MPLS ET LES RESEAUX D ENTREPRISE

Transcription

1 MPLS ET LES RESEAUX D ENTREPRISE

2 2 1. Commutation Génération des étiquettes qui les génère Génération des étiquettes en fonction de quoi Génération des étiquettes propagation Génération des étiquettes en fonction de quoi MPLS et l ingénierie de réseau (TE) MPLS et la QdS MPLS et la QdS : par LSP (L-LSP) MPLS et la QdS : le champ expérimental EXP (E-LSP) MPLS et la QdS : COPS et DEN MPLS et la QdS : cas du service Global IP VPN de FT MPLS et la QdS : 802.1p MPLS et les RPV MPLS et les RPV de base MPLS et les RPV BGP RPV basés sur les routeurs virtuels (VR VPN) RPV hiérarchiques MPLS et les RPV de niveau 2 (VLL, TLS) MPLS et ATM MPLS et la voix MPLS et la sécurité logique Position Exemple : Global Crossing MPLS et l adressage MPLS et le routage MPLS et la haute disponibilité (sécurité physique) MPLS et l optique MPLS et le contrôle de trafic (TE) MPLS et le niveau MPLS et l interconnexion de réseaux MPLS et l inter fonctionnement MPLS et les équipements Qui maîtrise MPLS? MPLS, une bonne réponse à un vrai problème? Quel choix aujourd hui? MPLS (MultiProtocol Label Switching) MPLS est, comme de nombreuses technologies, en même temps en cours de définition et d implémentation. Pour aller où? Pourquoi? Prétendre embrasser l ensemble de la problématique naissante de MPLS est un objectif aujourd hui irréaliste sans tomber dans les raccourcis ou les querelles dogmatiques.

3 3 Mais entre deux visions caricaturales qui permettent d atteindre une certaine sérénité trompeuse :! MPLS, exemple de l approche qui consiste à fuir en avant, mais peu importe pourvu que ce soit dans la galaxie IP,! MPLS, façon de sauver la face pour les idéologues du monde Internet, tout en fournissant les outils nécessairement complexes que réclament les fournisseurs (les opérateurs) qui doivent répondre à la réalité des besoins des entreprises et du monde de la recherche qui s est entre-temps professionnalisé, dans un contexte contractuel précis et contrôlable, il existe bien entendu un juste chemin dont le bon tracé consiste à analyser ce qu est réellement MPLS : une idée de base plus des ajouts opportunistes, à l image du monde IP, au coup par coup, sans vision d ensemble initiale comme cherchait à le faire l ITU 1 avant de lancer une nouvelle technologie, mais avec des lenteurs «bureaucratiques» (dixit Internet) et des ratés aussi (certains de souviendront du RNIS annoncé comme devant résoudre tous les besoins télécom des entreprises). Le succès du monde IP est à rapprocher du pragmatisme qui l emporte actuellement dans de nombreux domaines économiques. Cet article se veut un tour d horizon non partisan sur la réalité de MPLS. 1. Commutation A la base, MPLS est une technologie de commutation très classique qui a deux grandes vertus pour ses promoteurs :! concurrencer l ATM dont le monde IP/Internet n a jamais voulu (cf. les diatribes d un illustre responsable de l IAB contre les bureaucrates de l ITU lorsqu il était à la tête de l IAB),! il est généraliste, surtout vis-à-vis des protocoles de niveau inférieur, comme l ATM, le FR, ethernet. Au-delà de cette simple commutation, toute une série d ajouts a été nécessaire pour que MPLS devienne une solution réaliste, à l instar de l ATM, tout en rappelant que l ATM a été conçu dès le départ avec des objectifs de transport de la voix, de qualité de service, ce qui n est pas le cas de MPLS. Avec le discours marketing des constructeurs et des opérateurs qui, comme à chaque nouveauté technologique, orientent volontairement ou non le discours, ce qu est vraiment MPLS devient confus pour le commun des professionnels. Il en fut de même pour le RNIS, pour l ATM, quelques exemples célèbres de technologies miracles devant résoudre tous les besoins de transport d information. La base de MPLS, la commutation donc, introduit bien entendu une étiquette (label, tag) qui sert à chaque équipement MPLS pour acheminer (forward) chaque unité de donnée entrante : chaque unité de données (PDU, Protocol Data Unit dans le vocabulaire ISO) contient une marque, une étiquette qui en permet l identification, comme un code barre sur un produit. Il n y a pas de différence avec ce que fait un commutateur X25, FR, ATM ou MAC (commutateur de réseau local, commutateur ethernet, LAN switch) ou même un routeur IP, appelé aujourd hui commutateur de niveau 3, surtout dans le haut de gamme. Ces commutateurs MPLS portent le nom de LSR (Label Switch Router 2 ) qui fait référence et à la commutation (switch) et aux étiquettes (label). Les LSR peuvent se faire connaître dynamiquement par des messages Hello échangés sur UDP dans le cadre du protocole LDP qui sera introduit plus loin. 1 2 Sans y réussir nécessairement : l idée de base de l ATM par exemple n intégrait pas toutes les difficultés d adaptation, de dimensionnement auxquelles ont dû faire face ensuite les opérateurs. Label Stack Router chez IBM.

4 4 2. Génération des étiquettes qui les génère MPLS n ayant pas été conçu comme une technologie de bout en bout 3, contrairement à X25, ATM et IP, se pose le problème de la génération des étiquettes. Il n est pas prévu que les systèmes utilisateurs génèrent eux-mêmes une étiquette MPLS car MPLS ne veut pas remettre en cause le standard actuel des réseaux des entreprises qui est basé sur le couple ethernet/ip, bien que la standardisation de MPLS intègre le cas d ethernet 4. Le but essentiel de MPLS est de servir de base, une base autre que l ATM jugé inutile et source de complexité, pour construire des réseaux intersite répondant aux besoins de qualité de service (QdS) des entreprises et permettant aux opérateurs de les dimensionner en conséquence, ce que l on appelle TE (Traffic Engineering, RFC ). L idée de MPLS est qu un réseau opérateur reçoit des paquets non MPLS pour les acheminer avec une technologie MPLS. C est donc à cette frontière client/opérateur que se fait la génération des étiquettes (figure 1). Cette frontière correspond à deux types d équipement, ou plutôt à deux fonctions des équipements raccordés 6 :!" le CE (Customer Edge) chez le client, un cas de C (Customer Premises Equipment),!" le (Provider Edge) qui constitue le point d entrée dans le service MPLS de l opérateur. A ces deux types d équipement s ajoutent, dans la modélisation IETF, les équipements de transit appelés P (Provider router). site client réseau opérateur CE boucle locale ou autre réseau d accès P cœur (core) P couche frontière (edge layer) monde MPLS Figure 1 : le monde MPLS est limité au réseau de l opérateur Cet équipement qui génère les étiquettes a été appelé LER 7 (Label Edge Router, un routeur périphérique) lorsque l on s intéresse à son aspect MPLS ; Cisco l appelle aujourd hui Edge LSR (ELSR) 8. On parle encore plus précisément de LSR d entrée (ingress LSR) pour le LSR qui ajoute l étiquette à un flux entrant, et de LSR de sortie (egress LSR) pour celui qui enlève cette étiquette pour redonner au flux entrant sa nature initiale C est-à-dire utilisée depuis le poste de travail jusqu au serveur dans un cas d échange typique. Nous reparlerons de ce cas de figure dans les services réseau accédés en ethernet, évolution récente des offres des opérateurs. Le document draft-ietf-tewg-qos-routing-01 «Traffic Engineering & QoS Methods for IP-, ATM-, and TDM-based Multiservice Networks» détaille la terminologie, les besoins, les modèles liés au TE. Repris par l ITU-T dans Y LER et LSR sont des fonctions plus précisément. La RFC 3031 précise la terminologie officielle.

5 5 site client réseau opérateur CE LER LSR LSR LER Figure 2 : les fonctions LER et LSR La structure de pile associée aux étiquettes n est pas essentielle à ce niveau de présentation : elle sera vue en temps utile. Soulignons que cette «rupture» protocolaire qui fait apparaître MPLS dans les n a rien de très original ; ainsi le FR n a jamais été envisagé comme un protocole de bout en bout 9 et les étiquettes FR (les DLCI, Data Link Control Information) sont généralement générées au niveau des CE, dans des routeurs typiquement. site client réseau opérateur site client ethernet CE FR CE ethernet monde FR Figure 3 : étiquettes FR générées au niveau des CE en FR 3. Génération des étiquettes en fonction de quoi Au-delà de la vitesse de commutation, faible au niveau des routeurs IP quand MPLS a été imaginé, MPLS est voulu comme une base pour mieux répartir et surtout maîtriser le trafic dans le réseau de l opérateur, via la notion de chemin (path), de faire du TE (Traffic Engineering), ce que ne permet pas de faire facilement IP 10. Aujourd hui on peut dire qu avec les commutateurs de niveau 3, les Giga et Tera routeurs, IP ne présente plus de problème de vitesse de commutation, mais il lui manque toujours des mécanismes de gestion de trafic adaptés à la problématique des opérateurs, mécanismes que remplissent mal les protocoles de routage comme RIP, OSPF, BGP pour les plus connus. MPLS étant apparu entre-temps, on a préféré ajouter à MPLS ces mécanismes de TE, le tour de IP étant passé du fait de sa faiblesse temporaire dans la commutation 11. Soulignons que le MP de MPLS se veut plus Mentionnons cependant les frontaux (FEP) d IBM qui disposent de portes FR et peuvent être considérés comme faisant partie d un système d extrémité (ES, End System). IP est réputé concentrer le trafic sur un même chemin, bien que sa force soit de pouvoir modifier en permanence la «route» suivie. La prise en compte de la charge des liens est possible dans peu de protocoles de routage (EIGRP par exemple) et est généralement peu recommandée. Mentionnons les tests récents de Light Reading où le M160 de Juniper est plus performant en IP qu en MPLS si on lui soumet une charge représentative de la réalité (Imix, Internet mix) : son débit, au sens de la RFC 1242, passe de 90 % en IP à 88 % en MPLS sur des interfaces OC192c (STM-64 en SDH).

6 6 général que IP, même si les réalisations visent principalement IP aujourd hui et correspond mieux à MonoProtocol qu à MultiProtocol. Les étiquettes vont être associées aux besoins des clients : un flux de paquets issu d un réseau r et destiné à un réseau s va faire l objet d un étiquetage, d un marquage au niveau MPLS, pour être ensuite reconnu par l ensemble des acteurs MPLS dans le réseau. On verra plus loin que des considérations de QdS (Qualité de Service) peuvent intervenir aussi. L étiquette que va générer un LER sera donc fonction du flux de trafic entrant dans le /LER. Toutes les caractéristiques d un flux entrant peuvent être prises en compte pour déterminer cette étiquette : la porte d entrée dans le, les adresses IP, le champ TOS, la longueur du paquet, les numéros de porte TCP, etc. Ceci ressemble fortement à ce que l on connaît dans les routeurs avec les listes d accès, le routage par les règles (Policy Routing, PR), la fonction CAR (Committed Access Rate) chez Cisco. Parler d associer un flux à une étiquette constitue un raccourci car la valeur de l étiquette peut en fait changer au niveau de chaque LSR, comme dans tout réseau utilisant des commutateurs et des étiquettes avec une portée locale à la porte d un commutateur 12 (cas de X25, FR, ATM, mais pas de IP ni de MAC où l étiquette est une adresse et non un identifiant de connexion). Pour caractériser un flux, MPLS emploie la notion de FEC (Forwarding Equivalent Class), la classe des paquets qui suivent tous la même règle d acheminement et donc, on le verra plus loin, le même chemin. 4. Génération des étiquettes propagation Nous venons de voir où et en fonction de quoi une étiquette MPLS était générée. L étiquette représente donc un flux et il faut que tous les LSR traversés par ce flux le reconnaissent. Ceci peut être réalisé de plusieurs façons :!" de façon manuelle (provisioned, via le plan d administration), équivalente au routage statique dans le monde natif de IP,!" de façon dynamique, lors de la création de l étiquette ou a priori. Bien que nombre de présentations détaillent une création d étiquette provoquée par l apparition d un flux de datagrammes IP, dans la pratique, les étiquettes sont propagées dès le démarrage du réseau, en fonction de la configuration du réseau et de l établissement des tables de routage classiques (c est-à-dire hors contexte MPLS). Ainsi, un annoncera à tous les LSR adjacents une étiquette pour chaque réseau IP vers lequel il peut acheminer des paquets IP de façon classique : dans la figure 4, 1 annoncera à P1 et P2 qu il achemine les datagrammes IP vers les réseaux et avec les étiquettes MPLS 100 et 200 respectivement. P1, P2, P3 et P4 propageront à leur tour la même information à leurs voisins et in fine (figure 5), le meilleur chemin entre 2 et 1 sera choisi pour acheminer les échanges de vers par exemple, ce qui permet de souligner la nature unidirectionnelle des chemins MPLS, comme celle des tunnels de RSVP ; le FR et l ATM sont aussi de nature unidirectionnelle. Ce meilleur chemin est défini avec la même métrique que le routage IGP 13 qui est utilisé dans le réseau opérateur : tous les i et Pi ont une pile IP et un protocole de routage classique qui les amène à établir des tables de routage classiques du monde IP. Tout ce qui est visible du monde IP est donc un équipement IP, un routeur ou un équipement doté des fonctions de base d un routeur Ou plus précisément locale au lien entre deux LSR adjacents (reliés directement par un lien physique). En fait, contrairement à la plupart des autres technologies à étiquette, MPLS définit deux portées pour les étiquettes (RFC 3036) : une portée locale à un lien (cas des liens FR ou ATM), une portée locale à un LSR ; dans le dernier cas les étiquettes sont partagées par toutes les interfaces du LSR. Rappelons que dans le FR une option permet d avoir des DLCI uniques au niveau de tout un réseau. Internal Gateway Protocol, terme générique correspondant à RIP, OSPF ou IS-IS par exemple.

7 7 site client CE : :200 P1 P3 2 site client CE : :200 P2 P Figure 4 : propagation des étiquettes site client CE : : : :200 P1 P : :210 P4 P : : : : : : : : : :230 2 site client CE Figure 5 : propagation des étiquettes 5. Génération des étiquettes en fonction de quoi Ce meilleur chemin, établi entre, est appelé LSP (Label Switched Path) en MPLS 14. Il correspond à une photo à un instant donné de la route que suivrait un datagramme IP dans un réseau IP Démarrage d un réseau MPLS 1. configuration des (réseaux utilisateurs raccordés à chaque ), 2. l IGP établit les tables de routage classiques, 3. LDP démarre sur les interfaces où il a été configuré, 4. création des sessions LDP entre partenaires (peering), conventionnel. MPLS ne fait ainsi que formaliser, figer un chemin qui n existe pas réellement dans le concept IP. Il convient de souligner le choix d un mode totalement opposé à la philosophie IP où la notion de chemin défini a priori est bannie. La notion de route en IP correspond à une direction à prendre en un lieu donné, à un moment donné, le chemin est une constatation a posteriori du parcours suivi, sans que, pour un paquet entrant, il y ait un chemin prédéterminé, toujours le même : la route qui sera suivie dépendra à chaque instant de ce qui se passe localement dans le réseau. Tous les échanges qui permettent de propager des étiquettes relèvent d un nouveau protocole créé pour MPLS, LDP (Label Distribution Protocol, RFC 3036). LDP est implémenté depuis deux ans bientôt. Sur les routeurs Cisco on trouve encore des LSP établis par TDP (Tag Distribution Protocol), protocole propriétaire, fonctionnellement équivalent à LDP, implémenté depuis trois ans environ. 14 Dans le contexte des extensions RSVP qui seront abordées plus loin, on parle de «tunnel LSP» pour un LSP.

8 8 LDP utilise UDP pour les échanges Hello déjà mentionnés qui permettent aux LSR de se faire connaître dynamiquement. Pour les échanges d étiquettes, LDP utilise des sessions TCP entre LSR adjacents (figure 6), sur la porte 646 dans les deux cas. site client TCP CE LSR LSR TCP TCP TCP sessions entre LSR adjacents Figure 6 : sessions TCP de LDP Nous n aborderons pas ici l ensemble des modes de distribution des étiquettes : ils n apportent pas grand chose à la compréhension de MPLS. 6. MPLS et l ingénierie de réseau (TE 15 ) On le voit, LDP, donc MPLS, n apporte rien en terme de QdS ou de dimensionnement de réseau (TE). L aspect TE correspond à deux approches :! une extension de LDP, appelée CR-LDP où CR correspond à la notion de «routage basé sur les contraintes» (Constraint based Routing), notion que l on retrouve, dans le monde IP, dans le routage par les règles (PBR, Policy Based Routing) ou encore dans le routage par la source (source routing).! RSVP 16 -TE 17 (Resource reservation Protocol) : TE a été ajouté à RSVP pour indiquer qu il s agit d un RSVP modifié dans le but de répondre à la problématique des opérateurs, dimensionner au mieux leurs réseaux. Il n est pas surprenant de trouver RSVP ici puisque RSVP lui aussi est lié à la construction de chemin, appelé tunnel dans le contexte RSVP, dans un modèle d approche de la QdS sur IP qui s appelle services intégrés (IntServ, Integrated Services 18 ). Ce qui peut surprendre 19 est cette parenté IntServ puisque en terme de QdS la tendance 20 est plutôt à DiffServ 21 et à des ajouts correspondants à RSVP, comme on le verra par la suite. Insistons cependant sur le fait que si RSVP est fait pour un réseau de routeurs IP, ici il s agit de LSR, des équipements qui n interviennent pas au niveau IP (qui n utilisent pas l en-tête IP) pour la commutation MPLS 22. Cisco traite de «quantitatif» 23 le RSVP IntServ et de «qualitatif» ou RSVP+ le RSVP DiffServ. RSVP+ devient ainsi le protocole de signalisation utilisé dans un contexte par aileurs DiffServ Le document de travail de l IETF «draft-ietf-tewg-principles-02.txt : Overview and Principles of Internet Traffic Engineering» présente en détail les notions liées au TE. RSVP est spécifié dans la RFC Qualifié aussi d extension à RSVP pour les tunnels LSP. Actuellement défini dans un document de travail draft-ietf-mpls-rsvp-lsp-tunnel-08.txt de février 2001 qui expire en août Le modèle IntServ est défini dans la RFC Nombre de présentations passées, en particulier par Cisco, tendaient à démontrer que IntServ et RSVP ne convenaient pas car relevant d une technologie non incrémentale (scalable). On voit maintenant des

9 9 CR-LDP et RSVP-TE utilisent le routage explicite appelé routage par la source (source routing) en IP : les nœuds du chemin sont définis dans le message d ouverture (PATH dans RSVP) envoyé par un client vers un serveur qui réserve en réponse les ressources nécessaires (par un message RESV avec RSVP), de façon exhaustive (tight) ou partielle (loose). Juniper et Cisco se sont faits les avocats de RSVP-TE et il semble qu il n y a pas d implémentation de CR-LDP réellement en exploitation. La littérature tend cependant à mettre les deux protocoles sur un pied d égalité. DS-TE 24 (DiffServ aware Traffic Engineering) de Cisco correspond à l intégration de DiffServ dans TE. Dans la pratique, le TE est plus un objectif qu une réalité. Dans les pays développés, les réseaux MPLS sont construits sur une bande passante très sous-utilisée 25 et les LSP sont créés par LDP. Créer un chemin de façon explicite (ER, Explicit Routing) avec RSVP-TE représente un travail manuel (provisioning), même si des scripts permettent un minimum d automatisation via le plan d administration. Le seul aspect d automatisme qui rapproche RSVP de PNNI (Private Network to Network Interface) en ATM par exemple est la réservation de bande passante 26 : RSVP peut automatiquement créer un chemin de n Mbit/s ; ceci serait surtout utilisé pour la fonction associée de suivi de la bande passante réellement utilisée (autobandwidth 27 chez Cisco). Les LSP créés avec CR-LDP ou RSVP-TE sont qualifiés de TE-LSP (Traffic Engineered LSP) ou de ER-LSP (Explicitly Routed LSP), ceux créés avec LDP sont dits «control-driven» ou «saut par saut» (hop by hop) articles d expert démontrant le contraire, que RSVP est bien incrémental. Ce n est pas le seul retournement de situation que l on a pu relever dans le contexte de MPLS. Il contribue à conforter la prudence des utilisateurs vis-à-vis de choix technologiques qui sont dépeints blancs ou noirs selon un contexte qu ils ne maîtrisent pas. Tendance affichée qui n empêche pas certains opérateurs de penser que DiffServ ne s imposera pas. Modèle défini dans la RFC 2475 avec 2 types de services, EF (Expedited Forwarding, RFC 2598) et AF (Assured Forwarding, RFC 2597). Ces modèles IntServ et DiffServ s ajoutent au meilleur effort (BE, Best Effort) de base du monde IP. Ils interviennent bien entendu au niveau IP, comme nous l avons dit précédemment, via les échanges IGP en particulier, pour construire la base sur laquelle MPLS peut ensuite se déployer à son tour. Quantitatif fait référence à des applications téléphoniques, vidéo et conduit à des réservations d une quantité spécifique de ressources («Qualitative QoS, supporting notes for demonstration of qualitative QoS functionality from Microsoft, Cisco and SAP», octobre 1999). Microsoft et Cisco parlent de service qualitatif (Qualitativ Service) pour RSVP plus DiffServ. Une des composantes de MPLS GB (Guaranteed Bandwidth), avec AutobandWidth et FRR (Fast ReRoute), annoncé par Cisco en avril 2001 pour offrir des bandes passantes garanties. Voir draft-lefaucheur-diffte-protro-00.txt (juillet 2001). Un opérateur comme Sprint indique que ses artères (trunk) sont utilisées à moins de 15 % de leur capacité (sur des périodes d observation de 5 mn), et jamais au-delà de 50 %, seuil à partir duquel il y a mise à niveau. Il n en va pas de même dans les pays moins développés, et il est amusant de voir les argumentations opposées d un même opérateur, selon le pays considéré. Il est cependant difficile de se faire une opinion sur le sujet, Juniper indique que les ISP utilisent beaucoup le TE. KPNQwest (01 Réseaux de septembre 2001) justifie ainsi son choix de IPSec par le fait que MPLS ouvre la possibilité du TE, mais que les capacités actuelles du réseau KPNQwest n en ont pas besoin. Chez Cisco, ces requêtes RSVP font appel dans l IOS au SBM (Subnetwork Bandwith Manager) qui peut réserver des ressources au niveau 2 (d où «subnetwork» dans SBM). Mécanisme qui permet de mesurer le taux d utilisation d un tunnel RSVP sur une période paramétrable, puis de le retailler en fonction du débit réellement observé afin d améliorer l utilisation du réseau, un des objectifs du TE.

10 10 Chez Juniper entre autres, on distingue les LSP créés via LDP et RSVP-TE, l acheminement sur ces derniers étant priorisés par rapport aux premiers, indépendamment de toute prise en compte de QdS DiffServ. couche 4 CR-LDP TCP pour la distribution des étiquettes, UDP pour la découverte des LSR chemin explicite explicite bande passante entre partenaires (peer) MPLS TE-RSVP UDP ou rien (raw IP) plus élevée (rafraîchissement). Améliorations via «multi-ldp» haute disponibilité problème général de TCP supérieur mémoire pour stocker un peu plus faible ~ 500 octets par LSP l état des LSP Tableau 1 : quelques éléments de comparaison de CR-LDP et RSVP-TE site client réseau opérateur CE TOS positionné LSR LSR LSP choisi en fonction de TOS monde MPLS Figure 7 : marquage et choix de LSP dans le mode L-LSP

11 11 Network Survivability Considerations for Traffic Engineered IP Networks A Traffic Engineering MIB The Notion of overbooking and Its Application to IP/MPLS Traffic Engineering Traffic Engineering & QoS Methods for IP-, ATM-, & Based Multiservice Networks Requirements for support of Diff-Serv-aware MPLS Traffic Engineering Traffic Engineering Extensions to OSPF A Scalable and Hybrid IP Network Traffic Engineering Approach New TE LSAs to extend OSPF for Traffic Engineering Accomplishing Diffserv TE needs with Current Specifications Use of IGP Metric as a second TE Metric Alternative Technical Solution for MPLS DiffServ TE Protocol extensions for support of Diff-Serv-aware MPLS Traffic Engineering Network Hierarchy and Multilayer Survivability Bandwidth Accounting for Traffic Engineering A Framework for Internet Network Engineering Overview and Principles of Internet Traffic Engineering A Framework for Internet Traffic Engineering Measurement Network Hierarchy and Multilayer Survivability Applicability Statement for Traffic Engineering with MPLS Protocol extensions for support of Diff-Serv-aware MPLS Traffic Engineering TCP Extended Statistics MIB Tableau 2 : documents de travail du groupe de travail TE de l IETF en mars MPLS et la QdS Nous venons de voir les principales caractéristiques de base de MPLS (RFC 3031) :!" la notion d étiquette, analogue à celle de X25, FR ou ATM.!" la notion de FEC, un flux, un ensemble de paquets traités de façon identique dans le réseau MPLS.!" la notion de LSP, le chemin suivi par un flux donné, par une ou plusieurs FEC.!" la notion de LDP pour la distribution des étiquettes. Nous avons vu que le TE constituait déjà un ajout à cette base. La QdS en est un autre, et nous l avons évoquée plus haut pour nous référer à des finalités concrètes, pour dire qu un flux était associé à un chemin qui permettait de mettre en place les mécanismes assurant la QdS promise à ce flux. C est là un premier exemple de positionnement de MPLS vis-à-vis de la QdS, sans oublier qu initialement MPLS n a pas été conçu pour des aspects de QdS, mais pour des raisons de performance : la QdS dans MPLS est donc bien un ajout et on le voit encore dans le fait que l en-tête MPLS dispose d un champ associé à la QdS, mais qualifié d expérimental (EXP). On trouve deux approches de la QdS avec MPLS :!" L-LSP : le choix du chemin est fait en fonction de la QdS du flux passant sur ce chemin.!" E-LSP : le mode associé au champ expérimental (EXP) de trois bits.

12 12 MPLS étiquette chemin (LSP) base LDP TE RPV RSVP-TE CR-LDP routage (MP-BGP) extensions adressage (RD) QdS BGP associations (RFC 3107) multicast MP-BGP (RFC 2858) 7.1. MPLS et la QdS : par LSP (L-LSP) Figure 8 : composantes de MPLS Nous commencerons par cette approche qui est très directement liée au dimensionnement de réseau. Il faut en fait distinguer plusieurs niveaux quand on parle de dimensionnement de réseau, d affectation d un chemin en fonction de la QdS :!" la simple affectation d un chemin en fonction des besoins du flux (son «contrat de service» en ATM) et des ressources du réseau. C est ce que fait la signalisation (PNNI) en ATM, RSVP en IP. Une fois le chemin établi : #"soit, le commutateur ne conserve pas les caractéristiques du flux (du circuit virtuel, CV) : on suppose que l allocation de ressources faite lors de l établissement du chemin, du CV, offrira le niveau de QdS requis, #"soit il les conserve : c est le cas de RSVP auquel on reproche ainsi d aller à l encontre du principe de «sans état» (stateless) qui prévaut dans le monde IP (un paquet IP ne laisse pas de trace, autre que comptable et statistique, de son passage dans un routeur).!" des mécanismes peuvent être mis en oeuvre dans les commutateurs intermédiaires (de transit, les P routeurs du modèle MPLS) pour prioriser tout ou partie du trafic : c est ce que font certains commutateurs ATM en fonction des types de CV (CBR, VBR par exemple) ; c est ce que l on peut faire en IP où l on peut paramétrer les routeurs pour prendre en compte les caractéristiques des paquets entrants pour les traiter de façon plus ou moins privilégiée : c est ce que fait DiffServ mentionné précédemment. On voit dans ce cas de figure que MPLS n ajoute rien à IP en matière de QdS 28 : il permet de dérouler les mêmes algorithmes, basés sur les mêmes informations. Mais il peut le faire plus rapidement car le marquage n est fait qu une fois à l entrée du réseau MPLS, et non à chaque routeur comme dans IP, et il achemine en se basant sur la seule étiquette MPLS, et non le champ complexe qu est l adresse IP. En fait, cet argument avancé par les promoteurs de MPLS, est quelque peu tendancieux puisque l on peut imaginer, et c est d ailleurs vrai pour le modèle DiffServ, que dans un réseau IP, seuls les routeurs d entrée du domaine DiffServ (l équivalent des dans le modèle MPLS) assurent le marquage, les routeurs intermédiaires n assurant que la commutation et le routage IP (RIP, OSPF, etc.) classique. Dans le contexte MPLS, les opérateurs tendent à faire assurer le marquage par les CE, donc par les clients : les CE positionnent le champ TOS, interprété façon «IP précédence» ou façon DiffServ. 28 «MPLS et la QdS sont deux notions orthogonales» comme on peut le lire dans certaines présentations Cisco (Evans janvier 2001).

13 13 Ce sont donc les CE 29 qui analysent les différents champs du datagramme IP (en-tête IP, en-tête TCP, etc.), tâche jugée consommatrice en ressources processeur 30. Les /LER prennent en compte ce positionnement du champ TOS (appelé pour partie DSCP 31 dans la terminologie DiffServ) pour identifier une FEC et créer ou simplement utiliser un LSP préexistant et correspondant à cette FEC. Dans la pratique, le nombre de FEC est restreint, les opérateurs se limitant fréquemment à quelques FEC, appelées classes de service (CoS, Class of Service), standard, premium, multimédia par exemple. Notons cette approche orientée classe de flux, alors que l approche ATM relève plutôt d une approche flux unitaire via le niveau du CV où chaque CV dispose d une QdS bien différenciée 32. Ceci permet de simplifier le traitement via un nombre réduit de cas et intègre le fait que les utilisateurs ont beaucoup de mal à préciser leurs besoins de QdS. Dans ce mode L-LSP le champ EXP peut être utilisé pour y recopier les 3 bits de préférence à l écartement (drop preference) du champ DSCP. Juniper adopte une approche L-LSP quand il établit deux LSP entre deux : l un est construit par LDP, l autre par RSVP, ce dernier étant prioritaire comme indiqué plus haut. Cisco suit la même approche quand il recommande de séparer la voix et les données, avec un chemin dédié à la voix MPLS et la QdS : le champ expérimental EXP (E-LSP) La seconde approche de la QdS est lié au champ expérimental. Le document draft-ietf-mpls-diff-ext-09 «MPLS Support of Differentiated Services» d avril 2001 expirant en septembre 2001 définit le support de DiffServ sur MPLS. Il permet d associer des PHB (Per Hop Behaviour, notion DiffServ 33 ) soit à des LSP, soit aux champs EXP des étiquettes, c està-dire plusieurs PHB pour un même LSP. Mais l activation de ces PHB 34 dans chaque LSR est faite manuellement (via le plan d administration, par «provisioning» donc) : ni LDP, ni RSVP-TE n acheminent acyuellement ces éléments. On se retrouve bien avec deux approches orthogonales qui coïncident in fine au niveau des LSR MPLS et la QdS : COPS et DEN Dans DEN (Directory Enabled Network) toutes les classes de service sont préalablement définies dans un serveur central qui dialogue avec les éléments de réseau (ER) pour leur télécharger les configurations de QdS à mettre en œuvre. On aurait pu imaginer que MPLS récupère et intègre cette approche, mais elle fait intervenir un système centralisé, relativement bien accepté par les opérateurs, mais peu apprécié de la communauté Internet Dans la terminologie DiffServ la classification d un flux en fonction du champ DSCP fait appel à un «BA Classifier», la classification en fonction de l en-tête IP, de l en-tête TCP, voire des données utiles (payload) relève des «Multiflow Classifier». Notons au passage ce choix : nombre de fonctions sont ainsi allouées au CE ou au. La stratégie des opérateurs est a priori de tout allouer au niveau des qu ils contrôlent mieux, mais il faut tenir compte d équipements, en général de routeurs, à qui on demande de réaliser des fonctions pour lesquelles ils sont mal préparés (mal conçus). Le marquage est peut-être une de ces fonctions qu il est le plus justifié de mettre dans le CE puisque la boucle locale est de plus en plus le tronçon le plus congestionné dans un réseau d entreprise. Défini dans la RFC On peut cependant voir le VP (Virtual Path) comme une approche de type aggrégat, sinon classe. DiffServ définit des flux appelés BA (Behavior Aggregate), chaque paquet d un BA étant sujet à un même comportement DiffServ (PHB). Ce PHB est activé par le champ DSCP (ex TOS) du paquet IP, champ ignoré au niveau MPLS puisque relevant du niveau IP encapsulé. Un LSP peut donc supporter jusqu à 8 BA. Des algorithmes de priorisation en pratique.

14 14 Dans une autre vision, poussée par Microsoft et qualifiée de «COPS 35 RSVP», le routeur demande à un serveur quelle valeur de DSCP utiliser quand il reçoit d un serveur applicatif une requête RSVP lui indiquant son nom et lui demandant quel DSCP utiliser. Le serveur applicatif positionnera ensuite dans les datagrammes IP cette valeur de DSCP. Cette approche DEN n a pas grand succès et, à part le champ DSCP et RSVP, n a pas de point commun avec MPLS MPLS et la QdS : cas du service Global IP VPN de FT Le positionnement du champ EXP est le mode choisi par FT pour son service Global IP VPN. Ce service de FT identifie 3 types de portes d accès (entre CE et ) :!" platine (Platinium),!" or (Gold),!" argent (Silver). Chaque porte accepte un certain nombre de technologies d accès (LL, IRLE 36, ADSL, commutée) et permet d acheminer tout ou partie des classes de service (CoS, Class Of Service) : Internet (0), standard (1), premium (4), multimédias (5), les chiffres entre parenthèses correspondant aux 3 bits du champ IP Précédence dans le champ TOS. Ces 3 bits, positionnés par les CE, recopiés dans le champ EXP de l en-tête MPLS par les conduisent au niveau de chaque LSR à des traitements spécifiques (les PHB) aux algorithmes de Cisco (la normalisation IETF ne précise rien dans ce domaine) :!" les flux multimédia bénéficient de l algorithme LLQ (Low Latency Queueing) de Cisco qui leur donne une priorité absolue sur les autres flux : tant qu il y a des paquets dans la file d attente multimédia, les paquets des autres flux ne sont pas transmis.!" les autres flux sont soumis à l algorithme CB-WFQ (Class Based Weight Fair Queueing) qui répartit la bande passante restante entre les 3 autres classes de service, chaque classe pouvant bénéficier au minimum de x % de la bande passante restante. Notons à ce sujet que, non seulement le traitement, c est-à-dire le PHB associé à chaque valeur du DSCP, n est pas normalisé, mais qu en plus chaque opérateur définit à sa façon les notions associées à chaque DSCP et les valeurs (0, 1, 4, 5 ci-dessus). On est loin des normes de l ITU-T tendant à définir des services partout analogues sinon identiques. A quand l «euro-mpls»? 7.5. MPLS et la QdS : 802.1p 802.1p correspond à la priorisation au niveau 2 (VLAN, Virtual LAN). Comme pour les champs TOS ou DSCP, le champ de priorité de 802.1p peut être copié dans le champ EXP de l en-tête MPLS. Ce point est pertinent pour les RPV de niveau 2 abordés ci-dessous Common Open Policy Service. Interconnexion de Réseaux Locaux d Entreprise.

15 15 Figure 9 : technologies de QdS que les fournisseurs de service prévoient de mettre en place en mi 2002 selon Infonetics Reseach (2S2001) 8. MPLS et les RPV L idée de base des RPV (Réseaux Privé Virtuels, VPN, Virtual Private Network) est qu une infrastructure partagée peut offrir les mêmes services et les mêmes niveaux de service qu un réseau privé, c est-à-dire dédié à une entreprise, un cas de groupe fermé d abonnés (GFA, CUG, Closed User Group). La plupart des technologies télécom récentes permet de réaliser de tels RPV sur des infrastructures partagées MPLS et les RPV de base A la base, par son simple mécanisme de chemin, MPLS permet de réaliser de tels RPV : un chemin sera exclusivement attribué à tel flux entre deux sites de l entreprise A 37. Le niveau de sécurité logique offert par ce mécanisme est équivalent à celui que l on trouve dans X25, FR ou ATM, mais le risque est certainement plus élevé : le nombre de personnes connaissant IP, leur expertise parfois très poussée, les outils disponibles, rendent les systèmes IP plus fragiles. Les polémiques sur ce sujet qui présentent MPLS comme source de risque sécuritaire sont donc tendancieuses si l on considère que les technologies précédentes sont sûres. Dans tous les cas, des erreurs humaines de configuration, involontaires ou non, chez l opérateur, peuvent créer des problèmes de sécurité. D où, si nécessaire, le besoin pour le client de s assurer des règles et procédures en vigueur chez l opérateur, voire de les faire auditer comme l exigent certains clients. Les promoteurs de MPLS mettent fréquemment en avant un avantage de MPLS sur FR ou ATM dans la mesure où si l on veut permettre des échanges entre tout couple de sites parmi n sites d une entreprise, il faut n*(n-1)/2 CV (considérés ici comme des chemins) en FR ou ATM et moins en MPLS. Cet argument est à nuancer : si l on compare deux situations analogues, il n y aura pas plus de chemins FR ou ATM que de chemins MPLS ; dans la figure 10 les traits pointillés représentent des LSP dans le cas de MPLS et des CV dans le cas du FR ; les liens de raccordement entre CE et sont par exemple des liens ethernet. Dans la pratique les liens d accès tendent à être des canaux FR et vont de CE à CE, 37 Juniper donne la définition suivante d un RPV, proche de celle de l IETF, «un ensemble de règles qui contrôlent la connectivité entre sites», définition qui inclut les définitions habituelles. Dans Y.1311, l ITU donne une définition des RPV basés sur les réseaux (NBVPN) et du cas particulier des RPV IP. Le cas des RPV MPLS relève de la recommandation Y Autres recommandations ITU-T : Y.1241 «IP Transfer Capability for the support of IP based Services», Y.1310 «Transport of IP over ATM in Public Networks», Y.1720 Protection switching for MPLS networks.

16 16 d où effectivement un nombre plus grand de chemins FR ; mais ces canaux FR, fréquemment transportés sur une infrastructure ATM (entre ) conduisent à un nombre de canaux ATM égal à celui de MPLS 38. Cet avantage du plus petit nombre de chemins ou de CV est d autant plus important que chaque site a besoin de communiquer avec chacun des autres sites, le fameux «any to any» mis en avant par les opérateurs. Or les réseaux d entreprise ont tendance à être étoilés ou hiérarchiques, diminuant le besoin du «n importe qui avec n importe qui». Même l intranet qui était supposé multiplier les échanges dans tous les sens doit faire face lui aussi au besoin de regrouper les serveurs pour en diminuer les coûts de gestion et mutualiser les infrastructures, ce qui en fait s inscrit dans la tendance étoilée soulignée plus haut. Les préoccupations de sécurité logique poussent aussi vers la centralisation et les configurations étoilées. Quoiqu il en soit, il ne faut cependant pas confondre le chemin MPLS avec un CV FR ou ATM. La notion de chemin MPLS est plus souple et n est pas vue comme un dogme initial, mais comme un moyen d améliorer les choses. Soulignons en particulier que les chemins MPLS permettent de :! réaliser des fusions (merge) de chemins : un LSR peut très bien acheminer deux LSP entrants sur un même LSP sortant en utilisant la même étiquette de sortie pour les deux étiquettes d entrée, avec ou sans empilement,!" définir un chemin via des sous-chemins grâce au mécanisme de l empilement des étiquettes. réseau opérateur 4 CEa CEb CE1 1 3 CE3 2 CE2 Figure 10 : nombre de chemins Notons encore que, comme sur tout RPV de ce type, passif au niveau IP, l entreprise utilisatrice ne subit aucune contrainte pour son plan d adressage IP, le réseau MPLS n interprète pas ses échanges d information de routage. Mais des RPV qui utilisent des adresses IP identiques ne peuvent pas partager une même infrastructure MPLS. Dans la figure 11, RPVa et RPVb utilisent tous deux l adresse /16 au niveau de CEa et CEb. Comme les n ont qu une seule table de routage, avec une seule entrée pour /16, ils ne peuvent pas distinguer les deux destinations de façon pertinente. Les RPV MPLS de 38 Mentionnons une nouvelle offre de Sprint de IP sur FR, le FR se limitant au tronçon CE-, sans utiliser MPLS, basé sur UTI de Cisco (Universal Transport over IP).

17 17 base nécessitent donc des plans d adressage disjoints, c est-à-dire l utilisation d adresses IP publiques, et non privées comme l adresse / réseau MPLS opérateur LSPa 4 CEa CEb CE1 1 LSPb 3 CE RPVa RPVb 2 CE MPLS et les RPV BGP Figure 11 : adresses IP utilisée dans plusieurs RVP Pour résoudre en particulier ce problème, une autre notion de RPV 39 a été ajoutée, notion que l on peut rapprocher de la notion de GFA dans X25, du moins pour sa partie protection (cloisonnement, étanchéité) entre GFA. Dans ce type de RPV, le domaine privé virtuel n est pas seulement défini par construction, c est-à-dire par l ensemble des chemins (LSP) qui relient les sites d une même entreprise, il est explicitement identifié par un n de RPV. Il s agit donc bien d un ajout au MPLS de base qui n inclut pas cette notion. Ceci correspond à une RFC informationnelle (pas un standard) rédigée en 1999 par Cisco, la RFC 2547 et à l utilisation de BGP pour la propagation des n de RPV, propagation qui s ajoute à celle des étiquettes pour le mécanisme de base de MPLS, et chaque RPV dispose de ses propres tables de routage : au niveau d un équipement (un ) on n a plus une unique table de routage et/ou de commutation pour le réseau, mais une par RPV, appelée VRF (VPN Routing and Forwarding). Ce numéro de RPV appelé RD (Route Distinguisher), transporté par BGP, n apparaît cependant pas dans les paquets MPLS. Dans ces derniers, le RPV est représenté par une deuxième étiquette : ainsi un paquet MPLS est acheminé avec deux étiquettes que l on dit empilées car seule celle du «dessus» est utilisée pour la commutation. Dans la figure 12, un paquet envoyé de CE2a à CEa aura ainsi comme étiquettes 10 et 100, un paquet envoyé de CE2b à CEb aura comme étiquettes 20 et 100. L étiquette 100 au sommet de la pile sera utilisée pour la commutation sur le chemin entre 2 et 4, 4 constituant la fin du chemin, le saut suivant (next hop) au niveau BGP 40 ; l avant-dernier LSR (celui traversé avant d arriver à 4, appelé «pénultième» (penultimate), non représenté dans la figure 12) enlèvera l étiquette 100 avant d acheminer le paquet à 4, et la commutation suivante se fera, dans 4, sur la seconde étiquette, 10 ou 20, maintenant au sommet de la pile, ce qui permettra à 4 d acheminer le paquet vers CEa ou CEb, en enlevant au préalable la seconde étiquette. En fin 2001, Cisco indique que plus de 70 fournisseurs de services ont mis en place des RPV MPLS A l IETF c est le groupe de travail PPVPN (Provider Provisioned Virtual Private Networks) qui s occupe des RPV. Le document de travail draft-ietf-ppvpn-framework-01 de juillet 2001 qui expire en janvier 2002 définit les notions de RPV et présente des modèles de référence. Rappelons que seuls les utilisent BGP pour les adresses concernant les réseaux des clients.

18 CEa CEb LSPa 4 CE CE2a RPVa RPVb 2 CE2b LSP1= CE3 Figure 12 : pile d étiquettes pour les RPV MPLS Soulignons que seuls les traitent le n de RPV (le champ RD) RPV basés sur les routeurs virtuels (VR VPN) Il s agit d une approche alternative à celle des RPV BGP, conforme à la RFC 2764 et couverte par Y , tout comme les RPV BGP. Le routage, l acheminement et la QdS sont définis pour chaque RPV. Les couches 1 et 2 relèvent de l opérateur, la couche 3 du RPV. Les services de la couche 3 peuvent être gérés par le client. Plusieurs routeurs virtuels peuvent coexister sur un même, à l instar des multiples tables de routage, une par RPV, dans l approche RPV MPLS (synonyme de RPV BGP. On retrouve aussi dans cette approche la possibilité d avoir des adresses IP identiques dans différents RPV. Si l on cherche un parallèle avec les systèmes d exploitation des ordinateurs de gestion, l approche routeur virtuel conduit à partitionner le routeur en plusieurs sous-ensembles, comme le fait VM sur une machine IBM S/390. Chaque routeur virtuel, l équivalent d une machine virtuelle sous VM, peut être suivi et administré séparément. On peut situer cette approche dans la lignée des technologies VIVID (VIdeo Voice Image Data) de Newbridge ou MPOA (MultiProtocol Over ATM) de l ATM Forum. Plusieurs promoteurs de cette approche, comme l équipementier CoSine, utilisent des tunnels IPSec entre les. VR contre MPLS ne constitue pas une querelle dogmatique pour ces acteurs, leur centre d intérêt est le service. Ils présentent leurs produits comme des outils pour offrir des services 41 dans un cadre de RPV IP et pour des besoins importants 42. Leur offre concerne les CE et les, non les routeurs de transit (routeurs P dans le modèle MPLS). L approche de CoSine ne se laisse pas classer aisément car CoSine communique peu sur les aspects techniques. La notion technique mise en avant, le routeur virtuel (RV, VR), correspond au fait qu une infrastructure partagée doit, dans le monde IP, séparer les plans d adressage des différents RPV. Chaque RPV dispose donc de ses propres fonctions de routage (son propre IGP), implémentées dans des Par services on entend : pare-feu, NAT, IPSec, MPLS, DSL sécurisé, etc., qualifiés d ailleurs de «services applicatifs»! L IPSPX 9500 est ainsi annoncé avec des puissances par commutateur de 12 millions de routes, routeurs virtuels, tunnels IPSec 3DES, sites protégés par pare-feu, une puissance de commutation de 645 Gbit/s.

19 19 routeurs virtuels, à l opposé des VRF qui permettent de différencier plusieurs RPV dans un même routeur physique dans l approche RPV BGP 43 présentée auparavant. Parmi les équipementiers concerné par cette approche on trouve :!" CoSine, avec un produit qui vise plutôt les,!" Nortel via l achat de Shasta Networks, avec un produit plutôt utilisé en C comme le Contivity,!" Lucent via l achat de Springtide Networks. Ces nouveaux systèmes arrivent avec de nouveaux systèmes d exploitation, des architectures orientées objet et ne sont pas très bien compris par les populations réseau. Ils correspondent à ce qui pourrait constituer une nouvelle génération de produits succédant aux bons vieux routeurs qui, avec MPLS, connaissent leur dernier chant du cygne RPV hiérarchiques Cette notion est introduite dans la recommandation Y de l ITU-T et est utilisée pour formaliser la relation entre un opérateur A qui offre des services de RPV et qui peut être lui-même client d un autre opérateur B, d «un opérateur d opérateurs» (carriers s carrier). L opérateur B offre un service RPV de niveau 1, l opérateur B un service RPV de niveau 2. RPV selon PPVPN de l IETF basé sur les CE NBVPN (géré par l opérateur) géré par le client géré par l opérateur niveau 2 niveau 3 IP FR ATM MAC MPLS IP dans GRE IPSec MPLS IP Figure 13 : les RPV selon le groupe de travail PPVPN de l IETF 8.5. MPLS et les RPV de niveau 2 (VLL, TLS 44 ) La multiplication des tables de routage vue avec les RPV BGP crée une complexité supplémentaire pour les opérateurs. Il existe une tendance à déporter ces tables au niveau du client, donc des C. Ceci nous conduit à une nouvelle remarque sur le positionnement des différentes fonctions :!" pour assurer une meilleure maîtrise, profiter d économies liées au grand nombre, les opérateurs tendent à implémenter le maximum de fonctionnalités au niveau de leurs POP, dans les donc. C est d ailleurs le discours de CoSine.!" pour des problèmes de disponibilité des fonctionnalités, de qualité de service, de performance entre autres sur les bons vieux routeurs, il existe une tendance opposée à «soulager» les équipements des POP en activant certaines fonctionnalités sur les C. Dans les technologies précédentes (X25, FR, ATM), les opérateurs cherchaient d ailleurs à n avoir que des interfaces natives Certains opérateurs vont jusqu à dire que «BGP ne marche pas» pour faire référence au fait que les routes apparaissent, disparaissent fréquemment, créant une instabilité. Virtual Leased Lines, Transparent LAN Services.

20 20 au niveau des POP et utilisaient pour ce faire des PAD (CLE chez Transpac), FRAD, MUX d accès pour réaliser localement les fonctions d adaptation. Mais revenons aux tables de routage : côté clients, il existe aussi une crainte à les confier à un fournisseur. Chez Juniper cette approche est appelée Circuit Cross Connect (CCC). Cisco fait une proposition analogue, AToM (Any Transport Over MPLS) ou EoMPLS (Ethernet over MPLS) quand on utilise ethernet en accès. L approche de Cisco est bien entendu proposée à l IETF. Ces deux approches sont dites de niveau 2, la précédente étant qualifiée de niveau 3, typage issu des travaux du groupe PPVPN de l IETF et résumé dans la figure 13. Avec EoMPLS en particulier, le réseau MPLS se comporte effectivement comme un transporteur de niveau 2, comme une sorte de pont entre deux segments ethernet 45. site client site client CE ethernet LSR TCP LSR ethernet CE TCP TCP TCP TCP Figure 14 : RPV de niveau 2 C est dans ce type de RPV que l on va trouver des sessions TCP entre LSR non adjacents (figure 14) pour mettre en place les LSP sur lesquels le réseau fera en fait du pontage. Une pile de deux étiquettes est là encore utilisée, comme pour les RPV de niveau 3 avec BGP :!" l étiquette au sommet de la pile définit un LDP vers le de sortie,!" la seconde étiquette permet de distinguer plusieurs CV 46, un CV étant lié à un VLAN, une étiquette 802.1Q dans le réseau du client, ce qui permet au de sortie de choisir la bonne interface de sortie le cas échéant. L étiquette de niveau CV est donnée par le de sortie via la session LDP établie directement avec le d entrée. Comme dans les RPV MPLS de niveau 3 où seuls les connaissaient les tables de routage des réseaux clients, dans les RPV de niveau 2, seuls les connaissent les CV et savent qu il s agit d un transport au niveau 2. Le champ EXP peut être configuré à la main (provisioned), au niveau du, ou déduit des bits de priorité du niveau VLAN (802.1p), tout comme cela se passe au niveau 3 avec le champ TOS/DSCP. En plus des considérations liées à la volonté des opérateurs de mieux maîtriser des services pas trop chers, à la crainte des clients de confier leurs tables de routage à un fournisseur, cette approche correspond à :!" l apparition des boucles locales ethernet 47, une offre nouvelle des opérateurs, en particulier des MSP 48 (Metro Service Provider) L approche de Cisco conduit à transporter un flux de trames ethernet arrivant sur une interface d un, sur un ou plusieurs LDP (appelés CV). Un tel CV comporte 2 LDP unidrectionnels. Voir les travaux de l EFM (Ethernet in Firt Mile) par exemple.

21 21!" la récupération des lignes de raccordement FR et ATM. Ceci constitue souvent une source d étonnement de voir des cellules ATM transportées sur une infrastructure MPLS, donc IP, mais ce n est pas la première fois que des PDU d un protocole donné sont transportées par des protocoles de niveau supérieur ; le transport de X25 ou SDLC sur TCP en sont des exemples. Si TLS correspond à des services d interconnexion de réseaux locaux (IRLE), VLL correspond à des connexions point à point avec FR ou ATM en raccordement. Comme pour MPLS, il y a des propositions pour étendre les chemins MPLS (LDP) jusqu aux CE. Après avoir poussé le routage contre le pontage, on assiste ainsi à un retour de l interconnexion intersite au niveau 2. A l image de RSVP qui est devenu incrémental. Et Juniper parle d utiliser des tunnels entre les plutôt que des chemins MPLS! Comme les promoteurs des routeurs virtuels. Notons que pour ceux qui ne veulent pas de MPLS, Cisco propose UTI (Universal Tunnelling Interface). Sprint vient par exemple de faire ce choix. Et, troisième type de solution, le «pur» RPV IP de niveau 2 basé sur ethernet, le réseau étatnt constitué de commutateurs ethernet. C est la solution retenue par LDcom/Kaptech pour son offre de RPV ethernet. RPV de niveau 2 MPLS UTI «pur» ethernet Figure 15 : les différentes approches de RPV de niveau 2 Service requirements for Provider Provisioned Virtual Private Networks A Framework for Provider Provisioned Virtual Private Networks A Framework for Provider Provisioned CE-based Virtual Private Networks using IPsec BGP-MPLS VPN extension for IPv6 VPN over an IPv4 infrastructure MPLS/BGP Virtual Private Network Management Information Base Using SMIv2 An Architecture for L2VPNs BGP/MPLS VPNs Use of - IPsec in RFC2547 VPNs Using BGP as an Auto-Discovery Mechanism for Network-based VPNs Network based IP VPN Architecture using Virtual Routers A Core MPLS IP VPN Architecture A Core MPLS IP VPN Link Broadcast And Virtual Router Discovery Hierarchical VPN over MPLS Transport Use of - GRE or IP in RFC2547 VPNs Virtual Router Management Information Base Using SMIv2 Definition of Textual Conventions for Provider Provisioned Virtual Private Network (PPVPN) Management Tableau 3 : documents de travail du groupe de travail PPVPN de l IETF en mars Ces opérateurs configurent généralement au moins un VLAN par client. Les protocoles GARP (Group Address Registration Protocol ) et GVRP (GARP VLAN Registration Protocol) sont utilisés.

22 22 9. MPLS et ATM Bien que MPLS ait été présenté comme un concurrent voulant éliminer l ATM, les relations entre ATM et MPLS ne se limitent pas à cette vision qui est cependant celle d un certain nombre d acteurs. Il est bon de rappeler que la genèse de MPLS s est faite dans la recherche d une cohabitation intelligente entre IP et ATM, avec une approche IP Switching d IPsilon 49, contrée par l approche Tag Switching de Cisco qui s est standardisée dans MPLS. Ni IP ni MPLS ne délimitent une trame comme on l entend aux niveaux 2 ou assimilés (ATM, HDLC, ethernet par exemple) ou 1 (SDH). Cette délimitation est actuellement assurée par des protocoles comme ethernet, PPP, FR 50, ATM. Dans le cas de l ATM, l étiquette MPLS peut d ailleurs être portée par le champ équivalent en ATM, le champ VPI/VCI 51. Au-delà de cette collaboration au niveau des chemins/cv, les deux technologies peuvent collaborer dans le domaine de la QdS : la priorité à l écartement (drop precedence) codée dans 3 bits du DSCP DiffServ est reportée sur le bit CLP de la cellule ATM 52. Notons qu il peut y avoir de purs commutateurs ATM (sans fonctions MPLS) dans le réseau : ils reçoivent des cellules qu ils commutent de façon native, en fonction du champ VPI/VCI, sans participer aux échanges de niveau IP ou MPLS (voir la figure 16). Concernant le plan de contrôle, mentionnons le «Fluid Signaling» delucent dans son récent (mars 2002) TMX880, présenté comme intégrant les plans de contrôle de l ATM et de IP/MPLS. Les PVC bidirectionnels de l ATM sont casés dans deux LSP. site client site client CE LSR ATM ATM LSR CE LSR adjacents Figure 16 : commutateurs ATM non MPLSisés dans le réseau Cet aperçu sur MPLS et ATM est utile pour aboutir à une meilleure compréhension, mais le fait de conclure que l un est meilleur que l autre n a plus grand intérêt dans la mesure où ce ne sont d ailleurs pas nécessairement les meilleurs produits techniques qui l emportent : on peut rappeler des grands combats entre PC et Mac, processeurs Intel x86 et Motorola 68xxx, VHS et Betamax, anneau à jeton et ethernet, SNA et IP, DOS et OS/2, etc. Dans la pratique, un article paru sur le 25/9/2001 souligne qu en Amérique du Nord, environ 75 % des revenus des opérateurs proviennent de la voix, mais que 75 % de la capacité est consommée par les données, et pour protéger le trafic vocal, l ATM reste le meilleur protocole de convergence. ATM est encore là sur de nombreux réseaux. Selon une étude récente d Infonetics La première approche de la série serait le CSR (Cell Switch Router) de Toshiba. PPP (dans sa version synchrone) et FR sont des déclinaisons du protocole générique HDLC. Les valeurs utilisables sont négociées lors de l ouverture de la session TCP de LDP (idem pour les DLCI en FR). Evolution récente chez Cisco où le bit CLP n était pas positionnable jusque-là en fonction des besoins des entreprises.

23 23 Research, il y aurait un statu quo chez les opérateurs aux Etats-Unis : MPLS plus ATM en dorsale, FR en accès :! 15 sur 23 opérateurs de niveau 2 (tier 2) interviewés en mi 2001 ont planifié MPLS pour % le prévoient pour 2002.! 2 des 9 opérateurs de niveau 1 (tier 1) interviewés en mi 2001 ont déployé MPLS en , 67 % ont déjà ATM et le conservent en 2001.! sur 20 opérateurs (sur 75) de niveau 2 interviewés en septembre 2001, 30 % ont MPLS en 2001, 70 % le prévoient pour % ont ATM et 45 % auront encore ATM en Figure 17 : technologies de dorsale en Europe, en selon Infonetics Reseach (juin 2001) ( Mentionnons, au titre des organismes, le récent accord entre le MPLS Forum et l ATM Forum dans la collaboration sur les standards d inter fonctionnement (17 janvier 2002). 10. MPLS et la voix MPLS n a pas été conçu pour le transport de la voix. Comme pour les autres technologies du même type (SNA, FR, IP par exemple), il faut trouver des compléments qui permettent de rendre le transport de la voix possible sur MPLS. Dans le plan utilisateur (hors signalisation donc), et en dehors des aspects de codage et de compression que toute technologie doit inclure, ceci se traduit généralement par des mécanismes :! de fragmentation des unités de données en petites unités (ce que fait l ATM par construction), comme en FR et en IP, de multiplexage de plusieurs communications dans une même unité de données (cas du FR).! de réservation de bande passante, de priorisation, avec DiffServ par exemple. 53 Un fournisseur FR ou ISP de niveau 1 (tier 1, est un opérateur capable de fournir efficacement des services télécom fiables et performants. Une liste de ces fournisseurs principaux : AT&T, Bell Atlantic, BellSouth, Cable and Wireless, Global One, GTE, IBM, MCI, Pacific Bell, QUEST, Sprint, US West. Voir aussi l article Selon d autres sources il n y a pas plus de 5 opérateurs Tier 1.

24 24 L IETF a rejeté en 2000 des ajouts spécifiques à la voix sur MPLS, considérant que la chaîne voix sur IP (VoIP), puis IP sur MPLS répondait bien au besoin 54. Le MPLS Forum a par contre ouvert une voie VoMPLS et publié un IA (Implementation Agreement, terminologie analogue à celle du FR Forum) le 27 juin 2001, spécifiant comment transporter la voix sur MPLS, en supprimant la couche IP. Dans MPLS le choix de LSP réservés à la voix est poussé par certains constructeurs comme nous l avons mentionné plus haut. D autres équipementiers proposent l intégration au niveau de la boucle locale : un des avocats est Integral Access avec son IAD PurePacket, un C qui utilise MPLS d une façon propriétaire. Plus généralement on voit un nombre croissant d équipements qui intègrent voix et données au niveau de la boucle locale ; des exemples en sont le BCM de Nortel, le 4224 de Cisco, l OmniAccess d Alcatel, mais ils intègrent au niveau IP et non MPLS. Ceci conduit à nouveau à la question qui n est pas propre à MPLS : quel niveau d intelligence (quel ensemble de fonctionnalités) faut-il placer au niveau C? Le minimum selon CoSine et les opérateurs Centrex, le maximum selon certains équipementiers? 11. MPLS et la sécurité logique Position Du fait de son appartenance à la commutation d étiquette de type connexion, MPLS devrait fournir le même niveau de sécurité que X25, FR ou ATM. Il est cependant perçu comme moins sûr :! il est moins bien compris que les technologies précédentes et pâtit donc de la crainte qu inspire toute technologie nouvelle,! il appartient au monde IP qui est par nature moins sûr : peu de gens sont capables ou même sont tentés d attaquer un commutateur FR, alors qu il y en a énormément qui connaissent IP et attaquent les équipements IP, dont les routeurs (cf. les récents virus visant les routeurs). Les promoteurs de MPLS mettent en avant les faits suivants : #"les routeurs P (routeurs de transit) ne sont pas visibles de l extérieur d un réseau MPLS : l IGP de l opérateur n échange pas de routes internes avec l extérieur, avec les clients. Le fait de cacher les adresses est généralement 55 considéré comme une mesure sécuritaire, une protection contre les attaque de type dénis de service (DoS, Denial of Service). #"dans la plupart des offres, MPLS présente une rupture protocolaire, une solution précédemment utilisée pour empêcher les attaques quand IP n était pas le seul protocole : MPLS est en effet généralement implémenté au niveau des et non des CE (voir figure 1). Au niveau du plan de contrôle :! LDP dispose d un mécanisme d authentification,! l ajout des RPV BGP à MPLS est souvent présenté comme accroissant le niveau de sécurité, parce que : #"les RPV de ce type sont mieux isolés les uns des autres, #"l on utilise BGP et ses mécanismes d authentification Attitude qui relève plus généralement de la crainte de rendre le monde MPLS trop complexe par des ajouts qui ne sont pas toujours justifiés, à l image de ce qui s est passé pour l ATM selon certains. Certains experts estiment que ceci n est pas fondé.

25 25 De plus, IPSec peut être utilisé. Ceci peut paraître indispensable dans la mesure où les opérateurs ne s engagent pas sur la sécurité de leurs services MPLS. C est d ailleurs la position de Cisco : si vous n avez pas confiance dans votre opérateur, ajoutez IPSec. grands constructeurs de routeurs nouveaux équipementiers et autres MPLS tunnels IP, IPSec ajout de sécurité logique intégration de MPLS MPLS + IPSec Figure 18 : convergence du point de vue de la sécurité logique Du coup, les promoteurs de MPLS ajoutent IPSec pour crédibiliser leur offre, et les promoteurs de IPSec comme CoSine annoncent l intégration de MPLS dans leurs produits (cf. figure 18). Au-delà de cette remarque, le vrai débat n est pas celui du choix entre MPLS et IPSec, mais le type d approche à retenir :!" routeur ou plate-forme de services,!" RPV basé sur les C ou sur le réseau. Soulignons que quand MPLS est restreint au réseau (est activé au niveau des ), on obtient un réseau plus sûr car les étiquettes ne peuvent pas être manipulées depuis l extérieur. Tout ceci n empêche pas certains opérateurs d assurer que MPLS offre le même niveau de sécurité que IPSec : cf. MAIAAH dans 01 Réseaux de septembre Mentionnons l article de Mier ( sponsorisé par Cisco pour démontrer que MPLS est sûr Exemple : Global Crossing En octobre 2001, Global Crossing a annoncé un ensemble de services RPV IP :!" le service «SmartRoute IP VPN» est basé sur IPSec, avec 3 niveaux de priorité. L accès distant sera offert comme option. Les débits de raccordement vont de T1/E1 à DS3/E3.!" le service «ExpressRoute IP VPN» est basé sur MPLS. Il vise les entreprises et les fournisseurs de services avec des besoins de bande passante élevée, jusqu à OC-12/STM-4, voie l ethernet gigabit). Il est facturé à l utilisation.!" le service «Premises-Based IP VPN» vise les entreprises avec un besoin de bande passante plus faible et un nombre limité de sites régionaux. Le matériel d accès et de routage est acheté par le client, installé dans ses locaux, et géré par Global Crossing.

26 26 RPV à base de CV à base de chemin IP X25 FR ATM MPLS tunnels IP sur IP GRE Figure 19 : les types de RPV 12. MPLS et l adressage MPLS de base, avec ses multi-ce, ne se présente pas vis-à-vis de l adressage IP comme les autres technologies analogues, FR, ATM en particulier. Il n est pas totalement transparent et pose des contraintes vis-à-vis des choix privés, usurpés, faits par une entreprise donnée. Lorsque les promoteurs de MPLS présentent les avantages des RPV MPLS, il s agit de l extension RPV à MPLS et d une comparaison implicite avec les RPV IP : dans un service RPV IP classique 56 un opérateur ne peut accepter des adresses non uniques comme les adresses privées de la RFC 1918 ou les adresses usurpées. Pour éviter les problèmes correspondants, sans imposer des contraintes sur le plan d adressage des clients, l opérateur pourra imposer son propre plan d adressage via une approche de type tunnel 57, gérée par lui-même ou par le client ; cette approche est cependant peu appréciée car manuelle ; ceci semble vrai avec les routeurs classiques, mais les nouvelles plates-formes offrent des mécanismes automatisés pour établir les tunnels. Par rapport aux RPV IP, MPLS RPV (RFC 2547) prend en compte l ajout d un numéro de RPV à l adresse IP, faisant donc de chaque adresse IP une adresse relative à un RPV et non plus une adresse universelle (absolue) : c est la notion de RD (Route Distinguisher) qui peut inclure les numéros d espace autonome (ASN, Autonomous System Number) déjà pris en compte par BGP. MPLS utilise MP-BGP (MultiProtocol BGP, RFC 2283 en 1998 puis 2858 en 2000) qui ouvre BGP à d autres adresses que les seules adresses IPv4. RD plus IP conduisent à une adresse sur 12 octets. Un RPV peut comprendre plusieurs RD. site client RPV r site client RPV r CE LSR LSR CE échanges de routage Figure 20 : réseau neutre vis-à-vis du routage client - cas des RPV de niveau De nombreuses entreprises, en Europe du moins, utilisent un type de RPV IP qui correspond en fait à une infrastructure IP privée ou privative, au-dessus d un RPV FR. Cas de RPV basé sur les CE dans la terminologie PPVPN de l IETF.

27 MPLS et le routage La notion de routage apparaît comme globalement complexe dans un réseau MPLS et il est nécessaire de distinguer plusieurs routages indépendants les uns des autres, mais non sans interactions :!" pour LDP, le réseau MPLS est un réseau IP classique, non MPLS, qu il utilise en UDP et TCP, la connectivité étant réalisée par un IGP classique comme OSPF. De même pour CR-LDP ou RSVP. C est le routage interne entre LSR ( et P). La surprise dans ce domaine vient de l utilisation croissante de IS-IS (Intermediate System), l équivalent de OSPF dans le monde ISO où CLNP (ConnectionLess Network Protocol) est l équivalent de IP. Alors que le monde ISO disparaît (quasiment plus personne n utilise CLNP 58 ), de plus en plus d opérateurs utilisent IS-IS, mais pour IPv4. Le succès de IS-IS est fréquemment associé à Cisco dont l implémentation d OSPF souffre de limitations comme le nombre de routeurs par aire. Pour d autres, le retour de IS-IS serait lié à une exigence du gouvernement américain qui exigeait des solutions ISO il y a quelques années ; comme IS-IS était le plus simple des protocoles ISO et que OSPF n était pas encore prêt bien que déjà complexe, IS-IS a été utilisé.! une fois LDP ou RSVP activé, le réseau MPLS est à même de fonctionner. Conformément à ce qui a été dit pour l adressage, MPLS de base est «neutre» vis-à-vis du routage IP, tout comme le FR ou l ATM : les échanges de routage du client passent à travers le réseau MPLS comme à travers une liaison louée (LL) ou à travers un RPV IP basé sur des tunnels. Avec l extension MPLS RPV, le routage du client n est plus neutre pour le réseau de l opérateur. Les informations de routage ne sont plus échangées entre CE, mais entre CE et d une part, entre d autre part. Les LSR internes (les routeurs P dans le modèle MPLS) les acheminent comme des données IP ordinaires. BGP a été étendu pour transporter (et non pour créer), dans ses messages de mise à jour échangés entre partenaires (peer) BGP, des associations entre adresses IP et étiquettes. La RFC 3107 définit comment associer une étiquette à une adresse IPv4. site client RPV r site client RPV r CE LSR LSR CE statique RIP OSPF EBGP IBGP statique RIP OSPF EBGP Figure 21 : MPLS RPV - réseau actif vis-à-vis du routage client 58 Qui fut un candidat malheureux pour IPng.

28 MPLS et la haute disponibilité (sécurité physique) Il s agit d un sujet qui fait encore l objet de débats et de documents de travail (draft) à l IETF. Plus généralement, la sécurité physique d un réseau repose sur des mécanismes implémentés à différents niveaux :!" au niveau des bâtiments, en incluant la qualité de l installation des équipements, sans lien spécifique avec MPLS,!" au niveau des équipements, de leur conception, de leurs dispositifs internes ou externes de redondance. MPLS n apporte aucune particularité à ce niveau,!" dans les boucles locales,!" dans le réseau lui-même, sa constitution, sa topologie, son paramétrage,!" dans les mécanismes protocolaires, La figure 22 liste une grande partie des mécanismes de sécurisation. Au niveau des mécanismes protocolaires :!" les protocoles liés au routage jouent leur rôle habituel, mais avec une certaine lenteur, évaluée à plusieurs dizaines de secondes, voire plusieurs minutes selon la taille du réseau, à comparer des 60 ms que certains estiment maximales pour le transport de la voix. Ces protocoles contribuent à la sécurisation physique via les tables de routage échangées (IGP), via des messages de type Hello (ou keepalive, cas de RSVP, LDP, de certains IGP comme OSPF).!" des protocoles moins généraux et permettant de signaler plus rapidement les pannes : LMP (Link Management Protocol), GMPLS (Generalized MPLS), des mécanismes de type OAM (Operation And Maintenance) inspirés de l ATM. Ils propagent généralement plus rapidement les pannes détectées du fait de la chute de signaux sur une interface par exemple. Au niveau de la sécurisation des chemins, elle peut être obtenue par :!" la reconstruction dynamique via les IGP et LDP,!" des chemins prédéfinis dans un but de secours : # avec bande passante réservée à l avance, # sans bande passante réservée à l avance. Les équipementiers implémentent des mécanismes dits FRR (Fast ReRoute), en cours de discussion à l IETF, dont la caractéristique est de basculer très rapidement le trafic sur un chemin préparé à l avance, sans échange préalable de signalisation.

29 29 mécanismes de sécurisation physique mécanismes de signalisation ou assimilés chemins de secours dédiés (1/1) partagés (1/n) spécifiques liés au routage pré-établis non pré-établis LMP OAM IGP CR-LDP RSVP utilisés non utilisés (1:1) GMPLS par le flux secouru (1+1) par des flux moins prioritaires sans duplication (cas des multiliens) avec duplication (1+1) pré-empté non pré-empté 15. MPLS et l optique Figure 22 : mécanismes de sécurisation physique associés aux liens L ATM n est pas la seul bête noire de MPLS. Une autre technologie de l ITU-T, sœur de l ATM dans le RNIS large bande, est aussi menacée : la SDH. La menace vient ici de DWDM et de la cible «MPLS sur DWDM» que visent les promoteurs de MPLS qui devient MPlS, avec «l» pour Lambda Switching, l étiquette devenant une longueur d onde. Atteindre une telle cible représenterait une vraie valeur ajoutée pour MPLS. Au niveau de la taxonomie, on se retrouve avec une technologie relevant de la commutation de paquets qui est fait en fait plus proche de la commutation de circuits que de la commutation d étiquettes. Dans ce contexte, GMPLS 59 (Generalized MPLS) est une extension de MPLS pour les environnements TDM (SDH, commutation d IT), optiques (DWDM, commutation de longueur d ondes), spatiaux (commutation de porte) et conduit à identifier 4 types d interfaces : paquets/cellules, TDM, longueur d ondes, porte. Dans les extensions, l étiquette peut être codée sous forme d IT, de longueur d onde, de position dans un espace physique. GMPLS utilise RSVP-TE ou CR-LDP pour construire des chemins (LSP). Avec MPLS, un LSP qui transporte de l IP doit démarrer et finir sur un routeur. En GMPLS, un LSP doit démarrer et finir sur des LSR semblables. L OIF (Optical Internetworking Forum) et ODSI (Optical Domain Service Interconnect) s activent dans ce domaine : l OIF a publié un IA (Implementation Agreement) pour UNI (User to Network Interface) ; l Equipe 3200 d Equipe Communications utilise l UNI (O-UNI) de l OIF et les protocoles de ODSI. 59 Cf. draft-ietf-mpls-generalized-signaling-05 «Generalized MPLS - Signaling Functional Description» de juillet 2001, valable jusqu en janvier

30 30 Notons que GMPLS est en concurrence avec l évolution de la SDH à l ITU-T, OTH (Optical Transmission Hierarchy). 16. MPLS et le contrôle de trafic (TE) Les aspects liés au contrôle de trafic ont été présentés plus haut. Notons que les mécanismes associés à MPLS comme le contrôle d admission (CAC), le lissage, le marquage, la priorisation, la réservation de bande passante, viennent de solutions déjà implémentées au niveau IP. 17. MPLS et le niveau 3 MPLS est fréquemment présenté comme un protocole de niveau 2/3 pour indiquer qu il se situe entre un protocole de niveau 3 (IP) et au-dessus de protocoles de niveau 2 ou assimilés comme ethernet, PPP, FR, ATM. On envisage actuellement de permettre à MPLS de réagir au niveau 3 (une violation du modèle ISO, mais ce dernier est peu respecté dans le monde IP), en utilisant par exemple ICMP pour signaler qu une PDU n a pas pu être livrée à son destinataire. Au niveau de RSVP, ceci suppose la possibilité d indiquer aux LSR le protocole utilisé, mais RSVP ne peut actuellement indiquer qu un seul protocole, ce qui n est pas bloquant aussi longtemps que seul IP est supporté. 18. MPLS et l interconnexion de réseaux Chaque technologie définit comment interconnecter plusieurs réseaux pour fournir des services à des utilisateurs raccordés à différents réseaux, avec deux grandes approches :!" chaque réseau simule une interface utilisateur vis-à-vis de l autre réseau. Dans le cas de MPLS, un se comporte comme un CE vis-à-vis de l autre, mode que l IETF appelle interface d inter fonctionnement (interworking interface, cf. figure 23).!" une interface d égal à égal est spécifiée : X75 avec X25, NNI (X76) avec le FR, B-ICI ou ANI en ATM. réseau opérateur réseau opérateur tunnel RPV tunnel tunnel RPV tunnel RPV tunnel tunnel RPV interface d interfonctionnement Figure 23 : interconnexion de réseau vue par le groupe PPVPN de l IETF : mode interface d inter fonctionnement Le document de travail draft-ietf-ppvpn-framework-01 du groupe de travail PPVPN de l IETF définit une fonction d inter fonctionnement (IWF, InterWorking Function) réalisée par des (figure 24). Deux aspects sont considérés :! le raccordement d utilisateurs à des opérateurs différents, un cas classique dans les raccordements multiples (multi-homed) à Internet,! le cas des opérateurs d opérateurs (carrier of carriers), développé dans la recommandation Y

31 31 réseau opérateur réseau opérateur tunnel RPV tunnel RPV (IWF) tunnel RPV tunnel RPV Figure 24 : interconnexion de réseau vue par le groupe PPVPN de l IETF : mode IWF 19. MPLS et l inter fonctionnement Des tests d inter fonctionnement incluant des équipements de différents équipementiers ont été déroulés par des organismes, dont des universités (George Mason University, University of News Hampshire). Ces tests ont porté en particulier sur les LSR de cœur de réseau (routeurs P) de Cisco, Juniper, Avici. L université du Wisconsin et ilabs (InteropNet Labs) ont réalisé un test en mai Juniper a lui-même réalisé des tests entre son M40 et les 7513 et de Cisco. 20. MPLS et les équipements Dans la mesure où MPLS est une technologie d opérateur, il est logique de s intéresser aux équipements de haut de gamme comme ceux testés durant le premier semestre 2001 par Light Reading. Deux équipements ressortent de ces tests, le de Cisco et le M160 de Juniper. Les tests ont été faits avec deux configurations non bloquantes (autant de débit configuré en périphérie qu en inter-routeurs) de 4 routeurs, offrant en périphérie 12 liens OC-48c (STM-16) pour une configuration et 48 pour l autre ; la périphérie est toujours en OC-48, seuls les liens entre routeurs changent selo la configuration. Les principaux résultats concernent :!" la capacité à commuter au débit des liens : les routeurs sont capables de saturer les liens. En OC- 48c, le débit des liens est atteint à 100 % chez Cisco et 99,9 % chez Juniper qui avait choisi d optimiser les temps de transit.!" les puissances de commutation, au moins aussi élevées en IP qu en MPLS, soulignant que MPLS n est plus une technique justifiée par les seules performances.!" les temps de transit (latence), plus élevés chez Cisco, plus particulièrement avec MPLS, très stables chez Juniper (cf. table 4). configuration 1 (OC-48c) configuration 2 (OC-48c/OC-192c) IP MPLS IP MPLS 40 o Imix 40 o Imix 40 o Imix 40 o Imix Cisco Juniper M Tableau 4 : latences dans les tests de Light Reading (en microsecondes)

32 32 Ces tests ont conduit à un débat quelque peu obscur entre Cisco et Juniper du fait des modifications de séquence des datagrammes IP émis observées sur Juniper dans le test OC-192c à charge élevée : le M160 est un quadriprocesseur 60 au niveau de la commutation (il dispose de 4 ASIC). Dans les tests de Mier de juin 2001 ( les résultats sont très différents des précédents et le Cisco est toujours meilleur, qu il s agisse de puissance de commutation, de temps de transit, de gigue : ces tests sont payés par Cisco, sont réalisés sur un seul routeur et non sur un mini réseau comme dans les tests de Light Reading, et il n y a aucune participation de Juniper. Concernant les «autres» approches, CoSine annonce des capacités de tunnels IPSec 3DES avec un débit agrégé de niveau OC-12 (622 Mbit/s) sur son équipement de base, et ce pour des datagrammes de petite taille. Pour atteindre de telles performances, il utilise des jeux de puces spécialisées, les HIFN 7851 pour le cryptage et le décryptage, les HIFN 6500 pour l établissement des connexions IPSec. 60 Les commutateurs de Juniper disposent d un autre processeur, un Pentium, sur lequel est réalisé le calcul des routes (le routage proprement dit). Ceci peut contribuer à expliquer les meilleures performances de Juniper dans les tests d ajout et de suppression de routes : les 4 processeurs se consacrant à la commutation ne sont que marginalement impactés.

33 33 Definitions of Managed Objects for the Multiprotocol Label Switching, Label Distribution Protocol (LDP) objet, MIB x RSVP CR- LDP Diff- Serv multi cast TE GMPL S sécu physique optique LDP State Machine x RSVP-TE: Extensions to RSVP for LSP Tunnels x x Constraint-Based LSP Setup using LDP x x MPLS Traffic Engineering Management Information Base Using SMIv2 x x MPLS Support of Differentiated Services x Framework for IP Multicast in MPLS x MPLS Label Switch Router Management Information Base Using SMIv2 x ICMP Extensions for MultiProtocol Label Switching Applicability Statement for CR-LDP x Applicability Statement for Extensions to RSVP for LSP-Tunnels x LSP Modification Using CR-LDP x Improving Topology Data Base Accuracy with LSP Feedback LSP Hierarchy with MPLS TE x Link Management Protocol (LMP) Framework for MPLS-based Recovery x Multiprotocol Label Switching (MPLS) FEC-To-NHLFE x (FTN) Management Information Base Using SMIv2 Fault Tolerance for LDP and CR-LDP x x Generalized MPLS - Signaling Functional Description MPLS LDP Query Message Description x Signalling Unnumbered Links in CR-LDP LDP Extensions for Optical User Network Interface (O- UNI) Signaling Signalling Unnumbered Links in RSVP-TE x x Requirements for support of Diff-Serv-aware MPLS x Traffic Engineering Extensions to RSVP-TE and CR-LDP for support of Diff- x Serv-aware MPLS Traffic Engineering Generalized MPLS Signaling - CR-LDP Extensions x x Generalized MPLS Signaling - RSVP-TE Extensions x x Definitions of Textual Conventions and OBJECT- IDENTITIES for Multi-Protocol Label Switching Management x Tableau 5 : documents de travail du groupe de travail MPLS de l IETF en août Qui maîtrise MPLS? En télécom d entreprise, le domaine télécom qui devient prédominant et source principale de convergence (de ralliement plus précisément) est le réseau de données. Après une période dominée par les constructeurs informatiques (IBM principalement), il y a eu, dans certains pays du moins, la domination de l UIT-T, donc des opérateurs, dont la crédibilité s est imposée à partir de X25 sur les réseaux intersite. Les équipementiers télécom ont ouvert des brèches avec les multiplexeurs voix/données (MUX V/D) et les routeurs. Ces brèches se sont formalisées avec

34 34 les forums comme le FRF et l ATMF qui restaient alignés sur l ITU-T, surtout pour l ATM 61. La poussée de IP avec Internet a accru ces brèches et avec MPLS on peut considérer que ce sont eux, les équipementiers, qui influencent maintenant les grands opérateurs 62 lorsque ces derniers mettent en place des infrastructures MPLS basées sur des standards (ou même des RFC seulement informationnelles) incomplets de l IETF! L ITU semble avoir disparu et n apparaît dans MPLS qu à partir de la RFC 2547bis (le préfixe de «bis» indique bien qu il ne s agit d ailleurs pas d une RFC, même informationnelle), pour voir dans les rédacteurs des représentants des opérateurs! C est avec la recommandation Y.1311 que l on voit apparaître enfin l ITU-T dans ce débat. Les équipementiers se «battent» à coup de RFC informationnelles, des débats s animent sur Internet (cf. Quelle stabilité peut-on attribuer à ces visions à court terme? Quelle signification accorder au fait qu un grand opérateur historique s aligne sur les choix d un équipementier alors qu il a jusqu ici privilégié, en les justifiant, les choix des organismes de normalisation de droit? opérateur service POP en France C&W Cegetel Level 3 IP VPN IRE IPMPLS 50 (via ISDnet) 160 via FR, bientôt 15 via IP POP dans le monde Colt IP VPN 13 via Corporate IP service (sur ATM) Global One Global IP VPN COS 40 0 IPSec (standard, données, temps réel) fonction du client (3 ou 4 recommandés) (standard, priorité, haute priorité) KPNQwest 65 IP VPN en Europe plus Qwest network MAIAAH QoS Networks offre sur mesure 7 (20 en fin 2001) via tierce partie Q-Link 1 9 plus accords entre opérateurs Siris (DT) IP VPN 70 via FR, 7 via IP classe spécifique pour VoIP, 4 ou 5 en septembre 66 MPLS type IPSec, GRE 64 MPLS IPSec 5 MPLS 5 67 IPSec (MPLS dans le futur) 0 4 routeurs dédiés dans le réseau (MPLS dans le futur) Tableau 6 : l offre RPV IP en France (OI 1/9/2001) On rappellera à ce sujet le chassé-croisé entre l UNI 3.0 et l UNI 3.1. Après s être aguerris avec la population plus tendre des nouveaux ISP. MPLS bientôt à la suite de la Grande-Bretagne. MPLS en test interne. Opérateurs aujourd hui en cours de separation. 2 aujourd hui (voix et non voix), plus 3 classes DiffServ au 4T2001 sur les C. Voix, video, applications critiques, bureautique, web et trasnfert de fichiers.

35 35 Ce manque de contrôle par les opérateurs se mesure plus concrètement quand on voit leur réticence à s engager sur des niveaux de QdS, un des aspects d ailleurs fortement valorisé dans le discours MPLS! On obtient aujourd hui de meilleurs engagements de QdS avec FR. Bien que ce soit un lieu commun de dire que l histoire ne se répète pas, il existe fréquemment des situations analogues. Les forums FRF et ATMF ont été créés avec comme objectif, entre autres, d accélérer le processus de standardisation, trop lent dans les organismes «bureaucratiques» comme l ITU-T. Mais l IETF grossit lui aussi et le nombre de documents de travail (cf. tableaux 2, 3, 5), d éléments à standardiser suit la même progression rapide. Et la standardisation ralentit. 22. MPLS, une bonne réponse à un vrai problème? Nous avons déjà évoqué plusieurs fois que les premières attentes auxquelles devait répondre MPLS concernaient la bonne cohabitation de IP et d ATM, dans un contexte de faibles performances des routeurs IP. Avec la défaite de l ATM et les performances élevées des nouveaux routeurs, au moins aussi élevées qu en MPLS, il est clair qu aujourd hui MPLS débarque dans un monde qui a changé, comme un gaulois dans le monde moderne. Visant la simplification des infrastructures et donc la suppression de l ATM et de la SDH, MPLS doit répondre à d autres besoins plus réels :!" intégrer de la QdS et de l ingénierie du trafic (TE), deux sujets très liés.!" permettre de réaliser des RPV crédibles.!" résoudre les craintes sécuritaires.!" offrir un accès direct à la puissance de l optique. Ceci conduit aux extensions décrites ci-dessus, extensions qui auraient très bien pu être faites au niveau de IP lui-même. Avec MPLS on a aujourd hui un protocole qui ne résoud aucun problème réel mais est utilisé pour cristalliser les additions que IP requiert pour se rapprocher des promesses de l ATM. MPLS apportera réellement quelque chose quand il offrira un accès direct (coûts) et efficace (performances) à l optique. Aujourd hui MPLS est essentiellement un vecteur pour aider les vendeurs de routeurs classiques à gagner et/ou conserver le contrôle des opérateurs. Le vrai problème est plus celui des équipements (routeurs, plates-formes, équipements d accès) et la localisation des fonctions à valeur ajoutée (au niveau C ou au niveau POP). 23. Quel choix aujourd hui? Avec le temps on a toujours tendance à penser qu il y a eu un âge d or, même s il n a pas eu la douceur du jardin des Hespérides. Ainsi, dans les années 80, un décideur pouvait s en remettre à IBM qui lui offrait une vision complète du domaine informatique et télécom, réduisant les opérateurs aux liaisons louées (LL) et au RTC ; si IBM lui faisait peur, le client pouvait limiter ses craintes en prenant un compatible. Dans certains pays comme la France, les opérateurs ont réussi à s imposer au niveau réseau avec la commutation de paquets ; en France un DSI faisant le choix global d IBM et de France Télécom ne prenait pas de grand risque dans les années 90. Aujourd hui, le manque de visibilité sur le devenir de MPLS ne peut qu accentuer la tendance des entreprises à ne pas mettre le doigt dans les nouvelles technologiques de ce type et laisser les équipementiers et les opérateurs se débrouiller entre eux, pour leur offrir les bons services, renforçant ainsi l approche service, voire sous-traitance et externalisation de nombreuses entreprises.

36 36