Projet Mpls Inter As

Année universitaire 2011 / 2012

Mastère Spécialisé en Réseau des Télécommunications

MPLS : Projet No 1

FORMATEUR : MODOU SALL Présenté par : GANGA DOUMBO INNOCENT ASSOUMANE ISSOUFOU

ETUDE TECHNIQUE DE L’INTERCONNEXION VPN MPLS ENTRE DEUX FORUNISSEURS

PRESENTE PAR GANGA D. INNOCENT ET ASSOUMANE ISSOUFOU

INTRODUCTION

Dans l'architecture Inter-AS définie dans la RFC4364, le réseau cœur se compose de plusieurs

systèmes autonomes (AS), appartenant en général à différents fouisseurs de service. Le cas de

ce type d'architecture, reliant par exemple deux fouisseurs la SONATEL et CI TÉLÉCOM,

est beaucoup plus complexe en termes de sécurité. Il faut dans ces situations faire confiance à

l'autre fournisseur de service quant aux paquets qu'il envoie. Une nouvelle fois, la notion de

confiance vis-à-vis des fournisseurs de service y compris entre eux-mêmes est importante. Il

existe quatre méthodes permettant de connecter des AS entre eux :

- connexion VRF à VRF sur les ASBR {Autonomous System Border Router),

- redistribution avec eBGP {exterior BGP) des routes VPN-IPv4,

- redistribution eBGP à saut multiple de routes VPN-IPv4 inter-AS et redistribution

eBGP des routes IPv4.

- L’utilisation d’un fournisseur de transit

Les menaces pouvant affecter les VPN sont les mêmes que précédemment, par contre selon la

méthode employée pour relier les différents AS, leur exposition à ces menaces est différente.

I- LA METHODE BACK TO BACK VRF

La première méthode consiste à utiliser une sous-interface de la connexion entre les

ASBR pour chaque VRF. L’approche VRF to VRF est la plus simple des méthodes et permet

aux fournisseurs MPLS VPN d’échanger des routes VPN entre les sites CE des différents AS.

Dans cette approche les PE des différents AS fonctionnent comme des ASBR. Ces ASBR sont

interconnectés par un seul lien unique composé des interfaces logiques ou via plusieurs liens

physiques. LES VRF sont configurés sur les ASBR pour collecter les routes des clients VPN.

Chaque interface ou sous interface connectés entre les ASBR est dédiés à un seul VRF d’un

client. Pour distribuer ses routes VPN à des routeurs adjacents, un client VRF utilise les

protocoles de routage eBGP, RIP2, EIGRP, OSPF ou soit des routages statiques. La

séparation est maintenue tout au long du transport et les paquets transitant sont de classiques

paquets IP. Le protocole eBGP est très utilisé dans le back to back, il s’adapte très bien à ses

types d’application car il retient le type de route, implémente une meilleure politique de

sécurité et est extensible. Cette méthode permet moins d'interaction entre les AS, elle peut



être considérée comme plus sûre. Cependant, elle n'est pas adaptée à l'échange d'un grand

nombre de VRF car pour chaque VPN inter-AS géré, un VRF et une interface spécifique

doivent être configurés sur chaque ASBR.

Plan de contrôle pour la connexion VRF à VRF sur les ASBRs

Plan de transmission pour la connexion VRF à VRF sur les ASBRs



Les Avantages

Les avantages de ce modèle sont les suivants :

� Le confinement des VPN dans des tunnels dédiés en point à point. L'isolation entre les

VPN interconnectés est ainsi renforcée.

� La granularité d'analyse en cas de problème réseau est fine par l'isolation de configuration

des VPN.

� Il est possible de filtrer le trafic IP par VPN. On peut alors effectivement filtrer le trafic du

VPN sur les adresses IP et/ou sur les ports TCP/UDP par les mécanismes classiques de

filtrage des paquets.

� Il est possible de filtrer le routage par VPN. On peut effectivement contrôler les adresses

IP routées sur le VPN par les mécanismes classiques de filtrage de route. Notons qu'il est

aussi possible de mettre en œuvre des mécanismes de contrôle de l'instabilité des mises à

jour des routes.

Les Inconvénients

Les inconvénients de ce modèle sont les suivants :

� Les configurations des VPN deviennent consommatrices en termes de ressources si le

nombre de VPN augmente considérablement. Notons alors que le nombre des

équipements d'interconnexion devra aussi augmenter entre les deux réseaux MPLS/VPN.

� L'architecture d'interconnexion devient complexe si le nombre des équipements

d'interconnexion entre les deux réseaux MPLS/VPN augmente considérablement.

Rappelons que cette architecture doit assurer la disponibilité réseau de l'interconnexion

MPLS/VPN.

II- L’APPROCHE ASBR-ASBR AVEC L’UTILISATION DU MP-eBGP

Dans la méthode back to back VRF les ASBR utilisent traditionnellement l’IPv4 pour

intégrer des VPN à travers 2 réseaux de fournisseur de services. Dans la seconde méthode les

ASBR utilisent les MP-eBGP pour échanger les routes VPNv4 entre les AS. Ceci est appelé

approche ASBR-ASBR. Cette approche réduit la nécessité d’avoir des configurations VPN

sur chaque ASBR comme on l’a vu dans la méthode back to back VRF et par conséquent



permet aux préfixes VPNv4 d’être transporté à travers plusieurs fournisseurs. Cependant pour

autoriser le transport des préfixes VPNv4, le lien entre les AS doit supporter l’échange des

paquets MPLS par ce que les mises à jour VPNv4 sont encapsulés dans les paquets MPLS

quand ils traversent un AS et doivent être encapsulés lors du passage à travers ou entre les

AS.

Dans un réseau MPLS VPN le transport de paquet se passe seulement si le routeur

spécifié comme étant le BGP dans la mise à jour de la réception est le même routeur assigné

au label VPN dans le nuage MPLS VPN. Cependant quant les VPN sont dispersés à travers de

multiples fournisseurs, l’attribut du prochain nœud BGP est changé quant il ya une session

eBGP entre les ASBR. Par conséquent dans une méthode ASBR-ASBR un label VPN est

assigné à chaque fois que le prochain nœud change. L’approche ASBR-ASBR accepte

l’utilisation de MP-eBGP entre les ASBR pour le transport des préfixes VPNv4 par rapport à

l’implémentation du MP-iBGP dans les réseaux VPN traditionnels dans un seul AS. La seule

différence entre les MP-eBGP et MP-iBGP lors du transport des préfixes VPNv4 est la façon

dont l’attribut du prochain saut est géré. Par ce que le prochain saut est changé quant il ya une

session eBGP entre les ASBR, le chemin LSP se termine sur l’ASBR d’où provient la mise à

jour. Par conséquent, l’ASBR sollicité doit attribuer un nouveau label pour la route avant de

l’envoyer via la mise à jour MP-eBGP aux autres ASBR.

Plan de contrôle du MP-eBGP entre les ASBRs



Plan de transmission du MP-eBGP entre les ASBRs

Les Avantages

Les avantages de ce modèle sont les suivants :

� La configuration d'un VPN est simplifiée puisqu'on ne définit plus les connexions point à

point, ni même le VPN explicitement. Seuls des filtrages, configurés de manière

symétrique, des routes-targets entre les deux réseaux permettent de contrôler les

interconnexions des VPN.

� Le modèle est extensible même si le nombre de VPN à interconnecter devient important.

Rappelons encore qu'il n'y a pas de configuration explicite de VPN à créer.

� L'architecture réseau est simplifiée et extensible, même si le nombre de VPN à

interconnecter devient important. Seules les capacités de commutation des équipements

d'interconnexion seront impactées.

� On n’a pas besoin d’activer la TDP/LDP ou l’IGP sur le lien connectant les deux ASBR.

La session MP-eBGP entre les interfaces connectées directement sur les ASBR permet

aux interfaces de transporter les paquets labélisés.

� Aucune route Target n’a besoin d’être configuré sur un ASBR qui n’a aucun VRF

configuré ou fonctionnant comme un RR. La commande assure que l’ASBR accepte le



BGP VPNv4 provenant d’autres PE routeurs dans l’AS. Le comportement par défaut est

de refuser tous les préfixes VPNv4 entrant qui ne sont pas importés dans les VRF locaux.

Les Inconvénients

Les inconvénients de ce modèle sont les suivants :

� La granularité d'analyse en cas de problème réseau n'est plus fine et nécessite en revanche

d'analyser les sessions de routage MP-eBGP.

� Il n'y a pas de possibilité de filtrer le trafic IP par VPN (dans la limite des technologies

existantes). Cependant, un filtrage est possible au niveau du trafic des données de

l'ensemble des VPN.

� Il n'y a pas de possibilité de filtrer le routage des adresses IP par VPN (dans la limite des

technologies existantes). Cependant, un filtrage est possible au niveau des routes Target

échangées entre les deux réseaux permettant de définir les interconnexions des VPN.

III- MULTI SAUT MP-eBGP ENTRE LES RR

Cette approche est considérée comme étant plus évolutive que les deux premières

méthodes. Dans cette option l’information VPNv4 est gardée par le RR. Pour répondre à cette

exigence chaque AS doit avoir des RR locaux pour la distribution des préfixes VPNv4 et

d’une connexion eBGP pour échanger les préfixes avec les autres RR. Dans cette option les

ASBR participent à l’échange du saut BGP en utilisant les labels IPv4 et les RR forment une

session MP-eBGP pour transporter l’information VPNv4.



Plan de contrôle Multi Saut MP-eBGP entre les RRs:

Plan de transmission Multi Saut MP-eBGP entre les RRs:

Les Avantages

La troisième méthode est une évolution naturelle de la deuxième ayant presque les mêmes

avantages.



Mais en plus de ceux de la deuxième il faut noter qu'au niveau de la sécurité, les réflecteurs

de routes sont invisibles comme les routeurs P, et possèdent les mêmes informations que les

PE, avec lesquels ils les échangent.

Les Inconvénients

Autre les Inconvénients de la deuxième méthode, Cette méthode a le désavantage d'être très

ouverte dans le sens où les sessions BGP et les LSP sont établies entre PE de différents AS et

non plus limitées aux ASBR comme dans la seconde méthode. Plus encore que dans cette

dernière, il est primordial que la liaison entre ASBR soit sûre, car un intrus se trouvant entre

les deux ASBR équivaut à un intrus ayant accès au cœur d'un réseau MPLS classique.

IV- UTILISATION DES FOURNISSEURS DE TRANSIT

Dans cette approche, plusieurs fournisseurs VPN utilisent un autre fournisseur de

service MPLS comme backbone de transit pour l’échange de routes VPN MPLS.

Plan de contrôle par approche Fournisseurs de Transit



Plan de transmission par approche Fournisseurs de Transit :

CONCLUSION

L’étude des différentes solutions techniques pour l’interconnexion des AS pour offrir

les services VPN, nous a permis de décrire de manière succincte les différentes solutions

techniques qui existent ainsi que leur avantages et inconvénients. L’utilisation d’une des ces

méthodes dépendra des besoins de chaque fournisseur et du nombre de client qu’il veut

interconnecter.

Il est ici fondamental que la SONATEL et CI TELECOM doivent pouvoir se faire

confiance entre eux, afin d'éviter qu'un fournisseur ne compromette pas l’autre. Cette

nécessité de faire confiance à tous les fournisseurs de service ne devrait pas de nos jours plus

exister, ne faisant qu'augmenter exponentiellement les sources de problèmes. Les technologies

comme ici MPLS, ou BGP devraient être améliorées afin de ne plus imposer cette condition.

Projet Mpls Inter As

Documents

Transcript of Projet Mpls Inter As