Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Types de VPN

Un réseau privé virtuel (VPN) se compose de deux zones topologiques : le réseau du fournisseur et le réseau du client. Le réseau du client est généralement situé sur plusieurs sites physiques et est également privé (hors Internet). Le site d’un client est généralement constitué d’un groupe de routeurs ou d’autres équipements réseau situés sur un seul site physique. Le réseau du fournisseur, qui couvre l’infrastructure Internet publique, se compose de routeurs qui fournissent des services VPN au réseau d’un client ainsi que de routeurs qui fournissent d’autres services. Le réseau du fournisseur connecte les différents sites du client dans ce qui apparaît au client et au fournisseur comme un réseau privé.

Pour garantir que les VPN restent privés et isolés des autres VPN et de l’Internet public, le réseau du fournisseur maintient des politiques qui séparent les informations de routage provenant de différents VPN. Un fournisseur peut gérer plusieurs VPN tant que ses politiques séparent les routes de différents VPN. De même, un site client peut appartenir à plusieurs VPN tant qu’il sépare les routes des différents VPN.

Le système d’exploitation Junos® (Junos OS) fournit plusieurs types de VPN ; Vous pouvez choisir la meilleure solution pour votre environnement réseau. Chacun des VPN suivants a des capacités différentes et nécessite différents types de configuration :

VPN de couche 2

L’implémentation d’un VPN de couche 2 sur un routeur est similaire à l’implémentation d’un VPN utilisant d’autres technologies de couche 2. Cependant, pour un VPN de couche 2 sur un routeur, le trafic est transféré au routeur au format de couche 2. Il est transporté par MPLS sur le réseau du fournisseur de services, puis reconverti au format de couche 2 sur le site de réception. Vous pouvez configurer différents formats de couche 2 sur les sites d’envoi et de réception.

Sur un VPN de couche 2, le routage s’effectue sur les routeurs du client, généralement sur le routeur CE. Le CE routeur connecté à un fournisseur de services sur un VPN de couche 2 doit sélectionner le circuit approprié sur lequel envoyer le trafic. Le routeur PE qui reçoit le trafic l’envoie via le réseau du fournisseur de services au routeur PE connecté au site de réception. Les routeurs PE n’ont pas besoin de stocker ou de traiter les routes du client ; Il leur suffit de les configurer pour envoyer des données au tunnel approprié.

Pour un VPN de couche 2, les clients doivent configurer leurs propres routeurs pour acheminer tout le trafic de couche 3. Le fournisseur de services doit seulement connaître la quantité de trafic que le VPN de couche 2 doit transporter. Les routeurs du fournisseur de services acheminent le trafic entre les sites du client à l’aide d’interfaces VPN de couche 2. La topologie VPN est déterminée par les stratégies configurées sur les routeurs PE.

VPN de couche 3

Dans un VPN de couche 3, le routage s’effectue sur les routeurs du fournisseur de services. Par conséquent, les VPN de couche 3 nécessitent une configuration plus importante de la part du fournisseur de services, car les routeurs PE du fournisseur de services doivent stocker et traiter les routes du client.

Dans Junos OS, les VPN de couche 3 sont basés sur les réseaux privés virtuels (VPN) IP RFC 4364, BGP/MPLS. Cette RFC définit un mécanisme par lequel les fournisseurs de services peuvent utiliser leurs dorsales IP pour fournir des services VPN de couche 3 à leurs clients. Les sites constituant un VPN de couche 3 sont connectés via la dorsale Internet publique existante d’un fournisseur.

Les VPN basés sur la RFC 4364 sont également connus sous le nom de VPN BGP/VPN MPLS, car BGP est utilisé pour distribuer des informations de routage VPN sur la dorsale du fournisseur, et MPLS est utilisé pour transférer le trafic VPN à travers la dorsale vers des sites VPN distants.

Les réseaux client, parce qu’ils sont privés, peuvent utiliser des adresses publiques ou privées, telles que définies dans la RFC 1918, Allocation d’adresses pour les Internet privés. Lorsque les réseaux client qui utilisent des adresses privées se connectent à l’infrastructure Internet publique, les adresses privées peuvent chevaucher les adresses privées utilisées par d’autres utilisateurs du réseau. BGP/VPN MPLS résoudre ce problème en préfixant un identifiant VPN à chaque adresse d’un site VPN particulier, créant ainsi une adresse unique à la fois dans le VPN et sur l’Internet public. En outre, chaque VPN possède sa propre table de routage spécifique au VPN qui contient les informations de routage pour ce VPN uniquement.

VPLS

Le service VPLS (Virtual Private LAN Service) vous permet de connecter des sites clients géographiquement dispersés comme s’ils étaient connectés au même réseau LAN. À bien des égards, il fonctionne comme un VPN de couche 2. Les VPLS et les VPN de couche 2 utilisent la même topologie de réseau et fonctionnent de la même manière. Un paquet provenant du réseau d’un client est d’abord envoyé à un équipement CE. Il est ensuite envoyé à un routeur PE au sein du réseau du fournisseur de services. Le paquet traverse le réseau du fournisseur de services sur un LSP MPLS. Il arrive au routeur PE de sortie, qui transmet ensuite le trafic au périphérique CE sur le site client de destination.

La principale différence avec le VPLS est que les paquets peuvent traverser le réseau du fournisseur de services de manière point à multipoint, ce qui signifie qu’un paquet provenant d’un périphérique CE peut être diffusion vers les routeurs PE du VPLS. En revanche, un VPN de couche 2 transfère les paquets de manière point à point uniquement. La destination d’un paquet reçu d’un appareil CE par un routeur PE doit être connue pour que le VPN de couche 2 fonctionne correctement.

Dans un réseau de couche 3 uniquement, vous pouvez configurer VPLS (Virtual Private LAN Service) pour connecter des sites de réseaux locaux Ethernet (LAN) géographiquement dispersés les uns aux autres sur une dorsale MPLS. Pour les clients FAI qui mettent en œuvre VPLS, tous les sites semblent se trouver sur le même réseau Ethernet LAN, même si le trafic transite par le réseau du fournisseur de services. VPLS est conçu pour acheminer le trafic Ethernet sur un réseau de fournisseur de services compatible MPLS. D’une certaine manière, le VPLS imite le comportement d’un réseau Ethernet. Lorsqu’un routeur PE configuré avec une instance de routage VPLS reçoit un paquet d’un périphérique CE, il vérifie d’abord la table de routage appropriée pour la destination du paquet VPLS. Si le routeur a la destination, il la transmet au routeur PE approprié. S’il n’a pas de destination, il diffuse le paquet à tous les autres routeurs PE membres de la même instance de routage VPLS. Les routeurs PE transmettent le paquet à leurs équipements CE. L’appareil CE destinataire du paquet le transmet à sa destination finale. Les autres appareils CE le jettent.

Instances de routage de routeur virtuel

Une instance de routage de routeur virtuel, comme une instance de routage VRF (VPN Routing and Forwarding), gère des tables de routage et de transfert distinctes pour chaque instance. Toutefois, de nombreuses étapes de configuration requises pour les instances de routage VRF ne sont pas requises pour les instances de routage de routeur virtuel. Plus précisément, vous n’avez pas besoin de configurer un distinguateur de route, une stratégie table de routage (les vrf-exportinstructions , vrf-importet et ou route-distinguisher MPLS entre les routeurs P.

Toutefois, vous devez configurer des interfaces logiques distinctes entre chacun des routeurs de fournisseur de services participant à une instance de routage de routeur virtuel. Vous devez également configurer des interfaces logiques distinctes entre les routeurs du fournisseur de services et les routeurs clients participant à chaque instance de routage. Chaque instance de routeur virtuel nécessite son propre ensemble unique d’interfaces logiques pour tous les routeurs participants.

La figure 1 montre comment cela fonctionne. Les routeurs de fournisseur de services G et H sont configurés pour les instances de routage de routeur virtuel Rouge et Vert. Chaque routeur de fournisseur de services est directement connecté à deux routeurs clients locaux, un dans chaque instance de routage. Les routeurs des fournisseurs de services sont également connectés les uns aux autres sur le réseau du fournisseur de services. Ces routeurs ont besoin de quatre interfaces logiques : une interface logique pour chacun des routeurs clients connectés localement et une interface logique pour transporter le trafic entre les deux routeurs de fournisseurs de services pour chaque instance de routeur virtuel.

Figure 1 : interface logique par routeur dans une instance Logical Interface per Router in a Virtual-Router Routing Instance de routage de routeur virtuel

Les VPN de couche 3 n’ont pas cette exigence de configuration. Si vous configurez plusieurs instances de routage VPN de couche 3 sur un routeur PE, toutes les instances peuvent utiliser la même interface logique pour atteindre un autre routeur PE. Cela est possible, car les VPN de couche 3 utilisent des étiquettes MPLS (VPN) qui différencient le trafic entrant et sortant des différentes instances de routage. Sans étiquettes MPLS et VPN, comme dans une instance de routage de routeur virtuel, vous avez besoin d’interfaces logiques distinctes pour séparer le trafic des différentes instances.

L’une des méthodes pour fournir cette interface logique entre les routeurs des fournisseurs de services consiste à configurer des tunnels entre eux. Vous pouvez configurer la Sécurité IP (IPsec), l’encapsulation de routage générique (GRE) ou des tunnels IP-IP entre les routeurs du fournisseur de services, en terminant les tunnels au niveau de l’instance du routeur virtuel.