Connectivité Internet

Slides:



Advertisements
Présentations similaires
MPLS - Configuration de VPN MPLS de couche 3
Advertisements

bgp always-compare-med
MPLS - Configuration d'un VPN MPLS basique
Dar Es Salaam Routage Statique Jean Robert Hountomey.
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
OSPF - Comment OSPF génère les routes par défaut
LAN Médias cch_ccnp.
QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service
CCNP Routage Chapitre 8 - Questionnaire N°1
Sécurité - Configuration du PIX
Sécurité - VPN - Configurer la mise à jour du client
Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
pleine Classe et sans Classe
Configuration BGP - avec deux FAI différents (Multihoming)
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration sessions IBGP et EBGP
Configuration BGP de base
Comprendre la politique
Réseau informatique Sorenza Laplume 1.
(Network Address Translation)
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
(Switch Database Management)
OSPF - Configuration initiale sur Liaisons Non-Broadcast
show ip nat translations
Paris S0/0 500 Kb/s S0/0 Switch S0/2 S0/1 128 Kb/s 128 Kb/s S0/0 S0/0
Routage S 3 - Questionnaire N°1
MPLS - Accès Internet à partir d'un VPN MPLS
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
Commande show ip route ccnp_cch ccnp_cch.
Configuration d'une Passerelle par défaut avec les commandes IP
Routage S 7 - Questionnaire N°1
Sécurité - Configuration de
Configuration d'un - VPN MPLS de base.
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
Routage S 5 - Questionnaire N°1
Proxy ARP ccnp_cch ccnp_cch.
Comprendre l'Agrégation de routes dans BGP
CCNP Routage Chapitre 4 - Questionnaire N°1
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
OSPF - Commande show ip ospf neighbor.
CCNP Routage Chapitre 7 - Questionnaire N°1
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
CCNP Routage Chapitre 5 - Questionnaire N°1
Configuration OSPF Virtual Link
Routage S 3 - Questionnaire N°1
Sécurité - Configuration d'un
OSPF - Routage Inter-Area
Configuration EIGRP - Agrégation de routes
entre trois routeurs utilisant des
IOS Firewall - Blocage d'applets Java
QoS - Configuration Fragmentation
INTRODUCTION A BGP AfNOG 2007 Alain Patrick AINA
Configuration Routeur SOHO77
Configuration NAT Statique
Configuration NAT Dynamique
CONFIGURATION D’UN ROUTEUR Introduction et planification du cours  Configuration d’un routeur  Administration d’un routeur  Protocoles RIP et IGRP 
Transcription de la présentation:

Connectivité Internet ccnp_cch

Sommaire • Introduction • MPLS VPN et connectivité Internet partagés - Séparation partielle - Séparation totale • Accès Internet géré par le client • Solution simple • VPN vers Internet via des sous-interfaces • Accès Internet via un Pare-feu • Opérateurs multiples • Accès Internet via NAT par VRF et passerelle Internet séparée - Cas A: Topologie totalement maillée - Cas B: Topologie en étoile (Hub & Spoke) • CE VRF Lite (Multi-VRF) - Topologie - Configurations pour quelques routeurs CE et PE • Remarques finales - Considérations sur la sécurité - Evolutivité ccnp_cch

Introduction L'accès Internet est certainement un des services les plus populaires que l'opérateur offre à ses clients. Les clients ont le choix d'acheter des services MPLS VPN Internet de différents opérateurs. Les clients peuvent également offrir de la connectivité Inter- net que cela soit à partir d'un de leurs sites distants ou d'un site central. Dans le der- nier cas, l'opérateur n'a pas besoin de différencier les trafics Internet et VPN car tout le trafic traversant le réseau de l'opérateur passera par le VPN MPLS. Les clients qui n'achètent pas de connectivité Internet à un opérateur doivent prendre en compte les éléments suivants: ● Le routage ● Emplacement approprié de l'accès Internet dans le réseau ● Implémentation de NAT si le réseau utilise des adresses privées ● La sécurité ● Gestion supplémentaire du réseau Le meilleur moyen de se décharger de toutes ces responsabilités est louer les services d'un opérateur. Les opérateurs et les clients recherchent souvent le moyen le plus efficace pour établir une connectivité Internet. Cela varie beaucoup selon la topologie, les demandes et les ressources disponibles. Ce document va illustrer les avantages et les inconvénients de plusieurs méthodes tout en recommandant une méthode pour la topologie de réseau la plus courante. Ce document offre une analyse très poussée de toutes les méthodes utilisées pour sécuriser les réseaux. Il y a plusieurs combinaisons possibles pour utiliser une infrastructure de réseau pour implémenter la connectivité Internet selon la manière dont l'opérateur transporte le trafic Internet et le trafic MPLS VPN. Les options au niveau infrastructure sont: ● MPLS VPN et connectivité Internet partagés ● Séparation partielle ● Séparation totale Les clients d'un opérateur peuvent toujours choisir d'utiliser soit des CE multiservice ou dédiés sans tenir compte de l'infrastructure implémentée par l'opérateur. Une con- figuration en étoile (Hub and Spoke) ou totalement maillée pour les sites clients peut être également implémentée sur toute infrastructure existante. Regardons maintenant les contenus de ces options et les différents options d'implé- mentation de connectivité pour chacune d'elles. ccnp_cch

MPLS VPN et connectivité Internet partagés La figure ci-après montre que les routeurs P et les routeurs PE supportent le trafic Internet et le trafic VPN. Un seul routeur PE peut connecter les clients à Internet et au VPN. Backbone partagé CE CE Internet FW CE VPN PE Multiservice Passerelle Internet Routes VPN Route par défaut Site avec double accès Accès Internet uniquement Site accès VPN et Internet intégrés Accès VPN ● Les routeurs PE ont ou n'ont pas une table de routage Internet complète ● Les routeurs PE et la passerelle Internet sont dans la même zone iBGP ● Partage EGP et IGP ● MP-iBGP parmi les PEs si approprié Avantages ● Un backbone, un réseau ● Un seul routeur de périphérie ● Gestion aisée ● Peut offrir des services centralisés ● Un seul PE à gérer Inconvénients ● Sécurité (les deux EGP dans la même DB) ● Performance (Mémoire/CPU) ccnp_cch

Séparation partielle Séparation Totale ccnp_cch La figure ci-après montre que les routeurs P sont partagés mais utilisent des PEs séparés pour les services Internet et les VPN. Deux interfaces sont nécessaires sur le CE pour deux types de connexion sur des PEs différents. Backbone partagé CE CE Internet FW CE VPN PE Multiservice VPN Passerelle Internet Routes VPN Route par défaut Site avec double accès Accès Internet uniquement Site accès VPN et Internet intégrés Accès VPN Séparation Totale La figure ci-après montre que ni les routeurs PE ni les routeurs P sont partagés. Le trafic Internet et le trafic VPN passent par deux backbones totalement séparés. Domaine Internet CE CE Internet FW CE VPN PE Internet Passerelle Internet Routes VPN Route par défaut Site avec double accès VPN PE VPN Domaine VPN Liaison VPN ccnp_cch

ccnp_cch Avantages ● Séparation physique Intranet/Extranet et Internet ● Séparation IGP et EGP Inconvénients ● Besoin de maintenir deux réseaux séparés ● N'est pas vraiment une solution économique Sur les implémentations mentionnées ci-dessus, la connectivité Internet peut être obtenue via: 1. Accès Internet géré par le client 2. Solution simple 3. Sous-interfaces 4. Pare-feu 5. Plusieurs opérateurs 6. NAT par VRF avec passerelle Internet séparée 7. CE VRF Lite (Multi VRF) Ceci représente une implémentation de haut niveau. Plusieurs composantes addition- nelles peuvent être sélectionnées pour chaque option car elles jouent un rôle très im- portant. Le routage, le Pare-feu et la traduction d'adresses sont chacune des compo- santes clés. Cela peut être dans un environnement VPN recouvrant ou unique. Routage Localisation de la table de routage Internet Traduction d'adresse La majorité des FAIs a besoin de résoudre le problème du déploiement de la traduc- tion d'adresse car la majorité des clients combinent adresses privées et adresses pu- bliques. NAT peut être déployé du côté client (CPE), par VFR au PE centralisé qui connecte la passerelle Internet (NAT-PE) ou tout autre PE dans le chemin avant le NAT-PE. Pare-feu La sécurité est le seul intérêt majeur pour les clients qui se connectent à des réseaux publics; par conséquent le déploiement de pare-feu est une nécessité. Un emplace- ment approprié doit être sélectionné pour un pare-feu afin de bloquer le trafic non ccnp_cch

Solution simple ccnp_cch autorisé vers un réseau privé de client. Il y a plusieurs critères pour la sélection du moment à partir duquel il faut déployer un pare-feu: ● Géré ou non géré par le FAI ● Partagé ou dédié par sites clients ● Réseau ou basé sur routeur - Basé réseau: Appliance (PIX Cisco) - Basé routeur: IOS Cisco Plusieurs combinaisons sont possibles avec les critères suivants: 1. Pas de NAT, pas de pare-feu 2. NAT sans Pare-feu 3. Pas de NAT avec Pare-feu 4. NAT et Pare-feu Cette liste peut être augmentée si elle est combinée avec différents emplacements pour le déploiement. Ce document couvre brièvement quelques scénarios les plus communs et se focalisera plus tard en détail sur les plus utilisés dabs la pratique. Accès Internet géré par le client Ce scénario a existé avant l'arrivée l'avancée d'Internet. Les clients gèrent leur pare-feu, NAT et le routage pour la connectivité Internet. Les clients peuvent avoir une ou plu- sieurs passerelles vers Internet selon leur infrastructure ( Centralisée ou Distribuée). Cette approche donne au client le contrôle complet de son réseau. Solution simple Comme son nom l'indique c'est la configuration la plus simple. Elle est connue comme Routage Statique par Défaut sur un PE. Quand un client utilise un espace d'adressage global, NAT n'est pas requis. Si un client utilise des adresses privées, NAT peut être déployé chez le client, sur un PE qui est di- rectement connecté au VPN client ou sur un PE qui agit comme passerelle Internet dans le réseau du FAI. Le client (CPE) n'a pas besoin de recevoir tout la table de routage Internet dans cette solution simple. Pour le CPE-PE, le routage est géré sur le PE qui est directement atta- ché à un CPE-VPN pour la distribution des routes dans un VPN. Entre le PE et le CE une route statique, RIPv2, OSPF ou eBGP peuvent être utilisés pour mettre à jour les informations de routage. Aucune configuration additionnelle n'est requise sur un CE car il a une route statique par défaut vers le PE pour atteindre Internet. ccnp_cch

Accès Internet via des sous-interfaces Table de Routage Internet Internet VPN-A VPN-A CE CE Passerelle Internet PE3 Opérateur Réseau Cisco MPLS-VPN VPN-B PE1 VPN-B CE CE PE2 PE4 VPN-A CE VPN-A CE VPN-B CE CE VPN-B La figure ci-dessus montre une topologie totalement maillée dans laquelle divers sites VPN connectent des PE adjacents. La table de routage Internet est présente unique- ment sur la passerelle Internet. Accès Internet via des sous-interfaces Certains clients d'opérateurs peuvent préférer échanger des routes directement sur Internet. En d'autres termes, les sites VPN auront besoin d'échanger des routes direc- tement avec Internet. Il est important d'installer les routes des sites VPN du client dans la table de routage globale et d'annoncer une partie ou la totalité de la table de routage Internet vers les site VPN du client. Ainsi la totalité ou une partie des routes Internet doivent être présentes sur les PEs qui connectent physiquement les sites VPN. Pour qu'un PE distribue les routes à partir d'une table de routage globale vers un site VPN, il doit y avoir une seconde interface qui n'est pas liée à un VRF. ccnp_cch

Table de Routage Internet Internet VPN-A CE Trafic VPN Passerelle Internet Trafic Internet PE3 Opérateur Réseau Cisco MPLS-VPN PE1 VPN-B Trafic VPN Trafic Internet CE PE2 Trafic VPN VPN-A PE4 CE Trafic Internet Trafic VPN Trafic Internet VPN-B CE Cette interface peut être une sous-interface, une interface tunnel ou une interface physique séparée. Une interface ou sous-interface peut transporter du trafic VPN et l'autre du trafic Internet. La figure ci-dessus montre différents sites clients utilisant des interfaces séparées pour le trafic VPN et le trafic Internet. Dans ce cas des ses- sions BGP séparées sont requises entre routeurs PE et CE pour le VPN et le trafic In- ternet. L'inconvénient de cette implémentation est que les Clients VPN avec ces exi- gences auront du coût additionnel à cause des liaisons supplémentaires. Les opéra- teurs auront besoin de distribuer les routes Internet aux PEs participants qui par con- séquent auront de plus grandes tables de routage et nécessiteront plus de ressources sur les routeurs. La complexité de la configuration côté PE augmente. Les opérateurs devront filtrer les routes Internet pour les PEs qui ne participent pas. Accès Internet via un pare-feu Un pare-feu peut être déployé à différents points dans le réseau pour protéger le trafic VPN du trafic Internet. Il est actuellement présent sur le site du FAI derrière la passe- relle Internet et face à Internet. Le pare-feu sera partagé par tous les clients du FAI leurs laissant des choix limités. Si la topologie VPN est totalement maillée alors le déploiement d'un pare-feu à chaque site face au réseau du FAI pourrait être une solution. Si une topologie client suit le modèle avec site central alors le déploiement d'un pare-feu au site central serait suffi- sant. Dans le dernier cas, les sites VPN importeraient une route par défaut du CE site central, laquelle est générée et mise à jour par les CE site central. La figure suivante ccnp_cch

montre une topologie en étoile dans laquelle un IOS Cisco pare-feu est déployé sur un routeur CE au site central. Internet VPN-A Site Central Passerelle Internet VPN-A Site distant CE PE5 PE3 VPN-B Site distant Opérateur Réseau Cisco MPLS-VPN PE1 CE PE2 PE4 VPN-A Site distant VPN-A Site distant CE CE VPN-B Site distant CE VPN-B Site Central Notez que le trafic Internet de n'importe quel site VPN distant a besoin de passer à tra- vers un pare-feu. Comme le site central fournit des services de pare-feu ( comme le montre la figure précédente), une route statique par défaut pointant sur le pare-feu site central doit être installée dans les tables FIB associées pour chaque site distant. Opérateurs multiples Quelques clients peuvent choisir d'avoir une connectivité Internet via différents FAIs. Plusieurs combinaisons possibles selon que le réseau du client a une topologie totale- ment maillée ou en étoile. Dans les deux cas, les points de sortie dans le réseau doi- vent être prévus pour que la charge de trafic soit bien distribuée. Le point de sortie se- ra sélectionné sur la base du meilleur chemin déterminé par un protocole de routage. La figure suivante montre un exemple dans lequel Customer 1 a une connectivité In- ternet et des services MPLS-VPN via l'ISP1. Le trafic MPLS-VPN et le trafic Internet sont routés sur des interfaces séparées. Il y a un autre point de sortie pour le trafic Internet au site central lequel est routé via le réseau de l'opérateur ISP2. ccnp_cch

Accès Internet via NAT par VRF avec une passerelle Internet séparée ISP1 CE PE3 PE2 PE1 Internet VPN-A Customer 1 Site Central Passerelle C PE4 Site distant 2 ISP2 Accès Internet via NAT par VRF avec une passerelle Internet séparée Ce scénario suit les principes du modèle des services MPLS gérés et partagés. Il est constitué de : ● Un NAT-PE unique centralisé avec NAT par VRF pour VPNs séparés. ● La table de routage Internet sur la passerelle Internet ● Topologie : - Totalement maillée : VPNs non-recouvrant avec des adresses privées - En étoile : VPNs non-recouvrants avec des adresses privées ● Infrastructure - Multiservice (partagée) pour VPN MPLS et connectivité Internet ccnp_cch

ccnp_cch Cette infrastructure permet : ● Au FAI de partager le trafic avec la passerelle Internet ● De séparer physiquement les tables de routage VPN et Internet. ● Aucun PE dans le réseau n'a besoin de maintenir la table de routage Internet. ● Aucune restriction pour le client dans l'utilisation d'adresses privées ou publiques. ● Fonctionnalité NAT séparée autorisant plus de services en bénéficiant d'un NAT-PE. Les clients du FAI peuvent se décharger de la responsabilité NAT sur leur FAI. Les FAI peuvent étendre leur portefeuille de services et par conséquent accroître leur revenu. Cas A : Topologie totalement maillée La figure suivante montre une partie du réseau typique de FAI. Plusieurs sites de clients géographiquement dispersés font partie du VPN-A et du VPN-B. Certains de ces sites sont directement connectés au NAT-PE où est réalisée la traduction d'adresse. Les autres clients se connectent via d'autres PEs. L'interface directement connectée à la passerelle Internet sera l'interface externe. CE5B PE3 PE5 PE1 VPN-A 10.1.1.x/24 Passerelle Internet CE3A NAT-PE 10.1.3.x/24 10.1.2.x/24 PE2 CE3B CE5A VPN-B 10.1.5.x/24 Opérateur Réseau Cisco MPLS-VPN 10.1.4.x/24 CE4A CE4B CE1A CE1B CE2A CE2B ccnp_cch

CE-PE Utilise une route statique par défaut pour le trafic VPN et Internet vers PE directement connecté. PE Le PE ne doit pas transporter de routes Internet. Ils doivent transporter uniquement des routes pour les sites VPN appropriés et le backbone. Une route statique par défaut est appliquée aux tables FIB PE qui sont associées avec des VRF clients lesquels ont besoin de supporter le service de connectivité Internet. L'adresse du prochain saut utilisée dans la route statique est une adresse de l'interface à partir de laquelle les routes Internet sont apprises plutôt qu'une adresse de l'inter- face loopback de la passerelle Internet. Ceci éliminera la possibilité d'un trou noir pour le trafic Internet. Cette route vers cette interface sera connue via l'IGP. L'autre option est d'utiliser l'adresse de prochain saut du NAT-PE. Le NAT-PE devra être voisin avec la passerelle Internet ainsi il peut obtenir les mises à jour des adresses utilisées sur la passerelle Internet. Ceci évitera la distribution de tout sous-réseau de la passerelle Internet vers les PEs. L'inconvénient de cette option est similaire à celle utilisant l'adresse de prochain saut de l'interface loopback. D'un autre côté ceci ne devrait pas être un problème si des interfaces de secours sont utilisées sur la passe- relle Internet. De plus, le prochain saut de la route statique par défaut sera présent dans la table de routage globale mais non dans la table VRF. Comme il n'y a pas de redistribution de routes entre IPV4 et VPN-IPv4, une technique additionnelle est requise pour résoudre l'adresse de prochain saut pour la passerelle Internet depuis l'intérieur d'un VRF. Ceci est réalisé en utilisant le mot-clé "global" dans la configuration de la route statique par défaut sur un PE approprié. Tout le trafic est acheminé avec le label de VPN approprié attaché. Ce besoin est dicté par le recouvrement d'adresses IP privées qui n'ont pas été traduites en adresses IP pu- bliques uniques. Quand le NAT-PE reçoit ces paquets, il a besoin de reconnaître le VPN associé ainsi il peut sélectionner le pool NAT correct pour la traduction d'adresse. NAT-PE NAT est exécuté sur le NAT-PE pour tous les clients qui utilisent des adresses privées et ont besoin de connectivité Internet. Dans ce scénario, le FAI a uniquement une pas- serelle Internet qui est directement connectée au NAT-PE. Comme la traduction est faite sur un NET-PE dédié, les adresses publiques traduites pourraient être mises à jour au moyen du protocole de routage vers la passerelle Inter- net voisine via un IGP pour acheminer le trafic en retour venant d'Internet vers les VPNs appropriés. La passerelle Internet acheminera le trafic en retour vers le NAT-PE. Le NAT-PE traduira les adresses vers les adresses IP privées originales et acheminera le trafic vers les VPNs appropriés. ccnp_cch

L'autre option est de suivre le modèle distribué et de déployer du NAT VRF sur les PEs sur lesquels des VRFs sont présents. Ceci compliquerait la configuration et rendrait la gestion des pools d'adresses IP plus compliquée. Note : Il n'y a pas d'établissement de sessions MP-iBGP entre les PEs et la passerelle Internet. La passerelle Internet n'a aucune connaissance des VPNs. Elle reçoit les pa- quets comme des paquets IPv4 des NAT-PE et adresse le trafic en retour vers le NAT-PE. Sur réception de paquets, la traduction NAT est de nouveau exécutée sur le chemin de l'extérieur vers l'intérieur. ● Les interfaces de services Internet doivent être configurées comme NAT outside sur le NAT-PE. ● Les interfaces VRF et cœur de réseau face à une interface MPLS doivent être confi- gurées comme NAT inside sur le NAT-PE. ● L'interface connectant la passerelle Internet est une interface non-VRF. Le flux de paquet de Inside vers Outside passe par le NAT-PE. Les traductions sont faites sur l'interface NAT-PE qui est physiquement connectée à la passerelle Internet. Dès qu'un paquet destiné à Internet arrive sur le NAT-PE: ● La recherche de route est faite ● NAT reçoit le paquet ● NAT traduit le paquet ● Stockage de l'ID table VRF dans l'entrée de traduction. ● Le paquet est commuté sur l'interface de sortie. Le flux de paquet va de Outside vers Inside sur le NAT-PE. NAT reçoit le paquet avant le routage et exécute la recherche dans la table de traduc- tion. NAT réalise la traduction inverse et inclut également l'ID table VRF dans l'en-tête descripteur du paquet. Ceci permet aux recherches suivantes dans le FIB (Forwarding Information Block) correct. Si l'interface de sortie est dans un VRF sur le même PE alors le paquet est acheminé comme un paquet IP. Si la destination est sur un PE dis- tant alors les étiquettes sont imposées au paquet et celui-ci est acheminé sur l'interfa- ce connectée au cœur de réseau. Passerelle Internet La passerelle Internet a toutes les routes vers Internet, les réseaux traduits et les rou- tes appropriées du backbone. Elle achemine les paquets de et vers le NAT-PE de et vers Internet. ccnp_cch

ccnp_cch Vérification de la configuration En plus de la configuration de base de l'IGP, VRF et MP-iBGP : 1. Route statique par défaut avec le mot-clé "global" sur un PE concerné et pointant vers l'adresse de prochain saut de la passerelle Internet. 2. NAT sur un NAT-PE pour chaque VRF. On peut utiliser le même pool ou un pool dédié par VRF. - Dans cet exemple des pools dédiés sont utilisés. 3. Route statique pointant sur chaque VRF sur un NAT-PE. Les VPN-A et VPN-B utilisent des espaces d'adresses privées recouvrants. Exemple de configuration NAT-PE hostname NAT-PE ! ip nat pool pool1 171.1.1.2 171.1.254.254 mask 255.255.0.0 ip nat pool pool2 171.2.1.2 171.2.254.254 mask 255.255.0.0 ip nat inside source list 1 pool pool1 vrf VPN-A ip nat inside source list 1 pool pool2 vrf VPN-B ip route vrf VPN-A 171.1.0.0 0.0.255.255 ge1/0 ip route vrf VPN-B 171.2.0.0 0.0.255.255 ge1/0 ! ge1/0 est l'interface Gigabit Ethernet de la passerelle Internet ! qui est directement connectée au NAT-PE). Interface ge1/0 description interface directement connectée à la passerelle Internet ip nat outside Interface ge1/1 description interface vers un autre PE ip nat inside access-list 1 permit 10.1.0.0 0.0.255.255 Notez qu'aucune configuration NAT n'est requise sur toute autre CE ou PE. Configurez les PEs avec des sessions MP-iBGP appropriées avec le NAT-PE et les autres PEs ou d'autres sites qui appartiennent au même VPN. Cas B : Topologie en étoile (Hub and Spoke) ccnp_cch

Cas B : Topologie en étoile (Hub and Spoke) Internet VPN-A 10.1.4.x/24 Spoke VPN-B CE4A Spoke Passerelle Internet CE4B VPN-A VPN-A NAT-PE CE3A HUB Spoke CE1A 10.1.3.x/24 10.1.1.x/24 PE1 PE3 VPN-B VPN-B Opérateur Réseau Cisco MPLS-VPN CE3B Spoke HUB CE1B PE2 PE5 VPN-A VPN-A CE5A Spoke Spoke CE2A 10.1.2.x/24 10.1.5.x/24 Spoke CE2B VPN-B Spoke CE5B VPN-B Note : Dans cette topologie, CE1A et CE1B sont des sites centraux (HUB) tandis que les autres sont des sites distants (Spoke). La seule différence ici est que sur le PE2, PE3, NAT-PE et PE5 le prochain saut dans la route statique par défaut sera l'interface de CE1A pour les sites dans le VPN-A et l'interface de CE1-B pour les sites dans le VPN-B. l'adresse de prochain saut utilisée sur PE1 sera celle de l'interface reliée à Internet sur la passerelle Internet. Le reste du processus pour acheminer/recevoir du trafic de et vers le NAT-PE à partir de PE1 sera le même que celui décrit dans le cas A. La seule différence est que le FAI doit assurer que PE1 (PE servant de site central) est capable de supporter la charge. ccnp_cch

CE VRF Lite (Multi-VRF) Si VRF Lite est déployé sur un site client, la connectivité Internet peut toujours être offerte en combinant PE1 avec du VRF Lite. Le recouvrement d'espaces d'adresses est supporté dans VRF Lite car les tables de routage-acheminement sont séparées sur un VRF CE pour chaque VPN. Si la traduction d'adresses est requise, elle peut être effec- tuée en utilisant un NAT-PE. L'exemple suivant montre un FAI offrant de la connectivité Internet avec du VRF Lite: ● Il y a deux routeurs PE dans le réseau et un CE 2611 configuré pour du VRF Lite. ● Dans cette étude de cas, toutes les sous-interfaces du 2621-CE-6 peuvent commu- niquer avec le VXR-CE mais pas avec les autres 2611. Le 2611-CE-5 peut commu- niquer avec VXR-CE mais avec aucun des autres hosts en dehors de 2621-CE6. Tout le trafic qui sort de 2611-CE-4 est segmenté en 5 VRF séparés (labellisés vrflite1-5). ● Ces deux connexions utilisent OSPF comme protocole de routage pour échanger des mises à jour avec 2611-CE-4 (d'autres protocoles de routage pourraient être utilisés). ● Tous les autres hosts hors 2611-CE-4 utilisent une combinaison OSPF, eBGP, RIPv2 et routes statiques. Internet Passerelle Internet VXR-CE VRF V15 10.15.44.4 VRF Lite1 2611-CE-6-e0/1.11 10.10.1.x 10.13.1.48 3640-PE2 10.13.1.61 NAT-PE Réseau MPLS 10.13.1.65 3640-PE2 2611-CE-6-e0/1.12 10.10.2.x VRF Lite2 10.1.65.x 2611-CE-6-e0/1.13 10.10.3.x VRF Lite3 10.13.1.74 2611-CE-4 VRF Lite VRF Lite4 2611-CE-5 2621-CE-6-e0/1.14 10.10.43.x VRF Lite5 ccnp_cch

Trafic Internet & VPN de Trafic Internet & VPN de Des tables FIB séparées sont maintenues sur le 2611-CE-4 pour chaque VRF. La figu- re suivante montre les informations de connectivité détaillées entre le 3640-PE1 et le 2611-CE-4 (CE VRF Lite). Notez qu'il n'y a pas de sous-interface séparée pour le trafic Internet. Le trafic VPN et Internet issu de chaque site VRF (VRF Lite1, VRF Lite2,..) sera trans- mis sur leurs sous-interfaces associées du 2611-CE-4 et du 3640-PE1. Ainsi le trafic en retour d'Internet pour chaque site VRF Lite passera par la sous-interface associée du 3640-PE1 vers le 2611-CE-4. Les tables FIB appropriées seront consultées sur le 2611-CE-4 avant d'acheminer le trafic vers sites VRF Lite distants. VRF v11 int s2/0:0.1, 10.1.65.5 Trafic Internet & VPN de VRF Lite2 Site:10.10.1.x VRF vrflite1 int s0/0.1, 10.1.65.6 3640-PE1 VRF v11 int s2/0:0.2, 10.1.65.9 Trafic Internet & VPN de VRF Lite2 Site:10.10.2.x VRF vrflite2 int s0/0.1, 10.1.65.10 Correspondances entre VRFs sur 3640-PE1 et 2611-CE-4. 3640-PE1 VRFs 2611-CE-4 VRFs v11 vrflite1 v12 vrflite2 v13 vrflite3 v14 vrflite4 v15 vrflite5 Configurations de quelques routeurs CE et PE. 3640-PE1 3640-PE-WEST-1#sh run hostname 3640-PE-WEST-1 ip subnet-zero ! ip vrf v11 rd 11:1 route-target export 11:1 route-target import 11:1 ip vrf v12 rd 12:1 route-target export 12:1 route-target import 12:1 ccnp_cch

ccnp_cch ! ip vrf v13 rd 13:1 route-target export 13:1 route-target import 13:1 ip vrf v14 rd 14:1 route-target export 14:1 route-target import 14:1 ip vrf v15 rd 15:1 route-target export 15:1 route-target import 15:1 ip cef controller T1 2/0 framing esf linecode b8zs channel-group 0 timeslots 1-24 interface Loopback0 description Router ID ip address 10.13.1.65 255.255.255.255 interface FastEthernet1/0 description FE to GSR-P-CENTRAL-A - 4.16 ip address 10.13.4.18 255.255.255.252 duplex auto speed auto interface Serial2/0:0 description T1 connection to CE - VRF_Lite no ip address encapsulation frame-relay interface Serial2/0:0.1 point-to-point description PE to VRF_Lite CE connection 1 ip vrf forwarding v11 ip address 10.1.65.5 255.255.255.252 frame-relay interface-dlci 21 interface Serial2/0:0.2 point-to-point description PE to VRF_Lite CE connection 2 ip vrf forwarding v12 ip address 10.1.65.9 255.255.255.252 frame-relay interface-dlci 22 ccnp_cch

ccnp_cch ! interface Serial2/0:0.3 point-to-point description PE to VRF_Lite CE connection 3 ip vrf forwarding v13 ip address 10.1.65.13 255.255.255.252 frame-relay interface-dlci 23 interface Serial2/0:0.4 point-to-point description PE to VRF_Lite CE connection 4 ip vrf forwarding v14 ip address 10.1.65.17 255.255.255.252 frame-relay interface-dlci 24 interface Serial2/0:0.5 point-to-point description PE to VRF_Lite CE connection 5 ip vrf forwarding v15 ip address 10.1.65.21 255.255.255.252 frame-relay interface-dlci 25 router ospf 15 vrf v15 log-adjacency-changes area 15 virtual-link 220.1.65.22 redistribute bgp 1 subnets network 10.1.65.20 0.0.0.3 area 15 router ospf 11 vrf v11 area 11 virtual-link 220.1.65.6 network 10.1.65.4 0.0.0.3 area 11 router ospf 12 vrf v12 network 10.1.65.8 0.0.0.3 area 12 router ospf 13 vrf v13 network 10.1.65.12 0.0.0.3 area 13 router ospf 14 vrf v14 network 10.1.65.16 0.0.0.3 area 14 router ospf 1 network 10.13.1.65 0.0.0.0 area 6 network 10.13.4.16 0.0.0.3 area 6 ccnp_cch

ccnp_cch ! router bgp 1 no synchronization no bgp default ipv4-unicast bgp log-neighbor-changes neighbor 10.13.1.48 remote-as 1 neighbor 10.13.1.48 update-source Loopback0 neighbor 10.13.1.48 activate neighbor 10.13.1.61 remote-as 1 neighbor 10.13.1.61 update-source Loopback0 neighbor 10.13.1.61 activate no auto-summary address-family ipv4 vrf v15 redistribute ospf 15 default-metric 10 exit-address-family address-family ipv4 vrf v14 redistribute ospf 14 match internal external 1 external 2 address-family ipv4 vrf v13 redistribute ospf 13 match internal external 1 external 2 address-family ipv4 vrf v12 redistribute ospf 12 match internal external 1 external 2 address-family ipv4 vrf v11 redistribute ospf 11 ccnp_cch

ccnp_cch address-family vpnv4 neighbor 10.13.1.48 activate neighbor 10.13.1.48 send-community extended neighbor 10.13.1.61 activate neighbor 10.13.1.61 send-community extended no auto-summary exit-address-family ! ip classless no ip http server ntp clock-period 17179973 end 2611-CE-4 2611-CE-4#sh run hostname 2611-CE-4 ip vrf vrflite1 rd 81:81 ip vrf vrflite2 rd 82:82 ip vrf vrflite3 rd 83:83 ip vrf vrflite4 rd 84:84 ip vrf vrflite5 rd 85:85 ip cef frame-relay switching cns event-service server interface Loopback0 description Router ID ip address 10.13.1.74 255.255.255.255 interface Serial0/0 description T1 connection to PE - VRF_Lite no ip address encapsulation frame-relay no fair-queue service-module t1 clock source internal service-module t1 timeslots 1-24 speed 56 frame-relay intf-type dce ccnp_cch

ccnp_cch ! interface Serial0/0.1 point-to-point description VRF_Lite CE to PE connection 1 ip vrf forwarding vrflite1 ip address 10.1.65.6 255.255.255.252 frame-relay interface-dlci 21 interface Serial0/0.2 point-to-point description VRF_Lite CE to PE connection 2 ip vrf forwarding vrflite2 ip address 10.1.65.10 255.255.255.252 frame-relay interface-dlci 22 interface Serial0/0.3 point-to-point description VRF_Lite CE to PE connection 3 ip vrf forwarding vrflite3 ip address 10.1.65.14 255.255.255.252 frame-relay interface-dlci 23 interface Serial0/0.4 point-to-point description VRF_Lite CE to PE connection 4 ip vrf forwarding vrflite4 ip address 10.1.65.18 255.255.255.252 frame-relay interface-dlci 24 interface Serial0/0.5 point-to-point description VRF_Lite CE to PE connection 5 ip vrf forwarding vrflite5 ip address 10.1.65.22 255.255.255.252 frame-relay interface-dlci 25 interface Ethernet0/1 description Subinterfaces to Host CE no ip address half-duplex interface Ethernet0/1.11 description VRF_Lite CE to host 1 (dup addr) encapsulation dot1Q 11 ip address 10.10.1.1 255.255.255.0 interface Ethernet0/1.12 description VRF_Lite CE to host 2 encapsulation dot1Q 12 ip address 10.10.2.1 255.255.255.0 ccnp_cch

ccnp_cch ! interface Ethernet0/1.13 description VRF_Lite CE to host 3 encapsulation dot1Q 13 ip vrf forwarding vrflite3 ip address 10.10.3.1 255.255.255.0 interface Ethernet0/1.14 description VRF_Lite CE to host 4 encapsulation dot1Q 14 ip vrf forwarding vrflite4 ip address 10.10.4.1 255.255.255.0 interface Ethernet1/0 description VRF_Lite CE to host 5 (dup addr) ip vrf forwarding vrflite5 ip address 10.10.1.1 255.255.255.0 half-duplex router ospf 11 vrf vrflite1 log-adjacency-changes area 11 virtual-link 220.1.65.5 network 10.10.1.0 0.0.0.255 area 0 network 10.1.65.4 0.0.0.3 area 11 router ospf 12 vrf vrflite2 redistribute rip subnets network 10.1.65.8 0.0.0.3 area 12 router ospf 13 vrf vrflite3 redistribute bgp 13 subnets network 10.1.65.12 0.0.0.3 area 13 router ospf 14 vrf vrflite4 redistribute connected redistribute static subnets network 10.1.65.16 0.0.0.3 area 14 router ospf 15 vrf vrflite5 area 15 virtual-link 220.1.65.21 network 10.1.65.20 0.0.0.3 area 15 router rip version 2 ccnp_cch

ccnp_cch ! address-family ipv4 vrf vrflite2 version 2 redistribute ospf 12 network 10.10.2.0 default-metric 1 no auto-summary exit-address-family router bgp 13 bgp log-neighbor-changes address-family ipv4 vrf vrflite5 no synchronization address-family ipv4 vrf vrflite4 address-family ipv4 vrf vrflite3 redistribute ospf 13 match internal neighbor 10.10.3.2 remote-as 3 neighbor 10.10.3.2 activate network 10.10.3.0 address-family ipv4 vrf vrflite1 ip classless ip route vrf vrflite4 10.4.4.0 255.255.255.0 10.10.4.2 ccnp_cch

ccnp_cch 2611-CE-5 2611-CE-5#sh run hostname 2611-CE-5 ! ip cef interface Loopback0 description Router ID ip address 10.13.1.75 255.255.255.255 interface Ethernet1/0 description Host to VRF_Lite CE 5 (dup addr) ip address 10.10.1.2 255.255.255.0 half-duplex router ospf 5 log-adjacency-changes network 10.10.1.0 0.0.0.255 area 0 ip classless 2621-CE-6 hostname 2621-CE-6 memory-size iomem 30 ip subnet-zero ip address 10.13.1.76 255.255.255.255 interface Loopback41 description Host 4 loopback 1 ip address 10.4.4.1 255.255.255.252 interface Loopback42 description Host 4 loopback 2 ip address 10.4.4.5 255.255.255.252 interface Loopback43 description Host 4 loopback 3 ip address 10.4.4.9 255.255.255.252 interface Ethernet0/1 description Subinterfaces to VRF-Lite CE no ip address ccnp_cch

ccnp_cch ! interface Ethernet0/1.11 description Host to VRF_Lite CE 1 (dup addr) encapsulation dot1Q 11 ip address 10.10.1.2 255.255.255.0 interface Ethernet0/1.12 description Host to VRF_Lite CE 2 encapsulation dot1Q 12 ip address 10.10.2.2 255.255.255.0 interface Ethernet0/1.13 description Host to VRF_Lite CE 3 encapsulation dot1Q 13 ip address 10.10.3.2 255.255.255.0 interface Ethernet0/1.14 description Host to VRF_Lite CE 4 encapsulation dot1Q 14 ip address 10.10.4.2 255.255.255.0 router ospf 1 log-adjacency-changes network 10.10.1.0 0.0.0.255 area 0 router rip version 2 network 10.10.2.0 router bgp 3 bgp log-neighbor-changes neighbor 10.10.3.1 remote-as 13 neighbor 10.10.3.1 update-source Ethernet0/1.13 ip classless ip route 10.1.65.16 255.255.255.252 10.10.4.1 ccnp_cch

Remarques finales ccnp_cch L'accès Internet est l'exigence la plus basique et la plus commune pour beaucoup de secteurs d'activités. En offrant un ensemble de services supplémentaires à leurs clients au travers de VPN, les fournisseurs de services peuvent accroître leur porte- feuille de services, se différencier des autres fournisseurs de services, améliorer la satisfaction du client et accroître leurs revenus. Ce document a examiné plusieurs méthodes disponibles pour fournir la connectivité Internet comprenant les avantages et les inconvénients de chacune d'elles. Dans tous les cas, les fournisseurs de services peuvent sélectionner le moyen le plus approprié pour fournir le service selon leur topologie et les exigences du client. Une entreprise doit prendre en considération ces facteurs quand elle choisit son accès Internet. 1. Plusieurs FAIs ne fournissant que la connectivité Internet; configurer le réseau de l'entreprise pour utiliser le meilleur chemin BGP vers les points de sortie vers Inter- net. 2. Plusieurs FAIs, obtention de la connectivité Internet et MPLS VPN à travers l'un et la connectivité Internet à travers les autres. Ils configurent leur réseau pour utiliser le meilleur chemin BGP pour les points de sortie Internet. 3. Le même FAI pour MPLS VPN et connectivité Internet. - Deux sous-interfaces à partir du CE vers le même PE ou deux sous-interfaces vers deux PEs différents; route par défaut pour le trafic Internet sur une sous-interface. Routes statiques ou dynamiques avec un PE pour MPLS VPN sur une autre sous-interface. - Sur une interface; route statique pour le trafic Internet, routes dynamiques pour MPLS VPN. 4. Le même FAI mais on veut toutes les routes Internet; établir des sessions eBGP avec la passerelle Internet du FAI. Les FAIs doivent tenir compte de ces différents points avant d concevoir un réseau pour le support de services de connectivité Internet. 1. Partagé, séparation totale ou séparation partielle (multiservice ou non) au niveau de l'infrastructure pour le trafic VPN et le trafic non-VPN. 2. VPNs recouvrants ou non. 3. Interfaces VRF ou non-VRF pour l'accès Internet. 4. Topologie totalement maillée ou en étoile (Hub and Spoke). 5. Adresses privées opposées à adresses publiques. ccnp_cch

6. NAT centralisé ou distribué ou plusieurs NAT-PEs centralisés. 7. Pare-feu - Géré ou non-géré - Emplacement - Type (Intégré à l'IOS Cisco ou Appliance dédiée) 8. Utilisation d'une table de routage globale ou de route statique pour séparer et acheminer le trafic. 9. Emplacement de la table de routage Internet. - CEs ou PEs - Passerelle Internet unique ou multiple. 10. Routage statique ou dynamique entre CEs ET PEs. Sécurité Dans un environnement multiservice, les trafics Internet et VPN partagent la même liaison. Il est très important qu'un FAI implémente des politiques de sécurité très per- formantes pour assurer que les VPNs ne soient pas attaqués par le trafic Internet. Quand cela est possible, utilisez plusieurs de ces techniques : ● Plusieurs couches de filtrage ● Anti-Spoofing ● SSH ● Détection d'intrusion ● Détection, recherche de virus ● Limitation de débit ● Filtrage de route dans un VPN ● Limitation du nombre de routes dans un VPN ● Blocage de routes instables ● Authentification MD5 pour les routeurs. ● Séparation physique des routes Internet et VPN ccnp_cch

Dans tous les cas, l'opérateur doit assurer la non-visibilité de la périphérie et du cœur de réseau depuis Internet tout comme les réseaux VPN. Comme cela est spécifié dans le RFC 2547 (et commenté dans draft-behringer-mpls-security-07.txt) le réseau MPLS garantit: ● La séparation de l'espace d'adresse, du trafic et du routage ● Le cœur de réseau de l'opérateur est invisible ● Résistance aux attaques Le réseau MPLS n'aborde pas les problèmes de sécurité de base comme la sécurisation des éléments du réseau contre : ● La mauvaise configuration du cœur de réseau ● Les attaques internes du cœur de réseau ● Les attaques externes du cœur de réseau ● Les attaques de VPNs à partir du même VPN. ● Les accès non-autorisés Evolutivité La passerelle Internet doit être correctement dimensionnée pour gérer la table de rou- tage Internet. Les routeurs de périphérie de l'opérateur doivent être correctement dimensionnés pour supporter le nombre de sites qui sont connectés à un PE. ccnp_cch