Download - Cours Routage MPLS VPN-IP
Concepts fondamentaux pour le routage IP
Prof. Noureddine Idboufker
Version 2010-2011
2GRT5-M3-MPLS-VPN-MCast
Introduction
Les échanges de données font partie intégrante des réseaux
Ces réseaux sont des environnements de communication hétérogènes et indépendants (entreprises ou au grand public)
Les deux dernières décennies ont vu émerger de nouvelles techniques :
L’interconnexion d’un grand nombre de réseaux
faisant apparaître les réseaux, à l’utilisateur, comme un environnement de communication homogène.
3GRT5-M3-MPLS-VPN-MCast
Introduction
Ces techniques modernes, appelées modèles d’interconnexion ou ‘InterNetworking’.
prennent en compte la diversité et la multiplicité des environnements matériels et logiciels des réseaux
fournissent des moyens et des mécanismes de communication s’affranchissant le plus possible de leurs hétérogénéités.
Ces mécanismes ont par la suite conduit à la naissance du réseau des réseaux baptisés ‘Internet’ dont l’extension est toujours croissante
4GRT5-M3-MPLS-VPN-MCast
Concept Internet
Routeur
Routeur
IP IPIP IP
A
Encapsulation Décapsulation
En-tête Réseau A
BIP IPC IP
Réseau A
Réseau B Réseau B
5GRT5-M3-MPLS-VPN-MCast
1968 : le début1977: 111 hosts Internet1981: 213 hosts1983: 562 hosts1984: 1,000 hosts1986: 5,000 hosts1987: 10,000 hosts1989: 100,000 hosts1992: 1,000,000 hosts2001: 150 – 175 millions hosts2002: plus de 200 millions hosts
En 2010, 80% de la planète sur InternetSource : Internet Society 2005
1987
1968
Démocratisation du Web !
6GRT5-M3-MPLS-VPN-MCast
Internet Stats
Les dernières minutes du dernier trimestre 2009Q3 ont vu l'augmentation du nombre d'utilisateur des services du réseau Internet pour atteindre 1,733,993,741 utilisateurs.
Ceci peut être traduit par un monde dans lequel une personne sur quatre est actuellement connecté à Internet et plus précisément 25.6% de la population mondiale est actuellement connectée.
7GRT5-M3-MPLS-VPN-MCast
Top 10 des langues Internet
1‐ Anglais : 478,442,379 utilisateurs2‐ Chinois : 383,650,713 utilisateurs3‐ Espagnol : 136,524,063 utilisateurs4‐ Japonais : 95,979,000 utilisateurs5‐ Français : 78,972,116 utilisateurs6‐ Portugais : 73,052,600 utilisateurs7‐ Allemand : 64,593,535 utilisateurs8‐ Arabe : 50,422,300 utilisateurs9‐ Russe : 45,250,000 utilisateurs10‐ Coréen : 37,475,800 utilisateurs11‐ Autres : 289,631,235 utilisateurs
8GRT5-M3-MPLS-VPN-MCast
Internet avec Adresses hybrides
D'ici 2010, les noms de domaine internationalisés devraient être une réalité.
L'ICANN a en effet approuvé ce matin une procédure accélérée pour autoriser l'utilisation de caractères spéciaux dans les extensions de noms de domaine.
Selon l'organisme chargé de réguler Internet, c'est plus de 100 000 nouveaux caractères qui pourront être utilisés.
les internautes pourront remplacer les célèbres .com, .net ou .org par leurs équivalents en chinois, en coréen, en arabe ….
9GRT5-M3-MPLS-VPN-MCast
Modèles d’interconnexion
tout modèle d’interconnexion vise la mise en relation de deux
ou plusieurs entités situées sur des réseaux différents.
En fonction du niveau, par rapport au modèle OSI, où s’opère
la fonction d’interconnexion on distingue deux principaux
modèles :
Niveau application
Niveau Réseau
10GRT5-M3-MPLS-VPN-MCast
Modèle d’interco
Interco Réseau
Transport
Data-Link
Network
Physical
Interco Applicatif
Session
Presentation
Application
11GRT5-M3-MPLS-VPN-MCast
Modèles d’interconnexion
Interconnexion au Niveau ‘Application’ : un applicatif s’exécutant au niveau de chaque ordinateur
Prend en charge l’interprétation des détails propres à la connexion
Assure l’interopérabilité avec les autres applications
Solution non extensible
Adoptée puis abandonnée
12GRT5-M3-MPLS-VPN-MCast
Interconnexion au niveau ‘Réseau’ : un mécanisme de contrôle en ‘temps réel’
Dissocie de la notion de communication des détails techniques des réseaux
Achemine des unités de données vers la destination finale
Réalise une interconnexion unifiée et coopérante, visant d’assurer un service de communication universel.
Mise en œuvre globale et extensible de l’interconnexion de réseaux hétérogènes
Utilise des équipements appelés ‘Routeurs’
Modèles d’interconnexion
14GRT5-M3-MPLS-VPN-MCast
Définition du routage
Couche 3 de l’OSIC’est un processus dans lequel un équipement
Collecte, Maintient et Diffuse les informations d’accessibilité dans l’objectif de :
calculer, sélectionner et atteindre les différentes destinations dans un Internet.
15GRT5-M3-MPLS-VPN-MCast
Définition du routage
Tout processus de routage est fondé sur trois principaux mécanismes : 1. un protocole qui permet d’acquérir la connaissance
du réseau et de réagir aux événements ;2. un algorithme qui calcule, sur la base de ladite
connaissance et suite aux demandes protocolaires, les chemins menant les données à destination ;
3. une table qui associe les destinations logiques aux interfaces physiques du routeur.
16GRT5-M3-MPLS-VPN-MCast
Composantes de base du routage
Tout routeur doit au minimum implémenter et exécuter en parallèle des processus distincts :
La commutation : les unités de données sont reçus sur un port d’entrée (i), transférés vers un port de sortie (j) et enfin émis sur ce dernier port.
Le routage qui permet la construction d’une table de routage qui spécifie le port de sortie correspondant à l’adresse de destination du paquet.
La gestion : fournir des données supplémentaires pour la commutation Émission de paquet
Gestion
Commutation
Routage
Réception de paquet
17GRT5-M3-MPLS-VPN-MCast
Architecture Routeur
Routing Engines
Packets In Packets OutPacket Forwarding Engines
18GRT5-M3-MPLS-VPN-MCast
Routeur IP
Data est envoyée sous forme de paquets entre 2 terminaux
Les routeurs sont utilisés pour dirigés les paquets vers sa destination
19GRT5-M3-MPLS-VPN-MCast
Routeur IP
Les Routeurs examinent l’adresse IP de destination du paquet et determine le meilleur chemin selectionné à partir de la table de routage
20GRT5-M3-MPLS-VPN-MCast
Routeur IPRouteurs Opèrent au niveau des couches 1, 2 & 3
Routeur reçoit une trame de bits codésLes Bits sont décodés et relayés à la layer 2Routeur de‐encapsule la trameLes paquets sont relayés à la layer 3‐les décisions de routage sont effectuées au niveau de la couche 3 suite à l’examen de IP addresse de destination
Paquet est re‐encapsulé & envoyé sur l’interface de sortie
22GRT5-M3-MPLS-VPN-MCast
Architecture d’un routeur
Unité centrale (CPU)
L’unité centrale, ou le microprocesseur, est responsable de l’exécution du système d’exploitation (chez Cisco, c’est IOS) du routeur.
Le système d’exploitation prend aussi bien en charge les protocoles que l’interface de commande via une session telnet.
La puissance du microprocesseur est directement liée à la puissance de traitement du routeur
23GRT5-M3-MPLS-VPN-MCast
Architecture d’un routeur
Mémoire Flash
La flash représente une sorte de ROM effaçable et programmable.
La flash est utilisé pour maintenir une image d’un ou plusieurs systèmes d’exploitation.
Il est tout à fait possible de maintenir plusieurs images sur la même flash (suivant la taille de la flash).
La mémoire flash est pratique car elle permet une mise à jour de la mémoire sans changer de hardware .
La flash peut se présenter sous forme de barrette mais aussi sous forme de carte.
24GRT5-M3-MPLS-VPN-MCast
Architecture d’un routeur
ROM
La ROM contient le code pour réaliser les diagnostics de démarrage (POST : Power On Self Test).
En plus, la ROM permet le démarrage et le chargement du système d’exploitation contenu sur la flash.
On change rarement la ROM.
Si on change la ROM, on doit souvent enlever des “chips” et les remplacer.
25GRT5-M3-MPLS-VPN-MCast
Architecture d’un routeur
RAM
La RAM est utilisé par le système d’exploitation pour maintenir les informations durant le fonctionnement.
Elle peut contenir les tampons (buffer), les tables de routage, la table ARP, la configuration mémoire et un nombre important d’autres choses.
Et comme c’est de la RAM, lors de la coupure de l’alimentation, elle est effacée.
26GRT5-M3-MPLS-VPN-MCast
Architecture d’un routeur
NVRAM (RAM non volatile)
Le problème de la RAM est la non‐conservation des données après la coupure de l’alimentation.
La NVRAM solutionne le problème, puisque les données sont conservées même après la coupure de l’alimentation.
L’utilisation de la NVRAM permet de ne pas avoir de mémoire de masse (Disques Durs, Floppy).
Evite les pannes dues à une partie mécanique.
La configuration est maintenue dans la NVRAM.
27GRT5-M3-MPLS-VPN-MCast
Architecture d’un routeur
ROM
- Bootstrap- IOS- Rxboot
RAM
- Active config
- Tables- Buffers
NVRAM
- Startupconfig
Flash
- IOS- Otherfiles
28GRT5-M3-MPLS-VPN-MCast
Modes de Transmission
En première approximation, on peut considérer qu’il y a deux modes de transmission :
1. le Mode DiffusionDiffusion globale ‘Broadcast’
Diffusion sélective ou ‘Multicast’
2. le ‘Mode Point à Point’ ou ‘Unicast’
Les réseaux géographiquement limités utilisent le mode de diffusion Braodcast, voire Multicast
les réseaux de grandes échelles utilisent un routage de type Unicast
30GRT5-M3-MPLS-VPN-MCast
Le routage à la source
C’est la détermination complète de la route par la source.
Le premier commutateur décide de l'ensemble des nœuds à prendre pour accéder au destinataire.
Pour permettre ce calcul, le nœud doit posséder les caractéristiques et la topologie de l'ensemble du réseau.
Cette méthode est particulièrement utile pour les réseaux à haut débit ou l'on souhaite offrir un maximum de connections par unité de temps.
il ne faut pas que les performances soient détériorées par un temps de calcul de route trop long.
Pour que ce routage soit efficace, il est indispensable que les données sur le réseau soient parfaitement à jour.
31GRT5-M3-MPLS-VPN-MCast
Saut par saut
Pour des réseaux de quelques centaines de noeuds on préfèrera le routage de source
Le routage à la source car il est plus rapide, le calcul de la route n'est effectué qu'une seule fois
Pour les autres réseaux, on choisira un routage dynamique nœud par nœud pour ne pas surcharger en mémoire et en temps de calcul les nœuds du réseaux.
32GRT5-M3-MPLS-VPN-MCast
Modes de routage
Le mode de routage définit le processus qui permet au routeur de prendre la décision d’acheminement des unités de données.
Dans le monde Internet deux principales familles de modes de routage peuvent être dénombrées.
Définis à travers la procédure utilisée pour procéder à la mise à jour de la table de routage :
1. le mode de routage Statique
2. le mode Dynamique.
33GRT5-M3-MPLS-VPN-MCast
Routage statique
Au sein des petits réseaux évoluant lentement, les administrateurs réseaux :
peuvent gérer manuellement la table de routage
la mettre à jour chaque fois que l’ajout ou à la suppression d’un réseau a eu lieu.
Ce mode ne prend pas en charge les environnements comme l’Internet
la modification manuelle de la table de routage est à la fois consommatrice de temps, de ressources et sources d’erreurs.
34GRT5-M3-MPLS-VPN-MCast
Routage Statique
Routes Statiques :
Un routeur configuré avec des routes statiques utilise des routes telles qu’elles ont été entrées par l ’administrateur.
Exemple d ’utilisation :
Accès à un réseau d’extrémité (Stub Network)
Route par défaut
Configuration de trois éléments :
Adresse du réseau IP de destination
Masque associé
Adresse IP du routeur suivant
35GRT5-M3-MPLS-VPN-MCast
Routage dynamique
Palier aux limitations du mode statiqueméthodes automatiques
pour la construction d’une table de routage temporaire sont utilisées.
amélioration de la fiabilité et de la résistance aux pannes.
Les routeurs utilisent des protocoles assurant l’échange d’informations spécifiques pour
1. le calcul de l’accessibilité d’un réseau,
2. la détection de la modification de la topologie
3. la construction de la table de routage qui en découle.
Le processus de routage est d’autant plus rapides que le protocole de routage utilisé est efficace.
36GRT5-M3-MPLS-VPN-MCast
Routage Hiérarchique
Découpage du réseau en Zone
Minimiser le sur-débit protocolaire
Segmentation en fonction du degré d’interaction entre les composantes de la zone
37GRT5-M3-MPLS-VPN-MCast
Autonomous System
AS 2000
AS 3000
IGP
Interior Gateway Protocols areused for routing decisionswithin an Autonomous System.
Exterior GatewayProtocols are usedfor routing betweenAutonomous Systems
EGP
AS 1000
An Autonomous System (AS) is a group of IP networks, which has a single andclearly defined routing policy.
Group of routers which can exchange updatesAS are identified by numbers
All Routing protocols are categorized as IGP or EGP
Routing CategoriesRouting Categories
38GRT5-M3-MPLS-VPN-MCast
IGP
Interior Gateway Protocol(IGP)
Exterior Gateway Protocol (EGP)
EGP
EGP
EGP
Interior Gateway Protocol(IGP)
AS 1000
AS 2000
AS 3000
Routing CategoriesRouting Categories
39GRT5-M3-MPLS-VPN-MCast
An autonomous system is a collection of networks under acommon administrative domain (meme politique de routage).IGPs operate within an autonomous system.
EGPs connect different autonomous systems.
ASs : Interior ou Exterior Routing Protocols
40GRT5-M3-MPLS-VPN-MCast
Les protocoles de routage
Deux classes de protocoles:
1. Protocoles de type Vecteur de distance ("Distance Vector")
2. Protocoles de type Etat de liaison ("Link State")
3. Protocoles hybrides
• Exemples de protocoles:
RIP (Routing Information Protocol): algo. vecteur de distance
IGRP (Interior Gateway Routing Protocol): algo. vecteur de distance (cisco)
OSPF (Open Shortest Path First): algo. état de liaison
• Cas particuliers:
BGP (Border Gateway Protocol) : algorithme vecteur de chemin
EIGRP (Enhanced IGRP) : algo. hybride
42GRT5-M3-MPLS-VPN-MCast
Classe de protocole de routage
Les protocoles Classfull Routing n’incluent pas le masque sousréseau lors de l’annonce d’un réseau.
RIP Version 1 (RIPv1)
Les protocoles Classless Routing incluent le masque sous réseaulors de l’annonce d’un réseau.
RIP Version 2 (RIPv2)
OSPF
EIGRP
IS-IS
44GRT5-M3-MPLS-VPN-MCast
Modélisation des réseaux
Graphe :
Nœuds
Arcs entre les nœuds
Modélisation
Réseau = Graphe
Routeurs = nœuds
Liaisons de données = arcs
Intérêt
Apports de la théorie des graphes
Algorithmes de plus court chemin
45GRT5-M3-MPLS-VPN-MCast
Modélisation du réseauTrajet
Séquence de noeudsN1, N2,... Njtelle que (N1,N2),... (Nj-1,Nj)... sont des arcs
Chemin (path)
Trajet sans noeudsqui se répètent
Cycle
Trajet sans noeudsqui se répètent sauf N1=Njavec j > 3
Graphe connecté
Graphe tel qu'il existe tjsun chemin entre le noeudNi et tous les autres nœuds
Graphe pondéré
Graphe dont les arcs ont un coût
46GRT5-M3-MPLS-VPN-MCast
Modélisation du réseau
Graphe orienté
Graphe dont les arcs ont un sens
Arbre
Graphe connecté sans cycle
Arbre recouvrant
Arbre passant par tous les noeudsd’un graphe connecté
Arbre recouvrant de poids minimal
Arbre recouvrant dont les chemins reliant le nœud racine aux autres nœuds ont un coût minimal
47GRT5-M3-MPLS-VPN-MCast
Application au routage
Réseau
Graphe connecté, pondéré et orienté
Protocole de routage
Pour chaque routeur
Calcul des plus courts chemins
Arbre recouvrant de poids minimal
Nœud racine = le routeur
2 types de protocole de routage
Distance-Vector: algorithme de BELLMAN-FORD
Link-State: algorithme de DIKJSTRA
48GRT5-M3-MPLS-VPN-MCast
Les métriques
Métrique : une grandeur mesurée afin d’évaluer la qualité d’un service (ou d’un produit) donnée :
Ex.
Train : qualité des sièges, le délai, la vitesse
Solution liquide : le PH
Les familles de métriques :
Additives
Multiplicatives
Concaves
49GRT5-M3-MPLS-VPN-MCast
Les métriques additives
MT = m12 + m23 + m34 + …….+mij + mjk
mijm12
i j1 2
k
MT = M1k
50GRT5-M3-MPLS-VPN-MCast
Les métriques Multiplicatives
MT = m12 * m23 * m34 * …….* mij * mjk
mijm12
i j1 2
k
MT = M1k
51GRT5-M3-MPLS-VPN-MCast
Les métriques concaves
MT = Min (m12 , m23 , m34 , ……., mij , mjk)
mijm12
i j1 2
k
MT = M1k
52GRT5-M3-MPLS-VPN-MCast
La métrique et le routageLes algorithmes génèrent des nombres, appelé " valeur métrique ", ou métriques, pour chaque chemin du réseau.
Familles de métriques :
Additives
Multiplicatives
Concaves
Différentes métriques:
Bande passante : Le débit d'une liaison
Délai : Le temps nécessaire à l'acheminement d'un paquet, de la source à la destination.
Charge : La quantité de trafic sur une ressource réseau
Fiabilité : taux d'erreurs
Nombre de sauts
54GRT5-M3-MPLS-VPN-MCast
La métrique et le routage
Les Métriques utilisées par chaque protocole de routageRIP : hop count
IGRP & EIGRP : Bandwidth (used by default), Delay (used by default), Load, Reliability
IS‐IS & OSPF : Cost, Bandwidth (Cisco’s implementation)
55GRT5-M3-MPLS-VPN-MCast
Les protocoles "Distance Vector"
Les algorithmes utilisés sont basés sur les travaux de Bellman et Ford
Les routes sont annoncées sous forme de vecteur:
de distance: métrique= le nombre de saut
de direction: next‐hop (adress IP du routeur suivant)
Périodiquement, chaque routeur "broadcaste" sa table de routage entière à tous ses voisins (ex: toutes les 30s pour RIP)
un message contient une liste de paires (V,D) V est un vecteur identifiant une destination
D la distance correspondant à cette dernière.
56GRT5-M3-MPLS-VPN-MCast
Distance Vector Routing Update Traffic
En environnement distance vector, les mises à jour de routage sont propagés uniquement vers les voisins imédiats
Routing Table
All Routes
57GRT5-M3-MPLS-VPN-MCast
Routers pass periodic copies of routing table to neighbor routers and accumulate distance vectors.
Distance Vector Routing Protocols
58GRT5-M3-MPLS-VPN-MCast
Les protocoles "Distance Vector"
Les protocoles de type DV sont distribués et extrêmement simples.
présentent beaucoup de limitations notamment un jeu limité de métriques,
une très lente convergence
forte consommation de la bande passante
et une faible résistance au facteur d’échelle
59GRT5-M3-MPLS-VPN-MCast
Les Protocoles à État de Liens
Chaque routeur se trouve en responsabilité de construire une relation de voisinage avec ses voisins et d’acquérir leurs identités.
Un paquet ‘Link State Packet’ (LSP) contenant les informations d’états, relatives aux réseaux accessibles derrière ce routeur, est transmis vers ses voisins immédiats.
Via un LSP, le routeur liste ses voisins et les couts qui leurs sont associés.
Chaque nœud de routage mémorise les LSPs, reçus de tous ses voisins, dans une base de données dites ‘Link State Data Base’ (LSDB)
La LSDB permet la construction de la carte complète de la topologie du réseau et qui constituera l’entrée principale de l’algorithme de calcul.
60GRT5-M3-MPLS-VPN-MCast
Autonomous System
Ex : OSPF Ex : OSPF
RoutingTable
Liste les meilleurs Routes
Cout = 10
Cout = 1785 Cout = 6
Neighbors
TokenRing
Interfaces
Area 1Area 0
Topology Database
Liste toutes les @IP
Neighborship Database
Liste des Neighbors
61GRT5-M3-MPLS-VPN-MCast
Single Entry
Routing Updates DV vs LS
RoutingTable
RoutingTable
FullTable
Distance Vector
Approach
Link‐State
Approach
62GRT5-M3-MPLS-VPN-MCast
Link State Routing
Avantages Limitations
Convergence rapide : les changements sont immédiatement reportés par la source
affectée
Forte demande en mémoire et ressources de calcul
Robustesse aux boucles Demande de rigueur lors du Design
Connaissance topologiques Administrateur compétent
LSP séquencés et horodatés Le flooding peut impacter les performances du réseau
La taille de la LSDB peut être minimisée via un design fin
63GRT5-M3-MPLS-VPN-MCast
Distance Vector vs. Link State
Distance Vector
Mise à jour fréquente
Chaque routeur est sensible à sesvoisins imédiats uniquement
Convergence lente
Routing loops
Facile à configurer
Link State
Mise à jour déclenchée
Chaque routeur est sensible à tous les routeurs de l’area
Convergence rapide
Routing loops rares
Difficile à configurer
64GRT5-M3-MPLS-VPN-MCast
Distance Vector vs. Link StateDistance Vector
Faible demande en ressourcesrouteur
Mise à jour demande la BP
Pas de connaissance topologique
Link State
Forte demande en ressourcesrouteur
Mise à jour demande peu de BP
Fine connaissance de la topologiedu réseau
65GRT5-M3-MPLS-VPN-MCast
Algorithmes de routage
Les algorithmes de routage sont utilisés par la couche réseau pour procéder aux calculs des chemins de routage constituant ainsi des éléments clés dans la conception de cette couche.
Dijkstra et Bellman‐Ford sont les algorithmes les plus utilisés par la majorité des protocoles de routage actuellement utilisés au niveau de l’Internet.
66GRT5-M3-MPLS-VPN-MCast
Algorithmes de routage
La conception de tout algorithme de routage doit tenir en compte :
l’exactitude,
la simplicité,
la robustesse,
la stabilité,
l’optimalité
l’équité
67GRT5-M3-MPLS-VPN-MCast
Comparaison BELLMAN-FORD / DIKJSTRA
Quel est l’algorithme le plus adapté ?
Fiabilité
Consommation de ressources sur les routeurs
Vitesse de convergence
Fiabilité
Dysfonctionnement d’un routeur
Effets néfastes identiques
Consommation de ressources
En moyenne
Idem mémoire, cpu, bande passante
Vitesse de convergence
DIKJSTRA >> BELLMAN-FORD !!!
68GRT5-M3-MPLS-VPN-MCast
Table de routage
A l’issue du processus de calcul, les chemins de routage sont sauvegardées au niveau d’une base de données qui constitue la table de routage.
Plusieurs éléments peuvent être pris en compte pour établir cette table :
Les paramètres d’évaluation des chemins en terme
coût des liens, du coût de passage dans un nœud, du débit, du délai de transit, du nombre de nœuds à traverser.
Les routeurs exécutent généralement plusieurs modes et processus de routage d’où l’utilisation d’un gestionnaire de tables de routage pour la génération paramétrée d’une seule et unique table.
69GRT5-M3-MPLS-VPN-MCast
Création de la table de routage globale
Table
de
Routage
Routing
Table
Manager
Interfaces
Proto. de
routage
Proto. de
routage
Algo. Algo.
Table de
RoutageTable de
Routage
Routes statiques
Routes directesParamètre
70GRT5-M3-MPLS-VPN-MCast
Distance administrative
C’est une valeur numérique dont le rôle est de préférer un processus de routage par rapport à un autre
71GRT5-M3-MPLS-VPN-MCast
Distance Administrative
Connected interface 0Static route out an interface 0Static route to a next hop 1EIGRP summary route 5External BGP 20Internal EIGRP 90IGRP 100OSPF 110IS‐IS 115RIP v1, v2 120EGP 140External EIGRP 170Internal BGP 200Unknown 255
Connected interface 0Static route out an interface 0Static route to a next hop 1EIGRP summary route 5External BGP 20Internal EIGRP 90IGRP 100OSPF 110IS‐IS 115RIP v1, v2 120EGP 140External EIGRP 170Internal BGP 200Unknown 255
Route SourceRoute Source Default DistanceDefault Distance
73GRT5-M3-MPLS-VPN-MCast
Routing Components
Route Processing
Packet Forwarding
Destination address lookup
Routing table
Route updates
Incoming packets Outgoing
packets
Topology & address exchange with neighboring
nodes
Topology & address exchange with neighboring
nodes
data data
74GRT5-M3-MPLS-VPN-MCast
La matrice de connexion
L’organe qui permet de connecter un port d’entrée avec un port de sortie
La nature dépend de la technique de commutation utilisée
Techniques de commutations Commutation spatiale
Commutateur Crossbar
Commutation temporelle
75GRT5-M3-MPLS-VPN-MCast
Commutation spatiale
Le commutateur comprend n lignes d’entrée
N lignes de sortie
La matrice de connexion a donc n2 intersections Points de connexions
Toute ligne d’entrée peut être reliée avec n’importe quelle ligne de sortie
Les points d’intersections utilisent des interrupteurs électroniques à semi‐conducteur (transistors)
Tous les bits arrivant d’une ligne d’entrée sont immédiatement acheminés vers la ligne de sortie
77GRT5-M3-MPLS-VPN-MCast
Commutation spatiale : Commutateur Crossbar
012345678910111213141516
Entr
ées
Sorties
Connexion possible
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
78GRT5-M3-MPLS-VPN-MCast
Commutation spatiale : Commutateur Crossbar
Ce commutateur effectue une connexion électrique directe entre une ligne d’entrée et une ligne de sortie
Comme le cordon de l’opératrice
La connexion électrique est automatique et se fait en quelques µs
L’inconvénient du commutateur Crossbar est
le grand nombre des points de connexion (en n2)
Si lignes bidirectionnelles et pas d’auto-connexion
Le nombre est en n(n-1)/2
Ex n=1000 499 500 points de connexion !!!
Même si VLSI le permet : problème de concevoir un boîtier avec autant de broches pour raccorder les E/S
Crossbar est utilisé pour les petits systèmes de commutation
79GRT5-M3-MPLS-VPN-MCast
Commutation spatiale Multi étages
Minimiser le nombre de points de connexion avec la même capacité
Commutation spatiale multi étages
Fractionner un gros commutateur en plusieurs plus petit
Structuration des matrices en étages
Relier les petites matrices sous forme d’un réseau d’interconnexion spatial
80GRT5-M3-MPLS-VPN-MCast
Commutation spatiale trois étages
Au lieu d’utiliser N2 points de connexion
Utilisation de petits crossbar assemblés en un réseau à trois étages
En entrée, le premier étage, des crossbars rectangulaires n x k : Donc il nous faut N/n crossbar pour raccorder N entrées
Le second étage est à crossbars ordinaires à matrice carrée N/n x N/n
Chaque crossbar est relié à chacun des CB d’entrée et à chacun des CB de sortie
Le troisième étage est similaire au premier sauf qu’il est inversé k x n
Par conséquent : il est possible de connecter n’importe quelle entrée (parmi N) à n’importe quelle sortie (parmi N) à travers l’un des deux CB du 2ème étage : existence de deux chemins possibles.
Autant de chemins possibles que de commutateurs présents dans le 2ème
étage : nbre de chemins = k
81GRT5-M3-MPLS-VPN-MCast
Commutation spatiale Multi étages
Ex : 3 étages avec N X N
n x k
n x k
n x k
n x k
K x n
K x n
K x n
K x n
N/n x N/n
N/n x N/n
K crossbar
N/n crossbar N/n crossbar
n
n
n
n
n
n
n
n
N entrées N sorties
83GRT5-M3-MPLS-VPN-MCast
Commutation Spatiale à Trois Etages
Points de connexion
1er étage : N/n CB à nk points de connexion
nbre total de points est Nk
2ème étage : k CB à (N/n)2 points de connexion
nbre total de points est k(N/n)2
3ème étage : N/n CB à nk points de connexion
nbre total de points est Nk
Le nombre total de points de connexion est : 2Nk + k(N/n)2
A.N : pour N = 1000, n = 50 et k = 10 24 000 points contre 499 500!!
84GRT5-M3-MPLS-VPN-MCast
Commutation spatiale trois étages
Limitations du CB Multi-ètages
Possibilité de blocage
La capacité du commutateur dépend de la capacité des étages intermédiaires
Dans l’exemple précédent
Capacité est de 8 à la place de 16
Architecture bloquante
Solution :
Augmenter le nombre d’étages
Le cout du commutateur augmente
Il a été démontré par Clos en 1953 que pour k=2n-1 le commutateur est non bloquant
85GRT5-M3-MPLS-VPN-MCast
La matrice de connexion : temporelle
La matrice de connexion est unidirectionnelle. Elle permet de commuter des IT ( intervalles de temps ) d’un MIC entrant vers un MIC sortant.
Un IT commuté d’un MIC A vers un MIC B ne sera probablement pas à la même place. En clair, L’IT N°12 du MIC 376 entrant peut très bien être commuté vers l’IT N°28 du MIC 1275 sortant, impliquant ainsi un léger décalage dans le temps, d’où le nom de Matrice Temporelle.
Les matrices sont constituées de mémoires RAM, aujourd’hui bon marché. Elles sont réalisées à l’aide d’un seul étage de commutation temporelle T, représentant un grand nombre de circuits mémoire.
Cette configuration présente l’avantage de n’avoir aucun blocage : tout IT entrant peut être commuté vers un IT sortant à condition qu’il soit disponible.
Entre 1985 et 1990, les mémoires étaient beaucoup plus chères. Les matrices de connexions étaient alors composées de 3 étages : Temporel - Spatial - Temporel.
Cette configuration permet d’économiser de la mémoire, mais provoque un faible coefficient de blocage : dans moins de 5 % des cas, un IT pourtant disponible en sortie, ne peut être atteint par la commutation d’un IT entrant.
86GRT5-M3-MPLS-VPN-MCast
Commutateur temporel
Commande aval
Adresse MIC/IT E
Adresse MIC/IT e
MIC 0
MIC1
MIC2
MIC3
MIC0
MIC1
MIC2MIC3
IT0 MIC0IT0 MIC3IT1 MIC0
IT30 MIC0IT30 MIC3IT31 MIC0
Mémoire de commande
Mémoire de Parole
IT1 MIC3
IT31 MIC3
ITO MIC0 S
IT0 MIC1 S
IT31 MIC2 S
IT31 MIC3 S
MIC1 IT3 (13) IT15 MIC2 S (62)
IT3 MIC1
Horloge (E)
Horloge
• Commande aval
Lecture
87GRT5-M3-MPLS-VPN-MCast
Comutateur temporel
Commande aval
Adresse MIC/IT S
Adresse MIC/IT e
MIC 0
MIC1
MIC2
MIC3
MIC0
MIC1
MIC2MIC3
IT0 MIC0IT0 MIC3IT1 MIC0
IT30 MIC0IT30 MIC3IT31 MIC0
Mémoire de commande
Mémoire de Parole
IT1 MIC3
IT31 MIC3
ITO MIC0 E
ITO MIC1 E
IT31 MIC2 S
IT31 MIC3 S
MIC2 IT15 (62) IT3 MIC1 E (13)
IT3 MIC1
Horloge (L)
Horloge
• Commande aval
Ecriture
88GRT5-M3-MPLS-VPN-MCast
Utilisation de deux mémoires
Mémoires tampons
Stocke provisoirement les données utilisateurs
Mémoires de commande
Contient l’association entre les interfaces qui communiquent
L’opération de commutation consiste en :
1. La mise en mémoire tampon des données entrantes
2. La consultation du contenu de la mémoire de commande
3. Le vidage du contenu de la mémoire tampon vers l’intervalle de temps indiqué par la mémoire de commande
Commutation temporelle
89GRT5-M3-MPLS-VPN-MCast
La table de transfert
BGP 4 Table de routage
OSPF –
Link State Database
Routes statiques
Routing Information Base (RIB)
Forward Table (FIB)
90GRT5-M3-MPLS-VPN-MCast
Bases de routage et de transfert
Data plane
IP Routing Protocol
LSDB
Information de routage échangée avec les autres routeurs
IP Routing Table (RIB) Construction de la table de routage
IP Forwarding Table (FIB)
Paquet IP entrantPaquet IP sortant
look‐up
91GRT5-M3-MPLS-VPN-MCast
EGP‐IGP
EGPIGP
IGP
IGP
Système Autonome
Système Autonome
Système Autonome
EGP: Exterior Gateway Protocol
IGP: Interior Gateway Protocol
92GRT5-M3-MPLS-VPN-MCast
Single Entry
Routing Updates DV vs LS
RoutingTable
RoutingTable
FullTable
Distance Vector
Approach
Link‐State
Approach
93GRT5-M3-MPLS-VPN-MCast
Traitement de l'émission d'un paquet IP
Toutes les fonctions n'y sont pas représentées notamment le traitement des redirections ICMP.
Vous noterez le principe de détection d'un paquet à destination d'un autre réseau par comparaison avec l'adresse IP et le masque de la station.
Vous noterez également le traitement ARP sur l'adresse de Gateway ou sur l'adresse du destinataire si celui‐ci est dans le même réseau que l'émetteur.
La fragmentation n'est pas détaillée mais la majorité des stacks IP essaie de l'éviter au niveau de l'émetteur.
Il suffit que les couches supérieures aient connaissance de la MTU locale.
94GRT5-M3-MPLS-VPN-MCast
Segment TCP/UDP + @IPdest
Calcul @Réseau d ’@IPdest parrapport au masque d ’@IPsource
Rx d ’@IPdest = Rx d ’@IPsource ?
@IPGateway existe ?
@MACGateway existe dans latable ARP ?
@MACdest existe dans latable ARP ?
Séquence ARP_RequestARP_Reply
@MACGateway trouvée ?@MACdest trouvée ?
ICMP_Source_Quench actifpour l ’@IPdest ?
Temporisation d ’émission
MTU niveau 2 < Taille paquet IP ?
Fragmentation paquet
Paquet IP + @MACVers couche 2
Paquet jetéPaquet jeté
O
N
O N
N
N
O
O
N
N O O
O
O
N
N
95GRT5-M3-MPLS-VPN-MCast
Traitement du transfert d'un paquet
Cet organigramme synthétise le fonctionnement d'un routeur à réception d'un paquet IP.
Encore une fois toutes les fonctions de routage ne sont représentées. Vous noterez :
le traitement du routage notamment avec le principe du routage par défaut (Route_Default)
le traitement de l'ARP que ce soit pour atteindre le destinatire final ou pour atteindre un routeur voisin qui se situerait sur le même LAN.
la gestion du TTL (je n'ai pas traité la gestion du TTL sur des paquets en file d'attente).
le traitement de la fragmentation avec la prise en compte du bit DF.
les principaux cas d'émission de messages ICMP. Nous n'avons pas traité le cas de l'ICMP_Source_Quench en cas de congestion du lien de sortie.
96GRT5-M3-MPLS-VPN-MCast
Trame MAC reçue
Extraction paquet IP
@MACdest = @MAC_If_Routeur ?
If = InterfaceRx = RéseauTR = Table de Routage
@IPdest = @IP_Routeur ?
Extraction @IPdestAdmin. routeur
@Rx_IPdest connue en TR ?
EmissionICMP_Dest_Unreachable
Route_Default existe en TR ?
Trame ignorée
Paquet jeté
@Rx_dest directementconnecté ?
Séquence ARP_RequestARP_Reply
@MAC_dest existe dans la table ARP ?
@MAC_Next_Gateway existeen table ARP (si LAN) ?
@MAC_Next_Gateway trouvée(si LAN) ?
TTL = TTL - 1TTL = 0 ?
MTU niveau 2 < Taille paquet IP ?
Fragmentation paquet
@MAC_dest trouvée ?
Bit DF = 0 ? EmissionICMP_Don ’t Fragment
EmissionICMP_TimeOut
Paquet IP + @MACVers couche 2 d ’interface de sortie
N
O
O
NN N
O O
O
N
NN
OO
N N
OO
O
O
NN
ON
97GRT5-M3-MPLS-VPN-MCast
Traitement de la réception d'un paquet IP
Cet organigramme présente l'algorythme déroulé par une station qui reçoit un paquet IP.
Toutes les fonctions ne sont pas détaillées, notamment les traitements d'erreurs activant les fonctions ICMP.
Vous remarquerez le contrôle du checksum qui a lieu avant la lecture de l'adresse IP. Ce contrôle est également effectué dans les routeurs. Je n'ai pas fait apparaître ce traitement dans l'organigramme précédent.
Vous remarquerez également le principe de détection des fragments de paquets (bit MF et valeur de l'Offset).
Ce traitement n'est réalisé qu'en réception.
Note : le traitement du TTL des fragments en attente et sur le traitement du champ Protocole.
98GRT5-M3-MPLS-VPN-MCast
Trame MAC reçue
Extraction paquet IP
@MACdest = @MAC_Station ?
@IPdest = @IP_Station ? Paquet jeté
Trame ignoréeN
O
ON
Champ Protocole trame MAC= IP ?
Vers autre protocole
MF = 1 OU (MF = 0 AND OFFSET<>0) ?
Process de réassemblagedes paquet IP fragmentés TTL = TTL - 1 (ttes les secondes)
TTL = 0 sur un fragment ? Emission
ICMP_TimeOutTous fragments jetés
Champ Protocole du paquet IPconnu ? Emission
ICMP_Protocole_inconnu
CheckSum OK ?
Segment TCP/UDP + @IPsourceVers couches supérieures
Paquet jeté
O
OO
O
N
N
N
N
N
O
99GRT5-M3-MPLS-VPN-MCast
Exemple de transfert
Je simule ici l'émission d'un "ping" depuis A vers B.
Les paquets traversent R1, R2 et R4 à l'aller puis R4 et R3 au retour. Ce parcours étonnant est tout à fait réaliste croyez‐moi !
Le but est ici de montrer le fonctionnement global du routage IP à travers un réseau "tournant" en interaction avec ARP.
On suppose que le réseau était hors tension, qu'on "l'allume' et que A émet tout de suite son PING.
Les tables de routages des routeurs ont été inscrites en statique (à la main !).
100GRT5-M3-MPLS-VPN-MCast
Exemple de transfert
La station A commence par émettre une séquence ARP puisqu'elle ne connaît pas l'adresse MAC de sa Gateway.
Entre R1 et R2 il n'y a pas d'ARP car ils sont interconnectés par un lien série ! Toute trame émise à un bout abouti à un seul destinataire (celui de l'autre bout !).
Entre R2 et R4 il y a une séquence ARP pour que R2 découvre l'adresse MAC de la trame à destination de R4.
R4 réalise une séquence ARP vers B. Au retour vous remarquerez que B ne fait pas de séquence ARP vers R4 car elle aura pu profiter (ce n'est pas sûr à 100% ! A vérifier !) de la séquence ARP précédente de R4 pour apprendre son adresse MAC.
Au total il aura fallu 15 trames de niveau 2 pour véhiculer ce premier paquet de ping aller‐retour ! Par contre le prochain paquet ne nécessitera plus que 7 trames ! Pourquoi ?
103GRT5-M3-MPLS-VPN-MCast
Agenda
Pourquoi MPLS ?
La terminologie MPLSLe labelLabel switch router (LSR)Edge Label Switch Router (E‐LSR) Label switch Path (LSP)Label swapping
Les fondements MPLSLa classe d’équivalence (FEC)Le protocole LDP
104GRT5-M3-MPLS-VPN-MCast
Introduction
Au début des années 90 : IP grand public est apparu
IP a été développé sur deux principes de base
délivrer les paquets en mode datagramme en s’appuyant sur le routage "hop‐by‐hop".
fournir un service opportuniste et de type "best‐effort".
L’explosion d’Internet a permis aux ISP de se développer et de déployer de gigantesques infrastructures IP.
Les plaques Backbone des ISP bâties sur des infrastructures ATM.
Situation au début des années 90
Cœur du réseau interconnecté avec des liaisons T1 à T3
Topologie relativement simple
Trafic peu important
105GRT5-M3-MPLS-VPN-MCast
IntroductionSituation au milieu des années 90
Augmentation importante de la taille des réseaux
Apparition des goulots d’étranglement
Routeurs trop lents
Augmentation importante du trafic
La problématiqueAugmentation des tables de routage
Recherche de nouvelles fonctionnalités
La superposition IP/ATM présentait un inconvénientOmniprésence du transport ATM
Maillage complet en O(n2) du nombre de CV ATM sans utiliser la QoS ATM
La demande de plus en plus grande en services Nécessité de doter IP de mécanismes semblables à ceux d’ATM
Approcher le routage IP aux performances de la commutation ATM.
106GRT5-M3-MPLS-VPN-MCast
Voyager de A vers B
BROADCAST : partir vers toutes les directions, s’arreter quand B est atteint, ne jamais demander où est la direction de B.
HOP BY HOP ROUTING : demander constamment quel est le point le plus proche à B et partir vers ce point, repéter jusqu’à atteindre B et …..s’arreter.
“partir vers B? le mieux c’est de prendre cette direction”.
SOURCE ROUTING : demander une liste (à avoir avec soi) d’emplacement à visiter pour atteindre B.
“partir vers B? tout droit, et prend la 5ème à droite, 3 autres feu rouge et tu tournes à gauche”.
107GRT5-M3-MPLS-VPN-MCast
Routage classique
Fonction de la couche Réseau
Acquisition Topologique
Hop‐by‐hop
Calcul et selection de chemin
Fragmentation/Reassemblage
Performance
Débit de Forwarding
Nombre de liens haut débits
Le calcul et sélection de chemins sont trés corrélés avec la commutation de paquets
Problématique de performance et de capacité.
Routage par paquet : “Look‐up” dans de grandes tables de routage
108GRT5-M3-MPLS-VPN-MCast
Le routage classique
A la réception d'un datagramme, les routeurs déterminent le next‐hop le plus approprié pour que le paquet rallie sa destination.
L‘@ mac destination du datagramme est remplacée par l‘@ mac du routeur relais (ou next‐hop)
L‘@ mac source du datagramme est remplacée par l‘@ mac du routeur courant
Les @ ip du datagramme restent inchangées pour que le prochain routeur effectue les même opérations sur le paquet pour les sauts suivants
Ce calcul fastidieux est effectué sur tous les datagrammes d'un même flux, et cela autant de fois qu'il y a de routeurs intermédiaires à traverser.
Il est donc gourmand en terme de ressource machine. Le mode non connecté du protocole IP, qui était initialement l'un de ses atouts, en particulier pour sa scalabilité, est devenu aujourd'hui un frein à son évolution.
110GRT5-M3-MPLS-VPN-MCast
Routage et niveau 2
Les équipements couche 2 ne participent pas activement à ce processus de transmission
Incapables de contenir des informations de couche 3
Établissement manuel de chemins couche 2 au niveau WAN (PVC,.)
Fonction compliquée
Les chemins couche 2 sont :basés sur un paradigme pt‐pt
Établis à la demande via config manuelle
Entre deux routeurs ingress et egress on doit établir une connexion directe au niveau couche 2
111GRT5-M3-MPLS-VPN-MCast
Routage et niveau 2
PVC ATM
Core ATM
Commutation ATM
rtr1 rtr2
rtr3
rtr1 rtr3 rtr2
Délai et charge supplémentaire
C 3
112GRT5-M3-MPLS-VPN-MCast
Routage et niveau 2
Maillage Complet
Contiguïté des routeurs
Surcharge protocolaire due à l’échangé d’infos d’accessibilité (ospf, isis,…)
Trafic résultant est proportionnel au carré du nombre de routeurs
Problématique de dimensionnement des liens wan : difficulté de prédire la quantité exacte d’information à échanger entre routeurs
113GRT5-M3-MPLS-VPN-MCast
Routage classique
Il est nécessaire de disposer d’un mécanisme :Permettant aux dispositifs de routage interne de commuter les paquets sur le réseau d’un routeur ingress vers un autre egress.
Ne pas analyser les adresses IP de destination de la couche réseau.
Indépendance des plans de routage et de commutation
Toute modif doit attendre la convergenceLa commutation ne doit plus reposer sur l’en‐tête IP
Ajout d’un champ supplémentaire indiquant le type de comportement
Toute modif du plan de routage n’affecte plus le plan de commutation
114GRT5-M3-MPLS-VPN-MCast
Bande passante vs Forwarding
Milieu des années 70
Réseaux IP à bas débit
La bande passante est le goulot d’étranglement
Milieu des années 90
Réseaux IP à haut débit
La bande passante n’est plus le goulot d’étranglement
Le forwarding IP devient le goulot d’étranglement
115GRT5-M3-MPLS-VPN-MCast
Réseaux IP à haut débit
Milieu des années 90
Le forwarding IP est le goulot d’étranglement
Solutions propriétaires de "fast IP switching«
Toshiba (CSR), IBM (ARIS), Cisco (Tag Switching)…
Forwarding par label inspiré par le forwardingATM…
… différent du forwardingIP hop-by-hop traditionnel
Standardisation IETF
MPLS (Multi-Protocol Label Switching)
En remplacement des solutions propriétaires
116GRT5-M3-MPLS-VPN-MCast
La solution : la commutation
Plusieurs constructeurs ont proposé des solutions de commutation IP. Tag Switching proposé par Cisco,
IP Switching proposé par Ipsilon/Nokia,
ARIS proposé par IBM,
Fast IP proposé par 3Com
SwitchNode de Nortel Networks.
IP Navigator ( Cascade/ Ascend / Lucent )
L’IETF s’est grandement inspiré de la solution de Cisco pour la mise au point de la norme MPLS.
MPLS fut alors créée. Au printemps 1997
L’IETF a mis en place le groupe de travail MPLS pour définir une approche normative de la commutation d’étiquettes. Rendez vous sur : http://www.ietf.org/html.charters/mpls‐charter.html
117GRT5-M3-MPLS-VPN-MCast
Réseaux IP à haut débit (suite)
Mid-2000s
RouteursIP à haute performance (Juniper, Cisco…)
Le forwardingIP n’est plus le goulot d’étranglement !
MPLS est désormais un standard
Utilisé principalement dans le domaine des Télécoms…
… pour résoudre des problèmes autres que le forwarding IP
Scalabilitédes services VPN IP
Contrôle à l’admission
Fast Rerouting
118GRT5-M3-MPLS-VPN-MCast
Principes du MPLS
l Historiquel Création d’un groupe de travail à l’IETF en Avril 1997.l Fortement inspiré du tag switching de Ciscol But initial :
l Méthode de routage plus efficace l Souplesse du niveau 3 + puissance du niveau 2l Commutation suivant un label
l Entre temps :l Amélioration des performances des routeursIntérêt du MPLS réside maintenant dans les services qu’il permet
119GRT5-M3-MPLS-VPN-MCast
MPLS - Multi-Protocol Label Switching
“
”draft-ietf-mpls-framework
“The primary goal of the MPLS working group is to standardise a base technology that integrates the label swapping forwarding paradigm with network layer routing. This base technology (label swapping) is expected to improve the price/performance of network layer routing, improve the scalability of the network layer, and provide greater flexibility in the delivery of (new) routing services (by allowing new routing services to be added without a change to the forwarding paradigm)”
120GRT5-M3-MPLS-VPN-MCast
MPLS
Standarisation de Technologie à commutation de label
Améliorer le rapport price/performance de la couche 3
Améliorer la scalabilité de la couche 3
Fournir plus de flexibilité dans la fourniture de nouveaux services
Ajout et developpement de nouveaux services sans modifier le paradigme de transfert utilisé
121GRT5-M3-MPLS-VPN-MCast
MPLS : Solution au Conflict
Sépare la détermination du chemin du processus de commutation hop‐by‐hop
Forwarding est basé sur des labels
Le chemin est calculé au niveau du routeur frontière
Choix de labels adequats
Le routeur frontière peut utiliser n’importe quel algorithme pour determiner le chemin et le transfert est encore plus rapide
122GRT5-M3-MPLS-VPN-MCast
PACKET ROUTING CIRCUIT SWITCHING
MPLS+IPIP
HYBRID
ATM
Routage et Commutation
AssocierLa puissance de commutation du niveau 2
La flexibilité du routage de niveau 3
123GRT5-M3-MPLS-VPN-MCast
MPLS
Une architecture basée sur la commutation d’étiquettes
Améliorer les performances des routeurs IP
Approcher ses performances de ceux des commutateurs ATM
Transparence vis‐à‐vis des protocoles de couches adjacentes
Architecture Multi‐protocolaire
Fourniture de nouveaux services à valeur ajoutée (SVA)
VoIP
Vidéo sur IP
Vidéo à la demande
VPN
….
124GRT5-M3-MPLS-VPN-MCast
MPLS : Technologie BackBone
WDMDWDM
SDHASON
ATM, MPLS, GMPLS
C1
C2C3
C4
R2
R3
R1IP
125GRT5-M3-MPLS-VPN-MCast
IPV4
MPLS
ATM FR
IPV6 IPX
Niveau 2
Niveau 3
Architecture MPLS et OSI
Niveau 2,5 ?
AppleTalk
PPP Ethernet
126GRT5-M3-MPLS-VPN-MCast
Agenda
Pourquoi MPLS ?
La terminologie MPLSLe labelLabel switch router (LSR)Edge Label Switch Router (E‐LSR) Label switch Path (LSP)Label swapping
Les fondements MPLSLa classe d’équivalence (FEC)Le protocole LDP
127GRT5-M3-MPLS-VPN-MCast
Architecture MPLS
Un équipement MPLS est dit LSR : Label Switch Router
Deux composantes :
1. Contrôle : plan de contrôleChargé de la création et la maintenance de la BD pour la formation des chemins de labels
2. Transmission : plan de données Chargé du traitement des paquets de données en utilisant une BD spécifique contenant des labels
128GRT5-M3-MPLS-VPN-MCast
Architecture MPLS
Tous les nœuds MPLS utilisent les protocoles de routage IP existants pour échanger des informations de routage
Pour le plan contrôle, tout nœud MPLS est un routeur IP
Tous les nœuds MPLS utilisent un protocole de distribution de label : non nécessairement le même dans tous les LSRs.
MPLSC1
C3
C2
R2
R3
R1IP
Routage : protocole de routage
MPLS : protocole de distribution de Label
129GRT5-M3-MPLS-VPN-MCast
Multiprotocol Label Switching
Customer IPNetwork
Customer IPNetwork
Provider IP Network
Running MPLS
Routing RoutingSwitching
Router Router/Switch RouterSwitch/Router
130GRT5-M3-MPLS-VPN-MCast
Efficacité du Switching
Postal NetworkName
AddressCity, State 01022
NameAddressCity, State 01022
MPLS NetworkIP Address
PortLabel 01022
IP AddressPort
Le réseau portal transfert les paquets sur la base du code postalL’agent de poste se base de son coté sur le nom et l’adresse
Les switchs MPLS ajoutent un label et transférent sur la base de la valeur du labelLes Egress switchs supprime les labels et routent sur la base de l’@ IP
132GRT5-M3-MPLS-VPN-MCast
Le label sous un autre nom ...
Plusieurs exemples de protocoles orientés label :
ATM
label est le VPI/VCI qui voyage avec dans cellules.
Frame Relay
label est le DLCI qui voyage dans des trames.
TDM
label est le timeslot qui voyage dans des trames (lane).
X25
label est le NVL (numéro de voie logique)
133GRT5-M3-MPLS-VPN-MCast
Le label MPLS
Deux types de solutionsEn utilisant les champs « labels » de protocoles standards
DLCI (Data‐Link Connection Identifier) des trames Frame Relay
VCI (Virtual Chanel Identifier) des paquets X.25
VCI/VPI (Virtual Path Identifier) des cellules ATM
En utilisant un entête MPLS spécifique placé entre
L’entête IP de niveau 3 (Network Layer) et
Un entête de niveau 2 (Data‐Link Layer)
les PDU MPLS pourront néanmoins être transmises directement au niveau physique dans le cas de réseaux optiques
Le fonctionnement MPLS est bati sur le concept de label
134GRT5-M3-MPLS-VPN-MCast
Le label MPLS
L’architecture MPLS est organisée autour d’une principalenotion que constitue le label ou étiquette
Le format dépend explicitement des caractéristiques duréseau utilisé.
Comme les identificateurs VPI/VCI de ATM, le label MPLS n’aqu’une signification locale entre deux équipements MPLS.
L’en‐tête MPLS occupe 4 octets (32‐bits)
135GRT5-M3-MPLS-VPN-MCast
Le Label MPLS
Label (20bits) Exp Cos(3bit) S(1bit) TTL(8bits)
En‐tête MPLS DATAEn‐tête IP
MPLS
ATM EthernetPPPFrameRelay
IPV6IPV4 AppleTalkIPX
Niveau 2
Niveau 3
DATA
En‐tête IP DATA
En‐tête IP DATAEn‐tête MPLS
En‐tête C2
136GRT5-M3-MPLS-VPN-MCast
Le label MPLS
Codé sur au moins 32 bitsAvec un ou plusieurs labels codés sur 20 bits chacun
Une PDU MPLS peut contenir une pile de labels
Le label au sommet de la pile est transmis en premier
» Si S = 1, le label codé est au fond de la pile (dernier label)
» Si S = 0, le label codé est au‐dessus d’un autre label
Autres champsTTL (Time To Live)
Pour éviter que des PDU MPLS puissent boucler indéfiniment dans un domaine
Exp ou COS (Class Of Service)
Pour pouvoir appliquer plusieurs politiques de gestion des files d’attente
137GRT5-M3-MPLS-VPN-MCast
Label StackingLabel StackingLabel Stacking—processus d’ajout et suppression de labels à chaque fois que le paquet traverse multiple MPLS networks
Forward est basé sur le label le plus proche de la couche 2
CustomerIP Network
CustomerIP Network
MPLS Network
Second MPLS Network
IP DLCIIP DLCI
IP MPLS MPLS DLCI
IP MPLS DLCI IP MPLS DLCI
139GRT5-M3-MPLS-VPN-MCast
La pile de labels (“label stack”)
171.68.10/24
Rtr‐A
Next‐Hop
In Lab
5
...
Address Prefix
171.68.10
...
OutI/F
1
...
Out Lab
7
...
In I/F
0
...
IP packetD=171.68.10.12
Label = 5
Label = 21
IP packetD=171.68.10.12
Label = 7
Label = 21
Chaque paquet peut contenir plusieurs niveaux de labels.Le LSR (Rtr‐A) commute le paquet labellisé en fonction uniquement du premier label de la pile
140GRT5-M3-MPLS-VPN-MCast
Architecture MPLS
Pourquoi MPLS ?
La terminologie MPLSLe label Label switch router (LSR)Edge Label Switch Router (E‐LSR) Label switch Path (LSP)Label swapping
Les fondements MPLSLa classe d’équivalence (FEC)Le protocole LDP
141GRT5-M3-MPLS-VPN-MCast
Noeuds MPLS
Core LSR‐ Switchs ATM ‐ ou Routeurs
Edge LSR: Label Switch Router d’extrémité
Core LSR: Label Switch Router de cœur de réseau
Edge LSR
Label Distribution Protocol
142GRT5-M3-MPLS-VPN-MCast
Label Edge Router (LER)
Ce sont des routeurs qui traitent le niveau IP et le niveau label
Routeur d’extrémité qui joue un rôle important dans l’assignation et la suppression des labels au moment où les paquets entrent dans le réseau ou en sortent.1. Décide comment les paquets vont voyager dans le réseau
2. Reçoit des paquets IP et leur assigne des labels ‘Push’
3. Transfert les paquets labélisés vers le/les routeurs de prochain saut LSR/LER
4. Reçoit les paquets labélisés à partir des LSR/LER pour les router vers la destination finale ‘Pop’
Chaque LSR construit une table LFIB (Label Forwarding Information Base).
145GRT5-M3-MPLS-VPN-MCast
MPLS Edge-LER
Data plane
Paquet entrant labellisé Paquet sortant
labellisé
IP Routing Protocol Information de routage échangée avec les autres routeurs
IP Routing Table
MPLS Signalling Protocol
Echange des labels avec les autre routeurs
Label Forwarding Table
IP Forwarding Table
Paquet IP entrant
Paquet IP sortant
Suppression de label et consultation L3
Label Info Table
146GRT5-M3-MPLS-VPN-MCast
Label Switching Router (LSR)
Routeur ou commutateur capable de commuter des paquets ou des cellules, en fonction de la valeur des labels qu’ils contiennent.
Dans le cœur du réseau, les LSRs procèdent tout simplement à la lecture/écriture et la commutation des labels, et non les adresses des protocoles de niveau supérieur.
Chaque LSR construit une table LFIB (Label Forwarding Information Base).
147GRT5-M3-MPLS-VPN-MCast
MPLS - LSR
Data plane
Paquet entrant labellisé
Paquet sortant labellisé
IP Routing Protocol Informations de routage échangées avec les autres routeurs
IP Routing Table
MPLS Signalling Protocol
Echange des labels avec les autre routeurs
Label Forwarding Table
Label Info Table
148GRT5-M3-MPLS-VPN-MCast
LSR et LER : Commutation et routage
CommutationMPLS ou ATM
Avantages
Calcul unique au niveau de l’entrée du réseau
Rapidité dans le cœur de réseau
L’intelligence se trouve aux extrémités du réseau
Routage niveau 3 Et Commutation Niveau MPLS
149GRT5-M3-MPLS-VPN-MCast
Interop LER et LSR
Data plane
IP Routing Protocol
IP Routing Table
MPLS Signalling Protocol
Label Forwarding Table
Data plane
IP Routing Protocol
IP Routing Table
MPLS Signalling Protocol
Label Forwarding Table
IP Forwarding Table
Traite les en-tetes IP et label MPLS
Traite labels MPLS
150GRT5-M3-MPLS-VPN-MCast
Les tables MPLS
1. Table de routage : Routing Information Base
2. Table de label : Label Information BaseElle contient pour chaque sous réseau IP la liste des labels affectés par les LSR voisins.
Contient tous les labels attribués par le LSR considéré et les mapping de ces labels sur les labels reçus des voisins
Ces labels sont distribués par un protocole dédié
3. Table de transfert IP : Forwarding Information Base
4. Table de transfert de label : Label Forwarding Information BaseUtilisée pour commuter les paquets.
Chaque réseau IP est appris par l’IGP, qui détermine le prochain saut pour atteindre ce réseau.
Le LSR choisit ainsi l’entrée de la table LIB qui correspond au réseau IP et sélectionne comme label de sortie le label annoncé par le voisin déterminé par l’IGP (plus court chemin).
A partir d’un label d’entrée, il en déduit l’interface et le label de sortie
151GRT5-M3-MPLS-VPN-MCast
Advantages du Switching
Avantages du switching r/r au routagePerformance
Faster transit time
Less jitter (delay)
Packet prioritization
Flexible routing
Scalability and simplicity
Ease of management
IP MPLS DLCI
DataLink
IP
MPLS
Label
IP DLCI
IP Address
152GRT5-M3-MPLS-VPN-MCast
Performance
MPLS faster transit over IP routingRequires less CPU and memory
Indexed lookup of forwarding table as opposed to best fit IP address lookup
Simple protocol—easy to implement in ASIC
Smaller forwarding table—only contains known LSRs as opposed to all known IP networks
Internet routing table contains more than 70,000 table entries
DataLink
IP
MPLS
Routed Packet
DataLink
IP
MPLS
Switched Packet
Forwarding Table
Forwarding Table
Forwarding Table
153GRT5-M3-MPLS-VPN-MCast
Performance
Jitter caused by variation in transit and queue delays MPLS has faster transit time through routers (minimizes transit delay)
Packet prioritization and bandwidth reservation can minimize queue delay
2
1 High-Priority Packet
DataLink
IP
MPLSLow-Priority Packet
1 1 2 2 22 1 22 1 112 2
154GRT5-M3-MPLS-VPN-MCast
Agenda
Pourquoi MPLS ?
La terminologie MPLSLe labelLabel switch router (LSR)Edge Label Switch Router (E‐LSR) Label switch Path (LSP)Label swapping
Les fondements MPLSLa classe d’équivalence (FEC)Le protocole LDP
155GRT5-M3-MPLS-VPN-MCast
Label Switch Path (LSP)Chaque paquet labellisé :
entre dans le réseau MPLS par un LSR d’entrée: “ingress LSR”
sort du réseau MPLS par un LSR de sortie: “egress LSR”
LSP est le chemin défini par les différents labels assignés à chaque paquets.
LSP peu être statique ou dynamique (prédéfini ou utilise les informations de routage).
Un LSP est unidirectionnel : le trafic retour peut prendre un autre chemin
La création du LSP est un schéma en mode connecté
Compte tenu des infos de routage et non pas des exigences du flux
Ce LSP est fonctionnellement équivalent à un circuit virtuel ATM ou FR
Ingress-LSR
Egress-LSR
156GRT5-M3-MPLS-VPN-MCast
Label Switch Path (LSP) et l’IGP
Le FEC est déterminé dans le LSR d’entrée
Le LSP est déduit de la table de routage IGP
A chaque saut, le LSR choisit le LSP de sortie (= hop by hop routing)
Le LSP peut être différent du chemin IGP le plus court
ex: Tunnels LSP (explicit routing) avec du “Traffic Engineering”
Le LSP suit le chemin IGP le plus court
Le LSP diverge du chemin IGP le plus court
159GRT5-M3-MPLS-VPN-MCast
MPLS Components
CustomerIP Network
MPLS ProviderNetwork
CustomerIP Network
Route RouteSwitch
Customer Edge Customer EdgeIngress LSR Transit LSR Egress LSR
160GRT5-M3-MPLS-VPN-MCast
Ingress LSR
CustomerIP Network
MPLS ProviderNetwork
CustomerIP Network
IP MPLS DLCIIP DLCI
Ingress LSR
161GRT5-M3-MPLS-VPN-MCast
Transit LSR
CustomerIP Network
MPLS Provider Network
CustomerIP Network
IP MPLS DLCIIP MPLS DLCI
Transit LSR
162GRT5-M3-MPLS-VPN-MCast
Egress LSR
CustomerIP Network
MPLS Provider Network
CustomerIP Network
IP MPLS DLCI IP DLCI
Egress LSR
163GRT5-M3-MPLS-VPN-MCast
Agenda
Pourquoi MPLS ?
La terminologie MPLSLe labelLabel switch router (LSR)Edge Label Switch Router (E‐LSR) Label switch Path (LSP)Label swapping
Les fondements MPLSLa classe d’équivalence (FEC)Le protocole LDP
165GRT5-M3-MPLS-VPN-MCast
Label Swapping
IP packetD=171.68.10.12
Label = 21
Label = 7
IP packetD=171.68.10.12
Label = 21
Label = 5RTr-CRTr-BRTr-A
Out LAB
7
…
AdressPrefix
171.68.10/24
…
OutI/F
1
…
IN LAB
5
…
INI/F
0
…
171.68.10/24
Processus de transfert des paquets vers leur destination sur la base de la lecture et écriture des labels
166GRT5-M3-MPLS-VPN-MCast
La commutation des paquets
0
11
171.69.12.1 data 171.69.12.1data171.69.12.1data4 7
...
addressprefix interface
128.89.10
1
0
171.69
3
4
5
7
locallabel
remotelabel
...
128.89.10
1
1
171.69
addressprefix interface
x
x
3
4
Le Edge LSR d’entrée ajoute le label et
transmet le paquet
Les LSRs suivants échangent les labels et
transmettent
Le edge LSR de sortie enlève le label et route le
paquet
data171.69.12.1
171.69
addressprefix
...
X7
DATA FLOW
locallabel
remotelabel
locallabel
remotelabel
167GRT5-M3-MPLS-VPN-MCast
Agenda
Pourquoi MPLS ?
La terminologie MPLSLe labelLabel switch router (LSR)Edge Label Switch Router (E‐LSR) Label switch Path (LSP)Label swapping
Les fondements MPLSLa classe d’équivalence (FEC)Le protocole LDP
168GRT5-M3-MPLS-VPN-MCast
Acheminement de paquets IP
1. Comment attribuer un label à chaque paquet IP entrant dans un domaine MPLS ?
Par classification des paquets IP dans des FEC FEC : Forwarding Equivalence Class
Le concept de FECs est introduit pour les besoins de fléxibilité et de scalabilité
2. Comment construire les tables de commutation de labels des routeurs ?
A partir des tables de routage des routeurs
Par distribution de labels entre routeurs
169GRT5-M3-MPLS-VPN-MCast
Les concepts “FEC” et “Next‐Hop”
FEC = Forwarding Equivalence class Après décision de routage, les paquets sont classés dans des ‘FEC ‘
FEC = “un sous ensemble de paquets qui seront traités de la meme manière par le routeur”
Transfert via la même interface de sortie
Avec les mêmes critères de transmission
La transmission d’un paquet consiste donc à:
1. Assigner un paquet à une FEC
2. Déterminer le routeur suivant (next‐hop) pour chaque FEC
En routage IP, chaque routeur
1. re‐classifie le paquet dans une FEC
2. re‐calcule le routeur suivant pour chaque FEC
170GRT5-M3-MPLS-VPN-MCast
Address Prefix and mask
171.68.10/24
...
Next‐Hop
171.68.9.1
...
Exemple de “FEC” et “Next‐Hop”
171.68.10/240 1
Interface
Serial1
...
IP packetD=171.68.10.12
IP packetD=171.68.10.23
Le routeur A transmet les paquets avec des adresses de destination différentes en utilisant la même route, le même ‘next‐hop’ et la même interface
Rtr‐A
171GRT5-M3-MPLS-VPN-MCast
Exemple de ‘FEC et Next-Hop’ avec MPLS
171.68.10/240 1
Le routeur A transmet le paquet en fonction du label recu et de sa table de label. Aucune classification supplémentaire n’est nécessaire
Rtr-AIP packetD=171.68.10.12
Label = 5
34
IP packetD=171.68.10.12
Rtr-B
Routeur B classifie le paquet dans une FEC à laquelle a été associé un label
IP packetD=171.68.10.12
Label = 3
172GRT5-M3-MPLS-VPN-MCast
La classe FEC
Identifie un ensemble de paquets IP1. Seront étiquetés en sortie d’un Ingress LSR par le même label
2. Suivront ainsi le même chemin ou LSP (Label Switching Path)
Plusieurs types de FECEn fonction de leur mode de définition
Dans le cas le plus simple
Deux paquets appartiendront à une même FEC si leurs adresses IP destination appartiennent à un même sous‐réseau
Autres paramètres possibles
Numéro de ports source et destination TCP/UDP
Qualité de service demandée
Service demandé (VPN, VoIP,…)
173GRT5-M3-MPLS-VPN-MCast
La FEC
A set of unicast packets whose Layer 3 destination addresses match a certain address prefix
A set of unicast packets whose destination addresses match a particular IP address prefix with similar type of service (ToS) bits
A set of unicast packets whose destination addresses match a particular IP address prefix and have the same destination TCP port number
A set of multicast packets with the same source and destination Layer 3 addresses
A set of multicast packets with similar source and destination Layer 3 addresses and the same incoming interface
175GRT5-M3-MPLS-VPN-MCast
Agenda
Pourquoi MPLS ?
La terminologie MPLSLe labelLabel switch router (LSR)Edge Label Switch Router (E‐LSR) Label switch Path (LSP)Label swapping
Les fondements MPLSLa classe d’équivalence (FEC)Le protocole LDP
176GRT5-M3-MPLS-VPN-MCast
Distribution de labels
Problème poséComment coordonner les tables de commutation des LSR ?
Par distribution d’associations entre FEC découvertes et labels (en anglais, FEC-Label mappings)
Protocoles proposésTDP/LDP (Tag/Label Distribution Protocol)
TDP est un protocole CISCO propriétaire
LDP a été défini par l’IETF dans la RFC3036
Utilisés notamment dans le cas de FEC définies par sous-réseau
Extensions de RSVP (Resource Reservation Protocol)Permet d’établir des LSP en fonction de critères de ressources et de qualité de service
Extensions de BGP (Border Gateway Protocol)Permet de distribuer les labels en même temps que les routes découvertes, mais aussi l’échange de routes VPN
177GRT5-M3-MPLS-VPN-MCast
Les protocoles de distribution de label
LDP
associe des labels à des FECs (adresses unicast)
RSVP
Utilisé pour le “Traffic Enginering” et la réservation de ressources
PIM
association de label en multicast
BGP
Labels externes: VPN
178GRT5-M3-MPLS-VPN-MCast
La distribution de labels
La distribution des labels aux LSR est réalisée grâce au protocole LDP
Basé sur le protocole TDP (Tag Distribution Protocol) de Cisco RFC 3036TDP et LDP diffèrent principalement par le format des paquets ou messages qu’ils transmettent
Fonctions principalesDécouverte de voisins
Pour un LSR donné, déterminer si ses voisins directs sont également des LSR ou seulement des routeurs classiques
Distribution de labels
179GRT5-M3-MPLS-VPN-MCast
La distribution de labels
LDP définit une suite de procédures et de messages utilisés par les LSR pour s'informer mutuellement du mapping entre les labels et le flux. Les labels sont spécifiés selon le chemin " Hop By Hop " défini par l'IGP dans le réseau. Chaque nœud doit donc mettre en œuvre un protocole de routage de niveau 3, et les décisions de routage sont prises indépendamment les unes des autres.
180GRT5-M3-MPLS-VPN-MCast
Label Description Protocol (LDP)RFC3036: Principes
Le protocole LDP est utilisé pour associer un FEC (Fowarding Equivalence class) à un label.
Les labels permettent de créer des chemins labellisés LSPs
LDP fonctionne en mode session entre “peers” . Ces peers peuvent ne pas être adjacents.
LDP est bi‐directionnel et permet la découverte dynamique des noeudsadjacents grâce à des messages Hello échangés par UDP.
Une fois que les 2 nœuds se sont découverts, ils établissent une session TCP
Cette session agit comme un mécanisme de transport fiable :des messages d'établissement de session TCP,
des messages d'annonce de labels
et des messages de notification.
181GRT5-M3-MPLS-VPN-MCast
RFC3036: Les messages LDP
Les peers échangent des messages LDP : 4 types de messages
1. Message de découverte (Discovery): annonce et maintient une adjacenceentre des LSRs du réseau MPLS (notion de LDP peers)
Mécanisme de base: localisation de LSRs sur le même lien pour établir uneadjacence
Un paquet “link Hello (en UDP)” est envoyé à l’adresse multicast “ all‐routers‐in‐subnet”
La réception d’un link Hello identifie un peer LDP potentiel: Contient le “LDP identifier” et le “label space”
Mécanisme étendue: localisation de LSRs distants
Un paquet “targeted Hello (en UDP)” est envoyé à une adresse spécifique sur le port UDP: LDP discovery (port 646)
Le “targeted LSR” répond en envoyant des “targeted Hellos” à l’émetteur
182GRT5-M3-MPLS-VPN-MCast
Les messages LDP : Découverte
Principe de base1. Tout LSR transmet périodiquement à ses voisins
Un message LDP Hello avec comme adresse destination une adresse « multicast » réservée
2. Tout LSR recevant un message LDP HelloRépond par un autre message LDP link Hello s’il utilise lui‐même LDP
Etant donné deux LSR voisins utilisant LDPLe LSR avec la plus grande adresse IP
Devient actif et établit une connexion TCP sur le port 646 (711 pour TDP) pour la transmission de messages LDP
Le LSR avec la plus petite adresse IPDevient passif et attend l’ établissement de la connexion TCP avec son voisin actif
Note : des options peuvent être négociées pendant l’établissement de la connexion entre LSR voisins
Modes de distributions des labels, valeur du temporisateur « keep‐alive », etc.
183GRT5-M3-MPLS-VPN-MCast
LDP Discovery
LSRs discover neighbors by sending and receiving Hellos.
Ethernet
Point‐to‐point
184GRT5-M3-MPLS-VPN-MCast
Les messages LDP: (suite)
2. Message de mise en Session (TCP) Consécutif à la phase “discovery” : découverte d’une adjacence entre LDP Peers
Etablit, maintient et termine les sessions entre LDP peers
Mise en session en Deux phases:Etablissement d’une connexion TCP (port 646)
Initiatilisation de la session: négociation des paramètres de sessions: Version de protocole LDP, méthode de distribution de label, label range, ...
3. Messages d’annonces (“Notification message”)Permet de créer, modifier et supprimer l’association entre label et FEC
4. Messages de notification d’erreur
185GRT5-M3-MPLS-VPN-MCast
LDP Initialization
LSR/LER LSR/LERHelloHello
TCP‐Syn port 646
TCP‐Syn/Ack
TCP‐Ack
LDP Initialisation
LDP KeepAlive
Label Request Label Request
Label Mapping Label Mapping
Découverte
EtablissementCouche Transport
Initialisation Session
Distribution Label
TCP : • fiabilité• contrôle de flux
186GRT5-M3-MPLS-VPN-MCast
Les messages LDP: (suite)
UDP‐Hello
UDP‐Hello
TCP‐open
Temps
Label requestIP
Label mapping#L2
Initialization(s)
187GRT5-M3-MPLS-VPN-MCast
Messages LDP
Principaux types de messagesMessage « Hello »
Utilisés pour la découverte de voisins
Message « Keep‐alive »Transmis périodiquement en l’absence d’autres messages (panne)
Message « Label Mapping »Utilisé par un LSR pour annoncer une association FEC‐Label
Message « Label Withdrawal »Utilisé par un LSR pour retirer une association annoncée auparavant
Message « Label Release »Utilisé par un LSR pour indiquer qu’ il n’utilisera plus une association reçue précédemment
Message « Label Request »Utilisé par un LSR pour demander un label pour un FEC donné
188GRT5-M3-MPLS-VPN-MCast
LDP Message Types
Message Type Description
Address
Address Withdraw
Advertises a list of interface addresses
Label Withdraw
“Undoes” the address message
Hello LDP keep‐alive, sent periodically based on hold timer
Initialization Sets up an LDP session and negotiate parameters
KeepAlive Monitors Integrity of TCP connection supporting a session
Label Mapping
Requests a label binding for a given FECLabel Request
Label Abort Request
Label Release
Notification
Advertises FEC / Label bindings to neighbors
Aborts an outstanding label request message
Deletes FEC / Label binding when FEC no longer supported
Deletes FEC / Label binding due to route change
Reports an error condition
189GRT5-M3-MPLS-VPN-MCast
Les sessions LDP entre nœuds distants
LSR-1LSR-2
LSR-4 LSR-5
LSR-3
LSR-6
Ingress
Egress
Pop label for LSR-5
Use label 25for LSR-5
Use label 39for LSR-5
Use label 3for LSR-6
Use label 9for LSR-6
LSR-1 et LSR-5 ne sont pas des peers adjacents pour échanger des labels
LSR-5 annonce un label à LSR-1 comme si LSR-1 était adjacent
190GRT5-M3-MPLS-VPN-MCast
Procédures de distribution des labels
1. “Unsolicited Downstream” Un LSR downstream LSR annonce ses labels de manière non sollicitée
2. “Downstream on Demand”Un LSR Downstream annonce ses labels suite à une requete du LSR upstream LSR
Les deux méthodes peuvent coexister dans le même réseauLes peers LDP négocient la méthode pendant la phase d’activation de la session
191GRT5-M3-MPLS-VPN-MCast
Procédures de distribution des labels
Utilise le label 26 pour 192.168.1.0/24
2
Utilise le label 12 pour 192.168.1.0/24
1 192.168.1.0/24
DestIn Out
… 26 192.168.1.0/24
DestIn Out
26 12 192.168.1.0/24
DestIn Out
12 … 192.168.1.0/24
Unsolicited downstream
192GRT5-M3-MPLS-VPN-MCast
Procédures de distribution des labels
Demande label pour 192.168.1.0/24
1
Demande label pour 192.168.1.0/24
2 192.168.1.0/24
Utilise le label 26 pour 192.168.1.0/24
4
Utilise le label 12 pour 192.168.1.0/24
3
Downstream on‐demand
DestIn Out
… 26 192.168.1.0/24
DestIn Out
26 12 192.168.1.0/24
DestIn Out
12 … 192.168.1.0/24
193GRT5-M3-MPLS-VPN-MCast
IntfIn
LabelIn
Dest IntfOut
3 0.40 47.1 1
IntfIn
LabelIn
Dest IntfOut
LabelOut
3 0.50 47.1 1 0.40
MPLS Label Distribution : Trafic driven
47.1
47.247.3
12
31
2
1
23
3IntfIn
Dest IntfOut
LabelOut
3 47.1 1 0.50 Mapping: 0.40
Request: 47.1
196GRT5-M3-MPLS-VPN-MCast
LDP Identifiers et adresses de Next‐Hop
Un LSR enregistre les labels recus dans la “Label Information Base (LIB)”
(LDP Identifier, Label), IP prefix
Le LSR associe l’adresse du “next‐hop” avec l’identifiant du LDP Peer afin de retrouver le label associé dans la LIB.
Afin de permettre cette association, les LSRs annoncent leur adresses d’interface via LDP.
198GRT5-M3-MPLS-VPN-MCast
Recap MPLS
Principes de base :
1 label par service
1 service FEC1 LSP1
FEC2 LSP2
……
FECn LSPn
200GRT5-M3-MPLS-VPN-MCast
Recap MPLS
1. Protocole de routage
2. Construction de la RIB -> @dest/Next-Hop/Interface
3. Protocole LDP : association Next Hop, label
4. Construction de la RIB -> @dest/Next-Hop/Label/Interface
201GRT5-M3-MPLS-VPN-MCast
"MPLS has become the de facto standard for providing scalable, deployable IP VPNs. Infonet's MPLS service provides clients such as Nestle and
Volkswagen with a manageable platform for adapting client network requirements as their business needs grow in scope and complexity."
Joseph Fusco,Directeur du ‘Global Intranet Services
Marketing’,Infonet
203GRT5-M3-MPLS-VPN-MCast
Les applications MPLS
L'ingénierie de trafic : Les administrateurs de réseau peuvent mettre en oeuvre des politiques visant à assurer une distribution optimale du trafic et à améliorer l'utilisation globale du réseau.
204GRT5-M3-MPLS-VPN-MCast
• Router les données à travers le réseau suivant une vision de management de ladisponibilité des ressources, et la qualité de service, mais toujours à base de plus courtchemin comme le cas du routage IP.
Rabat
Marrakech
Plus court chemin IGP
Traffic Engineering Path
MPLS‐TE
205GRT5-M3-MPLS-VPN-MCast
Objectifs de l’ingénierie de trafic: RFC 2702
Vise à optimiser les réseaux opérationnels et d’augmenter leurs performances en terme de ressource et de trafic.
Ces objectif majeurs (RFC:2702):
‐ Objectif orienté trafic:
1. Minimiser les pertes.2. Minimiser le délai.3. Maximiser les transferts « throughput ».4. Renforcer SLA.
‐Objectif orienté ressource:
1. Optimiser l’utilisation du réseau.
206GRT5-M3-MPLS-VPN-MCast
Les applications MPLS
La bande passante garantie : permet aux fournisseurs de services d'allouer des largeurs de bande passante et des canaux garantis.
Ce qui permet également la comptabilité des ressources QoS (qualité de service) de manière à organiser le trafic 'prioritaire' et 'au mieux', tels que la voix et les données.
207GRT5-M3-MPLS-VPN-MCast
Les applications MPLS
Le Re‐routage rapide :
permet une reprise très rapide après la défaillance d'une liaison ou d'un nœud.
Une telle rapidité de reprise empêche l'interruption des applications utilisateur ainsi que toute perte de données.
208GRT5-M3-MPLS-VPN-MCast
Les pannes des éléments du réseau peuvent être d’origines diverses.
Type de la panne Distribution
Software upgrade/configuration 22%
Hardware upgrade/configuration 9%
Software Failure 25%
Hardware Failure 14%
Link Failure 20%
Power Outage 1%
Other 9%
Problématique
209GRT5-M3-MPLS-VPN-MCast
Problématique
1ér étape
• Le réseau doit pouvoir détecter la défiance
2éme étape
• Les nœuds qui détectent le problème doivent informer certains d’autres
3éme étape
•Un chemin de secours (backup) doit être calculé
4éme étape
• Le (Path Switching Node) doit envoyer le trafic sur la chemin de secours (backup) : switchover
Temps de rupture = Duré de détection d’erreur + Durée de notification d’erreur + Durée nécessaire pour calculer le chemin de backup + Durée de switchover.
210GRT5-M3-MPLS-VPN-MCast
IP 2214
R1
R5
R2
R3
R7R6
R9R8
LSP
Push 37
Swap 17 ‐> 22
Swap 37 ‐> 14Push 17 Pop 14
Pop 22
Fast Reroute tunnel
Etapes d'un Fast Reroute de lien
On crée un tunnel entre R2 et R3 pour rerouter le trafic.Le temps de recouvrement est rapide puisque le reroutage se fait par R2 et pas par R1
211GRT5-M3-MPLS-VPN-MCast
R1 R7R2
R4
R8
R5
R6R3
Node Fast Reroute
Etapes d'un Fast Reroute de nœud
La solution Fast Reroute apporte deux gains:
‐ Une fiabilité accrue pour les services IP: on est protégé contre les ruptures des services. ‐ Une Scalabilité importante inhérente au design du réseau, puisque le chemin de backup est en fonction du lien et pas en fonction des LSPs qui traversent ce lien
212GRT5-M3-MPLS-VPN-MCast
Les applications MPLS
La fonction Classe de service (CoS) MPLS assure que le trafic important est traité avec la priorité adéquate sur le réseau et que les exigences de latence sont respectées.
Les mécanismes QoS IP peuvent être mis en oeuvre de façon transparente dans un environnement MPLS.
213GRT5-M3-MPLS-VPN-MCast
Le champ DSCP a 6 bits tandis que le champ EXP (experimental field) des étiquettes a seulement 3 bits.
MPLS‐DiffServ
ToS1 Byte
07 123456
IP Precedence
DSCP (6 bits)
Unused BitsDrop
Label (20 bits) EXP(3 bits)
S(1bit)
TTL (8 bits)
Couche 3 (IPV4)
Etiquette
214GRT5-M3-MPLS-VPN-MCast
Deux solutions ont été proposées pour résoudre ces deux problèmes.
E‐LSP (EXP‐Inferred‐PSC LSPs) .
L‐LSP (Label‐Only‐Inferred‐PSC LSPs) .
MPLS‐DiffServ
215GRT5-M3-MPLS-VPN-MCast
Un LSP peut appartenir à plusieurs classes de service. Mais l’activation de ces PHB dans chaque LSR est faite manuellement : ni LDP, ni RSVP‐TE n’acheminent actuellement ces éléments.
Dans un L‐LSP, le label sert à identifier une FEC et ses priorités de traitement. Dans un L‐LSP, le champ EXP est utilisé uniquement pour le niveau de perte.
MPLS‐DiffServ : (E‐LSP, L‐LSP)
DSCPPSC Drop
EXPLabel
L-LSP
DSCPPSC Drop
EXPLabel
E-LSP
216GRT5-M3-MPLS-VPN-MCast
MPLS trouve de nouveaux domaines d’applications pour s’approcher de plus en plus des couches applicatives.
MPLS permet aux opérateurs de mettre à la disposition des clients professionnels un certain nombre de services à valeur ajoutée pouvant se greffer au dessus de MPLS.
Les services MPLS
217GRT5-M3-MPLS-VPN-MCast
MPLS et Standards
L2 protocols (PPP, POS, ATM, FR, Enet, GRE, ...)
Label Forwarding Information Base (LFIB) LDPRSVP
Per-Label Forwarding, Queuing, Multicast, RestorationMechanisms CEF
IPswitching
IPCoS
(DiffServ)
DiffServaware
TE
Multicast Routing (PIM v2)
OSPFIS-ISPIM
FastRerouting
TrafficEngineering
Virtual Private NetworksBGPLDP
ATOMAny Transport over MPLS
IPv66PE
Carriersupporting
Carrier
MulticastoverVPN
L2VPN
2474 Definition of the Differentiated Services Field in IP Headers *
2475 An Architecture for Differentiated Services2597 Assured Forwarding PHB Group *2598 An Expedited Forwarding PHB *2697 A Single Rate Three Color Marker2698 A Two Rate Three Color Marker
3031 Multiprotocol Label Switching Architecture *
3032 MPLS Label Stack Encoding *3034 Label Switching on Frame Relay
Networks3035 MPLS using LDP and ATM VC
Switching *3036 LDP Specification *3037 LDP Applicability *
2702 Requirements for Traffic Engineering Over MPLS
2547 BGP/MPLS VPNs *
• 3270 MPLS Support of Differentiated Services *
218GRT5-M3-MPLS-VPN-MCast
Les applications MPLS
Les réseaux privés virtuels MPLS simplifient considérablement le déploiement des services par rapport aux VPN IP traditionnels.
219GRT5-M3-MPLS-VPN-MCast
Le pourquoi du VPN
Problème posé
Comment permettre à plusieurs réseaux indépendants de cohabiter sur une même infrastructure (FAI) ?
Ces réseaux doivent pouvoir utiliser le même adressage privé
Les trafics issus des différents réseaux doivent être isolés
Solutions proposées
Solutions classiques
Utilisation de lignes spécialisées
Utilisation de tunnels IP
Utilisation de réseaux Frame Relay ou ATM
Solutions alternatives
Utilisation simple de MPLS
Utilisation améliorée de MPLS
220GRT5-M3-MPLS-VPN-MCast
Le pourquoi du VPN
GénéralitésLes réseaux publics (i.e. Internet) en tant qu’alternative aux liaisons spécialisées
Solutions meilleure marché
Solutions non‐sécurisées par nature
Usage de « tunnels »
Solutions permettant d’étendre le réseau interne
Solutions permettant d’encapsuler les données à transporter
Solutions généralement associées à une sécurisation des échanges (authentification, chiffrement)
221GRT5-M3-MPLS-VPN-MCast
Exemple d’architecture VPN
Comment interconnecter dans deux VPN distinctsLes réseaux des sites « 1.com » et « 2.com »
En supposant que les deux réseaux utilisent le même adressage privé « 10.0.X.0/24 » pour le site X
Site 1 «1.com »10.0.1.0./24
Site 2 « 1.com »10.0.2.0./24
Site 1 « 2.com »10.0.1.0./24
Site 2 « 2.com »10.0.2.0./24
222GRT5-M3-MPLS-VPN-MCast
Solutions classiques (1)
Utilisation de Lignes SpécialiséesAvantages
Qualité de service a priori de très bonne qualité
Inconvénients
Coût pouvant être très élevé
Même en cas de trafic inter-sites faible
Nombre de lignes à louer potentiellement important
N.(N-1) pour une architecture à maillage complet
Solution peu évolutive
Pour chaque nouveau site, au moins une nouvelle LS doit être mise en place
223GRT5-M3-MPLS-VPN-MCast
Solutions classiques (2)
Utilisation de Tunnels IPAvantages
1. Coût moins important
Partage plus important des ressources du backbone
InconvénientsQualité de Service non nécessairement garantie
Nombre de tunnels à configurer potentiellement important
N.(N‐1) pour une architecture à maillage complet
Solution évolutive
Sécurité dépendante du mécanisme de « tunneling » utilisé
GRE (Generic Routing Encapsulation), Ipsec, TLS,….
Configuration lourde
Principalement à la charge des clients
224GRT5-M3-MPLS-VPN-MCast
Présentation des VPN
Internet
Site Central
Site distant
FrameRelay
FrameRelay
• Coût élevé• Peu flexible• Gestion WAN• Topologies complexes
• Faible coût • Plus flexible• Gestion simplifiée• Topologie tunnel
RéseauFrame Relay
RéseauFrame Relay
Internet
Site Central
Site distantFrameRelay
FrameRelay
TunnelVPN
VPNConventionnel
• Les principaux avantages sont:
‐ Les VPNs amènent des coûts plus faibles que les réseaux privés.
‐ Les coûts de la connectivité LAN‐LAN sont réduits de 20 à 40 pourcent par rapportà une ligne louée. .
‐ Les VPNs offrent plus de flexibilité et d'évolutivité que des architectures WAN classiques
225GRT5-M3-MPLS-VPN-MCast
Internet
Site Central
Site distant
FrameRelay
FrameRelay
• Coût élevé• Peu flexible• Gestion WAN• Topologies complexes
• Faible coût • Plus flexible• Gestion simplifiée• Topologie tunnel
RéseauFrame Relay
RéseauFrame Relay
Internet
Site Central
Site distantFrameRelay
FrameRelay
TunnelVPN
VPNConventionnel
• Les principaux avantages sont:
‐ Les VPNs simplifient les tâches de gestion comparé à la l'exploitation de sa propre infrastructure de réseau.‐ Les VPNs fournissent des topologies de réseaux avec tunnels qui réduisent les taches de gestion.‐ Un backbone IP n'utilise pas les circuits virtuels permanents (PVCs) avec des protocoles orientés connexion tels ATM et FR
Présentation des VPN
226GRT5-M3-MPLS-VPN-MCast
Le service VPN‐IP
Réseau Privé bâti sur une infrastructure mutualisée;
Absence de lien physique de bout en bout;
Confidentialité est assurée par la préservation des plans de routage et d’adressage;
Le concept de réseau privé virtuel ou VPN n’est pas nouveau; Utilisation des circuits virtuels;
Emulation des liens point à point pour le client;
Partage statistique de l’infrastructure du SP
228GRT5-M3-MPLS-VPN-MCast
Les compostes de base
Trois composantes fondamentales :
CE (Customer Edge);
PE (Provider Edge);
P (Provider Router);
229GRT5-M3-MPLS-VPN-MCast
Routeur à plusieurs routeurs PC à Pare-Feu
PC à Routeur/Concentrateur
Scénarios VPN
Routeur à Routeur
230GRT5-M3-MPLS-VPN-MCast
Les modèles de référence
Trois principaux modèles VPN :
CPE‐Based VPN;
Network‐based layer 3 IPVPN ;
Network‐based layer 2 IPVPN ;
La connexion CE‐PE consiste en un circuit physique dédié :un circuit logique (FR ou ATM)
un tunnel IP (utilisant par exemple IPsec, L2TP).
Dans le backbone SP, les tunnels VPN sont normalement utilisés pour interconnecter les équipements PEs.
231GRT5-M3-MPLS-VPN-MCast
Le modèle CPE‐Based VPN
VPN Tunnel
CEVPN A
CEVPN BRouteur PE
Routeur PE
Routeur PE
Routeur P
Gestion Clients Gestion Réseau
CEVPN A
CEVPN B
VPN Tunnel
Réseau SPRéseau d’accès
Réseau d’accès
Vis‐à‐vis des mécanismes de contrôle du VPN le réseau du SP est complètement transparent.
232GRT5-M3-MPLS-VPN-MCast
Network‐Based layer 2 IPVPN
Variante du modèle Network‐Based layer 3.
Le concept de VSI ‘Virtual Switching Instance’ prend la place de la VFI
VSI (PE) supporte les fonctions relatives au processus de Forwarding
des trames de niveau 2,
des cellules ou des paquets pour un VPN spécifiques
en plus de la terminaison des tunnels VPNs.
233GRT5-M3-MPLS-VPN-MCast
Le modèle Network‐Based layer 2 IPVPN
VPN Tunnel
CEVPN A
CEVPN B
Routeur PE
Routeur PE
Routeur
P
Gestion Clients Gestion Réseau
CEVPN A
CEVPN B
VPN Tunnel
Réseau SPRéseau d’accès
Réseau d’accès
Routeur PE
VSI
VSI
VSI
VSI
Interface ClientInterface Client
Interface Réseau
234GRT5-M3-MPLS-VPN-MCast
FR/ATM Backbone
Blue VPN
Red VPN
Purple VPN
Core possède des infos par VC
Layer 2 VPNs – FR & ATM
235GRT5-M3-MPLS-VPN-MCast
Le modèle Network‐Based layer 3 IPVPN
VPN Tunnel
CEVPN A
CEVPN BRouteur
PE
Routeur PERouteur
P
Gestion Clients Gestion Réseau
CEVPN A
CEVPN B
VPN Tunnel
Réseau SPRéseau d’accès
Réseau d’accès
Routeur PEVFI
VFI
VFI
VFI
Interface ClientInterface Client
Interface Réseau
236GRT5-M3-MPLS-VPN-MCast
Le modèle Network‐Based layer 3 IPVPN
Toute l’intelligence est hébergée dans le routeur PE du SP.
Chaque routeur PE met en œuvre une ou plusieurs instances VFI et maintient un état par VPN.
VFI ‘VPN Forwarding Instance’ une entité logique, dédiée, résidant dans le routeur PE qui contient la base d’information du routeur ainsi que la base d’information de transfert (Forwarding) pour un VPN spécifique.
VFI termine les tunnels d’interconnexion avec les autres VFIs et peut aussi terminer les connexions d’accès aux CEs.
238GRT5-M3-MPLS-VPN-MCast
Modèles d’implémentation
La logique d’échange des informations de routage entre le CPE et le SP.
Deux principaux modèles :Overlay
Peer to Peer
239GRT5-M3-MPLS-VPN-MCast
Le modèle Overlay
Le service VPN est fonctionnellement équivalent à des liaisons louées émulées.
Le SP et le CE n’échangent aucune information de routage de niveau 3.
Offre une nette séparation des domaines de responsabilités Clients et SP.
mise à jour de la matrice de trafic,
l’ajout de (n‐1) PVC,
révision de la taille des PVCs en full Mesh,
mise à jour du routage
reconfiguration de chaque CPE pour la topologie couche 3 !
241GRT5-M3-MPLS-VPN-MCast
Le modèle Peer to Peer VPN
Participation active du SP dans le routage client, l’acceptation de ses routes, leur transport sur le backbone et finalement leur propagation aux autres sites clients.
Simple, souple et extensible offrant une facilité de Provisioning des clients et une meilleure gestion des ressources réseau.
243GRT5-M3-MPLS-VPN-MCast
VPN (logiciels) et couche OSI
Application
Présentation
Session
Transport
Réseau
Liaison
Physique
SSL / TLS
TCP UDP
IP / IPSec (ESP, AH)
PPTP, L2TP, …
HTTP‐s, … IKE (ISAKMP, …)
244GRT5-M3-MPLS-VPN-MCast
Choix de la meilleure technologie VPN
TraficUtilisateur
Utilisez unVPN
couche 3IPSec
Oui
Oui
Non
NonPt à pt seul?
Utilisez unTunnelL2GREouL2TP
IP seul?
• Sélectionnez la meilleure technologie VPN pour fournir une connectivité réseau selon les besoins du trafic.
245GRT5-M3-MPLS-VPN-MCast
Avantages
Peer to Peer VPNLe Fournisseur de service participe au routage client
Le réseau client et le réseau du Fournisseur sont bien isolés
Un routage optimal entre Les sites clients
Overlay VPNLe Fournisseur de service ne participe pas au routage client
Configuration usuelle (traditionnelle) pour l’ajout de VNs additionnels
Les sites sont les seuls à être provisionnés, non les liaisons
Un routage peut devenir non optimal entre Les sites clients
246GRT5-M3-MPLS-VPN-MCast
Limitations
Overlay VPNLe routage optimale requiert des VC en full mesh
Le provisionning des VCs est manuel
La BP doit être provisionnée sur la base du site à site
Souffre de l’encapsulation d’overheads
Peer to Peer VPNLe SP participe dans le routage client
Le SP est responsable de la convergence chez le client.
Les PEs portent toutes les routes des clients
Le SP a besoin d’une connaissance accrue du routage IP
247GRT5-M3-MPLS-VPN-MCast
La solution
Les opérateurs, militent en faveur de l’utilisation de l’architecture
hybride :
Network‐Based layer 3 VPN‐IP utilisant une logique Peer to Peer
248GRT5-M3-MPLS-VPN-MCast
VPNsVPNs
VPNs Overlay
VPN Peer to Peer
VPNs Overlay
VPN Peer to Peer
VPN classique couche 2
VPN MPLS couche 2
VPN IP Tunneling
VPN classique couche 2
VPN MPLS couche 2
VPN IP Tunneling
VPN X.25VPN FR
VPN ATM
VPN X.25VPN FR
VPN ATM
VPN GREVPN IPsec VPN GREVPN IPsec
VPN avec routeur Dédiés
VPN BGP/MPLS
VPN Routeurs Virtuels
VPN avec routeur Dédiés
VPN BGP/MPLS
VPN Routeurs Virtuels
Classification VPN-IP
249GRT5-M3-MPLS-VPN-MCast
Classification
Classification des VPN en fonction des équipements mis en œuvre (suite)
VPN « session » (Session Based)
Solutions plus connues sous le nom de VPN SSL
Secteur en plein essor !
Solutions assimilables à des reverse proxy HTTPS (i.e. tunnel SSL et redirection de port)
Usage abusif du terme VPN ?
Accès à un portail d’ applications et non au réseau interne
Excepté OpenVPN ?
Convient bien aux accès distant
250GRT5-M3-MPLS-VPN-MCast
Technologies VPN
VPNVirtual Private Network
Réseau IP privé transporté par un réseau partagé
Technologies de VPNVPN sur niveau 1 partagé
VLAN, SDH
VPN sur niveau 2 partagé
Frame Relay, ATM
VPN sur niveau 3 partagé
Tunnels : GRE, L2TP, PPTP, L2F, IPSec
VPN‐IP : Tag VPN, MPLS VPN
251GRT5-M3-MPLS-VPN-MCast
Synthèse des solutions VPN
Source Burton Group ( d’après Nortel)
Enterprise CPE-based VPNs
Provider Provisioned
Dedicated VPN applianceFirewall with VPN add-onCheck Point -based applianceVPN Router
CPE-based
Virtual RouterTechnology
RFC2547(MPLS/BGP)
Martini draft MPLS(point to point)Optical Ethernet
Ethernet VPN's(leveraging MPLS)
ATMFrame Relay
ATM/FR VPN's
Network-based
VPNs
L3 routing (IP) L2 switching (packet/cell/frame)
Enterprise CPE-based VPNs
Session-based (SSL)
Provider Provisioned
Dedicated VPN applianceWeb server & s/w agents
Layers 4-7 (transport layer+)
252GRT5-M3-MPLS-VPN-MCast
VPN : Contraintes des VPN‐IP
1. Étanchéité des plans d'adressage et des VPNsRecouvrement possible des adresses utilisées par deux clients : Overlapping
Recouvrement possible des adresses clients/backbone
Communication any‐to‐any dans un VPNHub & Spoke est toujours possible
Backbone vu comme niveau 2 totalement mailléLes TTL des paquets IP des clients sont préservés
Les routeurs backbone n'apparaissent pas dans traceroute
253GRT5-M3-MPLS-VPN-MCast
VPN : Implications techniques
1. Multiples tables de routageLes routeurs de backbone doivent maintenir des tables de routage indépendantes pour chaque VPN
=> VRF : VPN Route Forwarding table
2. Protocole dynamique d'échange de routes VPNLes routeurs doivent s'échanger les routes de leurs VRF
Ce protocole doit savoir différencier les routes par VPN
=> MP‐iBGP
3. Différentiation des paquets IP reçusLes routeurs doivent savoir attribuer les paquets reçus à un VPN
=> encapsulation des paquets issus de VPNs
254GRT5-M3-MPLS-VPN-MCast
MPLS et VPN‐IP
Le RFC 2547bis définit un mécanisme permettant aux SPsl’utilisation de leur backbones IP pour offrir des services VPN.
Ces VPNs son communément appelés BGP/MPLS‐VPNs :Vu que le protocole BGP est utilisé pour la distribution des informations de routage à travers le backbone
Vu que MPLS est utilisé pour acheminer le trafic d’un site VPN à un autre.
255GRT5-M3-MPLS-VPN-MCast
Les objectifs
Rendre le service simple d’usage pour les clients même s’ils ne disposent pas d’expérience dans le routage IP
Rendre le VPN extensible et flexible pour faciliter un déploiement à grande échelle
Permettre au SP d’offrir un service à forte valeur ajoutée capable de galvaniser sa loyauté.
256GRT5-M3-MPLS-VPN-MCast
Réseau et table de routage
Table
de
Routage
Routing
Table
Manager
Interfaces
Proto. de
routage
Proto. de
routage
Algo. Algo.
Table de
RoutageTable de
Routage
Routes statiques
Routes directesParamètre
257GRT5-M3-MPLS-VPN-MCast
Composantes du réseau
Dans le contexte du RFC 2547, un VPN est défini par une collection de politiques qui contrôlent la connectivité d’un ensemble de sites.
Un site client est connecté au réseau du SP par un ou plusieurs ports
Le SP associe à chaque port une table de routage VPN appelée VRF ‘VPN Routing and Forwarding’.
259GRT5-M3-MPLS-VPN-MCast
VRF et Multiple Routing Instances
VRF : VPN Routing and Forwarding InstanceVRF Routing Protocol Context
VRF Routing Tables
VRF CEF Forwarding Tables
260GRT5-M3-MPLS-VPN-MCast
Les composantes VPN
La mise en œuvre du service VPN repose sur :
Niveau Infrastructure
Niveau gestion.
261GRT5-M3-MPLS-VPN-MCast
Customer Edge
Le CE (Customer Edge) est l’équipement qui permet l’accès du client au réseau du SP sur une liaison de données à un ou plusieurs routeurs PE.
Typiquement, c’est un routeur qui établit une adjacence avec les PEs où il est directement connecté.
Après l’établissement de l’adjacence, le CE annonce au PE les routes VPN du site local pour qu’il puisse recevoir de ce dernier les routes VPN distantes.
CEBackbone
262GRT5-M3-MPLS-VPN-MCast
Provider Edge
C’est grâce au concept de routeur PE (Provider Edge) implémentant une ou plusieurs VRF qu’il est devenu possible de mettre en place des réseaux d’opérateurs souples et commercialement viables.
Le PE échange les informations de routage avec le CE par le routage statique, RIPv2, OSPF ou eBGP.
Au moment où le PE maintient les informations de routage VPN, il lui est requis seulement de maintenir les routes VPN de ceux qui lui sont directement connectés.
Ce qui contribue fortement à l’amélioration de l’extensibilité du réseau.
263GRT5-M3-MPLS-VPN-MCast
Provider Edge
Chaque PE maintient un VRF à chaque site directement connecté.
Chaque connexion (Frame Relay, LL, ..) est mappée à une VRF spécifique.
D’où la justification du choix d’un port (interface), et non un site, pour l’associer à un VRF.
L’étanchéité des VPNs est rendu possible grâce au maintient par le PE d’une multitude de VRF, rendant la tache aisée la tache de routage et améliorant les performances des équipements de commutation.
Les informations de routage locales aux CE sont utilisées par les routeurs PE pour établir, via iBGP, la connectivité IP.
Cette connectivité sera par la suite traduite en connectivité de label.
264GRT5-M3-MPLS-VPN-MCast
Choix du Provider Edge (PE)
Considerations CPU
QoS Considerations
Critères
Considerations
Mémoire
265GRT5-M3-MPLS-VPN-MCast
Routage entre CE et PE (1)
Comment distribuer les routes apprises ?
1. En utilisant un protocole de routage dynamiqueExemple : RIP, OSPF, etc.
2. Chaque CE d’un VPN(a) doit transmettre à son ou ses PE pairesLes routes apprises pour atteindre les sous‐réseaux localisées sur son site
3. En retour, le ou les PE paires doivent annoncer au CE en questionLes routes à suivre pour atteindre les sous‐réseaux localisés sur d’autre sites, mais appartenant au même VPN(a)
Ces routes seront transmises depuis d’autres PE connectés à des CE du même VPN(a)
266GRT5-M3-MPLS-VPN-MCast
PE1
CE
CE
Site-2
Site-1
EBGP,OSPF, RIPv2,Static
Routage entre PE et CE (2)
VPN Backbone IGP (OSPF, ISIS)
CE
Site-3
Transmission à PE2de la table de routage de CE3
permettant d’ atteindreles sous-réseaux du site 3
PE2
Transmission à CE3des tables de routage de CE1 et CE2
reçus depuis PE1 et permettant d’ atteindre les sous-réseaux des
sites 1 et 2
267GRT5-M3-MPLS-VPN-MCast
Le routeur P
Le routeur P n’est connecté à aucun CE Le routeur P est n’importe quel routeur situé dans le backbone, qui n’est connecté à aucun CE.
Le P fonctionne en MPLS transit (LSRs) quand il achemine un trafic VPN entre PEs.
Les P sont chargés du maintien des routes au PE, et non du maintien d’information spécifique de routage pour les sites clients.
268GRT5-M3-MPLS-VPN-MCast
Choix du Provider Router (P)
Considerations CPU
Considerations
PE Considerations
Mémoire
269GRT5-M3-MPLS-VPN-MCast
Routage entre PE (1)
Problème poséImpossible de distribuer directement les tables de routage des CE
Les sites des différents VPN peuvent en effet utiliser les mêmes systèmes d’adressage privés
270GRT5-M3-MPLS-VPN-MCast
Routage entre PE (2)
VPN_A
VPN_A
VPN_B
10.3.0.0
10.1.0.0
11.5.0.0
P P
PP
CE
CE
CE
VPN_A
VPN_B
VPN_B
10.1.0.0
10.2.0.0
11.6.0.0
CE
PECE
CE
VPN_A
10.2.0.0
CE
PE
PE
PE
274GRT5-M3-MPLS-VPN-MCast
Routage entre PE (2)
VPN_A
VPN_A
VPN_B
10.3.0.0
10.1.0.0
11.5.0.0
P P
PP
CE
CE
CE
VPN_A
VPN_B
VPN_B
10.1.0.0
10.2.0.0
11.6.0.0
CE
PECE
CE
VPN_A
10.2.0.0
CE
PE
PE
PE
278GRT5-M3-MPLS-VPN-MCast
BGP Synthèse
BGP est un protocole qui peut fonctionner en IGP et EGP
Les routeurs internet sont partagés en groupe pour diminuer le trafic de routage
Messages BGP
Initialisation
Mise à jour
Notification d’erreur
BGP utilise une connexion TCP
BGP est riche en attributs : mise en œuvre du routage par politique
279GRT5-M3-MPLS-VPN-MCast
Le modèle conceptuel de BGP
Peer[1]Import filter
AttributemanipulationPeer[N]
Import filterAttribute
manipulation
BGP MsgsPeer[N]
BGP MsgsPeer[1]
Import filter(Peer[i])Determine quels Msgs BGPSont acceptables à partir Peer[i]
BGP Loc-RIB
Toutes les routes
acceptables
Une meilleure Route Pour
Chaque Destination
Processde
décision
BGP Routing Information BaseContient toutes les routes acceptables apprises à partir des voisins + routes internes�BGP decision process selectsLa meilleure route vers chaque destination
Export filter(Peer[i])Determines whichroutes can be sent to Peer[i]
Peer[1]Export filter
Attributemanipulation
Peer[N]Export filter
Attributemanipulation BGP Msgs
Vers Peer[N]
BGP Msgs versPeer[1]
280GRT5-M3-MPLS-VPN-MCast
BGP Attributes
• BGP attributes :– AS‐path *
– Next‐hop *
– Local preference
– Multi‐exit‐discriminator (MED)
– Origin *
– Community
* = Well‐known mandatory attribute
281GRT5-M3-MPLS-VPN-MCast
L’algorithme de Selection de route BGP
• Pour une route synchronisée ayant un next-hop valide (pas de boucles) :
1. Utilise weight le plus élevé (local au routeur)
2. Utilise local preference le plus élevé
3. Le routeur est à l’origine de la route (network, redistribute puis aggregate)
4. Utilise le plus court AS-path (sauf si BGP ‘best path as-path ignore’)
5. Utilise le plus faible Origin code (IGP < EGP < incomplete)
6. Utilise le plus faible MED (pour les as-path qui commence par le meme AS sauf si BGP ‘always-compare-med’)
7. Utilise chemin EBGP puis chemin IBGP (interne ou EBGP Intra-confederation)
8. Utilise le chemin utilisant le plus proche IGP neighbor
9. Pour l’IBGP le chemin le plus vieux (sauf si BGP ‘bestpath compare-routerid’. Il y a load-sharing si maximum-path n’
10. Pour l’IBGP le metric igp le plus faible
11. Utilise le voisin avec le ‘BGP router id’ le plus faible
282GRT5-M3-MPLS-VPN-MCast
Le modèle conceptuel de BGP
Peer[1]Import filter
AttributemanipulationPeer[N]
Import filterAttribute
manipulation
BGP MsgsPeer[N]
BGP MsgsPeer[1]
Import filter(Peer[i])Determine quels Msgs BGPSont acceptables à partir Peer[i]
BGP Loc-RIB
Toutes les routes
acceptables
Une meilleure Route Pour
Chaque Destination
Processde
décision
BGP Routing Information BaseContient toutes les routes acceptables apprises à partir des voisins + routes internes�BGP decision process selectsLa meilleure route vers chaque destination
Export filter(Peer[i])Determines whichroutes can be sent to Peer[i]
Peer[1]Export filter
Attributemanipulation
Peer[N]Export filter
Attributemanipulation BGP Msgs
Vers Peer[N]
BGP Msgs versPeer[1]
283GRT5-M3-MPLS-VPN-MCast
Connectivité
Le modèle MPLS‐VPN se base sur un contrôle plus granulaire des informations de routage par l’ajout de deux mécanismes supplémentaires à savoir :
le Multiples Forwarding Tables
Au niveau d’un PE, chacune de ses VRFs est associée à un ou plusieurs de ses ports (interfaces/sous interfaces) qui le connectent directement au site client.
Si un site donné contient des machines qui sont membres dans plusieurs VPNs, la VRF associée au site client contient alors des routes pour tous les VPNs dans lesquels ce site est membre.
le BGP extended communities.
La distribution des informations de routage est conditionnée par l’usage des nouveaux attributs du BGP que sont les Extended Communities.
284GRT5-M3-MPLS-VPN-MCast
Connectivité
BGP extended communities
Ces attributs font parties des messages BGP en tant qu’attributs de la route.
Ils identifient la route comme appartenant à une collection spécifique de routes et qui font objet de la même politique de traitement.
Chaque attribut BGP Extended Community doit être globalement unique et ne peut alors être utilisé que par un seul VPN.
Les attributs BGP Extended Communities utilisés sont de 32 bits.
L’utilisation de ces 32 bits vise l’amélioration de l’extensibilité des réseaux d’opérateurs à 232 communities. Par ailleurs et puisque l’attribut contient l’identificateur du système autonome du SP, il peut aussi servir pour contrôler l’attribution locale tout en maintenant son unicité.
285GRT5-M3-MPLS-VPN-MCast
Connectivité
Trois types d’attributs BGP Extended Communities sont utilisés :
Le RT (Route Target) qui identifie une collection de sites VFRs à qui le PE distribue les routes. Un PE utilise cet attribut pour contraindre l’import de routes vers ses VRFs.
Le VPN-of-origin qui identifie une collection de sites et établit la route associée comme venant d’un des sites de l’ensemble.
Le Site-of-origin qui identifie le site spécifique duquel le PE apprend une route. Il est encodé comme attribut de « route originextended community », qui peut être utilisé pour prévenir les boucles de routage.
286GRT5-M3-MPLS-VPN-MCast
Routage entre PE (1)
Solution proposéeUtiliser des extensions de BGP (Border Gateway Protocol)
MP-iBGP = entre PE d’un même AS (MP=MultiProtocol, i=interior)
MP-eBGP = entre PE de différents AS (e=exterior)
Distribuer non pas des adresses IP, mais des adresses IP-VPN<composées de deux éléments
Un identifiant appelé RD (Route Distinguisher) composé
D’ un identifiant de FAI (ex : numéro AS de système autonome)
D’ un identifiant de VPN : RT
Une adresse de sous-réseau
Située à l’intérieur du VPN identifié au sein du RD
287GRT5-M3-MPLS-VPN-MCast
VPN : MP-iBGPMultiple Protocol - internal BGP
Extension du protocole BGP v4nouvelle capability : vpn_ipv4
AFI/SubAFI = 1/128 identifie la famille de routes vpn_ipv4
Rappel : AFI/SubAFI =1/1 identifie la famille de routes ipv4 unicast
Nouveau format de routeRoute Distinguisher + préfixe IP v4
Fonctionnement similaire à l'iBGP classiqueIGP nécessaire
routeurs iBGP fully meshed
route reflectors …
288GRT5-M3-MPLS-VPN-MCast
Connectivité
En mode opérationnel, et avant de distribuer ses routes locales aux autres PEs, le PE d’entrée affecte un RT à chaque route apprise par les sites directement connectés, qui est basé sur la valeur de la politique cible d’export configurée.
Cette approche offre une flexibilité énorme dans la mesure où un PE peut attribuer un RT à une route.
Le PE d’entrée (ingress) peut ainsi être configuré pour assigner un seul RT à l’ensemble des routes apprises d’un site donné, ou d’assigner un RT à un groupe de routes apprises d’un site et autres RT aux autres routes apprises d’un autre.
289GRT5-M3-MPLS-VPN-MCast
Connectivité
Avant d’installer les routes distantes distribuées par un PE, chaque VRF dans un PE sortant (egress) est configurée avec une politique import cible.
Un PE peut uniquement installer une route VPNv4 dans une VRF si le RT transporté avec la route correspond à une VRF import cible.
Cette approche permet à un SP d’utiliser un seul mécanisme pour servir les clients ayant une large politique de connectivité inter sites. Par le biais d’une configuration sereine d’Import Target et Export Target, le SP peut alors construire différents types de topologies VPN :
maille complète,
maille partielle,
Hub,
Spoke, ….
290GRT5-M3-MPLS-VPN-MCast
Overlapping
Ainsi, la famille d’adresses VPNv4 a été adoptée comme solution à la problématique d’overlapping.
Une adresse VPNv4 est formée de 12 Octets.
8 octets composent le RD ‘Route Distinguisher’ suivi des octets de l’adresse IPv4.
Type Field Administrator field Assigned Number Subfield
2 octets 6 octets
Format de l’extension d’adresse VPN v4
291GRT5-M3-MPLS-VPN-MCast
VPN : MP-iBGP
Route vpn_ipv496 bits (64 + 32)
64 bits pour le Route Distinguisher RD
32 bits pour le préfixe ip_v4
Update MP-iBGProute vpn_ipv4
les attributs BGP standards (AS_path, Local Pref, MED, …)
attribut SOO Site Of Origin
attribut Route Target RT : identifie le VPN
attribut Route Origin : identifie le CE origine de la route
Tag Externe : émit par le PE d'origine
293GRT5-M3-MPLS-VPN-MCast
label VPN : MP-iBGP
PE-1 apprend les routes du site-1Elles sont intégrées dans la VRF verte
Celle-ci est identifiée par le Route Target RT
La VRF verte est redistribuée dans le domaine MP-iBGPen ajoutant le RD pour fabriquer une route vpn_ipv4 unique
en ajoutant le RT et le SOO (site of origin)
PE-1
Réseau Tag switching
PE-2
P P
P P
CE-1
Site-2
Site-1
CE-2eBGP, RIPv2OSPF, static
Session MPiBGP
294GRT5-M3-MPLS-VPN-MCast
Label VPN : MP-iBGP
PE-2 reçoit la route de PE-1récupère le préfixe ipv4
l'intègre dans la vrf verte (grâce au RT)
next-hop = PE-1
PE-2 redistribue les routes de CE-1 à CE-2RIPv2, BGP, OSPF
next-hop PE-2
PE-1VPN Backbone IGP
PE-2
P P
P PBGP,RIPv2 update pour Net1,Next-Hop=CE-1
CE-1
Site-2
VPN-IPv4 update:RD:Net1, Next-hop=PE-1SOO=Site1, RT=Vert, Label=(intCE1)
VPN-IPv4 update traduit en IPv4 (Net1) et inséré dans VRF Vert car RT=Vert puis annoncé à CE-2
Site-1
CE-2
296GRT5-M3-MPLS-VPN-MCast
Problématique
Comment faire acheminer un paquet issu d’un site VPN vers un autre site du même VPN ?
comment partager l’infrastructure public entre des sites privés ?
297GRT5-M3-MPLS-VPN-MCast
VPN : Différents label
Identification du PE de sortie
Routage inter-PEs
un premier label
Traité par les Ps
Service de routage
Identification du routeur virtuel de sortie
Routage inter-VPN
Un deuxième label
Traité par les PEs
Service VPN
298GRT5-M3-MPLS-VPN-MCast
VPN : Différents label
label Interneutilisé par Tag Switching (routeurs P et PE)
label Externeutilisé pour identifier le VPN d'une trame IP (routeurs PE)
égal au RT
VPN_A
VPN_B
VPN_A
VPN_A
site 1 VPN_B
10.2
10.3CE
PE
PE2
P P
PP PE
CE1
CE
CE
CE2
CE
T7T8T9TaTb
TuTwTxTyTz
T8, Tw
outin /
Data
PE1
site 2 VPN_B
data
data
Data
data
data
299GRT5-M3-MPLS-VPN-MCast
VPN : Envoi d'une trame
Paquet : 10.2.1.1 vers 11.5.1.1 (VPN-A)Routé par CE-A1 vers le PE-1
Traversée de PE-1PE-1 connaît le VPN par interface d'entrée => le label externe RT
PE-1 connaît le next-hop PE-2 grâce à la VRF => le label interne (LFIB)
Encapsulation du paquet avec les deux labels
Envoi vers PE-2 à travers le réseau label Switching
VPN_A
VPN_A
VPN_B10.3.0.0
10.1.0.0
11.5.0.0
P P
PP
CE
CE-A2
CEVPN_A
VPN_B
VPN_B
10.1.0.0
10.2.0.0
11.6.0.0
CE
PE-1CE
CE
VPN_A10.2.0.0
CE-A1
PE
PE-2
PE
300GRT5-M3-MPLS-VPN-MCast
Tag VPN : Réception d'une trame
Paquet reçu par PE-2
Suppression du label Interne par le P de sortie
Suppression du label Externe => RD récupéré
Avec RD, utilisation du bon VRF
PE-2 route le paquet vers CE-A2
VPN_A
VPN_A
VPN_B10.3.0.0
10.1.0.0
11.5.0.0
P-2P-1
CE
CE-A2
CEVPN_A
VPN_B
VPN_B
10.1.0.0
10.2.0.0
11.6.0.0
CE
PE-1
CE-B1
CE
VPN_A10.2.0.0
CE-A1
PE
PE-2
PE
S-1
302GRT5-M3-MPLS-VPN-MCast
Commutation de labels
Utilisation de deux niveaux de labels
Un premier niveau de label
Utilisé par les PE pour atteindre les PE apparaissant comme prochain saut dans leurs tables de routage
Un deuxième niveau de label
Utilisé par les PE pour atteindre le bon CE
Chaque PE allouera un label à chaque CE/VPN auquel il est connecté
Distribution des labels
Utilisation de LDP à l’ intérieur du backbone
Entre routeurs P et PE, ou P et P
Utilisation de MP-BGP
Entre routeurs PE en transmettant simultanément routes et labels
306GRT5-M3-MPLS-VPN-MCast
PE2
PE1
CE1CE2
P1 P2
CE3
CE4
Architecture MPLS/VPN-IP
VPN_B10.1.0.0VPN_A
11.5.0.0
VPN_A10.1.0.0
VPN_B11.5.0.0
PE1 affecte une pile de 2 labels :• le premier label qui caractérise le VPN• Le deuxième label pour l’établissement du
LSP
P1:• Traite les deux paquets de la même manière• Change la tête de la pile de label
P2:• Élimine la tête de la pile• Délivre les paquets avec un seul label au PE2
PE2:• Élimine l’entête MPLS• Délivre les paquets au CE2
308GRT5-M3-MPLS-VPN-MCast
VPN Selection
20.1.1.1
30.1.1.1
40.1.1.1
ISP1 Pool 20.x.x.x
ISP2 Pool 30.x.x.x
ISP4 Pool 40.x.x.x
PE
PE
CE
CE
CE
Broadband Access Network
MPLSVPN
VPN1
VPN2VPN2
VPN3VPN3
VPN1
VPN2
VPN3
PE
309GRT5-M3-MPLS-VPN-MCast
Apports du MPLS VPN
La mise en place du service MPLS-VPN profite pleinement des avantages de l’architecture MPLS en terme séparation des plans logiques et physiques à savoir :
L’absence de contraintes sur le plan d’adressage adopté par chaque VPN client. Le client peut ainsi utiliser un adressage publique ou privé. Pour le SP, plusieurs clients peuvent utiliser les mêmes plages d’adresses.
Du fait que le modèle adopté est le Network Based layer 3 VPN, le CE n’échange pas directement les informations de routage avec les autres CE du même VPN. Les clients ne sont alors pas obligés d’avoir ne parfaite connaissance du schéma de routage utilisé dans le réseau.
Les clients n’ont pas un backbone virtuel à administrer. De ce fait, la tache de management PE ou P, voire même CE, est une tache de moins.
310GRT5-M3-MPLS-VPN-MCast
Apports du MPLS VPN
Le SP administre un seul réseau mutualisé pour l’ensemble de ses clients.
Le VPN client peut s’appuyer sur un ou plusieurs backbone SP.
Même sans l’utilisation de technique de cryptographie, la sécurité est équivalente à celle supportée par les VPNs de la couche 2 (ATM ou Frame Relay).
Les SP peuvent utiliser une infrastructure commune pour offrir les services de connectivité VPN et Internet.
Conformité au modèle DiffServ.
Une QoS flexible et extensible grâce à l’utilisation des bits EXP de l’entête MPLS ou par l’utilisation du trafic Engineering (RSVP)
Le modèle RFC 2547bis est indépendant du lien de la couche 2.
311GRT5-M3-MPLS-VPN-MCast
Un environnement de marché plus délicatAllongement du cycle de venteBudgets clients plus limités
Évolution de la concurrenceConcentration/Intégration des acteursConcurrence des opérateurs globauxPression concurrentielle en augmentation
Préservation de la margeMarge sur le matériel en baisse
Évolution des métiersRecherche de relais de croissances : VPN IP, VoIP, ToIP, PBXIP, WiFiRisques de désintermédiationEn route vers plus de service : Service Management, Infogérance..Maîtrise de la relation client
Les principales tendances
312GRT5-M3-MPLS-VPN-MCast
Contraintes opérateur et entreprise
Côté opérateur
Une solution technique permettant d’intégrer des nouvelles technologies d’accès (émergence du DSL) et intégrant les évolutions des cœurs de réseau opérateurs (Gigabit Ethernet…)
Topologies d’interconnexion de plus en plus complexes et changeantes au sein d’entreprises plus ouvertes
Entreprises à la recherche de solutions leur offrant :
Coûts
Sécurité
Bonnes performances pour leurs applications métiers
Evolutivité de la solution
313GRT5-M3-MPLS-VPN-MCast
Apports du MPLS VPN
Absence de contraintes sur le plan d’adressage
CE n’échange les informations de routage qu’avec le PE
Le management pour les clients, est une tâche de moins
SP administre un seul réseau mutualisé
Le VPN client peut s’appuyer sur un ou plusieurs backbones SP.
Sécurité est équivalente à celle supportée par les VPNs de la couche 2
Même infrastructure pour les services de connectivité VPN et Internet.
Support de la QoS
Le modèle RFC 2547bis est indépendant du lien de la couche 2.
315GRT5-M3-MPLS-VPN-MCast
Service ProviderMPLS - VPN Network
VPN “B”
VPN “B”VPN “A”
VPN “A”
Avant MPLS/VPN: Managed Shared Services
• Services need to be replicated per VPNPoor efficiencyHigh Traffic LoadManagement nightmare
Services for VPN A Services for VPN B
ERP
InternetGateway
VideoServer
HostedContent
H.323Gatekeeper
ERP
InternetGateway
VideoServer
HostedContent
H.323Gatekeeper
318GRT5-M3-MPLS-VPN-MCast
Conclusion
MPLS est adapté aux besoins du moment VPN,
QOS,
TE
MPLS se base sur l’existant (protocoles) et permet les évolutions futures possibles (IPV6)
MPLS fait partie d’un mouvement d’ensemble vers les NGN
319GRT5-M3-MPLS-VPN-MCast
Quelques référencesLes réseaux
G. Pujolle; Ed: Eyrolles
TCP/IP : Architectures et Protocoles
D. Comer; Ed: Dunod
Les réseaux
A. Tananbew; Ed: Dunod
Le routage dans l’Internet
C. Huitema; Ed: Eyrolles
Interconnexion: Bridges and routers
R. Perlman; Ed: Addison Wesley
OSPF design guide
S. Halabi; Ed: Cisco Press
Internet routing architectures
S. Halabi; Ed: Cisco Press
Réseaux privés Virtuels MPLS-VPN-IP
Prof. Noureddine Idboufker
Version 2010-2011
TerminusMPLS-VPN-IP