Une brève introduction aux Provider Provisioned VPN

Une brève introduction aux Provider Provisioned VPN Chaput Emmanuel 2014-2015 Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 1 / 86 1 2 Les réseaux privés de niveau 3 3 Un exemple : les VPNs fondés sur MPLS/BGP 4 5 Les réseaux privés de niveau 1 6 Réféfences bibliographiques Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 2 / 86 1 Les différents types de VPN Un peu de vocabulaire Les enjeux Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 3 / 86

Qu est-ce qu un VPN? Un réseau à usage privé mis en œuvre de façon logique au-dessus d une infrastructure publique Qu est-ce qu un PPVPN? Un VPN mis en œuvre par un fournisseur à destination d un client. Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 4 / 86 Provider Provisioned VPN Réseau privé virtuel fourni par un prestataire à un client. Terminologie ITU-T : NB-VPN (Network-Based VPN). Diverses variantes, par exemple (IETF) Groupe de travail L3VPN de l Internet Area [16] Groupe de travail PWE3 de l Internet Area [17] Groupe de travail L2VPN de l Internet Area [15] Groupe de travail L1VPN de la Routing Area [14] Terminologie parfois incohérente (voir contradictoire) Travaux équivalents à l ITU-T [18] Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 5 / 86 Les différents types de VPN Les différents types de VPN 1 Les différents types de VPN Un peu de vocabulaire Les enjeux Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 6 / 86

Les différents types de VPN Layer 1 VPN Réseau virtuel dont le plan de données est au niveau 1 Service de communication de niveau 1 Fourni à un client Par un réseau fournisseur de niveau 1 Avec un contrôle du client sur la connectivité Indépendance entre connectivité Du plan de donnée Du plan de contrôle Groupe de travail 13 de l ITU-T Fourniture d un service de type optique ou TDM Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 7 / 86 Les différents types de VPN Layer 2 VPN Layer 2 VPN Interconnexion d équipements au niveau 2. Peut prendre différentes formes Virtual Private Wire Service (VPWS) Point à point Parfois nommé VLLS (Virtual Leased Line Service) Virtual Private LAN Service (VPLS) Interconnexion classique de LANs traditionnels Parfois nommé TLS (Transparent LAN Service) ou VPSN (Virtual Private Switched Network) IP-only LAN-like Service (IPLS) Idem mais de l IP uniquement Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 8 / 86 Les différents types de VPN Layer 3 VPN Terminologie issue de [3] Layer 3 VPN Interconnexion d hôtes et de routeurs Sur la base d adresses de niveau 3 Routage fondé uniquement sur l en-tête IP ou MPLS [8] Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 9 / 86

Un peu de vocabulaire Un peu de vocabulaire 1 Les différents types de VPN Un peu de vocabulaire Les enjeux Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 10 / 86 Un peu de vocabulaire (3) Un peu de vocabulaire Customer Edge Équipement situé dans les locaux du client Customer Edge Router/Switch VPLS Customer Edge... Provider Edge Équipement situé dans les locaux du fournisseur Provider Edge Router/Switch L3VPN Customer Edge... Attachment Circuit (AC) Lien (éventuellement logique) entre un PE et un CE Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 11 / 86 Les enjeux Les enjeux 1 Les différents types de VPN Un peu de vocabulaire Les enjeux Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 12 / 86

Les enjeux Les enjeux [31] Pour le client Disponibilité Sécurité Qualité de service Pour le prestataire Passage à l échelle Administration Intéropérabilité Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 13 / 86 Les enjeux Différents scénarios Trois principaux scénarios [31] Un fournisseur avec un système autonome Cas le plus simple Un fournisseur sur plusieurs systèmes autonomes Nécessité d acheminement des informations (routage,... ) entre AS Plusieurs fournisseurs Besoins d accords entre eux (quelle négociation du SLA avec les clients?) Deux positionnements Réseaux de cœur Réseaux d accès Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 14 / 86 Les enjeux Besoin de nouveaux mécanismes Plan de contrôle Mise en place du VPN Connaissance (statique, dynamique) des entités impliquées Établissement de relations (quelle nature?) entre elles Routage des données Entre les extrémités du VPN Avec le reste du réseau Plan de données Acheminement des données Isolation des trafics Ces deux plans sont souvent indépendants Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 15 / 86

Les réseaux privés de niveau 3 L3VPN : plan 2 Les réseaux privés de niveau 3 CE based vs PE based l3vpn L interface client/fournisseur dans les L3-vpn Gestion des VPN VPN dans le réseau fournisseur Le routage des VPNs Interconnexion de différentes technologies Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 16 / 86 Les réseaux privés de niveau 3 CE based vs PE based l3vpn CE-based vs PE-based L3-VPN 2 Les réseaux privés de niveau 3 CE based vs PE based l3vpn L interface client/fournisseur dans les L3-vpn Gestion des VPN VPN dans le réseau fournisseur Le routage des VPNs Interconnexion de différentes technologies Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 17 / 86 Les réseaux privés de niveau 3 CE based vs PE based l3vpn CE-based vs PE-based L3-VPN Customer Edge based VPN Implantation dans les équipements de CE Les équipements PE n en ont pas connaissance Service fourni au client au travers d un LAN Provider Edge based VPN Implantation dans les équipements PE Encapsulation dans le réseau du provider Service fourni au client au travers d un MAN Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 18 / 86

Les réseaux privés de niveau 3 CE based vs PE based l3vpn CE-based vs PE-based L3-VPN Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 19 / 86 Les réseaux privés de niveau 3 CE based vs PE based l3vpn CE-based L3-VPN Utilisation classique du réseau du fournisseur Besoin d adresses routables aux points d interconnexion des sites Utilisation d un protocole d encapsulation IP-in-IP GRE L2TP IPsec Customer-provisioned Mise en place et maintenance sous la responsabilité du client Invisible au réseau fournisseur Provider-provisioned Mise en place et maintenance sous la responsabilité du fournisseur Ce dernier doit également fournir le routage Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 20 / 86 Les réseaux privés de niveau 3 L interface client/fournisseur dans les L3-vpn L interface client/fournisseur dans les L3-VPN 2 Les réseaux privés de niveau 3 CE based vs PE based l3vpn L interface client/fournisseur dans les L3-vpn Gestion des VPN VPN dans le réseau fournisseur Le routage des VPNs Interconnexion de différentes technologies Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 21 / 86

Les réseaux privés de niveau 3 L interface client/fournisseur dans les L3-vpn Mise en place des VPNs PE-based : Définition des associations entre CE, PE et VPN Statique Un lien (physique ou virtuel (VCC ATM)) dédié Réalisé par l administrateur Dynamique Besoins non permanents (mobilité) Mécanismes d identification (PPP, RADIUS,... ) CE-based : Définition des associations entre CE et VPN Statique Relations permanentes entre divers CE Réalisées par l administrateur Dynamique Relations dynamiques entre divers CE Mises en place automatiquement Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 22 / 86 Les réseaux privés de niveau 3 L interface client/fournisseur dans les L3-vpn Le routage Objectif : acheminer dans le réseau client les routes passant par les tunnels PE-based, dialogue PE-CE Routage statique Un IGP (RIP, OSPF, IS-IS,... ) Une instance par réseau pour le PE Un EGP (BGP) Au moins une instance par réseau pour le PE PE-based, dialogue PE-PE Acheminement des routes apprises des CE Protocole éventuellement différent du PE-CE Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 23 / 86 Les réseaux privés de niveau 3 L interface client/fournisseur dans les L3-vpn Le routage CE-based, dialogue PE-CE A priori, aucun dialogue PEs ne participent pas au routage Fourniture possible de routes par les PEs Vers les autres sites clients du VPN Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 24 / 86

Les réseaux privés de niveau 3 L interface client/fournisseur dans les L3-vpn Le routage hors VPN Routage interne au client Un unique IGP Plusieurs zones d un unique IGP Plusieurs IGP Routage client/fournisseur Routes statiques Échange de routes de/vers les sites du client Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 25 / 86 Les réseaux privés de niveau 3 L interface client/fournisseur dans les L3-vpn Plan de donnnées PE-based : Paquets IP classiques Adresse IP unique à l échelle du réseau virtuel Adresse non nécessairement routable en dehors CE-based : Idem Le PE ne fait pas la différence avec les paquets hors VPN Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 26 / 86 Les réseaux privés de niveau 3 Gestion des VPN Gestion des VPN 2 Les réseaux privés de niveau 3 CE based vs PE based l3vpn L interface client/fournisseur dans les L3-vpn Gestion des VPN VPN dans le réseau fournisseur Le routage des VPNs Interconnexion de différentes technologies Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 27 / 86

Les réseaux privés de niveau 3 Gestion des VPN Gestion des VPN Que faut-il pour mettre en place et gérer un VPN? Connaître les membres du VPN et leurs possibilités Les identifier Contrôler la topologie Comment est-ce réalisable? Mise en place statique Mise en place automatisée Protocoles de contrôle (à la SNMP/MIB ou propriétaire) Annuaire centralisé (LDAP, RADIUS) Utilisation de protocoles de routage (BGP [36]) Entre ASs, n intéresse que les founisseurs du VPN Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 28 / 86 Les réseaux privés de niveau 3 VPN dans le réseau fournisseur VPN dans le réseau fournisseur 2 Les réseaux privés de niveau 3 CE based vs PE based l3vpn L interface client/fournisseur dans les L3-vpn Gestion des VPN VPN dans le réseau fournisseur Le routage des VPNs Interconnexion de différentes technologies Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 29 / 86 Les réseaux privés de niveau 3 VPN dans le réseau fournisseur VPN dans le réseau fournisseur Isolation des trafics entre eux Chaque VPN est dotés de ses caractéristiques propres Routage indépendant des adresses utilisées par les clients Adresses non routables Recouvrement possible Indépendance entre les versions d IP Déploiement d IPv6 Service IPv4 sur un cœur IPv4 Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 30 / 86

Les réseaux privés de niveau 3 VPN dans le réseau fournisseur La gestion des tunnels Mécanisme de base : encapsulation Permet un acheminement transparent dans le cœur ou non (MPLS) Impact sur la MTU à gérer Multiplexage Identifier le VPN en fonction du tunnel Mise en place Manuelle Automatique (protocole de partage des identifiants) Passage à l échelle Si états dans le cœur Hiérarchie Qualité de service Négociation (SLA) Mis en place Sécurité... Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 31 / 86 Les réseaux privés de niveau 3 VPN dans le réseau fournisseur Tunnels IP-in-IP IP dans IPv4 [32] ou IPv6 [9] Pas de multiplexage Utilisation des adresses si possible Overhead de 20 octets (IPv4) Pas de protocole de gestion Pas de mécanisme de gestion de la QoS Pas de mécanisme de gestion de la sécurité Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 32 / 86 Les réseaux privés de niveau 3 VPN dans le réseau fournisseur Tunnels GRE Generic Routing Encapsulation [11] Multiplexage par le champ key défini dans [10] Overhead de 36 octets Pas de protocole de gestion Pas de mécanisme de gestion de la QoS Pas de mécanisme de gestion de la sécurité Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 33 / 86

Les réseaux privés de niveau 3 VPN dans le réseau fournisseur Tunnels IPsec IP security [23] Authentication Header [21] Encapsulating Security Payload [22] Internet Key Exchange [12] Multiplexage par le champ SPI Overhead de 28 octets en mode tunnel Gestion par IKE Pas de mécanisme de gestion de la QoS Excellente sécurité Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 34 / 86 Les réseaux privés de niveau 3 VPN dans le réseau fournisseur Tunnels MPLS Multiprotocol Label Switching [38] Commutation des paquets dans le cœur fondée sur un label Label positionné par un routeur d entrée Constitution d un chemin (Label Switched Path ou LSP ) Multiplexage par les labels empilables [37] Gestion par LDP [2], RSVP [7] ou BGP [34],... Overhead de quatre octets par label Pas de mécanisme intrinsèque de gestion de la QoS Pas de mécanisme de gestion de la sécurité Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 35 / 86 Les réseaux privés de niveau 3 Le routage des VPNs Le routage des VPNs 2 Les réseaux privés de niveau 3 CE based vs PE based l3vpn L interface client/fournisseur dans les L3-vpn Gestion des VPN VPN dans le réseau fournisseur Le routage des VPNs Interconnexion de différentes technologies Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 36 / 86

Les réseaux privés de niveau 3 Le routage des VPNs Le routage des VPNs Un routeur (logique) par VPN sur chaque PE VPN Forwarding Instance (VFI) Problèmes de passage à l échelle Communication entre PEs Par VPN Au travers de tunnels équivalents Problèmes de passage à l échelle Agrégation des routes Un seul routage entre PEs Maillage total ou hiérarchique (Route Reflectors [5]) Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 37 / 86 Les réseaux privés de niveau 3 Interconnexion de différentes technologies Interconnexion de différentes technologies 2 Les réseaux privés de niveau 3 CE based vs PE based l3vpn L interface client/fournisseur dans les L3-vpn Gestion des VPN VPN dans le réseau fournisseur Le routage des VPNs Interconnexion de différentes technologies Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 38 / 86 Les réseaux privés de niveau 3 Interconnexion de différentes technologies Interconnexion de différentes technologies En cas d utilisation de plusieurs technologies de PE-based L3-VPN, quelle interconnexion? Par passerelle Ou Internetworking function Par protocole Ou Internetworking Interface Chez le client Routage Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 39 / 86

Un exemple : les VPNs fondés sur MPLS/BGP 3 Un exemple : les VPNs fondés sur MPLS/BGP L adressage Le routage Un exemple Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 40 / 86 Un exemple : les VPNs fondés sur MPLS/BGP Un exemple : les VPNs fondés sur MPLS/BGP Mise en place de VPN IP au travers du réseau du fournisseur [36] Réseaux isolés les uns des autres Informations de routage Échangées entre CE et PE Acheminées au travers du réseau fournisseur par BGP Gestion indépendante des divers VPN Recouvrements de préfixes possibles Acheminement des données Chaque route est associée à un label MPLS Paquets encapsulés avec le label de leur route Paquet MPLS encapsulé à son tour pour traverser le réseau Aucune gestion directe des VPNs dans le cœur du réseau Possibilité d utilisation récursive Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 41 / 86 Un exemple : les VPNs fondés sur MPLS/BGP L adressage L adressage 3 Un exemple : les VPNs fondés sur MPLS/BGP L adressage Le routage Un exemple Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 42 / 86

Un exemple : les VPNs fondés sur MPLS/BGP L adressage Adressage Adressage (IPv4) dans les réseaux privés Utilisation de plus en plus fréquente de réseaux privés [33] Adresses non routables voir non uniques Interconnexion délicate Interconnexion de réseaux privés par des opérateurs Pas de traduction d adresse Nécessité d avoir des adresses uniques et routables Pas de remise en cause de l adressage des clients Plusieurs instances de routage? Une par VPN Problème de facteur d échelle Nécéssité d ajout d informations Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 43 / 86 Un exemple : les VPNs fondés sur MPLS/BGP L adressage Adressage Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 44 / 86 Un exemple : les VPNs fondés sur MPLS/BGP L adressage La famille d adresses VPN-IPv4 MBGP introduit la notion de famille d adresses [6] Capacité à router autre chose que de l IPv4 Par exemple IPv6 L utilisation de BGP pour les VPN se fonde sur une nouvelle famille La famille d adresses VPN-IPv4 [36] 12 octets Permet d identifier de façon unique des réseaux IPv4 Pas utilisé dans le routage Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 45 / 86

Un exemple : les VPNs fondés sur MPLS/BGP L adressage La famille d adresses VPN-IPv4 Nombre sur 12 octets Champ Type (2 octets) Champ Value (6 octets) Sous champ Administrator Identifiant globalement unique ASN (Type = 0) Adresse IPv4 (Type = 1) ASN 32 bits (Type = 2) Sous champ Assigned Number Identifiant localement unique Adresse IPv4 Les 8 premiers octets sont qualifiés de Route Distinguisher [36]. Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 46 / 86 Un exemple : les VPNs fondés sur MPLS/BGP Le routage Le routage 3 Un exemple : les VPNs fondés sur MPLS/BGP L adressage Le routage Un exemple Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 47 / 86 Un exemple : les VPNs fondés sur MPLS/BGP Le routage Le routage Chaque PE dispose d un ensemble de VRF VPN Routing and Forwarding Une par VPN et une par défaut Chaque paquet est routé en fonction de la VRF correspondante Fonction de l AC par le quel il arrive Éventuellement de son adresse source Par défaut si pas de VRF associée Construction des tables de routages Entre PE et CE Entre PEs Statique, dynamique,... Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 48 / 86

Un exemple : les VPNs fondés sur MPLS/BGP Le routage L attribut Route Target de BGP Route Target Community [39] Attribut étendu transitif Permet de désigner un ensemble de routeurs Routeurs susceptibles d utiliser une route ainsi qualifiée Fonction équivalente à l attribut Community Permet également de répartir la charge entre plusieurs ensembles de Route Reflectors Chacun gérant les routes d un ensemble de Route Target Community Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 49 / 86 Un exemple : les VPNs fondés sur MPLS/BGP Le routage Annonce de routes entre CE et PE Différentes possibilités en fonction de la nature du réseau du client Réseau de transit Stub AS Techniques classiques envisageables Routage statique RIP OSPF (SLAs véhiculés grâce aux attributs étendus de BGP4) [35] BGP, a priori solutoin la plus souple Routes annoncées par PE au CE Route par défaut souvent suffisante Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 50 / 86 Un exemple : les VPNs fondés sur MPLS/BGP Un exemple Un exemple 3 Un exemple : les VPNs fondés sur MPLS/BGP L adressage Le routage Un exemple Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 51 / 86

Un exemple : les VPNs fondés sur MPLS/BGP Un exemple Annonce de routes entre CE et PE : un exemple (1) Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 52 / 86 Un exemple : les VPNs fondés sur MPLS/BGP Un exemple Annonce de routes entre CE et PE : un exemple (2) Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 53 / 86 Un exemple : les VPNs fondés sur MPLS/BGP Un exemple Annonce de routes entre CE et PE : un exemple (3) Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 54 / 86

Un exemple : les VPNs fondés sur MPLS/BGP Acheminement du trafic Un exemple Réception d un paquet par un PE Utilisation du VRF associé au lien de réception Encapsulation dans un paquet MPLS Label associé à la route Acheminement au travers du backbone Par un chemin MPLS en empilant un label Par un tunnel IP [41] Sur le routeur PE de sortie Désencapsulation du paquet Émission sur le lien en fonction du label Et éventuellement de la table de routage Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 55 / 86 4 Le plan de données L encapsulation de SONET/SDH dans MPLS Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 56 / 86 4 Le plan de données L encapsulation de SONET/SDH dans MPLS Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 57 / 86

Virtual Private Wire Service (VPWS) Service de niveau 2 point à point Virtual Private LAN Service (VPLS) Service de type LAN au travers d un WAN Problème de facteur d échelle Nombre des membres Gestion de la diffusion IP-only LAN-Like Service (IPLS) N acheminent que de l IP Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 58 / 86 Principe Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 59 / 86 4 Mise en place de pseudowires par LDP L utilisation de LDP dans le plan de contrôle des L2VPN BGP comme protocole du plan de contrôle de L2VPN Le plan de données L encapsulation de SONET/SDH dans MPLS Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 60 / 86

Mise en place de pseudowires par LDP 4 Mise en place de pseudowires par LDP L utilisation de LDP dans le plan de contrôle des L2VPN BGP comme protocole du plan de contrôle de L2VPN Le plan de données L encapsulation de SONET/SDH dans MPLS Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 61 / 86 Le modèle de référence PWE3 CE1 AC1 PE1 tunnel PW PE2 AC2 CE2 Problème Quel outil (démultiplexeur) pour faire le lien entre le tunnel et le service natif sur l AC dans le plan de données Correspondance avec VPI/VCI ATM, DLCI Frame Relay, VLAN Ethernet,... Label MPLS par exemple Quelles méthodes pour mettre en place et gérer le PW? Découvir les voisins, établir les relations Par exemple BGP (RFC-4761 [24]) ou LDP (RFC-4762 [26]) Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 62 / 86 Mise en place de pseudowires par LDP Acheminement dans un réseau MPLS (par exemple) Première proposition issue du groupe de travail pwe3 (RFC-4447 [30]) Mise en place d un PW entre deux entités distantes Utilisation d un label MPLS comme démultiplexeur Extensions de LDP pour échanger ces labels et les informations associées Étendue par le groupe de travail l2vpn (RFC-4762 [26]) Utilisation dans un contexte multipoint Agnostique à la méthode de découverte des PEs les uns par les autres Utilisation de BGP ou RADIUS (Internet Draft non renouvelé?) par exemple Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 63 / 86

Extension de LDP Deux nouveaux FEC Element Types (utilisés en fonction du mode de fonctionnement) PWid FEC Element Définit un type de PW selon (RFC-4446 [28]) Se fonde sur un identifiant du PW Des paramètres d interface (pe la MTU) Generalized PWid FEC Element Définit un type de PW selon (RFC-4446 [28]) Se fonde sur une identification des extrémités Identificaiton hiérarchique par la notion de groupe Des paramètres optionnels d interface Trois nouveaux TLVs (Type Length Value [4]) PW Interface Parameters Permet de véfifier/paramétrer la compatibilité entre extrémités PW Status Permet d échanger des informations d état du lien PW Grouping id Identification d un ensemble de PW Permet des annonces groupées (panne) Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 64 / 86 Mise en place du PW Les deux PE se connaissent Statiquement Par auto-découverte PE1 envoie à PE2 un message LDP Label Mapping contenant un PWid FEC Element PE2 déduit des informations véhiculées les conditions de mise en place du PW Il envoie un message d erreur le cas échéant Il procède à la même mécanique en sens inverse Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 65 / 86 L utilisation de LDP dans le plan de contrôle des L2VPN 4 Mise en place de pseudowires par LDP L utilisation de LDP dans le plan de contrôle des L2VPN BGP comme protocole du plan de contrôle de L2VPN Le plan de données L encapsulation de SONET/SDH dans MPLS Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 66 / 86

L utilisation de LDP dans le plan de contrôle des L2VPN Extension de (RFC-4447 [30]) proposée par le groupe L2VPN (RFC-4762 [26]) Fournir une connectivité de type LAN entre sites distants Exemple type Ethernet avec diffusion, multipoint,... Inteconnexion des PEs sur un réseau paquet Typiquement MPLS Autres mode de tunnels possibles Acheminement de trames Ethernet arrivant sur les AC quelle que soit la technologie sur l AC Routage dans le plan de données Niveau MAC : apprentissage des adresses Routage IP Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 67 / 86 Mise en place du VPLS Connaissance des PEs impliqués Manuelle RADIUS, BGP (internet draft non réactualisés)? Démultiplexeurs échangés par LDP Utilisation des Generalized PWid FEC Elements Type Raw Ethernet ou Tagged Ethernet Échange de la MTU, du VLAN ID (tagged mode) Ajout d un TLV MAC list TLV Supprimer plus vite des adresses MAC des tables en cas de changement de topologie Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 68 / 86 Relations entre PE Maillage total (choix de (RFC-4762 [26]) : pas de spanning tree) Pas de relayage Pas de risque de boucle Problème de passage à l échelle Trames diffusées Sigalisation Architecture hiérarchique Fondée sur une architecture physique existante Utilisation d équipements de desserte Architecture de type hub and spoke Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 69 / 86

Élements Hub and Spoke MTU-s (Multi Tenant Unit - Switching) désigne un équipement capable d effecuter de la commutation de niveau 2 PE-r (Provider Edge - routing) désigne un équipement capable d encapsuler les trames dans des paquets (MPLS par exmple) et de les router dans le réseau du fournisseur PE-rs (Provider Edge - routing and switching) désigne un équipement capable de faire les deux Un maillage total reste nécessaire entre les PE-rs Chaque MTU-s est relié à un (unique) PE-rs par un unique pseudowire Chaque MTU-s dessert éventuellement plusieurs sites clients (au travers d Ethernet natif ou d un PW) Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 70 / 86 Architecture Hub and Spoke Un seul (spoke) PW par VPLS entre un PE-rs et un MTU-s Moins de signalisation Administration hiérarchique Un PW par VPLS et par site client entre un PE-r et un PE-rs Moins de signalisation Pas d apprentissage sur les PE-r Pas de MTU-s Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 71 / 86 BGP comme protocole du plan de contrôle de L2VPN 4 Mise en place de pseudowires par LDP L utilisation de LDP dans le plan de contrôle des L2VPN BGP comme protocole du plan de contrôle de L2VPN Le plan de données L encapsulation de SONET/SDH dans MPLS Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 72 / 86

Construction des VPLS par BGP BGP peut être également utilisé pour découvir et signaler les L2VPN [24] Les PEs du réseau fournisseur Interconnectés (virtuellement) par des tunnels GRE,... MPLS (via RSVP-TE ou LDP) Maillage total Mise en place du VPN Auto découverte des PEs impliqués Choix de labels pour les liens virtuels Choix de la technique de mise en place des liens Indépendant de l implantation des VPN Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 73 / 86 Signalisation des VPLS par BGP Ensemble des informations échangé dans des NLRI BGP spécifiques aux VPLS Découverte des autres membres du VPN Attribut Route Target Community de BGP (RFC-4360 [39]) Pour identifier le VPN Utilisation de Route Distinguishers Pour identifier les PE Liens virtuels à établir Échange d un label de base et d une plage d offsets Permet à chaque PE de spécifier ses pairs et les labels correspondants Nature des liens Layer2 Info Extended Community Définit le type d encapsulation et la MTU Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 74 / 86 Le plan de données 4 Le plan de données L encapsulation Ethernet sur MPLS L encapsulation ATM sur MPLS L encapsulation de SONET/SDH dans MPLS Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 75 / 86

Le plan de données L encapsulation Ethernet sur MPLS Réseau d accès en ethernet natif Mise en place d un tunnel entre les PE Prolongement du réseau par le VPLS Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 76 / 86 Le plan de données L encapsulation Ethernet sur MPLS Défini par le groupe de travail pwe3 Encapsulation canonique Adresses, longueur/type, données, padding tels quels Suppression du préambule et du FCS Deux modes de fonctionnement (RFC-4448 [25]) (RFC-4446 [28]) Dans le Raw Mode, les trames sont acheminées indépendament de leur tag 802.1Q Dans le Tagged Mode, le tag doit être présent et son traitement est clairement défini Dinstinguer les trafics de plusieurs clients Possibilité d un service de type VLAN Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 77 / 86 Le plan de données Acheminement des données Encapsulation décrite précédemment Ajout éventuel un mot de contrôle Lié à l ECMP (RFC-2992 [13]) Permet le respect de l ordre Ajout du label de PW Encapsulation en fonction du tunnel utilisé Acheminement au travers du réseau paquet Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 78 / 86

Le plan de données La MTU et la fragmentation Les paquets encapulant le tunnel peuvent s avérer trop gros pour le réseau de l opérateur, ce qui induit de la framentation Proposition d un mécanisme général sur les PW (RFC-4623 [1]) Indépendemment de la charge utile Indépendemment de la nature du tunnel Définition d un mécanisme pour MPLS (utilisation de bits B et E dans les mots de contrôle) Définition d un mécanisme pour L2TP (ajout d AVPs) A éviter autant que possible Configuration de la MTU entre PE et CE Utilisation de la fragmentation IPv4 (ou du PMTUD) si possible C est donc au client de s en occuper Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 79 / 86 Le plan de données L encapsulation ATM sur MPLS Défini par le groupe de travail pwe3 (RFC-4717 [29]) Différents modes d encapsulation Dans le mode n vers 1, plusieurs VCC (ou VPC) peuvent être encapsulés dans un PW Les identifiants doivent être inclus Dans le mode 1 vers 1, un seul VCC (OU VPC) par PW Indentifiant non acheminé Acheminement de SDU AAL5 Acheminement de PDU AAL5 HEC non acheminé Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 80 / 86 Le plan de données Mode n vers 1 Mise en œuvre plus simple et plus économique Gestion globale de la QoS sur un aggrégat Concaténation des cellules dans une PW-PDU possible Gigue et retard Pas de correspondance entre les mécanismes de notification de congestion (EFCI d ATM) Encapsulation Entête du tunnel Label du PW Mot de contrôle (optionel) Séquence de cellule de 48 octets (pas de HEC) Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 81 / 86

Le plan de données Mode 1 vers 1 Fournir un service basé sur PVC ou un SVC au travers d un réseau paquet Plus faible overhead lors de la concaténation VCI et VPI peuvent être omis Encapsulation équivalente à la précédente avec 49 octets par cellule Un octet véhiculant le bit CLP, le PTI et stipulant la présence du VCI 48 octets de charge utile Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 82 / 86 Le plan de données Modes AAL5 SDU/PDU Nécessitent un mécanisme de réassemblage et fragmentation aux extrémités du PW Permettent un plus faible overhead Encapsulation similaire aux précédentes Cellules remplacées par la SDU (ou PDU, avec pad et trailer) AAL5 Gestion des cellules OAM (Operation And Maintenance) Mode AAL5 SDU Acheminées avant la SDU en cours Déséquencement éventuel Mode AAL5 PDU Acheminées dans l ordre via fragmentation Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 83 / 86 L encapsulation de SONET/SDH dans MPLS L encapsulation de SONET/SDH dans MPLS Le groupe de travail PWE3 a défini une méthode de transport de signaux SONET/SDH sur un réseau paquet (type MPLS) (RFC-4842 [27]) Méthode d encapsulation Émulation des divers conteneurs virtuels Signalisation par un en-tête spécifique Acheminement de la signalisation Signaux de maintenance de la SDH Signaux d alarme Transfert de l horloge Utilisation d un en-tête RTP (RFC-3550 [40]) Bufferisation pour minimiser la gigue Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 84 / 86

Les réseaux privés de niveau 1 L1VPN : plan 5 Les réseaux privés de niveau 1 Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 85 / 86 Les réseaux privés de niveau 1 Les réseaux privés de niveau 1 Des éléments d architecture sont définis par l ITU-T [19, 20] Service point à point ou multiploint Ressources du plan usager Partagées dans le temps entre plusieurs VPN (SUPN ou Shared U-Plan Private Network) Dédiées à un VPN (DUPN ou Dedicated U-Plan Private Network) Il en est de même des ressources du plan de contrôle (SCPN vs DCPN) Canaux physiques généralement partagés Gestion des membres toujours spécifique Gestion des ressources de communication, routage,... Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 86 / 86 Réféfences bibliographiques [1] M. Townsley A. Malis. Pseudowire emulation edge-to-edge (pwe3) fragmentation and reassembly. Technical report, Internet Engineering Task Force, 2006. August. [2] L. Andersson, P. Doolan, N. Feldman, A. Fredette, and B. Thomas. LDP Specification. Technical Report 3036, Internet Engineering Task Force, January 2001. Obsoleted by RFC 5036. [3] L. Andersson and T. Madsen. Provider Provisioned Virtual Private Network (VPN) Terminology. Technical Report 4026, Internet Engineering Task Force, March 2005. [4] L. Andersson, I. Minei, and B. Thomas. Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 86 / 86

Réféfences bibliographiques LDP Specification. RFC 5036 (Draft Standard), October 2007. Updated by RFCs 6720, 6790. [5] T. Bates, R. Chandra, and E. Chen. BGP Route Reflection - An Alternative to Full Mesh IBGP. Technical Report 2796, Internet Engineering Task Force, April 2000. Obsoleted by RFC 4456. [6] T. Bates, Y. Rekhter, R. Chandra, and D. Katz. Multiprotocol Extensions for BGP-4. Technical Report 2858, Internet Engineering Task Force, June 2000. Obsoleted by RFC 4760. [7] R. Braden, L. Zhang, S. Berson, S. Herzog, and S. Jamin. RFC 2205 : Resource reservation protocol (rsvp) version 1 functional specification. Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 86 / 86 Réféfences bibliographiques Standards track, IETF, September 1997. [8] R. Callon and M. Suzuki. A Framework for Layer 3 Provider-Provisioned Virtual Private Networks (PPVPNs). Technical Report 4110, Internet Engineering Task Force, July 2005. [9] A. Conta and S. Deering. Generic Packet Tunneling in IPv6 Specification. Technical Report 2473, Internet Engineering Task Force, December 1998. [10] G. Dommety. Key and Sequence Number Extensions to GRE. Technical Report 2890, Internet Engineering Task Force, September 2000. [11] D. Farinacci, T. Li, S. Hanks, D. Meyer, and P. Traina. Generic Routing Encapsulation (GRE). Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 86 / 86 Réféfences bibliographiques Technical Report 2784, Internet Engineering Task Force, March 2000. [12] D. Harkins and D. Carrel. The Internet Key Exchange (IKE). Technical Report 2409, Internet Engineering Task Force, November 1998. Obsoleted by RFC 4306, updated by RFC 4109. [13] C. Hopps. Analysis of an equal-cost multi-path algorithm. Technical report, Internet Engineering Task Force, November 2000. [14] IETF, http ://www.ietf.org/html.charters/l1vpn-charter.html. Layer 1 Virtual Private Networks (l1vpn) charter. [15] IETF, http ://www.ietf.org/html.charters/l2vpn-charter.html. Layer 2 Virtual Private Networks (l2vpn) charter. [16] IETF, http ://www.ietf.org/html.charters/l3vpn-charter.html. Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 86 / 86

Réféfences bibliographiques Layer 3 Virtual Private Networks (l3vpn) charter. [17] IETF, http ://www.ietf.org/html.charters/pwe3-charter.html. Pseudowire Emulation Edge to Edge (pwe3) charter. [18] ITU-T. Network-based vpns - generic architecture and service requirements. Technical Report Y.1311, International Telecommunication Union, Geneva, March 2002. [19] ITU-T. Layer 1 virtual private network generic requirements and architecture elements. Technical Report Y.1312, International Telecommunication Union, Geneva, September 2003. [20] ITU-T. Layer 1 virtual private network service and network architectures. Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 86 / 86 Réféfences bibliographiques Technical Report Y.1313, International Telecommunication Union, Geneva, July 2004. [21] S. Kent and R. Atkinson. IP Authentication Header. Technical Report 2402, Internet Engineering Task Force, November 1998. Obsoleted by RFCs 4302, 4305. [22] S. Kent and R. Atkinson. IP Encapsulating Security Payload (ESP). Technical Report 2406, Internet Engineering Task Force, November 1998. Obsoleted by RFCs 4303, 4305. [23] S. Kent and R. Atkinson. Security Architecture for the Internet Protocol. Technical Report 2401, Internet Engineering Task Force, November 1998. Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 86 / 86 Réféfences bibliographiques Obsoleted by RFC 4301, updated by RFC 3168. [24] K. Kompella and Y. Rekhter. Virtual Private LAN Service (VPLS) Using BGP for Auto-Discovery and Signaling. Technical Report 4761, Internet Engineering Task Force, January 2007. Updated by RFC 5462. [25] Ed. L. Martini, E. Rosen, N. El-Aawar, and G. Heron. Encapsulation methods for transport of ethernet over mpls networks. Technical report, Internet Engineering Task Force, April 2006. [26] Ed. M. Lasserre and Ed. V. Kompella. Virtual private lan service (vpls) using label distribution protocol (ldp) signaling. Technical report, Internet Engineering Task Force, January 2007. [27] A. Malis, P. Pate, R. Cohen, and D. Zelig. Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 86 / 86

Réféfences bibliographiques Synchronous Optical Network/Synchronous Digital Hierarchy (SONET/SDH) Circuit Emulation over Packet (CEP). Technical Report 4842, Internet Engineering Task Force, April 2007. [28] L. Martini. Iana allocations for pseudowire edge to edge emulation (pwe3). Technical report, Internet Engineering Task Force, April 2006. [29] L. Martini, J. Jayakumar, M. Bocci, N. El-Aawar, J. Brayley, and G. Koleyni. Encapsulation Methods for Transport of Asynchronous Transfer Mode (ATM) over MPLS Networks. Technical Report 4717, Internet Engineering Task Force, December 2006. [30] L. Martini, E. Rosen, N. El-Aawar, T. Smith, and G. Heron. Pseudowire Setup and Maintenance Using the Label Distribution Protocol (LDP). Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 86 / 86 Réféfences bibliographiques Technical Report 4447, Internet Engineering Task Force, April 2006. [31] A. Nagarajan. Generic Requirements for Provider Provisioned Virtual Private Networks (PPVPN). Technical Report 3809, Internet Engineering Task Force, June 2004. [32] C. Perkins. IP Encapsulation within IP. Technical Report 2003, Internet Engineering Task Force (IETF), October 1996. [33] Y. Rekhter, B. Moskowitz, D. Karrenberg, G. J. de Groot, and E. Lear. RFC 1918 : Address allocation for private internets. Best current practice, Internet Engineering Task Force, February 1996. [34] Y. Rekhter and E. Rosen. Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 86 / 86 Réféfences bibliographiques Carrying Label Information in BGP-4. Technical Report 3107, Internet Engineering Task Force, May 2001. [35] E. Rosen, P. Psenak, and P. Pillay-Esnault. OSPF as the Provider/Customer Edge Protocol for BGP/MPLS IP Virtual Private Networks (VPNs). Technical Report 4577, Internet Engineering Task Force, June 2006. [36] E. Rosen and Y. Rekhter. BGP/MPLS IP Virtual Private Networks (VPNs). Technical Report 4364, Internet Engineering Task Force, February 2006. Updated by RFCs 4577, 4684. [37] E. Rosen, D. Tappan, G. Fedorkow, Y. Rekhter, D. Farinacci, T. Li, and A. Conta. MPLS Label Stack Encoding. Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 86 / 86

Réféfences bibliographiques Technical Report 3032, Internet Engineering Task Force, January 2001. Updated by RFCs 3443, 4182. [38] E. Rosen, A. Viswanathan, and R. Callon. RFC 3031 : Multiprotocol label switching architecture. Standards track, IETF, January 2001. [39] S. Sangli, D. Tappan, and Y. Rekhter. BGP Extended Communities Attribute. Technical Report 4360, Internet Engineering Task Force, February 2006. [40] H. Schulzrinne, S. Casner, R. Frederick, and V. Jacobson. RTP : A Transport Protocol for Real-Time Applications. Technical Report 3550, Internet Engineering Task Force, July 2003. Updated by RFCs 5506, 5761, 6051. [41] T. Worster, Y. Rekhter, and E. Rosen. Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 86 / 86 Réféfences bibliographiques Encapsulating MPLS in IP or Generic Routing Encapsulation (GRE). Technical Report 4023, Internet Engineering Task Force, March 2005. Chaput Emmanuel Une brève introduction auxprovider Provisioned VPN 2014-2015 86 / 86