Aller au contenu principal

7. How PEs Learn Routes from CEs (Comment les PE apprennent les routes des CE)

7. How PEs Learn Routes from CEs (Comment les PE apprennent les routes des CE)

Le routeur PE qui est attaché à un VPN particulier doit savoir, pour chaque circuit d'attachement menant à ce VPN, quelles adresses sont accessibles via ce circuit d'attachement.

Le PE traduit ces adresses en adresses VPN-IPv4, en utilisant un RD configuré. Le PE traite ensuite ces routes VPN-IPv4 comme des entrées pour BGP. Les routes d'un site VPN ne sont pas (NOT) divulguées dans l'IGP du réseau dorsal.

La technique de distribution de routes PE/CE exacte possible dépend de savoir si un CE particulier est dans un "VPN de transit". Un "VPN de transit" est un VPN qui contient un routeur qui reçoit des routes d'un "tiers" (c'est-à-dire un routeur qui n'est pas dans le VPN, mais qui n'est pas un routeur PE) et qui redistribue ces routes à un routeur PE. Un VPN qui n'est pas un VPN de transit est un "VPN stub". On peut s'attendre à ce que la grande majorité des VPN, y compris pratiquement tous les réseaux d'entreprise, soient des "stubs" dans ce sens.

Les techniques de distribution PE/CE possibles sont :

  1. Le routage statique (c'est-à-dire la configuration) peut être utilisé. (Cela n'est susceptible d'être utile que dans les VPN stub.)

  2. Les routeurs PE et CE peuvent être des pairs Routing Information Protocol (RIP) [RIP], et le CE peut utiliser RIP pour dire au routeur PE l'ensemble des préfixes d'adresse qui sont accessibles sur le site du routeur CE. Lorsque RIP est configuré dans le CE, il faut veiller à ce que les préfixes d'adresse d'autres sites (c'est-à-dire les préfixes d'adresse que le routeur CE a appris du routeur PE) ne soient jamais annoncés au PE. Plus précisément : si un routeur PE, disons PE1, reçoit une route VPN-IPv4 R1, et qu'en conséquence il distribue une route IPv4 R2 à un CE, alors R2 ne doit pas être redistribué à partir du site de ce CE vers un routeur PE, disons PE2 (où PE1 et PE2 peuvent être le même routeur ou des routeurs différents), à moins que PE2 ne mappe R2 à une route VPN-IPv4 différente de R1 (c'est-à-dire contenant un RD différent).

  3. Les routeurs PE et CE peuvent être des pairs OSPF. Un routeur PE qui est un pair OSPF d'un routeur CE apparaît au routeur CE comme un routeur de la zone 0. Si un routeur PE est un pair OSPF de routeurs CE qui sont dans des VPN différents, le PE doit bien sûr faire tourner plusieurs instances d'OSPF.

    Les routes IPv4 que le PE apprend du CE via OSPF sont redistribuées dans BGP en tant que routes VPN-IPv4. Les attributs Extended Community (Communauté étendue) sont utilisés pour transporter toutes les informations nécessaires avec la route, afin que la route puisse être distribuée aux autres routeurs CE du VPN dans le type approprié de Link State Advertisement (Annonce d'état de lien, LSA) OSPF. Le marquage (tagging) de route OSPF est utilisé pour s'assurer que les routes reçues du réseau dorsal MPLS/BGP ne sont pas renvoyées dans le réseau dorsal.

    La spécification de l'ensemble complet des procédures pour l'utilisation d'OSPF entre PE et CE peut être trouvée dans [VPN-OSPF] et [OSPF-2547-DNBIT].

  4. Les routeurs PE et CE peuvent être des pairs BGP, et le routeur CE peut utiliser BGP (en particulier EBGP) pour dire au routeur PE l'ensemble des préfixes d'adresse qui se trouvent sur le site du routeur CE. (Cette technique peut être utilisée dans les VPN stub ou les VPN de transit.)

    Cette technique présente un certain nombre d'avantages par rapport aux autres :

    a) Contrairement aux alternatives IGP, cela ne nécessite pas que le PE exécute plusieurs instances d'algorithme de routage pour parler à plusieurs CE.

    b) BGP est explicitement conçu pour cette fonction même : passer des informations de routage entre des systèmes gérés par différentes administrations.

    c) Si un site contient des "portes dérobées BGP" (backdoors), c'est-à-dire des routeurs avec des connexions BGP à des routeurs autres que des routeurs PE, cette procédure fonctionnera correctement en toutes circonstances. Les autres procédures peuvent fonctionner ou non, selon les circonstances exactes.

    d) L'utilisation de BGP permet au CE de passer facilement les attributs des routes au PE. La spécification complète de l'ensemble des attributs et de leur utilisation sort du cadre de ce document. Cependant, quelques exemples de la façon dont cela pourrait être utilisé sont les suivants :

    -   Le CE peut suggérer une Route Target (Cible de route) spécifique pour chaque route, à choisir parmi celles que le PE est autorisé à attacher à cette route. Le PE attacherait alors seulement la Route Target suggérée, et non l'ensemble complet. Cela donne à l'administrateur du CE un certain contrôle dynamique sur la distribution des routes à partir du CE.

    -   D'autres types d'attributs de communauté étendue (Extended Community) peuvent être définis, l'intention étant de passer ces attributs de manière transparente (c'est-à-dire sans modification par les routeurs PE) de CE à CE. Cela permettrait à l'administrateur du CE de mettre en œuvre un filtrage de route supplémentaire, au-delà de ce que fait le PE. Ce filtrage supplémentaire ne nécessite pas de coordination avec le SP.

    D'un autre côté, l'utilisation de BGP peut être nouvelle pour les administrateurs de CE.

    Si un site n'est pas dans un VPN de transit, notez qu'il n'a pas besoin d'avoir un Autonomous System Number (Numéro de système autonome, ASN) unique. Chaque CE dont le site n'est pas dans un VPN de transit peut utiliser le même ASN. Celui-ci peut être choisi dans l'espace ASN privé, et sera supprimé par le PE. Les boucles de routage sont évitées par l'utilisation de l'attribut Site of Origin (Origine du site) (voir ci-dessous).

    Et si un ensemble de sites constitue un VPN de transit ? Cela ne se produira généralement que si le VPN est lui-même le réseau d'un Internet Service Provider (Fournisseur de services Internet, ISP), et que l'ISP achète lui-même des services de réseau dorsal auprès d'un autre SP. Ce dernier SP peut être appelé un "opérateur d'opérateurs" (carrier's carrier). Dans ce cas, la meilleure façon de fournir le VPN est de laisser les routeurs CE supporter MPLS, et d'utiliser la technique décrite dans la section 9.

Lorsque nous n'avons pas besoin de distinguer entre les différentes manières dont le PE peut être informé des préfixes d'adresse qui existent sur un site donné, nous dirons simplement que le PE "apprend" les routes de ce site. Cela inclut le cas où le PE a été configuré manuellement avec les routes.

Avant qu'un PE puisse redistribuer une route VPN-IPv4 apprise d'un site, il doit attribuer un attribut Route Target (voir section 4.3.1) à la route, et peut attribuer un attribut Site of Origin à la route.

L'attribut Site of Origin, s'il est utilisé, est codé comme une communauté étendue Route Origin (Origine de route) [BGP-EXTCOMM]. Le but de cet attribut est d'identifier de manière unique l'ensemble des routes apprises d'un site particulier. Cet attribut est nécessaire dans certains cas pour garantir qu'une route apprise d'un site particulier via une connexion PE/CE particulière n'est pas redistribuée vers ce site via une connexion PE/CE différente. Il est particulièrement utile si BGP est utilisé comme protocole PE/CE, mais que différents sites n'ont pas reçu d'ASN différents.

Dernière mise à jour le