Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Types de VPN

Un réseau privé virtuel (VPN) se compose de deux domaines topologiques : le réseau du fournisseur et le réseau du client. Le réseau du client est généralement situé sur plusieurs sites physiques et est également privé (non Internet). Un site client se compose généralement d’un groupe de routeurs ou d’autres équipements réseau situés sur un seul site physique. Le réseau du fournisseur, qui s’exécute sur l’infrastructure Internet publique, se compose de routeurs qui fournissent des services VPN au réseau d’un client ainsi que de routeurs qui fournissent d’autres services. Le réseau du fournisseur connecte les différents sites du client dans ce qui semble pour le client et le fournisseur comme un réseau privé.

Pour s’assurer que les VPN restent privés et isolés des autres VPN et de l’Internet public, le réseau du fournisseur maintient des stratégies qui séparent les informations de routage provenant de différents VPN. Un fournisseur peut servir plusieurs VPN tant que ses stratégies séparent les routes de différents VPN. De même, un site client peut appartenir à plusieurs VPN tant qu’il sépare les routes des différents VPN.

Le système d’exploitation Junos® (Junos OS) fournit plusieurs types de VPN ; vous pouvez choisir la meilleure solution pour votre environnement réseau. Chacun des VPN suivants a des capacités différentes et nécessite différents types de configuration :

VPN de couche 2

L’implémentation d’un VPN de couche 2 sur un routeur est similaire à celle d’un VPN à l’aide d’une technologie de couche 2 comme ATM ou Frame Relay. Toutefois, pour un VPN de couche 2 sur un routeur, le trafic est transféré au routeur au format de couche 2. Il est porté par MPLS sur le réseau du fournisseur de services, puis converti au format de couche 2 sur le site de réception. Vous pouvez configurer différents formats de couche 2 sur les sites d’envoi et de réception. La sécurité et la confidentialité d’un VPN MPLS de couche 2 sont égales à celles d’un ATM ou d’un VPN de relais de trames.

Sur un VPN de couche 2, le routage s’effectue sur les routeurs du client, généralement sur le routeur CE. Le routeur CE connecté à un fournisseur de services sur un VPN de couche 2 doit sélectionner le circuit approprié sur lequel envoyer le trafic. Le routeur PE qui reçoit le trafic l’envoie sur le réseau du fournisseur de services au routeur PE connecté au site de réception. Les routeurs PE n’ont pas besoin de stocker ou de traiter les routes du client ; il suffit de les configurer pour envoyer des données vers le tunnel approprié.

Pour un VPN de couche 2, les clients doivent configurer leurs propres routeurs pour transporter tout le trafic de couche 3. Le fournisseur de services doit seulement savoir combien de trafic le VPN de couche 2 doit transporter. Les routeurs du fournisseur de services transportent le trafic entre les sites du client à l’aide d’interfaces VPN de couche 2. La topologie VPN est déterminée par des stratégies configurées sur les routeurs PE.

VPN de couche 3

Dans un VPN de couche 3, le routage se fait sur les routeurs du fournisseur de services. Par conséquent, les VPN de couche 3 nécessitent davantage de configuration de la part du fournisseur de services, car les routeurs PE du fournisseur de services doivent stocker et traiter les routes du client.

Dans Junos OS, les VPN de couche 3 sont basés sur RFC 4364, les réseaux privés virtuels (VPN) IP BGP/MPLS. Cette RFC définit un mécanisme permettant aux fournisseurs de services d’utiliser leurs dorsales IP pour fournir des services VPN de couche 3 à leurs clients. Les sites qui composent un VPN de couche 3 sont connectés sur la dorsale Internet publique existante d’un fournisseur.

Les VPN basés sur RFC 4364 sont également connus sous le nom de VPN BGP/MPLS parce que BGP est utilisé pour distribuer les informations de routage VPN sur l’dorsale du fournisseur, et MPLS est utilisé pour transférer le trafic VPN sur l’dorsale vers des sites VPN distants.

Les réseaux clients, parce qu’ils sont privés, peuvent utiliser soit des adresses publiques, soit des adresses privées, comme défini dans la RFC 1918, Allocation d’adresses pour les Internets privés. Lorsque les réseaux de clients qui utilisent des adresses privées se connectent à l’infrastructure Internet publique, les adresses privées peuvent se chevaucher avec les adresses privées utilisées par d’autres utilisateurs du réseau. Les VPN BGP/MPLS résolvent ce problème en préfixant un identifiant VPN sur chaque adresse d’un site VPN particulier, créant ainsi une adresse unique à la fois dans le VPN et dans l’Internet public. En outre, chaque VPN dispose de sa propre table de routage spécifique au VPN qui contient les informations de routage pour ce VPN uniquement.

VPLS

Le service LAN privé virtuel (VPLS) vous permet de connecter des sites clients géographiquement dispersés comme s’ils étaient connectés au même LAN. À bien des égards, il fonctionne comme un VPN de couche 2. Les VPLS et les VPN de couche 2 utilisent la même topologie réseau et fonctionnent de la même manière. Un paquet provenant du réseau d’un client est d’abord envoyé à un équipement CE. Il est ensuite envoyé à un routeur PE du réseau du fournisseur de services. Le paquet traverse le réseau du fournisseur de services sur un LSP MPLS. Il arrive au routeur PE sortant, qui transfère ensuite le trafic vers l’équipement CE sur le site du client de destination.

La principale différence dans VPLS est que les paquets peuvent traverser le réseau du fournisseur de services de manière point à multipoint, ce qui signifie qu’un paquet provenant d’un équipement CE peut être transmis aux routeurs PE dans le VPLS. En revanche, un VPN de couche 2 transfère les paquets de manière point à point uniquement. La destination d’un paquet reçu d’un équipement CE par un routeur PE doit être connue pour que le VPN de couche 2 fonctionne correctement.

Dans un réseau de couche 3 uniquement, vous pouvez configurer le service LAN privé virtuel (VPLS) pour connecter des sites de réseaux locaux Ethernet (LAN) géographiquement dispersés les uns aux autres via une dorsale MPLS. Pour les fai qui implémentent VPLS, tous les sites semblent être dans le même LAN Ethernet, même si le trafic circule sur le réseau du fournisseur de services. VPLS est conçu pour transporter le trafic Ethernet sur un réseau de fournisseur de services compatible MPLS. De certaines façons, VPLS imite le comportement d’un réseau Ethernet. Lorsqu’un routeur PE configuré avec une instance de routage VPLS reçoit un paquet d’un équipement CE, il vérifie d’abord la table de routage appropriée pour la destination du paquet VPLS. Si le routeur a la destination, il la transfère au routeur PE approprié. S’il n’a pas la destination, il diffuse le paquet sur tous les autres routeurs PE qui sont membres de la même instance de routage VPLS. Les routeurs PE transfèrent le paquet à leurs équipements CE. L’équipement CE qui est le destinataire prévu du paquet le transfère vers sa destination finale. Les autres équipements CE le jeter.

Instances de routage de routeur virtuel

Une instance de routage de routeur virtuel, comme une instance de routage et de transfert VPN (VRF), gère des tables de routage et de transfert distinctes pour chaque instance. Toutefois, de nombreuses étapes de configuration requises pour les instances de routage VRF ne sont pas requises pour les instances de routage de routeur virtuel. Plus précisément, vous n’avez pas besoin de configurer un routeur de routage, une stratégie de table de routage (le vrf-export, vrf-importet des déclarations) ou route-distinguisher MPLS entre les routeurs P.

Toutefois, vous devez configurer des interfaces logiques distinctes entre chacun des routeurs des fournisseurs de services participant à une instance de routage de routeur virtuel. Vous devez également configurer des interfaces logiques distinctes entre les routeurs des fournisseurs de services et les routeurs clients participant à chaque instance de routage. Chaque instance de routeur virtuel nécessite son propre ensemble d’interfaces logiques pour tous les routeurs participants.

La figure 1 montre comment cela fonctionne. Les routeurs G et H des fournisseurs de services sont configurés pour les instances de routage de routeur virtuel rouge et vert. Chaque routeur de fournisseur de services est directement connecté à deux routeurs clients locaux, un dans chaque instance de routage. Les routeurs des fournisseurs de services sont également connectés les uns aux autres sur le réseau du fournisseur de services. Ces routeurs ont besoin de quatre interfaces logiques : une interface logique pour chacun des routeurs clients connectés localement et une interface logique pour transporter le trafic entre les deux routeurs des fournisseurs de services pour chaque instance de routeur virtuel.

Figure 1 : interface logique par routeur dans une instance Logical Interface per Router in a Virtual-Router Routing Instance de routage de routeur virtuel

Les VPN de couche 3 n’ont pas cette configuration requise. Si vous configurez plusieurs instances de routage VPN de couche 3 sur un routeur PE, toutes les instances peuvent utiliser la même interface logique pour atteindre un autre routeur PE. Cela est possible parce que les VPN de couche 3 utilisent des labels MPLS (VPN) qui différencient le trafic entrant et en provenance de diverses instances de routage. Sans labels MPLS et VPN, comme dans une instance de routage de routeur virtuel, vous avez besoin d’interfaces logiques distinctes pour séparer le trafic de différentes instances.

Une des méthodes pour fournir cette interface logique entre les routeurs des fournisseurs de services consiste à configurer des tunnels entre eux. Vous pouvez configurer la sécurité IP (IPsec), l’encapsulation de routage générique (GRE) ou des tunnels IP-IP entre les routeurs des fournisseurs de services, en mettant fin aux tunnels à l’instance de routeur virtuel.