Présentation
EnglishRÉSUMÉ
Les L3VPN MPLS, de par leur ancienneté et leur simplicité, sont actuellement les plus répandus au niveau des offres commerciales de type VPN. Mais outre la connectivité de clients type entreprise, les L3VPN sont largement déployés pour mettre en œuvre des services et de la connectivité interne. L’inter AS VPN répond au besoin simple qui se rencontre lorsque deux sites clients d’un VPN se trouvent géographiquement dans des systèmes autonomes distincts. Des mécanismes d’interconnexion sont alors utilisés, ces modèles sont appelés : options A, B, C et D. Le choix entre toutes ces techniques dépend de nombreux critères tels la sécurité, la qualité de service, le passage à l’échelle, la convergence ou la complexité de mise en œuvre.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
David JACQUET : Ingénieur d’études, routage et VPN IP/MPLS – Orange Labs
INTRODUCTION
Les L3VPN MPLS, de par leur ancienneté et leur simplicité, basés sur des technologies bien connues comme MPLS et IP, sont actuellement les offres VPN les plus répandues commercialement.
Les L3VPN MPLS ont été spécifiés pour la première fois en 1999 dans la RFC2547 et mis à jour ensuite par la RFC4364 en 2006. Dans cette dernière version, le paragraphe 10 indique les différentes manières d’interconnecter deux sites VPN alors qu’ils se trouvent géographiquement dans des systèmes autonomes (AS) distincts. Ces systèmes autonomes peuvent être des réseaux de fournisseurs différents ou des réseaux appartenant au même fournisseur, mais transportant des services hétérogènes.
Avant cela, un service VPN MPLS ne pouvait être contenu que dans un seul AS. L’inter AS VPN permet alors à des multiples AS de former un réseau continu et sans couture entre des sites VPN et ainsi de pallier des manques de couvertures géographiques pour connecter ces sites clients.
En L3VPN MPLS, les routeurs PE échangent les routes VPN par le protocole MP-iBGP, soit directement entre eux, soit par l’intermédiaire d’un route-reflector (RR) pour des questions de passage à l’échelle. Ce protocole ne peut pas être établi entre deux AS, il faudra donc utiliser d’autres techniques tout en respectant les critères de choix induits par la connexion d’AS et les contraintes de service comme la sécurité, la qualité de service, la convergence, la disponibilité ou bien le passage à l’échelle.
Cet article décrit les différents modèles pour effectuer de l’inter AS VPN, c’est-à-dire pour interconnecter des VPN d’AS distincts. Ces modèles, appelés options, sont au nombre de 4 :
-
L’option A par des connexions directes entre des VRF déclarés sur les routeurs de bordure de chaque AS. Cette option est souvent appelée « VRF à VRF » ;
-
L’option B par une redistribution des routes VPN qui sera effectuée via MP-eBGP au niveau des routeurs de bordure d’un AS vers l’AS voisin ;
-
L’option C par une session MP-eBGP multi-hop qui est chargée de redistribuer des routes VPN tandis que la continuité MPLS de bout en bout est effectuée entre les ASBR par des protocoles d’échange de labels ;
-
L’option D est une solution hybride qui tente de réunir les avantages des options A et B.
Un tableau récapitulatif des sigles et abréviations est disponible en fin d’article.
MOTS-CLÉS
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
3. Choix d’un modèle
3.1 Critères de choix
La sécurité est une considération importante lorsque deux réseaux (AS) sont interconnectés ensemble. Tout d’abord, il est important de s’assurer que des personnes qui n’ont pas les droits ne peuvent pas accéder aux équipements et d’empêcher ainsi des possibilités de corruption. Quand deux réseaux mettent en place ces types d’interconnexion de VPN, ils doivent avoir confiance mutuellement et ils peuvent vouloir mettre en place des règles de filtrage pour éviter que du trafic non-sollicité puisse arriver sur leurs réseaux respectifs. En outre, il est recommandé que chaque réseau mette en place des filtres de sécurité à l’emplacement de l’interconnexion.
Ensuite, il est aussi nécessaire de s’assurer que l’isolation des VPN est garantie. Il est notamment préférable en termes de sécurité que le plan de transfert de chaque VPN passe par des interfaces (physique ou logique) différentes les unes des autres. Même si le fait de passer par la même interface ne signifie pas que la sécurité n’est pas garantie.
La sécurité dépend évidemment de chaque contexte particulier des réseaux s’interconnectant. En effet, dans un contexte mono-opérateur, les considérations de sécurité ne sont pas forcément de la même importance que dans un contexte multi-opérateurs.
L’option A est la plus sécurisée et la moins invasive de par sa construction selon une segmentation franche des réseaux (VRF à VRF).
Inversement, l’option C est la moins sécurisée et la plus invasive (redistribution des adresses des PE d’un AS à l’autre), il faut que les deux réseaux soient très confiants entre eux pour mettre en place une telle solution.
Entre ces deux options se trouve l’option B qui est moins sécurisée que l’option A, mais nettement plus que l’option C. Seules les adresses des RR doivent être redistribuées d’un AS à l’autre pour établir la session MP-eBGP multi-hop.
L’option D, quant à elle, est plus sécurisée que l’option B car grâce à la configuration de VRF sur les routeurs ASBR, il faut que le route target soit au moins...
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Choix d’un modèle
DANS NOS BASES DOCUMENTAIRES
NORMES
-
Carrying Label Information in BGP-4. - IETF [RFC 3107] – Y. Rekhter, E. Rosen - mai 2001
-
Ingress Filtering for Multihomed Networks. - IETF [RFC 3104] – F. Baker, P. Savola - mars 2004
-
BGP/MPLS IP Virtual Private Networks (VPNs). - IETF [RFC 4364] – E. Rosen, Y. Rekhter - février 2006
-
Multiprotocol Extensions for BGP-4. - IETF [RFC 4760] – T. Bates, R. Chandra, D. Katz, Y. Rekhter - janvier 2007
-
The Accumulated IGP Metric Attribute for BGP. - IETF [RFC 7311] – P. Mohapatra, R. Fernando, E. Rosen, J. Uttaro - août 2014
-
ASBR VRF context for BGP/MPLS IP VPN. - IETF [draft-kulmala-l3vpn-interas-option-d-02] – Marko Kulmala - février 2006
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive