Embed Size (px)
Citation preview
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 1/31
Accueil Explorer Recherche Vous
slideshare
ImporterSe connecterS'inscrire
Recherche
AccueilLeadershipTechnologiesÉducationMarketingDesignAutres thèmes
RechercheLe téléchargement de votre SlideShare est en cours. ×
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 2/31
Your country code
PornographiqueDiffamatoireIllégalSpamOther Violations
Thanks for flagging this SlideShare!
Oops! An error has occurred.
1 of 24 ×
Saving this for later?
Get the SlideShare app to save on your phone ortablet. Read anywhere, anytime – even offline.
Text the download link to your phoneVotre numéro de téléphone
Send Link
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 3/31
Standard text messaging rates apply
MPLS VPN108
PartagezJ'aime
Aymen Bouzid (10 SlideShares) , University teacher Network Consulting Engineer at Ministry ofHigher Education, Scientific Research and Information and Communication TechnologiesFollow6 0 0 0
Published on 09 juin 2015
C'est le deuxième chapitre du module MPLS . au niveau du quel on va présenté
...Published in: Technologies
0 commentaires0 mentions J'aimeStatistiquesRemarques
Full NameComment goes here.Il y a 12 heures Delete Reply Spam BlockÊtesvous sûr de vouloir Oui NonVotre message apparaîtra ici
Partagez votre opinion...Publier
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 4/31
Interconnexion de plusieurs sites d’une entreprise: Solution 1: • Consiste à relier l...
P (Provider) : ces routeurs du coeur du backbone MPLS, n'ont aucune connaissance de la notion de
Soyez le premier à commenter
Be the first to like this
Aucun téléchargementVuesTotal des vues108Sur Slideshare0À partir des ajouts0Nombre d'ajouts0ActionsPartages6Téléchargements0Commentaires0J'aime0Ajouts 0No embeds
Signaler un contenuSignaler comme inappropriéPlainte relative aux droits d'auteurNo notes for slide
Transcript of "MPLS VPN"
1. 1. Chapitre 2 : Technologie MPLS VPN Enseignant: M. BOUZID Aymen CCNA CertifiedCCNP Certified Email: [email protected]
2. 2. • Introduction à MPLS/VPN • Architecture MPLS/VPN • VRF (VPN Routing andForwarding) • Multiprotocol BGP (MPBGP) Notion de RD (Route Distinguisher) Notionde RT (Route Target) • Transmission des paquets IP • Propagation d’étiquette VPN 2
3. 3. Interconnexion de plusieurs sites d’une entreprise: Solution 1: • Consiste à relier lessites au moyen de liaisons spécialisées, dédiées à l’entreprise (LS) Critique Solution 1 – coûtprohibitif de ces liaisons – la non faisabilité technique, par exemple avec des sites séparés deplusieurs centaines de km Motivation Solution 2 • Les fournisseurs d’accès disposent debackbones étendus, et couvrant la plupart du temps une large portion de territoire. • Simple pourune entreprise de relier ses sites aux points de présence (POP) de l’opérateur et mettre en placeune solution VPN (Virtual Private Networks). 3
4. 4. P (Provider) : ces routeurs du coeur du backbone MPLS, n'ont aucune connaissance de lanotion de VPN. Ils acheminent les données grâce à la commutation de labels LDP . PE(Provider Edge) : ces routeurs sont situés à la frontière du backbone MPLS et ont par définitionune ou plusieurs interfaces reliées à des routeurs clients. CE (Customer Edge) : ces routeursappartiennent au client et n’ont aucune connaissance des VPN ou même de la notion de label. 4
5. 5. • VPN implique l’isolation du trafic entre sites clients n’appartenant pas aux mêmes VPN •les routeurs PE ont la capacité de gérer plusieurs tables de routage grâce à la notion de VRF(VPN Routing and Forwarding) afin de faire cette séparation. Une VRF est constituée de: •Une table de routage spécifique (exemple table vrf Green, table vrf Blue) • Une FIB
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 5/31
VPN. Ils acheminent les...
(Forwarding Information Base) spécifique Les tables sont indépendantes des tables des autresVRFs Chaque VRF est désignée par un nom (par ex. RED, GREEN, etc.) sur les routeurs PE.VRF (VPN Routing and Forwarding) 5
6. 6. Le routeur PE installe le réseau appris par le routeur CE dans la table de routage VRFapproprié Le routeur PE installe les routes du Backbone dans la table de routage global Lors de la réception de paquets IP sur une interfaces client, le routeur PE procède à un examende la table de routage de la VRF à laquelle est rattachée l’interface Le routeur PE ne consultepas sa table de routage globale 6 VRF (VPN Routing and Forwarding)
7. 7. 7 MPBGP (MultiProtocol Border Gateway Protocol) Comment construire les tablesVRF? les PE doivent s'échanger les routes correspondant aux différents VPN Echange desroutes VPN entre les routeurs PE. L'échange des routes VPN s'effectue grâce au protocoleMPBGP
8. 8. 8 Propagation d’étiquette VPN Le propagation d'étiquette VPN doit suivre les étapessuivants: • Etape1 : le routeur PE de sortie PE1 assigne une étiquette à chaque route VPN reçudes routeurs CE attachés, il la récapitule à l'intérieur du routeur PE. Cette étiquette est alorsemployée comme la deuxième étiquette dans la pile d'étiquette de MPLS par les routeurs PEd'entrée en marquant des paquets VPN. • Etape 2 : Les étiquettes de VPN assignées par lesrouteurs PE de sortie sont annoncées à tous autres routeurs PE ainsi que le préfixe VPNv4 dansles mises à jour MPBGP. • Etape 3 : le routeur PE d'entrée PE2 a deux étiquettes liées à uneroute VPN distante. une étiquette pour le prochain saut BGP assigné par le prochain saut durouteur P (protocole LDP) l'étiquette assignée par le routeur distant PE (protocole MPBGP)Les deux étiquettes sont combinées dans une pile d'étiquette et installées dans la table FIBspécifique au vrf.
9. 9. 9 Update MPBGP Étape 1 : le routeur CE envoie une mise à jour du cheminement IPv4au routeur PE. Étape 2 : le routeur PE1 translate l’adresse IPv4 à une adresse VPNv4 Étape 3 : le préfixe VPNv4 est propagé par l'intermédiaire d'une session interne MPIBGP(MultiProtocol Internal Border Gateway Protocol) à d'autres routeurs PE. Étape 4 : lerouteur de réception PE 2 reçoit et vérifie si la RT=green (40:101) est configurer dans une desVRF comme étant une RT import. Étape 5 : PE2 translate le prefixe VPNv4 à un préfixeIPv4, installe le préfixe dans la table de routage VRF, mise à jour de la table FIB du VRF avecle label 100 pour le réseau 10.1.1.0/24
10. 10. 1011. 11. Le routeur PE2 impose deux labels pour chaque paquet allant vers la destion 10.1.1.0/24
Le label du sommet est LDP est appris et délivré à partir des routes IGP du backbone, sert àatteindre le PE de destination. Le second Label est appris via MPBGP et déterminel'interface de sortie sur le PE, à laquelle est relié le CE 11
12. 12. 12 MPBGP (MultiProtocol Border Gateway Protocol) Update MPBGP VPN v4 Pour convertir l’adresse IPv4 à une addresse VPNv4, RD est rajouté à l’adresse IPv4, pour créerune route global unique Route target Label VPN Le Label (pour le VPN v4 Prefixe) estassigné seulement par les routeur PE dont leurs adresses est un attribut « saut suivant » Lesrouteurs dans le Backbone IGP ne connaissent que les adresses des PEs , ils ne connaissent pasles adresses réseaux des sites clients.
13. 13. 13 MPBGP (MultiProtocol Border Gateway Protocol) Configuration d’une VRF LesVRF sont configurées sur les routeurs PE avec les paramètres suivants : Nom de VRF (casesensitive) RD (Route Distinguisher) RT exportés RT importés
14. 14. 14 MPBGP (MultiProtocol Border Gateway Protocol) Notion de RD (RouteDistinguisher) – les routes échangées entre PE doivent être rendues uniques au niveau desupdates BGP. – un identifiant appelé RD (Route Distinguisher), codé sur 64 bits, est accolé àchaque subnet IPv4 d’une VRF donnée – Une route VPNv4, formé d’un RD et d’un préfixeIPv4, s’écrit ainsi sous la forme RD:Subnet/Masque. Exemple : 100:1:100.10.5.5/32. Lors de lacréation d’une VRF sur un PE, un RD doit être configuré. Les routes apprises par les CErattachés au PE seront ainsi exportées dans les updates MPBGP avec ce RD.
15. 15. 15 MPBGP (MultiProtocol Border Gateway Protocol) Notion de RT (Route Target) •Le RD permet de garantir l’unicité des routes VPNv4 échangées entre PE. • RD ne définit pas la
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 6/31
• VPN implique l’isolation du trafic entre sites clients n’appartenant pas aux mêmes VPN •...
Le routeur PE installe le réseau appris par le routeur CE dans la table de routage VRF approprié
manière dont les routes vont être insérées dans les VRF des routeurs PE. • L’import et l’exportde routes sont gérés grâce à une communauté étendue BGP (extended community) appelée RT(Route Target). • Les RT ne sont rien de plus que des sortes de filtres appliqués sur les routesVPNv4. • Chaque VRF définie sur un PE est configurée pour exporter ses routes suivant uncertain nombre de RT. • Une route VPN exportée avec un RT donné sera ajoutée dans les VRFdes autres PE important ce RT.
16. 16. 16 MPBGP (MultiProtocol Border Gateway Protocol) Architecture Hub and Spoke17. 17. 17 MPBGP (MultiProtocol Border Gateway Protocol) Même VPN dans les sites18. 18. Principe des VRF: • Concevoir aisément des routeurs virtuels, qui consultent leurs
différentes tables de routage en fonction de l’interface d’entrée des paquets Les tables sontremplies avec les routes du VPN associé Le backbone MPLS assure la transmission despaquets entre les routeurs PE Problèmes l’accès à Internet, situé par définition à l’extérieurdes différents VPN les fournisseurs d’accès Internet disposant de plusieurs points de sortieMéthodes d’accès à Internet: Route par défaut statique (Static Default Route). Route pardéfaut dynamique (Dynamic Default Route) Routage optimal (Optimum Routing) 18
19. 19. Route par défaut statique (Static Default Route) • Utiliser une extension de la commande «ip route » dans PE ip route vrf nomVRF 0.0.0.0 0.0.0.0 @PEInternet global • Pour que leretour des paquets puisse être effectif vers le CE concerné, les routes VPN du CE doivent êtredéclarées globalement sur son PE de rattachement ip route @reseauconnecteCE masque @CE19
20. 20. Route par défaut statique (Static Default Route) Etapes de routage: • le PE recevra unpaquet sur la VRF, il effectuera un lookup dans la table de routage de cette VRF • Si aucuneentrée n’est trouvée pour la destination IP, la route par défaut injectée au moyen de lacommande « ip route » sera utilisée • la table de routage globale du routeur est examinée pouratteindre PEInternet, et que les paquets traversent le backbone MPLS sans label VPN (seul lelabel de PEInternet est accolé par le PE). Inconvénient route par défaut statique • Ce type deroutage n’est pas optimal, car si plusieurs PE disposent d’un accès Internet, seul le PE déclarédans la route par défaut sera employé • Cette méthode « casse » la notion de VRF avec ladéclaration des routes VPN de manière globale sur les PE 20
21. 21. Route par défaut statique (Static Default Route) Etapes de routage: • le PE recevra unpaquet sur la VRF, il effectuera un lookup dans la table de routage de cette VRF • Si aucuneentrée n’est trouvée pour la destination IP, la route par défaut injectée au moyen de lacommande « ip route » sera utilisée • la table de routage globale du routeur est examinée pouratteindre PEInternet, et que les paquets traversent le backbone MPLS sans label VPN (seul lelabel de PEInternet est accolé par le PE). Inconvénient route par défaut statique • Ce type deroutage n’est pas optimal, car si plusieurs PE disposent d’un accès Internet, seul le PE déclarédans la route par défaut sera employé • Cette méthode « casse » la notion de VRF avec ladéclaration des routes VPN de manière globale sur les PE 21
22. 22. Route par défaut dynamique (Dynamic Default Route) • Une solution plus propretechniquement Sur le routeur PEInternet, une VRF particulière est configurée pour annoncer laroute par défaut (apprise par un autre routeur, généralement avec eBGP). • Si l’on souhaitepropager manuellement cette route à un certains sites de différents VPN, il suffit d’employer lapolitique d’attribution des RT 22
23. 23. Route par défaut dynamique (Dynamic Default Route) • Il est ainsi possible de ne propagerla route par défaut qu’à certains sites d’un même VPN (les VRF de ces sites devant traiter lesRT du VPN « Internet »), en configurant les PE adéquats et en ne changeant rien sur les autres23
24. 24. Route par défaut dynamique (Dynamic Default Route) • Si l’on souhaite propagerautomatiquement la route par défaut à tous les sites d’un même VPN sans avoir à modifier laconfiguration des différents PE, il suffit d’importer et d’exporter le RT de ce VPN dans la VRF« Internet » 24
RecommandéMore from this author
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 7/31
།...
Developer Training & Tutorialslynda.com PREMIUM VIDEOLearn how to code and build apps.386 courses
MPLS VPNWilfried Tiani1,129
Vpn site to site avec les équipements JUNIPERHermann Gbilimako50
Make Your Secure Garage with the Latest Type Garage Dooralldoorsandelectrical140
Entrepreneurship Lecture at Kyoto University on June 9th, 2015Kenshin Fujiwara356
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 8/31
7 MPBGP (MultiProtocol Border Gateway Protocol) Comment construire les tables VRF? les PE
doivent s'échang...
Soutenance FinaleSlim Bejaoui5,199
How to Get Compensated for Personal Injury.jufcyinfographics70
Datawise Consultants PPT ModifiedRoli Singh106
Лекція 6 baldrige awardPavlo Syrvatka90
Comedy horror film postersclaudiacapper121
Chlorcyclizine h cl 1620219apimanufacturersuppliersChlorcyclizineHCl1620219api119
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 9/31
8 Propagation d’étiquette VPN Le propagation d'étiquette VPN doit suivre les étapes suivants:
Ȃ...
Mécanismes de transition ipv6Aymen Bouzid42
Routage Ipv6 _fr_2015Aymen Bouzid36
Bgp policy control frfirsthalfAymen Bouzid28
Fr introbgpsifAymen Bouzid15
Meilleures pratiques bgpAymen Bouzid25
OPTIMISATION BGPAymen Bouzid14
IPv6 Les Bases
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 10/31
9 Update MPBGP Étape 1 : le routeur CE envoie une mise à jour du cheminement IPv4 au routeur
Aymen Bouzid28
MPLSTEAymen Bouzid33
MPLSAymen Bouzid26
FRANÇAISEnglishFrançaisEspañolPortuguês (Brasil)Deutsch
AnglaisEspagnolPortuguesFrançaisDeutsche
À proposCarrièresDev & APIPresseBlogConditionsConfidentialitéDroits d'auteurService d'assistance
LinkedIn Corporation © 2015
×Partager cette présentationAjouter cette présentationAimer cette présentationVous avez aimé cetteprésentationEnregistrement désactivé par l'auteur
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 11/31
PE. ð...
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 12/31
10
Le routeur PE2 impose deux labels pour chaque paquet allant vers la destion 10.1.1.0/24 Le
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 13/31
label du somm...
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 14/31
12 MPBGP (MultiProtocol Border Gateway Protocol) Update MPBGP VPN v4 Pour
convertir l’adresse ...
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 15/31
13 MPBGP (MultiProtocol Border Gateway Protocol) Configuration d’une VRF Les VRF sont
configurées s...
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 16/31
14 MPBGP (MultiProtocol Border Gateway Protocol) Notion de RD (Route Distinguisher) – les
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 17/31
routes éc...
15 MPBGP (MultiProtocol Border Gateway Protocol) Notion de RT (Route Target) • Le RD
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 18/31
permet de garantir ...
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 19/31
16 MPBGP (MultiProtocol Border Gateway Protocol) Architecture Hub and Spoke
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 20/31
17 MPBGP (MultiProtocol Border Gateway Protocol) Même VPN dans les sites
Principe des VRF: • Concevoir aisément des routeurs virtuels, qui consultent leurs différentes tables
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 21/31
de ...
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 22/31
Route par défaut statique (Static Default Route) • Utiliser une extension de la commande « ip route
»...
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 23/31
Route par défaut statique (Static Default Route) Etapes de routage: • le PE recevra un paquet sur la
VRF, il e...
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 24/31
Route par défaut statique (Static Default Route) Etapes de routage: • le PE recevra un paquet sur la
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 25/31
VRF, il e...
Route par défaut dynamique (Dynamic Default Route) • Une solution plus propre techniquement Sur
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 26/31
le routeur PE...
Route par défaut dynamique (Dynamic Default Route) • Il est ainsi possible de ne propager la route
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 27/31
par dé...
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 28/31
Route par défaut dynamique (Dynamic Default Route) • Si l’on souhaite propager automatiquement
la route...
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 29/31
Prochain SlideShare
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 30/31
Chargement dans... 5
21/7/2015 MPLS VPN
http://fr.slideshare.net/aymenbouzid/mplsvpn49163501 31/31
×
