j'ai compris

[ HCIE ] Discussion de L'examen : Inter-AS MPLS BGP VPN - Comprendre Les Différences entre les Options A, B et C

publié il y a  2021-11-30 16:22:33 339 0 3 0 0


           En tant que sujet extrêmement important pour l'examen HCIE-R&S, Inter-AS MPLS BGP VPN exige que vous compreniez les différences entre les différentes manières de permettre aux VPN de différents AS de communiquer entre eux. Cette compréhension est cruciale pour vraiment comprendre comment le plan de transfert et le plan de contrôle fonctionnent dans chaque option. 



Alors, voyons les différentes options présentées tout au long du cours HCIE-R&S ?



* Option A :


Également appelé VRF-to-VRF, l'ASBR aura des instances VPN associées à des interfaces dédiées pour fournir une interconnexion pour chaque VPN qui s'étend entre différents AS.


Dans l'option A, la configuration est extrêmement simple. Chaque ASBR considère l'autre comme un CPE. Ils ont le VRF lié à une interface. Cette solution n'est pas évolutive car une interface est requise pour chaque VRF qui doit être interconnecté.


Comme vous pouvez le voir dans la figure ci-dessous, le PE1 reçoit la route IPv4 du CE1 et l'annonce à l'aide de MP-iBGP vers l'ASBR-PE1. ASBR1 aura l'instance VPN associée à l'interface qui se connecte à ASBR-PE2, donc du point de vue ASBR-PE2, ASBR-PE1 ressemble à un périphérique CE. L'étiquette extérieure (étiquettes avec la lettre T) est distribuée par LDP, tandis que l'étiquette intérieure (étiquettes avec la lettre V) est distribuée par MP-iBGP.


Option A

Figure 1 – Plan de transfert de l'option A compte tenu de la manière dont CE2 atteint CE1



* Option B : 

 

Dans l'option B, chaque ASBR a MPLS activé sur ses interfaces. Ils n'ont pas besoin d'avoir le VRF (instance VPN), mais pour avoir les préfixes VPNv4, il est nécessaire de désactiver la politique de cible VPN au sein de la famille VPNv4. Par défaut, les routeurs ne conservent que les routes à partir des VRF qui existent dans leur configuration. Par conséquent, pour que l'ASBR conserve les routes VPNv4 même sans VRF, il est nécessaire de désactiver la stratégie vpn-target. ASBR aura établi MP-EBGP et échangera des routes VPNv4 avec des informations d'étiquette.

 

CPE1 annonce une route vers PE1. PE1 reçoit cette route dans le VRF, l'encapsule dans un message MP-iBGP (route VPNv4) et l'envoie à ASBR1. Cette route a comme informations importantes RT (Route Target), RD (Route Distinguisher), le préfixe du réseau, l'adresse NH (Next-Hop) qui est l'adresse PE1 utilisée pour établir cette relation MP-iBGP, et une étiquette pour identifier le VPN.


ASBR1 annoncera la route vers ASBR2 via MP-eBGP. Le prochain saut sera remplacé par l'adresse ASBR1 et l'étiquette VPN sera modifiée (échange) par une valeur définie par ASBR1. ASBR2 annoncera la route vers PE2 en changeant l'adresse du prochain saut en son IP et l'étiquette VPN en ce qu'elle définit. Enfin, PE2 reçoit la route, l'importe dans le VRF en fonction des paramètres RT (Route Target). Le RT d'importation configuré dans le VRF doit être égal au RT qui apparaît dans la route. CE2, donc, a reçu la route qui venait de CE1. Le scénario décrit est illustré dans la figure ci-dessous.


Option B sans RR

Figure 2 – Option B sans Route-Reflector (RR) considérant une route annoncée de CE1 à CE2



    ASBR stockera les informations VPNv4 dans son plan de contrôle et son plan de données. Par conséquent, si de nombreux VPN existent, cela peut devenir un goulot d'étranglement.

    Avec l'utilisation du RR (figure ci-dessous), les PE et les ASBR doivent avoir une connexion MP-iBGP uniquement avec le RR. Le transfert de données ne passe pas par le RR (le RR ne change pas le NH de la route réfléchie, donc quand le PE envoie la route au RR, le prochain saut est le PE et reste ainsi lorsqu'il est réfléchi par le RR à l'ASBR) . L'ASBR annoncera la route VPNv4 vers l'autre ASBR en utilisant MP-eBGP. Le RR reflète simplement les routes VPNv4 dans son plan de contrôle et ne traite aucun trafic dans son plan de transfert. Dans ce scénario, l'ASBR n'est pas limité par le nombre d'interfaces qu'il a avec l'ASBR dans l'autre AS, comme dans l'option A.


Option B avec RR

Figure 3 – Option B avec réflecteur de route



* Option C – Solution 1 : 

 

        Dans ce cas, les PE1 pourront s'annoncer les routes VPNv4 à l'aide d'une connexion MP-eBGP multi-sauts. Les ASBR n'échangeront pas de VPNv4 entre eux et ne stockeront pas de VPNv4. Ils devront établir un BGP LSP. Le but de ce BGP LSP est de permettre à chaque PE d'apprendre à se joindre. Dans l'option C solution 1, le paquet envoyé aura 3 étiquettes différentes. L'étiquette BGP LSP est au milieu, la première est l'étiquette établie par le LDP et la dernière (étiquette externe) est établie par chaque PE directement en utilisant MP-eBGP.

 

            Regardez la figure ci-dessous montrant le plan d'acheminement considérant un itinéraire annoncé par CE1 à CE2 (cela décrit donc la séquence nécessaire aux données provenant de CE2 à CE1).


             PE1 utilise LDP pour attribuer l'étiquette externe T1. P1 effectuera l'échange et attribuera l'étiquette T2 pour atteindre le PE1 et l'envoyer à ASBR1. ASBR1 annoncera une route étiquetée IPv4 utilisant eBGP (BGP LSP). Cette route décrit comment atteindre l'adresse PE1 et l'adresse NH est l'ASBR1. ASBR2 le reçoit et annonce également cette route en utilisant une connexion iBGP (étendant ce BGP LSP). Dans ce cas, l'adresse ASBR2 est le NH et l'étiquette B2 est définie. N'oubliez pas : il s'agit d'une route étiquetée IPv4 et elle décrit finalement comment atteindre le PE1. Désormais, PE2 sait comment atteindre PE1 et peut établir directement une session MP-eBGP afin d'échanger des routes VPNv4. Par conséquent, dans cette solution, l'ASBR ne stocke pas les routes VPNv4, il leur suffit d'établir des sessions iBGP et eBGP pour échanger la route étiquetée IPv4 décrivant comment se joindre.



Option C Plan de données


       

Figure 4 – Option C solution 1 considérant le plan de transfert de CE2 à CE1.



            La figure ci-dessous montre comment procéder lors de l'utilisation d'un RR dans l'option C Solution 1. Comme vous pouvez le voir, PE établira deux types de sessions avec le RR : MP-iBGP et iBGP. MP-iBGP est utilisé pour échanger des routes VPNv4 et iBGP est utilisé pour échanger des routes étiquetées IPv4. L'ASBR aura une session iBGP avec son RR et une session eBGP avec l'autre ASBR (afin d'échanger les routes étiquetées IPv4, son objectif est d'établir le BGP LSP). RR établira une session MP-eBGP entre eux. 


Option C avec RR

Figure 5 – Solution 1 de l'option C considérant un scénario utilisant le RR.



* Option C – Solution 2 : 

 

Seules 2 étiquettes seront utilisées au lieu de 3 étiquettes comme cela est adopté à la solution 1. À l'aide d'une politique, l'ASBR local alloue une étiquette via LDP à la route IPv4 étiquetée qu'il reçoit de l'autre ASBR (le tunnel BGP LSP n'existe qu'entre les deux ASBR ). Le PE ne saura plus du PE distant via une route annoncée par BGP, il apprendra comment se rendre au PE via cette annonce qui a été faite par LDP. Parmi les ASBR, il est nécessaire d'activer le LDP. Le PE local connaîtra le PE homologue via l'étiquette allouée par le LDP au sein de l'AS.


* Solution 2 sans RR :  PE établit une session MP-eBGP avec PE distant. L'ASBR établit une connexion eBGP avec l'autre ASBR.


* Solution 2 avec RR : PE établit une connexion MP-iBGP avec RR. L'ASBR établit une connexion eBGP avec l'autre ASBR. RR établit une connexion MP-eBGP entre eux.

Dans les solutions 1 et 2 de l'option C, seuls les PE échangent des routes VPNv4 (ou RR directement, lorsqu'elles sont utilisées). Les ASBR ne sont plus des goulots d'étranglement, car ils ne stockent ni n'échangent de routes VPN.




N'hésitez pas à laisser un message et à échanger dans l'espace commentaire !



  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.