Filière : Génie Réseaux & Télécoms. Rapport du projet de semestre. Etude et simulation sur GNS 3 du service MP- BGP/VPN-IP. Réalisé par : Asmaa KSIKS

Transcription

1 Filière : Génie Réseaux & Télécoms Rapport du projet de semestre Etude et simulation sur GNS 3 du service MP- BGP/VPN-IP Réalisé par : Asmaa KSIKS Ismaël MAIGA Proposé par : M. Nourdinne IDBOUFKER Année Universitaire : 2010/2011

2 Remerciements Au terme de ce travail, nous tenons à exprimer notre profonde gratitude et nos sincères remerciements à notre encadrant de projet M. Idboufker, pour ses directives précieuses, et pour la qualité de son suivi durant toute la période du projet. Nous tenons aussi à remercier vivement tous les responsables et les professeurs du département Génie-Réseaux et Télécommunications qui nous favorisent de convenables conditions de travail. Nos plus vifs remerciements s adressent aussi à tout le corps professoral et administratif de l ENSA de Marrakech. Et enfin à toute personne qui a contribué de près ou de loin à l élaboration de ce travail. 2

3 Introduction Le réseau IP repose sur une infrastructure de transport assurant la fonction «couche de liaison» du modèle OSI (niveau 2), elle-même tributaire d un réseau de télécommunication. Tous les routeurs IP sont en bordure de réseau et assurant les interconnexions avec le monde extérieur et les réseaux locaux. Les routeurs sont maillés entre eux par l intermédiaire de circuits virtuels établis sur les réseaux de commutation de niveaux 2.Le réseau de transport assure la redondance par re-routage des circuits virtuels établis entre les routeurs en cas de perte d un lien physique sur le réseau de télécommunication. La tendance actuelle après les réseaux à intégration de services est vers les réseaux de convergence qui vise a utiliser une seule infrastructure (un réseau unique) pour tout service. Donc ce qui augmente le nombre de flux sur le réseau et entraine une augmentation importante de la taille des réseaux avec l apparition de goulots d étranglements au niveau des routeurs IP. De ce fait, on assista donc à l augmentation des tables de routage. Le mécanisme de recherche dans la table de routage étant consommateur de temps CPU, les routeurs se sont donc avérés trop lents pour gérer ce volume de flux. Pour faire face à cela des technologies d architecture de réseaux ont vu le jour au niveau accès et au niveau backbone. Et c est le MPLS qui a été choisi au niveau du backbone. «Ce serait bien de pouvoir acheminer les paquets sur un chemin déterminé par le réseau sans devoir réévaluer la FEC a chaque saut» (A.Danthine, Professeur Emérite a l université de Liège, un des pères de MPLS) Plusieurs constructeurs ont proposé des solutions de commutation IP.Parmi les plus connues ; ont note le Tag Switching proposé par Cisco,IP Switching proposé par Ipsilon, ARIS proposé par IBM, Fast IP proposé par 3Com et SwitchNode de Nortel Networks. L IETF s est grandement inspiré de la solution de Cisco pour la mise au point de la norme MPLS. MPLS fut alors créée. Au mois de mars 1997, l IETF a mis en place le groupe de travail MPLS pour définir une approche normative de la commutation d étiquettes. Notre sujet s inscrit dans le cadre de l étude de l architecture MPLS et la mise en place du service VPN-IP. Il a été réalisé dans le laboratoire du Génie Réseaux et Télécommunications de l école nationale des sciences appliquées de Marrakech(ENSA). 3

4 Objectifs du projet Initialement développée pour l amélioration des performances des routeurs IP afin de les égaler à celles des commutateurs ATM, MPLS s est démontrée aussi comme la technologie Opérateur par excellence. En effet, grâce à la flexibilité de son architecture, MPLS met à disposition des architectes réseaux une grande facilité de développement de services à valeur ajoutée. Le VPN-IP basé sur MPLS est l un des plus importants de ces services qui permet la mise en œuvre de réseaux virtuels au niveau IP. Sur un autre plan, GNS ne cesse de prouver ses performances comme plate forme d émulation des réseaux. Ce projet vise l étude et la simulation d un réseau d opérateur basé sur MPLS et offrant le service VPN- IP. Phasage du projet Phase 1 : 1. Etude de la plate forme GNS.3 2. Etude de la technologie MPLS 3. Etude du service VPN-IP 4. Inventaire des pré-requis de test Phase 2 : 1. Design d une architecture de réseaux d opérateurs 2. Emulation de la technologie MPLS 3. Emulation du service VPN-IP 4. Elaboration des scénarios de validation de tests Phase 3 : 1. Reporting des résultats de tests 4

5 Sommaire Introduction Chapitre I : Simulateur GNS 3 I. Présentation du simulateur GNS Présentation de dynamips... 9 II. Installation de GNS Téléchargement du GNS 3 : Téléchargement du WinPcap Téléchargement des images IOS III. Installation d une ISO sur un routeur chargement de l IOS : Optimisation par configuration du idle PC : IV. Description des parties du logiciel GNS V. Exemple d utilisation de GNS3 : Formation de la plateforme de test : Configuration : Test : Chapitre II : Etude et simulation de la technologie MPLS I. Présentation générale : Introduction Définition de MPLS Caractéristiques de MPLS II. Fonctionnement de MPLS Terminologie MPLS LSP LSR et LER (Label Edge Router) Notion de FEC (Forwarding Equivalency Classes) MPLS et les références (label)... 40

6 4 Agrégation de flots Signalisation Protocole LDP : Tables MPLS Les piles de références III. Configuration d une plateforme MPLS : Matériel et configurations utilisés a. Configuration du protocole de routage : b. Configuration de MPLS : Résultats de la configuration : a. Liste des labels b. Liste des chemins : c. Test du ping : d. Visualisation des messages par wireshark : Chapitre III : Etude et simulation du service VPN-IP I. Présentation générale Services MPLS Service VPN-IP II- Fonctionnement du service VPN-IP Composantes du réseau pour le BGP/MPLS-VPNs : Apports du MPLS VPN Défis et Solutions a. Overlapping b. Connectivité contraignante L architecture d un réseau déployant le service VPN-IP III. Mis en place du service MPLS VPN-IP La plateforme VPN-IP: Configurations et tests à effectuer :

7 a. Configuration des adresses des interfaces : b. Configuration du protocole de routage interne c. Vérification de l IGP : d. Configuration MPLS : e. Test du MPLS: Création de VRF a. Assignation des interfaces aux VRF b. Lancer OSPF dans l instance VRF c. Lancer MP-BGP pour l annonce des routes Test de la configuration: a. L acheminement des paquets b. Les Pings effectués : c. Les tables RIB : d. Les tables LIB des PE des P : e. Les deux labels du service VPN-IP f. Visualisation Sur Wireshark : Conclusion 7

8 Chapitre I : Simulateur GNS 3 8

9 I. Présentation du simulateur GNS 3 GNS3 est un simulateur graphique de réseaux qui vous permet de créer des topologies de réseaux complexes et d'en établir des simulations. Ce logiciel, en lien avec Dynamips (simulateur IOS), Dynagen (interface textuelle pour Dynamips) et Pemu (émulateur PIX), est un excellent outil pour l'administration des réseaux CISCO, les laboratoires réseaux ou les personnes désireuses de s'entraîner avant de passer les certifications CCNA, CCNP, CCIP ou CCIE. De plus, il est possible de s'en servir pour tester les fonctionnalités des IOS Cisco ou de tester les configurations devant être déployées dans le futur sur des routeurs réels. Ce projet est évidemment Open Source et multi-plates-formes. Il est possible de le trouver pour Mac OS X, Windows et évidemment pour une distribution Linux. Remarque importante : l'utilisateur doit fournir ses propres images IOS pour utiliser GNS3. 1 Présentation de dynamips Dynamips est un émulateur de routeurs Cisco capable de faire fonctionner des images Cisco IOS non modifiées comme si elles s'exécutaient sur de véritables équipements. Le rôle de Dynamips n'est pas de remplacer de véritables routeurs, mais de permettre la réalisation de maquettes complexes avec de vraies versions d'ios. Contrairement à certains autres produits, il ne s'agit pas d'une émulation de la ligne de commande IOS et de son fonctionnement, mais d'une émulation complète du «hardware». Dynamips peut être utilisé à des fins de formation, d'expérimentation, aide au diagnostic, validation de configurations,... Dynamips est écrit en langage C, sous licence GPL. Les plateformes hôtes supportées sont de type PC sous Linux, Mac Os X et Windows. Un portage sur d'autres plateformes Unix est également possible. Les gammes de routeurs émulés sont: 9 Cisco 7200 (NPE-100 jusqu'à NPE-400, NPE-G2) Cisco 3600 (3620, 3640, 3660) Cisco 3700 (3725, 3745)

10 Cisco 2600 (2610 à 2651XM, 2691) Cisco 1700 (1710 à 1760) Différentes instances de l'émulateur peuvent être interconnectées à travers ces interfaces. Une connexion à un réseau réel est réalisable en Ethernet via une interface physique du serveur hôte. Dynamips fonctionnant uniquement en ligne de commande, des projets connexes non portés par l'utc ont vu le jour : Dynagen est un produit complémentaire écrit en Python s'interfaçant avec Dynamips grâce au mode hyperviseur. Dynagen facilite la création et la gestion de maquettes grâce à un fichier de configuration simple décrivant la topologie du réseau à simuler et une interface texte interactive. GNS-3 reprend ces mêmes fonctionnalités sous forme d'interface graphique. Ecrit en Python, il s'appuie sur des modules de Dynagen. II. Installation de GNS 3 1. Téléchargement du GNS 3 : On télécharge le logiciel GNS 3 à partir du site officiel 10

11 Figure 1 : site de téléchargement du GNS3 Il faut télécharger le paquet GNS3 v0.7.3 all-in-one. Après l avoir téléchargé, on lance l installation comme suit : Figure 2 : Le setup du GNS3 Sur la page d accueil du GNS 3, on clique sur suivant pour continuer : 11

12 Figure 3 : fenêtre 1 de l'installation On accepte la License et on continue l installation : Figure 4 : fenêtre 2 de l'installation du GNS3 12

13 du GNS 3. Figure 5 : fenêtre 3 de l'installation du GNS3 On coche toutes les cases pour installer les éléments nécessaires pour le fonctionnement Figure 6 : fenêtre 4 de l'installation du GNS3 13

14 On choisit un emplacement pour installer le programme. Figure 7 : fenêtre 5 de l'installation du GNS3 Il va falloir installer le WInPcap avant de pouvoir continuer l installation du GNS 3. 2 Téléchargement du WinPcap WinPcap est l outil standard industriel pour accéder aux connections entres les couches réseaux (connectivité et sélection de routes entre deux systèmes hôte), disponible sur le système d exploitation Windows. Grâce à cet outil, vous pouvez capturer les paquets réseaux transmis, manipulant ainsi la pile du protocole réseau. Il offre de précieux outils additionnels tels que des filtres de paquets de bas niveau, un moteur générant des statistiques d'usage réseau et supportant la capture de paquets à distance. Il utilise une combinaison de librairies et de contrôleurs pour accéder facilement aux couches réseau inférieures. C est un programme efficace, versatile qui est devenu le logiciel préféré de filtrage et de capture de paquets pour la plupart des applications réseau populaires disponibles aujourd hui tels que les analyseurs de protocole, la surveillance réseau, les systèmes de détection d intrusion réseau, les mouchards, les générateurs de trafic, les analyseurs de trafic, etc. C est une application essentielle. Sans cela, les meilleurs logiciels de gestion réseau (NMAP) tels que Windump, Ethereal, etc. ne fonctionneront pas. 14

15 Cliquer sur continuer. Figure 8 : fenêtre 6 de l'installation du GNS3 Figure 9: fenêtre 7 de l'installation du GNS3 15

16 On accepte la licence et on continue l installation. Figure 10: fenêtre 8 de l'installation du GNS3 On coche la case qui apparait sur la fenêtre suivante afin de pouvoir lancer automatiquement le WinPcap driver puis on clique sur installer. Figure 11: fenêtre 9 de l'installation du GNS3 16

17 Figure 12: fenêtre 10 de l'installation du GNS3 Après avoir terminé l installation du WinPcap, on repasse à l installation du GNS 3. Figure 13: fenêtre 11 de l'installation du GNS3 17

18 Figure 14: fenêtre 12 de l'installation du GNS3 L installation est terminée. On peut maintenant lancer GNS. Tout d abord, il va falloir configurer et tester le fonctionnement du Dynamips et ajouter des images IOS pour travailler sur GNS Figure 15: fenêtre d option pour la configuration de dynamips et insertion IOS On clique sur 1, et on se retrouve sur la partie préférence. On clique sur Dynamips et on lance le test. On remarque que ça fonctionne.

19 Figure 16 : configuration du Dynamips Après on pourra travailler sur GNS 3. Mais avant tout il ne faut pas oublier d ajouter les images IOS. Autrement, on ne peut pas travailler avec les équipements. Figure 17 : interface de GNS3 3. Téléchargement des images IOS : A partir du lien on peut trouver différentes images IOS comme le montre la capture suivante. 19

20 Figure 18 : exemple d'une page web de téléchargement IOS III. Installation d une ISO sur un routeur 1. chargement de l IOS : Sur le logiciel Gns3 pour utiliser un équipement n importe lequel, il faut incorporer d abord son image ISO correspondante. On a vu dans la partie précédente comment obtenir ces images et dans cette partie nous verrons comment les utiliser sur le simulateur Gns3. D abord il faut créer un répertoire dans le quel, il faudra mettre toutes les images téléchargées et qu on veut utiliser pour organiser les choses sinon cela est facultatif. Dans le menu Editer : on clique sur Images IOS et Hyperviseurs 20

21 Figure 19 : étape 1 de l'insertion d'une image IOS Apres avoir cliqué on obtient l interface suivante : Figure 20 : étape 2 de l'insertion d'une image IOS Sur cette interface on clique sur le bouton parcourir devant Fichier image dans les Paramètres.Une interface comme celle au dessous s ouvre permettant de specifier l image depuis le repertoire dans le quel elle se trouve. 21

22 Figure 21 : étape 3 de l'insertion d'une image IOS Une fois l image sélectionnée on appuis sur Ouvrir en bas de la fenêtre. Figure 22 : étape 4 de l'insertion d'une image IOS On obtient une fenêtre comme indiqué sur l image ci-dessous sur la quelle les champs de saisie sont remplis par le lien sur l image dans la partie fichier image et les caractéristiques comme plateforme (dans cet exemple : c7200), modèle (dans cet exemple : 7200), et RAM par défaut (dans cet exemple : 256Mo). 22

23 Figure 23 : étape 5 de l'insertion d'une image IOS Nb : pour IDLE PC il sera configuré après. On appuis sur Sauvegarder pour enregistrer les informations, ainsi dans la partie haute apparaisse l image ajoutée. Figure 24 : étape 6 de l'insertion d'une image IOS Voilà qu après l ajout de l image d un routeur 7200 ce dernier devient utilisable. (Pour mettre un routeur sur la partie centrale enfin de constituer une plateforme on fait un cliquerglisser sur le routeur pour le prendre et faire un clique sur la partie centrale pour le déposer). 23

24 Figure 25 : essais après l'insertion d'une image IOS 2. Optimisation par configuration du idle PC : Une fois que vous aurez chargé un IOS et commencé l'émulation d'un routeur, vous risquez très fort de faire crasher votre ordinateur si vous n'effectuez pas certains réglages supplémentaires, car l'émulateur consomme tous les cycles disponibles de votre processeur ce qui le fait chauffer et pousse votre ordinateur à s'éteindre brusquement après peu de temps. Vous pouvez vérifier la consommation grâce à la commande top, le processus à surveiller est 'dynamips-0.2.8'. La première optimisation à faire est quasi obligatoire, et c'est de trouver la valeur 'Idle PC' optimale pour votre image IOS. Il faut suivre les étapes ci-dessous: 1- Ajouter un routeur à votre topologie et cliquez sur démarrer pour commencer l'émulation. 2- Une fois le routeur démarré, exécutez la commande top pour surveiller la consommation cpu du processus dynamips. 3- Faites un clic droit sur le routeur puis cliquez sur 'Idle PC' afin de calculer une nouvelle valeur. 4- Une fois les valeurs possibles calculées, choisissez en une, appliquez là et notez là en même temps quelque part (afin d'avoir toutes les valeurs déjà appliquées). 24

25 5- Vérifiez la consommation de dynamips sur la sortie de la commande top. 6- Répétez ces étapes jusqu'à trouver la valeur Idle PC optimale pour votre routeur. IV. Description des parties du logiciel GNS3 Dans cette partie nous verrons les parties essentielles du logiciel GNS3 à savoir : La barre des Menus : Figure 26 : barre des Menus Dans cette partie nous avons les menus qui mettent à votre disposition tous les éléments nécessaires pour la manipulation du logiciel. C est comme le menu dans tout logiciel. La barre des outils : Figure 27 : barre des outils Cette partie peut être vue comme un raccourci vers les éléments du menu. Nous présentons les éléments de cette barre d outils un a un de gauche a droite : Permet de créer un nouveau projet Permet d éditer un projet Permet d ouvrir un projet plateforme Permet de sauvegarder un projet en court dans le répertoire au se situe la préciser Permet de sauvegarder un projet en court dans un répertoire que vous aller 25 Permet d effacer la topologie.

26 Affiche ou cache sur la plateforme le nom des interfaces des équipements Affiche ou cache sur la plateforme le nom des équipements Permet de choisir le type de câble pour interconnecter vos équipements Permet de pour l image de la plateforme Permet d importer / d exporter les fichiers de configuration des équipements plateforme plateforme Permet de lancer la console pour un ou tous les équipements de la Permet de démarrer/mettre en pause/arrêter un équipement ou toute la Permet de mettre une note sur la plateforme Permet d insérer une image Permet de dessiner un rectangle /cercle La partie gauche «Nodes types» : Figure 28 : la partie gauche «Nodes types» de GNS3 Cette partie met à votre disposition des équipements réseaux nécessaires pour simuler une plateforme réseau. Tous ces équipements deviennent utilisables dès que vous ajoutez leur image IOS (vous pouvez voir comment ajouter une image IOS dans GNS3 en haut).et vous 26

27 pouvez ajouter un équipement qui ne figure pas dans la liste aussi indiquée via le sous menu «gestionnaire des symboles» dans éditer. La partie centrale : Figure 29 : la partie centrale de GNS3 Cette partie est capitale pour GNS3, elle vous permet de former votre plateforme, c est ici que vous déposerez les équipements.comme sur la figure précédente. La partie droite : Figure 30 : la partie droite de GNS3 Elle contient les noms des équipements qui sont mis en jeux sur la plateforme au centre et les interfaces qui les connectent entre eux. Si le point est a rouge c'est-à-dire que l équipement correspondant est éteint et si c est à Vert cela veut dire l équipement est allumé. La partie console : 27

28 Figure 31 : la partie console du GNS3 Cette partie console indique les éventuelles erreurs sur la plateforme et sa fonction principale est d exécuter des commandes sur les équipements ou sur la plateforme directement. Elle vous permet de savoir si l enregistrement d une plateforme s est bien effectué et vous donne le chemin où sont stockés les fichiers de configuration sur le disque dur de la machine hôte. La partie undo stack : Figure 32 : la partie undo stack Cette partie vous renseigne successivement et à temps réel les événements qui se produisent sur la plateforme par exemple : l ajout, suppression etc... V. Exemple d utilisation de GNS3 : 28 Dans cette partie nous allons configurer un protocole de routage qui est le RIP v2 pour établir la communication entre les routeurs de bout en bout. Ainsi nous utiliserons la

29 plateforme suivante comme indiquée sur la figure suivante. L objectif est d apprendre a démarré la console d un routeur afin de le configurer. Nous n étudierons pas dans cette partie le protocole RIP V2 en lui-même mais il sera juste utiliser donc cela suppose une connaissance préalable de ce dernier. Figure 33 : la plateforme d'essais de GNS3 NB : Les IDLEPC sont configurés au préalable déjà depuis la partie précédente pour une utilisation optimale de la CPU. Nous utiliserons que des routeurs 7200 pour cet exemple d utilisation de GNS3 1 Formation de la plateforme de test : Il faut faire attention à ce que si vous formez une plateforme et que vous voulez sauvegarder a la fin pour y revenir là-dessus une autre fois, n oubliez pas de cocher les deux cases sur la fenêtre «nouveau Projet» comme sur la figure suivante : 29 Figure 34 : création d'un projet sous GNS3

30 Remarque : Ici une fois terminer de configurer vos équipements réseaux vous pouvez enregistrer en appuyant sur le bouton qui se trouve dans la barre des menus. 2 Configuration : Apres avoir formé la plateforme c'est-à-dire placer les routeurs sur la partie centrale et les relier par des câbles (les câbles sont choisis a travers l icône suivante sur la barre de menu en haut ). 1- Nous redémarrons les routeurs à travers le bouton suivant et cela en sélectionnant en premier lier le routeur qu on veut démarrer. Dans le cas où tous les routeurs sont allumés les points de liaisons passent du rouge au vert. Dans ce cas nous verrons Figure 35 : une plateforme démarrée sous GNS3 2- Pour lancer la console de configuration d un routeur nous faisons un clic droit sur ce dernier puis nous choisissons console sur la liste qui s ouvre. La console est la suivante : Figure 36 : console de démarrage du routeur 30

31 Figure 37 : console de configuration d un routeur (7200) 4-configuration des adresses IP des interfaces sur chaque routeur : Pour le routeur 3 : son interface liée au routeur R1 au l adresse IP /24 Pour le routeur R1 : Figure 38 : configuration de l interface f1/0 Son interface f2/0 qui est lier a R3 aura /24, son interface S1/0 aura pour /24 et sera configuré comme clock rate. 31

32 Figure 39 : configuration de l interface f2/0 Figure 40 : configuration de l interface seriale S1/0 Pour ne pas perdre la configuration après avoir éteindre le routeur il faut sauvegarder la configuration Pour le Routeur R2 : Figure 41 : sauvegarde de la configuration sur le routeur 32

33 Interface serial aura pour l adresse IP /24 mais ne sera pas configurée comme clock rate puis que c est déjà effectué sur le R1, Interface f2/0 aura pour adresse IP /24. Pour le routeur R4 : Son interface liée au routeur R1 aura l adresse IP /24 Configuration du protocole de routage RIP v2 : On configure sur chacun des routeurs le protocole Rip version 2 nous montrons celui du routeur R1 seulement ici, car les autres se configurent de la même manière. Figure 42 : configuration de Rip sur un routeur Nous passons maintenant au test sur le routeur pour voir si le Ping marche d un point a l autre ainsi nous montrerons la table de routage ainsi établit par rip sur un routeur. Le Ping depuis le routeur R3 vers le routeur R4 : Figure 43 : Le résultat du Ping 33

34 La table de routage du routeur R1 : Figure 44 : Le résultat du Ping depuis R4->R3 Nous voyons bien les informations concernant les routes dans la table de routage. Figure 45 : La table RIB de R1 Dans cette partie qui ne concernait que la découverte du simulateur GNS3, nous avons vu comment former une plateforme et procéder a sa configuration et faire sa sauvegarde enfin d y revenir la dessus une prochaine fois. C est la commande Copy running-config startup-config comme si t 34

35 Chapitre II : Etude et simulation de la technologie MPLS 35

36 I. Présentation générale : 1. Introduction Le protocole IP est un protocole de niveau 3 fonctionnant en mode non connecté. Ce qui signifie que la décision de routage d'un paquet est localement faite par chaque nœud. On appelle cela le routage "hop by hop". De ce fait, l'émetteur d'un paquet ne peut pas prévoir le chemin qui sera emprunté par ce dernier. Il est donc impossible d'avoir la certitude qu'un paquet arrivera à destination. Enfin, lors du routage, le choix du prochain saut est fait en fonction d'un des deux critères suivants : Le nombre de routeur traversé par le paquet doit être minimal (ex : RIP). Le somme des poids de tous les liens emprunté par le routeur doit être minimal. Le poids d'un lien entre deux routeurs est affecté par l'administrateur du réseau. Bien souvent ce poids est fonction du débit du lien, plus le lien offre un grand débit, plus son poids sera petit (ex : OSPF et ISIS). Cependant, dans leurs réseaux, les opérateurs ont besoin de plus de "certitude" quant au routage du trafic : Le routage d'un flux doit emprunter le même chemin : Mode connecté Les décisions de routage pour l'établissement d'un chemin doivent prendre en compte l'utilisation actuelle du débit des liens, afin d'optimiser la bande passante et éviter la congestion : Traffic Engineering Un flux doit être acheminé en garantissant le respect de certaines contraintes : Quality Of Service (QoS) La technologie MPLS va permettre au réseau IP de pouvoir mettre en œuvre tous les besoins explicités ci-dessus. Enfin, dans les réseaux IP, les tables de routage sont de plus en plus grande, et donc longue à parcourir. De ce fait la décision de routage faites par chaque routeur est "lente" car il faut parcourir toute ou partie de la table. Le MPLS offre une meilleure rapidité de commutation des paquets, en effet la décision de routage se fait en analysant un label inséré par le protocole MPLS entre les couches 2 et 3. 36

37 Ainsi chaque routeur possède une table associant un port/label d'entrée à un port/label de sortie. Cette table est rapide à parcourir, ce qui a pour but d'accroître la rapidité de routage par rapport à un réseau IP. 2. Définition de MPLS MPLS (Multi-Protocol Label Switching) est une architecture réseau proposée par l'ietf dont le rôle principal est de combiner les concepts du routage IP de niveau 3, et les mécanismes de la commutation de niveau 2 telles que implémentée dans ATM ou Frame Relay. MPLS doit permettre d'améliorer le rapport performance/prix des équipements de routage, d'améliorer l'efficacité du routage (en particulier pour les grands réseaux) et d'enrichir les services de routage (les nouveaux services étant transparents pour les mécanismes de commutation de label, ils peuvent être déployés sans modification sur le cœur du réseau). La technique MPLS peut être étendue à de multiples protocoles (IPv6, IPX, AppleTalk, etc.,). MPLS n'est en aucune façon restreint à une couche 2 spécifique et peut fonctionner sur tous les types de support permettant l'acheminement de paquets de niveau 3. MPLS traite la commutation en mode connecté (basé sur les labels); les tables de commutation étant calculées à partir d'informations provenant des protocoles de routage IP ainsi que de protocoles de contrôle. MPLS peut être considéré comme une interface apportant à IP le mode connecté et qui utilise les services de niveau 2 (PPP, ATM, Ethernet, ATM, Frame Relay, SDH...). 3. Caractéristiques de MPLS L idée de l IETF a été de proposer une norme commune pour transporter des paquets IP sur des sous réseaux travaillant en mode commuté. Les nœuds sont des routeurscommutateurs capables de remonter soit au niveau IP pour effectuer un routage, soit au niveau trame pour effectuer une commutation. Les caractéristiques les plus importantes de la norme MPLS sont les suivantes : 37

38 Spécification des mécanismes pour transporter des flots de paquets IP avec diverses granularités des flots entre deux points, deux machines ou deux applications. La granularité désigne la grosseur du flot, qui peut intégrer plus ou moins de flots utilisateur. Indépendance du niveau trame et du niveau paquet, bien que seul le transport de paquets IP soit réellement pris en compte. Mise en relation de l adresse IP du destinataire avec une référence d entrée dans le réseau. Reconnaissance par les routeurs de bord des protocoles de routage de type OSPF et de signalisation comme RSVP. Utilisation de différents types de trames. Le principal avantage apporté par le protocole MPLS est la possibilité de transporter les paquets IP sur plusieurs types de réseaux commutés. Il est ainsi possible de passer d un réseau ATM à un réseau Ethernet ou à un réseau relais de trames. En d autres termes, il peut s agir de n importe quel type de trame, à partir du moment où une référence peut y être incluse. Nous pouvons dire que MPLS lève ces limites : Apporte l'intelligence du routage avec les performances de la commutation Supporte les VPN Supporte la QoS Permet la gestion efficace de la bande passante II. Fonctionnement de MPLS 1. Terminologie MPLS LSP 38 La transmission des données s effectue sur des chemins nommés LSP (Label Switched Path). Un LSP est une suite de références partant de la source et allant jusqu à la destination.

39 Les LSP sont établis avant la transmission des données (control-driven) ou à la détection d un flot qui souhaite traverser le réseau (data-driven). Il peut être statique ou dynamique, selon qu il est défini, ou qu il utilise les informations de routage. Ce LSP est fonctionnellement équivalent à un circuit virtuel ATM ou Frame Relay. Les références incluses dans les trames sont distribuées en utilisant un protocole de signalisation. Le plus important de ces protocoles est LDP (Label Distribution Protocol), Mais on utilise aussi RSVP, éventuellement associé à un protocole de routage, comme BGP (Border Gateway Protocol) ou OSPF. Les trames acheminant les paquets IP transportent les références de nœud en nœud. Deux options sont utilisées à cette fin : Le routage saut par saut (hop-by-hop). Dans ce cas, les LSR sélectionnent les prochains sauts indépendamment les uns des autres. Le LSR utilise pour cela un protocole de routage comme OSPF ou, pour des sous-réseaux de type ATM, PNNI. Le routage explicite, identique au routage par la source. Le LER d entrée du domaine MPLS spécifie la liste des nœuds par lesquels la signalisation a été routée, le choix de cette route pouvant avoir été contraint par des demandes de qualité de service. Le chemin suivi par les trames dans un sens de la communication peut être différent dans l autre sens. LSR et LER (Label Edge Router) Les nœuds qui participent à MPLS sont classifiés en LER et LSR. Un LSR est un routeur ou un commutateur dans le cœur du réseau qui participe à la mise en place du circuit virtuel par lequel les trames sont acheminées. C est un équipement capable de commuter des paquets ou des cellules, en fonction de la valeur des labels qu ils contiennent. Dans le cœur du réseau, les LSRs procèdent tout simplement à la lecture et la commutation des labels, et non les adresses des protocoles de niveau supérieur. Chaque LSR construit une table FIB (Forwarding Information Base). 39

40 Un LER est un nœud d accès au réseau MPLS. Un LER peut avoir des ports multiples permettant d accéder à plusieurs réseaux distincts, chacun pouvant avoir sa propre technique de commutation. Les LER qui sont des routeurs d extrémité qui jouent un rôle important dans l assignation et la suppression des labels au moment où les paquets entrent dans le réseau ou en sortent. 2 Notion de FEC (Forwarding Equivalency Classes) Dans MPLS, le routage s effectue par l intermédiaire de classes d équivalence, appelées FEC. Une classe représente un flot ou un ensemble de flots ayant les mêmes propriétés, notamment le même préfixe dans l adresse IP. Toutes les trames d une FEC sont traitées de la même manière dans les nœuds du réseau MPLS. Les trames sont introduites dans une FEC au nœud d entrée et ne peuvent plus être distinguées à l intérieur de la classe des autres flots. Une FEC peut être bâtie de différentes façons. Elle peut avoir une adresse de destination bien déterminée, un même préfixe d adresse, une même classe de service, etc. Chaque LSR possède une table de commutation qui indique les références associées aux FEC. Toutes les trames d une même FEC sont transmises sur la même interface de sortie. Cette table de commutation est appelée LIB (Label Information Base). Les références utilisées par les FEC peuvent être regroupées de deux façons : Par plate-forme : les valeurs des références sont uniques sur l ensemble des LSR d un domaine, et les références sont distribuées sur un ensemble commun géré par un nœud particulier. Par interface : les références sont gérées par interface, et une même valeur de référence peut se retrouver sur deux interfaces différentes. A la différence du routage traditionnel, l assignation de la valeur FEC se fait juste au niveau de l accès au réseau. 3 MPLS et les références (label) 40 Une référence en entrée permet donc de déterminer la FEC par laquelle transite le flot.

41 Cette solution ressemble à la notion de conduit virtuel dans le monde ATM, où les circuits virtuels sont multiplexés. Ici, nous avons un multiplexage de tous les circuits virtuels à l intérieur d une FEC, de telle sorte que, dans ce conduit, nous ne puissions plus distinguer les circuits virtuels. Le LSR examine la référence et envoie la trame dans la direction indiquée. On voit bien ainsi le rôle capital joué par les LER, qui assignent aux flots de paquets des références qui permettent de commuter les trames sur le bon circuit virtuel. La référence n a de signification que localement, puisqu il y a modification de sa valeur sur la liaison suivante. Une fois le paquet classifié dans une FEC, une référence est assignée à la trame qui va le transporter. Cette référence détermine le point de sortie par le chaînage des références. Dans le cas des trames classiques, comme LAP-F du relais de trames ou ATM, la référence est positionnée dans le DLCI ou dans le VPI/VCI. La signalisation nécessaire pour déposer la valeur des références le long du chemin déterminé pour une FEC peut être gérée soit à chaque flot (data driven), soit par un environnement de contrôle indépendant des flots utilisateur. Cette dernière solution est préférable dans le cas de grands réseaux du fait de ses capacités de passage à l échelle. Les références peuvent être distribuées pour : un routage unicast vers une destination particulière ; une gestion du trafic, ou TE (Traffic Engineering) ; un multicast ; un réseau privé virtuel ; une qualité de service. Le format de la référence MPLS est illustré à la figure ci-dessous. La référence est encapsulée dans l en-tête de niveau trame du champ normalisé pour transporter la référence ou juste entre l en-tête de niveau trame et l en-tête de niveau paquet. 41

42 4 Agrégation de flots Figure 46 : Format générique d une référence dans MPLS Les flots provenant de différentes interfaces peuvent être rassemblés et commutés sur une même référence s ils vont vers la même direction de sortie. Cela correspond à une agrégation de flots. Cette technique est déjà exploitée sur les réseaux ATM, dans lesquels un conduit peut agréger plusieurs flots venant de différents nœuds d entrée vers un point commun, où les flots sont désagrégés. L agrégation de flots a pour objectif d éviter l explosion du nombre de références à utiliser ou, ce qui est équivalent, d empêcher les tables de commutation de devenir trop importantes. 5 Signalisation Plusieurs mécanismes de distribution des références, appelée signalisation, peuvent être implémentés dans les nœuds d un réseau MPLS, notamment les suivants : Demande de référence : un LSR émet une demande de référence à ses voisins vers l aval (downstream), qu il peut lier à la valeur d une FEC. Ce mécanisme peut être utilisé de nœud en nœud jusqu au nœud de sortie du réseau MPLS. Correspondance de référence : en réponse à une demande de référence d un nœud amont, un LSR envoie une référence provenant d un mécanisme de correspondance connu déjà mise en place pour aller jusqu au nœud de sortie. La figure ci-dessus donne une illustration de ces deux mécanismes. 42

43 6 Protocole LDP : Figure 47 : Mécanismes de signalisation de MPLS LDP est le protocole de distribution des références qui tend à devenir le standard le plus utilisé dans MPLS. Ce protocole tient compte des adresses unicast et multicast. Le routage est explicite et est géré par les nœuds de sortie. Les échanges s effectuent sous le protocole TCP pour assurer une qualité acceptable. Deux classes de messages sont acceptées, celle des messages adjacents et celle des messages indiquant les références. La première permet d interroger les nœuds qui peuvent être atteints directement à partir du nœud origine. La seconde classe de messages transmet les valeurs de la référence lorsqu il y a accord entre les nœuds adjacents. Ces messages sont encodés sous la forme classique, qui permet de décrire un objet : on indique dans un premier champ le type d objet, dans un deuxième la longueur totale du message décrivant l objet et dans un troisième la valeur de l objet. Cet encodage s appelle TLV (Type Length Value). Le routage s effectue, comme nous l avons vu, par des classes d équivalence, ou FEC (Forward Equivalent Class). De ce fait, un paquet qui a une destination donnée appartient à une classe et suit une route commune avec les autres paquets de cette classe. Cela définit un arbre, dont la racine est le destinataire et dont les feuilles sont les émetteurs. Les paquets n ont plus qu à suivre l arbre jusqu à la racine, les flots se superposant petit à petit en allant vers la racine. Cette solution permet de ne pas utiliser trop de références différentes. La granularité des références, c est-à-dire la taille des flots qui utilisent une même référence, résulte de la taille des classes d équivalence : s il y a peu de classes d équivalence, les flots sont importants, et la granularité est forte ; s il y a beaucoup de classes d équivalence, les flots sont faibles, et la granularité est fine. Par exemple, une destination peut correspondre à un réseau important, dans lequel toutes les adresses ont un préfixe commun. La destination peut aussi correspondre à une application particulière sur une machine donnée, ce qui donne une forte granularité. Ce dernier cas est illustré à la figure 19.18, dans laquelle le récepteur est 43

44 la machine 4 et la FEC est déterminée par l arbre dont les feuilles sont les machines terminales 1, 2 et 3. La classe d équivalence, en descendant l arbre à partir de 1, commence par les références 28 puis 47 et se continue par les branches 77 puis 13 puis 36. À partir de 2, les références 53 puis 156 sont utilisées pour aller vers la racine. De même, à partir de 3, les références 134 et 197 sont utilisées. Toutes les références que nous venons de citer appartiennent à la même classe d équivalence. 44 Figure 48 : Exemple d'échange LDP Dans cet exemple, les terminaux 1, 2 et 3 souhaitent émettre un flux de paquets IP vers la station terminale 4. Pour cela la station 1 émet ses trames (encapsulant les paquets IP) avec la référence 28, qui est commutée vers la référence 47 puis commutée vers les références 77 puis 13 puis 36. Le flot partant de la station 2 est commuté de 53 en 156 puis en 77, 13 et 36. Enfin, le troisième flot, partant de la station 3, est commuté à partir des valeurs 134 puis 197, 13 et 36. On voit que l agrégation s effectue sur les deux premiers flots avec la seule valeur 77 et que les trois flux sont agrégés sur les valeurs 13 et 36. La station 4 aurait pu être remplacée par un sous-réseau, ce qui aurait certainement permis d agréger beaucoup plus de flux et d avoir une granularité moins fine. Un problème posé par les tables de routage impliquant les FEC est celui des boucles potentielles, c est-à-dire d un possible retour à une station qui a déjà vu passer la trame. Si le routage utilise un protocole comme OSPF, on évite les boucles en utilisant un message d information.

45 Le protocole LDP comprend les messages suivants : Message de découverte (DISCOVERY MESSAGE), qui annonce et maintient la présence d un LSR dans le réseau. Message de session (SESSION MESSAGE), qui établit, maintient et termine des sessions entre des ports LDP. Message d avertissement (ADVERTISEMENT MESSAGE), qui crée, maintient et détruit la correspondance entre les références et les FEC. Message de notification (NOTIFICATION MESSAGE), qui donne des informations d erreur ou de problème. Figure 49 : Etablissement d'une connexion LDP Les tables de commutation peuvent être construites et contrôlées de différentes façons. Les protocoles de routage d Internet, tels que OSPF, BGP, PIM, etc., sont généralement utilisés à cet effet. Il faut leur ajouter des procédures pour faire correspondre les références et les classes d équivalence FEC. Nous avons indiqué que la distribution des références s effectuait par l aval en remontant vers la station d émission. En réalité, il est indiqué dans la norme MPLS que la distribution des références peut s effectuer par l aval (downstream) ou par l amont (upstream). 45

46 Dans le premier cas, le destinataire indique aux nœuds amont la valeur de la référence à mettre dans la table de commutation. Dans le second cas, le paquet arrive avec une référence, et le nœud met à jour sa table de commutation. Dans la distribution amont (upstream), un nœud aval envoie la valeur de la référence qu il souhaite recevoir pour commuter un paquet sur une FEC. Ce sont les nœuds situés le plus en aval qui déclenchent le processus et indiquent les destinataires et leur granularité. Les modifications s effectuent lors de la réception d une trame ou par l intermédiaire d informations de supervision. La distribution des identificateurs peut s effectuer par l intermédiaire des protocoles RSVP-TE ou PIM. 7 Tables MPLS Sur la base des informations collectées par le protocole LDP, les LSRs et ELSRs construisent les deux tables LIB (Label Information Base) et LFIB (Label Forwarding Information Base) qui serviront par la suite pour la prise de décision au niveau de la commutation de labels. En effet, pour chaque valeur prise par la classe de transfert, FEC, la connectivité VPN est traduite au niveau de la table LIB à travers tous les labels collectés par les LSRs voisins. De son côté, la table LFIB est utilisée pour la commutation proprement dite des paquets MPLS, elle est en fait composée d un sous-ensemble de la LIB. Figure 50 : Exemple de commutation de label 46

47 8 Les piles de références Le mécanisme de piles de références de MPLS permet à un LSP de transiter par des nœuds non-mpls ou par des domaines hiérarchiques. Pour cela, la zone portant la référence peut stocker non plus une valeur mais une pile de valeurs, c est-à-dire une pile de références. Suivant le niveau de la hiérarchie de références on utilise la référence de la hiérarchie correspondante dans la pile. Les piles de références permettent de réaliser des tunnels, dans lesquels sont regroupées les références d un même niveau de la hiérarchie. À la sortie du tunnel, on revient à la hiérarchie juste en dessous, comme illustré à la figure ci-dessus. Sur cette figure, le flot partant de la station 1 est commuté sur les valeurs 28 puis 53. Au nœud A, une pile de références est créée avec l ajout de la référence 156, qui est utilisée dans le nœud suivant pour commuter sur les valeurs 77 puis 197. Le nœud B permet la sortie du tunnel en utilisant de nouveau la référence 53 après avoir dépilé les références. On voit qu entre le nœud A et le nœud B un tunnel est constitué, qui, à une référence d entrée 53, fait correspondre une référence de sortie 13. Figure 51 : Tunnel MPLS réalisé grâce à une pile de références 47

48 III. Configuration d une plateforme MPLS : 1- Matériel et configurations utilisés Afin d'étayer d'exemples pratiques les différents principes de MPLS abordés dans notre projet, nous allons utiliser une plate forme constituée de dix routeurs reliés par une liaison Ethernet comme le montre la figure suivante : Figure 52 : LA plateforme MPLS réalisée Nous avons utilisé des routeurs de la famille 2600 à savoir Nous les avons réparti comme suit : R1 et R10 : routeurs clients. R2 et R8 : routeur E-LSR. R3, R4, R5, R6, R7, R8 : routeurs LSR. a. Configuration du protocole de routage : Nous avons configuré le protocole de routage OSPF sur tous les routeurs. Nous prenons comme exemple la table de routage du routeur R2 pour vérifier la configuration et ensuite nous allons lancer les pings entre les différents routeurs: 48

49 Figure 53 : La table LIB de R2 Nous remarquons que nous pouvons atteindre tous les réseaux distants. Et Voici les tests réalisés par des pings. Figure 54 : les Ping depuis R2 A partir du routeur R2, on peut atteindre les routeurs R6, R8 et R9. Et voici un autre test de Ping entre les routeurs R3, R7 et R10. 49

50 Figure 55 : Les Ping depuis R3 Donc le routage a bien fonctionné entre tous les routeurs. b. Configuration de MPLS : Passons maintenant à la configuration de MPLS. Sur les routeurs E-LSR et LSR, nous configurons MPLS de la manière suivante : Router> Router>en Router#conf t Router(config)#int f0/0 Router(config-if)# mpls label protocol ldp Router(config-if)# mpls ip Router(config-if)# end Ou bien Router> Router>en Router#conf t Router(config)#mpls ldp advertise-labels Router(config)#int f0/0 Router(config-if)# mpls ip Router(config-if)# end Cette configuration est appliquée au niveau des interfaces de tous les routeurs LSR. Les configurations sont détaillées au niveau de l annexe 2. 50

51 2. Résultats de la configuration : a. Liste des labels On s intéresse ici aux labels utilisés par R2 pour joindre l ensemble des adresses des routeurs du réseau MPLS. Pour obtenir la liste des labels, on se connecte au routeur R2 puis on tape les lignes de commande suivantes : Router# show mpls ip binding Cette commande établit la correspondance IP/label apprise par le protocole LDP. Le résultat de sortie est un tableau explicitant la correspondance IP/label de toutes les destinations connues par le routeur R2. Dès lors pour chaque IP, on sait quels sont les labels au niveau entrant et au niveau sortant. En temps de routage MPLS, un LSR se moque de ce qui se passe au niveau IP. Il se contente de commuter d après sa table de commutation. Figure 56 : résultat de la commande "show mpls ip binding sur R2" Par construction, le protocole LDP met un label sur toutes les lignes de la table de routage. Nous obtenons alors ici 10 lignes. Ces lignes en /24 représentent les adresses des sous réseaux entre les routeurs. 51

52 La troisième colonne - le champ lsr : - permet de renseigner l interface de sortie. Ainsi le routeur enlève le label entrant, impose le label sortant puis transmet le message vers l interface de sortie. On remarque que le LSR de sortie est R4, ce qui concorde totalement avec la topologie du réseau. Ainsi, tous les paquets passant par le routeur R2 sont acheminés vers le LSR R4. La mention inuse stipule que le label sortant est utilisé pour le MPLS forwarding3 - le MPLS forwarding est l action de regarder dans sa table de commutation étant donné le label d entrée pour connaître le label sur lequel commuter puis commuter, cette étape est différente de celle de routing qui consiste à construire les tables de routage. On remarque également que le R2 se charge d enlever l entête lorsqu il est le dernier routeur MPLS traversé avant la destination finale. Dès lors on peut lire la mention imp-null sur le champ du label de sortie pour les destinations : / / / / /24 On a autant de ligne que d interface de sortie. Un paquet arrivant au /24 arrive avec un label nul parce qu il est envoyé par R2 qui a enlevé le label. Par ailleurs on remarque que les labels des paquets à destination des subnets /24, /24 et /24 sont enlevés. Cela vient du fait que dans le protocole MPLS, l avant dernier routeur enlève les labels de telle sorte que le dernier routeur puisse router les paquets directement en IP. Le label MPLS est codé sur 20 bits, ce qui signifie qu il peut formellement prendre une valeur entre 0 et Les labels utilisés ici se situent entre 17 et 23 - les labels 0 à 15 étant réservés. Vue le côté symétrique de la topologie du réseau, on s attend à trouver une table mpls ip binding très similaire pour le routeur R9. Toutes les explications restent donc valables et identiques en prenant garde de changer les noms des routeurs par les nouveaux noms. Voilà la table trouvée : 52

53 Figure 57 : résultat de la commande "show mpls ip binding sur R9" b. Liste des chemins : Tests de la configuration en visualisant les tables de labels LIB. Pour ceci, on utilise la commande : Router#show tag-switching forwarding-table Ou bien la commande : Router#show mpls forwarding-table 53 Nous avons alors accès à la table de commutation du routeur.

54 Différents champs sont indispensables : Local tag représente le tag du paquet à l entrée du routeur. Outgoing tag propose le tag de sortie. Outgoing interface précise l interface de sortie Dès lors, si l on connait l interface d entrée du paquet et son label d entrée, cette table de Forwarding nous donne le label et l interface de sortie. Il est alors facile de déterminer le chemin d un paquet transitant de R1 à R10. Lorsqu il est en R2, le paquet vient de rentrer dans le réseau MPLS. Il n a donc pas encore de label associé. Le Ingress LER R2 regarde à quelle FEC appartient le paquet pour lui imposer un label. Dans ce cas simpliste, la FEC se base sur le préfixe de l adresse de destination. Cela revient donc à regarder la table ip mpls binding présentée précédemment. Le routeur R2 impose donc le label 16 et dirige le paquet vers l interface de telle sorte que le LSR suivant à recevoir le paquet soit le routeur R4. Le routeur R4 reçoit le paquet sur l interface /24. Celui-ci a un label de 16. Ainsi le routeur regarde dans sa table de commutation et commute le paquet sur l interface de sortie après lui avoir imposé un nouveau label. Voici un exemple de la table de commutation du routeur R2. 54 Figure 58 : résultat de la commande "show mpls forwarding-table sur R2" Le protocole de routage OSPF est un protocole de type link state. Dans ce protocole, les routeurs renseignent tout le réseau sur leurs états de liens, de telle sorte que chaque routeur a une bonne connaissance de la topologie du réseau. Sur chaque lien sont attribués des coûts -

55 utiles pour répartir la charge du réseau et éviter ainsi trop de congestions - dont le sens dépend de la politique stratégique des administrateurs. Chaque routeur doit ensuite procéder à un algorithme de type Dijkstra pour trouver le plus court chemin vers chaque membre du réseau ; cette route est alors mise dans la table de routage. Parfois, deux chemins sont équivalents en termes de coût. Le protocole ECMP - Equal Cost Multi Path - permet dans ces cas là de considérer les deux chemins et de diviser le flux de trafic entre les deux chemins. On ne peut néanmoins pas diviser le trafic au niveau du flux ; par exemple on ne peut pas faire un paquet sur deux, car cela engendrerait des problèmes de type problème de déséquencement, risque de gêner le contrôle de congestion TCP... L idée est alors de passer par une fonction de hashing qui prendrait en paramètre les adresses source et destination - on se ramène à hash(adr src, adr dest). Selon la sortie de cette fonction de hachage on passe alors par un chemin ou un autre. Ainsi un flux donné passe toujours par le même chemin. C est pour cette raison que dans les tables on considère deux chemins. Néanmoins, dans le cas qui nous intéresse ici à savoir un unique flux, un seul et unique chemin sera utilisé. Pour trouver ce chemin, il peut être astucieux de se connecter sur le routeur R2 et de faire un traceroute vers le routeur R10. Cela nous permettra d éliminer un des deux chemins. La syntaxe est la suivante : Router#traceroute Ci dessous, une capture d écran du résultat obtenu : Figure 59 : résultat de la commande traceroute depuis R2 pour le Le résultat fournit le chemin suivi par le paquet. Dans notre cas, le paquet passe par les routeurs 4, 6 et 9. 55

56 c. Test du Ping : Avant la configuration de MPLS, on obtient une valeur moyenne de 1297 ms pour joindre le routeur R10 à partir du routeur R1. Après la configuration de MPLS, cette valeur diminue à 989 ms. Figure 60 : le résultat Ping vers Nous observons la même chose en pingant à partir du R10 vers le R1, la valeur moyenne diminue de 1332 à 826. Ping avant configuration de MPLS : Figure 61 : le résultat Ping vers depuis R10 avant MPLS Ping après configuration de MPLS : 56 Figure 62 : le résultat Ping vers depuis R10 après MPLS

57 d. Visualisation des messages par wireshark : On vient de comprendre le mode de fonctionnement de la commutation. On se concentrera maintenant sur la façon de renseigner la table de commutation des LSR. Les tables de commutation sont ici renseignées par l algorithme d implicit routing LDP -Label Distribution Protocol. Dans le but d avoir une compréhension fine de ce protocole on utilise l outil de sniffing Wireshark. On va ici étudier les conversations entre les routeurs R2 et R9. Pour ce faire on se place sur l interface du routeur R10 et on lance la capture. 57 Figure 63 : les échanges capturés par wireshark L image ci-dessus est une capture d écran du logiciel Wireshark. Sur cette image on voit les échanges entre les routeurs R2 et R10. La première chose que l on remarque dans cette conversation est que les paquets sont envoyés en multicast. En effet l adresse en x est une adresse de multicast, ce qui signifie que les routeurs s adressent à des groupes, des entités et non pas à un unique routeur - par commodité. Par ailleurs, on constate que le protocole OSPF tourne par dessus le protocole de signalisation LDP. En effet, on voit à plusieurs reprises des messages HELLO échangés par ces routeurs. Une fois de plus les messages sont échangés sur une adresse multicast.

58 Les paquets LDP servent à deux choses : Garder la connexion TCP ouverte - sinon TCP a un timeout et ferme la connexion donc on considère un changement de mapping... Et il faut alors réouvrir une connexion, ce qui coute à chaque fois trois messages... Vérifier que le protocole LDP est toujours actif sur les interfaces. La vérification des routeurs ou des liens est assurée par le protocole OSPF sur lequel repose LDP. On assiste aux messages habituels - LS Request, LS Database, HELLO Le protocole ldp est lancé seulement une fois que le protocole OSPF a convergé. Une fois les bases de données de R9 remplies, le routeur R9 ouvre une connexion TCP avec son voisin afin de procéder à l échange de labels. Ces messages d échange de labels se font sur TCP et sont donc tous acquittés -comme il n y a pas de réponse même implicite, TCP est le seul moyen d être sûr que le routeur a bien eu toute les informations. 58

59 Chapitre III : Etude et simulation du service VPN-IP 59

60 I. Présentation générale 1. Services MPLS Le concept de MPLS est intellectuellement intelligent dans ses principes et très séduisant dans ses intentions. Son objectif est de tirer profit de la capacité de transmission de technologies existantes telles qu ATM et FR (Frame Relay). Ainsi, MPLS a su apporter la puissance de la commutation au domaine de routage pour être adoptée comme technologie autour de laquelle peuvent être bâtis de rapide réseaux dorsaux. En outre, MPLS trouve de nouveaux domaines d applications l approchant jour après jour des utilisateurs finaux en leur offrant des services proches des couches applicatives. La figure ci-dessous énumère quelques exemples de nouveaux services à valeur ajoutée pouvant se greffer au dessus de MPLS. Figure 64 : Les services MPLS Dans la suite de ce chapitre nous allons exposer le principal service qui peut être immédiatement mis en place au dessus de MPLS à savoir le service VPN-IP. 60

61 2. Service VPN-IP Les réseaux privés virtuels MPLS simplifient considérablement le déploiement des services par rapport aux VPN IP traditionnels (Utilisation de lignes spécialisées, Utilisation de tunnels IP, Utilisation de réseaux Frame Relay ou ATM). Le service VPN consiste en la mise en place d un réseau privé bâti sur une infrastructure mutualisée fournie par l opérateur de service SP Service Provider. L aspect virtuel est dû à l absence de la réservation lien physique de bout en bout entre les différents sites du même client. Ajoutons à cela que la confidentialité est assurée par la préservation des plans de routage et d adressage de ce même client. Les VPNs basés sur l architecture MPLS son communément appelés BGP/MPLS-VPNs vu que le protocole BGP est utilisé pour la distribution des informations de routage à travers le backbone, et que MPLS est utilisé pour acheminer le trafic d un site du VPN à un autre. Les objectifs de cette approche sont de rendre le service simple d usage pour les clients même s ils ne disposent pas d expérience dans le routage IP, de le rendre extensible et flexible pour faciliter un déploiement à grande échelle. II- Fonctionnement du service VPN-IP 1. Composantes du réseau pour le BGP/MPLS-VPNs : Au niveau Infrastructure, la mise en œuvre du service VPN repose sur le déploiement d un ensemble d équipements. A savoir les routeurs CE, PE et P. Dans le contexte du RFC 2547, un VPN est défini par une collection de politiques qui contrôlent la connectivité d un ensemble de sites. Ainsi, un site client est connecté au réseau du SP par un ou plusieurs ports, et le SP associe à chaque port une table de routage VPN appelée VRF (VPN Routing and Forwarding). 61

62 Customer Edge : Figure 65 : Architecture d un routeur virtuel VR- Le routeur CE (Customer Edge) est l équipement qui permet l accès du client au réseau du SP à travers un ou plusieurs routeurs PE. Typiquement, c est un routeur qui établit une adjacence avec les PEs auxquels il est directement connecté. Après l établissement de l adjacence, le routeur CE annonce aux PEs les routes VPN du site local pour qu il puisse recevoir de ce dernier les routes VPN distantes. Provider Edge C est grâce au concept de routeur PE (Provider Edge) implémentant une ou plusieurs VRF qu il est devenu possible de mettre en place des réseaux d opérateurs souples et commercialement viables. Le PE échange les informations de routage avec le CE en utilisant le routage statique ou dynamique, RIPv2, SPF ou BGP. Au moment où le PE maintient les informations de routage VPN, il lui est requis seulement de maintenir les routes VPN de ceux qui lui sont directement connectés. Ce qui contribue fortement à l amélioration de l extensibilité du réseau. Chaque PE maintient une VRF relative à chaque site qui lui est directement connecté. Chaque connexion (Frame Relay, LL,..) est mappée à une VRF spécifique. D où la justification du choix d un port (interface), et non un site, pour l associer à une VRF. L étanchéité des VPNs est rendu possible grâce au maintient par le PE d une multitude de VRF, rendant aisée la tache de routage et améliorant les performances des équipements de commutation. Les informations de routage locales aux CEs sont utilisées par les routeurs PE pour établir, via BGP, la connectivité IP. Cette connectivité IP sera par la suite traduite en connectivité de label. 62

63 Provider Router Le routeur P est n importe quel routeur situé dans le backbone MPLS et qui n est connecté à aucun routeur CE. Le P fonctionne en MPLS transit (LSRs) quant il achemine un trafic VPN entre PEs. Les P sont chargés du maintien des routes au PE, et non du maintien d information spécifique de routage pour les sites clients. 2. Apports du MPLS VPN La mise en place du service VPN sur la base de l architecture MPLS profite pleinement des avantages de celle-ci en terme séparation des plans logiques et physiques à savoir : L absence de contraintes sur le plan d adressage adopté par chaque VPN client. Le client peut ainsi utiliser un adressage public ou privé. Pour le SP, plusieurs clients peuvent utiliser les mêmes plages d adresses. Du fait que le modèle adopté est le Network Based layer 3 VPN, le CE n échange pas directement les informations de routage avec les autres CE du même VPN. Les clients ne sont alors pas obligés d avoir une parfaite connaissance du schéma de routage utilisé dans le réseau. Les clients n ont pas un backbone virtuel à administrer. De ce fait, la tache de management PE ou P, voire CE, est une tache de moins. Le SP administre un seul réseau mutualisé pour l ensemble de ses clients. Le VPN client peut s appuyer sur un ou plusieurs backbone SP. Même sans l utilisation de technique de cryptographie, la sécurité est équivalente à celle supportée par les VPNs de la couche 2 (ATM ou Frame Relay). Les SPs peuvent utiliser une infrastructure commune pour offrir les services de connectivité VPN et Internet. Conformité au modèle DiffServ. Une QoS flexible et extensible grâce à l utilisation des bits EXP de l entête MPLS ou par l utilisation du trafic Engineering (RSVP) Le modèle RFC 2547bis est indépendant du lien de la couche 2. 63

64 3. Défis et Solutions MPLS-VPN utilise plusieurs mécanismes pour améliorer l extensibilité de son approche et résout ainsi des problèmes spécifiques d exploitation. Le support du chevauchement des plans d adressages ou Overlapping, la connectivité contraignante au réseau et le maintien à jour des informations de routage VPN ont été les principaux défis à relever. a. Overlapping Les clients VPN gèrent souvent leurs propres réseaux et utilisent des espaces d adresses privés conformes au RFC 1918 définissant les plages d adressage privé. Si les clients n utilisent pas des adresses universelles, les mêmes adresses IPv4 peuvent être utilisées pour identifier différents systèmes dans différents VPNs. Le résultat serait l échec de routage vu que BGP exige que chaque adresse IPv4 qu il véhicule soit globalement unique. Pour surmonter cette difficulté MPLs-VPN supporte un mécanisme qui convertit les adresses IP non uniques en adresses uniques par la combinaison de l utilisation de la famille d adresses VPN-IPv4 grâce au déploiement des extensions du Multi-Protocoles BGP (MP-BGP). BGP est un protocole qui traite deux routes ayant le même préfixe comme si elles sont équivalentes et n en garde qu une seule. Présentant l inconvénient de ne supporter que les adresses IPv4, BGP a contraint l IETF à se pencher sur la question et publier les RFC 2283 et Les extensions objets de ces RFCs ont donné naissance au MP-BGP, que les PE doivent supporter à la place du BGP conventionnel. Ainsi, la famille d adresses VPNv4 a été adoptée comme solution à la problématique d overlapping. Une adresse VPNv4 est formée de 12 Octets. 8 octets composent le RD (Route Distinguisher) suivi des octets de l adresse IPv4. Figure 66 : Format d adresse VPNv4 64

65 b. Connectivité contraignante Assumant une table de routage qui ne contient pas une route par défaut, il est admis, pour le routage IP, que si la route à un réseau spécifique n est pas installée dans une table de transfert Forwarding Table ce réseau est alors injoignable. Le modèle MPLS-VPN se base sur un contrôle plus granulaire des informations de routage par l ajout de deux mécanismes supplémentaires à savoir le Multiples Forwarding Tables et le BGP extended communities. Multiples Forwarding Tables : Au niveau d un routeur PE, chacune de ses VRFs est associée à un ou plusieurs de ses ports (interfaces/sous interfaces) qui le connectent directement au site client. Si un site donné contient des machines qui sont membres dans plusieurs VPNs, la VRF associée au site client contient alors des routes pour tous les VPNs dans lesquels ce site est membre. BGP extended communities : La distribution des informations de routage est conditionnée par l usage des nouveaux attributs du BGP que sont les Extended Communities. Ces attributs font parties des messages BGP en tant qu attributs de la route. Ils identifient la route comme appartenant à une collection spécifique de routes et qui font objet de la même politique de traitement. Chaque attribut BGP Extended Community doit être globalement unique et ne peut alors être utilisé que par un seul VPN. Néanmoins, un VPN d un client donné peut faire usage du «BGP Extended Communities» pour aider au contrôle de la distribution des informations de routage. Les attributs BGP Extended Communities utilisés sont de 32 bits au lieu de 16 bits. L utilisation de ces 32 bits vise l amélioration de l extensibilité des réseaux d opérateurs à 232 communities. Par ailleurs et puisque l attribut contient l identificateur du système autonome du SP, il peut aussi servir pour contrôler l attribution locale tout en maintenant son unicité. Trois types d attributs BGP Extended Communities sont utilisés : 65 Le RT (Route Target) qui identifie une collection de sites VRFs vers lesquelles le PE distribue les routes. Un PE utilise cet attribut pour contraindre l import de routes vers ses VRFs.

66 Le VPN-of-origin qui identifie une collection de sites et établit la route associée comme venant d un des sites de l ensemble. Le Site-of-origin qui identifie le site spécifique à partir duquel le PE apprend une route. Il est encodé comme attribut de «route origin extended community», qui peut être utilisé pour prévenir les boucles de routage. En mode opérationnel, et avant de distribuer ses routes locales aux autres PEs, le PE d entrée affecte un RT à chaque route apprise par les sites directement connectés, qui est basé sur la valeur de la politique cible d export configurée. Cette approche offre une flexibilité énorme dans la mesure où un PE peut attribuer un RT à une route. Le PE d entrée (ingress) peut ainsi être configuré pour assigner un seul RT à l ensemble des routes apprises d un site donné, ou d assigner un RT à un groupe de routes apprises d un site et autres RTs aux autres routes apprises d un autre. Avant d installer les routes distantes distribuées par un PE, chaque VRF dans un PE sortant (egress) est configurée avec une politique import cible. Un PE peut uniquement installer une route VPNv4 dans une VRF si le RT transporté avec la route correspond à une VRF import cible. Cette approche permet à un SP d utiliser un seul mécanisme pour servir les clients ayant une large politique de connectivité inter sites. Par le biais d une configuration sereine d Import Target et Export Target, le SP peut alors construire différents types de topologies VPN : maille complète, maille partielle, Hub, Spoke,. Maintien à jour des informations de routage : Lors de tout changement de la configuration d un PE par la création d une nouvelle VRF ou l ajout d une ou de plusieurs politiques Import Target à une VRF, le PE aura besoin d obtenir les routes VPN-Ipv4 qu il a annulé auparavant. Le BGP4 peut présenter une entrave à la mise à jour rapide que nécessite le PE dans la mesure où il s agit d un protocole stateful qui ne procède pas au rafraîchissement automatique des routes, une limitation dont ne souffre pas le MP-BGP grâce à sa fonction Route Refresh Capability. Ainsi lors du changement de la configuration d un PE, celui-ci envoie une requête de mise à jour via le MP-iBGP peer. Quand les routes sont rediffusées, la politique Import Target est alors appliquée et le PE procède à la population de ses VRFs. 66

67 4. L architecture d un réseau déployant le service VPN-IP Figure 67 : L architecture d un réseau mettant en ouvre VPN-IP On s intéresse dans cette partie au déploiement d un réseau privé virtuel VPN sur une architecture MPLS. 1. La plateforme VPN-IP: Figure 68 : La plateforme réalisée pour VPN-IP 67

68 Dans notre cas, comme sur la figure de la plateforme, on a 2 routeurs PE : PE1 et PE2 4 routeurs CE : CE1 et CE2 relatifs au VPN_A et CE3 et CE4 relatifs au VPN_B et 1 routeur P : P. Pour des besoins, vu qu une seule machine une fois dépassée 6 routeurs, elle devient excessivement lente, nous avons choisi d effectuer le projet sur deux machines a ce niveau et cela en reliant les deux par des nuages. Tout ce passe comme si on effectuait la réalisation sur une seule machine, la plateforme devient alors: Sur la machine 1 : qui a une adresse IP /24 Figure 69 : Plateforme de sur la machine 1 Sur la machine 2 : qui a une adresse IP /24 Figure 70 : Figure 69 : Plateforme de sur la machine 2 68

69 2. Configurations et tests à effectuer : a. Configuration des adresses des interfaces : Nous avons aux niveaux de chaque CE des interfaces loopback pour simuler les réseaux utilisateurs qui seront utilisées dans par les VPN : CE1 : Loopback 0: Loopback 1: CE2: Loopback 0: Loopback 1: CE3: Loopback 0: Loopback 1: CE4: Loopback 0: Loopback 1: b. Configuration du protocole de routage interne On va maintenant configurer le routage interne du fournisseur, car BGP est un protocole EGP (Exterior Gateway Protocol), et son but n est pas le routage au sein de l AS mais entre les AS. Ses neighbors ne seront pas forcément dans les mêmes sous réseaux, et il faut donc qu ils puissent communiquer, ce qui implique une table de routage valide pour chaque routeur. Nous utiliserons le protocole IGP OSPF au niveau du backbone de notre plateforme c'est-à-dire sur les routeurs PE et P. c. Vérification de l IGP : La table rib du Routeur PE1 : la table mentionnant les routes concernant le routeur PE1 69

70 routeur P1 Figure 71 : La table RIB de PE1 La table ri du Routeur P1 : la table mentionnant les routes concernant le Figure 72 : La table RIB de P1 70

71 Le Ping : du PE1 vers les autres interfaces Figure 73 : Les résultats des Ping depuis PE1 Donc on voit bien que les Ping réussissent avec succès depuis le PE1 vers les toutes les interfaces du réseau backbone. Ce qui veut dire que l IGP fonctionne bien. d. Configuration MPLS : Il faut configurer le MPLS sur les routeurs du fournisseur c'est-à-dire les routeurs PE et P.Ici nous utiliserons le protocole LDP pour la distribution de label. Les étapes à suivre pour faire cela sont les suivantes : Sur le routeur PE1 : PE1#Configure terminal PE1(config)# mpls ldp advertise-labels PE1(config)# mpls ldp router-id loopback0 force PE1(config)# interface f1/0 PE1(config-if)# mpls ip 71 Sur le routeur PE2 : PE2#Configure terminal PE2(config)# mpls ldp advertise-labels PE2(config)# mpls ldp router-id loopback0 force

72 PE2(config)# interface f1/0 PE2(config-if)# mpls ip Sur le routeur P1 : P1#Configure terminal P1 (config)# mpls ldp advertise-labels P1(config)# mpls ldp router-id loopback0 force P1(config)# interface f0/0 P1(config-if)# mpls ip P1(config)# interface f1/0 P1(config-if)# mpls ip Sur le routeur P2 : P2#Configure terminal P2 (config)# mpls ldp advertise-labels P2(config)# mpls ldp router-id loopback0 force P2(config)# interface f0/0 P2(config-if)# mpls ip P2(config)# interface f1/0 P2(config-if)# mpls ip Donc la configuration du MPLS se termine la et on fera une série de test pour voir son fonctionnement. Pour cela on affichera la table des LIB. e. Test du MPLS: Sur le PE1 : on affiche ici la table LIB pour voir les labels utilisés pour atteindre les préfix réseaux. 72 Figure 74 : le résultat de la commande "show mpls forwarding-table" sur PE1

73 Sur le P1 : on affiche ici la table LIB pour voir les labels utilisés pour atteindre les préfix réseaux. Figure 75 : le résultat de la commande "show mpls forwarding-table" sur P1 Les Ping : on Ping pour voir le résultat depuis PE1 vers PE2 : 3. Création de VRF Figure 76 : Le résultat du Ping depuis PE1 vers PE2 Une VRF permet de virtualiser une partie du routeur. Par exemple, un routeur qui doit traiter le traffic de plusieurs AS ayant le même adressage, afin de ne pas les mélanger, mettra chaque AS dans une VRF. Chaque VRF a sa propre Routing Information Base (RIB, Table de routage) et table Cisco Express Forwarding (doit être activé avec ip cef). Le routage se fera grâce à BGP et son extension multi protocole (MP BGP) : Un routeur en cœur de réseau pouvant avoir plusieurs clients ayant les mêmes adresses privées, on assignera à chaque VRF une route distinguisher, qui, préfixé a une adresse IPv4 donnera une adresse VPNv4 unique dans tout le réseau (on aura donc une RD par VRF). Les routes des VRFs pouvant être injectées dans d autres VRF (VPN Multi Sites), on utilisera les Route Target (RT) qui permettront de définir un nom d export à la table de routage de notre VRF, et d indiquer quelles tables importer. Les RT seront transportées via MP BGP. Chaque VRF doit avoir une RD (unique) et une ou plusieurs RT en import et/ou export. 73

74 Convention RD : Numero_as :nombre_aleatoire Ou IPv4 :nombre_aleatoire Convention RT : Numero_as :nombre_aleatoire Ou IPv4 :nombre_aleatoire Les RD et RT peuvent ou non avoir la mêmes valeur, cela n a rien à voir, mais doivent être les mêmes sur tous les routeurs pour la même VRF. Le mot clef both indique que les routes de la vrf crf_client seront exportées et importées sur chaque routeur, ce qui veut dire que si un des routeurs reçoit une mise à jour BGP avec la RT 1:123 il l injectera dans la table de routage de cette VRF. Les routeurs P n ont pas besoin d avoir cette VRF configurée puisqu ils n ont pas d interfaces configurées dans cette VRF. On remarque aussi que le client ne sait pas qu il est dans une VRF, cela est défini uniquement coté FAI. En fait, le routeur PE enverra dans ces messages la liste des adresses qu il peut desservir ainsi que le label qu il attend pour commuter sur tel ou tel préfixe. La configuration se fait donc sur les PE seulement comme suit : Sur PE1 : PE1#Configure terminal PE1(config)#ip vrf VPN_A PE1(config-vrf)# rd 1:100 PE1(config-vrf)# route-target export 1:100 PE1(config-vrf)# route-target import 1:100 PE2(config-vrf)# exit PE2(config)#ip vrf VPN_B PE2(config-vrf)# rd 1:200 PE2(config-vrf)# route-target export 1:200 PE2(config-vrf)# route-target import 1:200 74

75 Sur PE2 : PE2#Configure terminal PE2(config)#ip vrf VPN_A PE2(config-vrf)# rd 1:100 PE2(config-vrf)# route-target export 1:100 PE2(config-vrf)# route-target import 1:100 PE2(config-vrf)# exit PE2(config)#ip vrf VPN_B PE2(config-vrf)# rd 1:200 PE2(config-vrf)# route-target export 1:200 PE2(config-vrf)# route-target import 1:200 a. Assignation des interfaces aux VRF Il est maintenant indispensable de préciser sur quelle interface du PE est relié le site client. On vérifie alors sur la configuration voulue le nom de l interface de PE qui est reliée au routeur CE. Sur PE1 PE1(config)#interface FastEthernet0/0 PE1(config-if)# ip vrf forwarding VPN_A PE1(config-if)# ip address PE1(config)#interface FastEthernet0/1 PE1(config-if)# ip vrf forwarding VPN_B PE1(config-if)# ip address La première ligne de commande permet de préciser que l on travaille sur l interface FastEthernet0/0, c est à dire l interface qui relie le routeur PE au routeur CE. On précise ensuite que sur cette interface on va commuter des paquets qui appartiennent au VPN_A. On précise l adresse de l interface ainsi que le masque appliqué. On a donc réussi à créer une table VRF reliée au routeur CE1, dont on connait les principales caractéristiques - rd, rt

76 On fait pareil sur le routeur PE2. Sur PE2 PE2(config)#interface FastEthernet0/0 PE2(config-if)# ip vrf forwarding VPN_A PE2(config-if)# ip address PE2(config)#interface FastEthernet0/1 PE2(config-if)# ip vrf forwarding VPN_B PE2(config-if)# ip address b. Lancer OSPF dans l instance VRF Dans le site client, le protocole de routage utilisé est un protocole IGP classique. Ici on travaille avec le protocole de routage OSPF. On lance donc ce protocole, qui permettra de remplir la table VRF du PE. Le routeur PE pourra donc router en IP les paquets à destinations du routeur CE concerné. Sur le routeur PE1 : PE1(config)#router ospf 100 vrf VPN_A PE1(config-router)#network area 0 PE1(config-router)#redistribute bgp 10 subnets PE1(config)#router ospf 200 vrf VPN_B PE1(config-router)#network area 0 PE1(config-router)#redistribute bgp 10 subnets Sur le routeur PE2: PE2(config)#router ospf 100 vrf VPN_A PE2(config-router)#network area 0 PE2(config-router)#redistribute bgp 10 subnets PE2(config)#router ospf 200 vrf VPN_B PE2(config-router)#network area 0 PE2(config-router)#redistribute bgp 10 subnets 76

77 c. Lancer MP-BGP pour l annonce des routes On va dans cette section s occuper de lancer le protocole MPBGP pour l annonce des routes. Le protocole MPBGP est relatif aux routeurs PE qui gèrent le même VPN. En l occurrence, pour le VPN_A, il s agit des routeurs PE1 et PE2. On va donc annoncer au routeur PE1 qu il devra dialoguer avec le routeur PE2 en utilisant ce protocole. Ainsi, PE1 enverra des messages de type update au routeur PE2. Ces messages renseigneront PE2 sur les préfixes que peut joindre PE1, le Next Hop en l occurrence PE1, le RT ici VPN_A ou VPN_B et le label pour joindre le préfixe en question. Sur le routeur PE1 PE1(config)#router bgp 1 PE1 (config-router)#no bgp default ipv4-unicast PE1 (config-router)#neighbor remote-as 1 PE1 (config-router)#neighbor update-source Loopback0 PE1 (config-router)#address-family vpnv4 PE1 (config-router-af)#neighbor activate PE1 (config-router-af)#neighbor send-community both PE1 (config-router-af)#exit PE1 (config-router)#address-family ipv4 vrf VPN_A PE1 (config-router-af)#redistribute ospf 100 PE1 (config-router-af)#exit PE1 (config-router)#address-family ipv4 vrf VPN_B PE1 (config-router-af)#redistribute ospf 200 Sur le routeur PE2 PE2(config)#router bgp 1 PE2 (config-router)#no bgp default ipv4-unicast PE2 (config-router)#neighbor remote-as 1 PE2 (config-router)#neighbor update-source Loopback0 PE2 (config-router)#address-family vpnv4 PE2 (config-router-af)#neighbor activate PE2 (config-router-af)#neighbor send-community both PE2 (config-router-af)#exit PE2 (config-router)#address-family ipv4 vrf VPN_A PE2 (config-router-af)#redistribute ospf 100 PE2 (config-router-af)#exit PE2 (config-router)#address-family ipv4 vrf VPN_B PE2 (config-router-af)#redistribute ospf

78 4. Test de la configuration: Une fois les deux routeurs paramétrés, on peut vérifier si la configuration est bonne. Pour cela on cherche à prouver la nouvelle connectivité entre le routeur PE1 et le CE1 et le CE3 ou entre le routeur PE2 et le CE2 et CE4. On fait alors un Ping, un traceroute et un show ip route depuis le routeur PE1 ou le routeur PE2 Figure 77 : résultat de la commande "Ping vrf VPN_A ou " depuis PE1 Figure 78 : résultat de la commande "traceroute vrf VPN_A ou " depuis PE1 On en déduit que le routeur CE et le PE sont bel et bien connectés ensemble. De plus le show ip route appliqué à la table vrf démontre que le CE a bien transmis toutes ses adresses au PE. 78

79 Figure 79 : résultat de la commande "show ip route vrf VPN_A et show ip route vrf VPN_A " depuis PE1 Figure 80 : résultat de la commande "show ip route vrf VPN_B et show ip route vrf VPN_B " depuis 79

80 a. L acheminement des paquets Une fois le VPN installé et paramétré, on s attarde alors sur l acheminement des paquets. On cherche ici à comprendre comment transitent les paquets et quels labels sont apposés par MPLS. Pour répondre à cette question, on commence par faire un Ping depuis le routeur CE1 vers le routeur CE2. Pour le CE1, le routeur CE2, qui se trouve dans le même VPN est sur le même réseau. Il n a aucune connaissance de l éloignement des sites. Il transmet le paquet en IP au routeur PE1. C est la raison pour laquelle lorsqu on fait un Ping entre les routeurs CE1 et CE2, on n a aucune donnée sur les labels apposés. Et cela est pareil pour les routeurs CE3 et CE4. Si on veut connaitre les labels lors du chemin entre CE d un même VPN, alors on fait un Ping entre PE1 et CE distant. Le PE1 reçoit un paquet depuis un CE1 ou CE2, routé en IP. Il regarde l adresse de destination, il s agit d une adresse appartenant à la table vrf, donc au même VPN. Il va donc traiter le paquet. Dans le cas contraire, le paquet serait détruit. PE1 regarde dans sa table remplie avec le protocole MPiBGP le prochain saut en terme de PE, pour aller à l adresse IP souhaitée, et appose alors le label correspondant. Ce label servira à commuter le paquet entre les différents PE. Ensuite, il regarde dans sa table de commutation le label qu il doit attribuer pour le prochain saut du message dans le backbone ; il en déduit un second label. Ainsi, le paquet est transmis avec deux labels. Le premier, le plus à l extérieur, permet la commutation du paquet dans le réseau, pour conduire le paquet au PE suivant; le second permet la commutation du paquet au niveau des PE. Pour connaître le cheminement du message, on doit faire un traceroute ; le Ping donnera les labels apposés - bien que le traceroute les fournisse aussi. On se place donc sur le routeur PE1 pour effectuer ces deux commandes. Voilà le résultat obtenu : Sur le Routeur PE1 : 80

81 Le VPN_A : on essai de joindre les réseaux du VPN_A et voir les labels qui sont mis en jeu. Figure 81 : résultat de la commande " trace vrf VPN_ A ou trace vrf VPN_ A " depuis PE1 Le VPN_B : on essai de joindre le réseau du VPN_B et voir les labels qui sont mis en jeu. Sur le routeur PE2 : Figure 82 : résultat de la commande " trace vrf VPN_ B le VPN_A : on essais de joindre les réseaux du VPN_A et voir les labels qui sont mis en jeux.voir la figure suivante pour les deux réseaux : 81

82 Figure 83 : résultat de la commande " trace vrf VPN_ A ou trace vrf VPN_ A " depuis PE2 b. Les Ping effectués : On essais de voir si on peut joindre nos sites VPN d un site a l autre. Donc cela doit être possible sur les routeurs CE. Sur le CE1 : on Ping les deux autres réseaux du site VPN_A distant. Figure 84 : résultat de la commande "Ping ou Ping " depuis CE1 On remarque que le Ping marche avec succès, on a pu joindre le site distant. Sur le CE3 : on Ping les deux autres réseaux du site VPN_B distant. 82

83 Figure 85 : résultat de la commande "Ping ou Ping " depuis CE3 Donc le Ping marche avec succès, on a pu joindre le site distant. c. Les tables RIB : Ici nous verrons les tables RIB qui sont mises en jeux au niveau des routeurs CE à savoir leur contenu. Sur le CE1 : on a les routes suivantes : Figure 86 : La table RIB du CE1 On voit bien qu on a les routes vers les reseaux distants du même site VPN. Sur le CE3 : on a les routes suivantes : 83

84 Figure 87 : La table RIB du CE3 On voit bien qu on a les routes vers les reseaux distants du même site VPN. Sur le PE1 : on a les routes suivantes sur la table VRF du VPN_A: Figure 88 : La table RIB sur le PE1 pour le VPN_A Sur le PE1 : on a les routes suivantes sur la table VRF du VPN_B: 84

85 Figure 89 : La table RIB sur le PE1 pour le VPN_B d. Les tables LIB des PE des P : Ici on montrera le contenu des tables LIB des routeurs PE et P Sur le PE1 : voila les labels qui sont utilisés par le PE1 en entrée puis en sortie. Figure 90 : La table LIB du PE1 Sur le P1 : les P n ont aucune connaissance des VPN donc la table LIB du P1 contient : 85 Figure 91 : La table LIB sur le P1

86 e. Les deux labels du service VPN-IP Ici comme on met en place un service VPN sur le MPLS donc on a deux services à savoir la commutation et le VPN ce qui implique l utilisation de deux labels. Pour voir ces labels on les affiches à partir des routeurs PE. Sur le PE1 : les labels qui sont utilisés pour joindre le VPN_A concernant le sont les suivants Figure 92 : résultat de la commande "show ip cef vrf VPN_A " depuis PE1 On a bien deux labels : 19 et 21. Sur le PE1 : les labels qui sont utilisés pour joindre le VPN_B concernant le sont les suivants. Figure 93 : résultat de la commande "show ip cef vrf VPN_B " depuis PE1 On a bien deux labels : 19 et

87 f. Visualisation Sur Wireshark : On a utilisé le Wireshark sur le backbone entre les routeurs P pour voir les messages qui sont échangés entre les routeurs. Les échanges Ldp : Les échanges Ping : Figure 94 : Les messages LDP et OSPF échangés trouve : Figure 95 : Les échanges Ping capturés par wireshark Lorsqu on sélectionne un message Ping Request pour voir les labels mis en jeux on 87

88 Figure 96 : les labels utilisés par le protocole ICMP pour joindre le VPN_A distant On voit bien qu il y a deux labels qui sont utilisés pour joindre le VPN_A distant depuis le VPN_A local. Ces labels sont 18 t pour la commutation au sein du backbone et 22 pour identifier le VPN_A sur le PE2 Pour la réponse à ce Ping : Figure 97 : les labels utilisés par le protocole ICMP pour joindre le VPN_A distant Pour la réponse au Ping précédant on voit que les labels utilisés ne sont pas les mêmes que dans la requête «Ping Request». Dans ce cas les labels sont 16 et pour la pour la commutation au sein du backbone et 22 pour identifier le VPN_A sur le PE1 88