Post on 22-Oct-2015
Année universitaire 2011 / 2012
Mastère Spécialisé en Réseau des Télécommunications
MPLS : Projet No 1
FORMATEUR : MODOU SALL Présenté par : GANGA DOUMBO INNOCENT ASSOUMANE ISSOUFOU
ETUDE TECHNIQUE DE L’INTERCONNEXION VPN MPLS ENTRE DEUX FORUNISSEURS
PRESENTE PAR GANGA D. INNOCENT ET ASSOUMANE ISSOUFOU Page 2
INTRODUCTION
Dans l'architecture Inter-AS définie dans la RFC4364, le réseau cœur se compose de plusieurs
systèmes autonomes (AS), appartenant en général à différents fouisseurs de service. Le cas de
ce type d'architecture, reliant par exemple deux fouisseurs la SONATEL et CI TÉLÉCOM,
est beaucoup plus complexe en termes de sécurité. Il faut dans ces situations faire confiance à
l'autre fournisseur de service quant aux paquets qu'il envoie. Une nouvelle fois, la notion de
confiance vis-à-vis des fournisseurs de service y compris entre eux-mêmes est importante. Il
existe quatre méthodes permettant de connecter des AS entre eux :
- connexion VRF à VRF sur les ASBR {Autonomous System Border Router),
- redistribution avec eBGP {exterior BGP) des routes VPN-IPv4,
- redistribution eBGP à saut multiple de routes VPN-IPv4 inter-AS et redistribution
eBGP des routes IPv4.
- L’utilisation d’un fournisseur de transit
Les menaces pouvant affecter les VPN sont les mêmes que précédemment, par contre selon la
méthode employée pour relier les différents AS, leur exposition à ces menaces est différente.
I- LA METHODE BACK TO BACK VRF
La première méthode consiste à utiliser une sous-interface de la connexion entre les
ASBR pour chaque VRF. L’approche VRF to VRF est la plus simple des méthodes et permet
aux fournisseurs MPLS VPN d’échanger des routes VPN entre les sites CE des différents AS.
Dans cette approche les PE des différents AS fonctionnent comme des ASBR. Ces ASBR sont
interconnectés par un seul lien unique composé des interfaces logiques ou via plusieurs liens
physiques. LES VRF sont configurés sur les ASBR pour collecter les routes des clients VPN.
Chaque interface ou sous interface connectés entre les ASBR est dédiés à un seul VRF d’un
client. Pour distribuer ses routes VPN à des routeurs adjacents, un client VRF utilise les
protocoles de routage eBGP, RIP2, EIGRP, OSPF ou soit des routages statiques. La
séparation est maintenue tout au long du transport et les paquets transitant sont de classiques
paquets IP. Le protocole eBGP est très utilisé dans le back to back, il s’adapte très bien à ses
types d’application car il retient le type de route, implémente une meilleure politique de
sécurité et est extensible. Cette méthode permet moins d'interaction entre les AS, elle peut
ETUDE TECHNIQUE DE L’INTERCONNEXION VPN MPLS ENTRE DEUX FORUNISSEURS
PRESENTE PAR GANGA D. INNOCENT ET ASSOUMANE ISSOUFOU Page 3
être considérée comme plus sûre. Cependant, elle n'est pas adaptée à l'échange d'un grand
nombre de VRF car pour chaque VPN inter-AS géré, un VRF et une interface spécifique
doivent être configurés sur chaque ASBR.
Plan de contrôle pour la connexion VRF à VRF sur les ASBRs
Plan de transmission pour la connexion VRF à VRF sur les ASBRs
ETUDE TECHNIQUE DE L’INTERCONNEXION VPN MPLS ENTRE DEUX FORUNISSEURS
PRESENTE PAR GANGA D. INNOCENT ET ASSOUMANE ISSOUFOU Page 4
Les Avantages
Les avantages de ce modèle sont les suivants :
� Le confinement des VPN dans des tunnels dédiés en point à point. L'isolation entre les
VPN interconnectés est ainsi renforcée.
� La granularité d'analyse en cas de problème réseau est fine par l'isolation de configuration
des VPN.
� Il est possible de filtrer le trafic IP par VPN. On peut alors effectivement filtrer le trafic du
VPN sur les adresses IP et/ou sur les ports TCP/UDP par les mécanismes classiques de
filtrage des paquets.
� Il est possible de filtrer le routage par VPN. On peut effectivement contrôler les adresses
IP routées sur le VPN par les mécanismes classiques de filtrage de route. Notons qu'il est
aussi possible de mettre en œuvre des mécanismes de contrôle de l'instabilité des mises à
jour des routes.
Les Inconvénients
Les inconvénients de ce modèle sont les suivants :
� Les configurations des VPN deviennent consommatrices en termes de ressources si le
nombre de VPN augmente considérablement. Notons alors que le nombre des
équipements d'interconnexion devra aussi augmenter entre les deux réseaux MPLS/VPN.
� L'architecture d'interconnexion devient complexe si le nombre des équipements
d'interconnexion entre les deux réseaux MPLS/VPN augmente considérablement.
Rappelons que cette architecture doit assurer la disponibilité réseau de l'interconnexion
MPLS/VPN.
II- L’APPROCHE ASBR-ASBR AVEC L’UTILISATION DU MP-eBGP
Dans la méthode back to back VRF les ASBR utilisent traditionnellement l’IPv4 pour
intégrer des VPN à travers 2 réseaux de fournisseur de services. Dans la seconde méthode les
ASBR utilisent les MP-eBGP pour échanger les routes VPNv4 entre les AS. Ceci est appelé
approche ASBR-ASBR. Cette approche réduit la nécessité d’avoir des configurations VPN
sur chaque ASBR comme on l’a vu dans la méthode back to back VRF et par conséquent
ETUDE TECHNIQUE DE L’INTERCONNEXION VPN MPLS ENTRE DEUX FORUNISSEURS
PRESENTE PAR GANGA D. INNOCENT ET ASSOUMANE ISSOUFOU Page 5
permet aux préfixes VPNv4 d’être transporté à travers plusieurs fournisseurs. Cependant pour
autoriser le transport des préfixes VPNv4, le lien entre les AS doit supporter l’échange des
paquets MPLS par ce que les mises à jour VPNv4 sont encapsulés dans les paquets MPLS
quand ils traversent un AS et doivent être encapsulés lors du passage à travers ou entre les
AS.
Dans un réseau MPLS VPN le transport de paquet se passe seulement si le routeur
spécifié comme étant le BGP dans la mise à jour de la réception est le même routeur assigné
au label VPN dans le nuage MPLS VPN. Cependant quant les VPN sont dispersés à travers de
multiples fournisseurs, l’attribut du prochain nœud BGP est changé quant il ya une session
eBGP entre les ASBR. Par conséquent dans une méthode ASBR-ASBR un label VPN est
assigné à chaque fois que le prochain nœud change. L’approche ASBR-ASBR accepte
l’utilisation de MP-eBGP entre les ASBR pour le transport des préfixes VPNv4 par rapport à
l’implémentation du MP-iBGP dans les réseaux VPN traditionnels dans un seul AS. La seule
différence entre les MP-eBGP et MP-iBGP lors du transport des préfixes VPNv4 est la façon
dont l’attribut du prochain saut est géré. Par ce que le prochain saut est changé quant il ya une
session eBGP entre les ASBR, le chemin LSP se termine sur l’ASBR d’où provient la mise à
jour. Par conséquent, l’ASBR sollicité doit attribuer un nouveau label pour la route avant de
l’envoyer via la mise à jour MP-eBGP aux autres ASBR.
Plan de contrôle du MP-eBGP entre les ASBRs
ETUDE TECHNIQUE DE L’INTERCONNEXION VPN MPLS ENTRE DEUX FORUNISSEURS
PRESENTE PAR GANGA D. INNOCENT ET ASSOUMANE ISSOUFOU Page 6
Plan de transmission du MP-eBGP entre les ASBRs
Les Avantages
Les avantages de ce modèle sont les suivants :
� La configuration d'un VPN est simplifiée puisqu'on ne définit plus les connexions point à
point, ni même le VPN explicitement. Seuls des filtrages, configurés de manière
symétrique, des routes-targets entre les deux réseaux permettent de contrôler les
interconnexions des VPN.
� Le modèle est extensible même si le nombre de VPN à interconnecter devient important.
Rappelons encore qu'il n'y a pas de configuration explicite de VPN à créer.
� L'architecture réseau est simplifiée et extensible, même si le nombre de VPN à
interconnecter devient important. Seules les capacités de commutation des équipements
d'interconnexion seront impactées.
� On n’a pas besoin d’activer la TDP/LDP ou l’IGP sur le lien connectant les deux ASBR.
La session MP-eBGP entre les interfaces connectées directement sur les ASBR permet
aux interfaces de transporter les paquets labélisés.
� Aucune route Target n’a besoin d’être configuré sur un ASBR qui n’a aucun VRF
configuré ou fonctionnant comme un RR. La commande assure que l’ASBR accepte le
ETUDE TECHNIQUE DE L’INTERCONNEXION VPN MPLS ENTRE DEUX FORUNISSEURS
PRESENTE PAR GANGA D. INNOCENT ET ASSOUMANE ISSOUFOU Page 7
BGP VPNv4 provenant d’autres PE routeurs dans l’AS. Le comportement par défaut est
de refuser tous les préfixes VPNv4 entrant qui ne sont pas importés dans les VRF locaux.
Les Inconvénients
Les inconvénients de ce modèle sont les suivants :
� La granularité d'analyse en cas de problème réseau n'est plus fine et nécessite en revanche
d'analyser les sessions de routage MP-eBGP.
� Il n'y a pas de possibilité de filtrer le trafic IP par VPN (dans la limite des technologies
existantes). Cependant, un filtrage est possible au niveau du trafic des données de
l'ensemble des VPN.
� Il n'y a pas de possibilité de filtrer le routage des adresses IP par VPN (dans la limite des
technologies existantes). Cependant, un filtrage est possible au niveau des routes Target
échangées entre les deux réseaux permettant de définir les interconnexions des VPN.
III- MULTI SAUT MP-eBGP ENTRE LES RR
Cette approche est considérée comme étant plus évolutive que les deux premières
méthodes. Dans cette option l’information VPNv4 est gardée par le RR. Pour répondre à cette
exigence chaque AS doit avoir des RR locaux pour la distribution des préfixes VPNv4 et
d’une connexion eBGP pour échanger les préfixes avec les autres RR. Dans cette option les
ASBR participent à l’échange du saut BGP en utilisant les labels IPv4 et les RR forment une
session MP-eBGP pour transporter l’information VPNv4.
ETUDE TECHNIQUE DE L’INTERCONNEXION VPN MPLS ENTRE DEUX FORUNISSEURS
PRESENTE PAR GANGA D. INNOCENT ET ASSOUMANE ISSOUFOU Page 8
Plan de contrôle Multi Saut MP-eBGP entre les RRs:
Plan de transmission Multi Saut MP-eBGP entre les RRs:
Les Avantages
La troisième méthode est une évolution naturelle de la deuxième ayant presque les mêmes
avantages.
ETUDE TECHNIQUE DE L’INTERCONNEXION VPN MPLS ENTRE DEUX FORUNISSEURS
PRESENTE PAR GANGA D. INNOCENT ET ASSOUMANE ISSOUFOU Page 9
Mais en plus de ceux de la deuxième il faut noter qu'au niveau de la sécurité, les réflecteurs
de routes sont invisibles comme les routeurs P, et possèdent les mêmes informations que les
PE, avec lesquels ils les échangent.
Les Inconvénients
Autre les Inconvénients de la deuxième méthode, Cette méthode a le désavantage d'être très
ouverte dans le sens où les sessions BGP et les LSP sont établies entre PE de différents AS et
non plus limitées aux ASBR comme dans la seconde méthode. Plus encore que dans cette
dernière, il est primordial que la liaison entre ASBR soit sûre, car un intrus se trouvant entre
les deux ASBR équivaut à un intrus ayant accès au cœur d'un réseau MPLS classique.
IV- UTILISATION DES FOURNISSEURS DE TRANSIT
Dans cette approche, plusieurs fournisseurs VPN utilisent un autre fournisseur de
service MPLS comme backbone de transit pour l’échange de routes VPN MPLS.
Plan de contrôle par approche Fournisseurs de Transit
ETUDE TECHNIQUE DE L’INTERCONNEXION VPN MPLS ENTRE DEUX FORUNISSEURS
PRESENTE PAR GANGA D. INNOCENT ET ASSOUMANE ISSOUFOU Page 10
Plan de transmission par approche Fournisseurs de Transit :
CONCLUSION
L’étude des différentes solutions techniques pour l’interconnexion des AS pour offrir
les services VPN, nous a permis de décrire de manière succincte les différentes solutions
techniques qui existent ainsi que leur avantages et inconvénients. L’utilisation d’une des ces
méthodes dépendra des besoins de chaque fournisseur et du nombre de client qu’il veut
interconnecter.
Il est ici fondamental que la SONATEL et CI TELECOM doivent pouvoir se faire
confiance entre eux, afin d'éviter qu'un fournisseur ne compromette pas l’autre. Cette
nécessité de faire confiance à tous les fournisseurs de service ne devrait pas de nos jours plus
exister, ne faisant qu'augmenter exponentiellement les sources de problèmes. Les technologies
comme ici MPLS, ou BGP devraient être améliorées afin de ne plus imposer cette condition.