Ralis par : Asmaa KSIKS Ismal MAIGA Propos par : M. Nourdinne IDBOUFKER
Etude et simulation sur GNS 3 du service MP- BGP/VPN-IP Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
2
Remerciements
Au terme de ce travail, nous tenons exprimer notre profonde gratitude et nos sincres remerciements notre encadrant de projet M. Idboufker, pour ses directives prcieuses, et pour la qualit de son suivi durant toute la priode du projet. Nous tenons aussi remercier vivement tous les responsables et les professeurs du dpartement Gnie-Rseaux et Tlcommunications qui nous favorisent de convenables conditions de travail. Nos plus vifs remerciements sadressent aussi tout le corps professoral et administratif de lENSA de Marrakech. Et enfin toute personne qui a contribu de prs ou de loin llaboration de ce travail.
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
3
Introduction Le rseau IP repose sur une infrastructure de transport assurant la fonction couche de liaison du modle OSI (niveau 2), elle-mme tributaire dun rseau de tlcommunication. Tous les routeurs IP sont en bordure de rseau et assurant les interconnexions avec le monde extrieur et les rseaux locaux. Les routeurs sont maills entre eux par lintermdiaire de circuits virtuels tablis sur les rseaux de commutation de niveaux 2.Le rseau de transport assure la redondance par re-routage des circuits virtuels tablis entre les routeurs en cas de perte dun lien physique sur le rseau de tlcommunication. La tendance actuelle aprs les rseaux intgration de services est vers les rseaux de convergence qui vise a utiliser une seule infrastructure (un rseau unique) pour tout service. Donc ce qui augmente le nombre de flux sur le rseau et entraine une augmentation importante de la taille des rseaux avec lapparition de goulots dtranglements au niveau des routeurs IP. De ce fait, on assista donc laugmentation des tables de routage. Le mcanisme de recherche dans la table de routage tant consommateur de temps CPU, les routeurs se sont donc avrs trop lents pour grer ce volume de flux. Pour faire face cela des technologies darchitecture de rseaux ont vu le jour au niveau accs et au niveau backbone. Et cest le MPLS qui a t choisi au niveau du backbone. Ce serait bien de pouvoir acheminer les paquets sur un chemin dtermin par le rseau sans devoir rvaluer la FEC a chaque saut (A.Danthine, Professeur Emrite a luniversit de Lige, un des pres de MPLS) Plusieurs constructeurs ont propos des solutions de commutation IP.Parmi les plus connues ; ont note le Tag Switching propos par Cisco,IP Switching propos par Ipsilon, ARIS propos par IBM, Fast IP propos par 3Com et SwitchNode de Nortel Networks. LIETF sest grandement inspir de la solution de Cisco pour la mise au point de la norme MPLS. MPLS fut alors cre. Au mois de mars 1997, lIETF a mis en place le groupe de travail MPLS pour dfinir une approche normative de la commutation dtiquettes. Notre sujet sinscrit dans le cadre de ltude de larchitecture MPLS et la mise en place du service VPN-IP. Il a t ralis dans le laboratoire du Gnie Rseaux et Tlcommunications de lcole nationale des sciences appliques de Marrakech(ENSA).
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
4
Objectifs du projet Initialement dveloppe pour lamlioration des performances des routeurs IP afin de les galer celles des commutateurs ATM, MPLS sest dmontre aussi comme la technologie Oprateur par excellence. En effet, grce la flexibilit de son architecture, MPLS met disposition des architectes rseaux une grande facilit de dveloppement de services valeur ajoute. Le VPN-IP bas sur MPLS est lun des plus importants de ces services qui permet la mise en uvre de rseaux virtuels au niveau IP. Sur un autre plan, GNS ne cesse de prouver ses performances comme plate forme dmulation des rseaux. Ce projet vise ltude et la simulation dun rseau doprateur bas sur MPLS et offrant le service VPN- IP. Phasage du projet Phase 1 : 1. Etude de la plate forme GNS.3 2. Etude de la technologie MPLS 3. Etude du service VPN-IP 4. Inventaire des pr-requis de test Phase 2 : 1. Design dune architecture de rseaux doprateurs 2. Emulation de la technologie MPLS 3. Emulation du service VPN-IP 4. Elaboration des scnarios de validation de tests Phase 3 : 1. Reporting des rsultats de tests
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
5
Sommaire Introduction Chapitre I : Simulateur GNS 3 I. Prsentation du simulateur GNS 3 ........................................................................... 9 1 Prsentation de dynamips ..................................................................................... 9 II. Installation de GNS 3 ............................................................................................. 10 1 Tlchargement du GNS 3 : ............................................................................... 10 2 Tlchargement du WinPcap ............................................................................. 14 3 Tlchargement des images IOS ......................................................................... 19 III. Installation dune ISO sur un routeur .................................................................... 20 1 chargement de lIOS : ....................................................................................... 20 2 Optimisation par configuration du idle PC : .................................................... 24 IV. Description des parties du logiciel GNS3 .............................................................. 25 V. Exemple dutilisation de GNS3 : ........................................................................... 28
1 Formation de la plateforme de test : ................................................................... 29 2 Configuration : ................................................................................................... 30 3 Test : ................................................................................................................... 33 Chapitre II : Etude et simulation de la technologie MPLS I. Prsentation gnrale : ........................................................................................... 36 1 Introduction ........................................................................................................ 36 2 Dfinition de MPLS ........................................................................................... 37 3 Caractristiques de MPLS .................................................................................. 37 II. Fonctionnement de MPLS ..................................................................................... 38 1 Terminologie MPLS ........................................................................................... 38 LSP ................................................................................................................. 38 LSR et LER (Label Edge Router) ................................................................... 39 2 Notion de FEC (Forwarding Equivalency Classes) ........................................... 40 3 MPLS et les rfrences (label) ........................................................................... 40 Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
6
4 Agrgation de flots ............................................................................................. 42 5 Signalisation ....................................................................................................... 42 6 Protocole LDP : .................................................................................................. 43 7 Tables MPLS ...................................................................................................... 46 8 Les piles de rfrences ....................................................................................... 47 III. Configuration dune plateforme MPLS : ............................................................... 48 1- Matriel et configurations utiliss .......................................................................... 48 a. Configuration du protocole de routage : ......................................................... 48 b. Configuration de MPLS : ............................................................................... 50 2. Rsultats de la configuration : ............................................................................ 51 a. Liste des labels ................................................................................................ 51 b. Liste des chemins : ......................................................................................... 53 c. Test du ping : .................................................................................................. 56 d. Visualisation des messages par wireshark : .................................................... 57 Chapitre III : Etude et simulation du service VPN-IP I . Prsentation gnrale .................................................................................................. 60 1. Services MPLS ................................................................................................... 60 2. Service VPN-IP .................................................................................................. 61 II- Fonctionnement du service VPN-IP ...................................................................... 61 1. Composantes du rseau pour le BGP/MPLS-VPNs : ......................................... 61 2. Apports du MPLS VPN ...................................................................................... 63 3. Dfis et Solutions ................................................................................................... 64 a. Overlapping .................................................................................................... 64 b. Connectivit contraignante ............................................................................. 65 4. Larchitecture dun rseau dployant le service VPN-IP ................................... 67 III. Mis en place du service MPLS VPN-IP ................................................................ 67 1. La plateforme VPN-IP: ...................................................................................... 67 2. Configurations et tests effectuer : .................................................................... 69 Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
7
a. Configuration des adresses des interfaces : .................................................... 69 b. Configuration du protocole de routage interne ............................................... 69 c. Vrification de lIGP : .................................................................................... 69 d. Configuration MPLS : .................................................................................... 71 e. Test du MPLS: ................................................................................................ 72 3. Cration de VRF ................................................................................................. 73 a. Assignation des interfaces aux VRF ............................................................... 75 b. Lancer OSPF dans linstance VRF ................................................................. 76 c. Lancer MP-BGP pour lannonce des routes ................................................... 77 4. Test de la configuration: ..................................................................................... 78 a. Lacheminement des paquets .......................................................................... 80 b. Les Pings effectus : ....................................................................................... 82 c. Les tables RIB : .............................................................................................. 83 d. Les tables LIB des PE des P : ......................................................................... 85 e. Les deux labels du service VPN-IP ................................................................ 86 f. Visualisation Sur Wireshark : ......................................................................... 87 Conclusion
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
8
Chapitre I : Simulateur GNS 3
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
9
I. Prsentation du simulateur GNS 3 GNS3 est un simulateur graphique de rseaux qui vous permet de crer des topologies de rseaux complexes et d'en tablir des simulations. Ce logiciel, en lien avec Dynamips (simulateur IOS), Dynagen (interface textuelle pour Dynamips) et Pemu (mulateur PIX), est un excellent outil pour l'administration des rseaux CISCO, les laboratoires rseaux ou les personnes dsireuses de s'entraner avant de passer les certifications CCNA, CCNP, CCIP ou CCIE. De plus, il est possible de s'en servir pour tester les fonctionnalits des IOS Cisco ou de tester les configurations devant tre dployes dans le futur sur des routeurs rels. Ce projet est videmment Open Source et multi-plates-formes. Il est possible de le trouver pour Mac OS X, Windows et videmment pour une distribution Linux. Remarque importante : l'utilisateur doit fournir ses propres images IOS pour utiliser GNS3. 1 Prsentation de dynamips Dynamips est un mulateur de routeurs Cisco capable de faire fonctionner des images Cisco IOS non modifies comme si elles s'excutaient sur de vritables quipements. Le rle de Dynamips n'est pas de remplacer de vritables routeurs, mais de permettre la ralisation de maquettes complexes avec de vraies versions d'IOS. Contrairement certains autres produits, il ne s'agit pas d'une mulation de la ligne de commande IOS et de son fonctionnement, mais d'une mulation complte du hardware . Dynamips peut tre utilis des fins de formation, d'exprimentation, aide au diagnostic, validation de configurations, ... Dynamips est crit en langage C, sous licence GPL. Les plateformes htes supportes sont de type PC sous Linux, Mac Os X et Windows. Un portage sur d'autres plateformes Unix est galement possible. Les gammes de routeurs muls sont: Cisco 7200 (NPE-100 jusqu' NPE-400, NPE-G2) Cisco 3600 (3620, 3640, 3660) Cisco 3700 (3725, 3745) Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
Diffrentes instances de l'mulateur peuvent tre interconnectes travers ces interfaces. Une connexion un rseau rel est ralisable en Ethernet via une interface physique du serveur hte. Dynamips fonctionnant uniquement en ligne de commande, des projets connexes non ports par l'UTC ont vu le jour : Dynagen est un produit complmentaire crit en Python s'interfaant avec Dynamips grce au mode hyperviseur. Dynagen facilite la cration et la gestion de maquettes grce un fichier de configuration simple dcrivant la topologie du rseau simuler et une interface texte interactive.
GNS-3 reprend ces mmes fonctionnalits sous forme d'interface graphique. Ecrit en Python, il s'appuie sur des modules de Dynagen.
II. Installation de GNS 3 1. Tlchargement du GNS 3 : On tlcharge le logiciel GNS 3 partir du site officiel http://www.gns3.net . Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
11
Figure 1 : site de tlchargement du GNS3 Il faut tlcharger le paquet GNS3 v0.7.3 all-in-one. Aprs lavoir tlcharg, on lance linstallation comme suit :
Figure 2 : Le setup du GNS3 Sur la page daccueil du GNS 3, on clique sur suivant pour continuer : Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
12
Figure 3 : fentre 1 de l'installation On accepte la License et on continue linstallation :
Figure 4 : fentre 2 de l'installation du GNS3
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
13
Figure 5 : fentre 3 de l'installation du GNS3 On coche toutes les cases pour installer les lments ncessaires pour le fonctionnement du GNS 3.
Figure 6 : fentre 4 de l'installation du GNS3
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
14
On choisit un emplacement pour installer le programme.
Figure 7 : fentre 5 de l'installation du GNS3 Il va falloir installer le WInPcap 4.1.1 avant de pouvoir continuer linstallation du GNS 3. 2 Tlchargement du WinPcap WinPcap est loutil standard industriel pour accder aux connections entres les couches rseaux (connectivit et slection de routes entre deux systmes hte), disponible sur le systme dexploitation Windows. Grce cet outil, vous pouvez capturer les paquets rseaux transmis, manipulant ainsi la pile du protocole rseau. Il offre de prcieux outils additionnels tels que des filtres de paquets de bas niveau, un moteur gnrant des statistiques d'usage rseau et supportant la capture de paquets distance. Il utilise une combinaison de librairies et de contrleurs pour accder facilement aux couches rseau infrieures. Cest un programme efficace, versatile qui est devenu le logiciel prfr de filtrage et de capture de paquets pour la plupart des applications rseau populaires disponibles aujourdhui tels que les analyseurs de protocole, la surveillance rseau, les systmes de dtection dintrusion rseau, les mouchards, les gnrateurs de trafic, les analyseurs de trafic, etc. Cest une application essentielle. Sans cela, les meilleurs logiciels de gestion rseau (NMAP) tels que Windump, Ethereal, etc. ne fonctionneront pas. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
15
Figure 8 : fentre 6 de l'installation du GNS3 Cliquer sur continuer.
Figure 9: fentre 7 de l'installation du GNS3 Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
16
On accepte la licence et on continue linstallation.
Figure 10: fentre 8 de l'installation du GNS3 On coche la case qui apparait sur la fentre suivante afin de pouvoir lancer automatiquement le WinPcap driver puis on clique sur installer.
Figure 11: fentre 9 de l'installation du GNS3 Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
17
Figure 12: fentre 10 de l'installation du GNS3 Aprs avoir termin linstallation du WinPcap, on repasse linstallation du GNS 3.
Figure 13: fentre 11 de l'installation du GNS3 Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
18
Figure 14: fentre 12 de l'installation du GNS3 Linstallation est termine. On peut maintenant lancer GNS. Tout dabord, il va falloir configurer et tester le fonctionnement du Dynamips et ajouter des images IOS pour travailler sur GNS 3.
Figure 15: fentre doption pour la configuration de dynamips et insertion IOS On clique sur 1, et on se retrouve sur la partie prfrence. On clique sur Dynamips et on lance le test. On remarque que a fonctionne. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
19
Figure 16 : configuration du Dynamips Aprs on pourra travailler sur GNS 3. Mais avant tout il ne faut pas oublier dajouter les images IOS. Autrement, on ne peut pas travailler avec les quipements.
Figure 17 : interface de GNS3 3. Tlchargement des images IOS : A partir du lien http://gns3.blogspot.com/2007/10/ios.html , on peut trouver diffrentes images IOS comme le montre la capture suivante. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
20
Figure 18 : exemple d'une page web de tlchargement IOS III. Installation dune ISO sur un routeur 1. chargement de lIOS : Sur le logiciel Gns3 pour utiliser un quipement nimporte lequel, il faut incorporer dabord son image ISO correspondante. On a vu dans la partie prcdente comment obtenir ces images et dans cette partie nous verrons comment les utiliser sur le simulateur Gns3. Dabord il faut crer un rpertoire dans le quel, il faudra mettre toutes les images tlcharges et quon veut utiliser pour organiser les choses sinon cela est facultatif. Dans le menu Editer : on clique sur Images IOS et Hyperviseurs Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
21
Figure 19 : tape 1 de l'insertion d'une image IOS Apres avoir cliqu on obtient linterface suivante :
Figure 20 : tape 2 de l'insertion d'une image IOS Sur cette interface on clique sur le bouton parcourir devant Fichier image dans les Paramtres.Une interface comme celle au dessous souvre permettant de specifier limage depuis le repertoire dans le quel elle se trouve. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
22
Figure 21 : tape 3 de l'insertion d'une image IOS Une fois limage slectionne on appuis sur Ouvrir en bas de la fentre.
Figure 22 : tape 4 de l'insertion d'une image IOS On obtient une fentre comme indiqu sur limage ci-dessous sur la quelle les champs de saisie sont remplis par le lien sur limage dans la partie fichier image et les caractristiques comme plateforme (dans cet exemple : c7200), modle (dans cet exemple : 7200), et RAM par dfaut (dans cet exemple : 256Mo). Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
23
Figure 23 : tape 5 de l'insertion d'une image IOS Nb : pour IDLE PC il sera configur aprs. On appuis sur Sauvegarder pour enregistrer les informations, ainsi dans la partie haute apparaisse limage ajoute.
Figure 24 : tape 6 de l'insertion d'une image IOS Voil quaprs lajout de limage dun routeur 7200 ce dernier devient utilisable. (Pour mettre un routeur sur la partie centrale enfin de constituer une plateforme on fait un cliquer- glisser sur le routeur pour le prendre et faire un clique sur la partie centrale pour le dposer). Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
24
Figure 25 : essais aprs l'insertion d'une image IOS 2. Optimisation par configuration du idle PC : Une fois que vous aurez charg un IOS et commenc l'mulation d'un routeur, vous risquez trs fort de faire crasher votre ordinateur si vous n'effectuez pas certains rglages supplmentaires, car l'mulateur consomme tous les cycles disponibles de votre processeur ce qui le fait chauffer et pousse votre ordinateur s'teindre brusquement aprs peu de temps. Vous pouvez vrifier la consommation grce la commande top, le processus surveiller est 'dynamips-0.2.8'. La premire optimisation faire est quasi obligatoire, et c'est de trouver la valeur 'Idle PC' optimale pour votre image IOS. Il faut suivre les tapes ci-dessous: 1- Ajouter un routeur votre topologie et cliquez sur dmarrer pour commencer l'mulation. 2- Une fois le routeur dmarr, excutez la commande top pour surveiller la consommation cpu du processus dynamips. 3- Faites un clic droit sur le routeur puis cliquez sur 'Idle PC' afin de calculer une nouvelle valeur. 4- Une fois les valeurs possibles calcules, choisissez en une, appliquez l et notez l en mme temps quelque part (afin d'avoir toutes les valeurs dj appliques). Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
25
5- Vrifiez la consommation de dynamips sur la sortie de la commande top. 6- Rptez ces tapes jusqu' trouver la valeur Idle PC optimale pour votre routeur. IV. Description des parties du logiciel GNS3 Dans cette partie nous verrons les parties essentielles du logiciel GNS3 savoir : La barre des Menus :
Figure 26 : barre des Menus Dans cette partie nous avons les menus qui mettent votre disposition tous les lments ncessaires pour la manipulation du logiciel. Cest comme le menu dans tout logiciel. La barre des outils :
Figure 27 : barre des outils Cette partie peut tre vue comme un raccourci vers les lments du menu. Nous prsentons les lments de cette barre doutils un a un de gauche a droite : Permet de crer un nouveau projet Permet dditer un projet Permet douvrir un projet Permet de sauvegarder un projet en court dans le rpertoire au se situe la plateforme Permet de sauvegarder un projet en court dans un rpertoire que vous aller prciser Permet deffacer la topologie. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
26
Affiche ou cache sur la plateforme le nom des interfaces des quipements Affiche ou cache sur la plateforme le nom des quipements Permet de choisir le type de cble pour interconnecter vos quipements Permet de pour limage de la plateforme Permet dimporter / dexporter les fichiers de configuration des quipements Permet de lancer la console pour un ou tous les quipements de la plateforme Permet de dmarrer/mettre en pause/arrter un quipement ou toute la plateforme Permet de mettre une note sur la plateforme Permet dinsrer une image Permet de dessiner un rectangle /cercle La partie gauche Nodes types :
Figure 28 : la partie gauche Nodes types de GNS3 Cette partie met votre disposition des quipements rseaux ncessaires pour simuler une plateforme rseau. Tous ces quipements deviennent utilisables ds que vous ajoutez leur image IOS (vous pouvez voir comment ajouter une image IOS dans GNS3 en haut).Et vous Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
27
pouvez ajouter un quipement qui ne figure pas dans la liste aussi indique via le sous menu gestionnaire des symboles dans diter. La partie centrale :
Figure 29 : la partie centrale de GNS3 Cette partie est capitale pour GNS3, elle vous permet de former votre plateforme, cest ici que vous dposerez les quipements .comme sur la figure prcdente. La partie droite :
Figure 30 : la partie droite de GNS3 Elle contient les noms des quipements qui sont mis en jeux sur la plateforme au centre et les interfaces qui les connectent entre eux. Si le point est a rouge c'est--dire que lquipement correspondant est teint et si cest Vert cela veut dire lquipement est allum. La partie console : Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
28
Figure 31 : la partie console du GNS3 Cette partie console indique les ventuelles erreurs sur la plateforme et sa fonction principale est dexcuter des commandes sur les quipements ou sur la plateforme directement. Elle vous permet de savoir si lenregistrement dune plateforme sest bien effectu et vous donne le chemin o sont stocks les fichiers de configuration sur le disque dur de la machine hte. La partie undo stack :
Figure 32 : la partie undo stack Cette partie vous renseigne successivement et temps rel les vnements qui se produisent sur la plateforme par exemple : lajout, suppression etc... V. Exemple dutilisation de GNS3 : Dans cette partie nous allons configurer un protocole de routage qui est le RIP v2 pour tablir la communication entre les routeurs de bout en bout. Ainsi nous utiliserons la Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
29
plateforme suivante comme indique sur la figure suivante. Lobjectif est dapprendre a dmarr la console dun routeur afin de le configurer. Nous ntudierons pas dans cette partie le protocole RIP V2 en lui-mme mais il sera juste utiliser donc cela suppose une connaissance pralable de ce dernier.
Figure 33 : la plateforme d'essais de GNS3 NB : Les IDLEPC sont configurs au pralable dj depuis la partie prcdente pour une utilisation optimale de la CPU. Nous utiliserons que des routeurs 7200 pour cet exemple dutilisation de GNS3 1 Formation de la plateforme de test : Il faut faire attention ce que si vous formez une plateforme et que vous voulez sauvegarder a la fin pour y revenir l-dessus une autre fois, noubliez pas de cocher les deux cases sur la fentre nouveau Projet comme sur la figure suivante :
Figure 34 : cration d'un projet sous GNS3 Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
30
Remarque : Ici une fois terminer de configurer vos quipements rseaux vous pouvez enregistrer en appuyant sur le bouton qui se trouve dans la barre des menus. 2 Configuration : Apres avoir form la plateforme c'est--dire placer les routeurs sur la partie centrale et les relier par des cbles (les cbles sont choisis a travers licne suivante sur la barre de menu en haut ). 1- Nous redmarrons les routeurs travers le bouton suivant et cela en slectionnant en premier lier le routeur quon veut dmarrer. Dans le cas o tous les routeurs sont allums les points de liaisons passent du rouge au vert. Dans ce cas nous verrons
Figure 35 : une plateforme dmarre sous GNS3 2- Pour lancer la console de configuration dun routeur nous faisons un clic droit sur ce dernier puis nous choisissons console sur la liste qui souvre. La console est la suivante :
Figure 36 : console de dmarrage du routeur Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
31
Figure 37 : console de configuration dun routeur (7200) 4-configuration des adresses IP des interfaces sur chaque routeur : Pour le routeur 3 : son interface lie au routeur R1 au ladresse IP 10.0.0.1/24
Figure 38 : configuration de linterface f1/0 Pour le routeur R1 : Son interface f2/0 qui est lier a R3 aura pour @IP 10.0.0.2/24, son interface S1/0 aura pour adresse @IP 20.0.0.1/24 et sera configur comme clock rate. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
32
Figure 39 : configuration de linterface f2/0
Figure 40 : configuration de linterface seriale S1/0 Pour ne pas perdre la configuration aprs avoir teindre le routeur il faut sauvegarder la configuration
Figure 41 : sauvegarde de la configuration sur le routeur Pour le Routeur R2 : Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
33
Interface serial aura pour ladresse IP 20.0.0.2/24 mais ne sera pas configure comme clock rate puis que cest dj effectu sur le R1, Interface f2/0 aura pour adresse IP 30.0.0.1/24. Pour le routeur R4 : Son interface lie au routeur R1 aura ladresse IP 30.0.0.2/24 Configuration du protocole de routage RIP v2 : On configure sur chacun des routeurs le protocole Rip version 2 nous montrons celui du routeur R1 seulement ici, car les autres se configurent de la mme manire.
Figure 42 : configuration de Rip sur un routeur Nous passons maintenant au test sur le routeur pour voir si le Ping marche dun point a lautre ainsi nous montrerons la table de routage ainsi tablit par rip sur un routeur. Le Ping depuis le routeur R3 vers le routeur R4 :
Figure 43 : Le rsultat du Ping Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
34
Figure 44 : Le rsultat du Ping depuis R4->R3 La table de routage du routeur R1 : Nous voyons bien les informations concernant les routes dans la table de routage.
Figure 45 : La table RIB de R1 Dans cette partie qui ne concernait que la dcouverte du simulateur GNS3, nous avons vu comment former une plateforme et procder a sa configuration et faire sa sauvegarde enfin dy revenir la dessus une prochaine fois. Cest la commande Copy running-config startup-config comme si t
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
35
Chapitre II : Etude et simulation de la technologie MPLS
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
36
I. Prsentation gnrale : 1. Introduction Le protocole IP est un protocole de niveau 3 fonctionnant en mode non connect. Ce qui signifie que la dcision de routage d'un paquet est localement faite par chaque nud. On appelle cela le routage "hop by hop". De ce fait, l'metteur d'un paquet ne peut pas prvoir le chemin qui sera emprunt par ce dernier. Il est donc impossible d'avoir la certitude qu'un paquet arrivera destination. Enfin, lors du routage, le choix du prochain saut est fait en fonction d'un des deux critres suivants : Le nombre de routeur travers par le paquet doit tre minimal (ex : RIP). Le somme des poids de tous les liens emprunt par le routeur doit tre minimal. Le poids d'un lien entre deux routeurs est affect par l'administrateur du rseau. Bien souvent ce poids est fonction du dbit du lien, plus le lien offre un grand dbit, plus son poids sera petit (ex : OSPF et ISIS). Cependant, dans leurs rseaux, les oprateurs ont besoin de plus de "certitude" quant au routage du trafic : Le routage d'un flux doit emprunter le mme chemin : Mode connect Les dcisions de routage pour l'tablissement d'un chemin doivent prendre en compte l'utilisation actuelle du dbit des liens, afin d'optimiser la bande passante et viter la congestion : Traffic Engineering Un flux doit tre achemin en garantissant le respect de certaines contraintes : Quality Of Service (QoS) La technologie MPLS va permettre au rseau IP de pouvoir mettre en uvre tous les besoins explicits ci-dessus. Enfin, dans les rseaux IP, les tables de routage sont de plus en plus grande, et donc longue parcourir. De ce fait la dcision de routage faites par chaque routeur est "lente" car il faut parcourir toute ou partie de la table. Le MPLS offre une meilleure rapidit de commutation des paquets, en effet la dcision de routage se fait en analysant un label insr par le protocole MPLS entre les couches 2 et 3. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
37
Ainsi chaque routeur possde une table associant un port/label d'entre un port/label de sortie. Cette table est rapide parcourir, ce qui a pour but d'accrotre la rapidit de routage par rapport un rseau IP. 2. Dfinition de MPLS MPLS (Multi-Protocol Label Switching) est une architecture rseau propose par l'IETF dont le rle principal est de combiner les concepts du routage IP de niveau 3, et les mcanismes de la commutation de niveau 2 telles que implmente dans ATM ou Frame Relay. MPLS doit permettre d'amliorer le rapport performance/prix des quipements de routage, d'amliorer l'efficacit du routage (en particulier pour les grands rseaux) et d'enrichir les services de routage (les nouveaux services tant transparents pour les mcanismes de commutation de label, ils peuvent tre dploys sans modification sur le cur du rseau). La technique MPLS peut tre tendue de multiples protocoles (IPv6, IPX, AppleTalk, etc.,). MPLS n'est en aucune faon restreint une couche 2 spcifique et peut fonctionner sur tous les types de support permettant l'acheminement de paquets de niveau 3. MPLS traite la commutation en mode connect (bas sur les labels); les tables de commutation tant calcules partir d'informations provenant des protocoles de routage IP ainsi que de protocoles de contrle. MPLS peut tre considr comme une interface apportant IP le mode connect et qui utilise les services de niveau 2 (PPP, ATM, Ethernet, ATM, Frame Relay, SDH ...). 3. Caractristiques de MPLS Lide de lIETF a t de proposer une norme commune pour transporter des paquets IP sur des sous rseaux travaillant en mode commut. Les nuds sont des routeurs- commutateurs capables de remonter soit au niveau IP pour effectuer un routage, soit au niveau trame pour effectuer une commutation. Les caractristiques les plus importantes de la norme MPLS sont les suivantes : Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
38
Spcification des mcanismes pour transporter des flots de paquets IP avec diverses granularits des flots entre deux points, deux machines ou deux applications. La granularit dsigne la grosseur du flot, qui peut intgrer plus ou moins de flots utilisateur. Indpendance du niveau trame et du niveau paquet, bien que seul le transport de paquets IP soit rellement pris en compte. Mise en relation de ladresse IP du destinataire avec une rfrence dentre dans le rseau. Reconnaissance par les routeurs de bord des protocoles de routage de type OSPF et de signalisation comme RSVP. Utilisation de diffrents types de trames. Le principal avantage apport par le protocole MPLS est la possibilit de transporter les paquets IP sur plusieurs types de rseaux commuts. Il est ainsi possible de passer dun rseau ATM un rseau Ethernet ou un rseau relais de trames. En dautres termes, il peut sagir de nimporte quel type de trame, partir du moment o une rfrence peut y tre incluse. Nous pouvons dire que MPLS lve ces limites : Apporte l'intelligence du routage avec les performances de la commutation Supporte les VPN Supporte la QoS Permet la gestion efficace de la bande passante II. Fonctionnement de MPLS 1. Terminologie MPLS
LSP La transmission des donnes seffectue sur des chemins nomms LSP (Label Switched Path). Un LSP est une suite de rfrences partant de la source et allant jusqu la destination. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
39
Les LSP sont tablis avant la transmission des donnes (control-driven) ou la dtection dun flot qui souhaite traverser le rseau (data-driven). Il peut tre statique ou dynamique, selon quil est dfini, ou quil utilise les informations de routage. Ce LSP est fonctionnellement quivalent un circuit virtuel ATM ou Frame Relay. Les rfrences incluses dans les trames sont distribues en utilisant un protocole de signalisation. Le plus important de ces protocoles est LDP (Label Distribution Protocol), Mais on utilise aussi RSVP, ventuellement associ un protocole de routage, comme BGP (Border Gateway Protocol) ou OSPF. Les trames acheminant les paquets IP transportent les rfrences de nud en nud. Deux options sont utilises cette fin : Le routage saut par saut (hop-by-hop). Dans ce cas, les LSR slectionnent les prochains sauts indpendamment les uns des autres. Le LSR utilise pour cela un protocole de routage comme OSPF ou, pour des sous-rseaux de type ATM, PNNI. Le routage explicite, identique au routage par la source. Le LER dentre du domaine MPLS spcifie la liste des nuds par lesquels la signalisation a t route, le choix de cette route pouvant avoir t contraint par des demandes de qualit de service. Le chemin suivi par les trames dans un sens de la communication peut tre diffrent dans lautre sens.
LSR et LER (Label Edge Router) Les nuds qui participent MPLS sont classifis en LER et LSR. Un LSR est un routeur ou un commutateur dans le cur du rseau qui participe la mise en place du circuit virtuel par lequel les trames sont achemines. Cest un quipement capable de commuter des paquets ou des cellules, en fonction de la valeur des labels quils contiennent. Dans le cur du rseau, les LSRs procdent tout simplement la lecture et la commutation des labels, et non les adresses des protocoles de niveau suprieur. Chaque LSR construit une table FIB (Forwarding Information Base). Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
40
Un LER est un nud daccs au rseau MPLS. Un LER peut avoir des ports multiples permettant daccder plusieurs rseaux distincts, chacun pouvant avoir sa propre technique de commutation. Les LER qui sont des routeurs dextrmit qui jouent un rle important dans lassignation et la suppression des labels au moment o les paquets entrent dans le rseau ou en sortent. 2 Notion de FEC (Forwarding Equivalency Classes) Dans MPLS, le routage seffectue par lintermdiaire de classes dquivalence, appeles FEC. Une classe reprsente un flot ou un ensemble de flots ayant les mmes proprits, notamment le mme prfixe dans ladresse IP. Toutes les trames dune FEC sont traites de la mme manire dans les nuds du rseau MPLS. Les trames sont introduites dans une FEC au nud dentre et ne peuvent plus tre distingues lintrieur de la classe des autres flots. Une FEC peut tre btie de diffrentes faons. Elle peut avoir une adresse de destination bien dtermine, un mme prfixe dadresse, une mme classe de service, etc. Chaque LSR possde une table de commutation qui indique les rfrences associes aux FEC. Toutes les trames dune mme FEC sont transmises sur la mme interface de sortie. Cette table de commutation est appele LIB (Label Information Base). Les rfrences utilises par les FEC peuvent tre regroupes de deux faons : Par plate-forme : les valeurs des rfrences sont uniques sur lensemble des LSR dun domaine, et les rfrences sont distribues sur un ensemble commun gr par un nud particulier. Par interface : les rfrences sont gres par interface, et une mme valeur de rfrence peut se retrouver sur deux interfaces diffrentes. A la diffrence du routage traditionnel, lassignation de la valeur FEC se fait juste au niveau de laccs au rseau. 3 MPLS et les rfrences (label) Une rfrence en entre permet donc de dterminer la FEC par laquelle transite le flot. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
41
Cette solution ressemble la notion de conduit virtuel dans le monde ATM, o les circuits virtuels sont multiplexs. Ici, nous avons un multiplexage de tous les circuits virtuels lintrieur dune FEC, de telle sorte que, dans ce conduit, nous ne puissions plus distinguer les circuits virtuels. Le LSR examine la rfrence et envoie la trame dans la direction indique. On voit bien ainsi le rle capital jou par les LER, qui assignent aux flots de paquets des rfrences qui permettent de commuter les trames sur le bon circuit virtuel. La rfrence na de signification que localement, puisquil y a modification de sa valeur sur la liaison suivante. Une fois le paquet classifi dans une FEC, une rfrence est assigne la trame qui va le transporter. Cette rfrence dtermine le point de sortie par le chanage des rfrences. Dans le cas des trames classiques, comme LAP-F du relais de trames ou ATM, la rfrence est positionne dans le DLCI ou dans le VPI/VCI. La signalisation ncessaire pour dposer la valeur des rfrences le long du chemin dtermin pour une FEC peut tre gre soit chaque flot (data driven), soit par un environnement de contrle indpendant des flots utilisateur. Cette dernire solution est prfrable dans le cas de grands rseaux du fait de ses capacits de passage lchelle. Les rfrences peuvent tre distribues pour : un routage unicast vers une destination particulire ; une gestion du trafic, ou TE (Traffic Engineering) ; un multicast ; un rseau priv virtuel ; une qualit de service. Le format de la rfrence MPLS est illustr la figure ci-dessous. La rfrence est encapsule dans len-tte de niveau trame du champ normalis pour transporter la rfrence ou juste entre len-tte de niveau trame et len-tte de niveau paquet. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
42
Figure 46 : Format gnrique dune rfrence dans MPLS 4 Agrgation de flots Les flots provenant de diffrentes interfaces peuvent tre rassembls et commuts sur une mme rfrence sils vont vers la mme direction de sortie. Cela correspond une agrgation de flots. Cette technique est dj exploite sur les rseaux ATM, dans lesquels un conduit peut agrger plusieurs flots venant de diffrents nuds dentre vers un point commun, o les flots sont dsagrgs. Lagrgation de flots a pour objectif dviter lexplosion du nombre de rfrences utiliser ou, ce qui est quivalent, dempcher les tables de commutation de devenir trop importantes. 5 Signalisation Plusieurs mcanismes de distribution des rfrences, appele signalisation, peuvent tre implments dans les nuds dun rseau MPLS, notamment les suivants : Demande de rfrence : un LSR met une demande de rfrence ses voisins vers laval (downstream), quil peut lier la valeur dune FEC. Ce mcanisme peut tre utilis de nud en nud jusquau nud de sortie du rseau MPLS. Correspondance de rfrence : en rponse une demande de rfrence dun nud amont, un LSR envoie une rfrence provenant dun mcanisme de correspondance connu dj mise en place pour aller jusquau nud de sortie. La figure ci-dessus donne une illustration de ces deux mcanismes. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
43
Figure 47 : Mcanismes de signalisation de MPLS 6 Protocole LDP : LDP est le protocole de distribution des rfrences qui tend devenir le standard le plus utilis dans MPLS. Ce protocole tient compte des adresses unicast et multicast. Le routage est explicite et est gr par les nuds de sortie. Les changes seffectuent sous le protocole TCP pour assurer une qualit acceptable. Deux classes de messages sont acceptes, celle des messages adjacents et celle des messages indiquant les rfrences. La premire permet dinterroger les nuds qui peuvent tre atteints directement partir du nud origine. La seconde classe de messages transmet les valeurs de la rfrence lorsquil y a accord entre les nuds adjacents. Ces messages sont encods sous la forme classique, qui permet de dcrire un objet : on indique dans un premier champ le type dobjet, dans un deuxime la longueur totale du message dcrivant lobjet et dans un troisime la valeur de lobjet. Cet encodage sappelle TLV (Type Length Value). Le routage seffectue, comme nous lavons vu, par des classes dquivalence, ou FEC (Forward Equivalent Class). De ce fait, un paquet qui a une destination donne appartient une classe et suit une route commune avec les autres paquets de cette classe. Cela dfinit un arbre, dont la racine est le destinataire et dont les feuilles sont les metteurs. Les paquets nont plus qu suivre larbre jusqu la racine, les flots se superposant petit petit en allant vers la racine. Cette solution permet de ne pas utiliser trop de rfrences diffrentes. La granularit des rfrences, cest--dire la taille des flots qui utilisent une mme rfrence, rsulte de la taille des classes dquivalence : sil y a peu de classes dquivalence, les flots sont importants, et la granularit est forte ; sil y a beaucoup de classes dquivalence, les flots sont faibles, et la granularit est fine. Par exemple, une destination peut correspondre un rseau important, dans lequel toutes les adresses ont un prfixe commun. La destination peut aussi correspondre une application particulire sur une machine donne, ce qui donne une forte granularit. Ce dernier cas est illustr la figure 19.18, dans laquelle le rcepteur est Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
44
la machine 4 et la FEC est dtermine par larbre dont les feuilles sont les machines terminales 1, 2 et 3. La classe dquivalence, en descendant larbre partir de 1, commence par les rfrences 28 puis 47 et se continue par les branches 77 puis 13 puis 36. partir de 2, les rfrences 53 puis 156 sont utilises pour aller vers la racine. De mme, partir de 3, les rfrences 134 et 197 sont utilises. Toutes les rfrences que nous venons de citer appartiennent la mme classe dquivalence.
Figure 48 : Exemple d'change LDP Dans cet exemple, les terminaux 1, 2 et 3 souhaitent mettre un flux de paquets IP vers la station terminale 4. Pour cela la station 1 met ses trames (encapsulant les paquets IP) avec la rfrence 28, qui est commute vers la rfrence 47 puis commute vers les rfrences 77 puis 13 puis 36. Le flot partant de la station 2 est commut de 53 en 156 puis en 77, 13 et 36. Enfin, le troisime flot, partant de la station 3, est commut partir des valeurs 134 puis 197, 13 et 36. On voit que lagrgation seffectue sur les deux premiers flots avec la seule valeur 77 et que les trois flux sont agrgs sur les valeurs 13 et 36. La station 4 aurait pu tre remplace par un sous-rseau, ce qui aurait certainement permis dagrger beaucoup plus de flux et davoir une granularit moins fine. Un problme pos par les tables de routage impliquant les FEC est celui des boucles potentielles, cest--dire dun possible retour une station qui a dj vu passer la trame. Si le routage utilise un protocole comme OSPF, on vite les boucles en utilisant un message dinformation. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
45
Le protocole LDP comprend les messages suivants : Message de dcouverte (DISCOVERY MESSAGE), qui annonce et maintient la prsence dun LSR dans le rseau. Message de session (SESSION MESSAGE), qui tablit, maintient et termine des sessions entre des ports LDP. Message davertissement (ADVERTISEMENT MESSAGE), qui cre, maintient et dtruit la correspondance entre les rfrences et les FEC. Message de notification (NOTIFICATION MESSAGE), qui donne des informations derreur ou de problme.
Figure 49 : Etablissement d'une connexion LDP Les tables de commutation peuvent tre construites et contrles de diffrentes faons. Les protocoles de routage dInternet, tels que OSPF, BGP, PIM, etc., sont gnralement utiliss cet effet. Il faut leur ajouter des procdures pour faire correspondre les rfrences et les classes dquivalence FEC. Nous avons indiqu que la distribution des rfrences seffectuait par laval en remontant vers la station dmission. En ralit, il est indiqu dans la norme MPLS que la distribution des rfrences peut seffectuer par laval (downstream) ou par lamont (upstream). Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
46
Dans le premier cas, le destinataire indique aux nuds amont la valeur de la rfrence mettre dans la table de commutation. Dans le second cas, le paquet arrive avec une rfrence, et le nud met jour sa table de commutation. Dans la distribution amont (upstream), un nud aval envoie la valeur de la rfrence quil souhaite recevoir pour commuter un paquet sur une FEC. Ce sont les nuds situs le plus en aval qui dclenchent le processus et indiquent les destinataires et leur granularit. Les modifications seffectuent lors de la rception dune trame ou par lintermdiaire dinformations de supervision. La distribution des identificateurs peut seffectuer par lintermdiaire des protocoles RSVP-TE ou PIM. 7 Tables MPLS Sur la base des informations collectes par le protocole LDP, les LSRs et ELSRs construisent les deux tables LIB (Label Information Base) et LFIB (Label Forwarding Information Base) qui serviront par la suite pour la prise de dcision au niveau de la commutation de labels. En effet, pour chaque valeur prise par la classe de transfert, FEC, la connectivit VPN est traduite au niveau de la table LIB travers tous les labels collects par les LSRs voisins. De son ct, la table LFIB est utilise pour la commutation proprement dite des paquets MPLS, elle est en fait compose dun sous-ensemble de la LIB.
Figure 50 : Exemple de commutation de label
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
47
8 Les piles de rfrences Le mcanisme de piles de rfrences de MPLS permet un LSP de transiter par des nuds non-MPLS ou par des domaines hirarchiques. Pour cela, la zone portant la rfrence peut stocker non plus une valeur mais une pile de valeurs, cest--dire une pile de rfrences. Suivant le niveau de la hirarchie de rfrences on utilise la rfrence de la hirarchie correspondante dans la pile. Les piles de rfrences permettent de raliser des tunnels, dans lesquels sont regroupes les rfrences dun mme niveau de la hirarchie. la sortie du tunnel, on revient la hirarchie juste en dessous, comme illustr la figure ci-dessus. Sur cette figure, le flot partant de la station 1 est commut sur les valeurs 28 puis 53. Au nud A, une pile de rfrences est cre avec lajout de la rfrence 156, qui est utilise dans le nud suivant pour commuter sur les valeurs 77 puis 197. Le nud B permet la sortie du tunnel en utilisant de nouveau la rfrence 53 aprs avoir dpil les rfrences. On voit quentre le nud A et le nud B un tunnel est constitu, qui, une rfrence dentre 53, fait correspondre une rfrence de sortie 13.
Figure 51 : Tunnel MPLS ralis grce une pile de rfrences
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
48
III. Configuration dune plateforme MPLS : 1- Matriel et configurations utiliss Afin d'tayer d'exemples pratiques les diffrents principes de MPLS abords dans notre projet, nous allons utiliser une plate forme constitue de dix routeurs relis par une liaison Ethernet comme le montre la figure suivante :
Figure 52 : LA plateforme MPLS ralise
Nous avons utilis des routeurs de la famille 2600 savoir 2691. Nous les avons rparti comme suit : R1 et R10 : routeurs clients. R2 et R8 : routeur E-LSR. R3, R4, R5, R6, R7, R8 : routeurs LSR. a. Configuration du protocole de routage : Nous avons configur le protocole de routage OSPF sur tous les routeurs. Nous prenons comme exemple la table de routage du routeur R2 pour vrifier la configuration et ensuite nous allons lancer les pings entre les diffrents routeurs: Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
49
Figure 53 : La table LIB de R2 Nous remarquons que nous pouvons atteindre tous les rseaux distants. Et Voici les tests raliss par des pings.
Figure 54 : les Ping depuis R2
A partir du routeur R2, on peut atteindre les routeurs R6, R8 et R9. Et voici un autre test de Ping entre les routeurs R3, R7 et R10. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
50
Figure 55 : Les Ping depuis R3
Donc le routage a bien fonctionn entre tous les routeurs. b. Configuration de MPLS : Passons maintenant la configuration de MPLS. Sur les routeurs E-LSR et LSR, nous configurons MPLS de la manire suivante : Router> Router>en Router#conf t Router(config)#int f0/0 Router(config-if)# mpls label protocol ldp Router(config-if)# mpls ip Router(config-if)# end
Ou bien
Router> Router>en Router#conf t Router(config)#mpls ldp advertise-labels Router(config)#int f0/0 Router(config-if)# mpls ip Router(config-if)# end Cette configuration est applique au niveau des interfaces de tous les routeurs LSR. Les configurations sont dtailles au niveau de lannexe 2. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
51
2. Rsultats de la configuration : a. Liste des labels On sintresse ici aux labels utiliss par R2 pour joindre lensemble des adresses des routeurs du rseau MPLS. Pour obtenir la liste des labels, on se connecte au routeur R2 puis on tape les lignes de commande suivantes : Router# show mpls ip binding Cette commande tablit la correspondance IP/label apprise par le protocole LDP. Le rsultat de sortie est un tableau explicitant la correspondance IP/label de toutes les destinations connues par le routeur R2. Ds lors pour chaque IP, on sait quels sont les labels au niveau entrant et au niveau sortant. En temps de routage MPLS, un LSR se moque de ce qui se passe au niveau IP. Il se contente de commuter daprs sa table de commutation.
Figure 56 : rsultat de la commande "show mpls ip binding sur R2" Par construction, le protocole LDP met un label sur toutes les lignes de la table de routage. Nous obtenons alors ici 10 lignes. Ces lignes en /24 reprsentent les adresses des sous rseaux entre les routeurs. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
52
La troisime colonne - le champ lsr : - permet de renseigner linterface de sortie. Ainsi le routeur enlve le label entrant, impose le label sortant puis transmet le message vers linterface de sortie. On remarque que le LSR de sortie est R4, ce qui concorde totalement avec la topologie du rseau. Ainsi, tous les paquets passant par le routeur R2 sont achemins vers le LSR R4. La mention inuse stipule que le label sortant est utilis pour le MPLS forwarding3 - le MPLS forwarding est laction de regarder dans sa table de commutation tant donn le label dentre pour connatre le label sur lequel commuter puis commuter, cette tape est diffrente de celle de routing qui consiste construire les tables de routage. On remarque galement que le R2 se charge denlever lentte lorsquil est le dernier routeur MPLS travers avant la destination finale. Ds lors on peut lire la mention imp-null sur le champ du label de sortie pour les destinations : 10.0.0.0/24 20.0.0.0/24 30.0.0.0/24 40.0.0.0/24 50.0.0.0/24 On a autant de ligne que dinterface de sortie. Un paquet arrivant au 10.0.0.0/24 arrive avec un label nul parce quil est envoy par R2 qui a enlev le label. Par ailleurs on remarque que les labels des paquets destination des subnets 10.0.0.0/24, 20.0.0.0/24 et 30.0.0.0/24 sont enlevs. Cela vient du fait que dans le protocole MPLS, lavant dernier routeur enlve les labels de telle sorte que le dernier routeur puisse router les paquets directement en IP. Le label MPLS est cod sur 20 bits, ce qui signifie quil peut formellement prendre une valeur entre 0 et 1048575. Les labels utiliss ici se situent entre 17 et 23 - les labels 0 15 tant rservs. Vue le ct symtrique de la topologie du rseau, on sattend trouver une table mpls ip binding trs similaire pour le routeur R9. Toutes les explications restent donc valables et identiques en prenant garde de changer les noms des routeurs par les nouveaux noms.
Voil la table trouve : Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
53
Figure 57 : rsultat de la commande "show mpls ip binding sur R9" b. Liste des chemins : Tests de la configuration en visualisant les tables de labels LIB. Pour ceci, on utilise la commande : Router#show tag-switching forwarding-table Ou bien la commande : Router#show mpls forwarding-table
Nous avons alors accs la table de commutation du routeur. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
54
Diffrents champs sont indispensables : Local tag reprsente le tag du paquet lentre du routeur. Outgoing tag propose le tag de sortie. Outgoing interface prcise linterface de sortie Ds lors, si lon connait linterface dentre du paquet et son label dentre, cette table de Forwarding nous donne le label et linterface de sortie. Il est alors facile de dterminer le chemin dun paquet transitant de R1 R10. Lorsquil est en R2, le paquet vient de rentrer dans le rseau MPLS. Il na donc pas encore de label associ. Le Ingress LER R2 regarde quelle FEC appartient le paquet pour lui imposer un label. Dans ce cas simpliste, la FEC se base sur le prxe de ladresse de destination. Cela revient donc regarder la table ip mpls binding prsente prcdemment. Le routeur R2 impose donc le label 16 et dirige le paquet vers linterface de telle sorte que le LSR suivant recevoir le paquet soit le routeur R4. Le routeur R4 reoit le paquet sur linterface 50.0.0.1/24. Celui-ci a un label de 16. Ainsi le routeur regarde dans sa table de commutation et commute le paquet sur linterface de sortie aprs lui avoir impos un nouveau label. Voici un exemple de la table de commutation du routeur R2.
Figure 58 : rsultat de la commande "show mpls forwarding-table sur R2" Le protocole de routage OSPF est un protocole de type link state. Dans ce protocole, les routeurs renseignent tout le rseau sur leurs tats de liens, de telle sorte que chaque routeur a une bonne connaissance de la topologie du rseau. Sur chaque lien sont attribus des cots - Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
55
utiles pour rpartir la charge du rseau et viter ainsi trop de congestions - dont le sens dpend de la politique stratgique des administrateurs. Chaque routeur doit ensuite procder un algorithme de type Dijkstra pour trouver le plus court chemin vers chaque membre du rseau ; cette route est alors mise dans la table de routage. Parfois, deux chemins sont quivalents en termes de cot. Le protocole ECMP - Equal Cost Multi Path - permet dans ces cas l de considrer les deux chemins et de diviser le flux de trafic entre les deux chemins. On ne peut nanmoins pas diviser le trafic au niveau du flux ; par exemple on ne peut pas faire un paquet sur deux, car cela engendrerait des problmes de type problme de dsquencement, risque de gner le contrle de congestion TCP... Lide est alors de passer par une fonction de hashing qui prendrait en paramtre les adresses source et destination - on se ramne hash(adr src, adr dest). Selon la sortie de cette fonction de hachage on passe alors par un chemin ou un autre. Ainsi un flux donn passe toujours par le mme chemin. Cest pour cette raison que dans les tables on considre deux chemins. Nanmoins, dans le cas qui nous intresse ici savoir un unique flux, un seul et unique chemin sera utilis. Pour trouver ce chemin, il peut tre astucieux de se connecter sur le routeur R2 et de faire un traceroute vers le routeur R10. Cela nous permettra dliminer un des deux chemins. La syntaxe est la suivante : Router#traceroute 100.0.0.2 Ci dessous, une capture dcran du rsultat obtenu :
Figure 59 : rsultat de la commande traceroute depuis R2 pour le 100.0.0.2 Le rsultat fournit le chemin suivi par le paquet. Dans notre cas, le paquet passe par les routeurs 4, 6 et 9. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
56
c. Test du Ping : Avant la configuration de MPLS, on obtient une valeur moyenne de 1297 ms pour joindre le routeur R10 partir du routeur R1.
Aprs la configuration de MPLS, cette valeur diminue 989 ms.
Figure 60 : le rsultat Ping vers 100.0.0.2 Nous observons la mme chose en pingant partir du R10 vers le R1 , la valeur moyenne diminue de 1332 826. Ping avant configuration de MPLS :
Figure 61 : le rsultat Ping vers 10.0.0.1 depuis R10 avant MPLS Ping aprs configuration de MPLS :
Figure 62 : le rsultat Ping vers 10.0.0.1 depuis R10 aprs MPLS Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
57
d. Visualisation des messages par wireshark : On vient de comprendre le mode de fonctionnement de la commutation. On se concentrera maintenant sur la faon de renseigner la table de commutation des LSR. Les tables de commutation sont ici renseignes par lalgorithme dimplicit routing LDP -Label Distribution Protocol. Dans le but davoir une comprhension ne de ce protocole on utilise loutil de sning Wireshark. On va ici tudier les conversations entre les routeurs R2 et R9. Pour ce faire on se place sur linterface du routeur R10 et on lance la capture.
Figure 63 : les changes capturs par wireshark Limage ci-dessus est une capture dcran du logiciel Wireshark. Sur cette image on voit les changes entre les routeurs R2 et R10. La premire chose que lon remarque dans cette conversation est que les paquets sont envoys en multicast. En eet ladresse en 224.0.0.x est une adresse de multicast, ce qui signie que les routeurs sadressent des groupes, des entits et non pas un unique routeur - par commodit. Par ailleurs, on constate que le protocole OSPF tourne par dessus le protocole de signalisation LDP. En eet, on voit plusieurs reprises des messages HELLO changs par ces routeurs. Une fois de plus les messages sont changs sur une adresse multicast. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
58
Les paquets LDP servent deux choses : Garder la connexion TCP ouverte - sinon TCP a un timeout et ferme la connexion donc on considre un changement de mapping... Et il faut alors rouvrir une connexion, ce qui coute chaque fois trois messages... Vrier que le protocole LDP est toujours actif sur les interfaces. La vrication des routeurs ou des liens est assure par le protocole OSPF sur lequel repose LDP. On assiste aux messages habituels - LS Request, LS Database, HELLO... -. Le protocole ldp est lanc seulement une fois que le protocole OSPF a converg. Une fois les bases de donnes de R9 remplies, le routeur R9 ouvre une connexion TCP avec son voisin an de procder lchange de labels. Ces messages dchange de labels se font sur TCP et sont donc tous acquitts -comme il ny a pas de rponse mme implicite, TCP est le seul moyen dtre sr que le routeur a bien eu toute les informations.
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
59
Chapitre III : Etude et simulation du service VPN-IP
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
60
I. Prsentation gnrale 1. Services MPLS Le concept de MPLS est intellectuellement intelligent dans ses principes et trs sduisant dans ses intentions. Son objectif est de tirer profit de la capacit de transmission de technologies existantes telles quATM et FR (Frame Relay). Ainsi, MPLS a su apporter la puissance de la commutation au domaine de routage pour tre adopte comme technologie autour de laquelle peuvent tre btis de rapide rseaux dorsaux. En outre, MPLS trouve de nouveaux domaines dapplications lapprochant jour aprs jour des utilisateurs finaux en leur offrant des services proches des couches applicatives. La figure ci-dessous numre quelques exemples de nouveaux services valeur ajoute pouvant se greffer au dessus de MPLS.
Figure 64 : Les services MPLS Dans la suite de ce chapitre nous allons exposer le principal service qui peut tre immdiatement mis en place au dessus de MPLS savoir le service VPN-IP.
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
61
2. Service VPN-IP Les rseaux privs virtuels MPLS simplifient considrablement le dploiement des services par rapport aux VPN IP traditionnels (Utilisation de lignes spcialises, Utilisation de tunnels IP, Utilisation de rseaux Frame Relay ou ATM). Le service VPN consiste en la mise en place dun rseau priv bti sur une infrastructure mutualise fournie par loprateur de service SP Service Provider. Laspect virtuel est d labsence de la rservation lien physique de bout en bout entre les diffrents sites du mme client. Ajoutons cela que la confidentialit est assure par la prservation des plans de routage et dadressage de ce mme client. Les VPNs bass sur larchitecture MPLS son communment appels BGP/MPLS-VPNs vu que le protocole BGP est utilis pour la distribution des informations de routage travers le backbone, et que MPLS est utilis pour acheminer le trafic dun site du VPN un autre. Les objectifs de cette approche sont de rendre le service simple dusage pour les clients mme sils ne disposent pas dexprience dans le routage IP, de le rendre extensible et flexible pour faciliter un dploiement grande chelle. II- Fonctionnement du service VPN-IP 1. Composantes du rseau pour le BGP/MPLS-VPNs : Au niveau Infrastructure, la mise en uvre du service VPN repose sur le dploiement dun ensemble dquipements. A savoir les routeurs CE, PE et P. Dans le contexte du RFC 2547, un VPN est dfini par une collection de politiques qui contrlent la connectivit dun ensemble de sites. Ainsi, un site client est connect au rseau du SP par un ou plusieurs ports, et le SP associe chaque port une table de routage VPN appele VRF (VPN Routing and Forwarding).
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
62
Figure 65 : Architecture dun routeur virtuel VR- Customer Edge : Le routeur CE (Customer Edge) est lquipement qui permet laccs du client au rseau du SP travers un ou plusieurs routeurs PE. Typiquement, cest un routeur qui tablit une adjacence avec les PEs auxquels il est directement connect. Aprs ltablissement de ladjacence, le routeur CE annonce aux PEs les routes VPN du site local pour quil puisse recevoir de ce dernier les routes VPN distantes. Provider Edge Cest grce au concept de routeur PE (Provider Edge) implmentant une ou plusieurs VRF quil est devenu possible de mettre en place des rseaux doprateurs souples et commercialement viables. Le PE change les informations de routage avec le CE en utilisant le routage statique ou dynamique, RIPv2, SPF ou BGP. Au moment o le PE maintient les informations de routage VPN, il lui est requis seulement de maintenir les routes VPN de ceux qui lui sont directement connects. Ce qui contribue fortement lamlioration de lextensibilit du rseau. Chaque PE maintient une VRF relative chaque site qui lui est directement connect. Chaque connexion (Frame Relay, LL, ..) est mappe une VRF spcifique. Do la justification du choix dun port (interface), et non un site, pour lassocier une VRF. Ltanchit des VPNs est rendu possible grce au maintient par le PE dune multitude de VRF, rendant aise la tache de routage et amliorant les performances des quipements de commutation. Les informations de routage locales aux CEs sont utilises par les routeurs PE pour tablir, via BGP, la connectivit IP. Cette connectivit IP sera par la suite traduite en connectivit de label. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
63
Provider Router Le routeur P est nimporte quel routeur situ dans le backbone MPLS et qui nest connect aucun routeur CE. Le P fonctionne en MPLS transit (LSRs) quant il achemine un trafic VPN entre PEs. Les P sont chargs du maintien des routes au PE, et non du maintien dinformation spcifique de routage pour les sites clients. 2. Apports du MPLS VPN La mise en place du service VPN sur la base de larchitecture MPLS profite pleinement des avantages de celle-ci en terme sparation des plans logiques et physiques savoir : Labsence de contraintes sur le plan dadressage adopt par chaque VPN client. Le client peut ainsi utiliser un adressage public ou priv. Pour le SP, plusieurs clients peuvent utiliser les mmes plages dadresses. Du fait que le modle adopt est le Network Based layer 3 VPN, le CE nchange pas directement les informations de routage avec les autres CE du mme VPN. Les clients ne sont alors pas obligs davoir une parfaite connaissance du schma de routage utilis dans le rseau. Les clients nont pas un backbone virtuel administrer. De ce fait, la tache de management PE ou P, voire CE, est une tache de moins. Le SP administre un seul rseau mutualis pour lensemble de ses clients. Le VPN client peut sappuyer sur un ou plusieurs backbone SP. Mme sans lutilisation de technique de cryptographie, la scurit est quivalente celle supporte par les VPNs de la couche 2 (ATM ou Frame Relay). Les SPs peuvent utiliser une infrastructure commune pour offrir les services de connectivit VPN et Internet. Conformit au modle DiffServ. Une QoS flexible et extensible grce lutilisation des bits EXP de lentte MPLS ou par lutilisation du trafic Engineering (RSVP) Le modle RFC 2547bis est indpendant du lien de la couche 2.
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
64
3. Dfis et Solutions MPLS-VPN utilise plusieurs mcanismes pour amliorer lextensibilit de son approche et rsout ainsi des problmes spcifiques dexploitation. Le support du chevauchement des plans dadressages ou Overlapping, la connectivit contraignante au rseau et le maintien jour des informations de routage VPN ont t les principaux dfis relever. a. Overlapping Les clients VPN grent souvent leurs propres rseaux et utilisent des espaces dadresses privs conformes au RFC 1918 dfinissant les plages dadressage priv. Si les clients nutilisent pas des adresses universelles, les mmes adresses IPv4 peuvent tre utilises pour identifier diffrents systmes dans diffrents VPNs. Le rsultat serait lchec de routage vu que BGP exige que chaque adresse IPv4 quil vhicule soit globalement unique. Pour surmonter cette difficult MPLs-VPN supporte un mcanisme qui convertit les adresses IP non uniques en adresses uniques par la combinaison de lutilisation de la famille dadresses VPN-IPv4 grce au dploiement des extensions du Multi-Protocoles BGP (MP-BGP). BGP est un protocole qui traite deux routes ayant le mme prfixe comme si elles sont quivalentes et nen garde quune seule. Prsentant linconvnient de ne supporter que les adresses IPv4, BGP a contraint lIETF se pencher sur la question et publier les RFC 2283 et 2858. Les extensions objets de ces RFCs ont donn naissance au MP-BGP, que les PE doivent supporter la place du BGP conventionnel. Ainsi, la famille dadresses VPNv4 a t adopte comme solution la problmatique doverlapping. Une adresse VPNv4 est forme de 12 Octets. 8 octets composent le RD (Route Distinguisher) suivi des octets de ladresse IPv4.
Figure 66 : Format dadresse VPNv4 Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
65
b. Connectivit contraignante Assumant une table de routage qui ne contient pas une route par dfaut, il est admis, pour le routage IP, que si la route un rseau spcifique nest pas installe dans une table de transfert Forwarding Table ce rseau est alors injoignable. Le modle MPLS-VPN se base sur un contrle plus granulaire des informations de routage par lajout de deux mcanismes supplmentaires savoir le Multiples Forwarding Tables et le BGP extended communities.
Multiples Forwarding Tables : Au niveau dun routeur PE, chacune de ses VRFs est associe un ou plusieurs de ses ports (interfaces/sous interfaces) qui le connectent directement au site client. Si un site donn contient des machines qui sont membres dans plusieurs VPNs, la VRF associe au site client contient alors des routes pour tous les VPNs dans lesquels ce site est membre.
BGP extended communities : La distribution des informations de routage est conditionne par lusage des nouveaux attributs du BGP que sont les Extended Communities. Ces attributs font parties des messages BGP en tant quattributs de la route. Ils identifient la route comme appartenant une collection spcifique de routes et qui font objet de la mme politique de traitement. Chaque attribut BGP Extended Community doit tre globalement unique et ne peut alors tre utilis que par un seul VPN. Nanmoins, un VPN dun client donn peut faire usage du BGP Extended Communities pour aider au contrle de la distribution des informations de routage. Les attributs BGP Extended Communities utiliss sont de 32 bits au lieu de 16 bits. Lutilisation de ces 32 bits vise lamlioration de lextensibilit des rseaux doprateurs 232 communities. Par ailleurs et puisque lattribut contient lidentificateur du systme autonome du SP, il peut aussi servir pour contrler lattribution locale tout en maintenant son unicit. Trois types dattributs BGP Extended Communities sont utiliss : Le RT (Route Target) qui identifie une collection de sites VRFs vers lesquelles le PE distribue les routes. Un PE utilise cet attribut pour contraindre limport de routes vers ses VRFs. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
66
Le VPN-of-origin qui identifie une collection de sites et tablit la route associe comme venant dun des sites de lensemble. Le Site-of-origin qui identifie le site spcifique partir duquel le PE apprend une route. Il est encod comme attribut de route origin extended community , qui peut tre utilis pour prvenir les boucles de routage. En mode oprationnel, et avant de distribuer ses routes locales aux autres PEs, le PE dentre affecte un RT chaque route apprise par les sites directement connects, qui est bas sur la valeur de la politique cible dexport configure. Cette approche offre une flexibilit norme dans la mesure o un PE peut attribuer un RT une route. Le PE dentre (ingress) peut ainsi tre configur pour assigner un seul RT lensemble des routes apprises dun site donn, ou dassigner un RT un groupe de routes apprises dun site et autres RTs aux autres routes apprises dun autre. Avant dinstaller les routes distantes distribues par un PE, chaque VRF dans un PE sortant (egress) est configure avec une politique import cible. Un PE peut uniquement installer une route VPNv4 dans une VRF si le RT transport avec la route correspond une VRF import cible. Cette approche permet un SP dutiliser un seul mcanisme pour servir les clients ayant une large politique de connectivit inter sites. Par le biais dune configuration sereine dImport Target et Export Target, le SP peut alors construire diffrents types de topologies VPN : maille complte, maille partielle, Hub, Spoke, .
Maintien jour des informations de routage : Lors de tout changement de la configuration dun PE par la cration dune nouvelle VRF ou lajout dune ou de plusieurs politiques Import Target une VRF, le PE aura besoin dobtenir les routes VPN-Ipv4 quil a annul auparavant. Le BGP4 peut prsenter une entrave la mise jour rapide que ncessite le PE dans la mesure o il sagit dun protocole stateful qui ne procde pas au rafrachissement automatique des routes, une limitation dont ne souffre pas le MP-BGP grce sa fonction Route Refresh Capability. Ainsi lors du changement de la configuration dun PE, celui-ci envoie une requte de mise jour via le MP-iBGP peer. Quand les routes sont rediffuses, la politique Import Target est alors applique et le PE procde la population de ses VRFs.
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
67
4. Larchitecture dun rseau dployant le service VPN-IP
Figure 67 : Larchitecture dun rseau mettant en ouvre VPN-IP On sintresse dans cette partie au dploiement dun rseau priv virtuel VPN sur une architecture MPLS. 1. La plateforme VPN-IP:
Figure 68 : La plateforme ralise pour VPN-IP
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
68
Dans notre cas, comme sur la figure de la plateforme, on a 2 routeurs PE : PE1 et PE2 4 routeurs CE : CE1 et CE2 relatifs au VPN_A et CE3 et CE4 relatifs au VPN_B et 1 routeur P : P. Pour des besoins, vu quune seule machine une fois dpasse 6 routeurs, elle devient excessivement lente, nous avons choisi deffectuer le projet sur deux machines a ce niveau et cela en reliant les deux par des nuages. Tout ce passe comme si on effectuait la ralisation sur une seule machine, la plateforme devient alors: Sur la machine 1 : qui a une adresse IP 40.0.0.9/24
Figure 69 : Plateforme de sur la machine 1 Sur la machine 2 : qui a une adresse IP 40.0.0.10/24
Figure 70 : Figure 69 : Plateforme de sur la machine 2
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
69
2. Configurations et tests effectuer : a. Configuration des adresses des interfaces : Nous avons aux niveaux de chaque CE des interfaces loopback pour simuler les rseaux utilisateurs qui seront utilises dans par les VPN : CE1 : Loopback 0: 192.168.1.1 Loopback 1: 172.16.1.1
b. Configuration du protocole de routage interne On va maintenant configurer le routage interne du fournisseur, car BGP est un protocole EGP (Exterior Gateway Protocol), et son but nest pas le routage au sein de lAS mais entre les AS. Ses neighbors ne seront pas forcment dans les mmes sous rseaux, et il faut donc quils puissent communiquer, ce qui implique une table de routage valide pour chaque routeur. Nous utiliserons le protocole IGP OSPF au niveau du backbone de notre plateforme c'est--dire sur les routeurs PE et P. c. Vrification de lIGP : La table rib du Routeur PE1 : la table mentionnant les routes concernant le routeur PE1 Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
70
Figure 71 : La table RIB de PE1 La table ri du Routeur P1 : la table mentionnant les routes concernant le routeur P1
Figure 72 : La table RIB de P1 Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
71
Le Ping : du PE1 vers les autres interfaces
Figure 73 : Les rsultats des Ping depuis PE1 Donc on voit bien que les Ping russissent avec succs depuis le PE1 vers les toutes les interfaces du rseau backbone. Ce qui veut dire que lIGP fonctionne bien. d. Configuration MPLS : Il faut configurer le MPLS sur les routeurs du fournisseur c'est--dire les routeurs PE et P .Ici nous utiliserons le protocole LDP pour la distribution de label. Les tapes suivre pour faire cela sont les suivantes : Sur le routeur PE1 : PE1#Configure terminal PE1(config)# mpls ldp advertise-labels PE1(config)# mpls ldp router-id loopback0 force PE1(config)# interface f1/0 PE1(config-if)# mpls ip
Sur le routeur PE2 : PE2#Configure terminal PE2(config)# mpls ldp advertise-labels PE2(config)# mpls ldp router-id loopback0 force Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
72
PE2(config)# interface f1/0 PE2(config-if)# mpls ip
Sur le routeur P1 : P1#Configure terminal P1 (config)# mpls ldp advertise-labels P1(config)# mpls ldp router-id loopback0 force P1(config)# interface f0/0 P1(config-if)# mpls ip P1(config)# interface f1/0 P1(config-if)# mpls ip
Sur le routeur P2 : P2#Configure terminal P2 (config)# mpls ldp advertise-labels P2(config)# mpls ldp router-id loopback0 force P2(config)# interface f0/0 P2(config-if)# mpls ip P2(config)# interface f1/0 P2(config-if)# mpls ip
Donc la configuration du MPLS se termine la et on fera une srie de test pour voir son fonctionnement. Pour cela on affichera la table des LIB. e. Test du MPLS: Sur le PE1 : on affiche ici la table LIB pour voir les labels utiliss pour atteindre les prfix rseaux.
Figure 74 : le rsultat de la commande "show mpls forwarding-table" sur PE1 Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
73
Sur le P1 : on affiche ici la table LIB pour voir les labels utiliss pour atteindre les prfix rseaux.
Figure 75 : le rsultat de la commande "show mpls forwarding-table" sur P1 Les Ping : on Ping pour voir le rsultat depuis PE1 vers PE2 :
Figure 76 : Le rsultat du Ping depuis PE1 vers PE2 3. Cration de VRF Une VRF permet de virtualiser une partie du routeur. Par exemple, un routeur qui doit traiter le traffic de plusieurs AS ayant le mme adressage, afin de ne pas les mlanger, mettra chaque AS dans une VRF. Chaque VRF a sa propre Routing Information Base (RIB, Table de routage) et table Cisco Express Forwarding (doit tre activ avec ip cef). Le routage se fera grce BGP et son extension multi protocole (MP BGP) : Un routeur en cur de rseau pouvant avoir plusieurs clients ayant les mmes adresses prives, on assignera chaque VRF une route distinguisher, qui, prfix a une adresse IPv4 donnera une adresse VPNv4 unique dans tout le rseau (on aura donc une RD par VRF). Les routes des VRFs pouvant tre injectes dans dautres VRF (VPN Multi Sites), on utilisera les Route Target (RT) qui permettront de dfinir un nom dexport la table de routage de notre VRF, et dindiquer quelles tables importer. Les RT seront transportes via MP BGP. Chaque VRF doit avoir une RD (unique) et une ou plusieurs RT en import et/ou export. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
74
Convention RD : Numero_as :nombre_aleatoire Ou IPv4 :nombre_aleatoire
Convention RT : Numero_as :nombre_aleatoire Ou IPv4 :nombre_aleatoire
Les RD et RT peuvent ou non avoir la mmes valeur, cela na rien voir, mais doivent tre les mmes sur tous les routeurs pour la mme VRF. Le mot clef both indique que les routes de la vrf crf_client seront exportes et importes sur chaque routeur, ce qui veut dire que si un des routeurs reoit une mise jour BGP avec la RT 1:123 il linjectera dans la table de routage de cette VRF. Les routeurs P nont pas besoin davoir cette VRF configure puisquils nont pas dinterfaces configures dans cette VRF. On remarque aussi que le client ne sait pas quil est dans une VRF, cela est dfini uniquement cot FAI. En fait, le routeur PE enverra dans ces messages la liste des adresses quil peut desservir ainsi que le label quil attend pour commuter sur tel ou tel prfixe. La configuration se fait donc sur les PE seulement comme suit : Sur PE1 : PE1#Configure terminal PE1(config)#ip vrf VPN_A PE1(config-vrf)# rd 1:100 PE1(config-vrf)# route-target export 1:100 PE1(config-vrf)# route-target import 1:100 PE2(config-vrf)# exit PE2(config)#ip vrf VPN_B PE2(config-vrf)# rd 1:200 PE2(config-vrf)# route-target export 1:200 PE2(config-vrf)# route-target import 1:200
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
75
Sur PE2 :
PE2#Configure terminal PE2(config)#ip vrf VPN_A PE2(config-vrf)# rd 1:100 PE2(config-vrf)# route-target export 1:100 PE2(config-vrf)# route-target import 1:100 PE2(config-vrf)# exit PE2(config)#ip vrf VPN_B PE2(config-vrf)# rd 1:200 PE2(config-vrf)# route-target export 1:200 PE2(config-vrf)# route-target import 1:200 a. Assignation des interfaces aux VRF Il est maintenant indispensable de prciser sur quelle interface du PE est reli le site client. On vrifie alors sur la configuration voulue le nom de linterface de PE qui est relie au routeur CE. Sur PE1 PE1(config)#interface FastEthernet0/0 PE1(config-if)# ip vrf forwarding VPN_A PE1(config-if)# ip address 10.0.0.2 255.255.255.0 PE1(config)#interface FastEthernet0/1 PE1(config-if)# ip vrf forwarding VPN_B PE1(config-if)# ip address 20.0.0.2 255.255.255.0
La premire ligne de commande permet de prciser que lon travaille sur linterface FastEthernet0/0, cest dire linterface qui relie le routeur PE au routeur CE. On prcise ensuite que sur cette interface on va commuter des paquets qui appartiennent au VPN_A. On prcise ladresse de linterface ainsi que le masque appliqu. On a donc russi crer une table VRF relie au routeur CE1, dont on connait les principales caractristiques - rd, rt... .
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
76
On fait pareil sur le routeur PE2. Sur PE2 PE2(config)#interface FastEthernet0/0 PE2(config-if)# ip vrf forwarding VPN_A PE2(config-if)# ip address 10.0.0.2 255.255.255.0 PE2(config)#interface FastEthernet0/1 PE2(config-if)# ip vrf forwarding VPN_B PE2(config-if)# ip address 10.0.0.2 255.255.255.0
b. Lancer OSPF dans linstance VRF Dans le site client, le protocole de routage utilis est un protocole IGP classique. Ici on travaille avec le protocole de routage OSPF. On lance donc ce protocole, qui permettra de remplir la table VRF du PE. Le routeur PE pourra donc router en IP les paquets destinations du routeur CE concern. Sur le routeur PE1 : PE1(config)#router ospf 100 vrf VPN_A PE1(config-router)#network 10.0.0.0 0.255.255.255 area 0 PE1(config-router)#redistribute bgp 10 subnets PE1(config)#router ospf 200 vrf VPN_B PE1(config-router)#network 20.0.0.0 0.255.255.255 area 0 PE1(config-router)#redistribute bgp 10 subnets Sur le routeur PE2: PE2(config)#router ospf 100 vrf VPN_A PE2(config-router)#network 60.0.0.0 0.255.255.255 area 0 PE2(config-router)#redistribute bgp 10 subnets PE2(config)#router ospf 200 vrf VPN_B PE2(config-router)#network 70.0.0.0 0.255.255.255 area 0 PE2(config-router)#redistribute bgp 10 subnets
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
77
c. Lancer MP-BGP pour lannonce des routes On va dans cette section soccuper de lancer le protocole MPBGP pour lannonce des routes. Le protocole MPBGP est relatif aux routeurs PE qui grent le mme VPN. En loccurrence, pour le VPN_A, il sagit des routeurs PE1 et PE2. On va donc annoncer au routeur PE1 quil devra dialoguer avec le routeur PE2 en utilisant ce protocole. Ainsi, PE1 enverra des messages de type update au routeur PE2. Ces messages renseigneront PE2 sur les prfixes que peut joindre PE1, le Next Hop en loccurrence PE1, le RT ici VPN_A ou VPN_B et le label pour joindre le prfixe en question. Sur le routeur PE1 PE1(config)#router bgp 1 PE1 (config-router)#no bgp default ipv4-unicast PE1 (config-router)#neighbor 4.4.4.4 remote-as 1 PE1 (config-router)#neighbor 4.4.4.4 update-source Loopback0 PE1 (config-router)#address-family vpnv4 PE1 (config-router-af)#neighbor 4.4.4.4 activate PE1 (config-router-af)#neighbor 4.4.4.4 send-community both PE1 (config-router-af)#exit PE1 (config-router)#address-family ipv4 vrf VPN_A PE1 (config-router-af)#redistribute ospf 100 PE1 (config-router-af)#exit PE1 (config-router)#address-family ipv4 vrf VPN_B PE1 (config-router-af)#redistribute ospf 200
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
78
4. Test de la configuration: Une fois les deux routeurs paramtrs, on peut vrifier si la configuration est bonne. Pour cela on cherche prouver la nouvelle connectivit entre le routeur PE1 et le CE1 et le CE3 ou entre le routeur PE2 et le CE2 et CE4. On fait alors un Ping, un traceroute et un show ip route depuis le routeur PE1 ou le routeur PE2
Figure 77 : rsultat de la commande "Ping vrf VPN_A 10.0.0.1 ou 20.0.0.1" depuis PE1
Figure 78 : rsultat de la commande "traceroute vrf VPN_A 10.0.0.1 ou 20.0.0.1" depuis PE1 On en dduit que le routeur CE et le PE sont bel et bien connects ensemble. De plus le show ip route appliqu la table vrf dmontre que le CE a bien transmis toutes ses adresses au PE. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
79
Figure 79 : rsultat de la commande "show ip route vrf VPN_A et show ip route vrf VPN_A " depuis PE1
Figure 80 : rsultat de la commande "show ip route vrf VPN_B et show ip route vrf VPN_B " depuis
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
80
a. Lacheminement des paquets Une fois le VPN install et paramtr, on sattarde alors sur lacheminement des paquets. On cherche ici comprendre comment transitent les paquets et quels labels sont apposs par MPLS. Pour rpondre cette question, on commence par faire un Ping depuis le routeur CE1 vers le routeur CE2. Pour le CE1, le routeur CE2, qui se trouve dans le mme VPN est sur le mme rseau. Il na aucune connaissance de lloignement des sites. Il transmet le paquet en IP au routeur PE1. Cest la raison pour laquelle lorsquon fait un Ping entre les routeurs CE1 et CE2, on na aucune donne sur les labels apposs. Et cela est pareil pour les routeurs CE3 et CE4. Si on veut connaitre les labels lors du chemin entre CE dun mme VPN, alors on fait un Ping entre PE1 et CE distant. Le PE1 reoit un paquet depuis un CE1 ou CE2, rout en IP. Il regarde ladresse de destination, il sagit dune adresse appartenant la table vrf, donc au mme VPN. Il va donc traiter le paquet. Dans le cas contraire, le paquet serait dtruit. PE1 regarde dans sa table remplie avec le protocole MPiBGP le prochain saut en terme de PE, pour aller ladresse IP souhaite, et appose alors le label correspondant. Ce label servira commuter le paquet entre les diffrents PE. Ensuite, il regarde dans sa table de commutation le label quil doit attribuer pour le prochain saut du message dans le backbone ; il en dduit un second label. Ainsi, le paquet est transmis avec deux labels. Le premier, le plus lextrieur, permet la commutation du paquet dans le rseau, pour conduire le paquet au PE suivant; le second permet la commutation du paquet au niveau des PE. Pour connatre le cheminement du message, on doit faire un traceroute ; le Ping donnera les labels apposs - bien que le traceroute les fournisse aussi. On se place donc sur le routeur PE1 pour effectuer ces deux commandes. Voil le rsultat obtenu : Sur le Routeur PE1 : Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
81
Le VPN_A : on essai de joindre les rseaux du VPN_A et voir les labels qui sont mis en jeu.
Figure 81 : rsultat de la commande " trace vrf VPN_ A 192.168.2.1 ou trace vrf VPN_ A 172.16.2.1 " depuis PE1 Le VPN_B : on essai de joindre le rseau du VPN_B et voir les labels qui sont mis en jeu.
Figure 82 : rsultat de la commande " trace vrf VPN_ B 192.168.4.1 Sur le routeur PE2 : le VPN_A : on essais de joindre les rseaux du VPN_A et voir les labels qui sont mis en jeux .Voir la figure suivante pour les deux rseaux : Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
82
Figure 83 : rsultat de la commande " trace vrf VPN_ A 192.168.1.1 ou trace vrf VPN_ A 172.16.1.1 " depuis PE2 b. Les Ping effectus : On essais de voir si on peut joindre nos sites VPN dun site a lautre. Donc cela doit tre possible sur les routeurs CE. Sur le CE1 : on Ping les deux autres rseaux du site VPN_A distant.
Figure 84 : rsultat de la commande "Ping 192.168.2.1 ou Ping 172.16.2.1" depuis CE1 On remarque que le Ping marche avec succs, on a pu joindre le site distant. Sur le CE3 : on Ping les deux autres rseaux du site VPN_B distant. Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
83
Figure 85 : rsultat de la commande "Ping 192.168.4.1 ou Ping 172.16.2.1" depuis CE3 Donc le Ping marche avec succs, on a pu joindre le site distant. c. Les tables RIB : Ici nous verrons les tables RIB qui sont mises en jeux au niveau des routeurs CE savoir leur contenu. Sur le CE1 : on a les routes suivantes :
Figure 86 : La table RIB du CE1 On voit bien quon a les routes vers les reseaux distants du mme site VPN . Sur le CE3 : on a les routes suivantes : Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
84
Figure 87 : La table RIB du CE3 On voit bien quon a les routes vers les reseaux distants du mme site VPN . Sur le PE1 : on a les routes suivantes sur la table VRF du VPN_A:
Figure 88 : La table RIB sur le PE1 pour le VPN_A Sur le PE1 : on a les routes suivantes sur la table VRF du VPN_B: Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
85
Figure 89 : La table RIB sur le PE1 pour le VPN_B
d. Les tables LIB des PE des P : Ici on montrera le contenu des tables LIB des routeurs PE et P Sur le PE1 : voila les labels qui sont utiliss par le PE1 en entre puis en sortie.
Figure 90 : La table LIB du PE1 Sur le P1 : les P nont aucune connaissance des VPN donc la table LIB du P1 contient :
Figure 91 : La table LIB sur le P1 Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
86
e. Les deux labels du service VPN-IP Ici comme on met en place un service VPN sur le MPLS donc on a deux services savoir la commutation et le VPN ce qui implique lutilisation de deux labels. Pour voir ces labels on les affiches partir des routeurs PE. Sur le PE1 : les labels qui sont utiliss pour joindre le VPN_A concernant le 192.168.2.1 sont les suivants
Figure 92 : rsultat de la commande "show ip cef vrf VPN_A 192.168.2.1" depuis PE1 On a bien deux labels : 19 et 21. Sur le PE1 : les labels qui sont utiliss pour joindre le VPN_B concernant le 172.16.4.1 sont les suivants.
Figure 93 : rsultat de la commande "show ip cef vrf VPN_B 192.168.4.1" depuis PE1 On a bien deux labels : 19 et 26.
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
87
f. Visualisation Sur Wireshark : On a utilis le Wireshark sur le backbone entre les routeurs P pour voir les messages qui sont changs entre les routeurs. Les changes Ldp :
Figure 94 : Les messages LDP et OSPF changs Les changes Ping :
Figure 95 : Les changes Ping capturs par wireshark Lorsquon slectionne un message Ping Request pour voir les labels mis en jeux on trouve : Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
88
Figure 96 : les labels utiliss par le protocole ICMP pour joindre le VPN_A distant On voit bien quil y a deux labels qui sont utiliss pour joindre le VPN_A distant depuis le VPN_A local. Ces labels sont 18 t 22. 18 pour la commutation au sein du backbone et 22 pour identifier le VPN_A sur le PE2 Pour la rponse ce Ping :
Figure 97 : les labels utiliss par le protocole ICMP pour joindre le VPN_A distant Pour la rponse au Ping prcdant on voit que les labels utiliss ne sont pas les mmes que dans la requte Ping Request . Dans ce cas les labels sont 16 et 22. 16 pour la pour la commutation au sein du backbone et 22 pour identifier le VPN_A sur le PE1
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
89
Conclusion MPLS est donc une technologie qui a su prendre une place prpondrante dans les rseaux longue distance oprateurs. Son but premier, qui tait d'optimiser le temps de traitement des paquets au sein du cur de rseau s'est peu peu effac pour laisser placer aux extensions et applications du MPLS. De nos jours, les quantits de donnes transportes sur les rseaux sont de plus en plus importantes, et le routage IP actuel ne satisfait pas aux contraintes qui sont dsormais de l'ordre de la bande passante et du temps de transmission. MPLS offre indniablement plusieurs services intressants exploiter, et ne ncessite pas forcment d'investissement consquent lors de sa mise en place. Le dveloppement des technologies contrainte temporelle telles que la VoIP ou les applications vido, sont de plus en plus frquentes, et requirent l'utilisation d'un rseau pouvant respecter ces besoins. Le mode "best effort" de l'IP devient alors trop limit pour l'utilisation souhait et MPLS propose donc un systme fiable pour le mettre en place. A l'poque de la convergence audio / vido / donnes, les rseaux trs haut dbit sont de plus en plus sollicits. La logique modulaire selon laquelle le MPLS a t dvelopp permet de l'tendre avec beaucoup de souplesse, comme en tmoigne l'apparition du GMPLS destin devenir un standard. Dans ce projet nous avons tudi le MPLS et mettre en place une plateforme MPLS puis nous avons tudi et mettre aussi en place un service frquemment dploy au-dessus de MPLS qui est le VPN-IP et tout ce travail a t effectu sur le simulateur GNS3.
Etude et simulation sur GNS 3 du service MP-BGP/VPN-IP 2010/2011
Proposition Sujet de Thèse - Contribution À L'étude Et À L'amélioration Des Infrastructures de La Sécurité Et de La Qualité de Service Dans Un Réseau Multi-Protocol Label Switching