MP-BGP Cisco – CF Juniper – 3 vrfs

Posted by – May 20, 2016

Ici je vais mettre en place une topologie avec un coeur de reseau MPLS, compose de 5 PE et d’un P qui sera notre Route Reflector.
On va y faire du MP-BGP pour 3 VRF:

MAD_I1 – VRF Client 1
MAD_I2 – VRF Client 2
MAD_F – VRF Fusion, qui permettra aux clients d’une VRF de transiter d’un Coupe Feu a l’autre pour atterir dans la seconde VRF Client.

mp-bgp-cisco-cf-global

A noter que sur mon schema j’ai place des F5, mais je n’en parlerai pas dans mon article.

Si ca vous interesse, chaque F5 dans chacune des partitions possede 2 subnets. Les configs sont disponibles a la fin.

Exemple de flux:

DANS LE CTI 1

Client MAD_I1 CTI1 souhaite communiquer avec un client de MAD_I2 du CTI2 dans la vrf MAD_I2
CE1 vrf MAD_I1 > MPLS MAD_I1 > FW1 > MPLS MAD_F > FW2 > MPLS MAD_I2 > CE2 vrf MAD_I2

Configuration du coeur de reseau:

mp-bgp-cisco-cf-coeur-reseau

La configuration ici est classique, on a MAD-P01 qui est le Route Reflector, et les 5 autres Routeurs seront les clients. Le plan d’adressage est indique sur le schema ci-dessus

P01

Concernant le MPLS, j’ai simplement active sur chacune des interfaces composant pour coeur de reseau “mpls ip”

Maintenant je ne montrerai que les configurations des equipements qui composent le CTI1, avec une emphase sur la vrf MAD_I1, tout est symetrique pour les equipements qui composent le CTI 2

mp-bgp-cisco-cf-madi1

MAD-PE01

 

Ici on match la communaute qu’on a place sur le PE MAD-PE03 qui fait face a MAD-FW1 dans la VRF cible:

 

MAD-PE03

L’idee c’est de forcer le passage depuis le CE1 ┬ávers MAD-FW1.

L’un des problemes ici c’est que les 2 FW communiquent via la vrf MAD_F.

Donc un subnet appris par MAD-FW2 depuis MAD_I2 sera transmis a MAD_FW1 via MAD_F

Donc quand MAD_FW1 enverra dans MAD_I1 le subnet appris par MAD_FW2 il faut faire en sorte que le path soit le meme que pour la route envoye dans MAD_I1 directement par MAD_FW2.

Ainsi c’est la route-map vue plus haut qui permettra au CE de choisir le point de sortie puisqu’on veut un flux symetrique.

Donc dans le cas de la vrf MAD_I1, sur MAD_FW1 on fera un as-path prepend en direction de MAD_PE03 pour le subnet de MAD_CE02 qui appartient a la vrf MAD_I2

 

Voila la configuration pour le peering vers MAD_I1 depuis MAD_FW01

Voila maintenant la table de routage sur MAD_PE01

Tous les poids a 1111 correspondent donc a 192.168.101.3, qui est MAD_PE03 !

Voila ce que donne un traceroute depuis MAD_I1 sur le CE01 vers MAD_I2 sur le CE02

 

 

 

En cas de defaillance de MAD-FW01, on passera directement vers MAD-FW02.

A noter egalement que c’est “per-design” le fait d’avoir les FW positionnes a cet endroit.

En pratique il suffirait de placer les FW directement avant les PE, cela eviterait le routage etrange utilise pour avoir de la symetrie. C’etait pour le fun que je les ai place ici, mauvais design pour de la PROD.

 

 

Toutes les configurations sont jointes cisco-juniper-configs

Leave a Reply

Your email address will not be published. Required fields are marked *