Discussion :

[EinsteinEmc2]

Bonjour,

Je remercie les personnes qui prendront de leur temps pour me répondre.
Je suis étudiant en apprentissage et dans le cadre de ma mission en entreprise, je travaille sur le protocole MPLS ( et tous les autres protocoles associés).
J'ai différentes difficultés à comprendre le protocole la mise en œuvre du protocole MPLS avec MP-BGP, j'ai étudié plusieurs cours dessus mais il me reste des gros points noirs à éclaircir:


- Que signifie la commande ,ou plutôt l'attribut send-community , avec le mot extended rajouté

<ital>neighbor 10.255.18.78 send-community extende </ital>

- Quu'est-ce qu'on appel une route VPNv4 ?

- Qu'est que le concept d'address family ipv4?

- MP-BGP sert à la propagation des VPNs , est-ce que l'on entend par là les VRF? Donc MP-BGP agit entre le PE et le CE , et non en coeur de réseau ?

- Dans une architecture nous utilisons 3 protocoles de routage et cela m’emmêle vraiment,
On a IS-IS ensuite BGP et ensuite MP-BGP....


Merci beaucoup pour votre aide, j'ai vraiment envie de comprendre ce qui passe !!

[shinmaki]

Bonsoir,

BGP est un protocole conçu pour annoncer des préfixes. A la base, il est pensé pour IPv4 mais s'est étendu à d'autres formats d'adresse. Ce sont ces extensions qui font qu'on parle de MP-BGP. Une extension très connue est l'évolution de BGP pour transporter des préfixes VPN IPv4 (= commande vpnv4 chez Cisco). A proprement parler il n'y a qu'un protocole BGP et des évolutions sous forme de MP-BGP.

La notion d'Address Family Identifier (AFI) et de Subsequent Address Family Identifier (SAFI) correspondent au format des préfixes transportés.

Les adresses IPv4 sont identifiées en AFI = IPv4 (1), SAFI = unicast (1).

Les adresses VPN IPv4 sont identifiées en AFI = IPv4 (1), SAFI = VPN (128). Une des particularités des routes VPN est d'avoir un label associé.

Les VRF sont des instances de routage sur des routeurs PE. Chacune est étanche par rapport aux autres. Deux clients ayant le même plan d'adressage peuvent être raccordés sur le même PE sans se mélanger s'ils sont dans deux VRF distinctes. Chaque VRF est identifiée par un RD (Route Distinguisher). Ces deux mêmes clients peuvent disposer de nombreux sites géographiquement éloignés et donc raccordés sur d'autres PE. Les routes IPv4 appartenant à des VRF différentes sont échangées entre PE par MP-BGP. En MP-BGP (IPv4 VPN), les routes n'ont plus le format A.B.C.D/XX mais RD:A.B.C.D/XX. Donc, MP-BGP sait qu'il ne doit pas mélanger 65001:10:10.0.0.0/24 avec 65001:20:10.0.0.0/24. Deux RD différents indiquent deux préfixes différents au sens MP-BGP. Quand un PE reçoit un préfixe VPN IPv4, il utilise les RT (Route Target) pour installer les routes dans les VRF (identifiées par des RD) qui conviennent. Un VPN est ensemble de VRF qui se parlent.

RT est une communauté étendue. RD n'en est pas une.

Un CE n'a pas notion de VPN ou de VRF (sauf le cas des VRF lite). Donc pas de MP-BGP entre PE et CE. Il peut éventuellement y avoir une session BGP pour que le CE annonce des routes IPv4 unicast au PE, que le PE annoncera en IPv4 VPN à un autre PE.

Un PE d'entrée sait qu'il doit envoyer un paquet vers un PE de sortie grâce à MP-BGP. Comment joindre ce PE ? MP-BGP ne le dit pas. C'est IS-IS (ou un autre IGP, comme OSPF) qui lui donne la topologie du backbone et comment joindre le PE de sortie.

MPLS repose sur des labels. IS-IS et OSPF ne permettent pas d'associer des labels à des routes (enfin jusqu'à récemment). C'est LDP ou RSVP-TE qui le permet. Un PE sait quel label utiliser grâce à un de ces deux protocoles pour joindre un PE. Les labels issus de MP-BGP permettent d'identifier l'interface de sortie d'un PE distant (vers le CE).

Il faut bien distinguer l'IGP, qui fait partie du plan de routage global (sans VRF) de MP-BGP, qui permet d'échanger des routes entre VRF. Ca ne se mélange pas.

[EinsteinEmc2]

Bonjour,

Merci pour cette réponse complète , j'y voit tout de suite plus clair ! Désolé d'avoir mis autant de temps à répondre mais il m'a fallu un moment pour lire le commentaire et mettre en concordance les idées que tu as exposés et celle que j'ai trouvé dans diverses source . Je suis surpris par la clarté des explications tu est surement dans le domaine? Je vais profiter du fait que tu à l'air de bien t'y connaitre pour te poser d'autres questions suite à ta réponse:

- Si j'ai bien compris la notion d'AFI et SAFI correspond juste aux format de préfixes transportés? Donc cela dépend du type de préfixe que le PE veut annoncer ? Mais en MP-BGP dans notre cas (les routes sont du type RD:A.B.C.D/XX ) 1/128 comme tu l'a dit ? Dans quel cas pourrais-t-on avoir un couple "AFI/SAFI"=1/1 ou "AFI/SAFI"=1/4 (ou le 4 correspond à la sous-familles d'adresses dont les préfixes sont les NLRI avec des lables MPLS).

Je peux me tromper, ou alors le type de préfixe utilisé dépend d'autres paramètres mais je préfère poser la question


- Au niveau des PE quand celui-ci reçoit un préfixe VPN IPv4 il ajoute les routes (si il y a une route-target import qui match) dans la VRF correspondante (en fonction du RD ) pour moi ça c'est clair.
Par contre je n'est pas bien compris ta phrase "Un VPN est ensemble de VRF qui se parlent." Qu'est-ce que tu as voulu dure par là


- Comme dit plus haut, j'ai bien compris la notion de RT mais je ne comprend pas celle de "communauté" et de surcroît "communauté étendue" ?


Merci pour tous SHINMAKI

[shinmaki]

Bonsoir,

Merci pour cette réponse complète , j'y voit tout de suite plus clair ! Désolé d'avoir mis autant de temps à répondre mais il m'a fallu un moment pour lire le commentaire et mettre en concordance les idées que tu as exposés et celle que j'ai trouvé dans diverses source . Je suis surpris par la clarté des explications tu est surement dans le domaine? Je vais profiter du fait que tu à l'air de bien t'y connaitre pour te poser d'autres questions suite à ta réponse:

Si tu as réussi à ingurgiter tout mon speech, c'est pas mal ! C'est une bonne chose de chercher des informations complémentaires, même si je mange du MPLS presque tous les jours depuis plusieurs années !

- Si j'ai bien compris la notion d'AFI et SAFI correspond juste aux format de préfixes transportés? Donc cela dépend du type de préfixe que le PE veut annoncer ? Mais en MP-BGP dans notre cas (les routes sont du type RD:A.B.C.D/XX ) 1/128 comme tu l'a dit ? Dans quel cas pourrais-t-on avoir un couple "AFI/SAFI"=1/1 ou "AFI/SAFI"=1/4 (ou le 4 correspond à la sous-familles d'adresses dont les préfixes sont les NLRI avec des lables MPLS).

AFI / SAFI = famille d'adresse. Donc oui, il s'agit du type d'adresse transporté. Si tu parles PE, tu parles VPN MPLS. Or, la notion d'AFI / SAFI ne s'arrête pas là. Ex : IPv6 et multicast n'impliquent pas forcément des PE.

AFI/SAFI = 1/1 signifie IPv4 "basique". Ex : 10.0.0.0/24.

AFI/SAFI = 1/4 signifie IPv4 + label : "Network Layer Reachability Information (NLRI) with MPLS Labels" (commande send-label sous IOS). C'est 1 préfixe IPv4/masque + 1 label, pas de RD. C'est différent de "MPLS-labeled VPN address". Préfixe = RD:IP/masque + label.

Pour les VPN, je pense que tu as compris : c'est le 2e niveau de label, qui permet d'identifier une VRF ou une interface de sortie sur un PE distant. Ce label n'a de signification que pour le PE de sortie. On parle souvent de label VPN.

Pour NLRI + label, c'est le label en dessous, qui permet de joindre le PE de sortie. Il est commuté par les P jusqu'au PE de sortie. On parle souvent de label LSP. Ca correspond au label obtenu par l'IGP + protocole de distribution de label dans mon précédent message sauf qu'on est entre deux domaines de routage ou AS différents. Ce cas peut se présenter lorsque deux opérateurs fusionnent et veulent fournir des services VPN sur les deux réseaux. Dans ce cas, on interconnecte souvent en BGP IPv4 labeled-unicast (RFC 3107) les 2 AS pour les échanges de labels correspondant aux PE (routage global). Les PE s'échangent les labels VPN pour les VRF dont ils disposent (RFC 4364).

Google se fera un plaisir de te montrer des dessins de "forwarding" et de "BGP MPLS VPN label stack" !

Par contre je n'est pas bien compris ta phrase "Un VPN est ensemble de VRF qui se parlent." Qu'est-ce que tu as voulu dure par là

Tu peux pour diverses raisons avoir VRF-A (RD=65001:1) sur PE1 et VRF-B (RD=65001:2) sur PE-2 et avoir les mêmes RT (import=export=65001:10) de part et d'autre. De là, tu obtiens deux VRF différentes mais qui s'échangent des routes. Si tu n'implémentes pas les mêmes règles d'import / export sur tous les PE d'un VPN, certaines VRF ne pourront pas communiquer avec d'autres. C'est intéressant pour cloisonner les flux d'un même client. Une application est le VPN "hub & spoke". Ex : le siège voit toutes les agences mais les agences ne se voient pas entre elles. En d'autres termes, une VRF est identifiée par un RD, un VPN par ses RT. Les RD sont forcément uniques pour une VRF sur un PE mais tu fais ce que tu veux entre les VRF avec les RT.

- Comme dit plus haut, j'ai bien compris la notion de RT mais je ne comprend pas celle de "communauté" et de surcroît "communauté étendue" ?

Une communauté est une marque apposée sur des préfixes pour les regrouper et y appliquer une politique (route-map sous IOS). Elle est souvent de la forme 12345:67890. Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
! Le peering GOLD est top qualité mais me coûte cher, j'ai marqué mes clients GOLD à l'accès pour les identifier dans le backbone.
! Aux points de peering BGP vers l'extérieur de mon réseau, je peux les reconnaitre et n'annoncer qu'eux vers mon peering GOLD.

route-map VERS-PEERING-GOLD permit 10
 match community CLIENTS-GOLD

neighbor BLABLA route-map VERS-PEERING-GOLD

! En cas de perte du peering GOLD, je préfère rendre un service dégradé à mes clients GOLD plutôt qu'une coupure totale.
! J'annonce mes clients GOLD vers d'autres peerings avec une priorité moindre parmi mes clients standards.

route-map VERS-PEERING-STANDARD permit 10
 match community CLIENTS-GOLD
 set metric 200

route-map VERS-PEERING-STANDARD permit 20

neighbor CLOCLO route-map VERS-PEERING-STANDARD

Une communauté étendue repose sur le même principe mais est de la forme TYPE:12345:67890. J'en connais deux, spécifiques au VPN MPLS : Route-Taget et Route-Origin (ou Site Of Origin).

En fait, quand tu fais un :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
ip vrf VRF-A
 rd 65000:10
 route-target import 65000:10
 route-target export 65000:10

Ca correspond à (la syntaxe n'est certainement pas exacte !) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
route-map MPBGP-TO-VRF
 match RT:65000:10
 set vrf VRF-A

route-map VRF-TO-MPBGP
 set RT:65000:10

Pour plus de détails (transitivité, mandatory, etc.), je te laisse voir sur Internet. Mon degré de précision s'arrête là !

Il doit y avoir des émulateurs ou des simulateurs qui te pemettraient de monter un lab et de visualiser ça plus concrètement (par exemple en capturant les paquets).

Amuse-toi bien !