cours MPLS

5/12/2018 cours MPLS - slidepdf.com

http://slidepdf.com/reader/full/cours-mpls 1/19

ENSA 2008-2009

Prof N.Idboufker

i

Prof N. IdboufkerENSA Marrakech

INTRODUCTION GENERALE.................................................................... 1

CHAPITRE 1 MPLS : NOUVELLE ARCHITECTURE POUR UN MEILLEUR SERVICE VPN-IP .................................................................................................. 3

INTRODUCTION................................................................................... 31. ARCHITECTURE MPLS...................................................................... 4

1.1. Concepts MPLS .................................................................... 41.1.1.Terminologie MPLS ............................................................ 41.1.2.Distribution de label........................................................... 51.1.3.Protocole LDP................................................................... 51.1.4.Tables MPLS..................................................................... 51.1.5.La notion de FEC............................................................... 61.1.6.Commutation des labels ...................................................... 6

1.2. Services MPLS ..................................................................... 7 2. SERVICE VPN-IP ........................................................................... 8

2.1. Modèles de référence VPN...................................................... 82.2. Modèles d’implémentation Overlay Vs Peer-to-Peer ....................10

2.3. MPLS VPN..........................................................................132.3.1.Vue générale...................................................................132.3.2.Composantes du réseau :....................................................13

2.3.2.1. Customer Edge : .........................................................132.3.2.2. Provider Edge ............................................................132.3.2.3. Provider Router..........................................................14

2.4. Apports du MPLS VPN........................................................... 142.4.1.Défis et Solutions .............................................................15

2.4.1.1. Overlapping...............................................................152.4.1.2. Connectivité contraignante ...........................................15

CONCLUSION GENERALE .....................................................................18

Sommaire



ENSA 2008-2009

Prof N.Idboufker

1

Introduction Générale

En moins de dix ans, nous avons assisté chez les opérateurs à l’avènement d’unmodèle infrastructurel révolutionnaire dont les caractéristiques sont l’interactivité descanaux de communication, l’instantanéité des échanges et la portée universelle.

Bénéficiant d’une infrastructure réseau robuste, couvrant toute la chaîne de valeurs Telecom (Mobile, Fixe, IP), riche en canaux de communication, en connecteurset en Gateways, les opérateurs offrent une diversification de services et des prestations àgrande valeur ajoutée [7] [9]. Cette diversification de prestations engendre une masseinformationnelle colossale à gérer et un niveau de synergies élevé entre les branches del’opérateur et vis-à-vis de l’extérieur.

A l’exception de la crise UMTS, cette dernière décennie constitue par excellencel’age d’or des opérateurs. Les revenus colossaux qu’ils ont réalisés leur ont permis debâtir une infrastructure réseaux robuste et dans les règles de l’art.

Maintenant que le régime de progression économique des opérateurs arrive à sonquasi stabilité et que les référentiels Opérateur sont bien définis, de nouveaux défis qu’ilfaut être capable de relever, sont constatés. En effet, la fin de l’ère du monopole et lalibéralisation du marché condamnent les opérateurs à réétudier leurs structuresorganisationnelles, procédurales et commerciales, héritées, généralement, d’une logiqueétatique.

Le cadre réglementaire actuel du marché des télécommunications tend donc àencourager la compétition et à permettre à plusieurs opérateurs de se positionner sue lemarché et de concurrencer sur les services réseaux notamment les services liés à la voix,aux données et au protocole IP.

En outre, on assiste à l’avènement de nouveaux outils commerciaux et de vente(e-business, gestion des relations avec la clientèle CRM (Customer RelationshipManager)) et la planification des ressources d’entreprises ERP (Enterprise Resources

Introductiongénérale



Introduction générale

ARCHITECTURE MPLS

ENSA- 2006/2007 Pr. N.Idboufker

2

Planning)), à l’accroissement du besoin des usagers en nouveaux services personnalisables et évolués non supportés par les réseaux traditionnels. Ces facteurscombinés à la forte tendance à la convergence des réseaux fixes et mobiles et des services

voix et donnés ont poussé les acteurs des télécommunications à déployer desinfrastructures réseaux convergentes.

Cette architecture utilise principalement le protocole IP et elle est axée sur leservice et non plus le simple transport des trafics clients. Elle transforme les opérateursréseaux en des fournisseurs de services au lieu de vendeurs de trafic en minute.

Néanmoins, le protocole IP a été développé sur deux principes de base. Primo, ila pour finalité de délivrer les paquets en mode datagramme en s’appuyant sur le routage"hop-by-hop". Secundo, il fournit un service opportuniste et de type "best-effort".

Sur un autre plan, l’omniprésence de la technologie ATM, dans l’évolution desréseaux IP accompagnée d’une demande de plus en plus grande en services, a convaincules architectes IP de la nécessité de doter ce protocole de mécanismes semblables à ceuxd’ATM afin d’approcher le routage aux performances de la commutation ATM. MPLS

fut alors créée.

MPLS est davantage une architecture qu’un protocole ou un modèle de gestion.En effet, elle est composée d’un certain nombre de protocoles définis ou en cours dedéfinition, et se base sur un ensemble de concepts tels que la classe FEC (ForwardEquivalent Class), les chemins virtuels,… En outre, elle trouve de nouveaux domainesd’applications l’approchant jour après jour des utilisateurs finaux en leur offrant desservices encore plus proches des couches applicatives tel que le service MPLS-VPN-IP.

Cette réalité a contraint les opérateurs à fournir encore plus de services et àadmettre l’importance cruciale et croissante de la relation avec sa clientèle pour l’acquériret la fidéliser. L’objectif est alors la différenciation des offres tout en fiabilisant et en

optimisant les ressources infrastructurelles. Ceci a abouti à la naissance du conceptqualité de service ou QoS et des procédures de gestion des niveaux QoS dont les plus

populaires sont SLS, SLA, SLM,…



ENSA 2008-2009

Prof N.Idboufker

3

Chapitre 1 MPLS : Nouvelle architecture pour un meilleur service VPN-IP

Introduction

Au début des années 90, un protocole original pour gérer la problématiqued’interconnexion des réseaux est apparu : IP (Internet Protocol), un moyen decommunication inventé par l’armée américaine et adopté par la suite par lesuniversitaires.

IP a été développé sur deux principes de base. Primo, il a pour finalité de délivrerles paquets en mode datagramme en s’appuyant sur le routage "hop-by-hop". Secundo,il fournit un service opportuniste et de type "best-effort".

L’explosion d’Internet a par la suite permis à un grand nombre d’ISP (Internet

Service Provider) de se développer et les plus grands d’entre eux ont déployé degigantesques infrastructures IP.

A l’époque, l’ensemble des plaques Backbone des ISP était bâti sur desarchitectures overlay IP s’appuyant sur des infrastructures ATM. Toutefois, cettesuperposition IP/ATM présentait un inconvénient : la nécessité de gérer l’explosion enO(n2) du nombre de circuits virtuels ATM nécessaires pour assurer un maillage completdes liaisons virtuelles entre les paires de routeurs connectés au nuage ATM sans pouvoirutiliser les capacités QoS de cette dernière. Cette omniprésence d’ATM, au niveau du

plan de transport, dans l’évolution des réseaux IP accompagnée d’une demande de plusen plus grande en services a conduit les architectes IP à la nécessité de doter ce protocolede mécanismes semblables à ceux d’ATM permettant d’approcher le routage IP aux

performances de la commutation ATM.

Dans ce contexte plusieurs constructeurs ont proposé des solutions decommutation IP. Parmi les plus connues, on reconnaît Tag Switching proposé par Cisco,IP Switching proposé par Ipsilon, ARIS proposé par IBM, Fast IP proposé par 3Com etSwitchNode de Nortel Networks. L’IETF s’est grandement inspiré de la solution deCisco pour la mise au point de la norme MPLS. MPLS fut alors créée. Au mois de mars1997, l’IETF a mis en place le groupe de travail MPLS pour définir une approchenormative de la commutation d’étiquettes.

Chapitre I



Chapitre Premier MPLS / VPN-IP

ARCHITECTURE MPLS


4

1. Architecture MPLS

1.1. Concepts MPLS

MPLS est davantage une architecture [1] qu’un protocole ou un modèle de

gestion. En effet, elle est composée d’un certain nombre de protocoles définis ou encours de définition, et se base sur un ensemble de concepts tels que la classe FEC, leschemins virtuels,…

1.1.1. Terminologie MPLS

Toute l’architecture MPLS [11] est organisée autour d’une principale notion queconstitue le label ou étiquette dont le format dépend explicitement des caractéristiquesdu réseau utilisé. Comme les identificateurs VPI/VCI de ATM, le label MPLS [12] n’aqu’une signification locale entre deux équipements MPLS. L’en-tête MPLS occupe 4octets (32-bits), composé de champs suivants :

Label: etiquette

MPLS

COS: (EXP): class

of service

TTL: time to live.

FIGURE 1 : ENTÊTE MPLS

Pour être en mesure de procéder au traitement de ce label, MPLS se base surl’utilisation de deux principales familles d’équipements à savoir :

Label switch router (LSR) : qui est un équipement de type routeur oucommutateur capable de commuter des paquets ou des cellules, en fonction de la valeurdes labels qu’ils contiennent. Dans le cœur du réseau, les LSRs procèdent toutsimplement à la lecture et la commutation des labels, et non les adresses des protocolesde niveau supérieur. Chaque LSR construit une table FIB (Forwarding Information

Base).Edge Label Switch Router (ELSR) : qui est un routeur d’extrémité qui joue un

rôle important dans l’assignation et la suppression des labels au moment où les paquetsentrent dans le réseau ou en sortent.

Label switch path (LSP) : c’est le chemin défini par les différents labels qui serontassignés à chacun des paquets. Il peut être statique ou dynamique, selon qu’il est définiou qu’il utilise les informations de routage. Ce LSP est fonctionnellement équivalent à uncircuit virtuel ATM ou Frame Relay.




ARCHITECTURE MPLS


5

1.1.2. Distribution de label

Les LSRs se basent sur l’information de label pour commuter les paquets autravers du backbone MPLS. Chaque routeur, lorsqu’il reçoit un paquet taggué, utilise lelabel pour déterminer l’interface et le label de sortie. Il est donc nécessaire de propagerles informations sur ces labels à tous les LSRs. Pour cela, des protocoles de distributions

de labels sont utilisés. A cet effet, ces protocoles doivent coopérer avec des protocoles deroutage de niveau supérieur IS-IS, OSPF, RIP, BGP,…

Différents protocoles peuvent être utilisés pour assurer la fonction de distributionde labels entre LSRs tels que le protocole TDP (Tag Distribution Protocol) propriétaireCISCO, le RSVP (Resource Reservation Protocol) utilisé en Traffic Engineering pourétablir des LSPs en fonction de critères de ressources et d’utilisation des liens, le MP-BGP (MultiProtocol Border Gateway Protocol) qui permet la distribution des labels enmême temps que la propagation des routes, IP et VPN, enfin le protocole LDP (LabelDistribution Protocol) , le plus utilisé, défini par l’IETF dans la RFC3036 [11] utilisé pourle mapping des adresses IP unicast,

1.1.3. Protocole LDP

Le LDP est un nouveau protocole permettant d’apporter aux LSRs lesinformations nécessaires concernant les différents labels d’un réseau MPLS. Les sessionsLDP [22] sont établies entre homologues d’un réseau MPLS sans que ceux-ci aientbesoin d’être adjacents.

L’échange des messages LDP suppose préalablement la découverte du voisinagesuivie de l’établissement d’une session de transport entre voisins LDP.

LDP est indépendant de tout protocole de routage, car il exploite la table deroutage que génère ce dernier. Comme tout protocole de distribution de labels, LDP a

pour objectif d’assigner des labels à des FECs et de les distribuer.

FIGURE 2: DISTRIBUTION DE LABELS

1.1.4. Tables MPLS

Sur la base des informations collectées par le protocole LDP, les LSRs et ELSRsconstruisent les deux tables LIB (Label Information Base) et LFIB (Label ForwardingInformation Base) qui serviront par la suite pour la prise de décision au niveau de la

Domaine IGP avec un protocol

de distribution de labels(LDP)

Ingress

LSR

LSR

Egress

LSR

Domaine MPLSLIB

LSR LSR

LSR

Domaine IGP avec un protocol

de distribution de labels(LDP)

Ingress

LSR

LSR

Egress

LSR

Domaine MPLSLIB

LSR LSR

LSR




ARCHITECTURE MPLS


6

commutation de labels. En effet, pour chaque valeur prise par la classe de transfert, FEC,la connectivité VPN est traduite au niveau de la table LIB à travers tous les labelscollectés par les LSRs voisins. De son côté, la table LFIB est utilisée pour lacommutation proprement dite des paquets MPLS, elle est en fait composée d’un sous-ensemble de la LIB.

FIGURE 3 : TABLE DE COMMUTATION MPLS

1.1.5. La notion de FEC

La mise en œuvre de MPLS repose sur la définition de caractéristiques communesà un ensemble de paquets. Ces caractéristiques constitueront la base du traitement

réservé à ces paquets et dont dépendra tout particulièrement leur acheminement.Cette nouvelle notion introduite par MPLS appelée FEC (Forwarding Equivalence

Class) est fondamentale à la compréhension de la puissance et la souplesse des réseauxMPLS.

Ainsi, MPLS permet de constituer différentes classes FEC selon des critères aussi variés que les besoins humains en matière de communication : même adresse source,même adresse destination, même contexte QoS, même niveau de sécurité…

A la différence du routage traditionnel, l’assignation de la valeur FEC se fait justeau niveau de l’accès au réseau.

1.1.6. Commutation des labelsComme il a été expliqué, le principe de base de MPLS est la commutation de

labels. Ces labels, simples nombres entiers, sont insérés entre les entêtes de niveaux 2 et3 par les routeurs ELSRs sur la base de la valeur FEC. Les paquets sont par la suitecommutés par les routeurs LSRs tout au long du réseau jusqu’à destination, sans avoirbesoin de consulter l’entête IP et leur table de routage. Une fois arrivé au niveau durouteur ELSR de sortie, le label est supprimé pour procéder au routage du paquet. Leschéma suivant montre le rôle des différents routeurs en fonction de leur emplacementdans le réseau MPLS :

IP packetD=171.68.10.12

Label = 21

Label = 7

IP packetD=171.68.10.12

Label = 21

Label = 5

RTr-CRTr-BRTr-A

Out LAB

7

…

AdressPrefix

171.68.10/24

…

OutI/F

1

…

IN LAB

5

…

INI/F

0

…

171.68.10/24




ARCHITECTURE MPLS


7

FIGURE 4 : COMMUTATION DE LABELS DANS UN RESEAU

1.2. Services MPLS

Le concept de MPLS est intellectuellement intelligent dans ses principes et trèsséduisant dans ses intentions. Son objectif est de tirer profit de la capacité detransmission des technologies existantes tels que ATM et FR (Frame Relay).

Ainsi, MPLS a su apporter la puissance de la commutation au domaine de routage pour être adoptée comme technologie autour de laquelle peuvent être bâtis de rapideréseaux dorsaux. En outre, MPLS trouve de nouveaux domaines d’applicationsl’approchant jour après jour des utilisateurs finaux en leur offrant des services proches

des couches applicatives.

La figure ci-dessous énumère quelques exemples de nouveaux services à valeurajoutée pouvant se greffer au dessus de MPLS.

FIGURE 5 : SERVICES MPLS

Dans la suite de ce chapitre nous allons exposer le principal service qui peut être

immédiatement mis en place au dessus de MPLS à savoir le service VPN-IP.

Ingress

LSR

LSR

Egress

LSR

BackboneMPLS

LSR LSR

LSR Imposition de label

Les paquets sont classésàleurs

entrée dans lebackbonepar le

EdgeLSRsuivantl’IGPou les

critères deQoSou TE…

Imposition de label

Suppression de label

Simple commutation des labels pas

de reclassent dans lebackbone

LesEdgeLSRretirent les labels

et délivrent les paquets

Ingress

LSR

LSR

Egress

LSR

BackboneMPLS

LSR LSR

LSR Imposition de label

Les paquets sont classésàleurs

entrée dans lebackbonepar le

EdgeLSRsuivantl’IGPou les

critères deQoSou TE…

Imposition de label

Suppression de label

Simple commutation des labels pas

de reclassent dans lebackbone

LesEdgeLSRretirent les labels

et délivrent les paquets

LL22 pprroottooccoollss ( ( PPPPPP,, PPOOSS,, A A T TMM,, FFR R ,, GGR R EE,, ...... ) )

CCEEFFPPeerr--LLaabbeell FFoorr w w aarrddiinngg,, QQuueeuuiinngg,, MMuullttiiccaasstt,,R R eessttoorraattiioonn

LLDDPPR R SS V V PP

LLaabbeell FFoorr w w aarrddiinngg IInnf f oorrmmaattiioonn BBaassee ((LLFFIIBB))

IIPP

SS w w iittcchhiinngg

IIPP

CCooSS

T Trraaf f iicc

EEnnggiinneeeerriinngg

FFaasstt

R R eessttoorriinngg

DDiif f f f SSeerr v v

T TEE

MMuullttiiccaass

tt

OOSSPPEE

IISS--IISS

A A T TOOMM

A Anny y T Trraannssppoorrtt

oo v v eerr MMPPLLSS

V V iirrttuuaall PPrrii v v aattee NNeett w w oorrk k ss

LL22

V V PPNNIIPP v v 66 CCaarrrriieerr

SSuuppppoorrttiinng g

BBGGPPLLDDPP

MMuullttiiccaasstt

OO v v eerr V V PPNN




ARCHITECTURE MPLS


8

2. Service VPN-IPL’étendue géographique de la connectivité IP amène les opérateurs de service à

utiliser l’infrastructure publique pour assurer une interconnexion de sites clients denature privés par l’utilisation des ressources publics. Ainsi la mise en place du service de

réseau privé virtuel VPN ‘Virtual Private Networks’ [1] est devenue une nécessitée.Le service VPN consiste en la mise en place d’un réseau privé bâti sur une

infrastructure mutualisée fournie par l’opérateur de service SP ‘Service Provider’.L’aspect virtuel est dû à l’absence de la réservation lien physique de bout en bout entreles différents sites du même client. Ajoutons à cela que la confidentialité est assurée parla préservation des plans de routage et d’adressage de ce même client.

Les arguments plaidant pour le choix de ce nouveau type de service sont principalement l’optimisation des ressources opérateurs, l’efficience des coûts, laflexibilité et la simplicité de gestion.

Il est à rappeler que le concept VPN n’est pas nouveau. En effet, des technologies

comme RNIS, FR ou ATM ont été, et le sont toujours, utilisées durant la dernière décadecomme base d’implémentation de ce service. Ce sont des technologies qui utilisent descircuits virtuels pour établir des connexions point-à-point, conduisant au partagestatistique de l’infrastructure SP.

2.1. Modèles de référence VPN

Les modèles de référence VPN se basent sur trois composantes fondamentales àsavoir :

CE (Customer Edge) qui est l’équipement permettant au client l’accès au réseau àtravers une connexion vers le routeur PE ;

PE (Provider Edge) qui est le routeur desservant un ensemble de CEs.

Routeur P : qui est le routeur backbone qui permet l’interconnexion des PEs sansavoir de connexion vers les CEs.

Dans la littérature Télécoms trois principaux modèles de référence VPN sontgénéralement répertoriés : CPE-Based VPN, Network-based layer 3 IPVPN et le modèleNetwork-based layer 2 IPVPN et qui sont illustrés par les figures 1 et 2.

La connexion CE-PE peut être supportée par tout type de connexion d’accès et peut consister en un circuit physique dédié, un circuit logique (FR ou ATM), ou untunnel IP (utilisant par exemple IPsec, L2TP). Dans le backbone SP, les tunnels VPN

sont normalement utilisés pour interconnecter les équipements PEs.




ARCHITECTURE MPLS


9

FIGURE 6 : MODÈLE CPE-BASED VPN

Dans le cas du CPE-Based VPN et vis-à-vis des mécanismes de contrôle du VPN,le réseau de l’opérateur de service est complètement transparent. Tandis que dans le casdu modèle Network-Based VPN toute l’intelligence est hébergée dans le routeur PE duSP. En effet, et dans le contexte du Network-based VPN, chaque routeur PE met enœuvre une ou plusieurs instances VFI et maintient un état par VPN. Une instance VFI

‘VPN Forwarding Instance’ peut être définie comme étant une entité logique, dédiée,résidant dans le routeur PE qui contient la base d’information du routeur ainsi que labase d’information de transfert (Forwarding) pour un VPN spécifique. Généralement,une VFI termine les tunnels d’interconnexion avec les autres VFIs et peut aussi terminerles connexions d’accès aux CEs. En fonction de l’architecture VPN, la VFI peut aussi

prendre l’appellation de VRF ou VR expliquées dans le paragraphe 2.3.2.

Le Network-Based layer 2 IPVPN est une variante du modèle Network-Basedlayer 3. Dans cette variante le concept de VSI ‘Virtual Switching Instance’ prend la placede la VFI du modèle de couche 3. Comme la VFI, la VSI est hébergée par le routeur PE.Elle supporte les fonctions relatives au processus de Forwarding des trames de niveau 2,

des cellules ou des paquets pour un VPN spécifique en plus de la terminaison destunnels VPNs.




ARCHITECTURE MPLS


10

FIGURE 7 : MODÈLE NETWORK -BASED LAYER 3 IP-VPN

FIGURE 8 : MODÈLE NETWORK -BASED LAYER 2 IP-VPN

2.2. Modèles d’implémentation Overlay Vs Peer-to-Peer

Une autre méthode qui est très utilisée pour la classification des VPNs se base surla logique d’échange des informations de routage entre le CPE et le SP [1]. Deux

principaux modèles peuvent être définis sur la base de ce critère :




ARCHITECTURE MPLS


11

1. Le modèle Overlay où le service VPN est fonctionnellement équivalent à desliaisons louées émulées. Le SP et le CE n’échangent aucune information de routagede niveau 3. Ce modèle offre une nette séparation des domaines de responsabilitésClients et SP. Néanmoins, l’implémentation d’un nouveau site nécessite la mise àjour de la matrice de trafic, l’ajout de (n-1) PVC ‘permanent virtual conduit’, larévision de la taille des PVCs en maille complète, la mise à jour du routage et la

reconfiguration de chaque CPE pour la topologie couche 3.

FIGURE 9 : MODÈLE OVERLAY VPN

2.Le modèle Peer to Peer qui se base sur le principe de la participation active du SPdans le routage client, l’acceptation de ses routes, leur transport sur le backbone etfinalement leur distribution vers les autres sites clients. C’est en effet un modèlesimple, souple et extensible offrant une facilité de provisioning et une meilleuregestion des ressources réseau.

FIGURE 1 0 : MODÈLE PEER TO PEER VPN

Chacun des deux modèles présente des avantages et des inconvénients. Lestableaux ci-dessous résument l’essentiel de la critique :

CE

PE

PE

PE

PE

CE

CECE

Site 1Site 2

Site 3 Site 4

VR

PE

PE

PE

PE

CE

CE

CE

Site 1Site 2

Site 4Site 3




ARCHITECTURE MPLS


12

Les avantages :

Overlay VPN Peer to Peer VPN

- Implémentation facile et archi-connue

- Le Fournisseur de service ne participe pas

au routage client- Le réseau client et le réseau du Fournisseursont bien isolés

- Garanti un routage optimale entre les sitesclients

- L’ajout d’un site additionnel est plus facile- Les sites sont les seuls à êtreapprovisionnés et non les liaisons

Les inconvénients

Overlay VPN Peer to Peer VPN

- L’implémentation d’un routage optimalerequiert des VC (virtual conduit) en maillecomplète

- Les VCs sont approvisionnés manuellement- La bande passante doit être approvisionnéesur la base du site à site

- Souffre de l’encapsulation d’overheads

- Le Fournisseur participe dans le routageclient

- Le Fournisseur devient responsable de la

convergence chez le client.- Les PEs diffusent toutes les routes desclients

- Le Fournisseur a besoin d’uneconnaissance accrue du routage IP

Les points cités ci-dessus, et dans le cas des implémentations opérateurs, militenten faveur de l’utilisation d’une architecture hybride mettant en jeu le modèle Network-Based layer 3 IPVPN utilisant une logique Peer to Peer pour l’échange des informationsde routage.

FIGURE 1 1 : CLASSIFICATION DES TECHNOLOGIES VPN

VPN

VPN

Overlay

VPN Peer

To Peer

VPN Classique

Couche 2

VPN MPLS

Couche 2

VPN IP

Tunneling

VPN X25

VPN FR

VPN ATM

VPN GREVPN IPsec

VPN avec routeurs dédié

VPN BGP/MPLS

VPN Routeurs Virtuels




ARCHITECTURE MPLS


13

2.3. MPLS VPN

2.3.1. Vue générale

Le RFC 2547bis [13] définit un mécanisme permettant aux SPs d’utiliser leurbackbones IP pour offrir des services VPN. Ces VPNs son communément appelés

BGP/MPLS-VPNs vu que le protocole BGP est utilisé pour la distribution desinformations de routage à travers le backbone, et que MPLS est utilisé pour acheminer letrafic d’un site du VPN à un autre.

Les objectifs de cette approche sont de rendre le service simple d’usage pour lesclients même s’ils ne disposent pas d’expérience dans le routage IP, de le rendreextensible et flexible pour faciliter un déploiement à grande échelle et de permettre au SPd’offrir un service à forte valeur ajoutée capable de galvaniser sa loyauté.

2.3.2. Composantes du réseau :

Au niveau Infrastructure, la mise en œuvre du service VPN repose sur le

déploiement d’un ensemble d’équipements. A savoir les routeurs CE, PE et P.Dans le contexte du RFC 2547, un VPN est défini par une collection de politiques

qui contrôlent la connectivité d’un ensemble de sites. Ainsi, un site client est connecté auréseau du SP par un ou plusieurs ports, et le SP associe à chaque port une table deroutage VPN appelée VRF (VPN Routing and Forwarding).

FIGURE 1 2 : ARCHITECTURE D’UN R OUTEUR VIRTUEL –VR-

2.3.2.1.Customer Edge :

Le CE (Customer Edge) est l’équipement qui permet l’accès du client au réseaudu SP à travers un ou plusieurs routeurs PE. Typiquement, c’est un routeur qui établitune adjacence avec les PEs auxquels il est directement connecté. Après l’établissementde l’adjacence, le CE annonce aux PEs les routes VPN du site local pour qu’il puisserecevoir de ce dernier les routes VPN distantes.

2.3.2.2.Provider Edge

C’est grâce au concept de routeur PE (Provider Edge) implémentant une ou plusieurs VRF qu’il est devenu possible de mettre en place des réseaux d’opérateurssouples et commercialement viables. Le PE échange les informations de routage avec leCE en utilisant le routage statique ou dynamique, RIPv2, OSPF ou BGP. Au moment où

Routeur PE

CE

P

VR 1

VR 2

VR 3




ARCHITECTURE MPLS


14

le PE maintient les informations de routage VPN, il lui est requis seulement de maintenirles routes VPN de ceux qui lui sont directement connectés. Ce qui contribue fortement àl’amélioration de l’extensibilité du réseau.

Chaque PE maintient une VRF relative à chaque site qui lui est directementconnecté. Chaque connexion (Frame Relay, LL, ..) est mappée à une VRF spécifique.

D’où la justification du choix d’un port (interface), et non un site, pour l’associer à une VRF. L’étanchéité des VPNs est rendu possible grâce au maintient par le PE d’unemultitude de VRF, rendant aisée la tache de routage et améliorant les performances deséquipements de commutation.

Les informations de routage locales aux CEs sont utilisées par les routeurs PE pour établir, via BGP, la connectivité IP. Cette connectivité IP sera par la suite traduiteen connectivité de label.

2.3.2.3.Provider Router

Le routeur P est n’importe quel routeur situé dans le backbone MPLS et qui n’estconnecté à aucun CE. Le P fonctionne en MPLS transit (LSRs) quant il achemine un

trafic VPN entre PEs. Les P sont chargés du maintien des routes au PE, et non dumaintien d’information spécifique de routage pour les sites clients.

2.4. Apports du MPLS VPN

La mise en place du service VPN sur la base de l’architecture MPLS profite pleinement des avantages de celle-ci en terme séparation des plans logiques et physiquesà savoir :

L’absence de contraintes sur le plan d’adressage [14] adopté par chaque VPNclient. Le client peut ainsi utiliser un adressage publique ou privé. Pour le SP,

plusieurs clients peuvent utiliser les mêmes plages d’adresses.

Du fait que le modèle adopté est le Network Based layer 3 VPN, le CEn’échange pas directement les informations de routage avec les autres CE dumême VPN. Les clients ne sont alors pas obligés d’avoir une parfaiteconnaissance du schéma de routage utilisé dans le réseau.

Les clients n’ont pas un backbone virtuel à administrer. De ce fait, la tache demanagement PE ou P, voire CE, est une tache de moins.

Le SP administre un seul réseau mutualisé pour l’ensemble de ses clients.

Le VPN client peut s’appuyer sur un ou plusieurs backbone SP.

Même sans l’utilisation de technique de cryptographie, la sécurité estéquivalente à celle supportée par les VPNs de la couche 2 (ATM ou FrameRelay).

Les SPs peuvent utiliser une infrastructure commune pour offrir les services deconnectivité VPN et Internet.

Conformité au modèle DiffServ.

Une QoS flexible et extensible grâce à l’utilisation des bits EXP de l’entêteMPLS ou par l’utilisation du trafic Engineering (RSVP)

Le modèle RFC 2547bis est indépendant du lien de la couche 2.




ARCHITECTURE MPLS


15

2.4.1. Défis et Solutions

MPLS-VPN utilise plusieurs mécanismes pour améliorer l’extensibilité de sonapproche et résout ainsi des problèmes spécifiques d’exploitation. Le support duchevauchement des plans d’adressages ou Overlapping, la connectivité contraignante auréseau et le maintien à jour des informations de routage VPN ont été les principaux défis

à relever.2.4.1.1. Overlapping

Les clients VPN gèrent souvent leurs propres réseaux et utilisent des espacesd’adresses privés conformes au RFC 1918 [14] définissant les plages d’adressage privé. Siles clients n’utilisent pas des adresses universelles, les mêmes adresses IPv4 [4]peuventêtre utilisées pour identifier différents systèmes dans différents VPNs. Le résultat seraitl’échec de routage vu que BGP [3]exige que chaque adresse IPv4 qu’il véhicule soitglobalement unique. Pour surmonter cette difficulté MPLs-VPN supporte un mécanismequi convertit les adresses IP non uniques en adresses uniques par la combinaison del’utilisation de la famille d’adresses VPN-IPv4 grâce au déploiement des extensions du

Multi-Protocoles BGP (MP-BGP) [15][16].BGP est un protocole qui traite deux routes ayant le même préfixe comme si elles

sont équivalentes et n’en garde qu’une seule.

Présentant l’inconvénient de ne supporter que les adresses IPv4, BGP a contraintl’IETF à se pencher sur la question et publier les RFC 2283 [15] et 2858 [16]. Lesextensions objets de ces RFCs ont donné naissance au MP-BGP, que les PE doiventsupporter à la place du BGP conventionnel. Ainsi, la famille d’adresses VPNv4 a étéadoptée comme solution à la problématique d’overlapping. Une adresse VPNv4 estformée de 12 Octets. 8 octets composent le RD (Route Distinguisher) suivi des octets del’adresse IPv4.

FIGURE 1 3 : FORMAT D’ADRESSE VPN-V4

2.4.1.2.Connectivité contraignante

Assumant une table de routage qui ne contient pas une route par défaut, il estadmis, pour le routage IP, que si la route à un réseau spécifique n’est pas installée dansune table de transfert ‘Forwarding Table’ ce réseau est alors injoignable.

Le modèle MPLS-VPN se base sur un contrôle plus granulaire des informationsde routage par l’ajout de deux mécanismes supplémentaires à savoir le MultiplesForwarding Tables et le BGP extended communities.

Multiples Forwarding Tables :

Au niveau d’un routeur PE, chacune de ses VRFs est associée à un ou plusieurs deses ports (interfaces/sous interfaces) qui le connectent directement au site client. Si un

site donné contient des machines qui sont membres dans plusieurs VPNs, la VRF

Type Field Administrator fieldAssignedNumberSubfield

IPv4AdressPrefix

2 Octets 6 Octets 4 Octets




ARCHITECTURE MPLS


16

associée au site client contient alors des routes pour tous les VPNs dans lesquels ce siteest membre.

BGP extended communities :

La distribution des informations de routage est conditionnée par l’usage desnouveaux attributs du BGP que sont les Extended Communities. Ces attributs font

parties des messages BGP en tant qu’attributs de la route. Ils identifient la route commeappartenant à une collection spécifique de routes et qui font objet de la même politiquede traitement. Chaque attribut BGP Extended Community doit être globalement uniqueet ne peut alors être utilisé que par un seul VPN. Néanmoins, un VPN d’un client donné

peut faire usage du « BGP Extended Communities » pour aider au contrôle de ladistribution des informations de routage. Les attributs BGP Extended Communitiesutilisés sont de 32 bits au lieu de 16 bits.

L’utilisation de ces 32 bits vise l’amélioration de l’extensibilité des réseauxd’opérateurs à 232 communities. Par ailleurs et puisque l’attribut contient l’identificateurdu système autonome du SP, il peut aussi servir pour contrôler l’attribution locale tout en

maintenant son unicité. Trois types d’attributs BGP Extended Communities sontutilisés :

Le RT (Route Target) qui identifie une collection de sites VRFs verslesquelles le PE distribue les routes. Un PE utilise cet attribut pourcontraindre l’import de routes vers ses VRFs.

Le VPN-of-origin qui identifie une collection de sites et établit la routeassociée comme venant d’un des sites de l’ensemble.

Le Site-of-origin qui identifie le site spécifique à partir duquel le PE apprendune route. Il est encodé comme attribut de « route origin extendedcommunity », qui peut être utilisé pour prévenir les boucles de routage.

En mode opérationnel, et avant de distribuer ses routes locales aux autres PEs, lePE d’entrée affecte un RT à chaque route apprise par les sites directement connectés, quiest basé sur la valeur de la politique cible d’export configurée. Cette approche offre uneflexibilité énorme dans la mesure où un PE peut attribuer un RT à une route.

Le PE d’entrée (ingress) peut ainsi être configuré pour assigner un seul RT àl’ensemble des routes apprises d’un site donné, ou d’assigner un RT à un groupe deroutes apprises d’un site et autres RTs aux autres routes apprises d’un autre.

Avant d’installer les routes distantes distribuées par un PE, chaque VRF dans unPE sortant (egress) est configurée avec une politique import cible. Un PE peutuniquement installer une route VPNv4 dans une VRF si le RT transporté avec la routecorrespond à une VRF import cible.

Cette approche permet à un SP d’utiliser un seul mécanisme pour servir les clientsayant une large politique de connectivité inter sites. Par le biais d’une configurationsereine d’Import Target et Export Target, le SP peut alors construire différents types detopologies VPN : maille complète, maille partielle, Hub, Spoke, ….

Maintien à jour des informations de routage :

Lors de tout changement de la configuration d’un PE par la création d’unenouvelle VRF ou l’ajout d’une ou de plusieurs politiques Import Target à une VRF, le PEaura besoin d’obtenir les routes VPN-Ipv4 qu’il a annulé auparavant.



ENSA 2008-2009Prof N.Idboufker

17

Le BGP4 peut présenter une entrave à la mise à jour rapide que nécessite le PE dansla mesure où il s’agit d’un protocole stateful qui ne procède pas au rafraîchissementautomatique des routes, une limitation dont ne souffre pas le MP-BGP grâce à sa fonction

Route Refresh Capability. Ainsi lors du changement de la configuration d’un PE, celui-cienvoie une requête de mise à jour via le MP-iBGP peer. Quand les routes sont rediffusées, la politique Import Target est alors appliquée et le PE procède à la population de ses VRFs.



ARCHITECTURE MPLSENSA- 2006/2007 Pr. N.Idboufker

18

Conclusion générale

L’offre commerciale de tout opérateur ne peut être viable que si elle est personnaliséeet adaptée aux besoins de chaque client. La QoS est une symphonie se basant sur uneharmonie complète entre les différentes composantes du réseau MPLS. De ce fait, la mise enœuvre de la QoS, au niveau de la couche IP, pour le service VPN-IP passe par la finespécification d’une politique agissant à l’échelle globale du réseau et mettant en jeul’ensemble des potentialités de différentiation et de gestion des équipements du réseauMPLS au niveau des plans accès et du plan Backbone. Ajoutons à cela qu’il est impératif dedoter le plan de gestion de fonctionnalités de spécification, de provisioning et de reportingQoS permettant la mise en évidence de la qualité du service rendu au niveau du Backbone(PE-PE) et au client CE-CE. Aussi, il faut noter que les métriques SLA doivent être les pluslarges possibles, se basant sur une multitude de test effectué au niveau Backbone pourmieux modéliser et caractériser les métrique QoS.

Conclusiongénérale

cours MPLS

Documents

Transcript of cours MPLS