MPLS
Les différentes configurations possibles
VPN seul
Le client a plusieurs sites à relier entre eux, pas d'accès Internet.
VPN seul et accès Internet par une liaison dédiée
Le client à plusieurs sites à relier entre eux. Le client utilise une liaison dédiée pour son accès Internet. Le NAT se fera sur l'équipement client avant de sortir sur le lien Internet.
VPN et accès Internet sur le même lien, NAT chez le client
Le client NAT les paquets vers Internet, un route par défaut dans la VRF du client pointera vers la table de routage globale.
VPN et accès Internet sur le même lien, NAT mutualisé chez Claranet
Les paquets vers Internet sont amenés vers un routeur mutualisé qui sera en charge du NAT.
Il devrait être possible de proposer du firewall (non testé), mais il faut que le firewall puisse distinguer les différentes VRF.
VPN et accès Internet sur le même lien, NAT/FW dédié chez Claranet
Les paquets vers Internet sont amenés vers un firewall dédié qui sera en charge du NAT et du firewall.
Allocation des "route targets" et des "route distinguisher" (SRI)
Les "route distinguisher" (RD) permettent de distinguer les routes identiques de différents VPN (par exemple, deux VPN utiliseront 10.0.0.0/24).
Il existe plusieurs possibilités pour allouer ces RD (on peut par exemple sur un Juniper laisser JunOS choisir le RD de telle sorte qu'il soit unique).
Pour nos configurations, on aura pour chaque VRF (mêmes routes dans la table de routage) le même RD. Autrement dit, routes identiques dans une VRF = nom unique de VRF = RD unique. Le RD sera alloué séquentiellement, au fur et à mesure des mises en service, en mettant à jour la MPLS/BGP VPN map.
Ensuite on doit configurer les "route targets" (RT). Les RT définissent la politique de routage. Les routes exportées par un site seront marquées avec un attribut RT, et ces routes seront importées seulement par les sites configurés pour importer les routes marquées avec cet attribut RT.
Par exemple, prenons le cas d'un client CUST qui achète un VPN, avec trois sites, terminés sur des routeurs différents. Les sites 1, 2 et 3 peuvent communiquer entre eux. Le site 1 est configuré avec le subnet 10.1.0.0/24, le site 2 avec le subnet 10.2.0.0/24, le site 3 avec le subnet 10.3.0.0/24. Le site 3 doit avoir un accès Internet. Le NAT se fera sur un routeur Claranet, sur le site 4.
- les site 1 et 2 auront comme routes 10.1.0.0/24, 10.2.0.0/24 et 10.3.0.0/24.
- le site 3 aura comme routes 10.1.0.0/24, 10.2.0.0/24 et 10.3.0.0/24 et 0.0.0.0/0.
- le site 4 aura comme routes 10.3.0.0/24 et 0.0.0.0/0.
Les sites 1 et 2 ont les mêmes routes. On choisit un nom de VRF unique (CUST), et un RD unique (le prochain disponible comme indiqué dans la MPLS/BGP VPN map). De même, on choisit pour le site 3 le nom de VRF CUST-NET et un RD unique. De même, on choisit pour le site 4 le nom de VRF CUST-NET-HUB et un RD unique.
Ensuite on définit les RT. Les RT doivent être uniques.
Les sites 1 et 2 exportent le RT 300 (routes des sites du client CUST sans accès VPN) et importent les RT 300 et 301 (routes des sites du client CUST sans accès VPN - RT 300, et routes des sites du client CUST avec accès VPN - RT 301). Le site 3 exporte le RT 301 (routes des sites du client CUST avec accès VPN). Le site 3 importe les RT 300, 301 et 500 (routes des sites du client CUST sans accès VPN - RT 300, routes des sites du client CUST avec accès VPN - RT 301, et route par défaut - RT500. Le site 4 importe le RT 301 (routes des sites avec accès VPN). Le site 4 exporte le RT 500 (route par défaut).
Pour chaque service qu'on peut proposer à un site du VPN (aujourd'hui NAT, plus tard monitoring), on exportera le RT correspondant à ce service. Configuration SRI sur un BAS
Donner un nom à la VRF, choisir le RD et les RT (voir plus haut). Mettre à jour la MPLS/BGP VPN map.
Dans le cas d'un VPN "full mesh" sans accès Internet, la configuration sur le BAS sera (voir plus haut comment choisir RD_ID et RT_ID) :
ip vrf NOM-CLIENT rd 8975:RD_ID route-target export 8975:RT_ID route-target import 8975:RT_ID maximum routes 10 80
Configurer la redistribution des routes via BGP (attention) :
router bgp 8975 address-family ipv4 vrf NOM-CLIENT redistribute static no auto-summary no synchronization exit-address-family
Configuration TIG
Aller sur l'interface de configuration RADIUS (http://reporting/radius/) Dans notre exemple, le subnet (privé) d'un des sites client est 192.168.0.0/24.
Dans le cas d'un VPN avec de nombreux sites, créer un fichier de configuration spécialement pour ce VPN. Pour chaque site, demander au SRI le nom de la VRF à configurer (ici NOM-CLIENT). Attention, le nom de la VRF ne sera pas forcément le même pour chaque site du client, voir avec le SRI.
mpls1@dsl1.ipadsl Huntgroup-Name="nas_adsl", Password="claran3t", Auth-Type = Local
Cisco-AVPair= "lcp:interface-config#1=no ip policy route-map clear-df",
Cisco-AVPair= "lcp:interface-config#2=ip vrf forwarding NOM-CLIENT",
Cisco-AVPair= "lcp:interface-config#3=ip unnumbered Loopback0",
Framed-Protocol = PPP,
Framed-Route="192.168.0.0/24",
Service-Type = Framed-User
Références
- RFC 2547bis
