Cours Routage MPLS VPN-IP

Concepts fondamentaux pour le routage IP

Prof. Noureddine Idboufker

[email protected]

Version 2010-2011

2GRT5-M3-MPLS-VPN-MCast

Introduction

Les échanges de données font partie intégrante des réseaux

Ces réseaux sont des environnements de communication hétérogènes et indépendants (entreprises ou au grand public)

Les deux dernières décennies ont vu émerger de nouvelles techniques :

L’interconnexion d’un grand nombre de réseaux

faisant apparaître les réseaux, à l’utilisateur, comme un environnement de communication homogène.


Introduction

Ces techniques modernes, appelées modèles d’interconnexion ou ‘InterNetworking’.

prennent en compte la diversité et la multiplicité des environnements matériels et logiciels des réseaux

fournissent des moyens et des mécanismes de communication s’affranchissant le plus possible de leurs hétérogénéités.

Ces mécanismes ont par la suite conduit à la naissance du réseau des réseaux baptisés ‘Internet’ dont l’extension est toujours croissante


Concept Internet

Routeur

Routeur

IP IPIP IP

A

Encapsulation Décapsulation

En-tête Réseau A

BIP IPC IP

Réseau A

Réseau B Réseau B


1968 : le début1977: 111 hosts Internet1981: 213 hosts1983: 562 hosts1984: 1,000 hosts1986: 5,000 hosts1987: 10,000 hosts1989: 100,000 hosts1992: 1,000,000 hosts2001: 150 – 175 millions hosts2002: plus de 200 millions hosts

En 2010, 80% de la planète sur InternetSource : Internet Society 2005

1987

1968

Démocratisation du Web !


Internet Stats

Les dernières minutes du dernier trimestre 2009Q3 ont vu l'augmentation du nombre d'utilisateur des services du réseau Internet pour atteindre 1,733,993,741 utilisateurs.

Ceci peut être traduit par un monde dans lequel une personne sur quatre est actuellement connecté à Internet et plus précisément 25.6% de la population mondiale est actuellement connectée.


Top 10 des langues Internet

1‐ Anglais : 478,442,379 utilisateurs2‐ Chinois : 383,650,713 utilisateurs3‐ Espagnol : 136,524,063 utilisateurs4‐ Japonais : 95,979,000 utilisateurs5‐ Français : 78,972,116 utilisateurs6‐ Portugais : 73,052,600 utilisateurs7‐ Allemand : 64,593,535 utilisateurs8‐ Arabe : 50,422,300 utilisateurs9‐ Russe : 45,250,000 utilisateurs10‐ Coréen : 37,475,800 utilisateurs11‐ Autres : 289,631,235 utilisateurs


Internet avec Adresses hybrides

D'ici 2010, les noms de domaine internationalisés devraient être une réalité.

L'ICANN a en effet approuvé ce matin une procédure accélérée pour autoriser l'utilisation de caractères spéciaux dans les extensions de noms de domaine.

Selon l'organisme chargé de réguler Internet, c'est plus de 100 000 nouveaux caractères qui pourront être utilisés.

les internautes pourront remplacer les célèbres .com, .net ou .org par leurs équivalents en chinois, en coréen, en arabe ….


Modèles d’interconnexion

tout modèle d’interconnexion vise la mise en relation de deux

ou plusieurs entités situées sur des réseaux différents.

En fonction du niveau, par rapport au modèle OSI, où s’opère

la fonction d’interconnexion on distingue deux principaux

modèles :

Niveau application

Niveau Réseau


Modèle d’interco

Interco Réseau

Transport

Data-Link

Network

Physical

Interco Applicatif

Session

Presentation

Application



Interconnexion au Niveau ‘Application’ : un applicatif s’exécutant au niveau de chaque ordinateur

Prend en charge l’interprétation des détails propres à la connexion

Assure l’interopérabilité avec les autres applications

Solution non extensible

Adoptée puis abandonnée


Interconnexion au niveau ‘Réseau’ : un mécanisme de contrôle en ‘temps réel’

Dissocie de la notion de communication des détails techniques des réseaux

Achemine des unités de données vers la destination finale

Réalise une interconnexion unifiée et coopérante, visant d’assurer un service de communication universel.

Mise en œuvre globale et extensible de l’interconnexion de réseaux hétérogènes

Utilise des équipements appelés ‘Routeurs’



Indépendance


Définition du routage

Couche 3 de l’OSIC’est un processus dans lequel un équipement

Collecte, Maintient et Diffuse les informations d’accessibilité dans l’objectif de :

calculer, sélectionner et atteindre les différentes destinations dans un Internet.


Définition du routage

Tout processus de routage est fondé sur trois principaux mécanismes : 1. un protocole qui permet d’acquérir la connaissance

du réseau et de réagir aux événements ;2. un algorithme qui calcule, sur la base de ladite

connaissance et suite aux demandes protocolaires, les chemins menant les données à destination ;

3. une table qui associe les destinations logiques aux interfaces physiques du routeur.


Composantes de base du routage

Tout routeur doit au minimum implémenter et exécuter en parallèle des processus distincts :

La commutation : les unités de données sont reçus sur un port d’entrée (i), transférés vers un port de sortie (j) et enfin émis sur ce dernier port.

Le routage qui permet la construction d’une table de routage qui spécifie le port de sortie correspondant à l’adresse de destination du paquet.

La gestion : fournir des données supplémentaires pour la commutation Émission de paquet

Gestion

Commutation

Routage

Réception de paquet


Architecture Routeur

Routing Engines

Packets In Packets OutPacket Forwarding Engines


Routeur IP

Data est envoyée sous forme de paquets entre 2 terminaux

Les routeurs sont utilisés pour dirigés les paquets vers sa destination


Routeur IP

Les Routeurs examinent l’adresse IP de destination du paquet et determine le meilleur chemin selectionné à partir de la table de routage


Routeur IPRouteurs Opèrent au niveau des couches 1, 2 & 3

Routeur reçoit une trame de bits codésLes Bits sont décodés et relayés à la layer 2Routeur de‐encapsule la trameLes paquets sont relayés à la layer 3‐les décisions de routage sont effectuées au niveau de la couche 3 suite à l’examen de IP addresse de destination

Paquet est re‐encapsulé & envoyé sur l’interface de sortie


Architecture d’un routeur

CPU Flash RAMROM NVRAM

E/S E/S E/S E/S



Unité centrale (CPU)

L’unité centrale, ou le microprocesseur, est responsable de l’exécution du système d’exploitation (chez Cisco, c’est IOS) du routeur.

Le système d’exploitation prend aussi bien en charge les protocoles que l’interface de commande via une session telnet.

La puissance du microprocesseur est directement liée à la puissance de traitement du routeur



Mémoire Flash

La flash représente une sorte de ROM effaçable et programmable.

La flash est utilisé pour maintenir une image d’un ou plusieurs systèmes d’exploitation.

Il est tout à fait possible de maintenir plusieurs images sur la même flash (suivant la taille de la flash).

La mémoire flash est pratique car elle permet une mise à jour de la mémoire sans changer de hardware .

La flash peut se présenter sous forme de barrette mais aussi sous forme de carte.



ROM

La ROM contient le code pour réaliser les diagnostics de démarrage (POST : Power On Self Test).

En plus, la ROM permet le démarrage et le chargement du système d’exploitation contenu sur la flash.

On change rarement la ROM.

Si on change la ROM, on doit souvent enlever des “chips” et les remplacer.



RAM

La RAM est utilisé par le système d’exploitation pour maintenir les informations durant le fonctionnement.

Elle peut contenir les tampons (buffer), les tables de routage, la table ARP, la configuration mémoire et un nombre important d’autres choses.

Et comme c’est de la RAM, lors de la coupure de l’alimentation, elle est effacée.



NVRAM (RAM non volatile)

Le problème de la RAM est la non‐conservation des données après la coupure de l’alimentation.

La NVRAM solutionne le problème, puisque les données sont conservées même après la coupure de l’alimentation.

L’utilisation de la NVRAM permet de ne pas avoir de mémoire de masse (Disques Durs, Floppy).

Evite les pannes dues à une partie mécanique.

La configuration est maintenue dans la NVRAM.



ROM

- Bootstrap- IOS- Rxboot

RAM

- Active config

- Tables- Buffers

NVRAM

- Startupconfig

Flash

- IOS- Otherfiles


Modes de Transmission

En première approximation, on peut considérer qu’il y a deux modes de transmission :

1. le Mode DiffusionDiffusion globale ‘Broadcast’

Diffusion sélective ou ‘Multicast’

2. le ‘Mode Point à Point’ ou ‘Unicast’

Les réseaux géographiquement limités utilisent le mode de diffusion Braodcast, voire Multicast

les réseaux de grandes échelles utilisent un routage de type Unicast


Types de routage

1. Routage à la source

2. Routage saut par saut


Le routage à la source

C’est la détermination complète de la route par la source.

Le premier commutateur décide de l'ensemble des nœuds à prendre pour accéder au destinataire.

Pour permettre ce calcul, le nœud doit posséder les caractéristiques et la topologie de l'ensemble du réseau.

Cette méthode est particulièrement utile pour les réseaux à haut débit ou l'on souhaite offrir un maximum de connections par unité de temps.

il ne faut pas que les performances soient détériorées par un temps de calcul de route trop long.

Pour que ce routage soit efficace, il est indispensable que les données sur le réseau soient parfaitement à jour.


Saut par saut

Pour des réseaux de quelques centaines de noeuds on préfèrera le routage de source

Le routage à la source car il est plus rapide, le calcul de la route n'est effectué qu'une seule fois

Pour les autres réseaux, on choisira un routage dynamique nœud par nœud pour ne pas surcharger en mémoire et en temps de calcul les nœuds du réseaux.


Modes de routage

Le mode de routage définit le processus qui permet au routeur de prendre la décision d’acheminement des unités de données.

Dans le monde Internet deux principales familles de modes de routage peuvent être dénombrées.

Définis à travers la procédure utilisée pour procéder à la mise à jour de la table de routage :

1. le mode de routage Statique

2. le mode Dynamique.


Routage statique

Au sein des petits réseaux évoluant lentement, les administrateurs réseaux :

peuvent gérer manuellement la table de routage

la mettre à jour chaque fois que l’ajout ou à la suppression d’un réseau a eu lieu.

Ce mode ne prend pas en charge les environnements comme l’Internet

la modification manuelle de la table de routage est à la fois consommatrice de temps, de ressources et sources d’erreurs.


Routage Statique

Routes Statiques :

Un routeur configuré avec des routes statiques utilise des routes telles qu’elles ont été entrées par l ’administrateur.

Exemple d ’utilisation :

Accès à un réseau d’extrémité (Stub Network)

Route par défaut

Configuration de trois éléments :

Adresse du réseau IP de destination

Masque associé

Adresse IP du routeur suivant


Routage dynamique

Palier aux limitations du mode statiqueméthodes automatiques

pour la construction d’une table de routage temporaire sont utilisées.

amélioration de la fiabilité et de la résistance aux pannes.

Les routeurs utilisent des protocoles assurant l’échange d’informations spécifiques pour

1. le calcul de l’accessibilité d’un réseau,

2. la détection de la modification de la topologie

3. la construction de la table de routage qui en découle.

Le processus de routage est d’autant plus rapides que le protocole de routage utilisé est efficace.


Routage Hiérarchique

Découpage du réseau en Zone

Minimiser le sur-débit protocolaire

Segmentation en fonction du degré d’interaction entre les composantes de la zone


Autonomous System

AS 2000

AS 3000

IGP

Interior Gateway Protocols areused for routing decisionswithin an Autonomous System.

Exterior GatewayProtocols are usedfor routing betweenAutonomous Systems

EGP

AS 1000

An Autonomous System (AS) is a group of IP networks, which has a single andclearly defined routing policy.

Group of routers which can exchange updatesAS are identified by numbers

All Routing protocols are categorized as IGP or EGP

Routing CategoriesRouting Categories


IGP

Interior Gateway Protocol(IGP)

Exterior Gateway Protocol (EGP)

EGP

EGP

EGP

Interior Gateway Protocol(IGP)

AS 1000

AS 2000

AS 3000

Routing CategoriesRouting Categories


An autonomous system is a collection of networks under acommon administrative domain (meme politique de routage).IGPs operate within an autonomous system.

EGPs connect different autonomous systems.

ASs : Interior ou Exterior Routing Protocols


Les protocoles de routage

Deux classes de protocoles:

1. Protocoles de type Vecteur de distance ("Distance Vector")

2. Protocoles de type Etat de liaison ("Link State")

3. Protocoles hybrides

• Exemples de protocoles:

RIP (Routing Information Protocol): algo. vecteur de distance

IGRP (Interior Gateway Routing Protocol): algo. vecteur de distance (cisco)

OSPF (Open Shortest Path First): algo. état de liaison

• Cas particuliers:

BGP (Border Gateway Protocol) : algorithme vecteur de chemin

EIGRP (Enhanced IGRP) : algo. hybride


Types or Classes of Routing Protocols


Classe de protocole de routage

Les protocoles Classfull Routing n’incluent pas le masque sousréseau lors de l’annonce d’un réseau.

RIP Version 1 (RIPv1)

Les protocoles Classless Routing incluent le masque sous réseaulors de l’annonce d’un réseau.

RIP Version 2 (RIPv2)

OSPF

EIGRP

IS-IS


Classe de protocole de routage


Modélisation des réseaux

Graphe :

Nœuds

Arcs entre les nœuds

Modélisation

Réseau = Graphe

Routeurs = nœuds

Liaisons de données = arcs

Intérêt

Apports de la théorie des graphes

Algorithmes de plus court chemin


Modélisation du réseauTrajet

Séquence de noeudsN1, N2,... Njtelle que (N1,N2),... (Nj-1,Nj)... sont des arcs

Chemin (path)

Trajet sans noeudsqui se répètent

Cycle

Trajet sans noeudsqui se répètent sauf N1=Njavec j > 3

Graphe connecté

Graphe tel qu'il existe tjsun chemin entre le noeudNi et tous les autres nœuds

Graphe pondéré

Graphe dont les arcs ont un coût


Modélisation du réseau

Graphe orienté

Graphe dont les arcs ont un sens

Arbre

Graphe connecté sans cycle

Arbre recouvrant

Arbre passant par tous les noeudsd’un graphe connecté

Arbre recouvrant de poids minimal

Arbre recouvrant dont les chemins reliant le nœud racine aux autres nœuds ont un coût minimal


Application au routage

Réseau

Graphe connecté, pondéré et orienté

Protocole de routage

Pour chaque routeur

Calcul des plus courts chemins

Arbre recouvrant de poids minimal

Nœud racine = le routeur

2 types de protocole de routage

Distance-Vector: algorithme de BELLMAN-FORD

Link-State: algorithme de DIKJSTRA


Les métriques

Métrique : une grandeur mesurée afin d’évaluer la qualité d’un service (ou d’un produit) donnée :

Ex.

Train : qualité des sièges, le délai, la vitesse

Solution liquide : le PH

Les familles de métriques :

Additives

Multiplicatives

Concaves


Les métriques additives

MT = m12 + m23 + m34 + …….+mij + mjk

mijm12

i j1 2

k

MT = M1k


Les métriques Multiplicatives

MT = m12 * m23 * m34 * …….* mij * mjk

mijm12

i j1 2

k

MT = M1k


Les métriques concaves

MT = Min (m12 , m23 , m34 , ……., mij , mjk)

mijm12

i j1 2

k

MT = M1k


La métrique et le routageLes algorithmes génèrent des nombres, appelé " valeur métrique ", ou métriques, pour chaque chemin du réseau.

Familles de métriques :

Additives

Multiplicatives

Concaves

Différentes métriques:

Bande passante : Le débit d'une liaison

Délai : Le temps nécessaire à l'acheminement d'un paquet, de la source à la destination.

Charge : La quantité de trafic sur une ressource réseau

Fiabilité : taux d'erreurs

Nombre de sauts


La métrique et le routage


La métrique et le routage

Les Métriques utilisées par chaque protocole de routageRIP : hop count

IGRP & EIGRP : Bandwidth (used by default), Delay (used by default), Load, Reliability

IS‐IS & OSPF : Cost, Bandwidth (Cisco’s implementation)


Les protocoles "Distance Vector"

Les algorithmes utilisés sont basés sur les travaux de Bellman et Ford

Les routes sont annoncées sous forme de vecteur:

de distance: métrique= le nombre de saut

de direction: next‐hop (adress IP du routeur suivant)

Périodiquement, chaque routeur "broadcaste" sa table de routage entière à tous ses voisins (ex: toutes les 30s pour RIP)

un message contient une liste de paires (V,D) V est un vecteur identifiant une destination

D la distance correspondant à cette dernière.


Distance Vector Routing Update Traffic

En environnement distance vector, les mises à jour de routage sont propagés uniquement vers les voisins imédiats

Routing Table

All Routes


Routers pass periodic copies of routing table to neighbor routers and accumulate distance vectors.

Distance Vector Routing Protocols


Les protocoles "Distance Vector"

Les protocoles de type DV sont distribués et extrêmement simples.

présentent beaucoup de limitations notamment un jeu limité de métriques,

une très lente convergence

forte consommation de la bande passante

et une faible résistance au facteur d’échelle


Les Protocoles à État de Liens

Chaque routeur se trouve en responsabilité de construire une relation de voisinage avec ses voisins et d’acquérir leurs identités.

Un paquet ‘Link State Packet’ (LSP) contenant les informations d’états, relatives aux réseaux accessibles derrière ce routeur, est transmis vers ses voisins immédiats.

Via un LSP, le routeur liste ses voisins et les couts qui leurs sont associés.

Chaque nœud de routage mémorise les LSPs, reçus de tous ses voisins, dans une base de données dites ‘Link State Data Base’ (LSDB)

La LSDB permet la construction de la carte complète de la topologie du réseau et qui constituera l’entrée principale de l’algorithme de calcul.


Autonomous System

Ex : OSPF Ex : OSPF

RoutingTable

Liste les meilleurs Routes

Cout = 10

Cout = 1785 Cout = 6

Neighbors

TokenRing

Interfaces

Area 1Area 0

Topology Database

Liste toutes les @IP

Neighborship Database

Liste des Neighbors


Single Entry

Routing Updates DV vs LS

RoutingTable

RoutingTable

FullTable

Distance Vector

Approach

Link‐State

Approach


Link State Routing

Avantages Limitations

Convergence rapide : les changements sont immédiatement reportés par la source

affectée

Forte demande en mémoire et ressources de calcul

Robustesse aux boucles Demande de rigueur lors du Design

Connaissance topologiques Administrateur compétent

LSP séquencés et horodatés Le flooding peut impacter les performances du réseau

La taille de la LSDB peut être minimisée via un design fin


Distance Vector vs. Link State

Distance Vector

Mise à jour fréquente

Chaque routeur est sensible à sesvoisins imédiats uniquement

Convergence lente

Routing loops

Facile à configurer

Link State

Mise à jour déclenchée

Chaque routeur est sensible à tous les routeurs de l’area

Convergence rapide

Routing loops rares

Difficile à configurer


Distance Vector vs. Link StateDistance Vector

Faible demande en ressourcesrouteur

Mise à jour demande la BP

Pas de connaissance topologique

Link State

Forte demande en ressourcesrouteur

Mise à jour demande peu de BP

Fine connaissance de la topologiedu réseau


Algorithmes de routage

Les algorithmes de routage sont utilisés par la couche réseau pour procéder aux calculs des chemins de routage constituant ainsi des éléments clés dans la conception de cette couche.

Dijkstra et Bellman‐Ford sont les algorithmes les plus utilisés par la majorité des protocoles de routage actuellement utilisés au niveau de l’Internet.


Algorithmes de routage

La conception de tout algorithme de routage doit tenir en compte :

l’exactitude,

la simplicité,

la robustesse,

la stabilité,

l’optimalité

l’équité


Comparaison BELLMAN-FORD / DIKJSTRA

Quel est l’algorithme le plus adapté ?

Fiabilité

Consommation de ressources sur les routeurs

Vitesse de convergence

Fiabilité

Dysfonctionnement d’un routeur

Effets néfastes identiques

Consommation de ressources

En moyenne

Idem mémoire, cpu, bande passante

Vitesse de convergence

DIKJSTRA >> BELLMAN-FORD !!!


Table de routage

A l’issue du processus de calcul, les chemins de routage sont sauvegardées au niveau d’une base de données qui constitue la table de routage.

Plusieurs éléments peuvent être pris en compte pour établir cette table :

Les paramètres d’évaluation des chemins en terme

coût des liens, du coût de passage dans un nœud, du débit, du délai de transit, du nombre de nœuds à traverser.

Les routeurs exécutent généralement plusieurs modes et processus de routage d’où l’utilisation d’un gestionnaire de tables de routage pour la génération paramétrée d’une seule et unique table.


Création de la table de routage globale

Table

de

Routage

Routing

Table

Manager

Interfaces

Proto. de

routage

Proto. de

routage

Algo. Algo.

Table de

RoutageTable de

Routage

Routes statiques

Routes directesParamètre


Distance administrative

C’est une valeur numérique dont le rôle est de préférer un processus de routage par rapport à un autre


Distance Administrative

Connected interface 0Static route out an interface 0Static route to a next hop 1EIGRP summary route 5External BGP 20Internal EIGRP 90IGRP 100OSPF 110IS‐IS 115RIP v1, v2 120EGP 140External EIGRP 170Internal BGP 200Unknown 255

Connected interface 0Static route out an interface 0Static route to a next hop 1EIGRP summary route 5External BGP 20Internal EIGRP 90IGRP 100OSPF 110IS‐IS 115RIP v1, v2 120EGP 140External EIGRP 170Internal BGP 200Unknown 255

Route SourceRoute Source Default DistanceDefault Distance


Routage Vs Commutation


Routing Components

Route Processing

Packet Forwarding

Destination address lookup

Routing table

Route updates

Incoming packets Outgoing

packets

Topology & address exchange with neighboring

nodes

Topology & address exchange with neighboring

nodes

data data


La matrice de connexion

L’organe qui permet de connecter un port d’entrée avec un port de sortie

La nature dépend de la technique de commutation utilisée

Techniques de commutations Commutation spatiale

Commutateur Crossbar

Commutation temporelle


Commutation spatiale

Le commutateur comprend n lignes d’entrée

N lignes de sortie

La matrice de connexion a donc n2 intersections Points de connexions

Toute ligne d’entrée peut être reliée avec n’importe quelle ligne de sortie

Les points d’intersections utilisent des interrupteurs électroniques à semi‐conducteur (transistors)

Tous les bits arrivant d’une ligne d’entrée sont immédiatement acheminés vers la ligne de sortie


Commutation spatiale : Commutateur Crossbar

SLIC

Entrée RCX

Sortie RCX



012345678910111213141516

Entr

ées

Sorties

Connexion possible

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16



Ce commutateur effectue une connexion électrique directe entre une ligne d’entrée et une ligne de sortie

Comme le cordon de l’opératrice

La connexion électrique est automatique et se fait en quelques µs

L’inconvénient du commutateur Crossbar est

le grand nombre des points de connexion (en n2)

Si lignes bidirectionnelles et pas d’auto-connexion

Le nombre est en n(n-1)/2

Ex n=1000 499 500 points de connexion !!!

Même si VLSI le permet : problème de concevoir un boîtier avec autant de broches pour raccorder les E/S

Crossbar est utilisé pour les petits systèmes de commutation


Commutation spatiale Multi étages

Minimiser le nombre de points de connexion avec la même capacité

Commutation spatiale multi étages

Fractionner un gros commutateur en plusieurs plus petit

Structuration des matrices en étages

Relier les petites matrices sous forme d’un réseau d’interconnexion spatial


Commutation spatiale trois étages

Au lieu d’utiliser N2 points de connexion

Utilisation de petits crossbar assemblés en un réseau à trois étages

En entrée, le premier étage, des crossbars rectangulaires n x k : Donc il nous faut N/n crossbar pour raccorder N entrées

Le second étage est à crossbars ordinaires à matrice carrée N/n x N/n

Chaque crossbar est relié à chacun des CB d’entrée et à chacun des CB de sortie

Le troisième étage est similaire au premier sauf qu’il est inversé k x n

Par conséquent : il est possible de connecter n’importe quelle entrée (parmi N) à n’importe quelle sortie (parmi N) à travers l’un des deux CB du 2ème étage : existence de deux chemins possibles.

Autant de chemins possibles que de commutateurs présents dans le 2ème

étage : nbre de chemins = k


Commutation spatiale Multi étages

Ex : 3 étages avec N X N

n x k

n x k

n x k

n x k

K x n

K x n

K x n

K x n

N/n x N/n

N/n x N/n

K crossbar

N/n crossbar N/n crossbar

n

n

n

n

n

n

n

n

N entrées N sorties


Calcul du nombre de points

Cas du commutateur CB à trois étages


Commutation Spatiale à Trois Etages

Points de connexion

1er étage : N/n CB à nk points de connexion

nbre total de points est Nk

2ème étage : k CB à (N/n)2 points de connexion

nbre total de points est k(N/n)2

3ème étage : N/n CB à nk points de connexion

nbre total de points est Nk

Le nombre total de points de connexion est : 2Nk + k(N/n)2

A.N : pour N = 1000, n = 50 et k = 10 24 000 points contre 499 500!!


Commutation spatiale trois étages

Limitations du CB Multi-ètages

Possibilité de blocage

La capacité du commutateur dépend de la capacité des étages intermédiaires

Dans l’exemple précédent

Capacité est de 8 à la place de 16

Architecture bloquante

Solution :

Augmenter le nombre d’étages

Le cout du commutateur augmente

Il a été démontré par Clos en 1953 que pour k=2n-1 le commutateur est non bloquant


La matrice de connexion : temporelle

La matrice de connexion est unidirectionnelle. Elle permet de commuter des IT ( intervalles de temps ) d’un MIC entrant vers un MIC sortant.

Un IT commuté d’un MIC A vers un MIC B ne sera probablement pas à la même place. En clair, L’IT N°12 du MIC 376 entrant peut très bien être commuté vers l’IT N°28 du MIC 1275 sortant, impliquant ainsi un léger décalage dans le temps, d’où le nom de Matrice Temporelle.

Les matrices sont constituées de mémoires RAM, aujourd’hui bon marché. Elles sont réalisées à l’aide d’un seul étage de commutation temporelle T, représentant un grand nombre de circuits mémoire.

Cette configuration présente l’avantage de n’avoir aucun blocage : tout IT entrant peut être commuté vers un IT sortant à condition qu’il soit disponible.

Entre 1985 et 1990, les mémoires étaient beaucoup plus chères. Les matrices de connexions étaient alors composées de 3 étages : Temporel - Spatial - Temporel.

Cette configuration permet d’économiser de la mémoire, mais provoque un faible coefficient de blocage : dans moins de 5 % des cas, un IT pourtant disponible en sortie, ne peut être atteint par la commutation d’un IT entrant.


Commutateur temporel

Commande aval

Adresse MIC/IT E

Adresse MIC/IT e

MIC 0

MIC1

MIC2

MIC3

MIC0

MIC1

MIC2MIC3

IT0 MIC0IT0 MIC3IT1 MIC0


Mémoire de commande

Mémoire de Parole

IT1 MIC3

IT31 MIC3

ITO MIC0 S

IT0 MIC1 S

IT31 MIC2 S

IT31 MIC3 S

MIC1 IT3 (13) IT15 MIC2 S (62)

IT3 MIC1

Horloge (E)

Horloge

• Commande aval

Lecture


Comutateur temporel

Commande aval

Adresse MIC/IT S

Adresse MIC/IT e

MIC 0

MIC1

MIC2

MIC3

MIC0

MIC1

MIC2MIC3



Mémoire de commande

Mémoire de Parole

IT1 MIC3

IT31 MIC3

ITO MIC0 E

ITO MIC1 E

IT31 MIC2 S

IT31 MIC3 S

MIC2 IT15 (62) IT3 MIC1 E (13)

IT3 MIC1

Horloge (L)

Horloge

• Commande aval

Ecriture


Utilisation de deux mémoires

Mémoires tampons

Stocke provisoirement les données utilisateurs

Mémoires de commande

Contient l’association entre les interfaces qui communiquent

L’opération de commutation consiste en :

1. La mise en mémoire tampon des données entrantes

2. La consultation du contenu de la mémoire de commande

3. Le vidage du contenu de la mémoire tampon vers l’intervalle de temps indiqué par la mémoire de commande

Commutation temporelle


La table de transfert

BGP 4 Table de routage

OSPF –

Link State Database

Routes statiques

Routing Information Base (RIB)

Forward Table (FIB)


Bases de routage et de transfert

Data plane

IP Routing Protocol

LSDB

Information de routage échangée avec les autres routeurs

IP Routing Table (RIB) Construction de la table de routage

IP Forwarding Table (FIB)

Paquet IP entrantPaquet IP sortant

look‐up


EGP‐IGP

EGPIGP

IGP

IGP

Système Autonome

Système Autonome

Système Autonome

EGP: Exterior Gateway Protocol

IGP: Interior Gateway Protocol


Single Entry

Routing Updates DV vs LS

RoutingTable

RoutingTable

FullTable

Distance Vector

Approach

Link‐State

Approach


Traitement de l'émission d'un paquet IP

Toutes les fonctions n'y sont pas représentées notamment le traitement des redirections ICMP.

Vous noterez le principe de détection d'un paquet à destination d'un autre réseau par comparaison avec l'adresse IP et le masque de la station.

Vous noterez également le traitement ARP sur l'adresse de Gateway ou sur l'adresse du destinataire si celui‐ci est dans le même réseau que l'émetteur.

La fragmentation n'est pas détaillée mais la majorité des stacks IP essaie de l'éviter au niveau de l'émetteur.

Il suffit que les couches supérieures aient connaissance de la MTU locale.


Segment TCP/UDP + @IPdest

Calcul @Réseau d ’@IPdest parrapport au masque d ’@IPsource

Rx d ’@IPdest = Rx d ’@IPsource ?

@IPGateway existe ?

@MACGateway existe dans latable ARP ?

@MACdest existe dans latable ARP ?

Séquence ARP_RequestARP_Reply

@MACGateway trouvée ?@MACdest trouvée ?

ICMP_Source_Quench actifpour l ’@IPdest ?

Temporisation d ’émission

MTU niveau 2 < Taille paquet IP ?

Fragmentation paquet

Paquet IP + @MACVers couche 2

Paquet jetéPaquet jeté

O

N

O N

N

N

O

O

N

N O O

O

O

N

N


Traitement du transfert d'un paquet

Cet organigramme synthétise le fonctionnement d'un routeur à réception d'un paquet IP.

Encore une fois toutes les fonctions de routage ne sont représentées. Vous noterez :

le traitement du routage notamment avec le principe du routage par défaut (Route_Default)

le traitement de l'ARP que ce soit pour atteindre le destinatire final ou pour atteindre un routeur voisin qui se situerait sur le même LAN.

la gestion du TTL (je n'ai pas traité la gestion du TTL sur des paquets en file d'attente).

le traitement de la fragmentation avec la prise en compte du bit DF.

les principaux cas d'émission de messages ICMP. Nous n'avons pas traité le cas de l'ICMP_Source_Quench en cas de congestion du lien de sortie.


Trame MAC reçue

Extraction paquet IP

@MACdest = @MAC_If_Routeur ?

If = InterfaceRx = RéseauTR = Table de Routage

@IPdest = @IP_Routeur ?

Extraction @IPdestAdmin. routeur

@Rx_IPdest connue en TR ?

EmissionICMP_Dest_Unreachable

Route_Default existe en TR ?

Trame ignorée

Paquet jeté

@Rx_dest directementconnecté ?

Séquence ARP_RequestARP_Reply

@MAC_dest existe dans la table ARP ?

@MAC_Next_Gateway existeen table ARP (si LAN) ?

@MAC_Next_Gateway trouvée(si LAN) ?

TTL = TTL - 1TTL = 0 ?

MTU niveau 2 < Taille paquet IP ?

Fragmentation paquet

@MAC_dest trouvée ?

Bit DF = 0 ? EmissionICMP_Don ’t Fragment

EmissionICMP_TimeOut

Paquet IP + @MACVers couche 2 d ’interface de sortie

N

O

O

NN N

O O

O

N

NN

OO

N N

OO

O

O

NN

ON


Traitement de la réception d'un paquet IP

Cet organigramme présente l'algorythme déroulé par une station qui reçoit un paquet IP.

Toutes les fonctions ne sont pas détaillées, notamment les traitements d'erreurs activant les fonctions ICMP.

Vous remarquerez le contrôle du checksum qui a lieu avant la lecture de l'adresse IP. Ce contrôle est également effectué dans les routeurs. Je n'ai pas fait apparaître ce traitement dans l'organigramme précédent.

Vous remarquerez également le principe de détection des fragments de paquets (bit MF et valeur de l'Offset).

Ce traitement n'est réalisé qu'en réception.

Note : le traitement du TTL des fragments en attente et sur le traitement du champ Protocole.


Trame MAC reçue

Extraction paquet IP

@MACdest = @MAC_Station ?

@IPdest = @IP_Station ? Paquet jeté

Trame ignoréeN

O

ON

Champ Protocole trame MAC= IP ?

Vers autre protocole

MF = 1 OU (MF = 0 AND OFFSET<>0) ?

Process de réassemblagedes paquet IP fragmentés TTL = TTL - 1 (ttes les secondes)

TTL = 0 sur un fragment ? Emission

ICMP_TimeOutTous fragments jetés

Champ Protocole du paquet IPconnu ? Emission

ICMP_Protocole_inconnu

CheckSum OK ?

Segment TCP/UDP + @IPsourceVers couches supérieures

Paquet jeté

O

OO

O

N

N

N

N

N

O


Exemple de transfert

Je simule ici l'émission d'un "ping" depuis A vers B.

Les paquets traversent R1, R2 et R4 à l'aller puis R4 et R3 au retour. Ce parcours étonnant est tout à fait réaliste croyez‐moi !

Le but est ici de montrer le fonctionnement global du routage IP à travers un réseau "tournant" en interaction avec ARP.

On suppose que le réseau était hors tension, qu'on "l'allume' et que A émet tout de suite son PING.

Les tables de routages des routeurs ont été inscrites en statique (à la main !).



La station A commence par émettre une séquence ARP puisqu'elle ne connaît pas l'adresse MAC de sa Gateway.

Entre R1 et R2 il n'y a pas d'ARP car ils sont interconnectés par un lien série ! Toute trame émise à un bout abouti à un seul destinataire (celui de l'autre bout !).

Entre R2 et R4 il y a une séquence ARP pour que R2 découvre l'adresse MAC de la trame à destination de R4.

R4 réalise une séquence ARP vers B. Au retour vous remarquerez que B ne fait pas de séquence ARP vers R4 car elle aura pu profiter (ce n'est pas sûr à 100% ! A vérifier !) de la séquence ARP précédente de R4 pour apprendre son adresse MAC.

Au total il aura fallu 15 trames de niveau 2 pour véhiculer ce premier paquet de ping aller‐retour ! Par contre le prochain paquet ne nécessitera plus que 7 trames ! Pourquoi ?

Architecture de commutation MPLS


[email protected]

Version 2010-2011


Agenda

Pourquoi MPLS ?

La terminologie MPLSLe labelLabel switch router (LSR)Edge Label Switch Router (E‐LSR) Label switch Path (LSP)Label swapping

Les fondements MPLSLa classe d’équivalence (FEC)Le protocole LDP


Introduction

Au début des années 90 : IP grand public est apparu

IP a été développé sur deux principes de base

délivrer les paquets en mode datagramme en s’appuyant sur le routage "hop‐by‐hop".

fournir un service opportuniste et de type "best‐effort".

L’explosion d’Internet a permis aux ISP de se développer et de déployer de gigantesques infrastructures IP.

Les plaques Backbone des ISP bâties sur des infrastructures ATM.

Situation au début des années 90

Cœur du réseau interconnecté avec des liaisons T1 à T3

Topologie relativement simple

Trafic peu important


IntroductionSituation au milieu des années 90

Augmentation importante de la taille des réseaux

Apparition des goulots d’étranglement

Routeurs trop lents

Augmentation importante du trafic

La problématiqueAugmentation des tables de routage

Recherche de nouvelles fonctionnalités

La superposition IP/ATM présentait un inconvénientOmniprésence du transport ATM

Maillage complet en O(n2) du nombre de CV ATM sans utiliser la QoS ATM

La demande de plus en plus grande en services Nécessité de doter IP de mécanismes semblables à ceux d’ATM

Approcher le routage IP aux performances de la commutation ATM.


Voyager de A vers B

BROADCAST : partir vers toutes les directions, s’arreter quand B est atteint, ne jamais demander où est la direction de B.

HOP BY HOP ROUTING : demander constamment quel est le point le plus proche à B et partir vers ce point, repéter jusqu’à atteindre B et …..s’arreter.

“partir vers B? le mieux c’est de prendre cette direction”.

SOURCE ROUTING : demander une liste (à avoir avec soi) d’emplacement à visiter pour atteindre B.

“partir vers B? tout droit, et prend la 5ème à droite, 3 autres feu rouge et tu tournes à gauche”.


Routage classique

Fonction de la couche Réseau

Acquisition Topologique

Hop‐by‐hop

Calcul et selection de chemin

Fragmentation/Reassemblage

Performance

Débit de Forwarding

Nombre de liens haut débits

Le calcul et sélection de chemins sont trés corrélés avec la commutation de paquets

Problématique de performance et de capacité.

Routage par paquet : “Look‐up” dans de grandes tables de routage


Le routage classique

A la réception d'un datagramme, les routeurs déterminent le next‐hop le plus approprié pour que le paquet rallie sa destination.

L‘@ mac destination du datagramme est remplacée par l‘@ mac du routeur relais (ou next‐hop)

L‘@ mac source du datagramme est remplacée par l‘@ mac du routeur courant

Les @ ip du datagramme restent inchangées pour que le prochain routeur effectue les même opérations sur le paquet pour les sauts suivants

Ce calcul fastidieux est effectué sur tous les datagrammes d'un même flux, et cela autant de fois qu'il y a de routeurs intermédiaires à traverser.

Il est donc gourmand en terme de ressource machine. Le mode non connecté du protocole IP, qui était initialement l'un de ses atouts, en particulier pour sa scalabilité, est devenu aujourd'hui un frein à son évolution.


Routage et niveau 2

Les équipements couche 2 ne participent pas activement à ce processus de transmission

Incapables de contenir des informations de couche 3

Établissement manuel de chemins couche 2 au niveau WAN (PVC,.)

Fonction compliquée

Les chemins couche 2 sont :basés sur un paradigme pt‐pt

Établis à la demande via config manuelle

Entre deux routeurs ingress et egress on doit établir une connexion directe au niveau couche 2


Routage et niveau 2

PVC ATM

Core ATM

Commutation ATM

rtr1 rtr2

rtr3

rtr1 rtr3 rtr2

Délai et charge supplémentaire

C 3


Routage et niveau 2

Maillage Complet

Contiguïté des routeurs

Surcharge protocolaire due à l’échangé d’infos d’accessibilité (ospf, isis,…)

Trafic résultant est proportionnel au carré du nombre de routeurs

Problématique de dimensionnement des liens wan : difficulté de prédire la quantité exacte d’information à échanger entre routeurs


Routage classique

Il est nécessaire de disposer d’un mécanisme :Permettant aux dispositifs de routage interne de commuter les paquets sur le réseau d’un routeur ingress vers un autre egress.

Ne pas analyser les adresses IP de destination de la couche réseau.

Indépendance des plans de routage et de commutation

Toute modif doit attendre la convergenceLa commutation ne doit plus reposer sur l’en‐tête IP

Ajout d’un champ supplémentaire indiquant le type de comportement

Toute modif du plan de routage n’affecte plus le plan de commutation


Bande passante vs Forwarding

Milieu des années 70

Réseaux IP à bas débit

La bande passante est le goulot d’étranglement


Réseaux IP à haut débit

La bande passante n’est plus le goulot d’étranglement

Le forwarding IP devient le goulot d’étranglement


Réseaux IP à haut débit


Le forwarding IP est le goulot d’étranglement

Solutions propriétaires de "fast IP switching«

Toshiba (CSR), IBM (ARIS), Cisco (Tag Switching)…

Forwarding par label inspiré par le forwardingATM…

… différent du forwardingIP hop-by-hop traditionnel

Standardisation IETF

MPLS (Multi-Protocol Label Switching)

En remplacement des solutions propriétaires


La solution : la commutation

Plusieurs constructeurs ont proposé des solutions de commutation IP. Tag Switching proposé par Cisco,

IP Switching proposé par Ipsilon/Nokia,

ARIS proposé par IBM,

Fast IP proposé par 3Com

SwitchNode de Nortel Networks.

IP Navigator ( Cascade/ Ascend / Lucent )

L’IETF s’est grandement inspiré de la solution de Cisco pour la mise au point de la norme MPLS.

MPLS fut alors créée. Au printemps 1997

L’IETF a mis en place le groupe de travail MPLS pour définir une approche normative de la commutation d’étiquettes. Rendez vous sur : http://www.ietf.org/html.charters/mpls‐charter.html


Réseaux IP à haut débit (suite)

Mid-2000s

RouteursIP à haute performance (Juniper, Cisco…)

Le forwardingIP n’est plus le goulot d’étranglement !

MPLS est désormais un standard

Utilisé principalement dans le domaine des Télécoms…

… pour résoudre des problèmes autres que le forwarding IP

Scalabilitédes services VPN IP

Contrôle à l’admission

Fast Rerouting


Principes du MPLS

l Historiquel Création d’un groupe de travail à l’IETF en Avril 1997.l Fortement inspiré du tag switching de Ciscol But initial :

l Méthode de routage plus efficace l Souplesse du niveau 3 + puissance du niveau 2l Commutation suivant un label

l Entre temps :l Amélioration des performances des routeursIntérêt du MPLS réside maintenant dans les services qu’il permet


MPLS - Multi-Protocol Label Switching

“

”draft-ietf-mpls-framework

“The primary goal of the MPLS working group is to standardise a base technology that integrates the label swapping forwarding paradigm with network layer routing. This base technology (label swapping) is expected to improve the price/performance of network layer routing, improve the scalability of the network layer, and provide greater flexibility in the delivery of (new) routing services (by allowing new routing services to be added without a change to the forwarding paradigm)”


MPLS

Standarisation de Technologie à commutation de label

Améliorer le rapport price/performance de la couche 3

Améliorer la scalabilité de la couche 3

Fournir plus de flexibilité dans la fourniture de nouveaux services

Ajout et developpement de nouveaux services sans modifier le paradigme de transfert utilisé


MPLS : Solution au Conflict

Sépare la détermination du chemin du processus de commutation hop‐by‐hop

Forwarding est basé sur des labels

Le chemin est calculé au niveau du routeur frontière

Choix de labels adequats

Le routeur frontière peut utiliser n’importe quel algorithme pour determiner le chemin et le transfert est encore plus rapide


PACKET ROUTING CIRCUIT SWITCHING

MPLS+IPIP

HYBRID

ATM

Routage et Commutation

AssocierLa puissance de commutation du niveau 2

La flexibilité du routage de niveau 3


MPLS

Une architecture basée sur la commutation d’étiquettes

Améliorer les performances des routeurs IP

Approcher ses performances de ceux des commutateurs ATM

Transparence vis‐à‐vis des protocoles de couches adjacentes

Architecture Multi‐protocolaire

Fourniture de nouveaux services à valeur ajoutée (SVA)

VoIP

Vidéo sur IP

Vidéo à la demande

VPN

….


MPLS : Technologie BackBone

WDMDWDM

SDHASON

ATM, MPLS, GMPLS

C1

C2C3

C4

R2

R3

R1IP


IPV4

MPLS

ATM FR

IPV6 IPX

Niveau 2

Niveau 3

Architecture MPLS et OSI

Niveau 2,5 ?

AppleTalk

PPP Ethernet


Agenda

Pourquoi MPLS ?




Architecture MPLS

Un équipement MPLS est dit LSR : Label Switch Router

Deux composantes :

1. Contrôle : plan de contrôleChargé de la création et la maintenance de la BD pour la formation des chemins de labels

2. Transmission : plan de données Chargé du traitement des paquets de données en utilisant une BD spécifique contenant des labels


Architecture MPLS

Tous les nœuds MPLS utilisent les protocoles de routage IP existants pour échanger des informations de routage

Pour le plan contrôle, tout nœud MPLS est un routeur IP

Tous les nœuds MPLS utilisent un protocole de distribution de label : non nécessairement le même dans tous les LSRs.

MPLSC1

C3

C2

R2

R3

R1IP

Routage : protocole de routage

MPLS : protocole de distribution de Label


Multiprotocol Label Switching

Customer IPNetwork

Customer IPNetwork

Provider IP Network

Running MPLS

Routing RoutingSwitching

Router Router/Switch RouterSwitch/Router


Efficacité du Switching

Postal NetworkName

AddressCity, State 01022

NameAddressCity, State 01022

MPLS NetworkIP Address

PortLabel 01022

IP AddressPort

Le réseau portal transfert les paquets sur la base du code postalL’agent de poste se base de son coté sur le nom et l’adresse

Les switchs MPLS ajoutent un label et transférent sur la base de la valeur du labelLes Egress switchs supprime les labels et routent sur la base de l’@ IP


Le label sous un autre nom ...

Plusieurs exemples de protocoles orientés label :

ATM

label est le VPI/VCI qui voyage avec dans cellules.

Frame Relay

label est le DLCI qui voyage dans des trames.

TDM

label est le timeslot qui voyage dans des trames (lane).

X25

label est le NVL (numéro de voie logique)


Le label MPLS

Deux types de solutionsEn utilisant les champs « labels » de protocoles standards

DLCI (Data‐Link Connection Identifier) des trames Frame Relay

VCI (Virtual Chanel Identifier) des paquets X.25

VCI/VPI (Virtual Path Identifier) des cellules ATM

En utilisant un entête MPLS spécifique placé entre

L’entête IP de niveau 3 (Network Layer) et

Un entête de niveau 2 (Data‐Link Layer)

les PDU MPLS pourront néanmoins être transmises directement au niveau physique dans le cas de réseaux optiques

Le fonctionnement MPLS est bati sur le concept de label


Le label MPLS

L’architecture MPLS est organisée autour d’une principalenotion que constitue le label ou étiquette

Le format dépend explicitement des caractéristiques duréseau utilisé.

Comme les identificateurs VPI/VCI de ATM, le label MPLS n’aqu’une signification locale entre deux équipements MPLS.

L’en‐tête MPLS occupe 4 octets (32‐bits)


Le Label MPLS

Label (20bits) Exp Cos(3bit) S(1bit) TTL(8bits)

En‐tête MPLS DATAEn‐tête IP

MPLS

ATM EthernetPPPFrameRelay

IPV6IPV4 AppleTalkIPX

Niveau 2

Niveau 3

DATA

En‐tête IP DATA

En‐tête IP DATAEn‐tête MPLS

En‐tête C2


Le label MPLS

Codé sur au moins 32 bitsAvec un ou plusieurs labels codés sur 20 bits chacun

Une PDU MPLS peut contenir une pile de labels

Le label au sommet de la pile est transmis en premier

» Si S = 1, le label codé est au fond de la pile (dernier label)

» Si S = 0, le label codé est au‐dessus d’un autre label

Autres champsTTL (Time To Live)

Pour éviter que des PDU MPLS puissent boucler indéfiniment dans un domaine

Exp ou COS (Class Of Service)

Pour pouvoir appliquer plusieurs politiques de gestion des files d’attente


Label StackingLabel StackingLabel Stacking—processus d’ajout et suppression de labels à chaque fois que le paquet traverse multiple MPLS networks

Forward est basé sur le label le plus proche de la couche 2

CustomerIP Network

CustomerIP Network

MPLS Network

Second MPLS Network

IP DLCIIP DLCI

IP MPLS MPLS DLCI

IP MPLS DLCI IP MPLS DLCI


Pile de label

S=0 S=1S=0En-tête C2 En-tête C3


La pile de labels (“label stack”)

171.68.10/24

Rtr‐A

Next‐Hop

In Lab

5

...

Address Prefix

171.68.10

...

OutI/F

1

...

Out Lab

7

...

In I/F

0

...

IP packetD=171.68.10.12

Label = 5

Label = 21

IP packetD=171.68.10.12

Label = 7

Label = 21

Chaque paquet peut contenir plusieurs niveaux de labels.Le LSR (Rtr‐A) commute le paquet labellisé en fonction uniquement du premier label de la pile


Architecture MPLS

Pourquoi MPLS ?

La terminologie MPLSLe label Label switch router (LSR)Edge Label Switch Router (E‐LSR) Label switch Path (LSP)Label swapping



Noeuds MPLS

Core LSR‐ Switchs ATM ‐ ou Routeurs

Edge LSR: Label Switch Router d’extrémité

Core LSR: Label Switch Router de cœur de réseau

Edge LSR

Label Distribution Protocol


Label Edge Router (LER)

Ce sont des routeurs qui traitent le niveau IP et le niveau label

Routeur d’extrémité qui joue un rôle important dans l’assignation et la suppression des labels au moment où les paquets entrent dans le réseau ou en sortent.1. Décide comment les paquets vont voyager dans le réseau

2. Reçoit des paquets IP et leur assigne des labels ‘Push’

3. Transfert les paquets labélisés vers le/les routeurs de prochain saut LSR/LER

4. Reçoit les paquets labélisés à partir des LSR/LER pour les router vers la destination finale ‘Pop’

Chaque LSR construit une table LFIB (Label Forwarding Information Base).


MPLS Edge-LER

Data plane

Paquet entrant labellisé Paquet sortant

labellisé

IP Routing Protocol Information de routage échangée avec les autres routeurs

IP Routing Table

MPLS Signalling Protocol

Echange des labels avec les autre routeurs

Label Forwarding Table

IP Forwarding Table

Paquet IP entrant

Paquet IP sortant

Suppression de label et consultation L3

Label Info Table


Label Switching Router (LSR)

Routeur ou commutateur capable de commuter des paquets ou des cellules, en fonction de la valeur des labels qu’ils contiennent.

Dans le cœur du réseau, les LSRs procèdent tout simplement à la lecture/écriture et la commutation des labels, et non les adresses des protocoles de niveau supérieur.

Chaque LSR construit une table LFIB (Label Forwarding Information Base).


MPLS - LSR

Data plane

Paquet entrant labellisé

Paquet sortant labellisé

IP Routing Protocol Informations de routage échangées avec les autres routeurs

IP Routing Table


Echange des labels avec les autre routeurs


Label Info Table


LSR et LER : Commutation et routage

CommutationMPLS ou ATM

Avantages

Calcul unique au niveau de l’entrée du réseau

Rapidité dans le cœur de réseau

L’intelligence se trouve aux extrémités du réseau

Routage niveau 3 Et Commutation Niveau MPLS


Interop LER et LSR

Data plane

IP Routing Protocol

IP Routing Table



Data plane

IP Routing Protocol

IP Routing Table



IP Forwarding Table

Traite les en-tetes IP et label MPLS

Traite labels MPLS


Les tables MPLS

1. Table de routage : Routing Information Base

2. Table de label : Label Information BaseElle contient pour chaque sous réseau IP la liste des labels affectés par les LSR voisins.

Contient tous les labels attribués par le LSR considéré et les mapping de ces labels sur les labels reçus des voisins

Ces labels sont distribués par un protocole dédié

3. Table de transfert IP : Forwarding Information Base

4. Table de transfert de label : Label Forwarding Information BaseUtilisée pour commuter les paquets.

Chaque réseau IP est appris par l’IGP, qui détermine le prochain saut pour atteindre ce réseau.

Le LSR choisit ainsi l’entrée de la table LIB qui correspond au réseau IP et sélectionne comme label de sortie le label annoncé par le voisin déterminé par l’IGP (plus court chemin).

A partir d’un label d’entrée, il en déduit l’interface et le label de sortie


Advantages du Switching

Avantages du switching r/r au routagePerformance

Faster transit time

Less jitter (delay)

Packet prioritization

Flexible routing

Scalability and simplicity

Ease of management

IP MPLS DLCI

DataLink

IP

MPLS

Label

IP DLCI

IP Address


Performance

MPLS faster transit over IP routingRequires less CPU and memory

Indexed lookup of forwarding table as opposed to best fit IP address lookup

Simple protocol—easy to implement in ASIC

Smaller forwarding table—only contains known LSRs as opposed to all known IP networks

Internet routing table contains more than 70,000 table entries

DataLink

IP

MPLS

Routed Packet

DataLink

IP

MPLS

Switched Packet

Forwarding Table

Forwarding Table

Forwarding Table


Performance

Jitter caused by variation in transit and queue delays MPLS has faster transit time through routers (minimizes transit delay)

Packet prioritization and bandwidth reservation can minimize queue delay

2

1 High-Priority Packet

DataLink

IP

MPLSLow-Priority Packet

1 1 2 2 22 1 22 1 112 2


Agenda

Pourquoi MPLS ?




Label Switch Path (LSP)Chaque paquet labellisé :

entre dans le réseau MPLS par un LSR d’entrée: “ingress LSR”

sort du réseau MPLS par un LSR de sortie: “egress LSR”

LSP est le chemin défini par les différents labels assignés à chaque paquets.

LSP peu être statique ou dynamique (prédéfini ou utilise les informations de routage).

Un LSP est unidirectionnel : le trafic retour peut prendre un autre chemin

La création du LSP est un schéma en mode connecté

Compte tenu des infos de routage et non pas des exigences du flux

Ce LSP est fonctionnellement équivalent à un circuit virtuel ATM ou FR

Ingress-LSR

Egress-LSR


Label Switch Path (LSP) et l’IGP

Le FEC est déterminé dans le LSR d’entrée

Le LSP est déduit de la table de routage IGP

A chaque saut, le LSR choisit le LSP de sortie (= hop by hop routing)

Le LSP peut être différent du chemin IGP le plus court

ex: Tunnels LSP (explicit routing) avec du “Traffic Engineering”

Le LSP suit le chemin IGP le plus court

Le LSP diverge du chemin IGP le plus court


MPLS Components

CustomerIP Network

MPLS ProviderNetwork

CustomerIP Network

Route RouteSwitch

Customer Edge Customer EdgeIngress LSR Transit LSR Egress LSR


Ingress LSR

CustomerIP Network

MPLS ProviderNetwork

CustomerIP Network

IP MPLS DLCIIP DLCI

Ingress LSR


Transit LSR

CustomerIP Network

MPLS Provider Network

CustomerIP Network

IP MPLS DLCIIP MPLS DLCI

Transit LSR


Egress LSR

CustomerIP Network

MPLS Provider Network

CustomerIP Network

IP MPLS DLCI IP DLCI

Egress LSR


Agenda

Pourquoi MPLS ?




Label Swapping

IP packetD=171.68.10.12

Label = 21

Label = 7

IP packetD=171.68.10.12

Label = 21

Label = 5RTr-CRTr-BRTr-A

Out LAB

7

…

AdressPrefix

171.68.10/24

…

OutI/F

1

…

IN LAB

5

…

INI/F

0

…

171.68.10/24

Processus de transfert des paquets vers leur destination sur la base de la lecture et écriture des labels


La commutation des paquets

0

11

171.69.12.1 data 171.69.12.1data171.69.12.1data4 7

...

addressprefix interface

128.89.10

1

0

171.69

3

4

5

7

locallabel

remotelabel

...

128.89.10

1

1

171.69

addressprefix interface

x

x

3

4

Le Edge LSR d’entrée ajoute le label et

transmet le paquet

Les LSRs suivants échangent les labels et

transmettent

Le edge LSR de sortie enlève le label et route le

paquet

data171.69.12.1

171.69

addressprefix

...

X7

DATA FLOW

locallabel

remotelabel

locallabel

remotelabel


Agenda

Pourquoi MPLS ?




Acheminement de paquets IP

1. Comment attribuer un label à chaque paquet IP entrant dans un domaine MPLS ?

Par classification des paquets IP dans des FEC FEC : Forwarding Equivalence Class

Le concept de FECs est introduit pour les besoins de fléxibilité et de scalabilité

2. Comment construire les tables de commutation de labels des routeurs ?

A partir des tables de routage des routeurs

Par distribution de labels entre routeurs


Les concepts “FEC” et “Next‐Hop”

FEC = Forwarding Equivalence class Après décision de routage, les paquets sont classés dans des ‘FEC ‘

FEC = “un sous ensemble de paquets qui seront traités de la meme manière par le routeur”

Transfert via la même interface de sortie

Avec les mêmes critères de transmission

La transmission d’un paquet consiste donc à:

1. Assigner un paquet à une FEC

2. Déterminer le routeur suivant (next‐hop) pour chaque FEC

En routage IP, chaque routeur

1. re‐classifie le paquet dans une FEC

2. re‐calcule le routeur suivant pour chaque FEC


Address Prefix and mask

171.68.10/24

...

Next‐Hop

171.68.9.1

...

Exemple de “FEC” et “Next‐Hop”

171.68.10/240 1

Interface

Serial1

...

IP packetD=171.68.10.12

IP packetD=171.68.10.23

Le routeur A transmet les paquets avec des adresses de destination différentes en utilisant la même route, le même ‘next‐hop’ et la même interface

Rtr‐A


Exemple de ‘FEC et Next-Hop’ avec MPLS

171.68.10/240 1

Le routeur A transmet le paquet en fonction du label recu et de sa table de label. Aucune classification supplémentaire n’est nécessaire

Rtr-AIP packetD=171.68.10.12

Label = 5

34

IP packetD=171.68.10.12

Rtr-B

Routeur B classifie le paquet dans une FEC à laquelle a été associé un label

IP packetD=171.68.10.12

Label = 3


La classe FEC

Identifie un ensemble de paquets IP1. Seront étiquetés en sortie d’un Ingress LSR par le même label

2. Suivront ainsi le même chemin ou LSP (Label Switching Path)

Plusieurs types de FECEn fonction de leur mode de définition

Dans le cas le plus simple

Deux paquets appartiendront à une même FEC si leurs adresses IP destination appartiennent à un même sous‐réseau

Autres paramètres possibles

Numéro de ports source et destination TCP/UDP

Qualité de service demandée

Service demandé (VPN, VoIP,…)


La FEC

A set of unicast packets whose Layer 3 destination addresses match a certain address prefix

A set of unicast packets whose destination addresses match a particular IP address prefix with similar type of service (ToS) bits

A set of unicast packets whose destination addresses match a particular IP address prefix and have the same destination TCP port number

A set of multicast packets with the same source and destination Layer 3 addresses

A set of multicast packets with similar source and destination Layer 3 addresses and the same incoming interface


FEC MPLS

FEC‐1FEC‐2FEC‐3

AB

D

C

E F


Agenda

Pourquoi MPLS ?




Distribution de labels

Problème poséComment coordonner les tables de commutation des LSR ?

Par distribution d’associations entre FEC découvertes et labels (en anglais, FEC-Label mappings)

Protocoles proposésTDP/LDP (Tag/Label Distribution Protocol)

TDP est un protocole CISCO propriétaire

LDP a été défini par l’IETF dans la RFC3036

Utilisés notamment dans le cas de FEC définies par sous-réseau

Extensions de RSVP (Resource Reservation Protocol)Permet d’établir des LSP en fonction de critères de ressources et de qualité de service

Extensions de BGP (Border Gateway Protocol)Permet de distribuer les labels en même temps que les routes découvertes, mais aussi l’échange de routes VPN


Les protocoles de distribution de label

LDP

associe des labels à des FECs (adresses unicast)

RSVP

Utilisé pour le “Traffic Enginering” et la réservation de ressources

PIM

association de label en multicast

BGP

Labels externes: VPN


La distribution de labels

La distribution des labels aux LSR est réalisée grâce au protocole LDP

Basé sur le protocole TDP (Tag Distribution Protocol) de Cisco RFC 3036TDP et LDP diffèrent principalement par le format des paquets ou messages qu’ils transmettent

Fonctions principalesDécouverte de voisins

Pour un LSR donné, déterminer si ses voisins directs sont également des LSR ou seulement des routeurs classiques

Distribution de labels


La distribution de labels

LDP définit une suite de procédures et de messages utilisés par les LSR pour s'informer mutuellement du mapping entre les labels et le flux. Les labels sont spécifiés selon le chemin " Hop By Hop " défini par l'IGP dans le réseau. Chaque nœud doit donc mettre en œuvre un protocole de routage de niveau 3, et les décisions de routage sont prises indépendamment les unes des autres.


Label Description Protocol (LDP)RFC3036: Principes

Le protocole LDP est utilisé pour associer un FEC (Fowarding Equivalence class) à un label.

Les labels permettent de créer des chemins labellisés LSPs

LDP fonctionne en mode session entre “peers” . Ces peers peuvent ne pas être adjacents.

LDP est bi‐directionnel et permet la découverte dynamique des noeudsadjacents grâce à des messages Hello échangés par UDP.

Une fois que les 2 nœuds se sont découverts, ils établissent une session TCP

Cette session agit comme un mécanisme de transport fiable :des messages d'établissement de session TCP,

des messages d'annonce de labels

et des messages de notification.


RFC3036: Les messages LDP

Les peers échangent des messages LDP : 4 types de messages

1. Message de découverte (Discovery): annonce et maintient une adjacenceentre des LSRs du réseau MPLS (notion de LDP peers)

Mécanisme de base: localisation de LSRs sur le même lien pour établir uneadjacence

Un paquet “link Hello (en UDP)” est envoyé à l’adresse multicast “ all‐routers‐in‐subnet”

La réception d’un link Hello identifie un peer LDP potentiel: Contient le “LDP identifier” et le “label space”

Mécanisme étendue: localisation de LSRs distants

Un paquet “targeted Hello (en UDP)” est envoyé à une adresse spécifique sur le port UDP: LDP discovery (port 646)

Le “targeted LSR” répond en envoyant des “targeted Hellos” à l’émetteur


Les messages LDP : Découverte

Principe de base1. Tout LSR transmet périodiquement à ses voisins

Un message LDP Hello avec comme adresse destination une adresse « multicast » réservée

2. Tout LSR recevant un message LDP HelloRépond par un autre message LDP link Hello s’il utilise lui‐même LDP

Etant donné deux LSR voisins utilisant LDPLe LSR avec la plus grande adresse IP

Devient actif et établit une connexion TCP sur le port 646 (711 pour TDP) pour la transmission de messages LDP

Le LSR avec la plus petite adresse IPDevient passif et attend l’ établissement de la connexion TCP avec son voisin actif

Note : des options peuvent être négociées pendant l’établissement de la connexion entre LSR voisins

Modes de distributions des labels, valeur du temporisateur « keep‐alive », etc.


LDP Discovery

LSRs discover neighbors by sending and receiving Hellos.

Ethernet

Point‐to‐point


Les messages LDP: (suite)

2. Message de mise en Session (TCP) Consécutif à la phase “discovery” : découverte d’une adjacence entre LDP Peers

Etablit, maintient et termine les sessions entre LDP peers

Mise en session en Deux phases:Etablissement d’une connexion TCP (port 646)

Initiatilisation de la session: négociation des paramètres de sessions: Version de protocole LDP, méthode de distribution de label, label range, ...

3. Messages d’annonces (“Notification message”)Permet de créer, modifier et supprimer l’association entre label et FEC

4. Messages de notification d’erreur


LDP Initialization

LSR/LER LSR/LERHelloHello

TCP‐Syn port 646

TCP‐Syn/Ack

TCP‐Ack

LDP Initialisation

LDP KeepAlive

Label Request Label Request

Label Mapping Label Mapping

Découverte

EtablissementCouche Transport

Initialisation Session

Distribution Label

TCP : • fiabilité• contrôle de flux


Les messages LDP: (suite)

UDP‐Hello

UDP‐Hello

TCP‐open

Temps

Label requestIP

Label mapping#L2

Initialization(s)


Messages LDP

Principaux types de messagesMessage « Hello »

Utilisés pour la découverte de voisins

Message « Keep‐alive »Transmis périodiquement en l’absence d’autres messages (panne)

Message « Label Mapping »Utilisé par un LSR pour annoncer une association FEC‐Label

Message « Label Withdrawal »Utilisé par un LSR pour retirer une association annoncée auparavant

Message « Label Release »Utilisé par un LSR pour indiquer qu’ il n’utilisera plus une association reçue précédemment

Message « Label Request »Utilisé par un LSR pour demander un label pour un FEC donné


LDP Message Types

Message Type Description

Address

Address Withdraw

Advertises a list of interface addresses

Label Withdraw

“Undoes” the address message

Hello LDP keep‐alive, sent periodically based on hold timer

Initialization Sets up an LDP session and negotiate parameters

KeepAlive Monitors Integrity of TCP connection supporting a session

Label Mapping

Requests a label binding for a given FECLabel Request

Label Abort Request

Label Release

Notification

Advertises FEC / Label bindings to neighbors

Aborts an outstanding label request message

Deletes FEC / Label binding when FEC no longer supported

Deletes FEC / Label binding due to route change

Reports an error condition


Les sessions LDP entre nœuds distants

LSR-1LSR-2

LSR-4 LSR-5

LSR-3

LSR-6

Ingress

Egress

Pop label for LSR-5

Use label 25for LSR-5




LSR-1 et LSR-5 ne sont pas des peers adjacents pour échanger des labels

LSR-5 annonce un label à LSR-1 comme si LSR-1 était adjacent


Procédures de distribution des labels

1. “Unsolicited Downstream” Un LSR downstream LSR annonce ses labels de manière non sollicitée

2. “Downstream on Demand”Un LSR Downstream annonce ses labels suite à une requete du LSR upstream LSR

Les deux méthodes peuvent coexister dans le même réseauLes peers LDP négocient la méthode pendant la phase d’activation de la session



Utilise le label 26 pour 192.168.1.0/24

2


1 192.168.1.0/24

DestIn Out

… 26 192.168.1.0/24

DestIn Out

26 12 192.168.1.0/24

DestIn Out

12 … 192.168.1.0/24

Unsolicited downstream



Demande label pour 192.168.1.0/24

1

Demande label pour 192.168.1.0/24

2 192.168.1.0/24


4


3

Downstream on‐demand

DestIn Out

… 26 192.168.1.0/24

DestIn Out

26 12 192.168.1.0/24

DestIn Out

12 … 192.168.1.0/24


IntfIn

LabelIn

Dest IntfOut

3 0.40 47.1 1

IntfIn

LabelIn

Dest IntfOut

LabelOut

3 0.50 47.1 1 0.40

MPLS Label Distribution : Trafic driven

47.1

47.247.3

12

31

2

1

23

3IntfIn

Dest IntfOut

LabelOut

3 47.1 1 0.50 Mapping: 0.40

Request: 47.1


LDP Identifiers et adresses de Next‐Hop

Un LSR enregistre les labels recus dans la “Label Information Base (LIB)”

(LDP Identifier, Label), IP prefix

Le LSR associe l’adresse du “next‐hop” avec l’identifiant du LDP Peer afin de retrouver le label associé dans la LIB.

Afin de permettre cette association, les LSRs annoncent leur adresses d’interface via LDP.


Recap MPLS

Principes de base :

1 label par service

1 service FEC1 LSP1

FEC2 LSP2

……

FECn LSPn


Recap MPLS

MPLS

Protocole de routage Table de routage

LDP Table de Label


Recap MPLS

1. Protocole de routage

2. Construction de la RIB -> @dest/Next-Hop/Interface

3. Protocole LDP : association Next Hop, label

4. Construction de la RIB -> @dest/Next-Hop/Label/Interface


"MPLS has become the de facto standard for providing scalable, deployable IP VPNs. Infonet's MPLS service provides clients such as Nestle and

Volkswagen with a manageable platform for adapting client network requirements as their business needs grow in scope and complexity."

Joseph Fusco,Directeur du ‘Global Intranet Services

Marketing’,Infonet

Réseaux privés Virtuels MPLS-VPN-IP


[email protected]

Version 2010-2011


Les applications MPLS

L'ingénierie de trafic : Les administrateurs de réseau peuvent mettre en oeuvre des politiques visant à assurer une distribution optimale du trafic et à améliorer l'utilisation globale du réseau.


• Router les données à travers le réseau suivant une vision de management de ladisponibilité des ressources, et la qualité de service, mais toujours à base de plus courtchemin comme le cas du routage IP.

Rabat

Marrakech

Plus court chemin IGP

Traffic Engineering Path

MPLS‐TE


Objectifs de l’ingénierie de trafic: RFC 2702

Vise à optimiser les réseaux opérationnels et d’augmenter leurs performances en terme de ressource et de trafic.

Ces objectif majeurs (RFC:2702):

‐ Objectif orienté trafic:

1. Minimiser les pertes.2. Minimiser le délai.3. Maximiser les transferts « throughput ».4. Renforcer SLA.

‐Objectif orienté ressource:

1. Optimiser l’utilisation du réseau.



La bande passante garantie : permet aux fournisseurs de services d'allouer des largeurs de bande passante et des canaux garantis.

Ce qui permet également la comptabilité des ressources QoS (qualité de service) de manière à organiser le trafic 'prioritaire' et 'au mieux', tels que la voix et les données.



Le Re‐routage rapide :

permet une reprise très rapide après la défaillance d'une liaison ou d'un nœud.

Une telle rapidité de reprise empêche l'interruption des applications utilisateur ainsi que toute perte de données.


Les pannes des éléments du réseau peuvent être d’origines diverses.

Type de la panne Distribution

Software upgrade/configuration 22%

Hardware upgrade/configuration 9%

Software Failure 25%

Hardware Failure 14%

Link Failure 20%

Power Outage 1%

Other 9%

Problématique


Problématique

1ér étape

• Le réseau doit pouvoir détecter la défiance

2éme étape

• Les nœuds qui détectent le problème doivent informer certains d’autres

3éme étape

•Un chemin de secours (backup) doit être calculé

4éme étape

• Le (Path Switching Node) doit envoyer le trafic sur la chemin de secours (backup) : switchover

Temps de rupture = Duré de détection d’erreur + Durée de notification d’erreur + Durée nécessaire pour calculer le chemin de backup + Durée de switchover.


IP 2214

R1

R5

R2

R3

R7R6

R9R8

LSP

Push 37

Swap 17 ‐> 22

Swap 37 ‐> 14Push 17 Pop 14

Pop 22

Fast Reroute tunnel

Etapes d'un Fast Reroute de lien

On crée un tunnel entre R2 et R3 pour rerouter le trafic.Le temps de recouvrement est rapide puisque le reroutage se fait par R2 et pas par R1


R1 R7R2

R4

R8

R5

R6R3

Node Fast Reroute

Etapes d'un Fast Reroute de nœud

La solution Fast Reroute apporte deux gains:

‐ Une fiabilité accrue pour les services IP: on est protégé contre les ruptures des services. ‐ Une Scalabilité importante inhérente au design du réseau, puisque le chemin de backup est en fonction du lien et pas en fonction des LSPs qui traversent ce lien



La fonction Classe de service (CoS) MPLS assure que le trafic important est traité avec la priorité adéquate sur le réseau et que les exigences de latence sont respectées.

Les mécanismes QoS IP peuvent être mis en oeuvre de façon transparente dans un environnement MPLS.


Le champ DSCP a 6 bits tandis que le champ EXP (experimental field) des étiquettes a seulement 3 bits.

MPLS‐DiffServ

ToS1 Byte

07 123456

IP Precedence

DSCP (6 bits)

Unused BitsDrop

Label (20 bits) EXP(3 bits)

S(1bit)

TTL (8 bits)

Couche 3 (IPV4)

Etiquette


Deux solutions ont été proposées pour résoudre ces deux problèmes.

E‐LSP (EXP‐Inferred‐PSC LSPs) .

L‐LSP (Label‐Only‐Inferred‐PSC LSPs) .

MPLS‐DiffServ


Un LSP peut appartenir à plusieurs classes de service. Mais l’activation de ces PHB dans chaque LSR est faite manuellement : ni LDP, ni RSVP‐TE n’acheminent actuellement ces éléments.

Dans un L‐LSP, le label sert à identifier une FEC et ses priorités de traitement. Dans un L‐LSP, le champ EXP est utilisé uniquement pour le niveau de perte.

MPLS‐DiffServ : (E‐LSP, L‐LSP)

DSCPPSC Drop

EXPLabel

L-LSP

DSCPPSC Drop

EXPLabel

E-LSP


MPLS trouve de nouveaux domaines d’applications pour s’approcher de plus en plus des couches applicatives.

MPLS permet aux opérateurs de mettre à la disposition des clients professionnels un certain nombre de services à valeur ajoutée pouvant se greffer au dessus de MPLS.

Les services MPLS


MPLS et Standards

L2 protocols (PPP, POS, ATM, FR, Enet, GRE, ...)

Label Forwarding Information Base (LFIB) LDPRSVP

Per-Label Forwarding, Queuing, Multicast, RestorationMechanisms CEF

IPswitching

IPCoS

(DiffServ)

DiffServaware

TE

Multicast Routing (PIM v2)

OSPFIS-ISPIM

FastRerouting

TrafficEngineering

Virtual Private NetworksBGPLDP

ATOMAny Transport over MPLS

IPv66PE

Carriersupporting

Carrier

MulticastoverVPN

L2VPN

2474 Definition of the Differentiated Services Field in IP Headers *

2475 An Architecture for Differentiated Services2597 Assured Forwarding PHB Group *2598 An Expedited Forwarding PHB *2697 A Single Rate Three Color Marker2698 A Two Rate Three Color Marker

3031 Multiprotocol Label Switching Architecture *

3032 MPLS Label Stack Encoding *3034 Label Switching on Frame Relay

Networks3035 MPLS using LDP and ATM VC

Switching *3036 LDP Specification *3037 LDP Applicability *

2702 Requirements for Traffic Engineering Over MPLS

2547 BGP/MPLS VPNs *

• 3270 MPLS Support of Differentiated Services *



Les réseaux privés virtuels MPLS simplifient considérablement le déploiement des services par rapport aux VPN IP traditionnels.


Le pourquoi du VPN

Problème posé

Comment permettre à plusieurs réseaux indépendants de cohabiter sur une même infrastructure (FAI) ?

Ces réseaux doivent pouvoir utiliser le même adressage privé

Les trafics issus des différents réseaux doivent être isolés

Solutions proposées

Solutions classiques

Utilisation de lignes spécialisées

Utilisation de tunnels IP

Utilisation de réseaux Frame Relay ou ATM

Solutions alternatives

Utilisation simple de MPLS

Utilisation améliorée de MPLS


Le pourquoi du VPN

GénéralitésLes réseaux publics (i.e. Internet) en tant qu’alternative aux liaisons spécialisées

Solutions meilleure marché

Solutions non‐sécurisées par nature

Usage de « tunnels »

Solutions permettant d’étendre le réseau interne

Solutions permettant d’encapsuler les données à transporter

Solutions généralement associées à une sécurisation des échanges (authentification, chiffrement)


Exemple d’architecture VPN

Comment interconnecter dans deux VPN distinctsLes réseaux des sites « 1.com » et « 2.com »

En supposant que les deux réseaux utilisent le même adressage privé « 10.0.X.0/24 » pour le site X

Site 1 «1.com »10.0.1.0./24

Site 2 « 1.com »10.0.2.0./24

Site 1 « 2.com »10.0.1.0./24

Site 2 « 2.com »10.0.2.0./24


Solutions classiques (1)

Utilisation de Lignes SpécialiséesAvantages

Qualité de service a priori de très bonne qualité

Inconvénients

Coût pouvant être très élevé

Même en cas de trafic inter-sites faible

Nombre de lignes à louer potentiellement important

N.(N-1) pour une architecture à maillage complet

Solution peu évolutive

Pour chaque nouveau site, au moins une nouvelle LS doit être mise en place


Solutions classiques (2)

Utilisation de Tunnels IPAvantages

1. Coût moins important

Partage plus important des ressources du backbone

InconvénientsQualité de Service non nécessairement garantie

Nombre de tunnels à configurer potentiellement important

N.(N‐1) pour une architecture à maillage complet

Solution évolutive

Sécurité dépendante du mécanisme de « tunneling » utilisé

GRE (Generic Routing Encapsulation), Ipsec, TLS,….

Configuration lourde

Principalement à la charge des clients


Présentation des VPN

Internet

Site Central

Site distant

FrameRelay

FrameRelay

• Coût élevé• Peu flexible• Gestion WAN• Topologies complexes

• Faible coût • Plus flexible• Gestion simplifiée• Topologie tunnel

RéseauFrame Relay

RéseauFrame Relay

Internet

Site Central

Site distantFrameRelay

FrameRelay

TunnelVPN

VPNConventionnel

• Les principaux avantages sont:

‐ Les VPNs amènent des coûts plus faibles que les réseaux privés.

‐ Les coûts de la connectivité LAN‐LAN sont réduits de 20 à 40 pourcent par rapportà une ligne louée. .

‐ Les VPNs offrent plus de flexibilité et d'évolutivité que des architectures WAN classiques


Internet

Site Central

Site distant

FrameRelay

FrameRelay

• Coût élevé• Peu flexible• Gestion WAN• Topologies complexes

• Faible coût • Plus flexible• Gestion simplifiée• Topologie tunnel

RéseauFrame Relay

RéseauFrame Relay

Internet

Site Central

Site distantFrameRelay

FrameRelay

TunnelVPN

VPNConventionnel

• Les principaux avantages sont:

‐ Les VPNs simplifient les tâches de gestion comparé à la l'exploitation de sa propre infrastructure de réseau.‐ Les VPNs fournissent des topologies de réseaux avec tunnels qui réduisent les taches de gestion.‐ Un backbone IP n'utilise pas les circuits virtuels permanents (PVCs) avec des protocoles orientés connexion tels ATM et FR

Présentation des VPN


Le service VPN‐IP

Réseau Privé bâti sur une infrastructure mutualisée;

Absence de lien physique de bout en bout;

Confidentialité est assurée par la préservation des plans de routage et d’adressage;

Le concept de réseau privé virtuel ou VPN n’est pas nouveau; Utilisation des circuits virtuels;

Emulation des liens point à point pour le client;

Partage statistique de l’infrastructure du SP


Topologie VPN

Site-1

Site-3

Site-4

Site-2

VPN-A

VPN-C

VPN-B


Les compostes de base

Trois composantes fondamentales :

CE (Customer Edge);

PE (Provider Edge);

P (Provider Router);


Routeur à plusieurs routeurs PC à Pare-Feu

PC à Routeur/Concentrateur

Scénarios VPN

Routeur à Routeur


Les modèles de référence

Trois principaux modèles VPN :

CPE‐Based VPN;

Network‐based layer 3 IPVPN ;

Network‐based layer 2 IPVPN ;

La connexion CE‐PE consiste en un circuit physique dédié :un circuit logique (FR ou ATM)

un tunnel IP (utilisant par exemple IPsec, L2TP).

Dans le backbone SP, les tunnels VPN sont normalement utilisés pour interconnecter les équipements PEs.


Le modèle CPE‐Based VPN

VPN Tunnel

CEVPN A

CEVPN BRouteur PE

Routeur PE

Routeur PE

Routeur P

Gestion Clients Gestion Réseau

CEVPN A

CEVPN B

VPN Tunnel

Réseau SPRéseau d’accès

Réseau d’accès

Vis‐à‐vis des mécanismes de contrôle du VPN le réseau du SP est complètement transparent.


Network‐Based layer 2 IPVPN

Variante du modèle Network‐Based layer 3.

Le concept de VSI ‘Virtual Switching Instance’ prend la place de la VFI

VSI (PE) supporte les fonctions relatives au processus de Forwarding

des trames de niveau 2,

des cellules ou des paquets pour un VPN spécifiques

en plus de la terminaison des tunnels VPNs.


Le modèle Network‐Based layer 2 IPVPN

VPN Tunnel

CEVPN A

CEVPN B

Routeur PE

Routeur PE

Routeur

P


CEVPN A

CEVPN B

VPN Tunnel


Réseau d’accès

Routeur PE

VSI

VSI

VSI

VSI

Interface ClientInterface Client

Interface Réseau


FR/ATM Backbone

Blue VPN

Red VPN

Purple VPN

Core possède des infos par VC

Layer 2 VPNs – FR & ATM



VPN Tunnel

CEVPN A

CEVPN BRouteur

PE

Routeur PERouteur

P


CEVPN A

CEVPN B

VPN Tunnel


Réseau d’accès

Routeur PEVFI

VFI

VFI

VFI

Interface ClientInterface Client

Interface Réseau



Toute l’intelligence est hébergée dans le routeur PE du SP.

Chaque routeur PE met en œuvre une ou plusieurs instances VFI et maintient un état par VPN.

VFI ‘VPN Forwarding Instance’ une entité logique, dédiée, résidant dans le routeur PE qui contient la base d’information du routeur ainsi que la base d’information de transfert (Forwarding) pour un VPN spécifique.

VFI termine les tunnels d’interconnexion avec les autres VFIs et peut aussi terminer les connexions d’accès aux CEs.


Modèles d’implémentation

La logique d’échange des informations de routage entre le CPE et le SP.

Deux principaux modèles :Overlay

Peer to Peer


Le modèle Overlay

Le service VPN est fonctionnellement équivalent à des liaisons louées émulées.

Le SP et le CE n’échangent aucune information de routage de niveau 3.

Offre une nette séparation des domaines de responsabilités Clients et SP.

mise à jour de la matrice de trafic,

l’ajout de (n‐1) PVC,

révision de la taille des PVCs en full Mesh,

mise à jour du routage

reconfiguration de chaque CPE pour la topologie couche 3 !


Modèle Overlay VPN

Site 3 Site 4

Site 2Site 1

CE

CE

CE CE

PE

PE

PE

PE


Le modèle Peer to Peer VPN

Participation active du SP dans le routage client, l’acceptation de ses routes, leur transport sur le backbone et finalement leur propagation aux autres sites clients.

Simple, souple et extensible offrant une facilité de Provisioning des clients et une meilleure gestion des ressources réseau.


Le Modèle Peer to Peer

Site 3

Site 4

Site 2Site 1

CE CE

CE CE

PE

PE

PE

PE


VPN (logiciels) et couche OSI

Application

Présentation

Session

Transport

Réseau

Liaison

Physique

SSL / TLS

TCP UDP

IP / IPSec (ESP, AH)

PPTP, L2TP, …

HTTP‐s, … IKE (ISAKMP, …)


Choix de la meilleure technologie VPN

TraficUtilisateur

Utilisez unVPN

couche 3IPSec

Oui

Oui

Non

NonPt à pt seul?

Utilisez unTunnelL2GREouL2TP

IP seul?

• Sélectionnez la meilleure technologie VPN pour fournir une connectivité réseau selon les besoins du trafic.


Avantages

Peer to Peer VPNLe Fournisseur de service participe au routage client

Le réseau client et le réseau du Fournisseur sont bien isolés

Un routage optimal entre Les sites clients

Overlay VPNLe Fournisseur de service ne participe pas au routage client

Configuration usuelle (traditionnelle) pour l’ajout de VNs additionnels

Les sites sont les seuls à être provisionnés, non les liaisons

Un routage peut devenir non optimal entre Les sites clients


Limitations

Overlay VPNLe routage optimale requiert des VC en full mesh

Le provisionning des VCs est manuel

La BP doit être provisionnée sur la base du site à site

Souffre de l’encapsulation d’overheads

Peer to Peer VPNLe SP participe dans le routage client

Le SP est responsable de la convergence chez le client.

Les PEs portent toutes les routes des clients

Le SP a besoin d’une connaissance accrue du routage IP


La solution

Les opérateurs, militent en faveur de l’utilisation de l’architecture

hybride :

Network‐Based layer 3 VPN‐IP utilisant une logique Peer to Peer


VPNsVPNs

VPNs Overlay

VPN Peer to Peer

VPNs Overlay

VPN Peer to Peer

VPN classique couche 2

VPN MPLS couche 2

VPN IP Tunneling

VPN classique couche 2

VPN MPLS couche 2

VPN IP Tunneling

VPN X.25VPN FR

VPN ATM

VPN X.25VPN FR

VPN ATM

VPN GREVPN IPsec VPN GREVPN IPsec

VPN avec routeur Dédiés

VPN BGP/MPLS

VPN Routeurs Virtuels

VPN avec routeur Dédiés

VPN BGP/MPLS

VPN Routeurs Virtuels

Classification VPN-IP


Classification

Classification des VPN en fonction des équipements mis en œuvre (suite)

VPN « session » (Session Based)

Solutions plus connues sous le nom de VPN SSL

Secteur en plein essor !

Solutions assimilables à des reverse proxy HTTPS (i.e. tunnel SSL et redirection de port)

Usage abusif du terme VPN ?

Accès à un portail d’ applications et non au réseau interne

Excepté OpenVPN ?

Convient bien aux accès distant


Technologies VPN

VPNVirtual Private Network

Réseau IP privé transporté par un réseau partagé

Technologies de VPNVPN sur niveau 1 partagé

VLAN, SDH

VPN sur niveau 2 partagé

Frame Relay, ATM

VPN sur niveau 3 partagé

Tunnels : GRE, L2TP, PPTP, L2F, IPSec

VPN‐IP : Tag VPN, MPLS VPN


Synthèse des solutions VPN

Source Burton Group ( d’après Nortel)

Enterprise CPE-based VPNs

Provider Provisioned

Dedicated VPN applianceFirewall with VPN add-onCheck Point -based applianceVPN Router

CPE-based

Virtual RouterTechnology

RFC2547(MPLS/BGP)

Martini draft MPLS(point to point)Optical Ethernet

Ethernet VPN's(leveraging MPLS)

ATMFrame Relay

ATM/FR VPN's

Network-based

VPNs

L3 routing (IP) L2 switching (packet/cell/frame)

Enterprise CPE-based VPNs

Session-based (SSL)

Provider Provisioned

Dedicated VPN applianceWeb server & s/w agents

Layers 4-7 (transport layer+)


VPN : Contraintes des VPN‐IP

1. Étanchéité des plans d'adressage et des VPNsRecouvrement possible des adresses utilisées par deux clients : Overlapping

Recouvrement possible des adresses clients/backbone

Communication any‐to‐any dans un VPNHub & Spoke est toujours possible

Backbone vu comme niveau 2 totalement mailléLes TTL des paquets IP des clients sont préservés

Les routeurs backbone n'apparaissent pas dans traceroute


VPN : Implications techniques

1. Multiples tables de routageLes routeurs de backbone doivent maintenir des tables de routage indépendantes pour chaque VPN

=> VRF : VPN Route Forwarding table

2. Protocole dynamique d'échange de routes VPNLes routeurs doivent s'échanger les routes de leurs VRF

Ce protocole doit savoir différencier les routes par VPN

=> MP‐iBGP

3. Différentiation des paquets IP reçusLes routeurs doivent savoir attribuer les paquets reçus à un VPN

=> encapsulation des paquets issus de VPNs


MPLS et VPN‐IP

Le RFC 2547bis définit un mécanisme permettant aux SPsl’utilisation de leur backbones IP pour offrir des services VPN.

Ces VPNs son communément appelés BGP/MPLS‐VPNs :Vu que le protocole BGP est utilisé pour la distribution des informations de routage à travers le backbone

Vu que MPLS est utilisé pour acheminer le trafic d’un site VPN à un autre.


Les objectifs

Rendre le service simple d’usage pour les clients même s’ils ne disposent pas d’expérience dans le routage IP

Rendre le VPN extensible et flexible pour faciliter un déploiement à grande échelle

Permettre au SP d’offrir un service à forte valeur ajoutée capable de galvaniser sa loyauté.


Réseau et table de routage

Table

de

Routage

Routing

Table

Manager

Interfaces

Proto. de

routage

Proto. de

routage

Algo. Algo.

Table de

RoutageTable de

Routage

Routes statiques

Routes directesParamètre


Composantes du réseau

Dans le contexte du RFC 2547, un VPN est défini par une collection de politiques qui contrôlent la connectivité d’un ensemble de sites.

Un site client est connecté au réseau du SP par un ou plusieurs ports

Le SP associe à chaque port une table de routage VPN appelée VRF ‘VPN Routing and Forwarding’.


Virtual Router

VR

VR

VR

CE

Routeur PE

VR

VR

VR

CE

Routeur PE


VRF et Multiple Routing Instances

VRF : VPN Routing and Forwarding InstanceVRF Routing Protocol Context

VRF Routing Tables

VRF CEF Forwarding Tables


Les composantes VPN

La mise en œuvre du service VPN repose sur :

Niveau Infrastructure

Niveau gestion.


Customer Edge

Le CE (Customer Edge) est l’équipement qui permet l’accès du client au réseau du SP sur une liaison de données à un ou plusieurs routeurs PE.

Typiquement, c’est un routeur qui établit une adjacence avec les PEs où il est directement connecté.

Après l’établissement de l’adjacence, le CE annonce au PE les routes VPN du site local pour qu’il puisse recevoir de ce dernier les routes VPN distantes.

CEBackbone


Provider Edge

C’est grâce au concept de routeur PE (Provider Edge) implémentant une ou plusieurs VRF qu’il est devenu possible de mettre en place des réseaux d’opérateurs souples et commercialement viables.

Le PE échange les informations de routage avec le CE par le routage statique, RIPv2, OSPF ou eBGP.

Au moment où le PE maintient les informations de routage VPN, il lui est requis seulement de maintenir les routes VPN de ceux qui lui sont directement connectés.

Ce qui contribue fortement à l’amélioration de l’extensibilité du réseau.


Provider Edge

Chaque PE maintient un VRF à chaque site directement connecté.

Chaque connexion (Frame Relay, LL, ..) est mappée à une VRF spécifique.

D’où la justification du choix d’un port (interface), et non un site, pour l’associer à un VRF.

L’étanchéité des VPNs est rendu possible grâce au maintient par le PE d’une multitude de VRF, rendant la tache aisée la tache de routage et améliorant les performances des équipements de commutation.

Les informations de routage locales aux CE sont utilisées par les routeurs PE pour établir, via iBGP, la connectivité IP.

Cette connectivité sera par la suite traduite en connectivité de label.


Choix du Provider Edge (PE)

Considerations CPU

QoS Considerations

Critères

Considerations

Mémoire


Routage entre CE et PE (1)

Comment distribuer les routes apprises ?

1. En utilisant un protocole de routage dynamiqueExemple : RIP, OSPF, etc.

2. Chaque CE d’un VPN(a) doit transmettre à son ou ses PE pairesLes routes apprises pour atteindre les sous‐réseaux localisées sur son site

3. En retour, le ou les PE paires doivent annoncer au CE en questionLes routes à suivre pour atteindre les sous‐réseaux localisés sur d’autre sites, mais appartenant au même VPN(a)

Ces routes seront transmises depuis d’autres PE connectés à des CE du même VPN(a)


PE1

CE

CE

Site-2

Site-1

EBGP,OSPF, RIPv2,Static

Routage entre PE et CE (2)

VPN Backbone IGP (OSPF, ISIS)

CE

Site-3

Transmission à PE2de la table de routage de CE3

permettant d’ atteindreles sous-réseaux du site 3

PE2

Transmission à CE3des tables de routage de CE1 et CE2

reçus depuis PE1 et permettant d’ atteindre les sous-réseaux des

sites 1 et 2


Le routeur P

Le routeur P n’est connecté à aucun CE Le routeur P est n’importe quel routeur situé dans le backbone, qui n’est connecté à aucun CE.

Le P fonctionne en MPLS transit (LSRs) quand il achemine un trafic VPN entre PEs.

Les P sont chargés du maintien des routes au PE, et non du maintien d’information spécifique de routage pour les sites clients.


Choix du Provider Router (P)

Considerations CPU

Considerations

PE Considerations

Mémoire


Routage entre PE (1)

Problème poséImpossible de distribuer directement les tables de routage des CE

Les sites des différents VPN peuvent en effet utiliser les mêmes systèmes d’adressage privés



VPN_A

VPN_A

VPN_B

10.3.0.0

10.1.0.0

11.5.0.0

P P

PP

CE

CE

CE

VPN_A

VPN_B

VPN_B

10.1.0.0

10.2.0.0

11.6.0.0

CE

PECE

CE

VPN_A

10.2.0.0

CE

PE

PE

PE


BGP Synthèse

BGP est un protocole qui peut fonctionner en IGP et EGP

Les routeurs internet sont partagés en groupe pour diminuer le trafic de routage

Messages BGP

Initialisation

Mise à jour

Notification d’erreur

BGP utilise une connexion TCP

BGP est riche en attributs : mise en œuvre du routage par politique


Le modèle conceptuel de BGP

Peer[1]Import filter

AttributemanipulationPeer[N]

Import filterAttribute

manipulation

BGP MsgsPeer[N]

BGP MsgsPeer[1]

Import filter(Peer[i])Determine quels Msgs BGPSont acceptables à partir Peer[i]

BGP Loc-RIB

Toutes les routes

acceptables

Une meilleure Route Pour

Chaque Destination

Processde

décision

BGP Routing Information BaseContient toutes les routes acceptables apprises à partir des voisins + routes internes�BGP decision process selectsLa meilleure route vers chaque destination

Export filter(Peer[i])Determines whichroutes can be sent to Peer[i]

Peer[1]Export filter

Attributemanipulation

Peer[N]Export filter

Attributemanipulation BGP Msgs

Vers Peer[N]

BGP Msgs versPeer[1]


BGP Attributes

• BGP attributes :– AS‐path *

– Next‐hop *

– Local preference

– Multi‐exit‐discriminator (MED)

– Origin *

– Community

* = Well‐known mandatory attribute


L’algorithme de Selection de route BGP

• Pour une route synchronisée ayant un next-hop valide (pas de boucles) :

1. Utilise weight le plus élevé (local au routeur)

2. Utilise local preference le plus élevé

3. Le routeur est à l’origine de la route (network, redistribute puis aggregate)

4. Utilise le plus court AS-path (sauf si BGP ‘best path as-path ignore’)

5. Utilise le plus faible Origin code (IGP < EGP < incomplete)

6. Utilise le plus faible MED (pour les as-path qui commence par le meme AS sauf si BGP ‘always-compare-med’)

7. Utilise chemin EBGP puis chemin IBGP (interne ou EBGP Intra-confederation)

8. Utilise le chemin utilisant le plus proche IGP neighbor

9. Pour l’IBGP le chemin le plus vieux (sauf si BGP ‘bestpath compare-routerid’. Il y a load-sharing si maximum-path n’

10. Pour l’IBGP le metric igp le plus faible

11. Utilise le voisin avec le ‘BGP router id’ le plus faible


Le modèle conceptuel de BGP

Peer[1]Import filter

AttributemanipulationPeer[N]

Import filterAttribute

manipulation

BGP MsgsPeer[N]

BGP MsgsPeer[1]

Import filter(Peer[i])Determine quels Msgs BGPSont acceptables à partir Peer[i]

BGP Loc-RIB

Toutes les routes

acceptables

Une meilleure Route Pour

Chaque Destination

Processde

décision

BGP Routing Information BaseContient toutes les routes acceptables apprises à partir des voisins + routes internes�BGP decision process selectsLa meilleure route vers chaque destination

Export filter(Peer[i])Determines whichroutes can be sent to Peer[i]

Peer[1]Export filter

Attributemanipulation

Peer[N]Export filter

Attributemanipulation BGP Msgs

Vers Peer[N]

BGP Msgs versPeer[1]


Connectivité

Le modèle MPLS‐VPN se base sur un contrôle plus granulaire des informations de routage par l’ajout de deux mécanismes supplémentaires à savoir :

le Multiples Forwarding Tables

Au niveau d’un PE, chacune de ses VRFs est associée à un ou plusieurs de ses ports (interfaces/sous interfaces) qui le connectent directement au site client.

Si un site donné contient des machines qui sont membres dans plusieurs VPNs, la VRF associée au site client contient alors des routes pour tous les VPNs dans lesquels ce site est membre.

le BGP extended communities.

La distribution des informations de routage est conditionnée par l’usage des nouveaux attributs du BGP que sont les Extended Communities.


Connectivité

BGP extended communities

Ces attributs font parties des messages BGP en tant qu’attributs de la route.

Ils identifient la route comme appartenant à une collection spécifique de routes et qui font objet de la même politique de traitement.

Chaque attribut BGP Extended Community doit être globalement unique et ne peut alors être utilisé que par un seul VPN.

Les attributs BGP Extended Communities utilisés sont de 32 bits.

L’utilisation de ces 32 bits vise l’amélioration de l’extensibilité des réseaux d’opérateurs à 232 communities. Par ailleurs et puisque l’attribut contient l’identificateur du système autonome du SP, il peut aussi servir pour contrôler l’attribution locale tout en maintenant son unicité.


Connectivité

Trois types d’attributs BGP Extended Communities sont utilisés :

Le RT (Route Target) qui identifie une collection de sites VFRs à qui le PE distribue les routes. Un PE utilise cet attribut pour contraindre l’import de routes vers ses VRFs.

Le VPN-of-origin qui identifie une collection de sites et établit la route associée comme venant d’un des sites de l’ensemble.

Le Site-of-origin qui identifie le site spécifique duquel le PE apprend une route. Il est encodé comme attribut de « route originextended community », qui peut être utilisé pour prévenir les boucles de routage.



Solution proposéeUtiliser des extensions de BGP (Border Gateway Protocol)

MP-iBGP = entre PE d’un même AS (MP=MultiProtocol, i=interior)

MP-eBGP = entre PE de différents AS (e=exterior)

Distribuer non pas des adresses IP, mais des adresses IP-VPN<composées de deux éléments

Un identifiant appelé RD (Route Distinguisher) composé

D’ un identifiant de FAI (ex : numéro AS de système autonome)

D’ un identifiant de VPN : RT

Une adresse de sous-réseau

Située à l’intérieur du VPN identifié au sein du RD


VPN : MP-iBGPMultiple Protocol - internal BGP

Extension du protocole BGP v4nouvelle capability : vpn_ipv4

AFI/SubAFI = 1/128 identifie la famille de routes vpn_ipv4

Rappel : AFI/SubAFI =1/1 identifie la famille de routes ipv4 unicast

Nouveau format de routeRoute Distinguisher + préfixe IP v4

Fonctionnement similaire à l'iBGP classiqueIGP nécessaire

routeurs iBGP fully meshed

route reflectors …


Connectivité

En mode opérationnel, et avant de distribuer ses routes locales aux autres PEs, le PE d’entrée affecte un RT à chaque route apprise par les sites directement connectés, qui est basé sur la valeur de la politique cible d’export configurée.

Cette approche offre une flexibilité énorme dans la mesure où un PE peut attribuer un RT à une route.

Le PE d’entrée (ingress) peut ainsi être configuré pour assigner un seul RT à l’ensemble des routes apprises d’un site donné, ou d’assigner un RT à un groupe de routes apprises d’un site et autres RT aux autres routes apprises d’un autre.


Connectivité

Avant d’installer les routes distantes distribuées par un PE, chaque VRF dans un PE sortant (egress) est configurée avec une politique import cible.

Un PE peut uniquement installer une route VPNv4 dans une VRF si le RT transporté avec la route correspond à une VRF import cible.

Cette approche permet à un SP d’utiliser un seul mécanisme pour servir les clients ayant une large politique de connectivité inter sites. Par le biais d’une configuration sereine d’Import Target et Export Target, le SP peut alors construire différents types de topologies VPN :

maille complète,

maille partielle,

Hub,

Spoke, ….


Overlapping

Ainsi, la famille d’adresses VPNv4 a été adoptée comme solution à la problématique d’overlapping.

Une adresse VPNv4 est formée de 12 Octets.

8 octets composent le RD ‘Route Distinguisher’ suivi des octets de l’adresse IPv4.

Type Field Administrator field Assigned Number Subfield

2 octets 6 octets

Format de l’extension d’adresse VPN v4


VPN : MP-iBGP

Route vpn_ipv496 bits (64 + 32)

64 bits pour le Route Distinguisher RD

32 bits pour le préfixe ip_v4

Update MP-iBGProute vpn_ipv4

les attributs BGP standards (AS_path, Local Pref, MED, …)

attribut SOO Site Of Origin

attribut Route Target RT : identifie le VPN

attribut Route Origin : identifie le CE origine de la route

Tag Externe : émit par le PE d'origine


label VPN : MP-iBGP

PE-1 apprend les routes du site-1Elles sont intégrées dans la VRF verte

Celle-ci est identifiée par le Route Target RT

La VRF verte est redistribuée dans le domaine MP-iBGPen ajoutant le RD pour fabriquer une route vpn_ipv4 unique

en ajoutant le RT et le SOO (site of origin)

PE-1

Réseau Tag switching

PE-2

P P

P P

CE-1

Site-2

Site-1

CE-2eBGP, RIPv2OSPF, static

Session MPiBGP


Label VPN : MP-iBGP

PE-2 reçoit la route de PE-1récupère le préfixe ipv4

l'intègre dans la vrf verte (grâce au RT)

next-hop = PE-1

PE-2 redistribue les routes de CE-1 à CE-2RIPv2, BGP, OSPF

next-hop PE-2

PE-1VPN Backbone IGP

PE-2

P P

P PBGP,RIPv2 update pour Net1,Next-Hop=CE-1

CE-1

Site-2

VPN-IPv4 update:RD:Net1, Next-hop=PE-1SOO=Site1, RT=Vert, Label=(intCE1)

VPN-IPv4 update traduit en IPv4 (Net1) et inséré dans VRF Vert car RT=Vert puis annoncé à CE-2

Site-1

CE-2


Problématique

Comment faire acheminer un paquet issu d’un site VPN vers un autre site du même VPN ?

comment partager l’infrastructure public entre des sites privés ?


VPN : Différents label

Identification du PE de sortie

Routage inter-PEs

un premier label

Traité par les Ps

Service de routage

Identification du routeur virtuel de sortie

Routage inter-VPN

Un deuxième label

Traité par les PEs

Service VPN


VPN : Différents label

label Interneutilisé par Tag Switching (routeurs P et PE)

label Externeutilisé pour identifier le VPN d'une trame IP (routeurs PE)

égal au RT

VPN_A

VPN_B

VPN_A

VPN_A

site 1 VPN_B

10.2

10.3CE

PE

PE2

P P

PP PE

CE1

CE

CE

CE2

CE

T7T8T9TaTb

TuTwTxTyTz

T8, Tw

outin /

Data

PE1

site 2 VPN_B

data

data

Data

data

data


VPN : Envoi d'une trame

Paquet : 10.2.1.1 vers 11.5.1.1 (VPN-A)Routé par CE-A1 vers le PE-1

Traversée de PE-1PE-1 connaît le VPN par interface d'entrée => le label externe RT

PE-1 connaît le next-hop PE-2 grâce à la VRF => le label interne (LFIB)

Encapsulation du paquet avec les deux labels

Envoi vers PE-2 à travers le réseau label Switching

VPN_A

VPN_A

VPN_B10.3.0.0

10.1.0.0

11.5.0.0

P P

PP

CE

CE-A2

CEVPN_A

VPN_B

VPN_B

10.1.0.0

10.2.0.0

11.6.0.0

CE

PE-1CE

CE

VPN_A10.2.0.0

CE-A1

PE

PE-2

PE


Tag VPN : Réception d'une trame

Paquet reçu par PE-2

Suppression du label Interne par le P de sortie

Suppression du label Externe => RD récupéré

Avec RD, utilisation du bon VRF

PE-2 route le paquet vers CE-A2

VPN_A

VPN_A

VPN_B10.3.0.0

10.1.0.0

11.5.0.0

P-2P-1

CE

CE-A2

CEVPN_A

VPN_B

VPN_B

10.1.0.0

10.2.0.0

11.6.0.0

CE

PE-1

CE-B1

CE

VPN_A10.2.0.0

CE-A1

PE

PE-2

PE

S-1


Commutation de labels

Utilisation de deux niveaux de labels

Un premier niveau de label

Utilisé par les PE pour atteindre les PE apparaissant comme prochain saut dans leurs tables de routage

Un deuxième niveau de label

Utilisé par les PE pour atteindre le bon CE

Chaque PE allouera un label à chaque CE/VPN auquel il est connecté

Distribution des labels

Utilisation de LDP à l’ intérieur du backbone

Entre routeurs P et PE, ou P et P

Utilisation de MP-BGP

Entre routeurs PE en transmettant simultanément routes et labels


PE2

PE1

CE1CE2

P1 P2

CE3

CE4

Architecture MPLS/VPN-IP

VPN_B10.1.0.0VPN_A

11.5.0.0

VPN_A10.1.0.0

VPN_B11.5.0.0

PE1 affecte une pile de 2 labels :• le premier label qui caractérise le VPN• Le deuxième label pour l’établissement du

LSP

P1:• Traite les deux paquets de la même manière• Change la tête de la pile de label

P2:• Élimine la tête de la pile• Délivre les paquets avec un seul label au PE2

PE2:• Élimine l’entête MPLS• Délivre les paquets au CE2


VPN Selection

20.1.1.1

30.1.1.1

40.1.1.1

ISP1 Pool 20.x.x.x

ISP2 Pool 30.x.x.x

ISP4 Pool 40.x.x.x

PE

PE

CE

CE

CE

Broadband Access Network

MPLSVPN

VPN1

VPN2VPN2

VPN3VPN3

VPN1

VPN2

VPN3

PE


Apports du MPLS VPN

La mise en place du service MPLS-VPN profite pleinement des avantages de l’architecture MPLS en terme séparation des plans logiques et physiques à savoir :

L’absence de contraintes sur le plan d’adressage adopté par chaque VPN client. Le client peut ainsi utiliser un adressage publique ou privé. Pour le SP, plusieurs clients peuvent utiliser les mêmes plages d’adresses.

Du fait que le modèle adopté est le Network Based layer 3 VPN, le CE n’échange pas directement les informations de routage avec les autres CE du même VPN. Les clients ne sont alors pas obligés d’avoir ne parfaite connaissance du schéma de routage utilisé dans le réseau.

Les clients n’ont pas un backbone virtuel à administrer. De ce fait, la tache de management PE ou P, voire même CE, est une tache de moins.


Apports du MPLS VPN

Le SP administre un seul réseau mutualisé pour l’ensemble de ses clients.

Le VPN client peut s’appuyer sur un ou plusieurs backbone SP.

Même sans l’utilisation de technique de cryptographie, la sécurité est équivalente à celle supportée par les VPNs de la couche 2 (ATM ou Frame Relay).

Les SP peuvent utiliser une infrastructure commune pour offrir les services de connectivité VPN et Internet.

Conformité au modèle DiffServ.

Une QoS flexible et extensible grâce à l’utilisation des bits EXP de l’entête MPLS ou par l’utilisation du trafic Engineering (RSVP)

Le modèle RFC 2547bis est indépendant du lien de la couche 2.


Un environnement de marché plus délicatAllongement du cycle de venteBudgets clients plus limités

Évolution de la concurrenceConcentration/Intégration des acteursConcurrence des opérateurs globauxPression concurrentielle en augmentation

Préservation de la margeMarge sur le matériel en baisse

Évolution des métiersRecherche de relais de croissances : VPN IP, VoIP, ToIP, PBXIP, WiFiRisques de désintermédiationEn route vers plus de service : Service Management, Infogérance..Maîtrise de la relation client

Les principales tendances


Contraintes opérateur et entreprise

Côté opérateur

Une solution technique permettant d’intégrer des nouvelles technologies d’accès (émergence du DSL) et intégrant les évolutions des cœurs de réseau opérateurs (Gigabit Ethernet…)

Topologies d’interconnexion de plus en plus complexes et changeantes au sein d’entreprises plus ouvertes

Entreprises à la recherche de solutions leur offrant :

Coûts

Sécurité

Bonnes performances pour leurs applications métiers

Evolutivité de la solution


Apports du MPLS VPN

Absence de contraintes sur le plan d’adressage

CE n’échange les informations de routage qu’avec le PE

Le management pour les clients, est une tâche de moins

SP administre un seul réseau mutualisé

Le VPN client peut s’appuyer sur un ou plusieurs backbones SP.

Sécurité est équivalente à celle supportée par les VPNs de la couche 2

Même infrastructure pour les services de connectivité VPN et Internet.

Support de la QoS

Le modèle RFC 2547bis est indépendant du lien de la couche 2.


Service ProviderMPLS - VPN Network

VPN “B”

VPN “B”VPN “A”

VPN “A”

Avant MPLS/VPN: Managed Shared Services

• Services need to be replicated per VPNPoor efficiencyHigh Traffic LoadManagement nightmare

Services for VPN A Services for VPN B

ERP

InternetGateway

VideoServer

HostedContent

H.323Gatekeeper

ERP

InternetGateway

VideoServer

HostedContent

H.323Gatekeeper


Conclusion

MPLS est adapté aux besoins du moment VPN,

QOS,

TE

MPLS se base sur l’existant (protocoles) et permet les évolutions futures possibles (IPV6)

MPLS fait partie d’un mouvement d’ensemble vers les NGN


Quelques référencesLes réseaux

G. Pujolle; Ed: Eyrolles

TCP/IP : Architectures et Protocoles

D. Comer; Ed: Dunod

Les réseaux

A. Tananbew; Ed: Dunod

Le routage dans l’Internet

C. Huitema; Ed: Eyrolles

Interconnexion: Bridges and routers

R. Perlman; Ed: Addison Wesley

OSPF design guide

S. Halabi; Ed: Cisco Press

Internet routing architectures

S. Halabi; Ed: Cisco Press

Réseaux privés Virtuels MPLS-VPN-IP


[email protected]

Version 2010-2011

TerminusMPLS-VPN-IP

Cours Routage MPLS VPN-IP

Documents

Transcript of Cours Routage MPLS VPN-IP