Présentation

Article

1 - CONTEXTE INTER AS VPN

2 - DIFFÉRENTS MÉCANISMES

3 - CHOIX D’UN MODÈLE

4 - CONCLUSION

5 - GLOSSAIRE

Article de référence | Réf : TE7581 v1

Choix d’un modèle
Modèles d’interconnexion d’AS pour le service L3VPN MPLS

Auteur(s) : David JACQUET

Date de publication : 10 avr. 2017

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais English

RÉSUMÉ

Les L3VPN MPLS, de par leur ancienneté et leur simplicité, sont actuellement les plus répandus au niveau des offres commerciales de type VPN. Mais outre la connectivité de clients type entreprise, les L3VPN sont largement déployés pour mettre en œuvre des services et de la connectivité interne. L’inter AS VPN répond au besoin simple qui se rencontre lorsque deux sites clients d’un VPN se trouvent géographiquement dans des systèmes autonomes distincts. Des mécanismes d’interconnexion sont alors utilisés, ces modèles sont appelés : options A, B, C et D. Le choix entre toutes ces techniques dépend de nombreux critères tels la sécurité, la qualité de service, le passage à l’échelle, la convergence ou la complexité de mise en œuvre.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • David JACQUET : Ingénieur d’études, routage et VPN IP/MPLS – Orange Labs

INTRODUCTION

Les L3VPN MPLS, de par leur ancienneté et leur simplicité, basés sur des technologies bien connues comme MPLS et IP, sont actuellement les offres VPN les plus répandues commercialement.

Les L3VPN MPLS ont été spécifiés pour la première fois en 1999 dans la RFC2547 et mis à jour ensuite par la RFC4364 en 2006. Dans cette dernière version, le paragraphe 10 indique les différentes manières d’interconnecter deux sites VPN alors qu’ils se trouvent géographiquement dans des systèmes autonomes (AS) distincts. Ces systèmes autonomes peuvent être des réseaux de fournisseurs différents ou des réseaux appartenant au même fournisseur, mais transportant des services hétérogènes.

Avant cela, un service VPN MPLS ne pouvait être contenu que dans un seul AS. L’inter AS VPN permet alors à des multiples AS de former un réseau continu et sans couture entre des sites VPN et ainsi de pallier des manques de couvertures géographiques pour connecter ces sites clients.

En L3VPN MPLS, les routeurs PE échangent les routes VPN par le protocole MP-iBGP, soit directement entre eux, soit par l’intermédiaire d’un route-reflector (RR) pour des questions de passage à l’échelle. Ce protocole ne peut pas être établi entre deux AS, il faudra donc utiliser d’autres techniques tout en respectant les critères de choix induits par la connexion d’AS et les contraintes de service comme la sécurité, la qualité de service, la convergence, la disponibilité ou bien le passage à l’échelle.

Cet article décrit les différents modèles pour effectuer de l’inter AS VPN, c’est-à-dire pour interconnecter des VPN d’AS distincts. Ces modèles, appelés options, sont au nombre de 4 :

  • L’option A par des connexions directes entre des VRF déclarés sur les routeurs de bordure de chaque AS. Cette option est souvent appelée « VRF à VRF » ;

  • L’option B par une redistribution des routes VPN qui sera effectuée via MP-eBGP au niveau des routeurs de bordure d’un AS vers l’AS voisin ;

  • L’option C par une session MP-eBGP multi-hop qui est chargée de redistribuer des routes VPN tandis que la continuité MPLS de bout en bout est effectuée entre les ASBR par des protocoles d’échange de labels ;

  • L’option D est une solution hybride qui tente de réunir les avantages des options A et B.

Un tableau récapitulatif des sigles et abréviations est disponible en fin d’article.

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

MOTS-CLÉS

interconnexions MPLS VPN AS

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-te7581


Cet article fait partie de l’offre

Réseaux Télécommunications

(141 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais English

3. Choix d’un modèle

3.1 Critères de choix

HAUT DE PAGE

3.1.1 Sécurité

La sécurité est une considération importante lorsque deux réseaux (AS) sont interconnectés ensemble. Tout d’abord, il est important de s’assurer que des personnes qui n’ont pas les droits ne peuvent pas accéder aux équipements et d’empêcher ainsi des possibilités de corruption. Quand deux réseaux mettent en place ces types d’interconnexion de VPN, ils doivent avoir confiance mutuellement et ils peuvent vouloir mettre en place des règles de filtrage pour éviter que du trafic non-sollicité puisse arriver sur leurs réseaux respectifs. En outre, il est recommandé que chaque réseau mette en place des filtres de sécurité à l’emplacement de l’interconnexion.

Ensuite, il est aussi nécessaire de s’assurer que l’isolation des VPN est garantie. Il est notamment préférable en termes de sécurité que le plan de transfert de chaque VPN passe par des interfaces (physique ou logique) différentes les unes des autres. Même si le fait de passer par la même interface ne signifie pas que la sécurité n’est pas garantie.

La sécurité dépend évidemment de chaque contexte particulier des réseaux s’interconnectant. En effet, dans un contexte mono-opérateur, les considérations de sécurité ne sont pas forcément de la même importance que dans un contexte multi-opérateurs.

L’option A est la plus sécurisée et la moins invasive de par sa construction selon une segmentation franche des réseaux (VRF à VRF).

Inversement, l’option C est la moins sécurisée et la plus invasive (redistribution des adresses des PE d’un AS à l’autre), il faut que les deux réseaux soient très confiants entre eux pour mettre en place une telle solution.

Entre ces deux options se trouve l’option B qui est moins sécurisée que l’option A, mais nettement plus que l’option C. Seules les adresses des RR doivent être redistribuées d’un AS à l’autre pour établir la session MP-eBGP multi-hop.

L’option D, quant à elle, est plus sécurisée que l’option B car grâce à la configuration de VRF sur les routeurs ASBR, il faut que le route target soit au moins...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Réseaux Télécommunications

(141 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Choix d’un modèle
Sommaire
Sommaire

    NORMES

    • Carrying Label Information in BGP-4. - IETF [RFC 3107] –  Y. Rekhter, E. Rosen - mai 2001

    • Ingress Filtering for Multihomed Networks. - IETF [RFC 3104] –  F. Baker, P. Savola - mars 2004

    • BGP/MPLS IP Virtual Private Networks (VPNs). - IETF [RFC 4364] –  E. Rosen, Y. Rekhter - février 2006

    • Multiprotocol Extensions for BGP-4. - IETF [RFC 4760] –  T. Bates, R. Chandra, D. Katz, Y. Rekhter - janvier 2007

    • The Accumulated IGP Metric Attribute for BGP. - IETF [RFC 7311] –  P. Mohapatra, R. Fernando, E. Rosen, J. Uttaro - août 2014

    • ASBR VRF context for BGP/MPLS IP VPN. - IETF [draft-kulmala-l3vpn-interas-option-d-02] –  Marko Kulmala - février 2006

    Cet article est réservé aux abonnés.
    Il vous reste 92% à découvrir.

    Pour explorer cet article
    Téléchargez l'extrait gratuit

    Vous êtes déjà abonné ?Connectez-vous !


    L'expertise technique et scientifique de référence

    La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
    + de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
    De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

    Cet article fait partie de l’offre

    Réseaux Télécommunications

    (141 articles en ce moment)

    Cette offre vous donne accès à :

    Une base complète d’articles

    Actualisée et enrichie d’articles validés par nos comités scientifiques

    Des services

    Un ensemble d'outils exclusifs en complément des ressources

    Un Parcours Pratique

    Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

    Doc & Quiz

    Des articles interactifs avec des quiz, pour une lecture constructive

    ABONNEZ-VOUS