Prof N. Idboufker ENSA Marrakech Sommaire
INTRODUCTION GENERALE.................................................................... 1 CHAPITRE 1 MPLS : NOUVELLE ARCHITECTURE ARCHITECTURE POUR UN MEILLEUR MEILLEUR SERVICE VPNIP ......................... ............................................. ................................. ................................ ................................. ..................... ....... 3 INTRODUCTION.......................... .............................................. ................................. ................................. ........................ .... 3 1. ARCHITECTURE MPLS......................... MPLS............................................ ................................ .......................... ............. 4 1.1. Concepts MPLS ......................... ............................................. ................................. ....................... .......... 4 1.1.1. 1.1.1. Terminolo Terminologie gie MPLS ......................... ............................................. ................................. ............... .. 4 1.1.2. 1.1.2. Distribution Distribution de label........... label......................... ................................. ................................ ............... .. 5 1.1.3. 1.1.3. Protocole Protocole LDP...................... LDP.......................................... ................................. ......................... ............ 5 1.1.4. 1.1.4. Tables Tables MPLS............. MPLS .......................... ................................. ................................. ....................... .......... 5 1.1.5. 1.1.5. La notion de FEC .......................... ............................................. ................................ .................. ..... 6 1.1.6. Commutation des labels ...................... ........... ..................... .......... ...................... ........... ........... 6 1.2. Services MPLS .......................... .............................................. ................................. ....................... .......... 7 2. SERVICE VPN-IP .......................... .............................................. ................................. ............................. ................ 8 2.1. Modèles de référence VPN...................................... VPN................................................... ................ ... 8 2.2. Modèles d’implémentation Overlay Vs Peer-to-Peer .................... .................... 10 2.3. MPLS VPN.......................... VPN.............................................. ................................. ............................ ...............13 13 2.3.1. 2.3.1. Vue générale.............. générale........................... ................................. ................................. .................... ....... 13 2.3.2. 2.3.2. Composant Composantes es du réseau réseau :............................................ :.................................................... ........ 13 2.3.2.1. 2.3.2.1. Customer Customer Edge : ........................ ........................................... ................................. .............. 13 2.3.2.2. 2.3.2.2. Provider Provider Edge ......................................... ....................................................... ................... ..... 13 2.3.2.3. 2.3.2.3. Provider Provider Router Router ........................... .............................................. ............................... ............ 14 2.4. Apports du MPLS VPN............ VPN ......................... ................................. ................................. ............... 14 2.4.1. 2.4.1. Défis Défis et Solutions Solutions ............................................ .......................................................... ................. ... 15 2.4.1.1. 2.4.1.1. Overlappin Overlapping g .......................... .............................................. ................................. ................. .... 15 2.4.1.2. 2.4.1.2. Connectivité Connectivité contraign contraignante ante .......................... ........................................... ................. 15 CONCLUSIO CONCLUSION N GENERALE GENERALE ........................... .............................................. ................................. ....................... ......... 18
i ENSA 2008-2009 Prof N.Idboufker
Introduction générale Introduction Générale
En moins de dix ans, nous avons assisté chez les opérateurs à l’avènement d’un modèle infrastructurel révolutionnaire dont les caractéristiques sont l’interactivité des canaux de communication, l’instantanéité des échanges et la portée universelle. Bénéficiant d’une infrastructure réseau robuste, couvrant toute la chaîne de valeurs Telecom (Mobile, Fixe, IP), riche en canaux de communication, en connecteurs et en Gateways, les opérateurs offrent une diversification de services et des prestations à grande valeur ajoutée [7] [9]. Cette diversification de prestations engendre une masse informationnelle colossale à gérer et un niveau de synergies élevé entre les branches de l’opérateur et vis-à-vis de l’extérieur. A l’exception de la crise UMTS, cette dernière décennie constitue par excellence l’age d’or des opérateurs. Les revenus colossaux qu’ils ont réalisés leur ont permis de bâtir une infrastructure réseaux robuste et dans les règles de l’art. Maintenant que le régime de progression économique des opérateurs arrive à son quasi stabilité et que les référentiels Opérateur sont bien définis, de nouveaux défis qu’il faut être capable de relever, sont constatés. En effet, la fin de l’ère du monopole et la libéralisation du marché condamnent les opérateurs à réétudier leurs structures organisationnelles, procédurales et commerciales, héritées, généralement, d’une logique étatique. Le cadre réglementaire actuel du marché des télécommunications tend donc à encourager la compétition et à permettre à plusieurs opérateurs de se positionner sue le marché et de concurrencer sur les services réseaux notamment les services liés à la voix, aux données et au protocole IP. En outre, on assiste à l’avènement de nouveaux outils commerciaux et de vente (e-business, gestion des relations avec la clientèle CRM (Customer Relationship Manager)) et la planification des ressources d’entreprises ERP (Enterprise Resources 1 ENSA 2008-2009 Prof N.Idboufker
Introduction générale
Planning)), à l’accroissement du besoin des usagers en nouveaux services personnalisables et évolués non supportés par les réseaux traditionnels. Ces facteurs combinés à la forte tendance à la convergence des réseaux fixes et mobiles et des services voix et donnés ont poussé les acteurs des télécommunications à déployer des infrastructures réseaux convergentes. Cette architecture utilise principalement le protocole IP et elle est axée sur le service et non plus le simple transport des trafics clients. Elle transforme les opérateurs réseaux en des fournisseurs de services au lieu de vendeurs de trafic en minute. Néanmoins, le protocole IP a été développé sur deux principes de base. Primo, il a pour finalité de délivrer les paquets en mode datagramme en s’appuyant sur le routage "hop-by-hop". Secundo, il fournit un service opportuniste et de type "best-effort". Sur un autre plan, l’omniprésence de la technologie ATM, dans l’évolution des réseaux IP accompagnée d’une demande de plus en plus grande en services, a convaincu les architectes IP de la nécessité de doter ce protocole de mécanismes semblables à ceux d’ATM afin d’approcher le routage aux performances de la commutation ATM. MPLS fut alors créée. MPLS est davantage une architecture qu’un protocole ou un modèle de gestion. En effet, elle est composée d’un certain nombre de protocoles définis ou en cours de définition, et se base sur un ensemble de concepts tels que la classe FEC (Forward Equivalent Class), les chemins virtuels,… En outre, elle trouve de nouveaux domaines d’applications l’approchant jour après jour des utilisateurs finaux en leur offrant des services encore plus proches des couches applicatives tel que le service MPLS-VPN-IP. Cette réalité a contraint les opérateurs à fournir encore plus de services et à admettre l’importance cruciale et croissante de la relation avec sa clientèle pour l’acquérir et la fidéliser. L’objectif est alors la différenciation des offres tout en fiabilisant et en optimisant les ressources infrastructurelles. Ceci a abouti à la naissance du concept qualité de service ou QoS et des procédures de gestion des niveaux QoS dont les plus populaires sont SLS, SLA, SLM,…
2 ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker
Chapitre I MPLS : Nouvelle architecture pour un meilleur service VPN-IP
Chapitre 1
Introduction Au début des années 90, un protocole original pour gérer la problématique d’interconnexion des réseaux est apparu : IP (Internet Protocol), un moyen de communication inventé par l’armée américaine et adopté par la suite par les universitaires. IP a été développé sur deux principes de base. Primo, il a pour finalité de délivrer les paquets en mode datagramme en s’appuyant sur le routage "hop-by-hop". Secundo, il fournit un service opportuniste et de type "best-effort". L’explosion d’Internet a par la suite permis à un grand nombre d’ISP (Internet Service Provider) de se développer et les plus grands d’entre eux ont déployé de gigantesques infrastructures IP. A l’époque, l’ensemble des plaques Backbone des ISP était bâti sur des architectures overlay IP s’appuyant sur des infrastructures ATM. Toutefois, cette superposition IP/ATM présentait un inconvénient : la nécessité de gérer l’explosion en O(n2) du nombre de circuits virtuels ATM nécessaires pour assurer un maillage complet des liaisons virtuelles entre les paires de routeurs connectés au nuage ATM sans pouvoir utiliser les capacités QoS de cette dernière. Cette omniprésence d’ATM, au niveau du plan de transport, dans l’évolution des réseaux IP accompagnée d’une demande de plus en plus grande en services a conduit les architectes IP à la nécessité de doter ce protocole de mécanismes semblables à ceux d’ATM permettant d’approcher le routage IP aux performances de la commutation ATM. Dans ce contexte plusieurs constructeurs ont proposé des solutions de commutation IP. Parmi les plus connues, on reconnaît Tag Switching proposé par Cisco, IP Switching proposé par Ipsilon, ARIS proposé par IBM, Fast IP proposé par 3Com et SwitchNode de Nortel Networks. L’IETF s’est grandement inspiré de la solution de Cisco pour la mise au point de la norme MPLS. MPLS fut alors créée. Au mois de mars 1997, l’IETF a mis en place le groupe de travail MPLS pour définir une approche normative de la commutation d’étiquettes.
3 ENSA 2008-2009 Prof N.Idboufker
Chapitre Premier
MPLS / VPN-IP
1. Architecture MPLS 1.1. Concepts MPLS MPLS est davantage une architecture [1] qu’un protocole ou un modèle de gestion. En effet, elle est composée d’un certain nombre de protocoles définis ou en cours de définition, et se base sur un ensemble de concepts tels que la classe FEC, les chemins virtuels,…
1.1.1. Terminologie MPLS Toute l’architecture MPLS [11] est organisée autour d’une principale notion que constitue le label ou étiquette dont le format dépend explicitement des caractéristiques du réseau utilisé. Comme les identificateurs VPI/VCI de ATM, le label MPLS [12] n’a qu’une signification locale entre deux équipements MPLS. L’en-tête MPLS occupe 4 octets (32-bits), composé de champs suivants :
Label: etiquette MPLS COS: (EXP): class of service TTL: time to live.
FIGURE 1 : ENTÊTE MPLS Pour être en mesure de procéder au traitement de ce label, MPLS se base sur l’utilisation de deux principales familles d’équipements à savoir : Label switch router (LSR) : qui est un équipement de type routeur ou commutateur capable de commuter des paquets ou des cellules, en fonction de la valeur des labels qu’ils contiennent. Dans le cœur du réseau, les LSRs procèdent tout simplement à la lecture et la commutation des labels, et non les adresses des protocoles de niveau supérieur. Chaque LSR construit une table FIB (Forwarding Information Base). Edge Label Switch Router (ELSR) : qui est un routeur d’extrémité qui joue un rôle important dans l’assignation et la suppression des labels au moment où les paquets entrent dans le réseau ou en sortent. Label switch path (LSP) : c’est le chemin défini par les différents labels qui seront assignés à chacun des paquets. Il peut être statique ou dynamique, selon qu’il est défini ou qu’il utilise les informations de routage. Ce LSP est fonctionnellement équivalent à un circuit virtuel ATM ou Frame Relay.
4 ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
1.1.2. Distribution de label Les LSRs se basent sur l’information de label pour commuter les paquets au travers du backbone MPLS. Chaque routeur, lorsqu’il reçoit un paquet taggué, utilise le label pour déterminer l’interface et le label de sortie. Il est donc nécessaire de propager les informations sur ces labels à tous les LSRs. Pour cela, des protocoles de distributions de labels sont utilisés. A cet effet, ces protocoles doivent coopérer avec des protocoles de routage de niveau supérieur IS-IS, OSPF, RIP, BGP,… Différents protocoles peuvent être utilisés pour assurer la fonction de distribution de labels entre LSRs tels que le protocole TDP (Tag Distribution Protocol) propriétaire CISCO, le RSVP (Resource Reservation Protocol) utilisé en Traffic Engineering pour établir des LSPs en fonction de critères de ressources et d’utilisation des liens, le MPBGP (MultiProtocol Border Gateway Protocol) qui permet la distribution des labels en même temps que la propagation des routes, IP et VPN, enfin le protocole LDP (Label Distribution Protocol) , le plus utilisé, défini par l’IETF dans la RFC3036 [11] utilisé pour le mapping des adresses IP unicast,
1.1.3. Protocole LDP Le LDP est un nouveau protocole permettant d’apporter aux LSRs les informations nécessaires concernant les différents labels d’un réseau MPLS. Les sessions LDP [22] sont établies entre homologues d’un réseau MPLS sans que ceux-ci aient besoin d’être adjacents. L’échange des messages LDP suppose préalablement la découverte du voisinage suivie de l’établissement d’une session de transport entre voisins LDP. LDP est indépendant de tout protocole de routage, car il exploite la table de routage que génère ce dernier. Comme tout protocole de distribution de labels, LDP a pour objectif d’assigner des labels à des FECs et de les distribuer. Domaine MPLS
LIB LSR
Ingress LSR
LSR
LSR
LSR
Domaine IGP avec un protocol de distribution de labels(LDP)
Egress LSR
FIGURE 2: DISTRIBUTION DE LABELS 1.1.4. Tables MPLS Sur la base des informations collectées par le protocole LDP, les LSRs et ELSRs construisent les deux tables LIB (Label Information Base) et LFIB (Label Forwarding Information Base) qui serviront par la suite pour la prise de décision au niveau de la 5 ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
commutation de labels. En effet, pour chaque valeur prise par la classe de transfert, FEC, la connectivité VPN est traduite au niveau de la table LIB à travers tous les labels collectés par les LSRs voisins. De son côté, la table LFIB est utilisée pour la commutation proprement dite des paquets MPLS, elle est en fait composée d’un sousensemble de la LIB. IN I/F
IN LAB
Adress Prefix
Out I/F
Out LAB
0
5
171.68.10/24
1
7
…
…
…
…
…
171.68.10/24
RTr-B
RTr-A
Label = 5 Label = 21
IP packet D=171.68.10.12
RTr-C Label = 7 Label = 21 IP packet D=171.68.10.12
FIGURE 3 : TABLE DE COMMUTATION MPLS 1.1.5. La notion de FEC La mise en œuvre de MPLS repose sur la définition de caractéristiques communes à un ensemble de paquets. Ces caractéristiques constitueront la base du traitement réservé à ces paquets et dont dépendra tout particulièrement leur acheminement. Cette nouvelle notion introduite par MPLS appelée FEC (Forwarding Equivalence Class) est fondamentale à la compréhension de la puissance et la souplesse des réseaux MPLS. Ainsi, MPLS permet de constituer différentes classes FEC selon des critères aussi variés que les besoins humains en matière de communication : même adresse source, même adresse destination, même contexte QoS, même niveau de sécurité… A la différence du routage traditionnel, l’assignation de la valeur FEC se fait juste au niveau de l’accès au réseau.
1.1.6. Commutation des labels Comme il a été expliqué, le principe de base de MPLS est la commutation de labels. Ces labels, simples nombres entiers, sont insérés entre les entêtes de niveaux 2 et 3 par les routeurs ELSRs sur la base de la valeur FEC. Les paquets sont par la suite commutés par les routeurs LSRs tout au long du réseau jusqu’à destination, sans avoir besoin de consulter l’entête IP et leur table de routage. Une fois arrivé au niveau du routeur ELSR de sortie, le label est supprimé pour procéder au routage du paquet. Le schéma suivant montre le rôle des différents routeurs en fonction de leur emplacement dans le réseau MPLS :
6 ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP Simple commutationdeslabels pas dereclassent danslebackbone Impositionde label
Lespaquets sont class ésàleurs entrée dans lebackbonepar le EdgeLSRsuivantl’IGPoules critèresdeQoSouTE…
LSR
LesEdgeLSRretirentleslabels et délivrent les paquets Suppressionde label
LSR
Impositionde label
LSR
Ingress LSR
LSR
Egress LSR
BackboneMPLS
FIGURE 4 : COMMUTATION DE LABELS DANS UN RESEAU
1.2. Services MPLS Le concept de MPLS est intellectuellement intelligent dans ses principes et très séduisant dans ses intentions. Son objectif est de tirer profit de la capacité de transmission des technologies existantes tels que ATM et FR (Frame Relay). Ainsi, MPLS a su apporter la puissance de la commutation au domaine de routage pour être adoptée comme technologie autour de laquelle peuvent être bâtis de rapide réseaux dorsaux. En outre, MPLS trouve de nouveaux domaines d’applications l’approchant jour après jour des utilisateurs finaux en leur offrant des services proches des couches applicatives. La figure ci-dessous énumère quelques exemples de nouveaux services à valeur ajoutée pouvant se greffer au dessus de MPLS. L2 V PN
IP v 6
Carrier Supporting
Multicast O v er V PN
A TOM V irtual Pr v ate Ne w t w ork s iv Any T Transport o v er MPLS IP IP Tr Fast Traf ic Dif f fS er v Multicas S w itching CoS Engineering R estoring TE TE t
BGP LDP OSPE IS-IS
Label For w arding Inf ormation Base (LFIB)
LDP R S V P
Per-Label For w arding, Queuing, Multicast, R estoration L2 protocols ( PPP, POS, A TM, FR , GR E, .. ) . )
CEF
FIGURE 5 : SERVICES MPLS Dans la suite de ce chapitre nous allons exposer le principal service qui peut être immédiatement mis en place au dessus de MPLS à savoir le service VPN-IP. 7 ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
2. Service VPN-IP L’étendue géographique de la connectivité IP amène les opérateurs de service à utiliser l’infrastructure publique pour assurer une interconnexion de sites clients de nature privés par l’utilisation des ressources publics. Ainsi la mise en place du service de réseau privé virtuel VPN ‘Virtual Private Networks’ [1] est devenue une nécessitée. Le service VPN consiste en la mise en place d’un réseau privé bâti sur une infrastructure mutualisée fournie par l’opérateur de service SP ‘Service Provider’. L’aspect virtuel est dû à l’absence de la réservation lien physique de bout en bout entre les différents sites du même client. Ajoutons à cela que la confidentialité est assurée par la préservation des plans de routage et d’adressage de ce même client. Les arguments plaidant pour le choix de ce nouveau type de service sont principalement l’optimisation des ressources opérateurs, l’efficience des coûts, la flexibilité et la simplicité de gestion. Il est à rappeler que le concept VPN n’est pas nouveau. En effet, des technologies comme RNIS, FR ou ATM ont été, et le sont toujours, utilisées durant la dernière décade comme base d’implémentation de ce service. Ce sont des technologies qui utilisent des circuits virtuels pour établir des connexions point-à-point, conduisant au partage statistique de l’infrastructure SP.
2.1. Modèles de référence VPN Les modèles de référence VPN se basent sur trois composantes fondamentales à savoir :
CE (Customer Edge) qui est l’équipement permettant au client l’accès au réseau à travers une connexion vers le routeur PE ; PE (Provider Edge) qui est le routeur desservant un ensemble de CEs. Routeur P : qui est le routeur backbone qui permet l’interconnexion des PEs sans avoir de connexion vers les CEs.
Dans la littérature Télécoms trois principaux modèles de référence VPN sont généralement répertoriés : CPE-Based VPN, Network-based layer 3 IPVPN et le modèle Network-based layer 2 IPVPN et qui sont illustrés par les figures 1 et 2. La connexion CE-PE peut être supportée par tout type de connexion d’accès et peut consister en un circuit physique dédié, un circuit logique (FR ou ATM), ou un tunnel IP (utilisant par exemple IPsec, L2TP). Dans le backbone SP, les tunnels VPN sont normalement utilisés pour interconnecter les équipements PEs.
8 ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
FIGURE 6 : MODÈLE CPE-BASED VPN Dans le cas du CPE-Based VPN et vis-à-vis des mécanismes de contrôle du VPN, le réseau de l’opérateur de service est complètement transparent. Tandis que dans le cas du modèle Network-Based VPN toute l’intelligence est hébergée dans le routeur PE du SP. En effet, et dans le contexte du Network-based VPN, chaque routeur PE met en œuvre une ou plusieurs instances VFI et maintient un état par VPN. Une instance VFI ‘VPN Forwarding Instance’ peut être définie comme étant une entité logique, dédiée, résidant dans le routeur PE qui contient la base d’information du routeur ainsi que la base d’information de transfert (Forwarding) pour un VPN spécifique. Généralement, une VFI termine les tunnels d’interconnexion avec les autres VFIs et peut aussi terminer les connexions d’accès aux CEs. En fonction de l’architecture VPN, la VFI peut aussi prendre l’appellation de VRF ou VR expliquées dans le paragraphe 2.3.2. Le Network-Based layer 2 IPVPN est une variante du modèle Network-Based layer 3. Dans cette variante le concept de VSI ‘Virtual Switching Instance’ prend la place de la VFI du modèle de couche 3. Comme la VFI, la VSI est hébergée par le routeur PE. Elle supporte les fonctions relatives au processus de Forwarding des trames de niveau 2, des cellules ou des paquets pour un VPN spécifique en plus de la terminaison des tunnels VPNs.
9 ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
FIGURE 7 : MODÈLE NETWORK -BASED LAYER 3 IP-VPN
FIGURE 8 : MODÈLE NETWORK -BASED LAYER 2 IP-VPN
2.2. Modèles d’implémentation Overlay Vs Peer-to-Peer Une autre méthode qui est très utilisée pour la classification des VPNs se base sur la logique d’échange des informations de routage entre le CPE et le SP [1]. Deux principaux modèles peuvent être définis sur la base de ce critère : 10 ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
1. Le modèle Overlay où le service VPN est fonctionnellement équivalent à des liaisons louées émulées. Le SP et le CE n’échangent aucune information de routage de niveau 3. Ce modèle offre une nette séparation des domaines de responsabilités Clients et SP. Néanmoins, l’implémentation d’un nouveau site nécessite la mise à jour de la matrice de trafic, l’ajout de (n-1) PVC ‘permanent virtual conduit’, la révision de la taille des PVCs en maille complète, la mise à jour du routage et la reconfiguration de chaque CPE pour la topologie couche 3. Site 2
Site 1
CE
CE
PE
PE
PE
PE
CE Site 3
CE Site 4
FIGURE 9 : MODÈLE OVERLAY VPN 2. Le modèle Peer to Peer qui se base sur le principe de la participation active du SP dans le routage client, l’acceptation de ses routes, leur transport sur le backbone et finalement leur distribution vers les autres sites clients. C’est en effet un modèle simple, souple et extensible offrant une facilité de provisioning et une meilleure gestion des ressources réseau. Site 2 Site 1 CE
VR
Site 3
PE
PE
PE
PE
CE
Site 4
CE
FIGURE 1 0 : MODÈLE PEER TO PEER VPN Chacun des deux modèles présente des avantages et des inconvénients. Les tableaux ci-dessous résument l’essentiel de la critique : 11 ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
Les avantages : Overlay VPN
Peer to Peer VPN
- Implémentation facile et archi-connue
- Garanti un routage optimale entre les sites clients
- Le Fournisseur de service ne participe pas au routage client - L’ajout d’un site additionnel est plus facile - Le réseau client et le réseau du Fournisseur - Les sites sont les seuls sont bien isolés approvisionnés et non les liaisons
à
être
Les inconvénients Overlay VPN
Peer to Peer VPN
- L’implémentation d’un routage optimale - Le Fournisseur participe dans le routage requiert des VC (virtual conduit) en maille client complète - Le Fournisseur devient responsable de la - Les VCs sont approvisionnés manuellement convergence chez le client. - La bande passante doit être approvisionnée - Les PEs diffusent toutes les routes des sur la base du site à site clients - Souffre de l’encapsulation d’overheads
- Le Fournisseur a besoin connaissance accrue du routage IP
d’une
Les points cités ci-dessus, et dans le cas des implémentations opérateurs, militent en faveur de l’utilisation d’une architecture hybride mettant en jeu le modèle NetworkBased layer 3 IPVPN utilisant une logique Peer to Peer pour l’échange des informations de routage.
VPN Classique Couche 2
VPN Overlay
VPN MPLS Couche 2 VPN IP Tunneling
VPN
VPN Peer To Peer
VPN X25 VPN FR VPN ATM
VPN GRE VPN IPsec
VPN avec routeurs dédié VPN BGP/MPLS VPN Routeurs Virtuels
FIGURE 1 1 : CLASSIFICATION DES TECHNOLOGIES VPN
12 ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
2.3. MPLS VPN 2.3.1. Vue générale Le RFC 2547bis [13] définit un mécanisme permettant aux SPs d’utiliser leur backbones IP pour offrir des services VPN. Ces VPNs son communément appelés BGP/MPLS-VPNs vu que le protocole BGP est utilisé pour la distribution des informations de routage à travers le backbone, et que MPLS est utilisé pour acheminer le trafic d’un site du VPN à un autre. Les objectifs de cette approche sont de rendre le service simple d’usage pour les clients même s’ils ne disposent pas d’expérience dans le routage IP, de le rendre extensible et flexible pour faciliter un déploiement à grande échelle et de permettre au SP d’offrir un service à forte valeur ajoutée capable de galvaniser sa loyauté.
2.3.2. Composantes du réseau : Au niveau Infrastructure, la mise en œuvre du service VPN repose sur le déploiement d’un ensemble d’équipements. A savoir les routeurs CE, PE et P. Dans le contexte du RFC 2547, un VPN est défini par une collection de politiques qui contrôlent la connectivité d’un ensemble de sites. Ainsi, un site client est connecté au réseau du SP par un ou plusieurs ports, et le SP associe à chaque port une table de routage VPN appelée VRF (VPN Routing and Forwarding).
VR 1
CE
VR 2
VR 3
P
Routeur PE FIGURE 1 2 : ARCHITECTURE D’UN R OUTEUR VIRTUEL –VR2.3.2.1.Customer Edge : Le CE (Customer Edge) est l’équipement qui permet l’accès du client au réseau du SP à travers un ou plusieurs routeurs PE. Typiquement, c’est un routeur qui établit une adjacence avec les PEs auxquels il est directement connecté. Après l’établissement de l’adjacence, le CE annonce aux PEs les routes VPN du site local pour qu’il puisse recevoir de ce dernier les routes VPN distantes.
2.3.2.2.Provider Edge C’est grâce au concept de routeur PE (Provider Edge) implémentant une ou plusieurs VRF qu’il est devenu possible de mettre en place des réseaux d’opérateurs souples et commercialement viables. Le PE échange les informations de routage avec le CE en utilisant le routage statique ou dynamique, RIPv2, OSPF ou BGP. Au moment où 13 ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
le PE maintient les informations de routage VPN, il lui est requis seulement de maintenir les routes VPN de ceux qui lui sont directement connectés. Ce qui contribue fortement à l’amélioration de l’extensibilité du réseau. Chaque PE maintient une VRF relative à chaque site qui lui est directement connecté. Chaque connexion (Frame Relay, LL, ..) est mappée à une VRF spécifique. D’où la justification du choix d’un port (interface), et non un site, pour l’associer à une VRF. L’étanchéité des VPNs est rendu possible grâce au maintient par le PE d’une multitude de VRF, rendant aisée la tache de routage et améliorant les performances des équipements de commutation. Les informations de routage locales aux CEs sont utilisées par les routeurs PE pour établir, via BGP, la connectivité IP. Cette connectivité IP sera par la suite traduite en connectivité de label.
2.3.2.3.Provider Router Le routeur P est n’importe quel routeur situé dans le backbone MPLS et qui n’est connecté à aucun CE. Le P fonctionne en MPLS transit (LSRs) quant il achemine un trafic VPN entre PEs. Les P sont chargés du maintien des routes au PE, et non du maintien d’information spécifique de routage pour les sites clients.
2.4. Apports du MPLS VPN La mise en place du service VPN sur la base de l’architecture MPLS profite pleinement des avantages de celle-ci en terme séparation des plans logiques et physiques à savoir :
L’absence de contraintes sur le plan d’adressage [14] adopté par chaque VPN client. Le client peut ainsi utiliser un adressage publique ou privé. Pour le SP, plusieurs clients peuvent utiliser les mêmes plages d’adresses.
Du fait que le modèle adopté est le Network Based layer 3 VPN, le CE n’échange pas directement les informations de routage avec les autres CE du même VPN. Les clients ne sont alors pas obligés d’avoir une parfaite connaissance du schéma de routage utilisé dans le réseau.
Les clients n’ont pas un backbone virtuel à administrer. De ce fait, la tache de management PE ou P, voire CE, est une tache de moins.
Le SP administre un seul réseau mutualisé pour l’ensemble de ses clients.
Le VPN client peut s’appuyer sur un ou plusieurs backbone SP.
Même sans l’utilisation de technique de cryptographie, la sécurité est équivalente à celle supportée par les VPNs de la couche 2 (ATM ou Frame Relay).
Les SPs peuvent utiliser une infrastructure commune pour offrir les services de connectivité VPN et Internet.
Conformité au modèle DiffServ.
Une QoS flexible et extensible grâce à l’utilisation des bits EXP de l’entête MPLS ou par l’utilisation du trafic Engineering (RSVP)
Le modèle RFC 2547bis est indépendant du lien de la couche 2. 14
ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
2.4.1. Défis et Solutions MPLS-VPN utilise plusieurs mécanismes pour améliorer l’extensibilité de son approche et résout ainsi des problèmes spécifiques d’exploitation. Le support du chevauchement des plans d’adressages ou Overlapping, la connectivité contraignante au réseau et le maintien à jour des informations de routage VPN ont été les principaux défis à relever.
2.4.1.1. Overlapping Les clients VPN gèrent souvent leurs propres réseaux et utilisent des espaces d’adresses privés conformes au RFC 1918 [14] définissant les plages d’adressage privé. Si les clients n’utilisent pas des adresses universelles, les mêmes adresses IPv4 [4]peuvent être utilisées pour identifier différents systèmes dans différents VPNs. Le résultat serait l’échec de routage vu que BGP [3]exige que chaque adresse IPv4 qu’il véhicule soit globalement unique. Pour surmonter cette difficulté MPLs-VPN supporte un mécanisme qui convertit les adresses IP non uniques en adresses uniques par la combinaison de l’utilisation de la famille d’adresses VPN-IPv4 grâce au déploiement des extensions du Multi-Protocoles BGP (MP-BGP) [15][16]. BGP est un protocole qui traite deux routes ayant le même préfixe comme si elles sont équivalentes et n’en garde qu’une seule. Présentant l’inconvénient de ne supporter que les adresses IPv4, BGP a contraint l’IETF à se pencher sur la question et publier les RFC 2283 [15] et 2858 [16]. Les extensions objets de ces RFCs ont donné naissance au MP-BGP, que les PE doivent supporter à la place du BGP conventionnel. Ainsi, la famille d’adresses VPNv4 a été adoptée comme solution à la problématique d’overlapping. Une adresse VPNv4 est formée de 12 Octets. 8 octets composent le RD (Route Distinguisher) suivi des octets de l’adresse IPv4.
Type Field Administrator field
2 Octets
Assigned Number Subfield
6 Octets
IPv4 Adress Prefix
4 Octets
FIGURE 1 3 : FORMAT D’ADRESSE VPN-V4 2.4.1.2.Connectivité contraignante Assumant une table de routage qui ne contient pas une route par défaut, il est admis, pour le routage IP, que si la route à un réseau spécifique n’est pas installée dans une table de transfert ‘Forwarding Table’ ce réseau est alors injoignable. Le modèle MPLS-VPN se base sur un contrôle plus granulaire des informations de routage par l’ajout de deux mécanismes supplémentaires à savoir le Multiples Forwarding Tables et le BGP extended communities.
Multiples Forwarding Tables :
Au niveau d’un routeur PE, chacune de ses VRFs est associée à un ou plusieurs de ses ports (interfaces/sous interfaces) qui le connectent directement au site client. Si un site donné contient des machines qui sont membres dans plusieurs VPNs, la VRF 15 ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker
Chapitre Premier
MPLS / VPN-IP
associée au site client contient alors des routes pour tous les VPNs dans lesquels ce site est membre.
BGP extended communities :
La distribution des informations de routage est conditionnée par l’usage des nouveaux attributs du BGP que sont les Extended Communities. Ces attributs font parties des messages BGP en tant qu’attributs de la route. Ils identifient la route comme appartenant à une collection spécifique de routes et qui font objet de la même politique de traitement. Chaque attribut BGP Extended Community doit être globalement unique et ne peut alors être utilisé que par un seul VPN. Néanmoins, un VPN d’un client donné peut faire usage du « BGP Extended Communities » pour aider au contrôle de la distribution des informations de routage. Les attributs BGP Extended Communities utilisés sont de 32 bits au lieu de 16 bits. L’utilisation de ces 32 bits vise l’amélioration de l’extensibilité des réseaux d’opérateurs à 232 communities. Par ailleurs et puisque l’attribut contient l’identificateur du système autonome du SP, il peut aussi servir pour contrôler l’attribution locale tout en maintenant son unicité. Trois types d’attributs BGP Extended Communities sont utilisés :
Le RT (Route Target) qui identifie une collection de sites VRFs vers lesquelles le PE distribue les routes. Un PE utilise cet attribut pour contraindre l’import de routes vers ses VRFs.
Le VPN-of-origin qui identifie une collection de sites et établit la route associée comme venant d’un des sites de l’ensemble.
Le Site-of-origin qui identifie le site spécifique à partir duquel le PE apprend une route. Il est encodé comme attribut de « route origin extended community », qui peut être utilisé pour prévenir les boucles de routage.
En mode opérationnel, et avant de distribuer ses routes locales aux autres PEs, le PE d’entrée affecte un RT à chaque route apprise par les sites directement connectés, qui est basé sur la valeur de la politique cible d’export configurée. Cette approche offre une flexibilité énorme dans la mesure où un PE peut attribuer un RT à une route. Le PE d’entrée (ingress) peut ainsi être configuré pour assigner un seul RT à l’ensemble des routes apprises d’un site donné, ou d’assigner un RT à un groupe de routes apprises d’un site et autres RTs aux autres routes apprises d’un autre. Avant d’installer les routes distantes distribuées par un PE, chaque VRF dans un PE sortant (egress) est configurée avec une politique import cible. Un PE peut uniquement installer une route VPNv4 dans une VRF si le RT transporté avec la route correspond à une VRF import cible. Cette approche permet à un SP d’utiliser un seul mécanisme pour servir les clients ayant une large politique de connectivité inter sites. Par le biais d’une configuration sereine d’Import Target et Export Target, le SP peut alors construire différents types de topologies VPN : maille complète, maille partielle, Hub, Spoke, ….
Maintien à jour des informations de routage :
Lors de tout changement de la configuration d’un PE par la création d’une nouvelle VRF ou l’ajout d’une ou de plusieurs politiques Import Target à une VRF, le PE aura besoin d’obtenir les routes VPN-Ipv4 qu’il a annulé auparavant. 16 ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker
Le BGP4 peut présenter une entrave à la mise à jour rapide que nécessite le PE dans la mesure où il s’agit d’un protocole stateful qui ne procède pas au rafraîchissement automatique des routes, une limitation dont ne souffre pas le MP-BGP grâce à sa fonction Route Refresh Capability. Ainsi lors du changement de la configuration d’un PE, celui-ci envoie une requête de mise à jour via le MP-iBGP peer. Quand les routes sont rediffusées, la politique Import Target est alors appliquée et le PE procède à la population de ses VRFs.
17 ENSA 2008-2009 Prof N.Idboufker
Conclusion générale
Conclusion générale
L’offre commerciale de tout opérateur ne peut être viable que si elle est personnalisée et adaptée aux besoins de chaque client. La QoS est une symphonie se basant sur une harmonie complète entre les différentes composantes du réseau MPLS. De ce fait, la mise en œuvre de la QoS, au niveau de la couche IP, pour le service VPN-IP passe par la fine spécification d’une politique agissant à l’échelle globale du réseau et mettant en jeu l’ensemble des potentialités de différentiation et de gestion des équipements du réseau MPLS au niveau des plans accès et du plan Backbone. Ajoutons à cela qu’il est impératif de doter le plan de gestion de fonctionnalités de spécification, de provisioning et de reporting QoS permettant la mise en évidence de la qualité du service rendu au niveau du Backbone (PE-PE) et au client CE-CE. Aussi, il faut noter que les métriques SLA doivent être les plus larges possibles, se basant sur une multitude de test effectué au niveau Backbone pour mieux modéliser et caractériser les métrique QoS.
18 ARCHITECTURE MPLS ENSA- 2006/2007
Pr. N.Idboufker