
CE
VPN R
20.0.0.0/8
VPN R CE CE

10.0.0.0/8 VPN B VPN B

40.0.0.0/8
10.0.0.0/8

@IP dest Label out Int-sortie

Table de commutation de PE3
PE1 55 P1
 Conclusion

• Création de VPN, même pour des sites ayant des plages d’adresses privés.
• Utiliser une table de routage VRF par interface connecté à un VPN.
• Recouvrement de plages d’adresses possibles : utiliser le RD
• Session MP-BGP entre les PE pour annoncer les préfixes des différents
VPN.
• Utiliser un RT pour connaître dans quelle VRF il faut insérer la route (
identifier les membres d’un VPN).
• Lors de l’acheminement des paquets deux labels sont utilisés:
– Un pour atteindre le PE de sortie du site destination ( ID_VPN)
– l’autre pour indiquer le LSP vers le routeur de sortie du VPN (ID_PE)
• Les routeurs du réseau interne (P) n’ont aucune idée des VPN et des
préfixes.