Aller au contenu principal

10. Multi-AS Backbones (Dorsales multi-AS)

10. Multi-AS Backbones (Dorsales multi-AS)

Que se passe-t-il si deux sites d'un VPN sont attachés à des systèmes autonomes (Autonomous Systems - AS) différents (parce que les sites sont attachés à des SP différents, par exemple) ? Les routeurs PE attachés à ce VPN ne pourront pas maintenir de connexion IBGP entre eux, ni avec un réflecteur de route commun. Il faut plutôt un moyen d'utiliser EBGP pour distribuer les adresses VPN-IPv4.

Il existe plusieurs façons de gérer ce cas, que nous présentons par ordre croissant d'évolutivité.

a) Connexions VRF-à-VRF au niveau des routeurs de bordure d'AS.

Dans cette procédure, un routeur PE dans un AS se connecte directement à un routeur PE dans un autre. Les deux routeurs PE sont connectés par plusieurs sous-interfaces, au moins une pour chaque VPN dont les routes doivent passer d'un AS à l'autre. Chaque PE traitera l'autre comme s'il s'agissait d'un routeur CE. C'est-à-dire que les PE associent chaque sous-interface à une VRF et utilisent EBGP pour distribuer des adresses IPv4 non étiquetées entre eux.

C'est une procédure qui "fonctionne tout simplement" et qui ne nécessite pas MPLS à la frontière entre les AS. Cependant, elle n'est pas aussi évolutive que les autres procédures discutées ci-dessous.

b) Redistribution EBGP de routes VPN-IPv4 étiquetées d'AS à AS voisin.

Dans cette procédure, les routeurs PE utilisent IBGP pour redistribuer les routes VPN-IPv4 étiquetées soit vers un routeur de bordure de système autonome (Autonomous System Border Router - ASBR), soit vers un réflecteur de route dont l'ASBR est un client. L'ASBR utilise ensuite EBGP pour redistribuer ces routes VPN-IPv4 étiquetées vers un ASBR dans un autre AS, qui à son tour les distribue aux routeurs PE de cet AS, ou peut-être à un autre ASBR qui les distribue à son tour, et ainsi de suite.

Lors de l'utilisation de cette procédure, les routes VPN-IPv4 ne devraient être acceptées sur les connexions EBGP qu'aux points de peering privés, dans le cadre d'un accord de confiance entre les SP. Les routes VPN-IPv4 ne devraient être ni distribuées ni acceptées depuis l'Internet public, ni depuis des pairs BGP non fiables. Un ASBR ne devrait jamais accepter un paquet étiqueté d'un pair EBGP à moins qu'il n'ait réellement distribué l'étiquette supérieure à ce pair.

S'il y a beaucoup de VPN ayant des sites connectés à différents systèmes autonomes, il n'est pas nécessaire d'avoir un seul ASBR entre les deux AS qui détient toutes les routes pour tous les VPN ; il peut y avoir plusieurs ASBR, chacun ne détenant que les routes pour un sous-ensemble particulier de VPN.

Cette procédure nécessite qu'il existe un chemin commuté par étiquettes (label switched path) menant du PE d'entrée d'un paquet à son PE de sortie. Par conséquent, les relations de confiance appropriées doivent exister entre et au sein de l'ensemble des AS le long du chemin. De plus, il doit y avoir un accord entre l'ensemble des SP quant aux routeurs de bordure qui doivent recevoir des routes avec quels Route Targets.

c) Redistribution EBGP multi-sauts de routes VPN-IPv4 étiquetées entre AS source et destination, avec redistribution EBGP de routes IPv4 étiquetées d'AS à AS voisin.

Dans cette procédure, les routes VPN-IPv4 ne sont ni maintenues ni distribuées par les ASBR. Un ASBR doit maintenir des routes IPv4 /32 étiquetées vers les routeurs PE au sein de son AS. Il utilise EBGP pour distribuer ces routes à d'autres AS. Les ASBR dans tout AS de transit doivent également utiliser EBGP pour passer les routes /32 étiquetées. Cela aboutit à la création d'un chemin commuté par étiquettes du routeur PE d'entrée au routeur PE de sortie. Maintenant, les routeurs PE dans différents AS peuvent établir des connexions EBGP multi-sauts entre eux, et peuvent échanger des routes VPN-IPv4 via ces connexions.

Si les routes /32 vers les routeurs PE sont connues des routeurs P de chaque AS, tout fonctionne bien. Si les routes /32 vers les routeurs PE ne sont **PAS (NOT)** connues des routeurs P (autre que les ASBR), alors cette procédure nécessite que le PE d'entrée d'un paquet place une pile de trois étiquettes sur celui-ci. L'étiquette inférieure est distribuée par le PE de sortie et correspond à l'adresse de destination du paquet dans une VRF particulière. L'étiquette du milieu est distribuée par l'ASBR et correspond à la route /32 vers le PE de sortie. L'étiquette supérieure est distribuée par le prochain saut IGP du PE d'entrée et correspond à la route /32 vers l'ASBR.

Pour améliorer l'évolutivité, on peut faire en sorte que les connexions EBGP multi-sauts n'existent qu'entre un réflecteur de route dans un AS et un réflecteur de route dans un autre. (Cependant, lorsque les réflecteurs de route distribuent des routes sur cette connexion, ils ne modifient pas l'attribut de prochain saut BGP des routes.) Les routeurs PE réels n'auraient que des connexions IBGP avec le réflecteur de route dans leur propre AS.

Cette procédure est très similaire à la procédure "opérateur d'opérateurs" décrite dans la section 9. Comme la procédure précédente, elle nécessite qu'il y ait un chemin commuté par étiquettes menant du PE d'entrée d'un paquet à son PE de sortie.
Dernière mise à jour le