Discussion :

[EinsteinEmc2]

Bonjour, je suis étudiant en apprentissage et je travaille sur la technologie MPLS. Nous disposons de 3 couches de routage IS IS , BGP (peering entre les RR et Les PE) et enfin Couche raccordement PE-CE pour nos différents site clients.

C'est cette dernière couche que j'ai du mal à comprendre l'interconnexion entre PE-CE dans le cadre d'un noyau MPLS.
Je m'explique, je souhaite mettre en place une architecture PE-CE avec la gestion des VRF sur le CE. Pour ce faire, nous avons défini des Vlan d'interconnexions pour chaque VRFs 800 801 802 803 804 pour nos 5 vrfs, ainsi qu'un plan d'adressage pour chaque VRF sur le PE et le CE.

Ma première question serait au niveau de la gestion des VRF sur le CE, de ce que j'ai lu celle-ci n'est pas gérée mis à part dans le cas de " VRF lite" .

Que signifie cette notion exactement?
Doit-on déclarer aussi les VRFs sur le CE, ou uniquement créer des Vlans?
et sur les Vlans crées quelle est l'adresse IP associée au Vlans?

Mes questions sont les suivantes :

Comment configurer notre CE et notre PE , Doit-on déclarer les vlans d'interco uniquement sur le CE ou aussi sur le PE?

Pour le PE je dois faire:

- je déclare ma VRF (ip vrf vrf1)
- RD correspondant ( rd YYYY:XXXXXX)
- je met les RT correspondants (import et export )

Et là je ne sais pas si je dois créer les vlans ou si je peux directement faire mon "int gi0/0.800" sans avoir crée un vlan 800 sur le PE.

- int gi0/0.800 ( je configure mon interface )
-encapsulation dot1q 800
-j'ai forwarder l'interface dans la VRF associé
- et lui est mis une adresse

De plus sur l'une des configuration déja faite entre un PE et un CE , je ne voit pas de ligne sur TRUNK , pourtant entre ces deux éléments il devrais y en avoir pour pouvoir faire transiter les 5 vlans du PE au CE?


-------------------------------------------------------------------------------------------------
Pour la partie routage, si j'ai bien compris nous avons une liaison eBGP entre les adresses d'interconnexion au niveau de chaque VRF car nos CE sont dans un AS différent du PE. Donc on aura un routeur BGP au niveau de chaque au niveau de chaque VRF.

J'ai cru comprendre que la notion "d'address family" est lié au routage BGP dans une VRF.

Questions :

- Qu'est-ce que l'on attend par le fait qu'il n'y pas de MP-BGP entre le CE et le PE . Cela signifie que les routes échangés sont uniquement en IPv4 , le CE annonce le routes IPv4 unicast au PE grâce à la session eBGP ?

-Je comprend mal la différence ou le rôle de la commande adress-family vpnv4 avec address-family ipv4 vrf vrf1

Merci beaucoup pour vos réponses.

[becket]

VRF-Lite, c'est simplement du VRF ( la multiplication des tables de routage ) sans la partie MPLS.

Je n'ai jamais déployé de MPLS mais je regarde la question et je reviens si personne n'a fourni d'informations supplémentaires.

[EinsteinEmc2]

Merci beaucoup becket , il y a beaucoup de notion qui entremêlent donc c'est un peu délicat au niveau de la compréhension globale même si les grandes lignes sont plutôt claire quand on veut rentrer dans le détail ça se corse

[EinsteinEmc2]

Désolé de vous sollisciter à nouveau mais je bloque vraiment...

[shinmaki]

Hello,

Ma première question serait au niveau de la gestion des VRF sur le CE, de ce que j'ai lu celle-ci n'est pas gérée mis à part dans le cas de " VRF lite" .

Que signifie cette notion exactement?

A la base, IP a été conçu pour un adressage "global". C'est-à-dire 1 IP = 1 adresse d'interface dans le monde entier ; au NAT près... Un jour, MPLS est arrivé avec, entre autre, ses VPN. Une des idées était de refiler les trucs compliqués à quelqu'un qui a les ressources pour les gérer (comme les P, les PE, les RR chez un opérateur) et de ne laisser que des choses simples côté client (comme un CE, qui pouvait être sous la responsabilité du client ou de l'oparateur). MPLS s'arrête au niveau du PE. Le CE n'a à ce moment-là aucune connaissance de VPN ou de PE. Il est connecté à des équipements "basiques" comme des routeurs sans VRF ou des commutateurs.

Comme on en a déjà discuté, 1 VRF = un plan d'adressage cohérent. Donc, tu peux connecter un ou plusieurs CE dans une VRF sur le PE tant que l'adressage est cohérent. Si tu as un besoin de recouvrement d'IP et/ou d'étanchéité (= VRF) sur un site client, tu as deux possibilités :
- Installer autant de CE idiots sur le site client que de VRF nécessaires (chaque CE devra arriver dans la VRF adéquate sur le PE).
- Installer un CE plus gros, qui gère des VRF lite. C'est-à-dire des tables de routages étanches (RD) mais sans notion de labels et donc sans MP-BGP (IPv4 VPN). A ce moment, si tu souhaites échanger des routes en PE et CE, il faudra une session BGP IPv4 par VRF.

Doit-on déclarer aussi les VRFs sur le CE, ou uniquement créer des Vlans?

- Si la VRF s'arrête au PE, pas de VRF sur le CE.
- Si la VRF est aussi présente sur le CE, il supporte les VRF lite. Il faut donc y déclarer les VRF avec les RD.

et sur les Vlans crées quelle est l'adresse IP associée au Vlans?

Ce que tu veux tant que c'est cohérent au sein de chaque VRF. Il faut voir les VRF lite sur les CE comme s'il y avait un CE purement IP par VRF. En d'autres termes, un CE avec VRF lite, c'est comme un routeur physique avec des routeurs virtuels dedans.

Comment configurer notre CE et notre PE , Doit-on déclarer les vlans d'interco uniquement sur le CE ou aussi sur le PE?

- Si tu définis un port par VRF entre le PE et le CE, pas besoin de VLAN. Jamais vu ce cas mais pourquoi pas.
- Si le PE et le CE sont interconnectés par un seul lien, il faut une séparation au niveau de la couche 2 (= VLAN) puisqu'il est possible de disposer du même plan IP sur deux VRF et qu'il n'y a pas de MP-BGP à ce niveau-là. Côté backbone, c'est le RD qui permet de différencier les plans de routage.

Et là je ne sais pas si je dois créer les vlans ou si je peux directement faire mon "int gi0/0.800" sans avoir crée un vlan 800 sur le PE.

- int gi0/0.800 ( je configure mon interface )
-encapsulation dot1q 800
-j'ai forwarder l'interface dans la VRF associé
- et lui est mis une adresse

Créer un VLAN ?

En tapant les lignes que tu as indiquées, le tag VLAN est positionné pour le trafic circulant sur la sous-interface Gi0/0.800. Il s'agit d'une interface "routée". Si tu parles de déclarer le VLAN en configuration globale, c'est nécessaire que si tu travailles avec des interfaces "switchées" (switchport trunk).

De plus sur l'une des configuration déja faite entre un PE et un CE , je ne voit pas de ligne sur TRUNK , pourtant entre ces deux éléments il devrais y en avoir pour pouvoir faire transiter les 5 vlans du PE au CE?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
interface Gi0/0.801
 encapsulation dot1q 801
 ip vrf forwarding VRF-801

interface Gi0/0.802
 encapsulation dot1q 802
 ip vrf forwarding VRF-802

etc..

Cf. https://supportforums.cisco.com/disc...vlan-interface

Pour la partie routage, si j'ai bien compris nous avons une liaison eBGP entre les adresses d'interconnexion au niveau de chaque VRF car nos CE sont dans un AS différent du PE. Donc on aura un routeur BGP au niveau de chaque au niveau de chaque VRF.

Pas obligé. Tu peux tout router en statique ou choisir un IGP.

J'ai cru comprendre que la notion "d'address family" est lié au routage BGP dans une VRF.

Plus précisément entre les VRF sur le backbone : MP-BGP (échange de routes VPN entre les PE).

- Qu'est-ce que l'on attend par le fait qu'il n'y pas de MP-BGP entre le CE et le PE . Cela signifie que les routes échangés sont uniquement en IPv4 , le CE annonce le routes IPv4 unicast au PE grâce à la session eBGP ?

Oui. C'est pour ça qu'il faut une session par VRF. Il n'y a ni RD, ni RT. Essaie de prendre une capture de paquets d'une annonce de route IPv4 VPN et IPv4 unicast, tu verras tout de suite la différence.

-Je comprend mal la différence ou le rôle de la commande adress-family vpnv4 avec address-family ipv4 vrf vrf1

Sur le PE :
- Une ligne "address-family ipv4 vrf vrfX" par session PE-CE ; plus précisément entre la VRF sur le PE et la VRF lite sur le CE (une session par plan de routage). Vu qu'il n'y a pas de RD, il n'y a pas moyen de différencier l'IP 10.0.0.0/24 de VRF-A de l'IP 10.0.0.0/24 de VRF-B.
- Une ligne "adress-family vpnv4" vers le backbone : RD-A:10.0.0.0/24 est différent de RD-B:10.0.0.0/24.

Corollaire : il y a autant de lignes "address-family ipv4 vrf vrfX" que de VRF sur le CE. Les RD ne sont pas annoncés dans BGP IPv4 unicast.

Encore un corollaire : si tu connectais deux CE avec des VRF lite, ça ne parlerait pas label ni MP-BGP. Sans MPLS, tu dois avoir un plan de routage par VRF, une isolation de couche 2 et un moyen de router au sein de chaque VRF, de manière statique ou dynamique. Avec BGP, ça reviendrait à avoir une session par VRF / par VLAN. Ce serait similaire à des paires de CE physiques par VRF mais sans VRF lite. Compris ?

Remarque : quand un PE reçoit une route VPN par MP-BGP, provenant du backbone, il applique la politique correspondant (ex : si RT = 1234 alors installer dans VRF ABCD) et installe la route dans la VRF appropriée. Une fois installée, cette route au n'a plus de RD au sein de la VRF. Donc si tu veux envoyer cette route vers un CE par BGP, ce sera en IPv4 unicast.