N° d’ordre : 25 / STI / TCO Année Universitaire : 2016 / 2017

UNIVERSITE D’ANTANANARIVO

----------------------

ECOLE SUPERIEURE POLYTECHNIQUE

----------------------

DEPARTEMENT TELECOMMUNICATION

Mémoire en vue de l’obtention

De Master

Titre : Ingénieur

Mention : Télécommunication

Parcours : Système de Traitement de l’Information

Par : RAVONINTSOAMALALA Tantely

CONCEPTION ET MODELISATION D’UNE

INFRASTRUCTURE RESEAU BASE SUR LE

PRINCIPE DE « HUB & SPOKE »

Soutenu le 12 Avril 2018 devant la Commission d’Examen composée de :

Président :

M. RATSIHOARANA Constant

Examinateurs :

M. ANDRIAMANALINA Ando Nirina

M. RANDRIAMIHAJARISON Jimmy

M. RAVONIMANANTSOA Ndaohialy Manda-Vy

Directeur de mémoire :

M. RANDRIARIJAONA Lucien Elino

M. RAFANAMBINANTSOA Valohery

i

REMERCIEMENTS

Le présent document en votre possession représente un mémoire de fin d’études effectuées à

l’École Supérieure Polytechnique d’Antananarivo. Ma vision de la Télécommunication en qualité

d’élève ingénieur durant ces 5 années d’études supérieures s’est considérablement éprouvée. C’est

l’occasion pour moi de rendre grâce à Dieu sans qui je n’aurais pas pu mener à bien l’élaboration

de ce mémoire de fin d’études.

Je tiens également à témoigner ma reconnaissance et ma gratitude les plus sincères à :

- Monsieur PANJA Ramanoelina, Professeur Titulaire, Président de l’Université

d’Antananarivo et Monsieur ANDRIANAHARISON Yvon, Professeur Titulaire,

Responsable du Domaine Sciences de l’Ingénieur de l’Ecole Supérieur Polytechnique

d’Antananarivo.

- Monsieur RAKOTOMALALA Mamy Alain, Maitre de Conférences, Chef de Département

Télécommunications.

- Monsieur RANDRIARIJAONA Lucien Elino, Assistant d’Enseignement et de Recherche

en Télécommunication à l’ESPA, encadreur pédagogique, et Monsieur

RAFANAMBINANTSOA Valohery, Chef de l’unité Réseaux et Systèmes Informatiques à

l’ASECNA, encadreur professionnel.

- Monsieur RATSIHOARANA Constant, Maître de Conférences, qui nous a fait l’honneur

de présider le jury de cette soutenance.

J’exprime également ma gratitude aux membres de jury qui ont accepté de siéger comme

examinateur de ce mémoire :

- ANDRIAMANALINA Ando Nirina, Maître de Conférences, Enseignant Chercheur en

Télécommunication à l’ESPA.

- Monsieur RAVONIMANANTSOA Ndaohialy Manda-Vy, Maître de Conférences,

Enseignant Chercheur en Télécommunication à l’ESPA.

- Monsieur RANDRIAMIHAJARISON Jimmy, Assistant d’Enseignement et de Recherche

en Télécommunication à l’ESPA.

Enfin, je n'oublie pas mes parents et amis pour leurs contributions, leurs soutiens et patiences.

ii

TABLES DES MATIERES

REMERCIEMENTS ...................................................................................................................................... i

TABLES DES MATIERES .......................................................................................................................... ii

ABREVIATIONS ......................................................................................................................................... vi

INTRODUCTION GENERALE .................................................................................................................. 1

CHAPITRE 1 : .............................................................................................................................................. 2

CONCEPTION D’ARCHITECTURE RESEAUX .................................................................................... 2 1.1 Introduction ......................................................................................................................................... 2 1.2 Définition des problématiques et exigences de réseau ..................................................................... 2

1.2.1 Problématiques ............................................................................................................................. 2

1.2.2 Exigences ...................................................................................................................................... 3

1.3 Parcours méthodique de conception .................................................................................................. 3

1.3.1 Etapes de conception .................................................................................................................... 3

1.3.2 Evaluation des besoins des clients ................................................................................................ 4

1.3.3 Recommandation de l’architecte réseau ...................................................................................... 6

1.3.4 Identification et choix des équipements ....................................................................................... 8

1.3.5 Test de sensibilité du réseau ....................................................................................................... 13

1.4 Modèle de conception de réseau....................................................................................................... 13

1.4.1 Modèle hiérarchique ................................................................................................................... 13

1.4.2 Avantage du modèle hiérarchique ............................................................................................. 14

1.5 Les réseaux d’opérateur ................................................................................................................... 15

1.5.1 Définition .................................................................................................................................... 15

1.5.2 Topologies WAN ......................................................................................................................... 16

1.5.3 Les offres de services operateurs ................................................................................................ 17

iii

1.6 Administration des équipements du réseau .................................................................................... 19

1.6.1 Directives d’administration de réseau ........................................................................................ 19

1.6.2 Protocole d’administration de réseau ........................................................................................ 20

1.7 Conclusion ......................................................................................................................................... 21

CHAPITRE 2 ............................................................................................................................................... 22

INTRODUCTION A LA TECHNOLOGIE MPLS ................................................................................. 22 2.1 Introduction ....................................................................................................................................... 22 2.2 Présentation générale de MPLS ....................................................................................................... 22

2.2.1 Historique .................................................................................................................................... 22

2.2.2 Eléments de domaine MPLS ...................................................................................................... 23

2.2.3 Fonctionnement .......................................................................................................................... 25

2.2.4 Modèles de déploiement MPLS .................................................................................................. 26

2.3 Architecture MPLS ........................................................................................................................... 28

2.3.1 Le plan de contrôle ..................................................................................................................... 29

2.3.2 Le plan de données ..................................................................................................................... 31

2.4 La commutation de labels ................................................................................................................. 32

2.4.1 Définition .................................................................................................................................... 32

2.4.2 Pile de labels (Label Stack) ........................................................................................................ 33

2.4.3 Fonctionnement de label ............................................................................................................ 34

2.4.4 Distribution des labels ................................................................................................................ 34

2.5 Les applications de la technologie MPLS ........................................................................................ 35

2.5.1 L’AToM ou Any Transport over MPLS ..................................................................................... 35

2.5.2 Le support des réseaux privés virtuels : MPLS VPN ................................................................. 35

2.5.3 Le support de la qualité de service : MPLS QoS ....................................................................... 37

2.5.4 L’ingénierie de trafic : MPLS TE .............................................................................................. 38

iv

2.6 Choix du réseau de transport utilise : VPNs MPLS l3 .................................................................. 39

2.6.1 Comparaison des couches de liaison .......................................................................................... 39

2.6.2 Les fonctionnalités offertes ........................................................................................................ 40

2.7 Conclusion ......................................................................................................................................... 41

CHAPITRE 3 ............................................................................................................................................... 42

LA TECHNOLOGIE DMVPN .................................................................................................................. 42 3.1 Introduction ....................................................................................................................................... 42 3.2 Présentation des DMVPN ................................................................................................................. 42

3.2.1 Historique .................................................................................................................................... 42

3.2.2 Définition .................................................................................................................................... 42

3.3 Principes du DMVPN ....................................................................................................................... 43

3.3.1 Fonctionnement générale ........................................................................................................... 43

3.3.2 Modèle de déploiement ............................................................................................................... 44

3.3.3 Les différentes phases du DMVPN ............................................................................................ 45

3.4 Types d’architecture DMVPN ......................................................................................................... 47

3.4.1 Réseau composé d’un seul routeur Hub .................................................................................... 48

3.4.2 Réseau composé de deux routeurs centraux .............................................................................. 48

3.4.3 Réseau composé de deux routeurs Hub au siège ....................................................................... 49

3.4.4 Réseau composé de quatre routeurs centraux ........................................................................... 50

3.5 Les composants et les terminologies ................................................................................................ 50

3.5.1 Le protocole GRE ....................................................................................................................... 50

3.5.2 Le protocole IPsec ....................................................................................................................... 52

3.5.3 Le protocole NHRP ..................................................................................................................... 55

3.5.4 Les protocoles de routage à travers DMVPN ............................................................................. 56

3.6 Choix du modèle de conception DMVPN ........................................................................................ 59

3.6.1 Comparaison des technologies VPN : ........................................................................................ 59

v

3.6.2 DMVPN à travers MPLS ............................................................................................................ 60

3.7 Conclusion ......................................................................................................................................... 61

CHAPITRE 4 ............................................................................................................................................... 62

SIMULATION SOUS GNS3 ...................................................................................................................... 62 4.1 Introduction ....................................................................................................................................... 62 4.2 Présentation des outils de simulations utilisés ................................................................................ 62

4.2.1 Microsoft Office Visio ................................................................................................................. 62

4.2.2 Le simulateur GNS3 ................................................................................................................... 63

4.2.3 L’analyseur du réseau Wireshark .............................................................................................. 63

4.3 Concept et Design .............................................................................................................................. 64

4.3.1 Présentation de la topologie ....................................................................................................... 64

4.3.2 Présentation des équipements .................................................................................................... 67

4.4 Implémentation et configuration ..................................................................................................... 68

4.4.1 Adressage .................................................................................................................................... 68

4.4.2 Configuration .............................................................................................................................. 70

4.5 Interprétations des résultats de la simulation ................................................................................ 81

4.5.1 Résultats des séries de test .......................................................................................................... 81

4.5.2 Analyse et suggestions ................................................................................................................ 83

4.6 Conclusion ......................................................................................................................................... 84

CONCLUSION GENERALE .................................................................................................................... 85 ANNEXE 1 Les gammes de paquet CISCO IOS .................................................................................. 86 ANNEXE 2: Évolutions MPLS .............................................................................................................. 89

BIBLIOGRAPHIE ...................................................................................................................................... 91

PAGE DE RENSEIGNEMENTS ............................................................................................................... 93

RESUME ...................................................................................................................................................... 94

ABSTRACT ................................................................................................................................................. 94

vi

ABREVIATIONS

ABR Area Border Router

ACL Access Control List

AES Advanced Encryption Standard

AH Authentification Headers

ARIS Architecture of Integrated Information Systems

ARP Address Resolution Protocol

AS Autonomous System

ASBR Autonomous System Boundary

ASCII American Standard Code for Interchange

ATM Asynchronous Transfer Mode

AToM Any Transport over MPLS

BDR Backup Designated Router

BGP Border Gateway Protocol

CCITT Comité Consultatif International Télégraphique et Téléphonique

CE Customer Edge

CLI Command Line Interface

CoS Class of Service

CPU Central Processing Unit

CR-LDP Constraint-based Routing LDP

DES Data Encryption Standard

DHCP Dynamic Host Configuration Protocol

DMVPN Dynamic Multipoint Virtual Private Network

DR Designated Router

DSL Digital Subscriber Line

E-BGP Exterior- Border Gateway Protocol

EGP Exterior Gateway Protocol

EIA Electrical Industries Association

EIGRP Enhanced Interior Gateway Routing Protocol

E-LSR Edge LSR

ESP Encapsulating Security Payload

FDDI Fiber Distributed Data Interface

FEC Forwarding Equivalence Class

FIB Forwarding Information Base

FR Frame Relay

GNS3 Graphical Network Simulator 3

GRE Generic Routing Encapsulation

HDLC High Level Data Link Protocol

vii

I-BGP Interior- Border Gateway Protocol

IBM International Business Machines

ID Identificateur

IDS Intrusion Detection Systems

ISO International Standard Organization

IETF Internet Engineering Task Force

IGP Interior Gateway Protocol

IGRP Interior Gateway Routing Protocol

I-LSR Ingress LSR

IP Internet Protocol

IPsec Internet Protocol Security

IPv4 Internet Protocol version 4

IPv6 Internet Protocol version 6

IS-IS Internet Security- Internet Security

ISKAMP Internet Security Association and Key Management Protocol

L2TP Layer Two Tunneling Protocol

LAN Local Area Network

LDP Label Distribution Protocol

LER Label Edge Router

LFIB Label Forwarding Information Base

LIB Label Base Information

LSA Link State Advertisement

LSP Label Switch Path

LSR Label Switch Router

MAC Medium Access Control

MAN Metropolitain Area Network

mGRE Multipoint Generic Routing Encapsulation

MP-BGP Multi-Protocol Border Gateway Protocol

MP-eBGP Multi-Protocol- exteriorBGP

MP-iBGP Multi-Protocol- interiorBGP

MPLS Multi-Protocol Label Switching

MPLS VPN MPLS Virtual Private Network

MPLS-TE MPLS Traffic Engineering

MTU Maximum Transmission Unit

NAT Network Address Translation

NBMA Non-Broadcast Multi-Access

NHC NHRP Client

NHRP Next Hop Resolution Protocol

NHS Next-Hop Server

viii

OEM Original Equipment Manufacturer

OSI Open System Interconnections

OSPF Open Shortest Path First

P Provider device

PAN Personal Area Network

PC Personal Computer

PE Provider Edge

PHB Per Hop Behavior

POP Point-to-Point Protocol

PPP Point to Point Protocol

PVC Permanent Virtual Circuit

QoS Quality of Service

RFC Request For Comment

RIB Routing Information Base

RIP Routing Information Protocol

RMON Remote Network MONitoring

RNIS Réseau Numérique à Intégration de Services

RR Route-Reflector

RSVP Resource ReSerVation Protocol

RSVP-TE RSVP-Trafic Engineering

SA Security Association

SNMP Simple Network Management Protocol

SP Service Provider

SPF Shortest Path First

SSL Secure Socket Layer

TCP Transmission Control Protocol

TDP Tag Distribution Protocol

TE Traffic Engineering

TIA Telecommunications Industry Association

TTL Time To Live

UDP User Datagram Protocol

UIT-T Union Internationale des Télécommunications

VLAN Virtual Local Area Network

VoIP Voice over Internet Protocol

VPN Virtual Private Network

VPNs MPLS l2 MPLS VPN de niveau 2

VPNs MPLS l3 MPLS VPN de niveau 3

VRF Virtual Routing and Forwarding

WAN Wide Area Network

1

INTRODUCTION GENERALE

A l’avènement du XXIème, les réseaux informatiques n’ont pas seulement permis

d’interconnecter des petits et des grands systèmes informatiques entre eux, ils ont permis

également un grand bouleversement dans la conception des systèmes d’information et

informatiques en entreprise, pour faciliter l’interopérabilité et l’échange des données ou

d’informations dans tous les domaines où ces systèmes sont mis en œuvre. Suite à ces

améliorations continues de performance au niveau des équipements et des capacités des médias de

transmission, il est clair que la conception d’un réseau informatique et télécommunication se fait

dans des environnements de plus en plus complexes, impliquant de nombreux types de supports de

transmission, de protocoles et d’interconnexions à des réseaux. Une approche pragmatique peut

néanmoins aider le concepteur de réseau informatique à surmonter une partie des difficultés liées à

la nécessité d’extension d’un réseau au fur et à mesure de son évolution.

Ainsi, dans le cadre de la recherche de solutions liée aux problèmes d’évolutivité et de sécurité au

sein de réseau informatique, nous avons entamé une approche conceptuelle visant à faciliter ladite

démarche de conception. C’est alors que le thème abordé dans ce mémoire sera intitulé :

« Conception et modélisation d’une infrastructure réseau basé sur le principe de Hub & Spoke ».

Nous avons adopté les réseaux étendus pour élaborer notre conception car c’est le milieu naturel

des grandes entreprises en plein extension. Effectivement, les réseaux doivent être étendus pour

inclure de nouveaux partenaires, fournisseurs et clients, ainsi que des services de plus en plus

stricts, en termes de débit, de qualité et de sécurité. Pour cela le but de notre projet est d’élaborer

un concept capable de solutionner la connectivité Wide Area Network (WAN) par le service

Multi-Protocol Label Switching (MPLS), tout en introduisant la technologie Dynamic Multipoint

Virtual Private Network (DMVPN) pour sécuriser les données à travers ce réseau MPLS.

Dans le cadre cette conceptualisation, le présent document sera articulé en quatre chapitres. Le

premier chapitre donne, de manière générale, un aperçu sur la conception de base d’une

infrastructure réseau. Puis, le second chapitre abordera la technologie MPLS. Ensuite, nous

entamerons le troisième chapitre par la technologie DMVPN. Enfin, le dernier chapitre sera

consacré à l’illustration de manière concrète de notre démarche de conception grâce à une

simulation sur Graphical Network Simulator 3 ou GNS3 pour tester l’adaptabilité de la

technologie DMVPN à travers le réseau MPLS.

2

CHAPITRE 1 :

CONCEPTION D’ARCHITECTURE RESEAUX

1.1 Introduction

Quelle que soit sa taille, toute entreprise doit accorder un soin particulier à la conception

d’architecture du modèle type. C’est l'une des étapes essentielles permettant d'assurer la rapidité et

la stabilité d'un réseau. Si un réseau n'est pas conçu adéquatement, de nombreux problèmes

imprévus peuvent survenir, ce qui peut entraver son fonctionnement. Cette étape consiste tout

d’abord à penser à faire évoluer l’existant. Puis, à réfléchir à toutes les couches du point de vue de

la tranchée et des applications. Ce chapitre présente un aperçu du processus de conception d'un

modèle type d’infrastructure réseau.

1.2 Définition des problématiques et exigences de réseau

La conception d’un réseau peut être un véritable défi. La première étape consiste à bien

comprendre ses problèmes et exigences. [1] [2]

1.2.1 Problématiques

En général, les problèmes liés à la conception de réseaux impliquent les trois types d’éléments

généraux suivants :

1.2.1.1 Eléments de l’environnement

Ils comprennent l’emplacement des hôtes, des serveurs, des terminaux et autres nœuds d’extrémité

; les prévisions de trafic pour l’environnement ; les prévisions de coûts, afin de garantir différents

niveaux de service.

1.2.1.2 Contraintes de performances

Elles incluent la fiabilité du réseau, le débit des données transportées et les vitesses assurées par

les ordinateurs hôtes et clients.

1.2.1.3 Eléments variables de réseau

Ils concernent la topologie du réseau, les capacités des lignes et les allocations de flux de paquets.

3

1.2.2 Exigences

Il existe de nombreux organismes définissant et gérant les normes de conception comme : l’UIT-T

(Union Internationale des Télécommunications - secteur de normalisation des

Télécommunications), anciennement appelée CCITT (Comité Consultatif International

Télégraphique et Téléphonique), l’ISO (International Standards Organization), l’IETF (Internet

Engineering Task Force), l’EIA (Electrical Industries Association), le TIA (Telecommunications

Industry Association). Ces organismes vérifient les deux paramètres suivants : [3]

a) Disponibilité des applications.

b) Coût de possession d’un réseau.

Un réseau bien conçu peut faciliter un équilibrage de ces deux paramètres. S’il est correctement

implémenté, son infrastructure peut optimiser la disponibilité des applications et permet ainsi une

exploitation rentable des ressources de réseau existantes.

1.3 Parcours méthodique de conception

1.3.1 Etapes de conception

Comme l’illustre la Figure ci-dessous, la conception d’un réseau est une répétition de tâches. Les

sections suivantes mettent en valeur plusieurs aspects qui sont à considérer avec prudence lors des

prévisions d’implémentation. [1]

Figure 1.01 : Démarche de conception réseau

4

1.3.2 Evaluation des besoins des clients

1.3.2.1 Les besoins commerciaux

Le réseau est une composante stratégique de la conception globale de notre système

d’information. Voici une liste des coûts associés à sa mise en œuvre : [2]

a) Coûts des équipements matériels et logiciels

Cela intègre les coûts réels lors de l’acquisition de nos systèmes initiaux : ils doivent inclure les

achats et les installations de départ, la maintenance et les mises à jour programmées.

b) Coûts de performances

C’est l’estimation du coût des améliorations nécessitant des dépenses en médias de transmission,

cartes réseau, nœuds d’interconnexion, modems et services WAN.

c) Coûts d’installation

Ces coûts comprennent la main d’œuvre, la modification du site et les frais supplémentaires de

mise en conformité à l’égard de la législation locale et aux restrictions environnementales.

d) Coûts d’expansion

Ils calculent les frais à engager pour une prévision des besoins futurs comme l’ajout de

fonctionnalités supplémentaires ou un changement d’emplacement.

e) Coûts d’assistance

Ce sont les coûts de formation, de personnel qualifié (responsables et administrateurs de réseau) et

de remplacement de matériel.

f) Coûts d’improductivité

En évaluant le coût de chaque échec d’accès à un serveur de fichiers ou à une base centralisée,

nous obtiendrons le coût d’improductivité. Lorsque ce dernier atteint un niveau élevé, il faut

envisager de recourir à un réseau totalement redondant.

5

g) Coûts de renonciation

Ils représentent la perte financière liée à un choix non adapté. Par exemple, négliger les

technologies récentes peut entraîner la perte d’une position concurrentielle sur le marché, une

baisse de la productivité et une diminution des performances. Il faut donc essayer d’intégrer ces

coûts dans nos calculs afin de réaliser des comparaisons précises en début de projet.

h) Coûts irrécupérables

Ils concernent nos investissements en équipements : câblage, routeurs, concentrateurs,

commutateurs, hôtes, ainsi que divers équipements matériels ou logiciels.

1.3.2.2 Les besoins techniques

En général, les utilisateurs veulent pouvoir disposer à tout moment des applications du réseau. Les

facteurs déterminants de cette disponibilité sont le temps de réponse, le débit et la fiabilité.

Le temps de réponse est l’intervalle de temps compris entre l’entrée d’une commande ou

l’activation d’une touche et l’exécution de ladite commande ou la réception d’une réponse

émanant du système hôte. Les services en lignes interactifs tels que les guichets automatiques

bancaires sont des exemples d’applications exigeant une réponse rapide.

L’utilisation d’applications demandant un débit élevé implique généralement des activités de

transfert de fichiers.

La fiabilité et la sécurité sont primordiales pour les entreprises dont toutes les activités s’exécutent

en ligne comme les services financiers, les opérations policières et militaires. Ce type de situation

exige une redondance et une qualité de service de haut niveau.

Figure 1.02 : Les besoins des clients WAN et LAN

6

Pour répondre à ces besoins, un haut niveau de performance matérielle ou topologique est

nécessaire.

1.3.3 Recommandation de l’architecte réseau

1.3.3.1 Solutions réseaux

Il est abordé ici la cartographie des sites, de mêmes que les supports physiques et équipements

actifs. Ces informations affectent une grande partie des décisions que nous allons prendre dans le

choix de solution et de son déploiement. L’étude consiste dans un premier temps à recueillir les

informations telles que : [4]

a) La dimension du réseau

Une classification traditionnelle, fondée sur la notion d’étendue géographique, correspond à un

ensemble de contraintes que le concepteur devra prendre en compte lors de la réalisation de son

réseau.

Distance entre

processeurs

Emplacement des

processeurs

Classifications Technologies utilisées

1 m Un mètre carré Réseau personnel (PAN) Ethernet (surcâbles de

paires torsadées) ouWifi. 10 m Une salle Réseau local (LAN)

100 m Un immeuble

1 km Un campus

10 km Une ville Réseau métropolitain

(MAN)

Fibre optique, ondes radios

(Wifi).

100 km Un pays Réseau longue distance

(WAN)

Câble, fibre optique,

satellite, ondes

hertziennes. 1000 km Un continent

10.000 km Une planète Internet

Tableau 1.01: Classification des réseaux

b) La topologie du réseau

Elle définit la structure du réseau, tout d’abord d’un point de vue physique puis logique.

La topologie physique est l’arrangement physique des interconnexions des ordinateurs reliés entre

eux grâce à des lignes de communication et des éléments matériels qui constituent le réseau. Par

exemple, en bus, en étoile, en anneau, en arbre, maillée. [5]

7

La topologie logique représente la façon par laquelle les données transitent dans les câbles, c'est-à-

dire les méthodes d’accès utilisées qui sont réalisées par des protocoles d’accès. Les topologies

logiques les plus courantes sont Ethernet, Token Ring et FDDI (Fiber Distributed Data Interface).

1.3.3.2 Services réseaux

Cela concerne les différentes fonctionnalités que le réseau devrait avoir pour satisfaire aux mieux

les besoins des clients cités auparavant. L’architecte réseau doit, de ce fait, mettre en place les

éléments suivants : [3] [6]

a) Plan d’adressage

Cette opération a pour but d’organiser la reconnaissance de chaque composant actif dans le réseau.

Pour se faire on doit prendre en compte la taille du réseau lors de l’attribution de l’adresse de

réseau. Selon qu’il est très grand (plus de 65535 hôtes), de taille moyenne (entre 255 et 65534

hôtes) ou petit (254 hôtes au plus), son adresse appartiendra respectivement à la classe A, B ou C.

Deux méthodes sont recommandées pour assigner les adresses sur un réseau hiérarchique. La plus

simple est d’attribuer à chaque zone, y compris au réseau fédérateur, une adresse de réseau unique.

L’autre solution consiste à réserver des plages d’adresse pour chaque zone

b) Routage

Le routage désigne une technologie permettant de déterminer la route qu'un paquet doit prendre

pour atteindre une destination. Trois processus fondamentaux font partie d'un système de routage :

- La machine hôte doit savoir quand et comment communiquer avec un routeur.

- Le routeur doit être capable de déterminer un chemin d'accès vers le réseau distant.

- Le routeur du réseau de destination doit savoir comment se connecter à la machine hôte.

En ce sens, il existe deux grands types de routage :

- Routage statique : créé au démarrage de la machine ou ajouté par l’administrateur système.

Les routeurs exploités de cette manière ne peuvent accéder et transmettre des données

qu’aux réseaux pour lesquels ils ont été configurés manuellement. La découverte du

« network ID » des autres réseaux est donc manuelle

8

- Routage dynamique : créé lorsque la topologie d’un réseau offre la possibilité de plusieurs

routes pour atteindre une même destination, s’il est vaste et complexe, sujet à des

changements fréquents de configuration. Sa table de routage est créée automatiquement

par des mécanismes reposant sur des protocoles spéciaux. [4]

c) Les protocoles

Un protocole est un ensemble de règles qui définissent comment se produit une communication

dans un réseau. Il s’applique selon le domaine de routage :

- IGP (Interior Gateway Protocol) : protocole de routage interne utilisé au sein d'une même

unité administrative (AS)

Exemples: RIP (Routing Information Protocol), OSPF (Open Shortest Path First), IGRP (Interior

Gateway Routing Protocol), EIGRP (Enhanced Interior Gateway Routing Protocol)

- EGP (Exterior Gateway Protocol) : protocole de routage externe utilisé entre passerelles

appartenant à des unités administratives différentes (AS).

Exemple: BGP (Border Gateway Protocol)

Les protocoles de routage utilisent diverses techniques pour attribuer une métrique à un réseau

puis les comparent pour sélectionner le meilleur chemin parmi plusieurs solutions. Chaque

protocole possède une manière propre de former un agrégat métrique.

Cependant, trois ressources essentielles sont exploitées par les protocoles de routage :

- Mémoire : pour y stocker des tables de routage et des informations sur la topologie.

- Processeur : qui est dépendant du protocole car il l’utilise selon de mode de calcul de route

de chacun.

- Bande passante : qui est utilisé au moment où les informations de routage sont envoyées

1.3.4 Identification et choix des équipements

1.3.4.1 Supports physiques

Les différents moyens possibles pour véhiculer les informations sont : [4] [8]

9

a) Câble coaxial

C’est un câble constitué de deux conducteurs concentriques : un conducteur central et le cœur,

entouré d’un matériau isolant de forme cylindrique, enveloppé le plus souvent d’une tresse

conductrice en cuivre. L’ensemble est enrobé d’une gaine isolante en matière plastique.

Figure 1.03 : Coupe d'un câble coaxial

b) Câble paire torsadée

Une paire torsadée est formée de 2 conducteurs enroulés en hélice l’un autour de l’autre. Cette

configuration a pour but de maintenir précisément la distance entre les deux fils et de diminuer la

diaphonie.

Figure 1.04 : Le câble en paires torsadées

c) Fibre optique

A la limite des possibilités de liaison en cuivre s’intègre la fibre. Elle se présente sous forme d’un

cylindre de verre de quelques centaines de micromètres et est constituée d’un cœur et d’une gaine.

Les signaux lumineux vont transiter dans le cœur, tandis que la gaine va empêcher qu’ils ne

s’échappent pas de la fibre.

10

Figure 1.05 : Structure d'une fibre optique

Ainsi, nous avons une large gamme de choix que nous allons récapitulée ci-dessous :

Coaxial fin

(10Base2)

Coaxial épais

(10Base5)

Paire torsadée

10BaseT

100BaseT

1000BaseT

Fibre optique

multimode et

monomode

Coût du câble Plus élevé que

la paire

torsadée

Plus élevé que

le câble coaxial

fin

Le moins élevé Le plus élevé

Longueur de

cable

recommandée

185 m 500 m 100 m 2 km et 35 à 100

km

Débits de

transmission

10 Mbps 10 Mbps 10 Mbps 4 à

100 Mbps

100 Mbps ou

plus

Installation Simple Simple Très simple Relativement

difficile

Sensibilité aux

interférences

Faible Faible Élevée Aucune

Utilisation

conseillée

Sites de

moyenne et de

grande taille

avec des

besoins de

sécurité élevés

UTP pour les

sites de plus

petite taille avec

des budgets

limités ; STP

pour les réseaux

de type token

ring, sans

restriction de

taille.

Installation de

toute taille

nécessitant une

vitesse de

transmission et

un niveau de

sécurité et

d’intégrité des

données élevé.

Tableau 1.02: Tableau récapitulatif des principales caractéristiques des câbles

11

1.3.4.2 Equipements d’interconnexion

Par le passé, les concepteurs ne disposaient que d’un nombre limité d’options matérielles

lorsqu’ils devaient faire l’acquisition d’une technologie pour leurs réseaux. Mais aujourd’hui,

nous avons une large gamme de choix : [7]

a) Les unités hôtes

Ce sont les unités directement connectées à un segment. Elles peuvent être des ordinateurs, des

clients, des serveurs, des imprimantes, des scanneurs ainsi que de nombreux autres types

d'équipements.

b) Répéteur

C’est un équipement qui permet d’étendre la portée du signal sur le support de transmission en

générant un nouveau signal à partir d’un signal reçu et augmente la puissance de cette dernière. Il

fonctionne dans la couche physique et offre un débit de 10 Mbits/s. L’avantage de cet équipement

est qu’il permet d’augmenter la taille du réseau et ne nécessite pas d’administration.

c) Pont

Les ponts servent à séparer logiquement des segments d’un même réseau. Ils opèrent au niveau de

la couche Liaison de données du modèle OSI (couche 2) et sont indépendants des protocoles de

couche supérieure.

d) Switch

Les commutateurs sont semblables aux ponts, mais ils possèdent généralement un plus grand

nombre de ports. C'est un dispositif électronique qui est utilisé pour interconnecter plusieurs

câbles Ethernet. Son principe est de diriger les données émises par un PC vers le PC à qui les

données sont destinées. Les équipements qui n'ont pas l'adresse de destination correspondante ne

reçoivent rien. Ils sont surtout utilisés dans les grands réseaux industriels car ils évitent

d'encombrer les liaisons qui ne sont pas concernées par le transport des données. [4]

12

Figure 1.06 : Représentation d’un Switch

e) Routeur

Le routeur est un équipement qui intervient au niveau 3 du modèle OSI, il intervient surtout dans

la régulation du trafic dans les grands réseaux. Il analyse et peut prendre des décisions. Son rôle

principal consiste à examiner les paquets entrants, à choisir le meilleur chemin pour les transporter

vers la machine destinataire. [7]

Les routeurs sont dépendants des protocoles. Ils représentent les points de jonction LAN/WAN.

f) Passerelle

Considérée au sens matériel du terme, la passerelle est un équipement recouvrant les 7 couches du

modèle OSI. Elle assure l'interconnexion des réseaux n'utilisant pas les mêmes protocoles et

permet de résoudre les problèmes d'hétérogénéité des réseaux (matériel et logiciel). La passerelle

peut aussi être un ordinateur disposant de 2 cartes réseaux et d'un logiciel spécifique qui se charge

de convertir les données en provenance d'un réseau d'expéditeur vers le réseau destinataire. [3] [4]

Elle est utilisée pour différents types d'application: transfert de fichiers, accès à des serveurs

distants, etc.

g) Firewall

Appelé aussi pare-feu est un outil informatique conçu pour protéger les données d’un réseau en

filtrant les entrées et en contrôlant les sorties selon des règles définies par son administrateur. Il est

formé de deux composants essentiels : deux routeurs qui filtrent les paquets ou datagrammes et

une passerelle d’application qui renforce la sécurité. Le filtrage de paquet est géré dans des tables

configurées par l’administrateur. La passerelle d’application quant à elle intervient pour surveiller

chaque message entrant et sortant ; transmettre ou rejeter suivant le contenu et la taille du

message.

13

1.3.5 Test de sensibilité du réseau

Ce test est pratiqué pour pouvoir évaluer la résistance de notre topologie. D’un point de vue

pratique, il implique la rupture de liens stables et l’observation des répercussions. On peut

procéder à ce test en provoquant un dysfonctionnement c’est-à-dire retirer une carte active, puis

analyser de quelle façon le réseau gère la situation. On peut observer la manière dont le trafic est

re-routé, la vitesse de convergence, la perte éventuelle de connectivité, et les problèmes éventuels

de gestion de types spécifiques de trafic.

1.4 Modèle de conception de réseau

1.4.1 Modèle hiérarchique

Chaque concepteur s’inspire du fameux modèle de référence OSI (Open System Interconnections

ou interconnexion de systèmes ouverts), qui sert à comprendre et à implémenter la communication

entre ordinateurs. On propose ici, dans la figure ci-dessous, les modèles hiérarchiques qui font

appel à ce concept afin de faciliter la mise en œuvre de réseaux et ses modifications. Le principe

de modularité permet de créer des éléments qui peuvent être reproduits au fur et à mesure que le

réseau se développe et ainsi repérer les points de transition du réseau pour mieux identifier les

pannes. Contrairement au modèle d’architectures linéaires ou maillées qui requiert des

modifications importantes car ils ont tendance à affecter un grand nombre de systèmes. [5] [9]

Figure 1.07 : Modèle de conception de réseau hiérarchique

Couche central

Commutation à haute vitesse

Couche distribution

Connectivité basée sur des règles

Couche d'accès

Accès local et distant pour groupes de travail ou utilisateurs individuels

14

1.4.1.2 La couche centrale :

Cette couche est un réseau fédérateur de commutation à haute vitesse qui devrait être conçu pour

commuter les paquets le plus rapidement possible. Elle n’est censée opérer aucune manipulation

des paquets, telle que les listes d’accès ou le filtrage, afin de ne pas ralentir leur commutation

1.4.1.3 La couche de distribution :

Cette couche représente la frontière entre la couche d’accès et la couche centrale. Dans un

environnement de réseau de campus, cette couche peut assurer plusieurs fonctions telles que le

regroupement d’adresses ou de zones, l’accès au réseau pour les départements ou groupes de

travail, la définition de domaines de broadcast (diffusion générale) ou multicast (diffusion

restreinte), le routage sur des réseaux locaux virtuels ou VLAN (Virtual Local Area Network),

toute transition de médias nécessaire et la sécurité.

Dans les autres environnements, cette couche peut faire office de point de redistribution entre des

domaines de routage, ou bien de frontière entre des protocoles de routage statique ou dynamique.

Les sites distants peuvent également s’en servir comme point d’accès au réseau d’entreprise. Sa

principale fonctionnalité est d’offrir une connectivité basée sur des règles.

1.4.1.4 La couche d’accès

Cette couche représente le point d’accès local au réseau pour les utilisateurs finaux. Elle utilise

parfois des listes d’accès ou des filtres afin de mieux servir les besoins d’un ensemble

d’utilisateurs donné. Dans un environnement de réseau de campus, elle offre : une bande passante

partagée ou commutée, le filtrage au niveau de la couche MAC et la micro-segmentation. Dans les

autres environnements, cette couche peut autoriser des sites distants à accéder au réseau

d’entreprise par le biais de certaines technologies longue distance, comme le Frame Relay (relais

de trames), RNIS ou des lignes louées et aujourd’hui, le MPLS.

Ces trois couches (centrale, distribution et accès) ont été définies pour aider à la conception de

réseaux et représenter les fonctionnalités qui doivent être implémentées.

1.4.2 Avantage du modèle hiérarchique

Voici quelques-uns des avantages que procure l'utilisation d'un modèle hiérarchique :

15

1.4.2.1 Evolutivité

Les réseaux créés selon le modèle hiérarchique peuvent connaître une croissance plus forte, sans

effet négatif sur le contrôle et la facilité de gestion, parce que les fonctionnalités sont localisées et

qu'il est plus facile de détecter les problèmes éventuels. Le réseau téléphonique public commuté

est un exemple de réseau hiérarchique à très grande échelle.

1.4.2.2 La facilité de mise en œuvre

Puisqu'un modèle hiérarchique attribue des fonctionnalités précises à chaque couche, la mise en

œuvre du réseau s'en trouve facilitée.

1.4.2.3 La facilité de dépannage

Les fonctions de chaque couche étant clairement définies, il devient plus facile d'isoler les

problèmes qui peuvent survenir sur le réseau. Il est également plus facile de segmenter

temporairement le réseau pour réduire l'étendue d'un problème.

1.4.2.4 La prévisibilité

Il est relativement facile de prévoir le comportement d'un réseau utilisant des couches

fonctionnelles. La planification de la capacité de croissance du réseau s'en trouve

considérablement simplifiée, tout comme la modélisation des performances du réseau à des fins

d'analyse.

1.4.2.5 La prise en charge de protocoles

La combinaison d'applications et de protocoles actuels et futurs est beaucoup plus facile sur des

réseaux créés selon un modèle hiérarchique, en raison de l'organisation logique de l'infrastructure

sous-jacente.

1.5 Les réseaux d’opérateur

1.5.1 Définition

Contrairement au LAN et au MAN, le WAN utilise des infrastructures publiques ou d’opérateurs.

En effet les distances de raccordement des sites sont telles qu’un câblage privé n’est plus

envisageable et le recours à une infrastructure mutualiste devient nécessaire.

16

Pour une entreprise, plusieurs solutions peuvent être envisagées selon : la situation géographique,

le nombre de sites à raccorder, les débits nécessaires, les volumes échangés, les durées de

connexions nécessaires, la sécurité contre les coupures (fiabilité), la confidentialité, et les

applications. [5] [10]

Figure 1.08 : Présentation générale du réseau WAN

1.5.2 Topologies WAN

Les réseaux étendus utilisent les installations fournies par un prestataire de services, ou opérateur,

pour connecter les sites d’une organisation entre eux, les connecter aux sites d’autres

organisations, à des services externes ou à des utilisateurs distants. En effet, ils utilisent différentes

topologies de déploiement.

1.5.2.1 Topologie « Full Mesh » :

Cette topologie est nécessaire pour avoir un routage optimal, en cas d’existence d'un circuit dédié

entre chaque entité. Par contre, c’est une solution très coûteuse.

Figure 1.09 : Topologie avec maillages complets

17

1.5.2.2 Topologie « Partial Mesh » :

On l’appelle aussi hub-and-spoke. C’est une solution moins coûteuse que le full mesh. Il utilise un

point central qui coordonne les communications mais ne fournit pas un routage optimal. Pour

prévenir d'une interruption de service, le point central peut être « dupliqué » en étendant cette

topologie à une deuxième « hub-and spoke »

Figure 1.10 : Topologie avec maillage partiel

1.5.2.3 Topologie de MPLS :

Cette topologie fournit les routes optimales car chaque entité n'a besoin que d'une connexion vers

le MPLS Service Provider. Elle fournit de la commutation niveau 2 et du routage niveau 3 en

utilisant des labels de longueur fixe.

Figure 1.11 : Topologie MPLS

1.5.3 Les offres de services operateurs

Une entreprise doit s’abonner auprès d’un fournisseur de services de réseau étendu pour pouvoir

utiliser ces services. [1] [9]

18

Figure 1.12 : Types de liaisons WAN

1.5.3.2 Options de connexion de réseau étendu privé

a) Liaison dédiée (aussi appelée liaison spécialisée, ou lignes louées) : [8]

Cela fournit un service continu par des liaisons séries synchrones point-à-point. C’est un lien

physique dédié qui va directement d’un port du routeur client à un port du routeur de l’opérateur,

sans passer par un environnement commuté. Il est nécessaire d’avoir un port par liaison client sur

le routeur de l’opérateur. Cette liaison convient aux grands volumes d’information et aux trafics

constants.

Exemples de protocoles utilisés : PPP, HDLC, SDLC, HNAS

b) Liaison commutée :

On distingue d’une part la commutation de circuits qui établit de façon dynamique une connexion

dédiée pour la voix ou les données entre un expéditeur et un récepteur. Cet établissement se fait à

la demande, maintenu puis fermé à chaque session. D’autre part, la commutation de paquet ou

cellule qui est plus souple, utilise mieux la bande passante que les services à commutation de

circuits. Elle offre la possibilité d’acheminer des trames de taille variable (paquets) ou de taille

fixe (cellules), grâce à l’utilisation d’un PVC similaire à une liaison point-à-point.

Exemples de protocoles utilisés : PPP, RNIS pour les commutations de circuit et X25, Relais des

trames, ATM pour les commutations de paquet.

1.5.3.3 Options de connexion de réseau étendu public

Pour s’interconnecter dans un réseau étendu public, on a recours à des infrastructures internet

globales qui autrefois, n’étaient pas fiables pour de nombreuses entreprises à cause de l’insécurité

19

et du manque de garantie de performances. Mais aujourd’hui émergent les réseaux privés virtuels

qui deviennent une option peu coûteuse et sécurisée pour connecter des télétravailleurs et des

bureaux distants. Il y a aussi les liaisons de connexion WAN Internet via des services à large

bande tels que DSL, modem, câble et connexions sans fil à large bande, et associées à la

technologie de VPN pour garantir la confidentialité sur Internet.

Voici un schéma récapitulatif des services offert dans la technologie WAN :

Figure 1.13 : Options de connexion de liaison de réseau étendu

1.6 Administration des équipements du réseau

1.6.1 Directives d’administration de réseau

L'administration est une tâche qui requiert que le réseau soit fonctionnel et que les différents

services soient implémentés. Ces tâches d'administration peuvent être d'après l'ISO, reparties sur

cinq axes : [1] [8]

1.6.1.1 La gestion de la configuration réseau

Il convient de gérer la configuration matérielle et logicielle du réseau pour en optimiser

l'utilisation ; de permettre des configurations à distance via des outils adéquats (telnet, interface

web) et le stockage des différentes configurations ; les serveurs FTP sont très souvent sollicités

pour cette tâche.

Reseau etendu

Privé

Dédié

Lignes louées

Commuté

Circuit commuté

RTPC, ISDN

A commutation

de paquets

Relais des trames, X25, ATM, MPLS

Public

Internet

Réseau privé virtuel à large

bande

DSL, Cable, Sans fil à large

bande

20

1.6.1.2 La gestion des anomalies

L'administration a pour objectif d'avoir un réseau opérationnel sans rupture de service, ce qui

définit une certaine qualité de service ; on doit être en mesure de localiser le plus rapidement

possible toute panne ou défaillance pour pouvoir y remédier.

1.6.1.3 La gestion des performances (performance management)

Elle consiste à contrôler à tout moment, le réseau pour observer s'il est en mesure d'écouler le

trafic pour lequel il a été conçu. Le délai, le débit, le taux d'erreur, la disponibilité sont autant des

paramètres à prendre en compte pour l'évaluation.

1.6.1.4 La gestion de la sécurité

On gère ici les contrôles d'accès au réseau, la confidentialité des données qui y transitent, leur

intégrité et leur authenticité pour pouvoir les protéger contre tout dysfonctionnement, toute

inadvertance ou toute malveillance.

1.6.1.5 La gestion de la comptabilité

C’est l’évaluation de la consommation des ressources réseaux en fonction de la durée, du volume,

à des fins de facturation ou d'identification des stations saturant la bande passante.

1.6.2 Protocole d’administration de réseau

Il existe des protocoles d’administration de réseau reconnus comme standards de l’industrie pour

gérer des réseaux Cisco. On peut citer quatre types de protocoles de base : [8] [10]

1.6.2.1 Telnet

Telnet (également connu sous le nom de CLI) permet de se connecter directement à un

commutateur ou à un routeur pour accéder aux commandes de configuration et de surveillance.

1.6.2.2 SNMP (Simple Network Management Protocol)

Ce protocole SNMP s’appuie sur un concept de gestionnaire SNMP communiquant avec un ou

plusieurs agents SNMP. Les opérations Get, Get-Next, et Set de SNMP sont réalisées par le

gestionnaire vers un agent pour recueillir ou définir des variables d’administration supportées par

21

ce dernier. Les informations d’administration disponibles via SNMP et Telnet sont généralement

identiques. Les agents SNMP peuvent avertir le gestionnaire au moyen d’interceptions, pouvant

contenir n’importe quelle quantité d’informations d’administration, afin de mieux qualifier leur

objectif.

1.6.2.3 RMON

Fondées sur la technologie SNMP, les fonctions de suivi de réseaux à distance sont assurées par

un ensemble de données RMON dédiées et un moteur de suivi situé sur un équipement. La

communication est mise en œuvre via SNMP. RMON 1 opère au niveau des couches ISO 1 et 2,

tandis que RMON 2 opère au niveau de la couche ISO 4 et des couches supérieures.

1.6.2.4 Syslog

Le protocole Syslog est utilisé par les équipements Cisco pour émettre des notifications non

sollicitées vers une station d’administration. Bien que semblable aux interceptions SNMP, il sert

uniquement à la notification d’événements. L’objet CISCO-SYSLOG-MIB est implémenté sur les

équipements Cisco comme solution alternative à l’émission de messages Syslog pour autoriser

n’importe quel gestionnaire SNMP à recevoir tous les événements via SNMP.

1.7 Conclusion

La conception des réseaux informatiques, surtout à grande distance s’avère une très longue

recherche pour les chercheurs. La complexité des trafics étudiés, des échelles de temps sur

lesquelles on effectue l’étude, et des modes d’allocation, rend la tâche pénible. Pour que le réseau

soit fiable et capable d’évoluer, les concepteurs doivent garder à l’esprit que chacun des

principaux composants précités possède ses exigences propres en matière de conception.

La plus grande conception s’effectue dans les réseaux étendus que l’on va cerner avec la

technologie MPLS dans le chapitre suivant.

22

CHAPITRE 2

INTRODUCTION A LA TECHNOLOGIE MPLS

2.1 Introduction

De nos jours, les concepteurs de réseaux se tournent vers la technologie WAN pour répondre à de

nouveaux besoins tels que la nécessité croissante des utilisateurs de se connecter à distance vers

leur réseau d’entreprise, la croissance rapide des intranets d’entreprise, et l’utilisation accrue des

serveurs d’entreprise. Pour combler ces innombrables besoins, nous proposons dans ce chapitre, la

technologie MPLS. Nous allons présenter ses rôles dans le routage, la commutation, et le passage

des paquets à travers les réseaux de nouvelle génération pour permettre la rencontre entre les

besoins de service et les utilisateurs du réseau.

2.2 Présentation générale de MPLS

2.2.1 Historique

Avec la croissance continue de la taille des réseaux et l'explosion des tailles des tables de routage,

une méthode plus efficace pour l'acheminement des paquets est nécessaire à trouver

préalablement. C'est dans cette méthode que s'insère la technologie MPLS. En effet, l'objectif de

MPLS est de combiner en une seule entité l'efficacité des protocoles de routage et la rapidité de

commutation de niveau 2, en se basant sur une technique de commutation de paquets en mode

connecté dénommée commutation de « labels ». Cette ingénieuse idée du MPLS naît en 1996 au

sein d'un groupe d'ingénieurs d'Ipsilon Network. Par la suite, plusieurs constructeurs se lanceront

sur les traces du MPLS en développant des protocoles propriétaires basés sur le même principe. Il

s'agit de : [11] [12] [13]

- ARIS de la maison IBM ;

- IP Switching d'Ipsilon Network et Nokia ;

- Cell switching router (Toshiba 94) ;

- et puis le Tag Switching de Cisco Systems qui par la suite sera renommée en Label Switching

pour standardisation par l'IETF en tant que MPLS à proprement parler.

Grâce à ces mécanismes de commutation de labels avancés, ainsi que par sa simplicité de mise en

place sur des réseaux déjà existants, le MPLS est devenu une technologie phare de demain alliant

souplesse, évolutivité et performance pour un coût réduit. Il est conçu pour être étendu à différents

23

types de protocoles et n’est pas restreint à une couche spécifique. De plus, puisque cette nouvelle

technologie permet d'implémenter facilement des technologies comme la QoS, et les VPN, la

majorité des fournisseurs d'accès à Internet ont décidé de faire évoluer progressivement l'ensemble

de leurs réseaux vers des réseaux MPLS.

Le schéma suivant montre l’architecture générale d’un réseau MPLS avec ses différents routeurs

suivant leur emplacement dans le réseau.

Figure 2.01 : Topologie d’un réseau MPLS

2.2.2 Eléments de domaine MPLS

2.2.2.1 Les routeurs P ou LSR (Label Switch Router)

C’est le routeur dans le cœur de réseau de l'opérateur qui effectue la commutation sur les labels et

qui participe à la mise en place du chemin par lequel les paquets sont acheminés. Les routeurs P

réalisent donc du « MPLS Switching » et n'attachent pas d'étiquettes de VPNs aux paquets routés.

Les labels de VPN sont utilisés pour diriger les paquets vers le bon routeur de sortie. Lorsque le

routeur LSR reçoit un paquet labélisé, il le permute avec un autre de sortie et expédie le nouveau

paquet labélisé sur l'interface de sortie appropriée. Le routeur LSR, selon son emplacement dans le

réseau MPLS, peut jouer plusieurs rôles à savoir : exécuter la disposition du label (appelé

déplacement), marquer l'imposition (appelée poussée), et marquer la permutation en remplaçant le

label supérieur dans une pile de labels avec une nouvelle valeur sortante de label. [14] [15]

24

2.2.2.2 Les routeurs PE ou LER (Label Edge Router)

Il s’agit du routeur de périphérie de l'opérateur qui gère le trafic entrant dans le réseau MPLS en

affectant le label de VPN aux paquets entrants selon l'interface ou la sous-interface sur laquelle ils

sont reçus. Ainsi, il possède à la fois des interfaces IP traditionnelles et des interfaces connectées

au réseau MPLS. Ce routeur LER d'entrée, exécute les fonctions de l'imposition de label et de

l’expédition d'un paquet à destination du réseau MPLS. A la sortie du réseau MPLS, il exécute les

fonctions de déplacement de label et la transmission de paquet IP au destinataire.

2.2.2.3 Les routeurs CE

C’est le routeur de périphérie du réseau du client qui connecte le routeur PE sur le réseau. Elle

relie donc le réseau du client vers le réseau MPLS

2.2.2.4 Le LSP (Label Switch Path)

MPLS ajoute des labels sur les paquets ou cellules qui transitent sur un réseau MPLS afin de

permettre à chaque nœud qui le compose, de connaître la manière dont ils doivent traiter et

transmettre les données. Ces labels, appelés LSP, sont insérés après les en-têtes de la couche 2 et

juste avant les en-têtes de la couche 3 du modèle OSI. Ils ont une taille fixe de 32 bits et sont

structurés comme indiqué ci-dessous :

Figure 2.02 : Structure des LSP

Dans cette structure, le champ "Label" définit le label sous la forme d'une valeur, et le champ

"CoS" (Class Of Service) correspond à une valeur permettant d'influer sur l'ordre de traitement des

paquets mis en queue. Le champ "Stack" ou pile quant à lui est une valeur permettant d'établir une

hiérarchie dans la pile de labels, et le champ "TTL" (Time To Live) fournit les mêmes

fonctionnalités que le TTL IP conventionnel. L'utilisation de ces LSP permet d'accélérer

grandement la commutation dans un réseau IP à haut débit.

Il existe deux modes d'activation des LSP :

25

- Control-driven LSP setup:

La mise en place d'un LSP est dirigée par un protocole (OSPF, RSVP-TE, etc.) ou un fichier de

configuration. A l'arrivée des paquets, les différents chemins sont prêts et il suffit de mapper le

traffic par-dessus.

- Data-driven LSP setup:

L'établissement du LSP n'est effectué qu'au moment de l'arrivée des premiers paquets. [12]

2.2.3 Fonctionnement

Quand un paquet est envoyé sur un réseau MPLS, le nœud d'entrée dit « ingress node » ou

« LER » (routeur d'entrée du réseau MPLS) traite le paquet et consulte sa table de commutation

pour lui attribuer un label en fonction de la « FEC ». Ainsi tous les paquets ayant une même FEC

empruntent le même chemin, LSR et LER de sortie, et bénéficient du même traitement. Une fois

le label attribué, le routeur d'entrée va transmettre le paquet et son label au nœud suivant dit

« LSR » (Label Switch Routeur) qui est le routeur interne du réseau MPLS. C'est à partir de

l’adresse IP de l’« egress node » (routeur de sortie du réseau MPLS), que le protocole IP va

déterminer : [15] [16]

· La FEC

· Le label

· Le port de sortie pour aboutir au destinataire.

Figure 2.03 : Principe de fonctionnement du LER d'entrée ou Ingress Node

26

Dès qu'un paquet est envoyé à un « LSR », le protocole de routage va déterminer dans la table

« LIB » (Label Base Information), le prochain saut vers « le LSR » suivant, et le label à appliquer

au paquet pour qu'il arrive à destination.

Le label est mis à jour via l'en-tête MPLS c’est à dire un changement de label, et la mise à jour du

champ TTL avant d'être envoyé au nœud suivant.

Figure 2.04 : Principe de fonctionnement du LSR

Quand le paquet arrive à l’« Egress node » ce routeur a pour rôle de supprimer le label MPLS et

de le transmettre sur la couche réseau.

Figure 2.05 : Principe de fonctionnement du LER de sortie ou Egress Node

2.2.4 Modèles de déploiement MPLS

Les conceptions d'agrégation WAN incluent deux ou plusieurs routeurs de bordure. Lorsque ces

routeurs sont mentionnés dans le contexte de la connexion à un transporteur ou à un fournisseur de

27

services, ils sont généralement connus comme étant un routeur de bordure client (CE). Tous les

routeurs de bordure se connectent dans une couche de distribution.

Les options de transport WAN incluent le VPN MPLS utilisé en tant que transport principal ou

secondaire. Chaque transport se connecte à un routeur CE dédié. Une méthode similaire de

connexion et de configuration est utilisée pour les deux.

Nous avons plusieurs modèles de conception d'agrégation WAN qui sont acheminés de manière

statique ou dynamique avec des transporteurs MPLS simples ou doubles. Les principales

différences entre les différents modèles sont l'utilisation de protocoles de routage et l'échelle

globale de l'architecture. Pour chaque modèle de conception, nous pouvons sélectionner plusieurs

routeurs plates-formes avec différents niveaux de performances et de capacités de résilience.

Chacun des modèles de conception est représenté avec des connexions LAN dans une couche

distribution effondrée ou une couche de distribution WAN dédiée. Il n'y a pas de différences

fonctionnelles entre ces deux méthodes de perspective d'agrégation WAN.

Dans toutes les conceptions d'agrégation WAN, des tâches telles que la récapitulation des routes

IP sont effectuées à la couche distribution. Il existe d'autres périphériques prenant en charge les

services de périphérie WAN, et ces périphériques doivent également se connecter dans la couche

de distribution.

Chaque opérateur MPLS se termine par un routeur WAN dédié avec pour objectif principal

d'éliminer tous les points d’échec. Un routeur concentrateur VPN unique est utilisé sur les deux

conceptions. [1]

2.2.4.1 Modèle de conception statique MPLS

Le modèle de conception statique MPLS (Figure 2.06):

• Prend en charge jusqu'à 50 sites distants.

• Possède un seul opérateur VPN MPLS.

• Utilise le routage statique avec le transporteur VPN MPLS.

2.2.4.2 Modèle de conception dynamique MPLS

Le modèle de conception MPLS Dynamic (Figure 2.06):

• Prend en charge jusqu'à 100 sites distants.

• Possède un seul opérateur VPN MPLS.

• Utilise le routage BGP avec le transporteur VPN MPLS. [17]

28

Figure 2.06 : Modèles de conception MPLS Static et MPLS Dynamic

2.2.4.3 Modèle de conception MPLS double

Le modèle de conception Dual MPLS (Figure 2.07):

• Prend en charge jusqu'à 500 sites distants.

• Possède plusieurs opérateurs VPN MPLS.

• Utilise le routage BGP avec le transporteur VPN MPLS.

• Est généralement utilisé avec une couche de distribution WAN dédiée

Figure 2.07 : Modèle de conception MPLS double

2.3 Architecture MPLS

Dans un point de vue logique, la technologie MPLS se distingue en deux parties bien distinctes.

Tout d'abord, le plan de contrôle qui va être chargé de gérer et de maintenir les labels contenus

29

dans chaque routeur du réseau MPLS. La seconde partie est le plan de données. Celui-ci contient

le mécanisme de transmission des données et est complètement indépendant de la partie

signalisation. [11] [18]

L'architecture logique MPLS est définie comme suit :

Figure 2.08 : Présentation de l’architecture MPLS

2.3.1 Le plan de contrôle

Il se charge de l'échange des informations de routage et des labels entre les nœuds adjacents. Une

très large panoplie de protocoles de routage IGP peut être utilisée au niveau de ce plan, à savoir

OSPF, IGRP, EIGRP, IS-IS, RIP et BGP.

2.3.1.1 La méthode « Implicit Routing »

La distribution implicite de labels aux LSR est réalisée grâce au protocole Label Distribution

Protocol. LDP définit une suite de procédures et de messages utilisés par les LSR pour s’informer

mutuellement du « mapping » entre les labels et le flux. Les labels sont spécifiés selon le chemin

« Hop By Hop » définit par l’IGP dans le réseau. Chaque nœud doit donc mettre en œuvre un

protocole de routage de niveau 3, et les décisions de routage sont prises indépendamment les unes

des autres.

LDP est bi-directionnel et permet la découverte dynamique des nœuds adjacents grâce à des

messages Hello échangés par UDP. Une fois que les 2 nœuds se sont découverts, ils établissent

une session TCP qui agit comme un mécanisme de transport fiable des messages d’établissement

de session TCP, des messages d’annonce de labels et des messages de notification.

30

2.3.1.2 La méthode « Explicit Routing »

Le routage explicite laisse le premier nœud MPLS périphérique décider de la liste des nœuds que

le paquet devra suivre pour arriver à l'adresse de destination. Cependant, l'utilisation du routage

explicite n'assure en aucun cas la sélection d'un chemin optimal pour le paquet en question. De

plus ce chemin est unidirectionnel, il va donc falloir que le nœud MPLS périphérique de

destination choisisse un nouveau LSP pour le chemin de retour

2.3.1.3 Protocole de distribution des labels

Plusieurs protocoles permettent à un routeur MPLS de découvrir ses voisins et d’échanger des

liens avec eux : [16]

- TDP ou Tag Distribution Protocol crée par Cisco à l’époque du « Tag Switching »,

- LDP ou Label Distribution Protocol, protocole normalisé ISO fonctionnel avec TDP,

- RSVP ou ReSerVation Protocol, à l’origine utilisé comme protocole de signalisation dédié

à la QoS a été étendu à la distribution de label et est particulièrement adapté pour le Traffic

Engineering,

- CR-LDP : une extension à LDP permettant le Traffic Engineering.

- MPBGP ou Multi-Protocol Border Gateway Protocol est utilisé pour l’échange des routes

VPN

Deux routeurs MPLS s’échangeant des liens, sont appelés « Label Distribution Peers ». Une fois

le « peering » effectué, on parle de « Label Distribution Adjency ».

2.3.1.4 Différents modes de distribution de labels

Il existe deux méthodes pour échanger les liens MPLS :

- Allocation « Downstream on demand » :

Le label sera alloué par le routeur de « downstream » uniquement sur demande spécifique d’un

lien pour une FEC par le routeur d’« upstream » et pour une interface spécifique.

- Allocation « Unsolicited downstream » :

Le label sera distribué par le routeur de downstream à tous ses upstreams sur toutes les interfaces.

31

Figure 2.09 : Mode de distribution de label

L’amont ou upstream et l’aval ou downstream sont définis par rapport au flux de données.

2.3.2 Le plan de données

Il transmet les paquets en utilisant les labels. Il se base sur un mécanisme simple indépendant des

types de protocoles de routage et de distribution de labels mis en œuvre et utilise certaine table

comme la table LFIB, FIB ou LIB, remplie par le protocole de distribution de labels. [16]

2.3.2.1 Table FIB

C'est une table de commutation IP complète qui contient les mêmes informations que la table de

routage et qui permet au routeur de prendre ses décisions d'acheminement. La génération d'entrées

est déclenchée par la production de changements au niveau de la table de routage. Si pour une

destination donnée, il n'existe pas d'entrée correspondante, alors le paquet est supprimé.

2.3.2.2 Table LIB

C'est la première table construite au niveau d'un LSR, elle contient pour chaque sous-réseau IP la

liste des labels reçus par les voisins. Il contient donc l’adresse réseau de destination, le label et le

LSR qui est ici le nœud qui a généré le label.

2.3.2.3 Table LFIB

Elle est construite à partir de la table LIB et la table FIB ; et est utilisée pour la commutation de

labels.

Pour chaque réseau IP appris par l'IGP, un prochain saut (next-hop) pour atteindre ce réseau est

déterminé. Le LSR choisit ainsi l'entrée de la table LIB qui correspond au réseau IP et sélectionne

comme label de sortie, le label annoncé par le voisin déterminé par l'IGP.

32

2.3.2.4 Construction des structures de données

La construction des structures de données effectuées par chaque routeur LSR doit suivre les étapes

suivantes :

- Elaboration des tables de routages par les protocoles de routage ;

- Allocation indépendamment d'un label à chaque destination dans sa table de routage par le

LSR ;

- Enregistrement dans la LIB des labels alloués ayant une signification locale ;

- Enregistrement dans la table « LFIB » avec l'action à effectuer de ces labels et leur

prochain saut ;

- Envoi par le LSR des informations sur sa « LIB » à ces voisins ;

- Enregistrement par chaque LSR des informations reçues dans sa « LIB » ;

- Enregistrement des informations reçues des prochains sauts dans la « FIB ».

Figure 2.10 : Utilisation des structures de données pour l'acheminement

2.4 La commutation de labels

2.4.1 Définition

Le label est un identifiant de petite taille à 4 octets (32 bits). Il est utilisé pour faire référence à la

FEC à laquelle est assigné un paquet particulier. Ce sont ces labels que les routeurs permutent tout

33

au long du réseau jusqu’à destination, sans avoir besoin de consulter l’en-tête IP et leur table de

routage. Il peut être associé à un chemin, une destination, une source, une application, un critère

de qualité de service, ou une combinaison de ces différents éléments. [11]

Figure 2.11 : Structure de champ MPLS

La signification des différents champs est donnée comme suit :

Valeur du label : 20 bits

EXP ou Classe du service du paquet (CSP) : 3 bits

Le bit S est un indicateur de fin de pile. Il est à 1 lorsque le label se trouve au sommet de la

pile, à 0 sinon : 1 bit

Durée de vie du paquet TTL : 8 bits

2.4.2 Pile de labels (Label Stack)

MPLS utilise généralement un seul label dans un paquet mais certain paquet peut en avoir

plusieurs. Ce concept s’appelle empilement de label. Cet empilement permet en particulier

d’associer plusieurs contrats de service à un flux au cours de son acheminement au réseau MPLS.

Par exemples, les applications suivantes peuvent ajouter d'autres labels :

- MPLS Virtual Private Network (MPLS VPN) : le premier label pointe sur le routeur

périphérique de sortie et le second identifie le VPN ;

- MPLS Traffic Engineering (MPLS-TE) : le premier label pointe sur la fin du tunnel TE et la

deuxième fait référence à la destination.

Cependant, les labels de numéro 0 à 15 sont réservés et non utilisables par les routeurs Cisco. Par

exemple, on a :

–  0 : IPv4 Explicit Null (fond de pile) => oblige à POP et traitement IPv4

–  1 : Router Alert Label (pas au fond) => examen spécial

–  2 : IPv6 Explicit Null

–  3 : Implicit Null (pas dans la pile) distribué pour forcer POP

34

2.4.3 Fonctionnement de label

Un LSR peut effectuer l'un des trois scénarios d'acheminement de paquet suivant :

· Le paquet arrivant à l'entrée du domaine MPLS (I-LSR) ne contient que les adresses IP,

l'acheminement est basé sur la table FIB en ajoutant « Push » un Label ;

· Le paquet arrivant à la sortie du domaine MPLS (E-LSR) ne contient que des adresses IP,

l'acheminement est basé sur la FIB sans l'utilisation d'un label (routage IP) ;

· Le paquet arrivant contient un label, dans ce cas l'acheminement sera basé sur la table LFIB et le

label sera échangé (Swapping). [11]

Figure 2.12 : Etablissement connectivité par labélisation

2.4.4 Distribution des labels

Les labels sont distribués aux « LSR » via le protocole « LDP » (Label Distribution Protocol).

Il va définir des procédures et des méthodes de communications pour que les « LSR » puissent

s'informer des tables de commutation (correspondance des labels et des flux) de leurs voisins. Les

labels sont de type « hop by hop », c'est-à-dire qu'ils n'effectuent le chemin que d'un saut avant

d'être mis à jour. Cette méthode est utilisée par le protocole de routage IGP (Interior Gateway

Protocol). La découverte des « LSR » voisins se fait à l'aide de la couche 3 du modèle OSI, via le

protocole de routage UDP. Dès que deux nœuds se sont découverts, ils établissent une connexion

TCP pour le transport fiable des données. Les messages échangés entre les deux routeurs

« LSR » lors d'une session « LDP » sont de types : [19]

35

- Messages de découverte : recherche et maintien de la connexion avec un « LSR » sur le

réseau.

- Messages de session : établissement, maintien et cessation de sessions LDP.

- Messages d'avertissement : création, modification et suppression des correspondances

entre FEC et labels.

- Messages de notification : messages d'erreurs

UDP - HELLO

UDP - HELLO

TCP - OPEN

INITIALISATION

LABEL

REQUEST

LABEL

MAPPING

TEMPS

Figure 2.13 : Etablissement d’une connexion LDP

2.5 Les applications de la technologie MPLS

2.5.1 L’AToM ou Any Transport over MPLS

La nature multi-protocolaire de MPLS permet de transporter des charges utiles autres que des

paquets IP. Virtuellement, n’importe quel type de paquets, cellules, trames peut être directement

labellisé par un PE en entrée. AToM est donc une application qui facilite le transport du trafic de

couche 2, tel que Frame Relay, Ethernet, PPP et ATM, à travers un nuage MPLS.

2.5.2 Le support des réseaux privés virtuels : MPLS VPN

Les VPNs basés sur MPLS sont créés à la couche 3 et sont basés sur le modèle "peer to peer". Ce

support permet à l'opérateur et au client d'échanger des informations de routage de couche 3.

L'opérateur passe les informations entre les sites des clients sans que les clients interviennent. [14]

[20]

MPLS fournit une alternative intéressante aux solutions VPNs existantes. En effet, à l'heure

actuelle, les solutions VPN IPSEC, relativement complexes à mettre en œuvre s'opposent aux

36

solutions SSL plus flexibles. L'architecture mise en place par MPLS est propice à la création de

réseaux privés virtuels. Cette perspective est notamment très sollicitée par les opérateurs réseaux

fournissant plusieurs clients, car elle permet de partager des équipements physiques.

Cette utilisation de MPLS dans un contexte de VPNs fait appel à d'autres termes pour nommer les

équipements du réseau MPLS. Les LER s'appellent alors Provider Edge, c'est cet équipement qui

va gérer les VPNs des différents clients. Les LSR se transforment alors en Provider Device ; ils

conservent le même rôle et se contentent donc de commuter les paquets sur l'interface adéquate.

Enfin, il y a les Customer Edge qui désignent le routeur installé côté client. Ces routeurs n'ont

aucune connaissance VPN, et sont reliés classiquement au backbone IP grâce à une liaison louée,

une connexion PPP, etc ...

Le PE possède plusieurs interfaces reliées aux CE. Il va alors maintenir ce qu'on appelle des VPN

Routing Forward. Ces entités sont des types de routeurs virtuels contenus dans le PE. C'est une

table de routage qui va contenir les routes vers les réseaux IP faisant partie d'un VPN client donné.

Il faut que chaque PE communique avec les autres afin de diffuser les routeurs à l'intérieur d'un

même VPN. Pour cela un protocole de diffusion des routes dynamiques est appliqué comme

Multi-Protocol iBGP. D'autre part, il faut aussi que le routeur du client communique ses routes à

son Provider Edge. Il utilise alors un protocole de routage classique comme OSPF ou RIP. Voici

un schéma général d'une architecture VPN :

Figure 2.14 : Architecture d’un MPLS VPN

Dans cette utilisation de MPLS, deux labels seront utilisés. Il y a un label destiné à identifier le

VRF du VPN concerné et un autre pour les opérations de commutation dans le cœur du réseau.

Lorsque le routeur de sortie consulte les labels, il sait donc quelle VRF consulter pour la route que

l'on cherche à joindre

37

2.5.3 Le support de la qualité de service : MPLS QoS

C’est mettre des priorités et/ou des restrictions pour permettre de pratiquer une bonne gestion des

politiques établies.

IntServ et DiffServ sont deux méthodes permettant d'établir la QoS de manière satisfaisante sur les

réseaux MPLS [16] [19]

2.5.3.1 Services intégrés (Integrated Services– IntServ)

Il est basé sur l'idée que le développement d'un ensemble d'extensions suffit à fournir le support

adapté à chaque application. Le modèle repose sur deux principes fondamentaux :

• le réseau doit être contrôlé et soumis aux mécanismes de contrôle d'admission ;

• des mécanismes de réservation de ressources sont nécessaires pour fournir des services

différenciés.

On distingue deux types de services :

Les services tolérant une variation du délai de transit pour lesquels la "classe de service à

contrôle de charge" est définie,

Les services ne tolérant pas de variation pour lesquels la "classe de service garanti" est

définie.

Ainsi, quatre fonctions de contrôle du trafic pour les routeurs sont définies :

• Packet Scheduler qui détermine si le flux peut être admis dans le réseau ;

• Packet Classifier pour classer les paquets entrants dans les classes spécifiques ;

• Admission control qui détermine si la QoS demandée par un flux peut lui être attribuée sans

affecter les flux existants ;

• Ressource réservation est un protocole nécessaire pour l'établissement des ressources le long du

chemin de bout en bout.

Les ressources nécessaires sont donc réservées à chaque bond entre l'émetteur et le récepteur. La

signalisation se fait de bout en bout pour maintenir l'état de chaque flux.

2.5.3.2 Services différenciés (Differentiated Services– DiffServ) :

Le principe du modèle à différenciation de services est de séparer le trafic en quelques classes de

trafic identifiées par une valeur codée dans l'en-tête de chaque paquet IP. Cette opération de

38

classification est opérée à l'entrée du réseau (ou de la zone où la différenciation de service est mise

en œuvre) par les nœuds de bordure (boundary nodes) qui gèrent des états par flot. Les nœuds

intérieurs (interior nodes) ne gèrent que des états par classe et traitent les paquets en fonction de la

classe codée dans l'en-tête en les traitant en accord avec le comportement local (per hop behavior

ou PHB) correspondant. Grace à ce PHB, on distingue deux types de services :

a) Expedited forwarding (traitement accéléré)

Il a pour but de fournir une garantie de bande passante en configurant de manière appropriée le

débit alloué dans les nœuds et en conditionnant le trafic à l'entrée du domaine de façon que le

débit d'arrivée à chaque nœud soit inférieur au débit alloué.

b) Assured forwarding

Pour se faire, chaque nœud doit mettre en œuvre des mécanismes visant à réduire la congestion de

long terme dans la classe, accepter les rafales (congestion à court terme), et traiter identiquement

les micro-flots ayant des débits moyens identiques. [16]

2.5.4 L’ingénierie de trafic : MPLS TE

Le Trafic Engineering permet d'utiliser les ressources réseaux de manière optimisée et également

d'éviter les congestions de trafic. Il autorise donc la répartition de charge sur l’ensemble du réseau

en établissant des chemins explicitement routés et en contrôlant la répartition du trafic sur

différentes liaisons, afin d’éviter la sous-utilisation de certaines parties du réseau. Le routage

classique, via les protocoles traditionnels tel que RIP, permettait de déterminer le plus court

chemin pour aller de la source à la destination. Mais le problème réside dans l'état du lien, le plus

court chemin ne signifie pas pour autant le plus rapide. Pour remédier à ce problème

d'optimisation du trafic, le MPLS a adopté le mécanisme de « Trafic Engineering » qui permet de

définir le chemin de la source à la destination, lequel va emprunter le flux de données.

Contrairement à « LDP » qui cherche un « LSR » adjacent pour communiquer, le chemin est

déterminé sur l’« Ingress node », grâce à l'analyse des labels des paquets. Cette méthode va

déterminer le chemin « LSP » en fonction de l'état du réseau, sa topologie, la bande passante, les

protocoles utilisés. [11] [16]

39

2.6 Choix du réseau de transport utilise : VPNs MPLS l3

Notre choix s’est tourné vers les technologies VPNs MPLS car ils sont plus faciles à gérer et à

étendre. Lorsqu’ un nouveau site est ajouté à un VPN MPLS, seul le routeur d'entrée de l'opérateur

qui fournit les services au site client a besoin d'être mis à jour.

2.6.1 Comparaison des couches de liaison

2.6.1.1 MPLS Layer-2 VPN

On reconnait un MPLS de niveau 2 lorsque les caractéristiques suivantes sont présentes : [11] [17]

a) VPN de couche 2 point à point :

Le CE est connecté au PE via une connexion point à point (FR, ATM).

Les homologues CE se connectent entre eux (routage IP), par une connexion point à point VPN

niveau 2. Il n’y a pas d'implication du SP dans le routage CE-CE.

b) VPN multipoints de couche 2 :

Le CE est connecté à PE via une connexion Ethernet (VLAN)

Les entités homologues se connectent entre elles par le biais d'une connexion VPN de couche 2

totalement ou partiellement maillée.

Il n’y a pas d'implication du SP dans le routage CE-CE.

On peut représenter le modèle d’architecture d’un MPLS VPN de niveau 2 comme suit :

Figure 2.15 : Aperçu d’un MPLS L2 VPN

40

2.6.1.2 MPLS Layer-3 VPN

Contrairement à celle de la couche 2, le routage pour les clients dans les VPN L3 est fait par le

fournisseur de service qui maintient un VRF par client. On l’identifie grâce aux caractéristiques

suivantes :

Le CE est connecté à PE via une connexion IP (sur tout type de couche 2) par routage statique ou

par des protocoles de routage comme eBGP, OSPF, IS-IS. Le routage CE a donc une relation de

« peering » avec le routeur PE.

Les routeurs PE font partie du routage client. Ils gèrent des tables de routage spécifiques aux

clients et échangent des informations de routage spécifiques aux clients.

Voici ci-dessous le modèle d’architecture d’un MPLS VPN de niveau 3 : [21]

Figure 2.16 : Aperçu d’un MPLS L3 VPN

2.6.2 Les fonctionnalités offertes

Les L3VPN MPLS proposent différentes manières d’interconnecter deux sites VPN alors qu’ils se

trouvent géographiquement dans des systèmes autonomes (AS) distincts. Ces systèmes autonomes

peuvent être des réseaux de fournisseurs différents ou des réseaux appartenant au même

fournisseur, mais transportant des services hétérogènes. [14] [20]

Avant cela, un service VPN MPLS ne pouvait être contenu que dans un seul AS. L’inter AS VPN

permet alors à des multiples AS de former un réseau continu et sans couture entre des sites VPN et

ainsi de pallier des manques de couvertures géographiques pour connecter ces sites clients.

Aujourd’hui, en L3VPN MPLS, les routeurs PE échangent les routes VPN par le protocole MP-

iBGP, soit directement entre eux, soit par l’intermédiaire d’un route-reflector (RR) pour des

questions de passage à l’échelle. Ce protocole ne peut pas être établi entre deux AS, il faudra donc

utiliser d’autres techniques tout en respectant les critères de choix induits par la connexion d’AS et

41

les contraintes de service comme la sécurité, la qualité de service, la convergence, la disponibilité

ou bien le passage à l’échelle.

Il offre un large choix de modèle pour effectuer de l’inter AS VPN, c’est-à-dire pour

interconnecter des VPN d’AS distincts. Ces modèles, appelés options, sont au nombre de 4 :

- L’option A : par des connexions directes entre des VRF déclarés sur les routeurs de

bordure de chaque AS. Cette option est souvent appelée « VRF à VRF » ;

- L’option B : par une redistribution des routes VPN qui sera effectuée via MP-eBGP au

niveau des routeurs de bordure d’un AS vers l’AS voisin ;

- L’option C : par une session MP-eBGP multi-hop qui est chargée de redistribuer des routes

VPN tandis que la continuité MPLS de bout en bout est effectuée entre les ASBR par des

protocoles d’échange de labels ;

- L’option D : c’est une solution hybride qui tente de réunir les avantages des options A et

B. [17] [22]

2.7 Conclusion

Dans ce chapitre, nous avons passé en revue les généralités sur la technologie MPLS. Nous

sommes partis de son historique en passant par ses concepts de base jusqu'aux notions de label,

aux concepts d'ingénierie MPLS et à ses applications. Il nous a montré que le but de MPLS est de

donner aux routeurs IP une plus grande puissance de commutation, en basant la décision de

routage sur une information de label (ou tag) inséré dans la couche 2.5 de OSI. Dans le chapitre

qui va suivre, nous irons plus loin que des généralités, en nous intéressant sur une nouvelle

technologie qui est le DMVPN ; ceci dans le but de le sécuriser lors de son déploiement.

42

CHAPITRE 3

LA TECHNOLOGIE DMVPN

3.1 Introduction

Les entreprises se tournent vers Internet pour résoudre des problèmes d’ordre économiques. Ils ont

également besoin de la connectivité sécurisée sur leurs différents sites à travers Internet. Dans ce

chapitre nous allons aborder le sujet le plus important dans notre conception qui est le DMVPN.

On l’utilise généralement lorsque nous avons besoin d'un tunneling IPsec évolutif pour connecter

notre réseau privé virtuel. En ce sens, on fournira une vue d'ensemble de la topologie puis des

caractéristiques de conception et enfin, on étudiera les fonctionnalités de cette solution logicielle

Cisco IOS pour la construction poussée IPsec des réseaux privés virtuels.

3.2 Présentation des DMVPN

3.2.1 Historique

Les fournisseurs de services arrivent dans un premier temps avec la solution d'IPSec, où deux sites

sont connectés sur Internet via un processus de tunnel crypté sécurisé. IPSec est excellent dans son

fonctionnement, malheureusement il ne peut pas être évolutif pour connecter plusieurs sites car il

n’offre qu’un moyen de connectivité sécurisé point à point sur Internet. En effet, ajouter des

nouveaux sites requière beaucoup de configuration. Cela présente non seulement un problème

pratique de maintenance c’est-à-dire qu’il faut intégrer une modification conséquente dans la

configuration d’un équipement en production, mais surtout d’échelle puisque la configuration du

site central peut devenir rapidement illisible à partir de quelques dizaines de sites distants. Ce type

de VPN ne supporte pas le routage dynamique ou le Multicast. Ces principales limites ont poussé

les fournisseurs de services et les OEM (Original Equipment Manufacturer) à conclure ensemble

une nouvelle manière de connectivité évolutive et sécurisée sur les différents sites via Internet et

cette technologie est appelée DMVPN (Dynamic Multipoint VPN). [23] [24]

3.2.2 Définition

Il s’agit d’un mécanisme qui permet d’établir des tunnels IPsec et GRE directement entre les

routeurs qui veulent dialoguer ensemble avec une simplicité et une scalabilité déconcertante et

surtout de façon totalement dynamique. Le DMVPN est en réalité un ensemble de technologies

(IPsec, mGRE et NHRP) qui, combinées, facilite le déploiement des réseaux privés virtuels IPsec.

43

C’est une solution fiable, sécurisée et évolutive, permettant une mise en place et une gestion

souple des tunnels IPsec. En général, il décrit un modèle de déploiement en étoile, dans lequel les

ressources d'entreprise principales sont situées dans un site central de grande taille, avec un certain

nombre de sites ou de succursales plus petits, connectés directement au site central via un VPN,

comme illustré ci-dessous. [25] [26]

INTERNET

AGENCES

AGENCES

SITE CENTRAL

TUNNEL « HUB AND SPOKE »

Figure 3.01 : Exemple de topologie DMVPN

3.3 Principes du DMVPN

3.3.1 Fonctionnement générale

Le mécanisme de DMVPN permet l’installation d’un tunnel Dynamic Multipoint VPN. Son

principe est de créer un tunnel GRE (Generic Routing Encapsulation) entre deux ou plusieurs

réseaux différents, comme si une passerelle existait entre ces réseaux. Un routeur sera configuré

hub et les autres routeurs seront configurés en spoke. Pour se faire, deux IGP sont utilisés : l’un

pour la connectivité IP Publique et monter les tunnels GRE, l’autre pour s’échanger des routes

privées une fois le tunnel monté. Chaque routeur a son interface publique et une interface privée

sur le même port. [23] [27] [28]

3.3.1.1 Stratégie de propagation de route

Lorsqu'une connexion de branche au réseau arrive, le routeur de branche est prêt à commencer à

transmettre des informations de protocole de routage, parce qu'il a une entrée NHRP statique au

routeur de tête de réseau. Comme le routeur de tête de réseau doit attendre que le cache de la

NHRP soit rempli par le routeur de branche, le routeur de tête de réseau ne peut pas envoyer

44

d'informations de protocole de routage, avant que la branche n'enregistre son adresse NBMA avec

le serveur de saut suivant.

3.3.1.2 Mode de protection du tunnel

La protection de tunnel spécifie que le cryptage IPsec est effectué après l'ajout des en-têtes GRE

au paquet de tunnel. Avec les tunnels GRE point à point, l'adresse IP de destination du tunnel est

utilisée comme adresse d'homologue IPsec. Tandis qu’avec les tunnels mGRE, plusieurs

homologues IPsec sont possibles ; les adresses de destination NBMA mappées NHRP

correspondantes, sont utilisées comme adresses homologues IPsec. La protection du tunnel doit

être configurée à la fois sur le routeur de tête de réseau et le routeur de branche. Si plus d'un tunnel

mGRE est configuré sur un routeur, le mot clé « shared » doit être configuré pour référencer la

même adresse de source de tunnel sur chaque interface de tunnel. Chaque interface de tunnel

mGRE nécessite toujours une clé de tunnel unique, un ID de réseau NHRP et une adresse de sous-

réseau IP. Ceci est courant sur un routeur de branche lorsqu'une topologie de nuage DMVPN

double est déployée.

3.3.2 Modèle de déploiement

Le DMVPN propose deux modèles de déploiement possibles : [23] [27] [29]

3.3.2.1 Le modèle Hub-and-spoke

Dans ce modèle, chaque spoke possède une interface GRE permettant de monter le tunnel vers le

HUB. Chaque Hub et Spoke échangent ensuite les informations de routage IGP au travers de ce

tunnel. Les Spokes (clients) s’enregistrent d’abord avec le Hub (serveur) en spécifiant

manuellement l’adresse du Hub dans le Tunnel GRE (tunnel destination…). Ensuite, ils envoient

cela par l’intermédiaire du NHRP Registration Request. Enfin, les Hub apprennent

dynamiquement les adresses VPN (Privées) et adresses NBMA (Publiques) de chaque spoke.

Ainsi, tout trafic entre les spokes passe par le HUB. Ce modèle ne prend pas en compte les

liaisons entre les spokes.

3.3.2.2 Le modèle Spoke-to-Spoke

Pour se faire, chaque spoke doit disposer d’une interface mGRE permettant aux tunnels

dynamiques de transiter vers les autres spokes. Il lui faut apprendre l’entrée de routage sur le

45

réseau de destination car le prochain saut doit être l'adresse IP du tunnel distant. Le spoke doit

aussi apprendre l'adresse NBMA de ce prochain saut. Dans ces conditions le hub peut préserver et

informer les réseaux privés du prochain saut comme annoncé par les spokes eux-mêmes. Ce

modèle offre une grande évolutivité de la configuration pour les périphériques.

3.3.3 Les différentes phases du DMVPN

Un DMVPN peut être déployé en 3 différentes phases qui ont chacune leurs effets sur le

fonctionnement de réseau existant. On peut citer que : [25] [26] [30]

a) Le comportement du trafic entre les Spokes est différent pour chacune des phases.

b) Les designs de routage supportés par les différentes phases ne sont pas les mêmes.

c) L’évolutivité du réseau est impactée par ces différentes phases.

3.3.3.1 Le DMVPN Phase 1

A cette phase, les Spokes peuvent seulement joindre le Hub, d’où les relations avec les autres

Spokes ne se fait que par l’intermédiaire du Hub. La configuration du Hub est ici simplifiée, car il

n’a pas besoin de créer une table de registre NHRP pour chacun des nouveaux Spokes. Cette

phase n’utilise pas les tunnels Spoke-to-spokes. Les Spokes sont configurés pour du GRE point à

point vers le Hub et enregistrent leurs IP logiques (Tunnel) avec l’adresse NBMA sur le NHS ou

Next-Hop Server (Hub), afin qu’il sache les joindre dynamiquement. Le protocole de routage

envoie un minimum d’informations depuis le Hub vers les Spokes (route par défaut). Les Spokes

annoncent leurs réseaux (directement connectés) au Hub.

Figure 3.02 : DMVPN Phase 1

46

Le Hub a donc simplement besoin d’envoyer une route par défaut aux Spokes, étant donné que le

trafic doit forcément remonter au Hub.

3.3.3.2 Le DMVPN Phase 2

Cette phase permet d’avoir des tunnels dynamiques Spoke-to-spoke. Tous les routeurs sont

configurés avec des tunnels mGRE, et les Spokes ont le hub NHS configuré en statique. Quand un

spoke à besoin d’envoyer un paquet via un « Next-Hop » sur le nuage mGRE, il envoie un paquet

« NHRP Resolution Request » au Hub. Le Hub lui répond avec un paquet « NHRP Resolution

Reply » depuis son cache et le Spoke peut alors connaitre l’adresse NBMA d’un autre Spoke et le

contacter directement.

Figure 3.03 : DMVPN Phase 2

D’après la figure ci-dessus, les Spokes utilisent le mode d’encapsulation mGRE pour les Tunnels,

et le Hub ajoute le « Next-Hop » d’origine dans les updates des IGP utilisé. L’encapsulation

mGRE des Spokes déclenche la résolution NHRP.

3.3.3.3 Le DMVPN Phase 3

Dans les phases précédentes, les Spokes ne reçoivent que la route par défaut des routeurs

concentrateurs, et non les informations de routage détaillées nécessaires pour établir des tunnels en

étoile. Le DMVPN Phase 3 résout ce problème en introduisant des redirections de hub au spoke

dynamiques et des raccourcis de type « spoke-to-spoke ». En effet, on ajoute une redirection

NHRP qui permet au plan de données des conversations « Spoke-to-spoke » de joindre

directement les Spokes sans passer par le Hub. Le NRHP Phase 3 utilise les spokes qui répondent

47

maintenant aux NHRP Resolution Requests. Ce qui fait que le Hub n’est plus le seul à détenir les

informations NHRP.

Figure 3.04 : DMVPN Phase 3

Voir ci-dessous un tableau récapitulatif des spécificités de chaque phase du DMVPN :

DMVPN Phase 1 DMVPN Phase 2 DMVPN Phase 3

- Fonctionnalité « Hub and

Spoke »

- GRE point-à-point sur les

Spokes et mGRE sur le Hub

- configuration simplifié sur

le Hub

- Adressage dynamique

- Supporte le protocole de

routage et la multidiffusion

- Les spokes n'ont pas besoin

d'une table de routage

complète

- Fonctionnalité « Spoke to

Spoke »

- Interface mGRE sur les

Spokes

- Réduction de la charge sur

les Hub grâce au transfert de

trafic direct « Spoke to

spoke »

- Les Hub doivent

s'interconnecter en chaîne

- Un spoke doit avoir une

table de routage complet

- Limitation des protocoles de

routage

- Tunnel « spoke to spoke »

déclenché par le spoke lui-

même

- Possibilité de conception

réseau à très grande échelle

- Rapport Spoke-Hub plus

evolué

- Pas d’interconnections en

chaîne

- Les spokes n'ont pas besoin

d'une table de routage

complète

- Tunnel « spoke to spoke »

déclenché par le Hub

- Pas de limitation du

protocole de routage

- Route NHRP enregistrée

dans le RIB

Tableau 3.01: Comparaison des phases DMVPN

3.4 Types d’architecture DMVPN

Le Cisco DMVPN est basé sur une architecture centralisée et prend en compte divers types

d’utilisateurs dont les travailleurs mobiles, les télétravailleurs et même les utilisateurs d’extranet.

48

C’est pourquoi, il offre un large choix de modèle de déploiement selon le besoin de chaque client.

[13] [25] [29]

3.4.1 Réseau composé d’un seul routeur Hub

C’est le modèle de déploiement DMVPN le plus simple. Il se compose du Hub principal situé au

siège et des Spokes distants répartis entre les bureaux distants comme le montre la figure

suivante :

DMVPN

INTERNET

HUB

SPOKE TO SPOKE TUNNEL

HUB AND SPOKE TUNNEL

SPOKE TO SPOKE TUNNEL

SPOKE

SPOKE

SPOKE

mGRE

Figure 3.05 : Architecture de DMVPN avec un seul Hub

Cette architecture se compose des tunnels GRE-IPSec entre le Hub et les spokes. Le concentrateur

central gère la base de données NHRP et connaît l'adresse IP publique de chaque branche. Ce

modèle DMVPN est une approche habituelle pour un réseau DMVPN à budget limité avec

quelques succursales distantes.

Cependant, le CPU du Hub est aussi le facteur limitant pour l'évolutivité de ce déploiement

puisqu'il entreprend les trois plans de contrôle (protection NHRP, mGRE et IPSec). En outre, le

routeur Hub et son lien avec Internet constituent le point de défaillance de cette conception. Si l'un

des deux, Hub ou lien Internet, échoue, il peut paralyser l'ensemble du réseau VPN.

3.4.2 Réseau composé de deux routeurs centraux

Ce déploiement DMVPN se compose de deux routeurs au siège. Le premier routeur, R1, est

chargé de terminer les connexions IPSec à toutes les branches, déchargeant ainsi le processus de

cryptage et de décryptage du Hub principal. Le routeur Hub effectue la terminaison du tunnel

mGRE, le serveur NHRP et le traitement de toutes les mises à jour du protocole de routage.

49

HUB

DMVPN

INTERNET

R1

HUB AND SPOKE TUNNEL

SPOKE

SPOKE

SPOKE

mGRE

Figure 3.06 : Architecture de DMVPN avec deux routeurs centraux

Le seul véritable avantage offert par cette architecture est qu'il peut supporter un nombre

significativement plus élevé de spokes. En revanche, une limitation de l'architecture de tête de

réseau à deux niveaux est l'absence de connexions « spoke to spoke ». Dans les connexions à deux

étages DMVPN, les connexions de branche à branche ne sont pas prises en charge.

3.4.3 Réseau composé de deux routeurs Hub au siège

Une double disposition DMVPN est légèrement plus difficile à configurer, mais donne un meilleur

contrôle du routage à travers le DMVPN. L'idée est d'avoir deux "nuages" DMVPN séparés.

Chaque concentrateur est connecté à un sous-réseau DMVPN et les spokes sont connectés à ces

deux sous-réseaux DMVPN. Étant donné que les routeurs en étoile parcourent les deux hubs sur

les deux interfaces du tunnel GRE, nous pouvons utiliser les différences de configuration

d'interface telles que la bande passante, le coût et le délai pour modifier les métriques du protocole

de routage dynamique.

HUB 1

DMVPN 1

INTERNET SPOKE

SPOKE

SPOKE

mGRE

HUB 2

mGRE

DMVPN 2

SPOKE TO SPOKE

TUNNEL

DE DMVPN 1

SPOKE TO SPOKE

TUNNEL

DE DMVPN 2

Figure 3.07 : Architecture de DMVPN avec deux routeurs Hub au site centra

50

3.4.4 Réseau composé de quatre routeurs centraux

Ce réseau combine les deux méthodes de déploiement précédentes en une seule configuration. Il

se compose de deux concentrateurs qui traitent uniquement des tunnels mGRE et des services

NHRP, chaque concentrateur gérant son propre réseau DMVPN. Les routeurs frontaux R1 et R2

prennent en charge toutes les terminaisons IPSec pour tous les spokes, effectuant le cryptage et

décryptage lorsque les données entrent ou sortent des tunnels IPSec.

HUB 1

DMVPN 1

INTERNET SPOKE

SPOKE

SPOKE

mGRE

DMVPN 2

mGRE

HUB 2

R1

R2

Figure 3.08 : Architecture de DMVPN avec quatre routeurs centraux

Comme avec le modèle de déploiement à double DMVPN, il gère son propre réseau DMVPN et

ses connexions avec ses spokes. Les protocoles de routage sont une nécessité pour assurer le

basculement automatique sur le réseau DMVPN secondaire en cas de défaillance du primaire.

Malheureusement, comme avec tous les déploiements à deux niveaux, nous perdons la capacité

d’un « spoke-to-spoke », mais cela peut ne pas être une limitation pour certains.

3.5 Les composants et les terminologies

3.5.1 Le protocole GRE

3.5.1.1 Définition

Le tunnel GRE (Generic Routing Encapsulation) est un protocole de tunneling ouvert, initialement

développé par CISCO, et qui peut donc se mettre en place sur des plates-formes différentes. Il est

51

conçu pour pouvoir encapsuler n'importe quel protocole de niveau 3 dans IP, d’où une large

variété de types de paquets de protocoles au sein de tunnels IP. C’est un exemple de protocole de

tunneling VPN de site à site de base, non sécurisé. Il crée une liaison point à point vers des

routeurs Cisco au niveau de points distants sur un inter-réseau IP. [28]

3.5.1.2 Principe.

Le protocole GRE est conçu pour gérer le transport du trafic multi-protocole et multidiffusion IP

entre deux ou plusieurs sites, qui peuvent ne posséder que de la connectivité IP. Pour comprendre

comment ça fonctionne, il suffit de comprendre que GRE est considéré comme un protocole de

niveau supérieur, qui sera transporté par IP.

Figure 3.09 : Tunnel GRE

Une interface de tunnel prend en charge un en-tête pour chacun des éléments suivants : [25]

Un protocole encapsulé (ou protocole passager), comme IPv4, IPv6, AppleTalk

Un protocole d'encapsulation (ou protocole porteur), tel que GRE

Un protocole d'acheminement de couche transport, par exemple IP, qui est le protocole qui

transporte le protocole encapsulé

Remarquons que GRE ne prévoit ni de chiffrement des données qui passent dans le tunnel, ni

d'authentification des extrémités du tunnel. L’authenticité de l’autre bout de tunnel n’est donc pas

sûre.

52

3.5.1.3 Techniques de tunneling

a) Le tunnel GRE point-à-point

C’est une mise en œuvre traditionnelle conçue pour établir une liaison point-à-point entre deux

sites. Avec cette technique, tout le trafic entre les sites est encapsulé dans un paquet GRE point-à-

point avant le processus de cryptage. Les instructions de carte cryptographique n'ont besoin que

d'une seule ligne permettant le protocole GRE (protocole IP 47). Cependant, dans cette

conception, le routeur de tête de réseau nécessite une interface de tunnel unique pour chaque

routeur de branche, de sorte qu'une conception à grande échelle peut avoir un très grand fichier de

configuration de Cisco IOS sur le routeur de tête de réseau. L'interface utilisant cette technique

contient une adresse IP, l’adresse source et destination de tunnel, et une clé de tunnel.

b) Le tunnel multipoint GRE ou mGRE

Ce tunnel, comme son nom l'indique, nous permet d'avoir plusieurs destinations. Contrairement

aux tunnels point-à-point GRE, un tunnel mGRE nous permet la création dynamique de tunnels

pour chaque branche connectée. Chaque tunnel n’a donc aucune destination fixe, et n'importe

quelle source peut envoyer à une destination spécifique, mais une valeur de clé de tunnel est

utilisée pour différencier les différentes interfaces mGRE dans le même routeur. Cela réduit le

fichier de configuration sur chaque routeur de tête de réseau, et constitue un avantage pour les

conceptions à grande échelle. Effectivement, son interface comprend seulement une adresse IP,

une adresse source de tunnel, et la clé du tunnel.

3.5.2 Le protocole IPsec

3.5.2.1 Définition

C’est un protocole de chiffrement permettant de chiffrer le trafic entre deux sites, par l’utilisation

des clés pré-partagées. Il n’est sans doute pas le protocole le mieux sécurisé mais permet une mise

en œuvre simple et rapide. [27] [28] [33]

3.5.2.2 Les protocoles de transformation

Le protocole IPec utilise trois sous-protocoles pour sa mise en œuvre :

53

a) Les en-têtes d’authentification (Authentification Headers – AH)

Ils fournissent l’intégrité sans connexion de données et d’authentification pour les paquets IP, tout

comme la protection contre certains types d’attaques réseau. L’authentification est importante car

elle garantit que les paquets de données que nous envoyons et que nous recevons, sont ceux que

nous voulons, et non des logiciels malveillants ou d’autres attaques potentiellement dangereuses.

Il en existe plusieurs versions avec des degrés de protection variables à différents niveaux.

b) La technologie ESP (Encapsulating Security Payload)

Elle assure la confidentialité de ces paquets, l’intégrité de l’origine des données ainsi que la

garantie de la sécurité contre les attaques et une certaine sécurité pour le flux de trafic. Lorsqu’il

est utilisé en mode tunneling, cela assure la sécurité pour l’ensemble des paquets IP.

c) Les associations de sécurité

Ce sont les algorithmes et les données qui permettent aux technologies AH et ESP de fonctionner.

Fondamentalement, les données sont cryptées en paquets à la source, puis transférées de manière

anonyme sur Internet pour être reçues, authentifiées et décryptées à la destination. Les

associations sont créées sur la base de l’association de sécurité sur Internet (Internet Security

Association) et le programme de gestion des clés (ISKAMP) en utilisant une série de chiffres.

3.5.2.3 Modes d’IPSec

Il existe deux modes d'utilisation d'IPSec : le mode transport et le mode tunnel. La génération des

datagrammes sera différente selon le mode utilisé.

a) Mode Transport

Ce mode est utilisé pour créer une communication entre deux hôtes qui supportent IPSec. Une SA

(Security Association) est établie entre les deux hôtes. Les entêtes IP ne sont pas modifiés et les

protocoles AH et ESP sont intégrés entre cette entête et l'entête du protocole transporté. Ce mode

est souvent utilisé pour sécuriser une connexion Point-To-Point.

54

Figure 3.10 : Paquet IPSec Mode transport

b) Mode Tunnel

Ce mode est utilisé pour encapsuler les datagrammes IP dans IPSec. La SA est appliquée sur un

tunnel IP. Ainsi, les en-têtes IP originaux ne sont pas modifiés et un en-tête propre à IPSec est

créé. Ce mode est souvent utilisé pour créer des tunnels entre réseaux LAN distant. Effectivement,

il permet de relier deux passerelles étant capable d'utiliser IPSec sans perturber le trafic IP des

machines du réseau qui ne sont donc pas forcément prête à utiliser le protocole IPSec.

Figure 3.11 : Paquet IPSec Mode tunnel

IPsec prend en charge les modes de transport et de cryptage de tunnel. Le mode de transport

crypte uniquement la partie de données (charge utile) de chaque paquet, laissant intacte l'adresse

source et l'adresse de destination dans l'en-tête. Le mode de tunnel le plus sécurisé crypte à la fois

l'en-tête et la charge utile du paquet d'origine. La différence entre ces deux modes est que le mode

tunnel protège l'en-tête de datagramme IP d'origine, et le mode de transport non. Le mode tunnel

ajoute 20 octets supplémentaires à la taille totale du paquet. Cependant, ces modes fonctionnent

tous deux dans une implémentation DMVPN.

55

3.5.3 Le protocole NHRP

3.5.3.1 Définition

Le protocole de résolution de saut suivant (NHRP), est un protocole de résolution d'adresse de

couche deux (02). Il permet aux routeurs distants de faire connaitre leur adresse IP servant à

monter le tunnel GRE avec le serveur. Le serveur, de son coté, stocke les adresses IP pour

permettre à chaque routeur de connaitre l’adresse de son voisin et ainsi établir un tunnel direct

avec lui. Ce protocole est ainsi utilisé par un routeur de branche connecté à un sous-réseau non

diffusé à accès multiple (NBMA), pour déterminer l'adresse IP du "saut suivant NBMA". [11]

3.5.3.2 Principe

Lorsqu'un routeur de branche est établi sur un réseau DMVPN, NHRP mappe une adresse IP de

tunnel à son adresse IP NBMA. Puis, il indique à l'interface mGRE où percer un paquet pour

atteindre cette adresse. Lorsque le paquet est encapsulé dans le paquet mGRE, l'adresse de

destination IP est l'adresse NBMA.

Les routeurs de tête de réseau et de succursale doivent être configurés avec un temps de maintien

NHRP, qui définit la durée pendant laquelle les routeurs demandent aux autres routeurs de

conserver leurs informations NHRP. Cette information est conservée dans le cache NHRP jusqu'à

ce que le temps d'attente NHRP expire, et que l'information soit réapprise. Sur le routeur de tête de

réseau, toutes les entrées sont ajoutées dynamiquement via des demandes d'enregistrement ou de

résolution. Le routeur de branche est configuré avec une carte NHRP statique pointant vers le

routeur de tête de réseau. Pour participer à un processus d'enregistrement NHRP, tous les routeurs

doivent appartenir au même réseau NHRP par un ID de réseau. Cette ID de réseau NHRP définit

le domaine NHRP. Les routeurs de branche doivent être configurés avec l'adresse NBMA du

routeur de tête de réseau, en tant que serveur de saut suivant (NHS), pour s'enregistrer auprès du

routeur de tête de réseau. Les routeurs de branche envoient un enregistrement au routeur de tête de

réseau qui contient l'adresse IP du tunnel et l'adresse NBMA. Le routeur de tête de réseau crée une

entrée dans son cache NHRP et renvoie une réponse d'enregistrement. Le routeur de branche

considère maintenant le routeur de tête de réseau comme un NHS valide et l'utilise comme source,

pour localiser les autres branches et réseaux dans le domaine NHRP.

56

Ce principe est illustré dans la figure ci-dessous :

HUBSPOKE 1HOST 1 SPOKE 2 HOST 2Initialisation IKE

Etablissement IKE/

IPsec

Demande d'enregistrement

NHRP

Réponse

d'enregistrement NHRP

Mise a jour de

routage

Adjaction de routage

Mise a jour de

routage

Initialisation IKE

Etablissement IKE/

IPsec

Mise a jour de

routage

Adjaction de routage

Mise a jour de

routage

Demande d'enregistrement

NHRP

Réponse

d'enregistrement NHRP

CHIFFRE CHIFFRE

Figure 3.12 : Etablissement du registration NHRP

3.5.3.3 Messages NHRP

Il existe différents messages importants que NHRP envoie, à savoir : [25]

d) NHRP Registration Request : c’est le message requis pour construire le « spoke-to-hub »

tunnel. Les Spokes enregistrent leurs IP NBMA et VPN au NHS (Hub).

e) NHRP Resolution Request : requis pour construire les « spoke-to-spokes » tunnels. Les

Spokes demandent les mappings « NBMA-to-VPN » des autres spokes.

f) NHRP Redirect : utilisé seulement en phase 3 pour construire les spoke-to-spoke tunnels.

Le NHS (hub) répond à un paquet de plan de donnée « spoke-to-spoke » via ce message.

3.5.4 Les protocoles de routage à travers DMVPN

Notre conception recommande l'utilisation d'un protocole de routage dynamique pour propager les

routes de la tête du réseau vers les succursales. Plusieurs protocoles de routage peuvent être

utilisés dans une conception DMVPN. [29]

3.5.4.1 OSPF (Open Shortest Path First)

De nombreuses organisations utilisent le protocole OSPF (Open Shortest Path First) comme

protocole de routage interne. Cela peut sembler un choix naturel de l'exécuter également sur

57

DMVPN, mais cela comporte de sérieuses limitations. OSPF est un protocole d'état de lien, donc

tous les routeurs dans une zone doivent avoir la même vue du réseau. Toute modification de la

zone déclenchera l'exécution de l'algorithme SPF (Shortest Path First) sur tous les routeurs de la

zone. En fonction de la taille du réseau, cela peut conduire à de nombreuses exécutions SPF, ce

qui peut affecter les performances des routeurs de branche dotés de petites unités centrales. Or,

DMVPN nécessite un seul sous-réseau, donc tous les routeurs OSPF doivent se trouver dans la

même zone. La synthèse est disponible uniquement sur les routeurs de frontière de zone (ABR) et

les routeurs de frontière de système autonome (ASBR), ce qui signifie que le concentrateur doit

être un ABR pour qu'il résume les routes. De plus, le tunnel mGRE sur le routeur concentrateur

doit être configuré comme un réseau de diffusion OSPF pour permettre la sélection d'un DR.

Chaque routeur de branche est configuré avec une priorité OSPF de zéro pour empêcher un spoke

de devenir le DR. Le tunnel IP MTU (Maximum Transmission Unit) doit correspondre sur toutes

les interfaces GRE qui sont adjacentes à OSPF. En outre, les zones OPSF fonctionnant sur

DMVPN doivent être totalement tronquées afin de réduire l'inondation de la LSA sur le WAN.

Une mauvaise configuration du rôle de routeur désigné (DR) ou de routeur désigné de secours

(BDR) entraînerait également une rupture de la connectivité. Toute forme d'ingénierie de trafic est

très difficile dans un protocole d'état de liaison tel qu’OSPF. [3] [32]

3.5.4.2 EIGRP (Enhanced Interior Gateway Protocol)

Le protocole EIGRP (Interior Gateway Routing Protocol) est le protocole de routage préféré lors

de l'exécution d'un réseau DMVPN. C’est un protocole de vecteur de distance avancé. Cela le rend

plus approprié pour DMVPN car il n'est pas limité par les limitations de topologie d'un protocole

d'état de liaison. L’EIGRP peut résumer, manipuler les métriques à tout moment et n'a aucun

concept de zones. Cela rend beaucoup plus facile son déploiement et sa mise à l'échelle dans une

topologie DMVPN. [33]

En phase 1 et 3, le prochain saut de routes est le hub. Dans la phase 2, le concentrateur ne doit pas

se définir comme le saut suivant pour les routes, ce qui est la valeur par défaut pour EIGRP. Le

« split horizon » doit être désactivé sur les concentrateurs afin que les mises à jour de routage

puissent être envoyées sur la même interface (tunnel) que celle sur laquelle ils sont entrés.

Le principal facteur lors du déploiement d’EIGRP est de transformer tous les routeurs spoke en

routeurs de remplacement. Le protocole EIGRP interroge ses voisins lorsqu'un itinéraire disparaît

et cela affecte l'évolutivité et la convergence.

58

3.5.4.3 BGP (Border Gateway Protocol)

L’utilisation de Border Gateway Protocol (BGP) est également une solution viable pour les

DMVPN. C’est un protocole de routage externe, adopté pour la connectivité entre systèmes

autonomes, qui permet d'échanger des informations entre des réseaux ayant des politiques de

routage différentes, et notamment d'assurer, par l'usage de vecteurs de chemin, une protection

contre les boucles de routage. On le connait par sa capacité éprouvée à évoluer vers un grand

nombre de routes et avec des temporisateurs par défaut. Il repose sur TCP (port 179).

Le passage des informations de routage se fera de routeur de bordure en routeur de bordure et elles

seront éventuellement propagées dans les routeurs internes aux AS par une redistribution dans les

protocoles de routages internes. [3] [14] [17] [34]

On peut distinguer 2 types de dialogue BGP :

a) Entre deux routeurs de bordure de deux AS différents, dénommé e-BGP (external BGP).

b) Entre les routeurs d’un même AS dénommé i-BGP (internal BGP)

Pour qu’un dialogue BGP s’établisse entre deux routeurs, on les déclare « voisins ». Deux voisins

d’AS différents sont forcément sur le même réseau local et deux voisins du même AS peuvent être

sur des réseaux différents. C’est le protocole de routage interne qui maintient leur connectivité. On

peut filtrer à volonté les routes à diffuser à l’extérieur. Les routeurs BGP vont prendre leur

décision de routage aux vues des attributs des adresses qu’ils auront pu recevoir de divers AS et

des préférences locales. Ces attributs vont spécifier pour une adresse destination donnée : le

prochain routeur à qui envoyer (next hop) pour atteindre sa destination, l’origine de

l’apprentissage de cet adresse (interne, externe, ou statique), des préférences locales de poids

affectés aux entrées et sorties d’un AS, des métriques associées aux adresses. Pour qu’une route

vers un réseau donné soit propagée, il faut qu’elle soit connue de BGP, c’est-à-dire présente dans

la table de BGP, mais aussi que le réseau en question apparaisse dans la table de routage IP.

59

3.6 Choix du modèle de conception DMVPN

3.6.1 Comparaison des technologies VPN :

3.6.1.1 Cisco GET-VPN

Le Cisco IOS GET VPN est une technologie VPN sans tunnel qui fournit une sécurité de bout en

bout pour le trafic réseau dans un mode natif et maintient la topologie entièrement maillée. Il

utilise la capacité du réseau central à acheminer et répliquer les paquets entre différents sites au

sein de l'entreprise. Il préserve les informations d'origine des adresses IP source et de destination

dans l'en-tête du paquet chiffré pour un routage optimal. Il est également mieux adapté pour

chiffrer le trafic de multidiffusion. On l’utilise donc lorsqu’on veut activer la participation des

routeurs plus petits dans le maillage réseau.

3.6.1.2 Cisco DMVPN

Le VPN multipoint dynamique (DMVPN) est une solution logicielle Cisco IOS pour la création de

réseaux privés virtuels IPsec évolutifs. Il permet aux succursales de communiquer directement

entre elles sur le réseau WAN ou Internet public, mais ne nécessite pas de connexion VPN

permanente entre les sites. Il permet un déploiement sans contact des VPN IPsec et améliore les

performances du réseau en réduisant la latence et la gigue, tout en optimisant l'utilisation de la

bande passante au siège social.

C’est une technologie qui garantit les bénéfices du client en simplifiant la configuration du

chiffrement et gestion pour les tunnels GRE. Il prend aussi en charge le QoS, la multidiffusion et

le routage. On le déploie souvent pour simplifier la configuration des concentrateurs.

3.6.1.3 Cisco Easy VPN

La solution Cisco Easy VPN permet d'intégrer des périphériques distants VPN au sein d'un

déploiement unique et avec une stratégie cohérente et une méthode de gestion des clés, ce qui

simplifie l'administration du site distant. Il comprend deux composants :

a) Easy VPN Remote : pour agir en tant que client distant

b) Le serveur Easy VPN : pour agir en tant que périphérique de tête de réseau VPN

60

On l’utilise lors de la simplification globale du VPN c’est-à-dire fournir un cadre de configuration

simple et unifié pour le mélange de produits Cisco VPN.

Le tableau suivant nous démontre par comparaison avec d’autres solutions VPN IPsec qui

étendent les capacités des VPN de base, la particularité de notre DMVPN. [26] [27] [33]

Fonctionnalités Cisco Easy VPN Cisco DMVPN Cisco GET-VPN

Routage Non supporté Routage dynamique

sur le tunnel

Routage dynamique

sur IP WAN

Topologie - Hub and spoke

(Client-Site)

- Hub and spoke

- Spoke to spoke

automatiquement

terminé lorsqu’aucun

traffic présent

- Hub and spoke

- Any-to-any (Site-

Site)

Échelle Des Milliers de

connections

- Des milliers de

connections Hub and

Spoke

- Des centaines de

connections Spoke to

Spoke à maillage

partiel

Des Milliers de

connections

IP Multicast Non supporté Réplication

multidiffusion au

concentrateur

- pris en charge sur

les réseaux MPLS et

IP privés ;

- tunnelisé sur des

réseaux WAN basés

sur Internet

Infrastructure Réseau Transport par

internet public

Transport par internet

public et privé

Transport IP privé

Encapsulation Tunnel IPsec Tunnel IPsec IPsec non tunnellisé

Cryptage Protection « Peer to

peer »

Protection « Peer to

peer »

Protection de groupe

Tableau 3.02: Comparaison entre EasyVPN, DMVPN et GETVPN

3.6.2 DMVPN à travers MPLS

La technologie DMVPN offre deux avantages clés pour étendre les VPN MPLS aux branches, le

cryptage en masse et, plus important encore, un modèle de superposition évolutif. Puisque

l'hypothèse ici est que les branches dans ce déploiement soient connectées au concentrateur via un

61

service de couche trois. Couplé avec le fait qu'il existe un grand nombre de déploiements

DMVPN, cette solution devient une option de déploiement attrayante. [23]

Par ailleurs, l’utiliser pour des réseaux d'entreprise est encore plus fructueux. D’abord, il simplifie

les communications de branche et réduit la complexité du déploiement, en offrant une

configuration sans contact. Puis, il réduit les dépenses d'investissement et d'exploitation. Ensuite,

il améliore la résilience de l’activité en empêchant les perturbations et les services critiques. Enfin,

c’est un protocole évolutif, car il permet de garder la configuration des routeurs statiques en cas

d’ajout d’un nouveau site, et la création des tunnels entre les sites distants est entièrement

automatique.

3.7 Conclusion

Nous avons pu voir que DMVPN n'est pas seulement une autre technologie VPN mais une

révolution dans la conception d'architecture VPN. La flexibilité, la stabilité et la facilité

d'installation qu'il offre, sont inégalées, ce qui en fait à peu près la meilleure solution VPN

disponible de nos jours pour tout type de réseau. Par conséquent, sa présence sera bénéfique à

travers notre MPLS par la faculté d’interconnections des sites en dehors des fournisseurs de

services locaux, et le maintien du contrôle du cryptage et flux de trafic. Nous allons confirmer à

travers une simulation dans le chapitre suivant ces aspects théoriques étudiés auparavant.

62

CHAPITRE 4

SIMULATION SOUS GNS3

4.1 Introduction

Le vif de ce chapitre est de fournir une approche plus pratique. Dans un premier lieu, nous

abordons l'aspect conception du réseau MPLS. Ensuite celui du DMVPN qui sera déployé pour

sécuriser les connexions sur internet. De plus, nous nous permettrons de présenter de façon

sommaire quelques résultats obtenus lors de nos travaux. Et enfin, nous ferons des remarques

constructives et une ouverture de débat sur les dispositions futures concernant les différentes

technologies que nous avons choisi d’appliquer dans notre projet de construction de modèle

d’infrastructure réseau basé sur le principe Hub & Spoke.

4.2 Présentation des outils de simulations utilisés

4.2.1 Microsoft Office Visio

Microsoft Visio est un logiciel de création de diagrammes, notamment des organigrammes, des

plans de construction, des plans de niveau, des diagrammes de flux de données, des schémas de

procédés, des modèles de processus métier, et bien plus encore. Visio peut être utilisé dans une

grande variété de configurations pour créer des diagrammes d'aspect professionnel. Nous avons

opté pour celui-ci afin d’apporter l’aspect professionnel souhaité pour la présentation de notre

projet. [35]

Figure 4.01 : Fenêtre d’accueil de Microsoft Visio

63

4.2.2 Le simulateur GNS3

Le GNS3 est un simulateur graphique de réseaux qui permet de créer des topologies de réseaux

complexes et d'en établir des simulations. Ce logiciel, en lien avec Dynamips (qui est la partie de

GNS3 principale pour les simulations IOS), Dynagen (interface textuelle pour Dynamips) et Pemu

(il permet d’émuler les pare-feu grâce à l’émulateur PIX) est un excellent outil pour

l'administration des réseaux CISCO. [36]

Figure 4.02 : Fenêtre d’accueil de GNS3

4.2.3 L’analyseur du réseau Wireshark

Wireshark est un analyseur de protocoles (sniffer). Celui-ci utilise directement l’interface Ethernet

de notre machine pour réaliser la capture de toutes les informations circulant sur le réseau local sur

lequel nous sommes connectés. Il sera utilisé comme sonde réseau pour analyser les protocoles

des flux générés.

Pour se faire, on y distingue trois zones :

- Dans une première zone est affichée la liste des trames capturées avec un numéro de trame,

l’heure à laquelle elle a été capturée (par défaut depuis le lancement de la capture mais on peut

demander l’heure réelle), l’adresse réseau source de la trame (adresse IP en général, mais pas

toujours), l’adresse réseau de la destination, le protocole de plus haut niveau détecté et quelques

autres informations. [37]

64

- Dans une deuxième zone le nombre d’octets de la trame ainsi que le nombre d’octets capturés

sont indiqués, suivi du détail des en-têtes de tous les protocoles jusqu’au protocole final (ici

Ethernet et ARP).

- Dans la troisième zone apparaissent les octets capturés de la trame. Chaque ligne contient seize

octets. Elle commence par le numéro (en hexadécimal) du premier octet de la ligne, suivi de deux

groupes de huit octets en hexadécimal, suivi du caractère ASCII correspondant (remplacé par un

point si celui-ci n’est pas affichable).

Figure 4.03 : Liste des trames capturées

4.3 Concept et Design

4.3.1 Présentation de la topologie

Les topologies réseau proposées ci-dessous ont été élaborées sous Microsoft Visio.

La maquette que nous avons réalisée, représente un grand réseau divisé en deux grandes parties.

a) IP/MPLS dans la partie provider qui est composé de :

Un cœur de réseau composé d’un routeur P (Provider), suivi de deux routeurs de bordure pour

chaque site (Routeur PE : Provider Edge) de la gamme Cisco c7200-advipservicesk9-mz.152-4.

S5. image ;

65

Respectivement à chaque PE se trouve deux routeurs client (Routeur CE : Client Edge) de la

gamme Cisco c2691-gns3-entservicesk9-mz.123-16.image. Pour la supervision de réseau, nous

avons installé Wireshark.

b) DMVPN dans la partie des clients distants qui sont :

Les routeurs de bordure de chaque LAN (Tana, Majunga, Tamatave) de la gamme Cisco c3725-

adventerprisek9-mz124-15. image

D’un point de vue général, voici, le modèle de l’architecture réseau que nous avons conçu.

ASECNA SIEGE

TANA

WAN / MPLS

SERVICE PROVIDER

LAN AGENCE-

TAMATAVE

LAN AGENCE-

MAJUNGA

LEGENDE :

1. Partie provider: etablissement de la technologie MPLS-L3 (PE, P, CE)

2. Partie clients distants: tunnelling par la technologie DMVPN (IP-sec,

NHRP, mGRE )

HUB

SPOKE 1

SPOKE 2

DMVPN

DMVPN

Figure 4.04 : Architecture générale du projet

Dans la partie MPLS, le schéma très simplifié ci-dessous nous présente la manière dont les sites

distants, et les abonnés pourront avoir accès aux ressources dont ils ont besoin grâce aux différents

services suivant :

66

Figure 4.05 : Illustration des liaisons offertes par MPLS niveau 3

Et enfin, voici les détails concernant la conception utilisant la technologie DMVPN

PROVIDER

EDGE-1

PROVIDER

EDGE-2

CUSTUMER

EDGE-2

LAN AGENCE-

MAJUNGA

LAN AGENCE-

TAMATAVE

OSPF 30

AREA 0

OSPF 20

AREA 0OSPF 10

AREA 0

DOMAIN

PROVIDER :

MPLS L3

MP-iBGP

CUSTUMER

EDGE-1

ROUTER DMVPN

HUB

ROUTER DMVPN

SPOKE-1

ROUTER DMVPN

SPOKE-2

PE-1

TANA

PE-1

TAMATAVE

PE-2

TANA

PE-2

TAMATAVECE-1

TANA

CE-2

TANA

CE-1

TAMATAVE

CE-2

TAMATAVE

LAN SIEGE-

ANTANANARIVO

PROVIDER

CENTRAL

TUNNEL 1

DMVPN

TUNNEL 2

DMVPN

Figure 4.06 : Modèle d’infrastructure réseau MPLS à travers DMVPN

67

4.3.2 Présentation des équipements

Les gammes de routeurs émulés sont :

4.3.2.1 Routeurs Cisco 7200

Le choix s’est tourné vers les routeurs d'accès Cisco 7200 car ce sont des appareils haut de

gamme, idéalement adaptés aux environnements des grandes succursales d'entreprise comme le

nôtre. Il permet ainsi d'offrir les meilleurs services de réseau du marché, notamment la

commutation MPLS, l'agrégation haut-débit, les fonctionnalités de qualité de service et de

sécurité, et le multiservice. Il supporte surtout les protocoles LDP et CEF, qui sont nécessaires

pour l’implémentation de notre technologie VPNs MPLS de couche 3.

4.3.2.2 Routeurs Cisco 2600

Nous avons choisi cette gamme dans la partie « customer edge » car elle apporte aux

administrateurs réseau plus de flexibilité, de performances et de capacité mémoire, ainsi qu'une

densité de service encore plus élevée pour supporter les besoins actuels et à venir des succursales

d'entreprise. Elle offre des fonctions de tunnellisation évoluées, incluant le protocole L2TP, le

cryptage IPSec matériel normalisé, le logiciel Cisco IOS Firewall Feature Set et diverses

interfaces WAN et de numérotation, qui sont des solutions idéales pour les points d'entrée VPN

comme pour les passerelles d'accueil.

4.3.2.3 Routeurs Cisco 3700

La gamme Cisco 3700 est placée dans chaque site distant pour tirer profit de sa capacité,

interopérabilité et sa faculté à supporter de multiple protocole. En effet, elle offre un ensemble

complet de protocoles et de services, incluant la création de réseaux privés virtuels, la protection

par firewall, le cryptage, l'optimisation WAN et des fonctions de support multimédia évoluées.

Cette gamme offre aussi des performances de routage haut débit pouvant atteindre 225 000

paquets par seconde, et apporte ainsi la capacité d'évolution qui permet de supporter en même

temps davantage de services.

68

4.4 Implémentation et configuration

4.4.1 Adressage

Le tableau suivant récapitule la table d’adressage des routeurs et commutateurs intégrés dans la

simulation :

Site Périphérique Interface Adresse IP Masque de sous-

réseau

Antananarivo

TANA

FastEthernet0/0 192.168.1.1 255.255.255.248

Loopback0 192.168.4.1 255.255.255.255

Tunnel0 20.20.20.254 255.255.255.0

CE1-TANA

FastEthernet0/0 192.168.1.9 255.255.255.252

FastEthernet0/1 192.168.1.2 255.255.255.248

FastEthernet1/0 192.168.1.13 255.255.255.252

Loopback0 8.8.8.8 255.255.255.255

CE2-TANA

FastEthernet0/0 192.168.1.10 255.255.255.252

FastEthernet0/1 192.168.1.3 255.255.255.248

FastEthernet1/0 192.168.1.17 255.255.255.252

Loopback0 9.9.9.9 255.255.255.255

Tamatave

TAMATAVE

FastEthernet0/0 192.168.2.1 255.255.255.248

Loopback0 192.168.5.1 255.255.255.255

Tunnel0 20.20.20.2 255.255.255.0

CE1-

TAMATAVE

FastEthernet0/0 192.168.2.9 255.255.255.252

FastEthernet0/1 192.168.2.2 255.255.255.248

FastEthernet1/0 192.168.2.13 255.255.255.252

Loopback0 13.13.13.13 255.255.255.255

CE2-

TAMATAVE

FastEthernet0/0 192.168.2.10 255.255.255.252

FastEthernet0/1 192.168.2.3 255.255.255.248

FastEthernet1/0 192.168.2.17 255.255.255.252

Loopback0 12.12.12.12 255.255.255.255

Majunga MAJUNGA Fe0/0 192.168.3.1 255.255.255.248

69

Loopback0 192.168.6.1 255.255.255.255

Tunnel0 20.20.20.3 255.255.255.0

CE1-

MAJUNGA

FastEthernet0/0 192.168.3.9 255.255.255.252

FastEthernet0/1 192.168.3.2 255.255.255.248

FastEthernet1/0 192.168.3.13 255.255.255.252

Loopback0 10.10.10.10 255.255.255.255

CE2-

MAJUNGA

FastEthernet0/0 192.168.3.10 255.255.255.252

FastEthernet0/1 192.168.3.3 255.255.255.248

FastEthernet1/0 192.168.3.17 255.255.255.252

Loopback0 11.11.11.11 255.255.255.255

Fournisseurs

d’accès

P-CENTRAL

GigabitEthernet1/0 172.16.10.1 255.255.255.0

GigabitEthernet2/0 172.16.11.1 255.255.255.0

GigabitEthernet3/0 172.16.30.1 255.255.255.0

GigabitEthernet4/0 172.16.31.1 255.255.255.0

GigabitEthernet5/0 172.16.21.1 255.255.255.0

GigabitEthernet6/0 172.16.20.1 255.255.255.0

Loopback0 7.7.7.7 255.255.255.255

PE1-TANA

GigabitEthernet1/0 172.16.10.2 255.255.255.0

GigabitEthernet2/0 192.168.1.14 255.255.255.252

Loopback0 1.1.1.1 255.255.255.255

PE2-TANA

GigabitEthernet1/0 172.16.11.2 255.255.255.0

GigabitEthernet2/0 192.168.1.18 255.255.255.252

Loopback0 2.2.2.2 255.255.255.255

PE1-

TAMATAVE

GigabitEthernet1/0 172.16.20.2 255.255.255.0

GigabitEthernet2/0 192.168.2.14 255.255.255.252

Loopback0 6.6.6.6 255.255.255.255

PE2-

TAMATAVE

GigabitEthernet1/0 172.16.21.2 255.255.255.0

GigabitEthernet2/0 192.168.2.18 255.255.255.252

Loopback0 5.5.5.5 255.255.255.255

PE1-

MAJUNGA

GigabitEthernet1/0 172.16.30.2 255.255.255.0

GigabitEthernet2/0 192.168.3.14 255.255.255.252

70

Loopback0 3.3.3.3 255.255.255.255

PE2-

MAJUNGA

GigabitEthernet1/0 172.16.31.2 255.255.255.0

GigabitEthernet2/0 192.168.3.18 255.255.255.252

Loopback0 4.4.4.4 255.255.255.255

Tableau 4.01: Table d’adressage

4.4.2 Configuration

4.4.2.1 Création du réseau et vérification de la connectivité

Étape 1 : Câblage du réseau conformément à la topologie et à la performance voulues.

Ici, on a utilisé un câble droit GigabitEthernet pour les services provider et FastEthernet pour le

reste.

Étape 2 : Configuration des paramètres de base pour chaque routeur des sites distants

c) Routeur TANA

Apres configuration manuel, nous avons :

Figure 4.07 : Table d’adressage de TANA

d) Routeur MAJUNGA :

Apres configuration manuel, nous avons :

Figure 4.08 : Table d’adressage de MAJUNGA

71

e) Routeur TAMATAVE :

Apres configuration manuel, nous avons :

Figure 4.09 : Table d’adressage de TAMATAVE

Maintenant, les sites distants sont prêts à être reliés entre eux grâce à la technologie MPLS.

4.4.2.2 Mise en place de la technologie VPN MPLS

La configuration de la transmission de MPLS est une étape à la disposition du backbone VPN

MPLS du fournisseur de service. Elle assure la promptitude du fournisseur de service pour fournir

des services MPLS-connexes aux clients éventuels :

Etape 1 : Configurer le cœur de réseau

Configurer les protocoles de routage dans le cœur de réseau : OSPF

Ex : Pour le routeur central :

:

Figure 4.10 : Protocol de routage actif dans le routeur central

Configuration du MPLS LDP (Label Distribution Protocol)

72

Pour valider MPLS sur tous les routeurs du cœur de réseau, nous allons configurer un protocole de

distribution d'étiquettes (label) sur chaque routeur appartenant au domaine du « service provider ».

Ex : Pour le routeur TANA

Figure 4.11 : Label Distribution Protocol dans le routeur TANA

La commande « mpls ip » est requise pour créer un voisinage avec le protocole LDP. On la

configure seulement dans les interfaces internes du fournisseur d’accès.

La commande « mpls label range » définit le nombre de labels que l’on veut implémenter pour

faciliter le repérage des paquets. On peut voir par la suite l’établissement du voisinage LDP de

chaque PE vers le routeur central dans la figure suivante :

Respectivement à chaque PE, le routeur central établit lui aussi des relations de voisinage LDP.

Figure 4.12 : Les relations de voisinage LDP

Configurer VRF sur les routeurs PE

Ceci a comme conséquence la création d'une table de routage VRF et d'une table Cisco Express

Forwarding (CEF) pour le client nommé ASECNA. Puis, on lui associe un RD ou Route

Distinguisher qui va créer des tables de routage et de transmission. Le RD est ajouté au début

des en-têtes IPv4 du client pour les convertir en préfixes globalement uniques VPNv4. Et enfin, on

lui attribue un RT ou Route Target pour configurer l'importation et l'exportation de stratégies

envers les communautés MP-BGP futur.

Les exemples suivants montrent les VRF ASECNA étant configurés sur tous les routeurs PE.

Création de VRF dans PE1

73

Figure 4.13 : VRF dans PE1

Création de VRF dans PE2

Figure 4.14 : VRF dans PE2

Association de VRF à l'adresse IP de l'interface

Ex : Pour PE-TAMATAVE

Figure 4.15 : Association de VRF dans TAMATAVE

Etape 2 : Connecter les clients VPN MPLS :

Etablissement du lien entre PE et CE

Les routeurs PE communiquent avec les clients grâce au protocole OSPF.

74

Figure 4.16 : Liaisons des routeurs PE

Configuration du protocole MP-BGP :

Ex : Pour MAJUNGA :

Figure 4.17 : Les voisins de MAJUNGA grâce à MP-BGP

Nous utilisons MP-BGP entre les routeurs PE afin qu'ils puissent partager des informations à partir

des VRF.

Redistribution des routes entre les clients et les fournisseurs :

A chaque site, on doit redistribuer les routes apprises par les protocoles actifs tels que le protocole

BGP à travers OSPF :

75

Figure 4.18 : Redistribution des routes BGP à travers OSPF

Puis OSPF à travers BGP :

Figure 4.19 : Redistribution des routes OSPF à travers BGP

Etape 3 : Vérification de la configuration VPN

Table VRF

76

Figure 4.20 : Les routes VRF dans TANA

Table MPLS

A l’aide de la commande « show mpls interfaces », on peut connaître quelle interface est activée

par MPLS.

77

Figure 4.21 : Activation de MPLS sur chaque interface

Dans notre configuration, on voit que seules les interfaces GigabitEthernet 1/0 des routeurs PE

sont activées par MPLS. On peut aussi vérifier la table MPLS des routeurs à l’aide de la

commande « show mpls forwarding-table ».

Ex : A TANA, on a :

Figure 4.22 : La table MPLS du routeur TANA

Dans le routeur central, on a :

Figure 4.23 : La table MPLS du routeur central

Table de routages appris par les clients :

Grace à l’échange de route effectuée par les différents protocoles, chaque site distant a la faculté

de communiquer avec les autres sites distants appartenant au même VPN que lui. Ces nouvelles

78

routes sont ici indiquées par « O E2 » qui montre qu’il a été importé par le protocole OSPF depuis

des sites externes. On peut donc vérifier que le routeur CE local et le routeur CE distant, sont dans

la table de routage.

Figure 4.24 : Table de routages des clients

Etape 4 : Vérification de la connectivité entre sites VPN MPLS

Vérification de la connectivité de routeur CE à routeur CE à travers le cœur de réseau

MPLS.

Ex : Connectivité de CE-TANA vers CE TAMATAVE

79

Figure 4.25 : Connectivite réussie entre TANA et TAMATAVE

Traçage de route labélisé par MPLS

Ex : Route empruntée par MAJUNGA pour aller vers TAMATAVE :

Figure 4.26 : Route MAJUNGA - TAMATAVE

4.4.2.3 Mise en place de la technologie DMVPN

Le routeur TANA fait office de Hub pour cette architecture. Pour chacun des Spokes, la

configuration sera identique, excepté pour les IP publique et privée, qui seront uniques pour

chaque site distant. Pour se faire, on a suivi les étapes suivantes :

Etape 1 : Création du tunnel :

On crée l’interface Tunnel qui va servir à encapsuler le trafic hub-spoke dans un tunnel IP/GRE.

Un tunnel, ça se creuse des deux côtés à la fois. Il faut donc intervenir sur les routeurs Hub et

Spokes. Tunnel 0 est le nom de la nouvelle interface réseau qui va conduire aux spokes.

L'adresse IP du tunnel HUB est 20.20.20.254 tandis que l’adresse IP de ses SPOKES sont

20.20.20.2 et 20.20.20.3

Etape 2 : Configuration du NHRP

80

Les commandes NHRP permettent de configurer le protocole sur cette interface, et en particulier

la clef d’authentification (ip nhrp authentication), l’insertion automatique des « spokes » dans la

liste de destinataires multicast (ip nhrp map multicast dynamic), et la « communauté » NHRP (ip

nhrp network-id 2020). Pour les Spokes, on mappe de façon manuelle en NHRP l'adresse publique

du hub pour l'établissement du tunnel permanent entre le spoke et le hub.

Etape 3 : Configuration du tunnel GRE

Etape 4 : Configuration du protocole de routage

On a choisi EIGRP. La configuration s’applique encore une fois de façon similaire sur l’ensemble

des routeurs (hub et spokes)

Figure 4.27 : Activation du protocole EIGRP

On désactive le mécanisme Split-Horizon par la commande suivant :

# no ip split-horizon eigrp 1

On demande à EIGRP de ne pas réécrire l'adresse de next-hop avec celle du routeur puisque cela

sert directement pour l'établissement de lien dynamique avec l'aide d'NHRP.

Etape 5 : Cryptage

La configuration est classique, légère et similaire à appliquer à la fois sur le hub et les spokes.

81

Figure 4.28 : Activation du service de cryptage

4.5 Interprétations des résultats de la simulation

4.5.1 Résultats des séries de test

Pour vérifier que tout fonctionne correctement, nous allons effectuer des captures de paquets par

le biais du logiciel Wireshark, ce qui nous permettra d’apercevoir des paquets ESP (Encapsulating

Security Payload) transitant entre les différents routeurs pour les communications Lan-to-Lan.

Mais auparavant, nous allons vérifier la présence exacte de la technologie DMVPN grâce aux

commandes suivantes :

#show ipnhrp : afin de voir les IP dynamiquement mappées sur le Hub (adresses NBMA et

VPN).

Figure 4.29 : Table de routage par le protocole NHRP

#show dmvpn : afin de visualiser l’état des peers VPN.

Pour le HUB, on a :

82

Figure 4.30 : Vérification du protocole DMVPN dans TANA

Le routeur MAJUNGA nous signale ci-dessous que le tunnel permanent NHRP est établi entre le

hub TANA et le spoke MAJUNGA. La même commande exécutée sur TAMATAVE nous

donnerait un résultat similaire.

Figure 4.31 : Vérification du protocole DMVPN dans MAJUNGA

Une fois ces configurations répliquées sur le Hub et les Spokes, nous serons capables de pouvoir

faire du DMVPN avec IPsec et GRE combinés. Nous allons le tester grâce aux connectivités

entres les sites distants TAMATAVE-MAJUNGA :

Figure 4.32 : Test de connectivité TAMATAVE-MAJUNGA

Le ping fonctionne, vérifions maintenant ce qui se passe au niveau ISAKMP et IPsec:

83

Figure 4.33 : Vérification de cryptage

On voit directement ici que nous avons deux connections IPsec actives à présent, celle concernant

le tunnel permanent entre le hub et le routeur (1001) qui s’est renégociée à l’activation de nos

nouveaux paramètres IPsec et le tunnel dynamique établi dynamiquement (1002) qui s’est

également renégocié étant déjà lui aussi établi lors de nos tests. A présent, grâce au logiciel

Wireshark, on peut effectuer des captures de paquet.

Figure 4.34 : Résultat de capture de paquet entre le routeur TAMATAVE et MAJUNGA

4.5.2 Analyse et suggestions

Durant l’élaboration de ce projet, nous avons essayé de démontrer le fonctionnement et l’efficacité

de notre topologie relayant la technologie DMVPN à travers MPLS. Par le biais d’un fournisseur

d’accès, nous avons créé une liaison spécialisée virtuelle qui permet de relier entre eux des

84

réseaux IP. Ces réseaux sont constitués avec des IP privées, et semblent simplement

interconnectés par un routeur. Une adresse IP privée du réseau de TAMATAVE dialogue sans

problème avec une autre adresse IP privée du réseau MAJUNGA, et réciproquement. Pourtant, le

lien entre ces deux réseaux est bel et bien bâti sur l'internet, où ces adresses IP privées sont

bannies.

Grâce à notre topologie, on a pu créer une redondance au niveau client distant par l’existence des

routeurs backup pour assurer une haute disponibilité des équipements transitant les données. On a

déployé ensuite le principe de Hub and Spoke dans notre réseau WAN pour relier directement

chaque site distant (tunneling) et de façons à sécuriser leurs liens. De cette manière les Spokes

(Clients) s’enregistrent avec le Hub (Serveur) et spécifient manuellement l’adresse du Hub dans le

Tunnel GRE (tunnel destination…). Ils envoient cela via le NHRP Registration Request. Puis, les

Hub apprennent dynamiquement les adresses VPN (Privées) et adresses NBMA (Publiques). Les

Spokes établissent donc les tunnels vers les Hub, puis ils échangent ensuite les infos de routage

IGP au travers du Tunnel.

D’après les résultats ci-dessus, on a des protocoles ESP transitant entre les sites qui indiquent que

les sites sont sécurisés par la technologie DMVPN.

4.6 Conclusion

Dans notre contexte, nous avons pris pour exemple la société ASECNA Madagascar. C’est une

grande société disposant de plusieurs Annexes dans les régions du pays. L’ASECNA centre étant

à Antananarivo, l’on veut établir une communication sécurisée entre celui-ci et les autres sites

situés à Tamatave et à Majunga. L’objectif ici était de raccorder ASECNA Antananarivo aux sites

ASECNA Tamatave et ASECNA Majunga, en utilisant DMVPN. A travers cette démonstration,

nous avons pu tester que notre conception est adaptative et est fonction des exigences liées à

chaque cas spécifique. Notamment la sécurité des données transitant sur chaque site.

85

CONCLUSION GENERALE

Il a été question pour nous, au cours de ce travail, de concevoir un modèle

d’infrastructure réseau basé sur les exigences requises dans le monde de la transmission

numérique d’information à grande distance ou télécommunication. Pour y parvenir, nous avons,

dans un premier lieu, tenté d’acquérir et de maitriser théoriquement les outils techniques et

méthodologiques d’analyse, de conception, et d’administration des réseaux. Le but était de

connaitre les bases de conception d’un réseau capable de répondre à des contraintes fonctionnelles

et évolutives, tout en tenant compte des composantes centrales que sont la sécurité, la mobilité et

les technologies IP. Ensuite, nous avons décidé d’implémenter notre projet dans les réseaux

étendus. Or, il existe de nombreux protocoles de réseaux de transports pouvant effectuer la

connectivité dans ce domaine tels que le X.25, le Frame Relay, l’ATM et MPLS.

Cependant, nous avons opté pour la technologie MPLS qui est une technique avantageuse, en

termes de traitement des paquets dans les réseaux longue distance opérateurs. De plus, le

transporteur sépare le trafic d'un client d'un autre lorsqu'il passe à travers le réseau fédérateur

partagé. Néanmoins, il n'y a pas de cryptage, donc le transporteur pourrait voir le trafic des clients,

même si les autres clients ne le peuvent pas. C'est pourquoi nous avons utilisé DMVPN à travers

notre MPLS. Ce dernier prend en charge via IPsec le cryptage, et fonctionne selon le principe

appelé « Hub &Spoke ». Grâce à DMVPN, les sites sont capables de construire dynamiquement

un tunnel VPN entre eux, ce qui permet la communication directe entre eux. Par conséquent, c'est

une excellente sauvegarde ou une alternative adaptable pour une entreprise fonctionnant sur un

réseau central MPLS privé basé sur IP. Enfin, nous avons présenté quelques résultats obtenus de la

conception du réseau géré par ces deux technologies.

Puisqu’en ingénierie, il n’y a pas de perfection mais plutôt du sens de créativité selon l’évolution

et les besoins de l’homme, nous pensons que pour approfondir les tests de déploiement de la

combinaison de ces deux technologies, il faudrait, en plus de tout ce que nous avons fait jusqu’ici

se tourner vers des test réels pour obtenir des résultats pratiques avec les équipements matériels

réels et ainsi fournir des conseils de conception sur l'évolutivité de diverses plates-formes dans les

configurations DMVPN. Ce travail, loin d’être complet pourra être amélioré dans tous les sens du

terme par quiconque s’y intéressant.

86

ANNEXE 1 Les gammes de paquet CISCO IOS

Il existe plusieurs paquets pour routeurs, catégorisés selon leurs fonctionnalités. Cependant, l’IP

Base est l’ensemble de bases de services logiciels Cisco IOS, requis pour faire fonctionner un

routeur Cisco dans un environnement de données. Il inclut des technologies telles que la

connectivité DSL, les modules de commutation Ethernet, le routage 802.1q et le trunking sur les

interfaces Ethernet. Ses sous-ensembles cités ci-dessous héritent toutes ses caractéristiques : [38]

[39]

a) IP Voice : ajoute la voix en plus des fonctionnalités disponibles dans IP Base. Il intègre le

support pour VoIP ou VoFR. Les fonctionnalités supplémentaires incluent la prise en

charge de toutes les interfaces voix existantes et de leurs protocoles de signalisation, des

capacités de leadership clés (ex : Cisco Call Manager Express) et de la téléphonie de site

(Survivable Remote, SRST).

b) Enterprise Base : intègre la prise en charge de la connectivité des données, des services

multi-protocoles et des services IBM (par exemples Appletalk, Novell et IPX).

c) Advanced Security : combine la sécurité et la connectivité de données avec un VPN. La

fonctionnalité supplémentaire inclut le pare-feu Cisco IOS, l'Intrusion Détection Système

(IDS) et le support pour le Client VPN et le Serveur. On fournira toutes les technologies de

chiffrage (3DES et AES) dans un ensemble de caractéristiques simples.

d) SP Services : combine des services de voix avec la connectivité de données et est un sur-

ensemble complet de Voix IP. L'ensemble de caractéristique de Services SP fournit aussi

d'autres caractéristiques haut de gamme, comme BGP et MPLS.

e) Advanced IP Services : combine le support pour des données et la voix avec la sécurité et

des capacités VPN. Il supporte toutes les caractéristiques matérielles soutenu dans les

Services SP et l’ensemble de caractéristiques de Sécurité Avancée en ajoutant le support

pour IPV6.

f) Enterprise Services : remplit entièrement les exigences des clients qui veulent intégrer le

support IBM complet et les services de voix.

g) Advanced Enterprise Services : fusionne le support pour des services de multi-protocole

avec la voix, sécurité, VPN et d'autres caractéristiques haut de gamme (c'est-à-dire IPv6,

BGP, MPLS).

87

Figure A1.01 : Les types de paquets de routeurs Cisco IOS

Comme pour les routeurs, les commutateurs eux aussi ont chacun leurs caractéristiques. On les

catégorise comme suit :

a) Layer 2 Base : offre des services Logiciels IOS nécessaires pour l'environnement

commuté de la Couche 2 Ethernet. Il inclut la fonctionnalité IEEE d'Ethernet, y compris le

support 802.1D, le point d’authentification 802.1x, la sécurité portuaire, et SSHv2.

b) LAN Base : inclut les caractéristiques de réseau local, de sécurité, et de qualité avancée

comme des Listes de Contrôle d'Accès avancées (ACL), le taux limitant des capacités, la

Qualité de Service (QoS).

c) IP Base : propose des services Logiciels IOS nécessaires pour opérer avec le switch Cisco.

Elle inclut toutes les caractéristiques de base de réseau local, avec l’acheminement IP

(Statique, RIP et PIM de Base), HSRP/VRRP et le Tunnelage GRE.

d) IP Services : inclut toutes les caractéristiques de base IP avec le cheminement IP complet

(EIGRP, OSPF et PIM), BGP, la Politique (Police), GLBP, la Haute Disponibilité, Multi-

VRF...

e) Advanced IP Service : inclut toutes les caractéristiques de Services IP avec IS-IS, MPLS,

VPN de couche 2 et 3.

f) Enterprise Services : inclut IPV6, toutes les caractéristiques de Services IP et des

caractéristiques supplémentaires pour l’environnement à multi-protocole de la Couche 3.

g) Advanced Enterprise Services : fusionne le support pour tous les protocoles d'entreprise

et IP (c'est-à-dire AppleTalk, Novell, l'IPX, IS-IS et BGP) et ajoute les caractéristiques des

Sécurités Avancées (le Pare-feu, IDS).

88

Figure A1.02 : Les types de paquets de commutateurs Cisco IOS

La liste suivante sert de référence, en vue d'aider des ingénieurs dans la vérification des ensembles

de caractéristiques inclus avec une image. Dans une image IOS on peut distinguer des nombres et

des lettres, qui indiquent la fonctionnalité de caractéristique incluse dans l'image. La liste ci-

dessous, bien que n'étant pas "complète", est une liste des codes les plus populaires IOS image

nommant la convention.

Figure A1.03 : Reference des noms de paquets Cisco

89

ANNEXE 2: Évolutions MPLS

La première extension du MPLS est le GMPLS ou Generalized Multi Protocol Label Switching.

Le concept de cette technologie est d’étendre la commutation aux réseaux optiques. GMPLS

reprend le plan de contrôle de MPLS en l'étendant pour prendre en compte les contraintes liées

aux réseaux optiques. En effet, il va ajouter une brique de gestion des liens à l'architecture MPLS.

Cette brique comprend un ensemble de procédures utilisées pour gérer les canaux et les erreurs

rencontrées. [3] [15] [16]

Il permet donc de transporter les données sur un ensemble de réseaux hétérogènes en encapsulant

les paquets successivement à chaque entrée, dans un nouveau type de réseau. Ainsi, il est possible

d'avoir plusieurs niveaux d'encapsulations selon le nombre de réseaux traversés.

GMPLS est destiné à traiter différents types de technologies de transmission et de transport. Son

but est donc d'intégrer les couches de transmissions au MPLS et d'obtenir une vision globale. Il

fournira un plan de contrôle consolidé en étendant la connaissance de la topologie du réseau à

toutes les couches et permet de réaliser le management de la bande passante. Le GMPLS consiste

donc à faire converger le monde de l’optique et celui des données. Ainsi, le label, en plus de

pouvoir être une valeur numérique, peut alors être mappé par une fibre, une longueur d'onde et

bien d'autres paramètres correspondent alors à des valeurs spécifiques selon les LSPs et les autres

paramètres comme la QoS.

Grâce à GMPLS, on voit apparaître de nouveaux types de commutation. Les protocoles de

signalisation et ceux de routage seront tout simplement étendus et/ou modifiés pour pouvoir être

adaptés et supporter plusieurs technologies, et surtout, pour être adapté à la fibre optique. Il est

clair que de tels réseaux seront plus robustes et plus complets, et surtout, pourront satisfaire les

contraintes NGN. Un réseau GMPLS devra donc comporter des éléments essentiels comme : des

routeurs, des commutateurs ou Switch, des ADM, des brasseurs SDH ou SONET, des systèmes

DWDM. On pourra obtenir un réseau optimisé en utilisant les techniques de protection, de

restauration et de Traffic Engineering proposé par MPLS. Le MPLS ne faisant que de la

commutation de paquets sur des réseaux constitués essentiellement de routeurs et de

commutateurs et, ne comprenant également que des interfaces PSC, le GMPLS, vient en

complément, car il permet de supporter d'autres types de commutations.

90

Le VPLS ou Virtual Private LAN Service définit un service de VPN au niveau de la couche 2. Son

but est de simuler un réseau LAN à travers l'utilisation d'un réseau MPLS classique. Là encore, la

plus grande partie des traitements va s'effectuer sur les PE tout comme les VPNs de niveau 3.

Chaque PE maintient une table d’adresses MAC appelée table VFI.

A ce niveau-là, le mapping des FEC s'effectue directement par rapport aux adresses MAC et non

les adresses IP. Le principe est similaire à la commutation classique de niveau 2 : une trame arrive

sur un PE qui consulte sa table VFI pour vérifier l'existence de l'adresse et la commute si trouvée.

Le cas échéant, le PE, qui émule ce commutateur, va envoyer la trame sur tous les ports logiques

relatifs à l'instance VPLS concernée.

VPLS apporte un service Ethernet multipoint-à-multipoint sur une infrastructure IP/MPLS au

niveau métropolitain ou longue distance. Différentes approches sont étudiées dans le cadre de

l’IETF et des implémentations opérationnelles sont aujourd’hui proposées par les équipementiers.

Les services Ethernet sont largement utilisés dans le cadre des réseaux Recherche et

Enseignement, en particulier dans les réseaux métropolitains. La technologie permet aujourd’hui

d’étudier et d’envisager la délivrance de services Ethernet innovants par et pour la communauté

Recherche et Enseignement, non seulement au niveau local, mais aussi de manière plus globale

dans un cadre multi-domaines.

91

BIBLIOGRAPHIE

[1] « CCIE Fundamentals: Network Design and Case Studies », Cisco Systems, Inc. Second

Edition, Campus Press France, 2000

[2] W. R. Stevens, G. Pujolle, P. Rolin, « Réseaux et principles fondamentaux », Cours

Master Informatique 2èmeAnnée, Université d’Angers, France, A.U: 1999-2000.

[3] T. DANG NGOC, « Routage », Université de Cergy-Pontoise, 2012–2013

[4] G. Pujolle, « Cours réseaux et télécom », Eyrolles 3è Edition 2004

[5] E. Robin, G. Tourres, M. Vernerie, « CCNA 4 – Essentiel Réseaux et technologies

WAN », Ecole Supérieure d’Informatique de Paris, Version 2.5.1, Janv 2006

[6] J. F. PILLOU, « Routage IP », Septembre 2015

[7] C. CALECA, « Le protocole Internet et le routage », Mars 2005

[8] J. Archimbaud, « Cours Interconnexion et conception de réseaux », Ecole d’ingénieur. A

Grenoble à l’ENSIMAG, 2002

[9] N. Lebedev, « Introduction aux Réseaux Etendus », CPE Lyon, 2007-2008

[10] N.S.K, « CCNA Exploration : Présentation des réseaux étendus », CCNA 4 Version 4.0,

2010

[11] E. Rose, « Understanding MPLS », BRKMPL-1101, Cisco Live, 2014

[12] E. Osborne, « Introduction to MPLS », BRKMPL-1100, Cisco Live, 2013

[13] A. RAZAFIARINOMENJANAHARY, « Sécurisation des données échangées entre des

sites à travers le réseau MPLS par la technologie DMVPN », Mémoire de MASTER,

Avril 2016

[14] A. Laurent, « MPLS and MPBGP Fundamentals », 3X CCIE/CCDEVRF, BRKCRT-

2601, cisco live, 2015

[15] F. TANGUEP, « Conception et déploiement de la technologie MPLS dans un réseau

métropolitain », Université de Maroua/ISS, 2013

[16] A. RANDRIAMITANTSOA, « Planification, Modélisation et Simulation des réseaux par

le protocole MPLS », Janvier 2009

[17] Luc De Ghein, « Scaling BGP », BRKRST-3321, Cisco Live, Fev.2016

[18] « MPLS architecture », RFC3031, Janv. 2001

[19] Aude Le DUC, « Multi-Protocol Label Switching (MPLS) », ESME, 2008-2009

92

[20] A. Rajiv, « Deploying IP/MPLS VPNs », BRKIPM-2017, Cisco Live, 2012

[21] D. JACQUET, « Modèles d’interconnexion d’AS pour le service L3VPN MPLS »,

Editions T.I., ref. article : te7581, Avr.2017

[22] S. Chuck, « BGP/MPLS VPN Hierarchical and Recursive Applications », RFC 2547,

2001

[23] « Dynamic Multipoint VPN Design Guide », Version 1.1, Cisco Validated Design, July

2008

[24] M. Conran, « DMVPN Technologies », GUIDE DE CONCEPTION, Fev 2015

[25] D. DABO, G. YAKETE, S. DEM, « Dynamic Multipoint Virtual Private Network »,

Institut Supérieur d’Informatique, 2014

[26] S. Lynn, « DMVPN/GET VPN Design & Case Study », Consulting Systems Engineer

CCIE 5507, 2008

[27] « IPsec VPN WAN Design Overview », OL-9021-01, Corporate Headquarters, Cisco

Systems, Inc. 2007

[28] M. Langlois, Réseaux privés virtuels (VPN), Cisco Systems, Inc. 2002

[29] M. Sullenberger, « Advanced Concepts of DMVPN », BRKSEC-3052, Cisco Live, Fev.

2017

[30] Benoit, « DMVPN Phase », CCIE, Network Life, 2014

[31] L. Archimède, T. Chevalier, J. Herbin, « Sécurité de l’information Tunnels et VPN »,

DESS ISYDI, Mai 2004

[32] « IP Routing: OSPF Configuration Guide », Cisco IOS Release 12.4T, Cisco Systems,

Inc., CA 95134-1706 USA, 2011

[33] S. Lynn, « WAN Architectures and Design Principles », BRKRST-2041, Cisco Live,

2012

[34] C. Huitema, « Routing the Internet (partie III) », Prentice Hall, 2000

[35] « Présentation de Visio », Visio Corporation, Référence 40128 0795, 1995

[36] A. Ksiks, I. Maiga, "Etude et simulation sur GNS3 du service MP-BGP/VPN-IP", Ecole

Nationale des Sciences Appliquées de Marrakech, A.U. : 2010-2011

[37] B. Darties, "Tutoriel d’utilisation de Wireshark", 2009

[38] « Cisco IOS planning tools », Cisco Systems,2005

[39] « Routeurs d'accès Cisco », Cisco Systems, 2010

93

PAGE DE RENSEIGNEMENTS

Nom : RAVONINTSOAMALALA

Prénom : Tantely

Adresse de l’auteur : Lot AB 10 Ikianja Ambohimangakely

Antananarivo – Madagascar

Téléphone : +261 34 64 818 18

E-mail : tantelyravonints00@gmail.com

Titre du mémoire :

CONCEPTION ET MODELISATION D’UNE INFRASTRUCTURE RESEAU BASE SUR

LE PRINCIPE DE « HUB & SPOKE »

Nombre de pages : 92

Nombre de tableaux : 5

Nombre de figures : 66

Directeur de mémoire : M. RANDRIARIJAONA Lucien Elino

Téléphone : +261 032 11 081 90

E-mail : elrandria@yahoo.com

RESUME

Dans un environnement professionnel à la fois complexe et fortement évolutif, les concepteurs

réseau sont confrontés à la difficulté de devoir soumettre des solutions technologiques innovantes,

fiables et durables. Dans ce contexte, notre œuvre présente une approche de conception ciblée

pour le déploiement d’une connectivité WAN entre les VPN des grandes entreprises. En effet,

MPLS, un protocole de réseau de transport qui utilise un mécanisme de routage par commutation

de label, prend l’avantage sur les autres choix de connectivité dans les réseaux étendus par sa

qualité de service et ses applications. Malgré cela, elle ne garantit pas la sécurité des données.

L'apparition de DMVPN, qui n’est autre que l’ensemble des technologies IPsec, mGRE et NHRP,

répond à cette nécessité tout en gardant les fonctionnalités du réseau MPLS. Compte tenu des

caractéristiques des réseaux ainsi créés, nous avons donc proposé une méthode de mise en œuvre

de la technologie DMVPN, à travers le service MPLS dans un réseau étendu. Une simulation nous

montre leur complémentarité et efficacité dans les réseaux VPN IPsec volumineux, dotés de

fonctionnalités de routage dynamique.

Mots clés : MPLS, DMVPN, IPSec, EIGRP, OSPF

ABSTRACT

In a complex and highly scalable business environment, network designers are faced with the

challenge of having to submit innovative, reliable and sustainable technology solutions. In this

context, our work presents a targeted design approach for deploying WAN connectivity between

enterprise VPNs. Indeed, MPLS, a transport network protocol that uses a label switching routing

mechanism, takes advantage over other connectivity choices in wide area networks by its quality

of service and its applications. Despite this, it does not guarantee data security. The appearance of

DMVPN, which is none other than the set of IPsec technologies, mGRE and NHRP, meets this

need while keeping the functionality of the MPLS network. Given the characteristics of the

networks thus created, we have therefore proposed a method for implementing the DMVPN

technology, through the MPLS service in an extended network. A simulation shows their

complementarity and efficiency in large IPsec VPN networks with dynamic routing capabilities.

Keywords: MPLS, DMVPN, IPSec, EIGRP, OSPF