Réseaux privés virtuels IPv6 sur MPLS
From Livre IPv6
Cette technique crée des VPN IPv6 en utilisant les LSP MPLS d'un coeur de réseau IPv4 MPLS (le coeur de réseau n'est pas IPv6 MPLS mais bien IPv4 MPLS), offrant ainsi l'avantage d'utiliser le coeur de réseau MPLS déjà existant.
Du point de vue service réseau, cette technique est à IPv6 ce que les VPN MPLS "standards" sont à IPv4. Elle s'appuie sur les extensions BGP afin d'échanger les préfixes de VPN IPv6 et les labels MPLS associés. Ainsi, le raccordement entre le routeur PE (alors appelé 6VPE) et le routeur CE est en IPv6 natif (comme avec la technique 6PE).
La terminologie des L3 VPN MPLS IPv4 est reprise: routeurs CE, PE (6VPE en fait), P, communauté BGP étendue, Site Of Origin, Route Target, Route Distinguisher, adresses VPN-IPv6 (constituée des 64 bits du RT et des 128 bits de l'adresse IPv6), VRF.
L'architecture utilise les propositions relatives aux VPN IP BGP/MPLS RFC 2547bis25) et 6PE.
Le plan de transfert est le même que celui de la technique 6PE (c.f. Plan de transfert 6PE entre deux clients IPv6). Nous détaillons donc plutôt le plan de commande qui est plus complexe que dans la technique 6PE :
- Les sites clients sont en IPv6 (ou double pile). Ils ne savent pas qu'ils font partie d'un VPN. Les routeurs CE et 6VPE s'échangent les routes IPv6 soit par routage statique, interne ou externe. Les routeurs 6VPE s'échangent les préfixes IPv6 VPN entre eux par MP-iBGP.
- Les routeurs 6VPE implémentent des tables de routage séparées :
- La table de routage globale: elle est constituée de préfixes IPv4 distribués par le protocole de routage interne IPv4 du coeur de réseau MPLS. Eventuellement, il peut y avoir des préfixes IPv6 si un protocole de routage interne IPv6 est implémenté dans le coeur de réseau;
- Les VRF: elles sont associées aux interfaces (physiques ou logiques) connectant les sites du (des) VPN(s) au routeur 6VPE. Les routes VPN IPv6 apprises par MP-iBGP sont placées dans les VRF associées.
- Lorsqu'un site IPv6 VPN annonce son préfixe à son routeur 6VPE, cette annonce est transformée en un message MP-iBGP UPDATE incluant le champ MP_REACH_NLRI26 qui a les valeurs suivantes:
- AFI (address family id.) = 2 (IPv6); SAFI (subsequent address family id.) = 128, RD (route distinguisher) = R1.
- Le next-hop est remplacé par l'adresse de loopback du routeur 6VPE et codée sous forme d'une adresse IPv4-mapped (MP-BGP impose qu'il soit codé dans la même famille d'adresse que le préfixe annoncé).
- Un label MPLS est attribué pour ce préfixe IPv6 VPN. C'est celui-là qui devra être ajouté au label de transport MPLS "classique" qui sert à établir le LSP. Ce label IPv6 VPN reste inchangé tout au long du parcours dans le LSP (alors que le label LDP IPv4 peut changer de proche en proche).
Accès Internet en IPv6 depuis le VPN
Il est possible de définir (dans la configuration globale) une route IPv6 dans la VRFv6 avec un next-hop dans la table de routage globale. Dans le cas d'un VPN multi-sites cela permet de définir un des sites comme passerelle vers l'internet IPv6 ouvert (par exemple, une route par défaut permet de joindre l'ASBR vers l'Internet (l'ASBR n'est pas dans un VPN)).
Pour le trafic retour on définit, pour les routes de chaque site, un next-hop routable dans une VRF donnée (à condition que chaque site attribue un préfixe IPv6 publique à ses utilisateurs de l'internet IPv6 ouvert).
On peut noter que cette fonctionalité n'est pas implémentée en VPN IPv4 car les adresses IPv4 utilisées dans ce cas sont privées (RFC 1918) et une route statique ne serait pas suffisante (il serait nécessaire de faire du NAT en plus).
Certains constructeurs (comme Juniper ou Cisco) disposant de la fonction L3 VPN MPLS pour IPv4 implémentent également cette technique en IPv6.