Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
N° d’ordre : 25 / STI / TCO Année Universitaire : 2016 / 2017
UNIVERSITE D’ANTANANARIVO
----------------------
ECOLE SUPERIEURE POLYTECHNIQUE
----------------------
DEPARTEMENT TELECOMMUNICATION
Mémoire en vue de l’obtention
De Master
Titre : Ingénieur
Mention : Télécommunication
Parcours : Système de Traitement de l’Information
Par : RAVONINTSOAMALALA Tantely
CONCEPTION ET MODELISATION D’UNE
INFRASTRUCTURE RESEAU BASE SUR LE
PRINCIPE DE « HUB & SPOKE »
Soutenu le 12 Avril 2018 devant la Commission d’Examen composée de :
Président :
M. RATSIHOARANA Constant
Examinateurs :
M. ANDRIAMANALINA Ando Nirina
M. RANDRIAMIHAJARISON Jimmy
M. RAVONIMANANTSOA Ndaohialy Manda-Vy
Directeur de mémoire :
M. RANDRIARIJAONA Lucien Elino
M. RAFANAMBINANTSOA Valohery
i
REMERCIEMENTS
Le présent document en votre possession représente un mémoire de fin d’études effectuées à
l’École Supérieure Polytechnique d’Antananarivo. Ma vision de la Télécommunication en qualité
d’élève ingénieur durant ces 5 années d’études supérieures s’est considérablement éprouvée. C’est
l’occasion pour moi de rendre grâce à Dieu sans qui je n’aurais pas pu mener à bien l’élaboration
de ce mémoire de fin d’études.
Je tiens également à témoigner ma reconnaissance et ma gratitude les plus sincères à :
- Monsieur PANJA Ramanoelina, Professeur Titulaire, Président de l’Université
d’Antananarivo et Monsieur ANDRIANAHARISON Yvon, Professeur Titulaire,
Responsable du Domaine Sciences de l’Ingénieur de l’Ecole Supérieur Polytechnique
d’Antananarivo.
- Monsieur RAKOTOMALALA Mamy Alain, Maitre de Conférences, Chef de Département
Télécommunications.
- Monsieur RANDRIARIJAONA Lucien Elino, Assistant d’Enseignement et de Recherche
en Télécommunication à l’ESPA, encadreur pédagogique, et Monsieur
RAFANAMBINANTSOA Valohery, Chef de l’unité Réseaux et Systèmes Informatiques à
l’ASECNA, encadreur professionnel.
- Monsieur RATSIHOARANA Constant, Maître de Conférences, qui nous a fait l’honneur
de présider le jury de cette soutenance.
J’exprime également ma gratitude aux membres de jury qui ont accepté de siéger comme
examinateur de ce mémoire :
- ANDRIAMANALINA Ando Nirina, Maître de Conférences, Enseignant Chercheur en
Télécommunication à l’ESPA.
- Monsieur RAVONIMANANTSOA Ndaohialy Manda-Vy, Maître de Conférences,
Enseignant Chercheur en Télécommunication à l’ESPA.
- Monsieur RANDRIAMIHAJARISON Jimmy, Assistant d’Enseignement et de Recherche
en Télécommunication à l’ESPA.
Enfin, je n'oublie pas mes parents et amis pour leurs contributions, leurs soutiens et patiences.
ii
TABLES DES MATIERES
REMERCIEMENTS ...................................................................................................................................... i
TABLES DES MATIERES .......................................................................................................................... ii
ABREVIATIONS ......................................................................................................................................... vi
INTRODUCTION GENERALE .................................................................................................................. 1
CHAPITRE 1 : .............................................................................................................................................. 2
CONCEPTION D’ARCHITECTURE RESEAUX .................................................................................... 2 1.1 Introduction ......................................................................................................................................... 2 1.2 Définition des problématiques et exigences de réseau ..................................................................... 2
1.2.1 Problématiques ............................................................................................................................. 2
1.2.2 Exigences ...................................................................................................................................... 3
1.3 Parcours méthodique de conception .................................................................................................. 3
1.3.1 Etapes de conception .................................................................................................................... 3
1.3.2 Evaluation des besoins des clients ................................................................................................ 4
1.3.3 Recommandation de l’architecte réseau ...................................................................................... 6
1.3.4 Identification et choix des équipements ....................................................................................... 8
1.3.5 Test de sensibilité du réseau ....................................................................................................... 13
1.4 Modèle de conception de réseau....................................................................................................... 13
1.4.1 Modèle hiérarchique ................................................................................................................... 13
1.4.2 Avantage du modèle hiérarchique ............................................................................................. 14
1.5 Les réseaux d’opérateur ................................................................................................................... 15
1.5.1 Définition .................................................................................................................................... 15
1.5.2 Topologies WAN ......................................................................................................................... 16
1.5.3 Les offres de services operateurs ................................................................................................ 17
iii
1.6 Administration des équipements du réseau .................................................................................... 19
1.6.1 Directives d’administration de réseau ........................................................................................ 19
1.6.2 Protocole d’administration de réseau ........................................................................................ 20
1.7 Conclusion ......................................................................................................................................... 21
CHAPITRE 2 ............................................................................................................................................... 22
INTRODUCTION A LA TECHNOLOGIE MPLS ................................................................................. 22 2.1 Introduction ....................................................................................................................................... 22 2.2 Présentation générale de MPLS ....................................................................................................... 22
2.2.1 Historique .................................................................................................................................... 22
2.2.2 Eléments de domaine MPLS ...................................................................................................... 23
2.2.3 Fonctionnement .......................................................................................................................... 25
2.2.4 Modèles de déploiement MPLS .................................................................................................. 26
2.3 Architecture MPLS ........................................................................................................................... 28
2.3.1 Le plan de contrôle ..................................................................................................................... 29
2.3.2 Le plan de données ..................................................................................................................... 31
2.4 La commutation de labels ................................................................................................................. 32
2.4.1 Définition .................................................................................................................................... 32
2.4.2 Pile de labels (Label Stack) ........................................................................................................ 33
2.4.3 Fonctionnement de label ............................................................................................................ 34
2.4.4 Distribution des labels ................................................................................................................ 34
2.5 Les applications de la technologie MPLS ........................................................................................ 35
2.5.1 L’AToM ou Any Transport over MPLS ..................................................................................... 35
2.5.2 Le support des réseaux privés virtuels : MPLS VPN ................................................................. 35
2.5.3 Le support de la qualité de service : MPLS QoS ....................................................................... 37
2.5.4 L’ingénierie de trafic : MPLS TE .............................................................................................. 38
iv
2.6 Choix du réseau de transport utilise : VPNs MPLS l3 .................................................................. 39
2.6.1 Comparaison des couches de liaison .......................................................................................... 39
2.6.2 Les fonctionnalités offertes ........................................................................................................ 40
2.7 Conclusion ......................................................................................................................................... 41
CHAPITRE 3 ............................................................................................................................................... 42
LA TECHNOLOGIE DMVPN .................................................................................................................. 42 3.1 Introduction ....................................................................................................................................... 42 3.2 Présentation des DMVPN ................................................................................................................. 42
3.2.1 Historique .................................................................................................................................... 42
3.2.2 Définition .................................................................................................................................... 42
3.3 Principes du DMVPN ....................................................................................................................... 43
3.3.1 Fonctionnement générale ........................................................................................................... 43
3.3.2 Modèle de déploiement ............................................................................................................... 44
3.3.3 Les différentes phases du DMVPN ............................................................................................ 45
3.4 Types d’architecture DMVPN ......................................................................................................... 47
3.4.1 Réseau composé d’un seul routeur Hub .................................................................................... 48
3.4.2 Réseau composé de deux routeurs centraux .............................................................................. 48
3.4.3 Réseau composé de deux routeurs Hub au siège ....................................................................... 49
3.4.4 Réseau composé de quatre routeurs centraux ........................................................................... 50
3.5 Les composants et les terminologies ................................................................................................ 50
3.5.1 Le protocole GRE ....................................................................................................................... 50
3.5.2 Le protocole IPsec ....................................................................................................................... 52
3.5.3 Le protocole NHRP ..................................................................................................................... 55
3.5.4 Les protocoles de routage à travers DMVPN ............................................................................. 56
3.6 Choix du modèle de conception DMVPN ........................................................................................ 59
3.6.1 Comparaison des technologies VPN : ........................................................................................ 59
v
3.6.2 DMVPN à travers MPLS ............................................................................................................ 60
3.7 Conclusion ......................................................................................................................................... 61
CHAPITRE 4 ............................................................................................................................................... 62
SIMULATION SOUS GNS3 ...................................................................................................................... 62 4.1 Introduction ....................................................................................................................................... 62 4.2 Présentation des outils de simulations utilisés ................................................................................ 62
4.2.1 Microsoft Office Visio ................................................................................................................. 62
4.2.2 Le simulateur GNS3 ................................................................................................................... 63
4.2.3 L’analyseur du réseau Wireshark .............................................................................................. 63
4.3 Concept et Design .............................................................................................................................. 64
4.3.1 Présentation de la topologie ....................................................................................................... 64
4.3.2 Présentation des équipements .................................................................................................... 67
4.4 Implémentation et configuration ..................................................................................................... 68
4.4.1 Adressage .................................................................................................................................... 68
4.4.2 Configuration .............................................................................................................................. 70
4.5 Interprétations des résultats de la simulation ................................................................................ 81
4.5.1 Résultats des séries de test .......................................................................................................... 81
4.5.2 Analyse et suggestions ................................................................................................................ 83
4.6 Conclusion ......................................................................................................................................... 84
CONCLUSION GENERALE .................................................................................................................... 85 ANNEXE 1 Les gammes de paquet CISCO IOS .................................................................................. 86 ANNEXE 2: Évolutions MPLS .............................................................................................................. 89
BIBLIOGRAPHIE ...................................................................................................................................... 91
PAGE DE RENSEIGNEMENTS ............................................................................................................... 93
RESUME ...................................................................................................................................................... 94
ABSTRACT ................................................................................................................................................. 94
vi
ABREVIATIONS
ABR Area Border Router
ACL Access Control List
AES Advanced Encryption Standard
AH Authentification Headers
ARIS Architecture of Integrated Information Systems
ARP Address Resolution Protocol
AS Autonomous System
ASBR Autonomous System Boundary
ASCII American Standard Code for Interchange
ATM Asynchronous Transfer Mode
AToM Any Transport over MPLS
BDR Backup Designated Router
BGP Border Gateway Protocol
CCITT Comité Consultatif International Télégraphique et Téléphonique
CE Customer Edge
CLI Command Line Interface
CoS Class of Service
CPU Central Processing Unit
CR-LDP Constraint-based Routing LDP
DES Data Encryption Standard
DHCP Dynamic Host Configuration Protocol
DMVPN Dynamic Multipoint Virtual Private Network
DR Designated Router
DSL Digital Subscriber Line
E-BGP Exterior- Border Gateway Protocol
EGP Exterior Gateway Protocol
EIA Electrical Industries Association
EIGRP Enhanced Interior Gateway Routing Protocol
E-LSR Edge LSR
ESP Encapsulating Security Payload
FDDI Fiber Distributed Data Interface
FEC Forwarding Equivalence Class
FIB Forwarding Information Base
FR Frame Relay
GNS3 Graphical Network Simulator 3
GRE Generic Routing Encapsulation
HDLC High Level Data Link Protocol
vii
I-BGP Interior- Border Gateway Protocol
IBM International Business Machines
ID Identificateur
IDS Intrusion Detection Systems
ISO International Standard Organization
IETF Internet Engineering Task Force
IGP Interior Gateway Protocol
IGRP Interior Gateway Routing Protocol
I-LSR Ingress LSR
IP Internet Protocol
IPsec Internet Protocol Security
IPv4 Internet Protocol version 4
IPv6 Internet Protocol version 6
IS-IS Internet Security- Internet Security
ISKAMP Internet Security Association and Key Management Protocol
L2TP Layer Two Tunneling Protocol
LAN Local Area Network
LDP Label Distribution Protocol
LER Label Edge Router
LFIB Label Forwarding Information Base
LIB Label Base Information
LSA Link State Advertisement
LSP Label Switch Path
LSR Label Switch Router
MAC Medium Access Control
MAN Metropolitain Area Network
mGRE Multipoint Generic Routing Encapsulation
MP-BGP Multi-Protocol Border Gateway Protocol
MP-eBGP Multi-Protocol- exteriorBGP
MP-iBGP Multi-Protocol- interiorBGP
MPLS Multi-Protocol Label Switching
MPLS VPN MPLS Virtual Private Network
MPLS-TE MPLS Traffic Engineering
MTU Maximum Transmission Unit
NAT Network Address Translation
NBMA Non-Broadcast Multi-Access
NHC NHRP Client
NHRP Next Hop Resolution Protocol
NHS Next-Hop Server
viii
OEM Original Equipment Manufacturer
OSI Open System Interconnections
OSPF Open Shortest Path First
P Provider device
PAN Personal Area Network
PC Personal Computer
PE Provider Edge
PHB Per Hop Behavior
POP Point-to-Point Protocol
PPP Point to Point Protocol
PVC Permanent Virtual Circuit
QoS Quality of Service
RFC Request For Comment
RIB Routing Information Base
RIP Routing Information Protocol
RMON Remote Network MONitoring
RNIS Réseau Numérique à Intégration de Services
RR Route-Reflector
RSVP Resource ReSerVation Protocol
RSVP-TE RSVP-Trafic Engineering
SA Security Association
SNMP Simple Network Management Protocol
SP Service Provider
SPF Shortest Path First
SSL Secure Socket Layer
TCP Transmission Control Protocol
TDP Tag Distribution Protocol
TE Traffic Engineering
TIA Telecommunications Industry Association
TTL Time To Live
UDP User Datagram Protocol
UIT-T Union Internationale des Télécommunications
VLAN Virtual Local Area Network
VoIP Voice over Internet Protocol
VPN Virtual Private Network
VPNs MPLS l2 MPLS VPN de niveau 2
VPNs MPLS l3 MPLS VPN de niveau 3
VRF Virtual Routing and Forwarding
WAN Wide Area Network
1
INTRODUCTION GENERALE
A l’avènement du XXIème, les réseaux informatiques n’ont pas seulement permis
d’interconnecter des petits et des grands systèmes informatiques entre eux, ils ont permis
également un grand bouleversement dans la conception des systèmes d’information et
informatiques en entreprise, pour faciliter l’interopérabilité et l’échange des données ou
d’informations dans tous les domaines où ces systèmes sont mis en œuvre. Suite à ces
améliorations continues de performance au niveau des équipements et des capacités des médias de
transmission, il est clair que la conception d’un réseau informatique et télécommunication se fait
dans des environnements de plus en plus complexes, impliquant de nombreux types de supports de
transmission, de protocoles et d’interconnexions à des réseaux. Une approche pragmatique peut
néanmoins aider le concepteur de réseau informatique à surmonter une partie des difficultés liées à
la nécessité d’extension d’un réseau au fur et à mesure de son évolution.
Ainsi, dans le cadre de la recherche de solutions liée aux problèmes d’évolutivité et de sécurité au
sein de réseau informatique, nous avons entamé une approche conceptuelle visant à faciliter ladite
démarche de conception. C’est alors que le thème abordé dans ce mémoire sera intitulé :
« Conception et modélisation d’une infrastructure réseau basé sur le principe de Hub & Spoke ».
Nous avons adopté les réseaux étendus pour élaborer notre conception car c’est le milieu naturel
des grandes entreprises en plein extension. Effectivement, les réseaux doivent être étendus pour
inclure de nouveaux partenaires, fournisseurs et clients, ainsi que des services de plus en plus
stricts, en termes de débit, de qualité et de sécurité. Pour cela le but de notre projet est d’élaborer
un concept capable de solutionner la connectivité Wide Area Network (WAN) par le service
Multi-Protocol Label Switching (MPLS), tout en introduisant la technologie Dynamic Multipoint
Virtual Private Network (DMVPN) pour sécuriser les données à travers ce réseau MPLS.
Dans le cadre cette conceptualisation, le présent document sera articulé en quatre chapitres. Le
premier chapitre donne, de manière générale, un aperçu sur la conception de base d’une
infrastructure réseau. Puis, le second chapitre abordera la technologie MPLS. Ensuite, nous
entamerons le troisième chapitre par la technologie DMVPN. Enfin, le dernier chapitre sera
consacré à l’illustration de manière concrète de notre démarche de conception grâce à une
simulation sur Graphical Network Simulator 3 ou GNS3 pour tester l’adaptabilité de la
technologie DMVPN à travers le réseau MPLS.
2
CHAPITRE 1 :
CONCEPTION D’ARCHITECTURE RESEAUX
1.1 Introduction
Quelle que soit sa taille, toute entreprise doit accorder un soin particulier à la conception
d’architecture du modèle type. C’est l'une des étapes essentielles permettant d'assurer la rapidité et
la stabilité d'un réseau. Si un réseau n'est pas conçu adéquatement, de nombreux problèmes
imprévus peuvent survenir, ce qui peut entraver son fonctionnement. Cette étape consiste tout
d’abord à penser à faire évoluer l’existant. Puis, à réfléchir à toutes les couches du point de vue de
la tranchée et des applications. Ce chapitre présente un aperçu du processus de conception d'un
modèle type d’infrastructure réseau.
1.2 Définition des problématiques et exigences de réseau
La conception d’un réseau peut être un véritable défi. La première étape consiste à bien
comprendre ses problèmes et exigences. [1] [2]
1.2.1 Problématiques
En général, les problèmes liés à la conception de réseaux impliquent les trois types d’éléments
généraux suivants :
1.2.1.1 Eléments de l’environnement
Ils comprennent l’emplacement des hôtes, des serveurs, des terminaux et autres nœuds d’extrémité
; les prévisions de trafic pour l’environnement ; les prévisions de coûts, afin de garantir différents
niveaux de service.
1.2.1.2 Contraintes de performances
Elles incluent la fiabilité du réseau, le débit des données transportées et les vitesses assurées par
les ordinateurs hôtes et clients.
1.2.1.3 Eléments variables de réseau
Ils concernent la topologie du réseau, les capacités des lignes et les allocations de flux de paquets.
3
1.2.2 Exigences
Il existe de nombreux organismes définissant et gérant les normes de conception comme : l’UIT-T
(Union Internationale des Télécommunications - secteur de normalisation des
Télécommunications), anciennement appelée CCITT (Comité Consultatif International
Télégraphique et Téléphonique), l’ISO (International Standards Organization), l’IETF (Internet
Engineering Task Force), l’EIA (Electrical Industries Association), le TIA (Telecommunications
Industry Association). Ces organismes vérifient les deux paramètres suivants : [3]
a) Disponibilité des applications.
b) Coût de possession d’un réseau.
Un réseau bien conçu peut faciliter un équilibrage de ces deux paramètres. S’il est correctement
implémenté, son infrastructure peut optimiser la disponibilité des applications et permet ainsi une
exploitation rentable des ressources de réseau existantes.
1.3 Parcours méthodique de conception
1.3.1 Etapes de conception
Comme l’illustre la Figure ci-dessous, la conception d’un réseau est une répétition de tâches. Les
sections suivantes mettent en valeur plusieurs aspects qui sont à considérer avec prudence lors des
prévisions d’implémentation. [1]
Figure 1.01 : Démarche de conception réseau
4
1.3.2 Evaluation des besoins des clients
1.3.2.1 Les besoins commerciaux
Le réseau est une composante stratégique de la conception globale de notre système
d’information. Voici une liste des coûts associés à sa mise en œuvre : [2]
a) Coûts des équipements matériels et logiciels
Cela intègre les coûts réels lors de l’acquisition de nos systèmes initiaux : ils doivent inclure les
achats et les installations de départ, la maintenance et les mises à jour programmées.
b) Coûts de performances
C’est l’estimation du coût des améliorations nécessitant des dépenses en médias de transmission,
cartes réseau, nœuds d’interconnexion, modems et services WAN.
c) Coûts d’installation
Ces coûts comprennent la main d’œuvre, la modification du site et les frais supplémentaires de
mise en conformité à l’égard de la législation locale et aux restrictions environnementales.
d) Coûts d’expansion
Ils calculent les frais à engager pour une prévision des besoins futurs comme l’ajout de
fonctionnalités supplémentaires ou un changement d’emplacement.
e) Coûts d’assistance
Ce sont les coûts de formation, de personnel qualifié (responsables et administrateurs de réseau) et
de remplacement de matériel.
f) Coûts d’improductivité
En évaluant le coût de chaque échec d’accès à un serveur de fichiers ou à une base centralisée,
nous obtiendrons le coût d’improductivité. Lorsque ce dernier atteint un niveau élevé, il faut
envisager de recourir à un réseau totalement redondant.
5
g) Coûts de renonciation
Ils représentent la perte financière liée à un choix non adapté. Par exemple, négliger les
technologies récentes peut entraîner la perte d’une position concurrentielle sur le marché, une
baisse de la productivité et une diminution des performances. Il faut donc essayer d’intégrer ces
coûts dans nos calculs afin de réaliser des comparaisons précises en début de projet.
h) Coûts irrécupérables
Ils concernent nos investissements en équipements : câblage, routeurs, concentrateurs,
commutateurs, hôtes, ainsi que divers équipements matériels ou logiciels.
1.3.2.2 Les besoins techniques
En général, les utilisateurs veulent pouvoir disposer à tout moment des applications du réseau. Les
facteurs déterminants de cette disponibilité sont le temps de réponse, le débit et la fiabilité.
Le temps de réponse est l’intervalle de temps compris entre l’entrée d’une commande ou
l’activation d’une touche et l’exécution de ladite commande ou la réception d’une réponse
émanant du système hôte. Les services en lignes interactifs tels que les guichets automatiques
bancaires sont des exemples d’applications exigeant une réponse rapide.
L’utilisation d’applications demandant un débit élevé implique généralement des activités de
transfert de fichiers.
La fiabilité et la sécurité sont primordiales pour les entreprises dont toutes les activités s’exécutent
en ligne comme les services financiers, les opérations policières et militaires. Ce type de situation
exige une redondance et une qualité de service de haut niveau.
Figure 1.02 : Les besoins des clients WAN et LAN
6
Pour répondre à ces besoins, un haut niveau de performance matérielle ou topologique est
nécessaire.
1.3.3 Recommandation de l’architecte réseau
1.3.3.1 Solutions réseaux
Il est abordé ici la cartographie des sites, de mêmes que les supports physiques et équipements
actifs. Ces informations affectent une grande partie des décisions que nous allons prendre dans le
choix de solution et de son déploiement. L’étude consiste dans un premier temps à recueillir les
informations telles que : [4]
a) La dimension du réseau
Une classification traditionnelle, fondée sur la notion d’étendue géographique, correspond à un
ensemble de contraintes que le concepteur devra prendre en compte lors de la réalisation de son
réseau.
Distance entre
processeurs
Emplacement des
processeurs
Classifications Technologies utilisées
1 m Un mètre carré Réseau personnel (PAN) Ethernet (surcâbles de
paires torsadées) ouWifi. 10 m Une salle Réseau local (LAN)
100 m Un immeuble
1 km Un campus
10 km Une ville Réseau métropolitain
(MAN)
Fibre optique, ondes radios
(Wifi).
100 km Un pays Réseau longue distance
(WAN)
Câble, fibre optique,
satellite, ondes
hertziennes. 1000 km Un continent
10.000 km Une planète Internet
Tableau 1.01: Classification des réseaux
b) La topologie du réseau
Elle définit la structure du réseau, tout d’abord d’un point de vue physique puis logique.
La topologie physique est l’arrangement physique des interconnexions des ordinateurs reliés entre
eux grâce à des lignes de communication et des éléments matériels qui constituent le réseau. Par
exemple, en bus, en étoile, en anneau, en arbre, maillée. [5]
7
La topologie logique représente la façon par laquelle les données transitent dans les câbles, c'est-à-
dire les méthodes d’accès utilisées qui sont réalisées par des protocoles d’accès. Les topologies
logiques les plus courantes sont Ethernet, Token Ring et FDDI (Fiber Distributed Data Interface).
1.3.3.2 Services réseaux
Cela concerne les différentes fonctionnalités que le réseau devrait avoir pour satisfaire aux mieux
les besoins des clients cités auparavant. L’architecte réseau doit, de ce fait, mettre en place les
éléments suivants : [3] [6]
a) Plan d’adressage
Cette opération a pour but d’organiser la reconnaissance de chaque composant actif dans le réseau.
Pour se faire on doit prendre en compte la taille du réseau lors de l’attribution de l’adresse de
réseau. Selon qu’il est très grand (plus de 65535 hôtes), de taille moyenne (entre 255 et 65534
hôtes) ou petit (254 hôtes au plus), son adresse appartiendra respectivement à la classe A, B ou C.
Deux méthodes sont recommandées pour assigner les adresses sur un réseau hiérarchique. La plus
simple est d’attribuer à chaque zone, y compris au réseau fédérateur, une adresse de réseau unique.
L’autre solution consiste à réserver des plages d’adresse pour chaque zone
b) Routage
Le routage désigne une technologie permettant de déterminer la route qu'un paquet doit prendre
pour atteindre une destination. Trois processus fondamentaux font partie d'un système de routage :
- La machine hôte doit savoir quand et comment communiquer avec un routeur.
- Le routeur doit être capable de déterminer un chemin d'accès vers le réseau distant.
- Le routeur du réseau de destination doit savoir comment se connecter à la machine hôte.
En ce sens, il existe deux grands types de routage :
- Routage statique : créé au démarrage de la machine ou ajouté par l’administrateur système.
Les routeurs exploités de cette manière ne peuvent accéder et transmettre des données
qu’aux réseaux pour lesquels ils ont été configurés manuellement. La découverte du
« network ID » des autres réseaux est donc manuelle
8
- Routage dynamique : créé lorsque la topologie d’un réseau offre la possibilité de plusieurs
routes pour atteindre une même destination, s’il est vaste et complexe, sujet à des
changements fréquents de configuration. Sa table de routage est créée automatiquement
par des mécanismes reposant sur des protocoles spéciaux. [4]
c) Les protocoles
Un protocole est un ensemble de règles qui définissent comment se produit une communication
dans un réseau. Il s’applique selon le domaine de routage :
- IGP (Interior Gateway Protocol) : protocole de routage interne utilisé au sein d'une même
unité administrative (AS)
Exemples: RIP (Routing Information Protocol), OSPF (Open Shortest Path First), IGRP (Interior
Gateway Routing Protocol), EIGRP (Enhanced Interior Gateway Routing Protocol)
- EGP (Exterior Gateway Protocol) : protocole de routage externe utilisé entre passerelles
appartenant à des unités administratives différentes (AS).
Exemple: BGP (Border Gateway Protocol)
Les protocoles de routage utilisent diverses techniques pour attribuer une métrique à un réseau
puis les comparent pour sélectionner le meilleur chemin parmi plusieurs solutions. Chaque
protocole possède une manière propre de former un agrégat métrique.
Cependant, trois ressources essentielles sont exploitées par les protocoles de routage :
- Mémoire : pour y stocker des tables de routage et des informations sur la topologie.
- Processeur : qui est dépendant du protocole car il l’utilise selon de mode de calcul de route
de chacun.
- Bande passante : qui est utilisé au moment où les informations de routage sont envoyées
1.3.4 Identification et choix des équipements
1.3.4.1 Supports physiques
Les différents moyens possibles pour véhiculer les informations sont : [4] [8]
9
a) Câble coaxial
C’est un câble constitué de deux conducteurs concentriques : un conducteur central et le cœur,
entouré d’un matériau isolant de forme cylindrique, enveloppé le plus souvent d’une tresse
conductrice en cuivre. L’ensemble est enrobé d’une gaine isolante en matière plastique.
Figure 1.03 : Coupe d'un câble coaxial
b) Câble paire torsadée
Une paire torsadée est formée de 2 conducteurs enroulés en hélice l’un autour de l’autre. Cette
configuration a pour but de maintenir précisément la distance entre les deux fils et de diminuer la
diaphonie.
Figure 1.04 : Le câble en paires torsadées
c) Fibre optique
A la limite des possibilités de liaison en cuivre s’intègre la fibre. Elle se présente sous forme d’un
cylindre de verre de quelques centaines de micromètres et est constituée d’un cœur et d’une gaine.
Les signaux lumineux vont transiter dans le cœur, tandis que la gaine va empêcher qu’ils ne
s’échappent pas de la fibre.
10
Figure 1.05 : Structure d'une fibre optique
Ainsi, nous avons une large gamme de choix que nous allons récapitulée ci-dessous :
Coaxial fin
(10Base2)
Coaxial épais
(10Base5)
Paire torsadée
10BaseT
100BaseT
1000BaseT
Fibre optique
multimode et
monomode
Coût du câble Plus élevé que
la paire
torsadée
Plus élevé que
le câble coaxial
fin
Le moins élevé Le plus élevé
Longueur de
cable
recommandée
185 m 500 m 100 m 2 km et 35 à 100
km
Débits de
transmission
10 Mbps 10 Mbps 10 Mbps 4 à
100 Mbps
100 Mbps ou
plus
Installation Simple Simple Très simple Relativement
difficile
Sensibilité aux
interférences
Faible Faible Élevée Aucune
Utilisation
conseillée
Sites de
moyenne et de
grande taille
avec des
besoins de
sécurité élevés
UTP pour les
sites de plus
petite taille avec
des budgets
limités ; STP
pour les réseaux
de type token
ring, sans
restriction de
taille.
Installation de
toute taille
nécessitant une
vitesse de
transmission et
un niveau de
sécurité et
d’intégrité des
données élevé.
Tableau 1.02: Tableau récapitulatif des principales caractéristiques des câbles
11
1.3.4.2 Equipements d’interconnexion
Par le passé, les concepteurs ne disposaient que d’un nombre limité d’options matérielles
lorsqu’ils devaient faire l’acquisition d’une technologie pour leurs réseaux. Mais aujourd’hui,
nous avons une large gamme de choix : [7]
a) Les unités hôtes
Ce sont les unités directement connectées à un segment. Elles peuvent être des ordinateurs, des
clients, des serveurs, des imprimantes, des scanneurs ainsi que de nombreux autres types
d'équipements.
b) Répéteur
C’est un équipement qui permet d’étendre la portée du signal sur le support de transmission en
générant un nouveau signal à partir d’un signal reçu et augmente la puissance de cette dernière. Il
fonctionne dans la couche physique et offre un débit de 10 Mbits/s. L’avantage de cet équipement
est qu’il permet d’augmenter la taille du réseau et ne nécessite pas d’administration.
c) Pont
Les ponts servent à séparer logiquement des segments d’un même réseau. Ils opèrent au niveau de
la couche Liaison de données du modèle OSI (couche 2) et sont indépendants des protocoles de
couche supérieure.
d) Switch
Les commutateurs sont semblables aux ponts, mais ils possèdent généralement un plus grand
nombre de ports. C'est un dispositif électronique qui est utilisé pour interconnecter plusieurs
câbles Ethernet. Son principe est de diriger les données émises par un PC vers le PC à qui les
données sont destinées. Les équipements qui n'ont pas l'adresse de destination correspondante ne
reçoivent rien. Ils sont surtout utilisés dans les grands réseaux industriels car ils évitent
d'encombrer les liaisons qui ne sont pas concernées par le transport des données. [4]
12
Figure 1.06 : Représentation d’un Switch
e) Routeur
Le routeur est un équipement qui intervient au niveau 3 du modèle OSI, il intervient surtout dans
la régulation du trafic dans les grands réseaux. Il analyse et peut prendre des décisions. Son rôle
principal consiste à examiner les paquets entrants, à choisir le meilleur chemin pour les transporter
vers la machine destinataire. [7]
Les routeurs sont dépendants des protocoles. Ils représentent les points de jonction LAN/WAN.
f) Passerelle
Considérée au sens matériel du terme, la passerelle est un équipement recouvrant les 7 couches du
modèle OSI. Elle assure l'interconnexion des réseaux n'utilisant pas les mêmes protocoles et
permet de résoudre les problèmes d'hétérogénéité des réseaux (matériel et logiciel). La passerelle
peut aussi être un ordinateur disposant de 2 cartes réseaux et d'un logiciel spécifique qui se charge
de convertir les données en provenance d'un réseau d'expéditeur vers le réseau destinataire. [3] [4]
Elle est utilisée pour différents types d'application: transfert de fichiers, accès à des serveurs
distants, etc.
g) Firewall
Appelé aussi pare-feu est un outil informatique conçu pour protéger les données d’un réseau en
filtrant les entrées et en contrôlant les sorties selon des règles définies par son administrateur. Il est
formé de deux composants essentiels : deux routeurs qui filtrent les paquets ou datagrammes et
une passerelle d’application qui renforce la sécurité. Le filtrage de paquet est géré dans des tables
configurées par l’administrateur. La passerelle d’application quant à elle intervient pour surveiller
chaque message entrant et sortant ; transmettre ou rejeter suivant le contenu et la taille du
message.
13
1.3.5 Test de sensibilité du réseau
Ce test est pratiqué pour pouvoir évaluer la résistance de notre topologie. D’un point de vue
pratique, il implique la rupture de liens stables et l’observation des répercussions. On peut
procéder à ce test en provoquant un dysfonctionnement c’est-à-dire retirer une carte active, puis
analyser de quelle façon le réseau gère la situation. On peut observer la manière dont le trafic est
re-routé, la vitesse de convergence, la perte éventuelle de connectivité, et les problèmes éventuels
de gestion de types spécifiques de trafic.
1.4 Modèle de conception de réseau
1.4.1 Modèle hiérarchique
Chaque concepteur s’inspire du fameux modèle de référence OSI (Open System Interconnections
ou interconnexion de systèmes ouverts), qui sert à comprendre et à implémenter la communication
entre ordinateurs. On propose ici, dans la figure ci-dessous, les modèles hiérarchiques qui font
appel à ce concept afin de faciliter la mise en œuvre de réseaux et ses modifications. Le principe
de modularité permet de créer des éléments qui peuvent être reproduits au fur et à mesure que le
réseau se développe et ainsi repérer les points de transition du réseau pour mieux identifier les
pannes. Contrairement au modèle d’architectures linéaires ou maillées qui requiert des
modifications importantes car ils ont tendance à affecter un grand nombre de systèmes. [5] [9]
Figure 1.07 : Modèle de conception de réseau hiérarchique
Couche central
Commutation à haute vitesse
Couche distribution
Connectivité basée sur des règles
Couche d'accès
Accès local et distant pour groupes de travail ou utilisateurs individuels
14
1.4.1.2 La couche centrale :
Cette couche est un réseau fédérateur de commutation à haute vitesse qui devrait être conçu pour
commuter les paquets le plus rapidement possible. Elle n’est censée opérer aucune manipulation
des paquets, telle que les listes d’accès ou le filtrage, afin de ne pas ralentir leur commutation
1.4.1.3 La couche de distribution :
Cette couche représente la frontière entre la couche d’accès et la couche centrale. Dans un
environnement de réseau de campus, cette couche peut assurer plusieurs fonctions telles que le
regroupement d’adresses ou de zones, l’accès au réseau pour les départements ou groupes de
travail, la définition de domaines de broadcast (diffusion générale) ou multicast (diffusion
restreinte), le routage sur des réseaux locaux virtuels ou VLAN (Virtual Local Area Network),
toute transition de médias nécessaire et la sécurité.
Dans les autres environnements, cette couche peut faire office de point de redistribution entre des
domaines de routage, ou bien de frontière entre des protocoles de routage statique ou dynamique.
Les sites distants peuvent également s’en servir comme point d’accès au réseau d’entreprise. Sa
principale fonctionnalité est d’offrir une connectivité basée sur des règles.
1.4.1.4 La couche d’accès
Cette couche représente le point d’accès local au réseau pour les utilisateurs finaux. Elle utilise
parfois des listes d’accès ou des filtres afin de mieux servir les besoins d’un ensemble
d’utilisateurs donné. Dans un environnement de réseau de campus, elle offre : une bande passante
partagée ou commutée, le filtrage au niveau de la couche MAC et la micro-segmentation. Dans les
autres environnements, cette couche peut autoriser des sites distants à accéder au réseau
d’entreprise par le biais de certaines technologies longue distance, comme le Frame Relay (relais
de trames), RNIS ou des lignes louées et aujourd’hui, le MPLS.
Ces trois couches (centrale, distribution et accès) ont été définies pour aider à la conception de
réseaux et représenter les fonctionnalités qui doivent être implémentées.
1.4.2 Avantage du modèle hiérarchique
Voici quelques-uns des avantages que procure l'utilisation d'un modèle hiérarchique :
15
1.4.2.1 Evolutivité
Les réseaux créés selon le modèle hiérarchique peuvent connaître une croissance plus forte, sans
effet négatif sur le contrôle et la facilité de gestion, parce que les fonctionnalités sont localisées et
qu'il est plus facile de détecter les problèmes éventuels. Le réseau téléphonique public commuté
est un exemple de réseau hiérarchique à très grande échelle.
1.4.2.2 La facilité de mise en œuvre
Puisqu'un modèle hiérarchique attribue des fonctionnalités précises à chaque couche, la mise en
œuvre du réseau s'en trouve facilitée.
1.4.2.3 La facilité de dépannage
Les fonctions de chaque couche étant clairement définies, il devient plus facile d'isoler les
problèmes qui peuvent survenir sur le réseau. Il est également plus facile de segmenter
temporairement le réseau pour réduire l'étendue d'un problème.
1.4.2.4 La prévisibilité
Il est relativement facile de prévoir le comportement d'un réseau utilisant des couches
fonctionnelles. La planification de la capacité de croissance du réseau s'en trouve
considérablement simplifiée, tout comme la modélisation des performances du réseau à des fins
d'analyse.
1.4.2.5 La prise en charge de protocoles
La combinaison d'applications et de protocoles actuels et futurs est beaucoup plus facile sur des
réseaux créés selon un modèle hiérarchique, en raison de l'organisation logique de l'infrastructure
sous-jacente.
1.5 Les réseaux d’opérateur
1.5.1 Définition
Contrairement au LAN et au MAN, le WAN utilise des infrastructures publiques ou d’opérateurs.
En effet les distances de raccordement des sites sont telles qu’un câblage privé n’est plus
envisageable et le recours à une infrastructure mutualiste devient nécessaire.
16
Pour une entreprise, plusieurs solutions peuvent être envisagées selon : la situation géographique,
le nombre de sites à raccorder, les débits nécessaires, les volumes échangés, les durées de
connexions nécessaires, la sécurité contre les coupures (fiabilité), la confidentialité, et les
applications. [5] [10]
Figure 1.08 : Présentation générale du réseau WAN
1.5.2 Topologies WAN
Les réseaux étendus utilisent les installations fournies par un prestataire de services, ou opérateur,
pour connecter les sites d’une organisation entre eux, les connecter aux sites d’autres
organisations, à des services externes ou à des utilisateurs distants. En effet, ils utilisent différentes
topologies de déploiement.
1.5.2.1 Topologie « Full Mesh » :
Cette topologie est nécessaire pour avoir un routage optimal, en cas d’existence d'un circuit dédié
entre chaque entité. Par contre, c’est une solution très coûteuse.
Figure 1.09 : Topologie avec maillages complets
17
1.5.2.2 Topologie « Partial Mesh » :
On l’appelle aussi hub-and-spoke. C’est une solution moins coûteuse que le full mesh. Il utilise un
point central qui coordonne les communications mais ne fournit pas un routage optimal. Pour
prévenir d'une interruption de service, le point central peut être « dupliqué » en étendant cette
topologie à une deuxième « hub-and spoke »
Figure 1.10 : Topologie avec maillage partiel
1.5.2.3 Topologie de MPLS :
Cette topologie fournit les routes optimales car chaque entité n'a besoin que d'une connexion vers
le MPLS Service Provider. Elle fournit de la commutation niveau 2 et du routage niveau 3 en
utilisant des labels de longueur fixe.
Figure 1.11 : Topologie MPLS
1.5.3 Les offres de services operateurs
Une entreprise doit s’abonner auprès d’un fournisseur de services de réseau étendu pour pouvoir
utiliser ces services. [1] [9]
18
Figure 1.12 : Types de liaisons WAN
1.5.3.2 Options de connexion de réseau étendu privé
a) Liaison dédiée (aussi appelée liaison spécialisée, ou lignes louées) : [8]
Cela fournit un service continu par des liaisons séries synchrones point-à-point. C’est un lien
physique dédié qui va directement d’un port du routeur client à un port du routeur de l’opérateur,
sans passer par un environnement commuté. Il est nécessaire d’avoir un port par liaison client sur
le routeur de l’opérateur. Cette liaison convient aux grands volumes d’information et aux trafics
constants.
Exemples de protocoles utilisés : PPP, HDLC, SDLC, HNAS
b) Liaison commutée :
On distingue d’une part la commutation de circuits qui établit de façon dynamique une connexion
dédiée pour la voix ou les données entre un expéditeur et un récepteur. Cet établissement se fait à
la demande, maintenu puis fermé à chaque session. D’autre part, la commutation de paquet ou
cellule qui est plus souple, utilise mieux la bande passante que les services à commutation de
circuits. Elle offre la possibilité d’acheminer des trames de taille variable (paquets) ou de taille
fixe (cellules), grâce à l’utilisation d’un PVC similaire à une liaison point-à-point.
Exemples de protocoles utilisés : PPP, RNIS pour les commutations de circuit et X25, Relais des
trames, ATM pour les commutations de paquet.
1.5.3.3 Options de connexion de réseau étendu public
Pour s’interconnecter dans un réseau étendu public, on a recours à des infrastructures internet
globales qui autrefois, n’étaient pas fiables pour de nombreuses entreprises à cause de l’insécurité
19
et du manque de garantie de performances. Mais aujourd’hui émergent les réseaux privés virtuels
qui deviennent une option peu coûteuse et sécurisée pour connecter des télétravailleurs et des
bureaux distants. Il y a aussi les liaisons de connexion WAN Internet via des services à large
bande tels que DSL, modem, câble et connexions sans fil à large bande, et associées à la
technologie de VPN pour garantir la confidentialité sur Internet.
Voici un schéma récapitulatif des services offert dans la technologie WAN :
Figure 1.13 : Options de connexion de liaison de réseau étendu
1.6 Administration des équipements du réseau
1.6.1 Directives d’administration de réseau
L'administration est une tâche qui requiert que le réseau soit fonctionnel et que les différents
services soient implémentés. Ces tâches d'administration peuvent être d'après l'ISO, reparties sur
cinq axes : [1] [8]
1.6.1.1 La gestion de la configuration réseau
Il convient de gérer la configuration matérielle et logicielle du réseau pour en optimiser
l'utilisation ; de permettre des configurations à distance via des outils adéquats (telnet, interface
web) et le stockage des différentes configurations ; les serveurs FTP sont très souvent sollicités
pour cette tâche.
Reseau etendu
Privé
Dédié
Lignes louées
Commuté
Circuit commuté
RTPC, ISDN
A commutation
de paquets
Relais des trames, X25, ATM, MPLS
Public
Internet
Réseau privé virtuel à large
bande
DSL, Cable, Sans fil à large
bande
20
1.6.1.2 La gestion des anomalies
L'administration a pour objectif d'avoir un réseau opérationnel sans rupture de service, ce qui
définit une certaine qualité de service ; on doit être en mesure de localiser le plus rapidement
possible toute panne ou défaillance pour pouvoir y remédier.
1.6.1.3 La gestion des performances (performance management)
Elle consiste à contrôler à tout moment, le réseau pour observer s'il est en mesure d'écouler le
trafic pour lequel il a été conçu. Le délai, le débit, le taux d'erreur, la disponibilité sont autant des
paramètres à prendre en compte pour l'évaluation.
1.6.1.4 La gestion de la sécurité
On gère ici les contrôles d'accès au réseau, la confidentialité des données qui y transitent, leur
intégrité et leur authenticité pour pouvoir les protéger contre tout dysfonctionnement, toute
inadvertance ou toute malveillance.
1.6.1.5 La gestion de la comptabilité
C’est l’évaluation de la consommation des ressources réseaux en fonction de la durée, du volume,
à des fins de facturation ou d'identification des stations saturant la bande passante.
1.6.2 Protocole d’administration de réseau
Il existe des protocoles d’administration de réseau reconnus comme standards de l’industrie pour
gérer des réseaux Cisco. On peut citer quatre types de protocoles de base : [8] [10]
1.6.2.1 Telnet
Telnet (également connu sous le nom de CLI) permet de se connecter directement à un
commutateur ou à un routeur pour accéder aux commandes de configuration et de surveillance.
1.6.2.2 SNMP (Simple Network Management Protocol)
Ce protocole SNMP s’appuie sur un concept de gestionnaire SNMP communiquant avec un ou
plusieurs agents SNMP. Les opérations Get, Get-Next, et Set de SNMP sont réalisées par le
gestionnaire vers un agent pour recueillir ou définir des variables d’administration supportées par
21
ce dernier. Les informations d’administration disponibles via SNMP et Telnet sont généralement
identiques. Les agents SNMP peuvent avertir le gestionnaire au moyen d’interceptions, pouvant
contenir n’importe quelle quantité d’informations d’administration, afin de mieux qualifier leur
objectif.
1.6.2.3 RMON
Fondées sur la technologie SNMP, les fonctions de suivi de réseaux à distance sont assurées par
un ensemble de données RMON dédiées et un moteur de suivi situé sur un équipement. La
communication est mise en œuvre via SNMP. RMON 1 opère au niveau des couches ISO 1 et 2,
tandis que RMON 2 opère au niveau de la couche ISO 4 et des couches supérieures.
1.6.2.4 Syslog
Le protocole Syslog est utilisé par les équipements Cisco pour émettre des notifications non
sollicitées vers une station d’administration. Bien que semblable aux interceptions SNMP, il sert
uniquement à la notification d’événements. L’objet CISCO-SYSLOG-MIB est implémenté sur les
équipements Cisco comme solution alternative à l’émission de messages Syslog pour autoriser
n’importe quel gestionnaire SNMP à recevoir tous les événements via SNMP.
1.7 Conclusion
La conception des réseaux informatiques, surtout à grande distance s’avère une très longue
recherche pour les chercheurs. La complexité des trafics étudiés, des échelles de temps sur
lesquelles on effectue l’étude, et des modes d’allocation, rend la tâche pénible. Pour que le réseau
soit fiable et capable d’évoluer, les concepteurs doivent garder à l’esprit que chacun des
principaux composants précités possède ses exigences propres en matière de conception.
La plus grande conception s’effectue dans les réseaux étendus que l’on va cerner avec la
technologie MPLS dans le chapitre suivant.
22
CHAPITRE 2
INTRODUCTION A LA TECHNOLOGIE MPLS
2.1 Introduction
De nos jours, les concepteurs de réseaux se tournent vers la technologie WAN pour répondre à de
nouveaux besoins tels que la nécessité croissante des utilisateurs de se connecter à distance vers
leur réseau d’entreprise, la croissance rapide des intranets d’entreprise, et l’utilisation accrue des
serveurs d’entreprise. Pour combler ces innombrables besoins, nous proposons dans ce chapitre, la
technologie MPLS. Nous allons présenter ses rôles dans le routage, la commutation, et le passage
des paquets à travers les réseaux de nouvelle génération pour permettre la rencontre entre les
besoins de service et les utilisateurs du réseau.
2.2 Présentation générale de MPLS
2.2.1 Historique
Avec la croissance continue de la taille des réseaux et l'explosion des tailles des tables de routage,
une méthode plus efficace pour l'acheminement des paquets est nécessaire à trouver
préalablement. C'est dans cette méthode que s'insère la technologie MPLS. En effet, l'objectif de
MPLS est de combiner en une seule entité l'efficacité des protocoles de routage et la rapidité de
commutation de niveau 2, en se basant sur une technique de commutation de paquets en mode
connecté dénommée commutation de « labels ». Cette ingénieuse idée du MPLS naît en 1996 au
sein d'un groupe d'ingénieurs d'Ipsilon Network. Par la suite, plusieurs constructeurs se lanceront
sur les traces du MPLS en développant des protocoles propriétaires basés sur le même principe. Il
s'agit de : [11] [12] [13]
- ARIS de la maison IBM ;
- IP Switching d'Ipsilon Network et Nokia ;
- Cell switching router (Toshiba 94) ;
- et puis le Tag Switching de Cisco Systems qui par la suite sera renommée en Label Switching
pour standardisation par l'IETF en tant que MPLS à proprement parler.
Grâce à ces mécanismes de commutation de labels avancés, ainsi que par sa simplicité de mise en
place sur des réseaux déjà existants, le MPLS est devenu une technologie phare de demain alliant
souplesse, évolutivité et performance pour un coût réduit. Il est conçu pour être étendu à différents
23
types de protocoles et n’est pas restreint à une couche spécifique. De plus, puisque cette nouvelle
technologie permet d'implémenter facilement des technologies comme la QoS, et les VPN, la
majorité des fournisseurs d'accès à Internet ont décidé de faire évoluer progressivement l'ensemble
de leurs réseaux vers des réseaux MPLS.
Le schéma suivant montre l’architecture générale d’un réseau MPLS avec ses différents routeurs
suivant leur emplacement dans le réseau.
Figure 2.01 : Topologie d’un réseau MPLS
2.2.2 Eléments de domaine MPLS
2.2.2.1 Les routeurs P ou LSR (Label Switch Router)
C’est le routeur dans le cœur de réseau de l'opérateur qui effectue la commutation sur les labels et
qui participe à la mise en place du chemin par lequel les paquets sont acheminés. Les routeurs P
réalisent donc du « MPLS Switching » et n'attachent pas d'étiquettes de VPNs aux paquets routés.
Les labels de VPN sont utilisés pour diriger les paquets vers le bon routeur de sortie. Lorsque le
routeur LSR reçoit un paquet labélisé, il le permute avec un autre de sortie et expédie le nouveau
paquet labélisé sur l'interface de sortie appropriée. Le routeur LSR, selon son emplacement dans le
réseau MPLS, peut jouer plusieurs rôles à savoir : exécuter la disposition du label (appelé
déplacement), marquer l'imposition (appelée poussée), et marquer la permutation en remplaçant le
label supérieur dans une pile de labels avec une nouvelle valeur sortante de label. [14] [15]
24
2.2.2.2 Les routeurs PE ou LER (Label Edge Router)
Il s’agit du routeur de périphérie de l'opérateur qui gère le trafic entrant dans le réseau MPLS en
affectant le label de VPN aux paquets entrants selon l'interface ou la sous-interface sur laquelle ils
sont reçus. Ainsi, il possède à la fois des interfaces IP traditionnelles et des interfaces connectées
au réseau MPLS. Ce routeur LER d'entrée, exécute les fonctions de l'imposition de label et de
l’expédition d'un paquet à destination du réseau MPLS. A la sortie du réseau MPLS, il exécute les
fonctions de déplacement de label et la transmission de paquet IP au destinataire.
2.2.2.3 Les routeurs CE
C’est le routeur de périphérie du réseau du client qui connecte le routeur PE sur le réseau. Elle
relie donc le réseau du client vers le réseau MPLS
2.2.2.4 Le LSP (Label Switch Path)
MPLS ajoute des labels sur les paquets ou cellules qui transitent sur un réseau MPLS afin de
permettre à chaque nœud qui le compose, de connaître la manière dont ils doivent traiter et
transmettre les données. Ces labels, appelés LSP, sont insérés après les en-têtes de la couche 2 et
juste avant les en-têtes de la couche 3 du modèle OSI. Ils ont une taille fixe de 32 bits et sont
structurés comme indiqué ci-dessous :
Figure 2.02 : Structure des LSP
Dans cette structure, le champ "Label" définit le label sous la forme d'une valeur, et le champ
"CoS" (Class Of Service) correspond à une valeur permettant d'influer sur l'ordre de traitement des
paquets mis en queue. Le champ "Stack" ou pile quant à lui est une valeur permettant d'établir une
hiérarchie dans la pile de labels, et le champ "TTL" (Time To Live) fournit les mêmes
fonctionnalités que le TTL IP conventionnel. L'utilisation de ces LSP permet d'accélérer
grandement la commutation dans un réseau IP à haut débit.
Il existe deux modes d'activation des LSP :
25
- Control-driven LSP setup:
La mise en place d'un LSP est dirigée par un protocole (OSPF, RSVP-TE, etc.) ou un fichier de
configuration. A l'arrivée des paquets, les différents chemins sont prêts et il suffit de mapper le
traffic par-dessus.
- Data-driven LSP setup:
L'établissement du LSP n'est effectué qu'au moment de l'arrivée des premiers paquets. [12]
2.2.3 Fonctionnement
Quand un paquet est envoyé sur un réseau MPLS, le nœud d'entrée dit « ingress node » ou
« LER » (routeur d'entrée du réseau MPLS) traite le paquet et consulte sa table de commutation
pour lui attribuer un label en fonction de la « FEC ». Ainsi tous les paquets ayant une même FEC
empruntent le même chemin, LSR et LER de sortie, et bénéficient du même traitement. Une fois
le label attribué, le routeur d'entrée va transmettre le paquet et son label au nœud suivant dit
« LSR » (Label Switch Routeur) qui est le routeur interne du réseau MPLS. C'est à partir de
l’adresse IP de l’« egress node » (routeur de sortie du réseau MPLS), que le protocole IP va
déterminer : [15] [16]
· La FEC
· Le label
· Le port de sortie pour aboutir au destinataire.
Figure 2.03 : Principe de fonctionnement du LER d'entrée ou Ingress Node
26
Dès qu'un paquet est envoyé à un « LSR », le protocole de routage va déterminer dans la table
« LIB » (Label Base Information), le prochain saut vers « le LSR » suivant, et le label à appliquer
au paquet pour qu'il arrive à destination.
Le label est mis à jour via l'en-tête MPLS c’est à dire un changement de label, et la mise à jour du
champ TTL avant d'être envoyé au nœud suivant.
Figure 2.04 : Principe de fonctionnement du LSR
Quand le paquet arrive à l’« Egress node » ce routeur a pour rôle de supprimer le label MPLS et
de le transmettre sur la couche réseau.
Figure 2.05 : Principe de fonctionnement du LER de sortie ou Egress Node
2.2.4 Modèles de déploiement MPLS
Les conceptions d'agrégation WAN incluent deux ou plusieurs routeurs de bordure. Lorsque ces
routeurs sont mentionnés dans le contexte de la connexion à un transporteur ou à un fournisseur de
27
services, ils sont généralement connus comme étant un routeur de bordure client (CE). Tous les
routeurs de bordure se connectent dans une couche de distribution.
Les options de transport WAN incluent le VPN MPLS utilisé en tant que transport principal ou
secondaire. Chaque transport se connecte à un routeur CE dédié. Une méthode similaire de
connexion et de configuration est utilisée pour les deux.
Nous avons plusieurs modèles de conception d'agrégation WAN qui sont acheminés de manière
statique ou dynamique avec des transporteurs MPLS simples ou doubles. Les principales
différences entre les différents modèles sont l'utilisation de protocoles de routage et l'échelle
globale de l'architecture. Pour chaque modèle de conception, nous pouvons sélectionner plusieurs
routeurs plates-formes avec différents niveaux de performances et de capacités de résilience.
Chacun des modèles de conception est représenté avec des connexions LAN dans une couche
distribution effondrée ou une couche de distribution WAN dédiée. Il n'y a pas de différences
fonctionnelles entre ces deux méthodes de perspective d'agrégation WAN.
Dans toutes les conceptions d'agrégation WAN, des tâches telles que la récapitulation des routes
IP sont effectuées à la couche distribution. Il existe d'autres périphériques prenant en charge les
services de périphérie WAN, et ces périphériques doivent également se connecter dans la couche
de distribution.
Chaque opérateur MPLS se termine par un routeur WAN dédié avec pour objectif principal
d'éliminer tous les points d’échec. Un routeur concentrateur VPN unique est utilisé sur les deux
conceptions. [1]
2.2.4.1 Modèle de conception statique MPLS
Le modèle de conception statique MPLS (Figure 2.06):
• Prend en charge jusqu'à 50 sites distants.
• Possède un seul opérateur VPN MPLS.
• Utilise le routage statique avec le transporteur VPN MPLS.
2.2.4.2 Modèle de conception dynamique MPLS
Le modèle de conception MPLS Dynamic (Figure 2.06):
• Prend en charge jusqu'à 100 sites distants.
• Possède un seul opérateur VPN MPLS.
• Utilise le routage BGP avec le transporteur VPN MPLS. [17]
28
Figure 2.06 : Modèles de conception MPLS Static et MPLS Dynamic
2.2.4.3 Modèle de conception MPLS double
Le modèle de conception Dual MPLS (Figure 2.07):
• Prend en charge jusqu'à 500 sites distants.
• Possède plusieurs opérateurs VPN MPLS.
• Utilise le routage BGP avec le transporteur VPN MPLS.
• Est généralement utilisé avec une couche de distribution WAN dédiée
Figure 2.07 : Modèle de conception MPLS double
2.3 Architecture MPLS
Dans un point de vue logique, la technologie MPLS se distingue en deux parties bien distinctes.
Tout d'abord, le plan de contrôle qui va être chargé de gérer et de maintenir les labels contenus
29
dans chaque routeur du réseau MPLS. La seconde partie est le plan de données. Celui-ci contient
le mécanisme de transmission des données et est complètement indépendant de la partie
signalisation. [11] [18]
L'architecture logique MPLS est définie comme suit :
Figure 2.08 : Présentation de l’architecture MPLS
2.3.1 Le plan de contrôle
Il se charge de l'échange des informations de routage et des labels entre les nœuds adjacents. Une
très large panoplie de protocoles de routage IGP peut être utilisée au niveau de ce plan, à savoir
OSPF, IGRP, EIGRP, IS-IS, RIP et BGP.
2.3.1.1 La méthode « Implicit Routing »
La distribution implicite de labels aux LSR est réalisée grâce au protocole Label Distribution
Protocol. LDP définit une suite de procédures et de messages utilisés par les LSR pour s’informer
mutuellement du « mapping » entre les labels et le flux. Les labels sont spécifiés selon le chemin
« Hop By Hop » définit par l’IGP dans le réseau. Chaque nœud doit donc mettre en œuvre un
protocole de routage de niveau 3, et les décisions de routage sont prises indépendamment les unes
des autres.
LDP est bi-directionnel et permet la découverte dynamique des nœuds adjacents grâce à des
messages Hello échangés par UDP. Une fois que les 2 nœuds se sont découverts, ils établissent
une session TCP qui agit comme un mécanisme de transport fiable des messages d’établissement
de session TCP, des messages d’annonce de labels et des messages de notification.
30
2.3.1.2 La méthode « Explicit Routing »
Le routage explicite laisse le premier nœud MPLS périphérique décider de la liste des nœuds que
le paquet devra suivre pour arriver à l'adresse de destination. Cependant, l'utilisation du routage
explicite n'assure en aucun cas la sélection d'un chemin optimal pour le paquet en question. De
plus ce chemin est unidirectionnel, il va donc falloir que le nœud MPLS périphérique de
destination choisisse un nouveau LSP pour le chemin de retour
2.3.1.3 Protocole de distribution des labels
Plusieurs protocoles permettent à un routeur MPLS de découvrir ses voisins et d’échanger des
liens avec eux : [16]
- TDP ou Tag Distribution Protocol crée par Cisco à l’époque du « Tag Switching »,
- LDP ou Label Distribution Protocol, protocole normalisé ISO fonctionnel avec TDP,
- RSVP ou ReSerVation Protocol, à l’origine utilisé comme protocole de signalisation dédié
à la QoS a été étendu à la distribution de label et est particulièrement adapté pour le Traffic
Engineering,
- CR-LDP : une extension à LDP permettant le Traffic Engineering.
- MPBGP ou Multi-Protocol Border Gateway Protocol est utilisé pour l’échange des routes
VPN
Deux routeurs MPLS s’échangeant des liens, sont appelés « Label Distribution Peers ». Une fois
le « peering » effectué, on parle de « Label Distribution Adjency ».
2.3.1.4 Différents modes de distribution de labels
Il existe deux méthodes pour échanger les liens MPLS :
- Allocation « Downstream on demand » :
Le label sera alloué par le routeur de « downstream » uniquement sur demande spécifique d’un
lien pour une FEC par le routeur d’« upstream » et pour une interface spécifique.
- Allocation « Unsolicited downstream » :
Le label sera distribué par le routeur de downstream à tous ses upstreams sur toutes les interfaces.
31
Figure 2.09 : Mode de distribution de label
L’amont ou upstream et l’aval ou downstream sont définis par rapport au flux de données.
2.3.2 Le plan de données
Il transmet les paquets en utilisant les labels. Il se base sur un mécanisme simple indépendant des
types de protocoles de routage et de distribution de labels mis en œuvre et utilise certaine table
comme la table LFIB, FIB ou LIB, remplie par le protocole de distribution de labels. [16]
2.3.2.1 Table FIB
C'est une table de commutation IP complète qui contient les mêmes informations que la table de
routage et qui permet au routeur de prendre ses décisions d'acheminement. La génération d'entrées
est déclenchée par la production de changements au niveau de la table de routage. Si pour une
destination donnée, il n'existe pas d'entrée correspondante, alors le paquet est supprimé.
2.3.2.2 Table LIB
C'est la première table construite au niveau d'un LSR, elle contient pour chaque sous-réseau IP la
liste des labels reçus par les voisins. Il contient donc l’adresse réseau de destination, le label et le
LSR qui est ici le nœud qui a généré le label.
2.3.2.3 Table LFIB
Elle est construite à partir de la table LIB et la table FIB ; et est utilisée pour la commutation de
labels.
Pour chaque réseau IP appris par l'IGP, un prochain saut (next-hop) pour atteindre ce réseau est
déterminé. Le LSR choisit ainsi l'entrée de la table LIB qui correspond au réseau IP et sélectionne
comme label de sortie, le label annoncé par le voisin déterminé par l'IGP.
32
2.3.2.4 Construction des structures de données
La construction des structures de données effectuées par chaque routeur LSR doit suivre les étapes
suivantes :
- Elaboration des tables de routages par les protocoles de routage ;
- Allocation indépendamment d'un label à chaque destination dans sa table de routage par le
LSR ;
- Enregistrement dans la LIB des labels alloués ayant une signification locale ;
- Enregistrement dans la table « LFIB » avec l'action à effectuer de ces labels et leur
prochain saut ;
- Envoi par le LSR des informations sur sa « LIB » à ces voisins ;
- Enregistrement par chaque LSR des informations reçues dans sa « LIB » ;
- Enregistrement des informations reçues des prochains sauts dans la « FIB ».
Figure 2.10 : Utilisation des structures de données pour l'acheminement
2.4 La commutation de labels
2.4.1 Définition
Le label est un identifiant de petite taille à 4 octets (32 bits). Il est utilisé pour faire référence à la
FEC à laquelle est assigné un paquet particulier. Ce sont ces labels que les routeurs permutent tout
33
au long du réseau jusqu’à destination, sans avoir besoin de consulter l’en-tête IP et leur table de
routage. Il peut être associé à un chemin, une destination, une source, une application, un critère
de qualité de service, ou une combinaison de ces différents éléments. [11]
Figure 2.11 : Structure de champ MPLS
La signification des différents champs est donnée comme suit :
Valeur du label : 20 bits
EXP ou Classe du service du paquet (CSP) : 3 bits
Le bit S est un indicateur de fin de pile. Il est à 1 lorsque le label se trouve au sommet de la
pile, à 0 sinon : 1 bit
Durée de vie du paquet TTL : 8 bits
2.4.2 Pile de labels (Label Stack)
MPLS utilise généralement un seul label dans un paquet mais certain paquet peut en avoir
plusieurs. Ce concept s’appelle empilement de label. Cet empilement permet en particulier
d’associer plusieurs contrats de service à un flux au cours de son acheminement au réseau MPLS.
Par exemples, les applications suivantes peuvent ajouter d'autres labels :
- MPLS Virtual Private Network (MPLS VPN) : le premier label pointe sur le routeur
périphérique de sortie et le second identifie le VPN ;
- MPLS Traffic Engineering (MPLS-TE) : le premier label pointe sur la fin du tunnel TE et la
deuxième fait référence à la destination.
Cependant, les labels de numéro 0 à 15 sont réservés et non utilisables par les routeurs Cisco. Par
exemple, on a :
– 0 : IPv4 Explicit Null (fond de pile) => oblige à POP et traitement IPv4
– 1 : Router Alert Label (pas au fond) => examen spécial
– 2 : IPv6 Explicit Null
– 3 : Implicit Null (pas dans la pile) distribué pour forcer POP
34
2.4.3 Fonctionnement de label
Un LSR peut effectuer l'un des trois scénarios d'acheminement de paquet suivant :
· Le paquet arrivant à l'entrée du domaine MPLS (I-LSR) ne contient que les adresses IP,
l'acheminement est basé sur la table FIB en ajoutant « Push » un Label ;
· Le paquet arrivant à la sortie du domaine MPLS (E-LSR) ne contient que des adresses IP,
l'acheminement est basé sur la FIB sans l'utilisation d'un label (routage IP) ;
· Le paquet arrivant contient un label, dans ce cas l'acheminement sera basé sur la table LFIB et le
label sera échangé (Swapping). [11]
Figure 2.12 : Etablissement connectivité par labélisation
2.4.4 Distribution des labels
Les labels sont distribués aux « LSR » via le protocole « LDP » (Label Distribution Protocol).
Il va définir des procédures et des méthodes de communications pour que les « LSR » puissent
s'informer des tables de commutation (correspondance des labels et des flux) de leurs voisins. Les
labels sont de type « hop by hop », c'est-à-dire qu'ils n'effectuent le chemin que d'un saut avant
d'être mis à jour. Cette méthode est utilisée par le protocole de routage IGP (Interior Gateway
Protocol). La découverte des « LSR » voisins se fait à l'aide de la couche 3 du modèle OSI, via le
protocole de routage UDP. Dès que deux nœuds se sont découverts, ils établissent une connexion
TCP pour le transport fiable des données. Les messages échangés entre les deux routeurs
« LSR » lors d'une session « LDP » sont de types : [19]
35
- Messages de découverte : recherche et maintien de la connexion avec un « LSR » sur le
réseau.
- Messages de session : établissement, maintien et cessation de sessions LDP.
- Messages d'avertissement : création, modification et suppression des correspondances
entre FEC et labels.
- Messages de notification : messages d'erreurs
UDP - HELLO
UDP - HELLO
TCP - OPEN
INITIALISATION
LABEL
REQUEST
LABEL
MAPPING
TEMPS
Figure 2.13 : Etablissement d’une connexion LDP
2.5 Les applications de la technologie MPLS
2.5.1 L’AToM ou Any Transport over MPLS
La nature multi-protocolaire de MPLS permet de transporter des charges utiles autres que des
paquets IP. Virtuellement, n’importe quel type de paquets, cellules, trames peut être directement
labellisé par un PE en entrée. AToM est donc une application qui facilite le transport du trafic de
couche 2, tel que Frame Relay, Ethernet, PPP et ATM, à travers un nuage MPLS.
2.5.2 Le support des réseaux privés virtuels : MPLS VPN
Les VPNs basés sur MPLS sont créés à la couche 3 et sont basés sur le modèle "peer to peer". Ce
support permet à l'opérateur et au client d'échanger des informations de routage de couche 3.
L'opérateur passe les informations entre les sites des clients sans que les clients interviennent. [14]
[20]
MPLS fournit une alternative intéressante aux solutions VPNs existantes. En effet, à l'heure
actuelle, les solutions VPN IPSEC, relativement complexes à mettre en œuvre s'opposent aux
36
solutions SSL plus flexibles. L'architecture mise en place par MPLS est propice à la création de
réseaux privés virtuels. Cette perspective est notamment très sollicitée par les opérateurs réseaux
fournissant plusieurs clients, car elle permet de partager des équipements physiques.
Cette utilisation de MPLS dans un contexte de VPNs fait appel à d'autres termes pour nommer les
équipements du réseau MPLS. Les LER s'appellent alors Provider Edge, c'est cet équipement qui
va gérer les VPNs des différents clients. Les LSR se transforment alors en Provider Device ; ils
conservent le même rôle et se contentent donc de commuter les paquets sur l'interface adéquate.
Enfin, il y a les Customer Edge qui désignent le routeur installé côté client. Ces routeurs n'ont
aucune connaissance VPN, et sont reliés classiquement au backbone IP grâce à une liaison louée,
une connexion PPP, etc ...
Le PE possède plusieurs interfaces reliées aux CE. Il va alors maintenir ce qu'on appelle des VPN
Routing Forward. Ces entités sont des types de routeurs virtuels contenus dans le PE. C'est une
table de routage qui va contenir les routes vers les réseaux IP faisant partie d'un VPN client donné.
Il faut que chaque PE communique avec les autres afin de diffuser les routeurs à l'intérieur d'un
même VPN. Pour cela un protocole de diffusion des routes dynamiques est appliqué comme
Multi-Protocol iBGP. D'autre part, il faut aussi que le routeur du client communique ses routes à
son Provider Edge. Il utilise alors un protocole de routage classique comme OSPF ou RIP. Voici
un schéma général d'une architecture VPN :
Figure 2.14 : Architecture d’un MPLS VPN
Dans cette utilisation de MPLS, deux labels seront utilisés. Il y a un label destiné à identifier le
VRF du VPN concerné et un autre pour les opérations de commutation dans le cœur du réseau.
Lorsque le routeur de sortie consulte les labels, il sait donc quelle VRF consulter pour la route que
l'on cherche à joindre
37
2.5.3 Le support de la qualité de service : MPLS QoS
C’est mettre des priorités et/ou des restrictions pour permettre de pratiquer une bonne gestion des
politiques établies.
IntServ et DiffServ sont deux méthodes permettant d'établir la QoS de manière satisfaisante sur les
réseaux MPLS [16] [19]
2.5.3.1 Services intégrés (Integrated Services– IntServ)
Il est basé sur l'idée que le développement d'un ensemble d'extensions suffit à fournir le support
adapté à chaque application. Le modèle repose sur deux principes fondamentaux :
• le réseau doit être contrôlé et soumis aux mécanismes de contrôle d'admission ;
• des mécanismes de réservation de ressources sont nécessaires pour fournir des services
différenciés.
On distingue deux types de services :
Les services tolérant une variation du délai de transit pour lesquels la "classe de service à
contrôle de charge" est définie,
Les services ne tolérant pas de variation pour lesquels la "classe de service garanti" est
définie.
Ainsi, quatre fonctions de contrôle du trafic pour les routeurs sont définies :
• Packet Scheduler qui détermine si le flux peut être admis dans le réseau ;
• Packet Classifier pour classer les paquets entrants dans les classes spécifiques ;
• Admission control qui détermine si la QoS demandée par un flux peut lui être attribuée sans
affecter les flux existants ;
• Ressource réservation est un protocole nécessaire pour l'établissement des ressources le long du
chemin de bout en bout.
Les ressources nécessaires sont donc réservées à chaque bond entre l'émetteur et le récepteur. La
signalisation se fait de bout en bout pour maintenir l'état de chaque flux.
2.5.3.2 Services différenciés (Differentiated Services– DiffServ) :
Le principe du modèle à différenciation de services est de séparer le trafic en quelques classes de
trafic identifiées par une valeur codée dans l'en-tête de chaque paquet IP. Cette opération de
38
classification est opérée à l'entrée du réseau (ou de la zone où la différenciation de service est mise
en œuvre) par les nœuds de bordure (boundary nodes) qui gèrent des états par flot. Les nœuds
intérieurs (interior nodes) ne gèrent que des états par classe et traitent les paquets en fonction de la
classe codée dans l'en-tête en les traitant en accord avec le comportement local (per hop behavior
ou PHB) correspondant. Grace à ce PHB, on distingue deux types de services :
a) Expedited forwarding (traitement accéléré)
Il a pour but de fournir une garantie de bande passante en configurant de manière appropriée le
débit alloué dans les nœuds et en conditionnant le trafic à l'entrée du domaine de façon que le
débit d'arrivée à chaque nœud soit inférieur au débit alloué.
b) Assured forwarding
Pour se faire, chaque nœud doit mettre en œuvre des mécanismes visant à réduire la congestion de
long terme dans la classe, accepter les rafales (congestion à court terme), et traiter identiquement
les micro-flots ayant des débits moyens identiques. [16]
2.5.4 L’ingénierie de trafic : MPLS TE
Le Trafic Engineering permet d'utiliser les ressources réseaux de manière optimisée et également
d'éviter les congestions de trafic. Il autorise donc la répartition de charge sur l’ensemble du réseau
en établissant des chemins explicitement routés et en contrôlant la répartition du trafic sur
différentes liaisons, afin d’éviter la sous-utilisation de certaines parties du réseau. Le routage
classique, via les protocoles traditionnels tel que RIP, permettait de déterminer le plus court
chemin pour aller de la source à la destination. Mais le problème réside dans l'état du lien, le plus
court chemin ne signifie pas pour autant le plus rapide. Pour remédier à ce problème
d'optimisation du trafic, le MPLS a adopté le mécanisme de « Trafic Engineering » qui permet de
définir le chemin de la source à la destination, lequel va emprunter le flux de données.
Contrairement à « LDP » qui cherche un « LSR » adjacent pour communiquer, le chemin est
déterminé sur l’« Ingress node », grâce à l'analyse des labels des paquets. Cette méthode va
déterminer le chemin « LSP » en fonction de l'état du réseau, sa topologie, la bande passante, les
protocoles utilisés. [11] [16]
39
2.6 Choix du réseau de transport utilise : VPNs MPLS l3
Notre choix s’est tourné vers les technologies VPNs MPLS car ils sont plus faciles à gérer et à
étendre. Lorsqu’ un nouveau site est ajouté à un VPN MPLS, seul le routeur d'entrée de l'opérateur
qui fournit les services au site client a besoin d'être mis à jour.
2.6.1 Comparaison des couches de liaison
2.6.1.1 MPLS Layer-2 VPN
On reconnait un MPLS de niveau 2 lorsque les caractéristiques suivantes sont présentes : [11] [17]
a) VPN de couche 2 point à point :
Le CE est connecté au PE via une connexion point à point (FR, ATM).
Les homologues CE se connectent entre eux (routage IP), par une connexion point à point VPN
niveau 2. Il n’y a pas d'implication du SP dans le routage CE-CE.
b) VPN multipoints de couche 2 :
Le CE est connecté à PE via une connexion Ethernet (VLAN)
Les entités homologues se connectent entre elles par le biais d'une connexion VPN de couche 2
totalement ou partiellement maillée.
Il n’y a pas d'implication du SP dans le routage CE-CE.
On peut représenter le modèle d’architecture d’un MPLS VPN de niveau 2 comme suit :
Figure 2.15 : Aperçu d’un MPLS L2 VPN
40
2.6.1.2 MPLS Layer-3 VPN
Contrairement à celle de la couche 2, le routage pour les clients dans les VPN L3 est fait par le
fournisseur de service qui maintient un VRF par client. On l’identifie grâce aux caractéristiques
suivantes :
Le CE est connecté à PE via une connexion IP (sur tout type de couche 2) par routage statique ou
par des protocoles de routage comme eBGP, OSPF, IS-IS. Le routage CE a donc une relation de
« peering » avec le routeur PE.
Les routeurs PE font partie du routage client. Ils gèrent des tables de routage spécifiques aux
clients et échangent des informations de routage spécifiques aux clients.
Voici ci-dessous le modèle d’architecture d’un MPLS VPN de niveau 3 : [21]
Figure 2.16 : Aperçu d’un MPLS L3 VPN
2.6.2 Les fonctionnalités offertes
Les L3VPN MPLS proposent différentes manières d’interconnecter deux sites VPN alors qu’ils se
trouvent géographiquement dans des systèmes autonomes (AS) distincts. Ces systèmes autonomes
peuvent être des réseaux de fournisseurs différents ou des réseaux appartenant au même
fournisseur, mais transportant des services hétérogènes. [14] [20]
Avant cela, un service VPN MPLS ne pouvait être contenu que dans un seul AS. L’inter AS VPN
permet alors à des multiples AS de former un réseau continu et sans couture entre des sites VPN et
ainsi de pallier des manques de couvertures géographiques pour connecter ces sites clients.
Aujourd’hui, en L3VPN MPLS, les routeurs PE échangent les routes VPN par le protocole MP-
iBGP, soit directement entre eux, soit par l’intermédiaire d’un route-reflector (RR) pour des
questions de passage à l’échelle. Ce protocole ne peut pas être établi entre deux AS, il faudra donc
utiliser d’autres techniques tout en respectant les critères de choix induits par la connexion d’AS et
41
les contraintes de service comme la sécurité, la qualité de service, la convergence, la disponibilité
ou bien le passage à l’échelle.
Il offre un large choix de modèle pour effectuer de l’inter AS VPN, c’est-à-dire pour
interconnecter des VPN d’AS distincts. Ces modèles, appelés options, sont au nombre de 4 :
- L’option A : par des connexions directes entre des VRF déclarés sur les routeurs de
bordure de chaque AS. Cette option est souvent appelée « VRF à VRF » ;
- L’option B : par une redistribution des routes VPN qui sera effectuée via MP-eBGP au
niveau des routeurs de bordure d’un AS vers l’AS voisin ;
- L’option C : par une session MP-eBGP multi-hop qui est chargée de redistribuer des routes
VPN tandis que la continuité MPLS de bout en bout est effectuée entre les ASBR par des
protocoles d’échange de labels ;
- L’option D : c’est une solution hybride qui tente de réunir les avantages des options A et
B. [17] [22]
2.7 Conclusion
Dans ce chapitre, nous avons passé en revue les généralités sur la technologie MPLS. Nous
sommes partis de son historique en passant par ses concepts de base jusqu'aux notions de label,
aux concepts d'ingénierie MPLS et à ses applications. Il nous a montré que le but de MPLS est de
donner aux routeurs IP une plus grande puissance de commutation, en basant la décision de
routage sur une information de label (ou tag) inséré dans la couche 2.5 de OSI. Dans le chapitre
qui va suivre, nous irons plus loin que des généralités, en nous intéressant sur une nouvelle
technologie qui est le DMVPN ; ceci dans le but de le sécuriser lors de son déploiement.
42
CHAPITRE 3
LA TECHNOLOGIE DMVPN
3.1 Introduction
Les entreprises se tournent vers Internet pour résoudre des problèmes d’ordre économiques. Ils ont
également besoin de la connectivité sécurisée sur leurs différents sites à travers Internet. Dans ce
chapitre nous allons aborder le sujet le plus important dans notre conception qui est le DMVPN.
On l’utilise généralement lorsque nous avons besoin d'un tunneling IPsec évolutif pour connecter
notre réseau privé virtuel. En ce sens, on fournira une vue d'ensemble de la topologie puis des
caractéristiques de conception et enfin, on étudiera les fonctionnalités de cette solution logicielle
Cisco IOS pour la construction poussée IPsec des réseaux privés virtuels.
3.2 Présentation des DMVPN
3.2.1 Historique
Les fournisseurs de services arrivent dans un premier temps avec la solution d'IPSec, où deux sites
sont connectés sur Internet via un processus de tunnel crypté sécurisé. IPSec est excellent dans son
fonctionnement, malheureusement il ne peut pas être évolutif pour connecter plusieurs sites car il
n’offre qu’un moyen de connectivité sécurisé point à point sur Internet. En effet, ajouter des
nouveaux sites requière beaucoup de configuration. Cela présente non seulement un problème
pratique de maintenance c’est-à-dire qu’il faut intégrer une modification conséquente dans la
configuration d’un équipement en production, mais surtout d’échelle puisque la configuration du
site central peut devenir rapidement illisible à partir de quelques dizaines de sites distants. Ce type
de VPN ne supporte pas le routage dynamique ou le Multicast. Ces principales limites ont poussé
les fournisseurs de services et les OEM (Original Equipment Manufacturer) à conclure ensemble
une nouvelle manière de connectivité évolutive et sécurisée sur les différents sites via Internet et
cette technologie est appelée DMVPN (Dynamic Multipoint VPN). [23] [24]
3.2.2 Définition
Il s’agit d’un mécanisme qui permet d’établir des tunnels IPsec et GRE directement entre les
routeurs qui veulent dialoguer ensemble avec une simplicité et une scalabilité déconcertante et
surtout de façon totalement dynamique. Le DMVPN est en réalité un ensemble de technologies
(IPsec, mGRE et NHRP) qui, combinées, facilite le déploiement des réseaux privés virtuels IPsec.
43
C’est une solution fiable, sécurisée et évolutive, permettant une mise en place et une gestion
souple des tunnels IPsec. En général, il décrit un modèle de déploiement en étoile, dans lequel les
ressources d'entreprise principales sont situées dans un site central de grande taille, avec un certain
nombre de sites ou de succursales plus petits, connectés directement au site central via un VPN,
comme illustré ci-dessous. [25] [26]
INTERNET
AGENCES
AGENCES
SITE CENTRAL
TUNNEL « HUB AND SPOKE »
Figure 3.01 : Exemple de topologie DMVPN
3.3 Principes du DMVPN
3.3.1 Fonctionnement générale
Le mécanisme de DMVPN permet l’installation d’un tunnel Dynamic Multipoint VPN. Son
principe est de créer un tunnel GRE (Generic Routing Encapsulation) entre deux ou plusieurs
réseaux différents, comme si une passerelle existait entre ces réseaux. Un routeur sera configuré
hub et les autres routeurs seront configurés en spoke. Pour se faire, deux IGP sont utilisés : l’un
pour la connectivité IP Publique et monter les tunnels GRE, l’autre pour s’échanger des routes
privées une fois le tunnel monté. Chaque routeur a son interface publique et une interface privée
sur le même port. [23] [27] [28]
3.3.1.1 Stratégie de propagation de route
Lorsqu'une connexion de branche au réseau arrive, le routeur de branche est prêt à commencer à
transmettre des informations de protocole de routage, parce qu'il a une entrée NHRP statique au
routeur de tête de réseau. Comme le routeur de tête de réseau doit attendre que le cache de la
NHRP soit rempli par le routeur de branche, le routeur de tête de réseau ne peut pas envoyer
44
d'informations de protocole de routage, avant que la branche n'enregistre son adresse NBMA avec
le serveur de saut suivant.
3.3.1.2 Mode de protection du tunnel
La protection de tunnel spécifie que le cryptage IPsec est effectué après l'ajout des en-têtes GRE
au paquet de tunnel. Avec les tunnels GRE point à point, l'adresse IP de destination du tunnel est
utilisée comme adresse d'homologue IPsec. Tandis qu’avec les tunnels mGRE, plusieurs
homologues IPsec sont possibles ; les adresses de destination NBMA mappées NHRP
correspondantes, sont utilisées comme adresses homologues IPsec. La protection du tunnel doit
être configurée à la fois sur le routeur de tête de réseau et le routeur de branche. Si plus d'un tunnel
mGRE est configuré sur un routeur, le mot clé « shared » doit être configuré pour référencer la
même adresse de source de tunnel sur chaque interface de tunnel. Chaque interface de tunnel
mGRE nécessite toujours une clé de tunnel unique, un ID de réseau NHRP et une adresse de sous-
réseau IP. Ceci est courant sur un routeur de branche lorsqu'une topologie de nuage DMVPN
double est déployée.
3.3.2 Modèle de déploiement
Le DMVPN propose deux modèles de déploiement possibles : [23] [27] [29]
3.3.2.1 Le modèle Hub-and-spoke
Dans ce modèle, chaque spoke possède une interface GRE permettant de monter le tunnel vers le
HUB. Chaque Hub et Spoke échangent ensuite les informations de routage IGP au travers de ce
tunnel. Les Spokes (clients) s’enregistrent d’abord avec le Hub (serveur) en spécifiant
manuellement l’adresse du Hub dans le Tunnel GRE (tunnel destination…). Ensuite, ils envoient
cela par l’intermédiaire du NHRP Registration Request. Enfin, les Hub apprennent
dynamiquement les adresses VPN (Privées) et adresses NBMA (Publiques) de chaque spoke.
Ainsi, tout trafic entre les spokes passe par le HUB. Ce modèle ne prend pas en compte les
liaisons entre les spokes.
3.3.2.2 Le modèle Spoke-to-Spoke
Pour se faire, chaque spoke doit disposer d’une interface mGRE permettant aux tunnels
dynamiques de transiter vers les autres spokes. Il lui faut apprendre l’entrée de routage sur le
45
réseau de destination car le prochain saut doit être l'adresse IP du tunnel distant. Le spoke doit
aussi apprendre l'adresse NBMA de ce prochain saut. Dans ces conditions le hub peut préserver et
informer les réseaux privés du prochain saut comme annoncé par les spokes eux-mêmes. Ce
modèle offre une grande évolutivité de la configuration pour les périphériques.
3.3.3 Les différentes phases du DMVPN
Un DMVPN peut être déployé en 3 différentes phases qui ont chacune leurs effets sur le
fonctionnement de réseau existant. On peut citer que : [25] [26] [30]
a) Le comportement du trafic entre les Spokes est différent pour chacune des phases.
b) Les designs de routage supportés par les différentes phases ne sont pas les mêmes.
c) L’évolutivité du réseau est impactée par ces différentes phases.
3.3.3.1 Le DMVPN Phase 1
A cette phase, les Spokes peuvent seulement joindre le Hub, d’où les relations avec les autres
Spokes ne se fait que par l’intermédiaire du Hub. La configuration du Hub est ici simplifiée, car il
n’a pas besoin de créer une table de registre NHRP pour chacun des nouveaux Spokes. Cette
phase n’utilise pas les tunnels Spoke-to-spokes. Les Spokes sont configurés pour du GRE point à
point vers le Hub et enregistrent leurs IP logiques (Tunnel) avec l’adresse NBMA sur le NHS ou
Next-Hop Server (Hub), afin qu’il sache les joindre dynamiquement. Le protocole de routage
envoie un minimum d’informations depuis le Hub vers les Spokes (route par défaut). Les Spokes
annoncent leurs réseaux (directement connectés) au Hub.
Figure 3.02 : DMVPN Phase 1
46
Le Hub a donc simplement besoin d’envoyer une route par défaut aux Spokes, étant donné que le
trafic doit forcément remonter au Hub.
3.3.3.2 Le DMVPN Phase 2
Cette phase permet d’avoir des tunnels dynamiques Spoke-to-spoke. Tous les routeurs sont
configurés avec des tunnels mGRE, et les Spokes ont le hub NHS configuré en statique. Quand un
spoke à besoin d’envoyer un paquet via un « Next-Hop » sur le nuage mGRE, il envoie un paquet
« NHRP Resolution Request » au Hub. Le Hub lui répond avec un paquet « NHRP Resolution
Reply » depuis son cache et le Spoke peut alors connaitre l’adresse NBMA d’un autre Spoke et le
contacter directement.
Figure 3.03 : DMVPN Phase 2
D’après la figure ci-dessus, les Spokes utilisent le mode d’encapsulation mGRE pour les Tunnels,
et le Hub ajoute le « Next-Hop » d’origine dans les updates des IGP utilisé. L’encapsulation
mGRE des Spokes déclenche la résolution NHRP.
3.3.3.3 Le DMVPN Phase 3
Dans les phases précédentes, les Spokes ne reçoivent que la route par défaut des routeurs
concentrateurs, et non les informations de routage détaillées nécessaires pour établir des tunnels en
étoile. Le DMVPN Phase 3 résout ce problème en introduisant des redirections de hub au spoke
dynamiques et des raccourcis de type « spoke-to-spoke ». En effet, on ajoute une redirection
NHRP qui permet au plan de données des conversations « Spoke-to-spoke » de joindre
directement les Spokes sans passer par le Hub. Le NRHP Phase 3 utilise les spokes qui répondent
47
maintenant aux NHRP Resolution Requests. Ce qui fait que le Hub n’est plus le seul à détenir les
informations NHRP.
Figure 3.04 : DMVPN Phase 3
Voir ci-dessous un tableau récapitulatif des spécificités de chaque phase du DMVPN :
DMVPN Phase 1 DMVPN Phase 2 DMVPN Phase 3
- Fonctionnalité « Hub and
Spoke »
- GRE point-à-point sur les
Spokes et mGRE sur le Hub
- configuration simplifié sur
le Hub
- Adressage dynamique
- Supporte le protocole de
routage et la multidiffusion
- Les spokes n'ont pas besoin
d'une table de routage
complète
- Fonctionnalité « Spoke to
Spoke »
- Interface mGRE sur les
Spokes
- Réduction de la charge sur
les Hub grâce au transfert de
trafic direct « Spoke to
spoke »
- Les Hub doivent
s'interconnecter en chaîne
- Un spoke doit avoir une
table de routage complet
- Limitation des protocoles de
routage
- Tunnel « spoke to spoke »
déclenché par le spoke lui-
même
- Possibilité de conception
réseau à très grande échelle
- Rapport Spoke-Hub plus
evolué
- Pas d’interconnections en
chaîne
- Les spokes n'ont pas besoin
d'une table de routage
complète
- Tunnel « spoke to spoke »
déclenché par le Hub
- Pas de limitation du
protocole de routage
- Route NHRP enregistrée
dans le RIB
Tableau 3.01: Comparaison des phases DMVPN
3.4 Types d’architecture DMVPN
Le Cisco DMVPN est basé sur une architecture centralisée et prend en compte divers types
d’utilisateurs dont les travailleurs mobiles, les télétravailleurs et même les utilisateurs d’extranet.
48
C’est pourquoi, il offre un large choix de modèle de déploiement selon le besoin de chaque client.
[13] [25] [29]
3.4.1 Réseau composé d’un seul routeur Hub
C’est le modèle de déploiement DMVPN le plus simple. Il se compose du Hub principal situé au
siège et des Spokes distants répartis entre les bureaux distants comme le montre la figure
suivante :
DMVPN
INTERNET
HUB
SPOKE TO SPOKE TUNNEL
HUB AND SPOKE TUNNEL
SPOKE TO SPOKE TUNNEL
SPOKE
SPOKE
SPOKE
mGRE
Figure 3.05 : Architecture de DMVPN avec un seul Hub
Cette architecture se compose des tunnels GRE-IPSec entre le Hub et les spokes. Le concentrateur
central gère la base de données NHRP et connaît l'adresse IP publique de chaque branche. Ce
modèle DMVPN est une approche habituelle pour un réseau DMVPN à budget limité avec
quelques succursales distantes.
Cependant, le CPU du Hub est aussi le facteur limitant pour l'évolutivité de ce déploiement
puisqu'il entreprend les trois plans de contrôle (protection NHRP, mGRE et IPSec). En outre, le
routeur Hub et son lien avec Internet constituent le point de défaillance de cette conception. Si l'un
des deux, Hub ou lien Internet, échoue, il peut paralyser l'ensemble du réseau VPN.
3.4.2 Réseau composé de deux routeurs centraux
Ce déploiement DMVPN se compose de deux routeurs au siège. Le premier routeur, R1, est
chargé de terminer les connexions IPSec à toutes les branches, déchargeant ainsi le processus de
cryptage et de décryptage du Hub principal. Le routeur Hub effectue la terminaison du tunnel
mGRE, le serveur NHRP et le traitement de toutes les mises à jour du protocole de routage.
49
HUB
DMVPN
INTERNET
R1
HUB AND SPOKE TUNNEL
SPOKE
SPOKE
SPOKE
mGRE
Figure 3.06 : Architecture de DMVPN avec deux routeurs centraux
Le seul véritable avantage offert par cette architecture est qu'il peut supporter un nombre
significativement plus élevé de spokes. En revanche, une limitation de l'architecture de tête de
réseau à deux niveaux est l'absence de connexions « spoke to spoke ». Dans les connexions à deux
étages DMVPN, les connexions de branche à branche ne sont pas prises en charge.
3.4.3 Réseau composé de deux routeurs Hub au siège
Une double disposition DMVPN est légèrement plus difficile à configurer, mais donne un meilleur
contrôle du routage à travers le DMVPN. L'idée est d'avoir deux "nuages" DMVPN séparés.
Chaque concentrateur est connecté à un sous-réseau DMVPN et les spokes sont connectés à ces
deux sous-réseaux DMVPN. Étant donné que les routeurs en étoile parcourent les deux hubs sur
les deux interfaces du tunnel GRE, nous pouvons utiliser les différences de configuration
d'interface telles que la bande passante, le coût et le délai pour modifier les métriques du protocole
de routage dynamique.
HUB 1
DMVPN 1
INTERNET SPOKE
SPOKE
SPOKE
mGRE
HUB 2
mGRE
DMVPN 2
SPOKE TO SPOKE
TUNNEL
DE DMVPN 1
SPOKE TO SPOKE
TUNNEL
DE DMVPN 2
Figure 3.07 : Architecture de DMVPN avec deux routeurs Hub au site centra
50
3.4.4 Réseau composé de quatre routeurs centraux
Ce réseau combine les deux méthodes de déploiement précédentes en une seule configuration. Il
se compose de deux concentrateurs qui traitent uniquement des tunnels mGRE et des services
NHRP, chaque concentrateur gérant son propre réseau DMVPN. Les routeurs frontaux R1 et R2
prennent en charge toutes les terminaisons IPSec pour tous les spokes, effectuant le cryptage et
décryptage lorsque les données entrent ou sortent des tunnels IPSec.
HUB 1
DMVPN 1
INTERNET SPOKE
SPOKE
SPOKE
mGRE
DMVPN 2
mGRE
HUB 2
R1
R2
Figure 3.08 : Architecture de DMVPN avec quatre routeurs centraux
Comme avec le modèle de déploiement à double DMVPN, il gère son propre réseau DMVPN et
ses connexions avec ses spokes. Les protocoles de routage sont une nécessité pour assurer le
basculement automatique sur le réseau DMVPN secondaire en cas de défaillance du primaire.
Malheureusement, comme avec tous les déploiements à deux niveaux, nous perdons la capacité
d’un « spoke-to-spoke », mais cela peut ne pas être une limitation pour certains.
3.5 Les composants et les terminologies
3.5.1 Le protocole GRE
3.5.1.1 Définition
Le tunnel GRE (Generic Routing Encapsulation) est un protocole de tunneling ouvert, initialement
développé par CISCO, et qui peut donc se mettre en place sur des plates-formes différentes. Il est
51
conçu pour pouvoir encapsuler n'importe quel protocole de niveau 3 dans IP, d’où une large
variété de types de paquets de protocoles au sein de tunnels IP. C’est un exemple de protocole de
tunneling VPN de site à site de base, non sécurisé. Il crée une liaison point à point vers des
routeurs Cisco au niveau de points distants sur un inter-réseau IP. [28]
3.5.1.2 Principe.
Le protocole GRE est conçu pour gérer le transport du trafic multi-protocole et multidiffusion IP
entre deux ou plusieurs sites, qui peuvent ne posséder que de la connectivité IP. Pour comprendre
comment ça fonctionne, il suffit de comprendre que GRE est considéré comme un protocole de
niveau supérieur, qui sera transporté par IP.
Figure 3.09 : Tunnel GRE
Une interface de tunnel prend en charge un en-tête pour chacun des éléments suivants : [25]
Un protocole encapsulé (ou protocole passager), comme IPv4, IPv6, AppleTalk
Un protocole d'encapsulation (ou protocole porteur), tel que GRE
Un protocole d'acheminement de couche transport, par exemple IP, qui est le protocole qui
transporte le protocole encapsulé
Remarquons que GRE ne prévoit ni de chiffrement des données qui passent dans le tunnel, ni
d'authentification des extrémités du tunnel. L’authenticité de l’autre bout de tunnel n’est donc pas
sûre.
52
3.5.1.3 Techniques de tunneling
a) Le tunnel GRE point-à-point
C’est une mise en œuvre traditionnelle conçue pour établir une liaison point-à-point entre deux
sites. Avec cette technique, tout le trafic entre les sites est encapsulé dans un paquet GRE point-à-
point avant le processus de cryptage. Les instructions de carte cryptographique n'ont besoin que
d'une seule ligne permettant le protocole GRE (protocole IP 47). Cependant, dans cette
conception, le routeur de tête de réseau nécessite une interface de tunnel unique pour chaque
routeur de branche, de sorte qu'une conception à grande échelle peut avoir un très grand fichier de
configuration de Cisco IOS sur le routeur de tête de réseau. L'interface utilisant cette technique
contient une adresse IP, l’adresse source et destination de tunnel, et une clé de tunnel.
b) Le tunnel multipoint GRE ou mGRE
Ce tunnel, comme son nom l'indique, nous permet d'avoir plusieurs destinations. Contrairement
aux tunnels point-à-point GRE, un tunnel mGRE nous permet la création dynamique de tunnels
pour chaque branche connectée. Chaque tunnel n’a donc aucune destination fixe, et n'importe
quelle source peut envoyer à une destination spécifique, mais une valeur de clé de tunnel est
utilisée pour différencier les différentes interfaces mGRE dans le même routeur. Cela réduit le
fichier de configuration sur chaque routeur de tête de réseau, et constitue un avantage pour les
conceptions à grande échelle. Effectivement, son interface comprend seulement une adresse IP,
une adresse source de tunnel, et la clé du tunnel.
3.5.2 Le protocole IPsec
3.5.2.1 Définition
C’est un protocole de chiffrement permettant de chiffrer le trafic entre deux sites, par l’utilisation
des clés pré-partagées. Il n’est sans doute pas le protocole le mieux sécurisé mais permet une mise
en œuvre simple et rapide. [27] [28] [33]
3.5.2.2 Les protocoles de transformation
Le protocole IPec utilise trois sous-protocoles pour sa mise en œuvre :
53
a) Les en-têtes d’authentification (Authentification Headers – AH)
Ils fournissent l’intégrité sans connexion de données et d’authentification pour les paquets IP, tout
comme la protection contre certains types d’attaques réseau. L’authentification est importante car
elle garantit que les paquets de données que nous envoyons et que nous recevons, sont ceux que
nous voulons, et non des logiciels malveillants ou d’autres attaques potentiellement dangereuses.
Il en existe plusieurs versions avec des degrés de protection variables à différents niveaux.
b) La technologie ESP (Encapsulating Security Payload)
Elle assure la confidentialité de ces paquets, l’intégrité de l’origine des données ainsi que la
garantie de la sécurité contre les attaques et une certaine sécurité pour le flux de trafic. Lorsqu’il
est utilisé en mode tunneling, cela assure la sécurité pour l’ensemble des paquets IP.
c) Les associations de sécurité
Ce sont les algorithmes et les données qui permettent aux technologies AH et ESP de fonctionner.
Fondamentalement, les données sont cryptées en paquets à la source, puis transférées de manière
anonyme sur Internet pour être reçues, authentifiées et décryptées à la destination. Les
associations sont créées sur la base de l’association de sécurité sur Internet (Internet Security
Association) et le programme de gestion des clés (ISKAMP) en utilisant une série de chiffres.
3.5.2.3 Modes d’IPSec
Il existe deux modes d'utilisation d'IPSec : le mode transport et le mode tunnel. La génération des
datagrammes sera différente selon le mode utilisé.
a) Mode Transport
Ce mode est utilisé pour créer une communication entre deux hôtes qui supportent IPSec. Une SA
(Security Association) est établie entre les deux hôtes. Les entêtes IP ne sont pas modifiés et les
protocoles AH et ESP sont intégrés entre cette entête et l'entête du protocole transporté. Ce mode
est souvent utilisé pour sécuriser une connexion Point-To-Point.
54
Figure 3.10 : Paquet IPSec Mode transport
b) Mode Tunnel
Ce mode est utilisé pour encapsuler les datagrammes IP dans IPSec. La SA est appliquée sur un
tunnel IP. Ainsi, les en-têtes IP originaux ne sont pas modifiés et un en-tête propre à IPSec est
créé. Ce mode est souvent utilisé pour créer des tunnels entre réseaux LAN distant. Effectivement,
il permet de relier deux passerelles étant capable d'utiliser IPSec sans perturber le trafic IP des
machines du réseau qui ne sont donc pas forcément prête à utiliser le protocole IPSec.
Figure 3.11 : Paquet IPSec Mode tunnel
IPsec prend en charge les modes de transport et de cryptage de tunnel. Le mode de transport
crypte uniquement la partie de données (charge utile) de chaque paquet, laissant intacte l'adresse
source et l'adresse de destination dans l'en-tête. Le mode de tunnel le plus sécurisé crypte à la fois
l'en-tête et la charge utile du paquet d'origine. La différence entre ces deux modes est que le mode
tunnel protège l'en-tête de datagramme IP d'origine, et le mode de transport non. Le mode tunnel
ajoute 20 octets supplémentaires à la taille totale du paquet. Cependant, ces modes fonctionnent
tous deux dans une implémentation DMVPN.
55
3.5.3 Le protocole NHRP
3.5.3.1 Définition
Le protocole de résolution de saut suivant (NHRP), est un protocole de résolution d'adresse de
couche deux (02). Il permet aux routeurs distants de faire connaitre leur adresse IP servant à
monter le tunnel GRE avec le serveur. Le serveur, de son coté, stocke les adresses IP pour
permettre à chaque routeur de connaitre l’adresse de son voisin et ainsi établir un tunnel direct
avec lui. Ce protocole est ainsi utilisé par un routeur de branche connecté à un sous-réseau non
diffusé à accès multiple (NBMA), pour déterminer l'adresse IP du "saut suivant NBMA". [11]
3.5.3.2 Principe
Lorsqu'un routeur de branche est établi sur un réseau DMVPN, NHRP mappe une adresse IP de
tunnel à son adresse IP NBMA. Puis, il indique à l'interface mGRE où percer un paquet pour
atteindre cette adresse. Lorsque le paquet est encapsulé dans le paquet mGRE, l'adresse de
destination IP est l'adresse NBMA.
Les routeurs de tête de réseau et de succursale doivent être configurés avec un temps de maintien
NHRP, qui définit la durée pendant laquelle les routeurs demandent aux autres routeurs de
conserver leurs informations NHRP. Cette information est conservée dans le cache NHRP jusqu'à
ce que le temps d'attente NHRP expire, et que l'information soit réapprise. Sur le routeur de tête de
réseau, toutes les entrées sont ajoutées dynamiquement via des demandes d'enregistrement ou de
résolution. Le routeur de branche est configuré avec une carte NHRP statique pointant vers le
routeur de tête de réseau. Pour participer à un processus d'enregistrement NHRP, tous les routeurs
doivent appartenir au même réseau NHRP par un ID de réseau. Cette ID de réseau NHRP définit
le domaine NHRP. Les routeurs de branche doivent être configurés avec l'adresse NBMA du
routeur de tête de réseau, en tant que serveur de saut suivant (NHS), pour s'enregistrer auprès du
routeur de tête de réseau. Les routeurs de branche envoient un enregistrement au routeur de tête de
réseau qui contient l'adresse IP du tunnel et l'adresse NBMA. Le routeur de tête de réseau crée une
entrée dans son cache NHRP et renvoie une réponse d'enregistrement. Le routeur de branche
considère maintenant le routeur de tête de réseau comme un NHS valide et l'utilise comme source,
pour localiser les autres branches et réseaux dans le domaine NHRP.
56
Ce principe est illustré dans la figure ci-dessous :
HUBSPOKE 1HOST 1 SPOKE 2 HOST 2Initialisation IKE
Etablissement IKE/
IPsec
Demande d'enregistrement
NHRP
Réponse
d'enregistrement NHRP
Mise a jour de
routage
Adjaction de routage
Mise a jour de
routage
Initialisation IKE
Etablissement IKE/
IPsec
Mise a jour de
routage
Adjaction de routage
Mise a jour de
routage
Demande d'enregistrement
NHRP
Réponse
d'enregistrement NHRP
CHIFFRE CHIFFRE
Figure 3.12 : Etablissement du registration NHRP
3.5.3.3 Messages NHRP
Il existe différents messages importants que NHRP envoie, à savoir : [25]
d) NHRP Registration Request : c’est le message requis pour construire le « spoke-to-hub »
tunnel. Les Spokes enregistrent leurs IP NBMA et VPN au NHS (Hub).
e) NHRP Resolution Request : requis pour construire les « spoke-to-spokes » tunnels. Les
Spokes demandent les mappings « NBMA-to-VPN » des autres spokes.
f) NHRP Redirect : utilisé seulement en phase 3 pour construire les spoke-to-spoke tunnels.
Le NHS (hub) répond à un paquet de plan de donnée « spoke-to-spoke » via ce message.
3.5.4 Les protocoles de routage à travers DMVPN
Notre conception recommande l'utilisation d'un protocole de routage dynamique pour propager les
routes de la tête du réseau vers les succursales. Plusieurs protocoles de routage peuvent être
utilisés dans une conception DMVPN. [29]
3.5.4.1 OSPF (Open Shortest Path First)
De nombreuses organisations utilisent le protocole OSPF (Open Shortest Path First) comme
protocole de routage interne. Cela peut sembler un choix naturel de l'exécuter également sur
57
DMVPN, mais cela comporte de sérieuses limitations. OSPF est un protocole d'état de lien, donc
tous les routeurs dans une zone doivent avoir la même vue du réseau. Toute modification de la
zone déclenchera l'exécution de l'algorithme SPF (Shortest Path First) sur tous les routeurs de la
zone. En fonction de la taille du réseau, cela peut conduire à de nombreuses exécutions SPF, ce
qui peut affecter les performances des routeurs de branche dotés de petites unités centrales. Or,
DMVPN nécessite un seul sous-réseau, donc tous les routeurs OSPF doivent se trouver dans la
même zone. La synthèse est disponible uniquement sur les routeurs de frontière de zone (ABR) et
les routeurs de frontière de système autonome (ASBR), ce qui signifie que le concentrateur doit
être un ABR pour qu'il résume les routes. De plus, le tunnel mGRE sur le routeur concentrateur
doit être configuré comme un réseau de diffusion OSPF pour permettre la sélection d'un DR.
Chaque routeur de branche est configuré avec une priorité OSPF de zéro pour empêcher un spoke
de devenir le DR. Le tunnel IP MTU (Maximum Transmission Unit) doit correspondre sur toutes
les interfaces GRE qui sont adjacentes à OSPF. En outre, les zones OPSF fonctionnant sur
DMVPN doivent être totalement tronquées afin de réduire l'inondation de la LSA sur le WAN.
Une mauvaise configuration du rôle de routeur désigné (DR) ou de routeur désigné de secours
(BDR) entraînerait également une rupture de la connectivité. Toute forme d'ingénierie de trafic est
très difficile dans un protocole d'état de liaison tel qu’OSPF. [3] [32]
3.5.4.2 EIGRP (Enhanced Interior Gateway Protocol)
Le protocole EIGRP (Interior Gateway Routing Protocol) est le protocole de routage préféré lors
de l'exécution d'un réseau DMVPN. C’est un protocole de vecteur de distance avancé. Cela le rend
plus approprié pour DMVPN car il n'est pas limité par les limitations de topologie d'un protocole
d'état de liaison. L’EIGRP peut résumer, manipuler les métriques à tout moment et n'a aucun
concept de zones. Cela rend beaucoup plus facile son déploiement et sa mise à l'échelle dans une
topologie DMVPN. [33]
En phase 1 et 3, le prochain saut de routes est le hub. Dans la phase 2, le concentrateur ne doit pas
se définir comme le saut suivant pour les routes, ce qui est la valeur par défaut pour EIGRP. Le
« split horizon » doit être désactivé sur les concentrateurs afin que les mises à jour de routage
puissent être envoyées sur la même interface (tunnel) que celle sur laquelle ils sont entrés.
Le principal facteur lors du déploiement d’EIGRP est de transformer tous les routeurs spoke en
routeurs de remplacement. Le protocole EIGRP interroge ses voisins lorsqu'un itinéraire disparaît
et cela affecte l'évolutivité et la convergence.
58
3.5.4.3 BGP (Border Gateway Protocol)
L’utilisation de Border Gateway Protocol (BGP) est également une solution viable pour les
DMVPN. C’est un protocole de routage externe, adopté pour la connectivité entre systèmes
autonomes, qui permet d'échanger des informations entre des réseaux ayant des politiques de
routage différentes, et notamment d'assurer, par l'usage de vecteurs de chemin, une protection
contre les boucles de routage. On le connait par sa capacité éprouvée à évoluer vers un grand
nombre de routes et avec des temporisateurs par défaut. Il repose sur TCP (port 179).
Le passage des informations de routage se fera de routeur de bordure en routeur de bordure et elles
seront éventuellement propagées dans les routeurs internes aux AS par une redistribution dans les
protocoles de routages internes. [3] [14] [17] [34]
On peut distinguer 2 types de dialogue BGP :
a) Entre deux routeurs de bordure de deux AS différents, dénommé e-BGP (external BGP).
b) Entre les routeurs d’un même AS dénommé i-BGP (internal BGP)
Pour qu’un dialogue BGP s’établisse entre deux routeurs, on les déclare « voisins ». Deux voisins
d’AS différents sont forcément sur le même réseau local et deux voisins du même AS peuvent être
sur des réseaux différents. C’est le protocole de routage interne qui maintient leur connectivité. On
peut filtrer à volonté les routes à diffuser à l’extérieur. Les routeurs BGP vont prendre leur
décision de routage aux vues des attributs des adresses qu’ils auront pu recevoir de divers AS et
des préférences locales. Ces attributs vont spécifier pour une adresse destination donnée : le
prochain routeur à qui envoyer (next hop) pour atteindre sa destination, l’origine de
l’apprentissage de cet adresse (interne, externe, ou statique), des préférences locales de poids
affectés aux entrées et sorties d’un AS, des métriques associées aux adresses. Pour qu’une route
vers un réseau donné soit propagée, il faut qu’elle soit connue de BGP, c’est-à-dire présente dans
la table de BGP, mais aussi que le réseau en question apparaisse dans la table de routage IP.
59
3.6 Choix du modèle de conception DMVPN
3.6.1 Comparaison des technologies VPN :
3.6.1.1 Cisco GET-VPN
Le Cisco IOS GET VPN est une technologie VPN sans tunnel qui fournit une sécurité de bout en
bout pour le trafic réseau dans un mode natif et maintient la topologie entièrement maillée. Il
utilise la capacité du réseau central à acheminer et répliquer les paquets entre différents sites au
sein de l'entreprise. Il préserve les informations d'origine des adresses IP source et de destination
dans l'en-tête du paquet chiffré pour un routage optimal. Il est également mieux adapté pour
chiffrer le trafic de multidiffusion. On l’utilise donc lorsqu’on veut activer la participation des
routeurs plus petits dans le maillage réseau.
3.6.1.2 Cisco DMVPN
Le VPN multipoint dynamique (DMVPN) est une solution logicielle Cisco IOS pour la création de
réseaux privés virtuels IPsec évolutifs. Il permet aux succursales de communiquer directement
entre elles sur le réseau WAN ou Internet public, mais ne nécessite pas de connexion VPN
permanente entre les sites. Il permet un déploiement sans contact des VPN IPsec et améliore les
performances du réseau en réduisant la latence et la gigue, tout en optimisant l'utilisation de la
bande passante au siège social.
C’est une technologie qui garantit les bénéfices du client en simplifiant la configuration du
chiffrement et gestion pour les tunnels GRE. Il prend aussi en charge le QoS, la multidiffusion et
le routage. On le déploie souvent pour simplifier la configuration des concentrateurs.
3.6.1.3 Cisco Easy VPN
La solution Cisco Easy VPN permet d'intégrer des périphériques distants VPN au sein d'un
déploiement unique et avec une stratégie cohérente et une méthode de gestion des clés, ce qui
simplifie l'administration du site distant. Il comprend deux composants :
a) Easy VPN Remote : pour agir en tant que client distant
b) Le serveur Easy VPN : pour agir en tant que périphérique de tête de réseau VPN
60
On l’utilise lors de la simplification globale du VPN c’est-à-dire fournir un cadre de configuration
simple et unifié pour le mélange de produits Cisco VPN.
Le tableau suivant nous démontre par comparaison avec d’autres solutions VPN IPsec qui
étendent les capacités des VPN de base, la particularité de notre DMVPN. [26] [27] [33]
Fonctionnalités Cisco Easy VPN Cisco DMVPN Cisco GET-VPN
Routage Non supporté Routage dynamique
sur le tunnel
Routage dynamique
sur IP WAN
Topologie - Hub and spoke
(Client-Site)
- Hub and spoke
- Spoke to spoke
automatiquement
terminé lorsqu’aucun
traffic présent
- Hub and spoke
- Any-to-any (Site-
Site)
Échelle Des Milliers de
connections
- Des milliers de
connections Hub and
Spoke
- Des centaines de
connections Spoke to
Spoke à maillage
partiel
Des Milliers de
connections
IP Multicast Non supporté Réplication
multidiffusion au
concentrateur
- pris en charge sur
les réseaux MPLS et
IP privés ;
- tunnelisé sur des
réseaux WAN basés
sur Internet
Infrastructure Réseau Transport par
internet public
Transport par internet
public et privé
Transport IP privé
Encapsulation Tunnel IPsec Tunnel IPsec IPsec non tunnellisé
Cryptage Protection « Peer to
peer »
Protection « Peer to
peer »
Protection de groupe
Tableau 3.02: Comparaison entre EasyVPN, DMVPN et GETVPN
3.6.2 DMVPN à travers MPLS
La technologie DMVPN offre deux avantages clés pour étendre les VPN MPLS aux branches, le
cryptage en masse et, plus important encore, un modèle de superposition évolutif. Puisque
l'hypothèse ici est que les branches dans ce déploiement soient connectées au concentrateur via un
61
service de couche trois. Couplé avec le fait qu'il existe un grand nombre de déploiements
DMVPN, cette solution devient une option de déploiement attrayante. [23]
Par ailleurs, l’utiliser pour des réseaux d'entreprise est encore plus fructueux. D’abord, il simplifie
les communications de branche et réduit la complexité du déploiement, en offrant une
configuration sans contact. Puis, il réduit les dépenses d'investissement et d'exploitation. Ensuite,
il améliore la résilience de l’activité en empêchant les perturbations et les services critiques. Enfin,
c’est un protocole évolutif, car il permet de garder la configuration des routeurs statiques en cas
d’ajout d’un nouveau site, et la création des tunnels entre les sites distants est entièrement
automatique.
3.7 Conclusion
Nous avons pu voir que DMVPN n'est pas seulement une autre technologie VPN mais une
révolution dans la conception d'architecture VPN. La flexibilité, la stabilité et la facilité
d'installation qu'il offre, sont inégalées, ce qui en fait à peu près la meilleure solution VPN
disponible de nos jours pour tout type de réseau. Par conséquent, sa présence sera bénéfique à
travers notre MPLS par la faculté d’interconnections des sites en dehors des fournisseurs de
services locaux, et le maintien du contrôle du cryptage et flux de trafic. Nous allons confirmer à
travers une simulation dans le chapitre suivant ces aspects théoriques étudiés auparavant.
62
CHAPITRE 4
SIMULATION SOUS GNS3
4.1 Introduction
Le vif de ce chapitre est de fournir une approche plus pratique. Dans un premier lieu, nous
abordons l'aspect conception du réseau MPLS. Ensuite celui du DMVPN qui sera déployé pour
sécuriser les connexions sur internet. De plus, nous nous permettrons de présenter de façon
sommaire quelques résultats obtenus lors de nos travaux. Et enfin, nous ferons des remarques
constructives et une ouverture de débat sur les dispositions futures concernant les différentes
technologies que nous avons choisi d’appliquer dans notre projet de construction de modèle
d’infrastructure réseau basé sur le principe Hub & Spoke.
4.2 Présentation des outils de simulations utilisés
4.2.1 Microsoft Office Visio
Microsoft Visio est un logiciel de création de diagrammes, notamment des organigrammes, des
plans de construction, des plans de niveau, des diagrammes de flux de données, des schémas de
procédés, des modèles de processus métier, et bien plus encore. Visio peut être utilisé dans une
grande variété de configurations pour créer des diagrammes d'aspect professionnel. Nous avons
opté pour celui-ci afin d’apporter l’aspect professionnel souhaité pour la présentation de notre
projet. [35]
Figure 4.01 : Fenêtre d’accueil de Microsoft Visio
63
4.2.2 Le simulateur GNS3
Le GNS3 est un simulateur graphique de réseaux qui permet de créer des topologies de réseaux
complexes et d'en établir des simulations. Ce logiciel, en lien avec Dynamips (qui est la partie de
GNS3 principale pour les simulations IOS), Dynagen (interface textuelle pour Dynamips) et Pemu
(il permet d’émuler les pare-feu grâce à l’émulateur PIX) est un excellent outil pour
l'administration des réseaux CISCO. [36]
Figure 4.02 : Fenêtre d’accueil de GNS3
4.2.3 L’analyseur du réseau Wireshark
Wireshark est un analyseur de protocoles (sniffer). Celui-ci utilise directement l’interface Ethernet
de notre machine pour réaliser la capture de toutes les informations circulant sur le réseau local sur
lequel nous sommes connectés. Il sera utilisé comme sonde réseau pour analyser les protocoles
des flux générés.
Pour se faire, on y distingue trois zones :
- Dans une première zone est affichée la liste des trames capturées avec un numéro de trame,
l’heure à laquelle elle a été capturée (par défaut depuis le lancement de la capture mais on peut
demander l’heure réelle), l’adresse réseau source de la trame (adresse IP en général, mais pas
toujours), l’adresse réseau de la destination, le protocole de plus haut niveau détecté et quelques
autres informations. [37]
64
- Dans une deuxième zone le nombre d’octets de la trame ainsi que le nombre d’octets capturés
sont indiqués, suivi du détail des en-têtes de tous les protocoles jusqu’au protocole final (ici
Ethernet et ARP).
- Dans la troisième zone apparaissent les octets capturés de la trame. Chaque ligne contient seize
octets. Elle commence par le numéro (en hexadécimal) du premier octet de la ligne, suivi de deux
groupes de huit octets en hexadécimal, suivi du caractère ASCII correspondant (remplacé par un
point si celui-ci n’est pas affichable).
Figure 4.03 : Liste des trames capturées
4.3 Concept et Design
4.3.1 Présentation de la topologie
Les topologies réseau proposées ci-dessous ont été élaborées sous Microsoft Visio.
La maquette que nous avons réalisée, représente un grand réseau divisé en deux grandes parties.
a) IP/MPLS dans la partie provider qui est composé de :
Un cœur de réseau composé d’un routeur P (Provider), suivi de deux routeurs de bordure pour
chaque site (Routeur PE : Provider Edge) de la gamme Cisco c7200-advipservicesk9-mz.152-4.
S5. image ;
65
Respectivement à chaque PE se trouve deux routeurs client (Routeur CE : Client Edge) de la
gamme Cisco c2691-gns3-entservicesk9-mz.123-16.image. Pour la supervision de réseau, nous
avons installé Wireshark.
b) DMVPN dans la partie des clients distants qui sont :
Les routeurs de bordure de chaque LAN (Tana, Majunga, Tamatave) de la gamme Cisco c3725-
adventerprisek9-mz124-15. image
D’un point de vue général, voici, le modèle de l’architecture réseau que nous avons conçu.
ASECNA SIEGE
TANA
WAN / MPLS
SERVICE PROVIDER
LAN AGENCE-
TAMATAVE
LAN AGENCE-
MAJUNGA
LEGENDE :
1. Partie provider: etablissement de la technologie MPLS-L3 (PE, P, CE)
2. Partie clients distants: tunnelling par la technologie DMVPN (IP-sec,
NHRP, mGRE )
HUB
SPOKE 1
SPOKE 2
DMVPN
DMVPN
Figure 4.04 : Architecture générale du projet
Dans la partie MPLS, le schéma très simplifié ci-dessous nous présente la manière dont les sites
distants, et les abonnés pourront avoir accès aux ressources dont ils ont besoin grâce aux différents
services suivant :
66
Figure 4.05 : Illustration des liaisons offertes par MPLS niveau 3
Et enfin, voici les détails concernant la conception utilisant la technologie DMVPN
PROVIDER
EDGE-1
PROVIDER
EDGE-2
CUSTUMER
EDGE-2
LAN AGENCE-
MAJUNGA
LAN AGENCE-
TAMATAVE
OSPF 30
AREA 0
OSPF 20
AREA 0OSPF 10
AREA 0
DOMAIN
PROVIDER :
MPLS L3
MP-iBGP
CUSTUMER
EDGE-1
ROUTER DMVPN
HUB
ROUTER DMVPN
SPOKE-1
ROUTER DMVPN
SPOKE-2
PE-1
TANA
PE-1
TAMATAVE
PE-2
TANA
PE-2
TAMATAVECE-1
TANA
CE-2
TANA
CE-1
TAMATAVE
CE-2
TAMATAVE
LAN SIEGE-
ANTANANARIVO
PROVIDER
CENTRAL
TUNNEL 1
DMVPN
TUNNEL 2
DMVPN
Figure 4.06 : Modèle d’infrastructure réseau MPLS à travers DMVPN
67
4.3.2 Présentation des équipements
Les gammes de routeurs émulés sont :
4.3.2.1 Routeurs Cisco 7200
Le choix s’est tourné vers les routeurs d'accès Cisco 7200 car ce sont des appareils haut de
gamme, idéalement adaptés aux environnements des grandes succursales d'entreprise comme le
nôtre. Il permet ainsi d'offrir les meilleurs services de réseau du marché, notamment la
commutation MPLS, l'agrégation haut-débit, les fonctionnalités de qualité de service et de
sécurité, et le multiservice. Il supporte surtout les protocoles LDP et CEF, qui sont nécessaires
pour l’implémentation de notre technologie VPNs MPLS de couche 3.
4.3.2.2 Routeurs Cisco 2600
Nous avons choisi cette gamme dans la partie « customer edge » car elle apporte aux
administrateurs réseau plus de flexibilité, de performances et de capacité mémoire, ainsi qu'une
densité de service encore plus élevée pour supporter les besoins actuels et à venir des succursales
d'entreprise. Elle offre des fonctions de tunnellisation évoluées, incluant le protocole L2TP, le
cryptage IPSec matériel normalisé, le logiciel Cisco IOS Firewall Feature Set et diverses
interfaces WAN et de numérotation, qui sont des solutions idéales pour les points d'entrée VPN
comme pour les passerelles d'accueil.
4.3.2.3 Routeurs Cisco 3700
La gamme Cisco 3700 est placée dans chaque site distant pour tirer profit de sa capacité,
interopérabilité et sa faculté à supporter de multiple protocole. En effet, elle offre un ensemble
complet de protocoles et de services, incluant la création de réseaux privés virtuels, la protection
par firewall, le cryptage, l'optimisation WAN et des fonctions de support multimédia évoluées.
Cette gamme offre aussi des performances de routage haut débit pouvant atteindre 225 000
paquets par seconde, et apporte ainsi la capacité d'évolution qui permet de supporter en même
temps davantage de services.
68
4.4 Implémentation et configuration
4.4.1 Adressage
Le tableau suivant récapitule la table d’adressage des routeurs et commutateurs intégrés dans la
simulation :
Site Périphérique Interface Adresse IP Masque de sous-
réseau
Antananarivo
TANA
FastEthernet0/0 192.168.1.1 255.255.255.248
Loopback0 192.168.4.1 255.255.255.255
Tunnel0 20.20.20.254 255.255.255.0
CE1-TANA
FastEthernet0/0 192.168.1.9 255.255.255.252
FastEthernet0/1 192.168.1.2 255.255.255.248
FastEthernet1/0 192.168.1.13 255.255.255.252
Loopback0 8.8.8.8 255.255.255.255
CE2-TANA
FastEthernet0/0 192.168.1.10 255.255.255.252
FastEthernet0/1 192.168.1.3 255.255.255.248
FastEthernet1/0 192.168.1.17 255.255.255.252
Loopback0 9.9.9.9 255.255.255.255
Tamatave
TAMATAVE
FastEthernet0/0 192.168.2.1 255.255.255.248
Loopback0 192.168.5.1 255.255.255.255
Tunnel0 20.20.20.2 255.255.255.0
CE1-
TAMATAVE
FastEthernet0/0 192.168.2.9 255.255.255.252
FastEthernet0/1 192.168.2.2 255.255.255.248
FastEthernet1/0 192.168.2.13 255.255.255.252
Loopback0 13.13.13.13 255.255.255.255
CE2-
TAMATAVE
FastEthernet0/0 192.168.2.10 255.255.255.252
FastEthernet0/1 192.168.2.3 255.255.255.248
FastEthernet1/0 192.168.2.17 255.255.255.252
Loopback0 12.12.12.12 255.255.255.255
Majunga MAJUNGA Fe0/0 192.168.3.1 255.255.255.248
69
Loopback0 192.168.6.1 255.255.255.255
Tunnel0 20.20.20.3 255.255.255.0
CE1-
MAJUNGA
FastEthernet0/0 192.168.3.9 255.255.255.252
FastEthernet0/1 192.168.3.2 255.255.255.248
FastEthernet1/0 192.168.3.13 255.255.255.252
Loopback0 10.10.10.10 255.255.255.255
CE2-
MAJUNGA
FastEthernet0/0 192.168.3.10 255.255.255.252
FastEthernet0/1 192.168.3.3 255.255.255.248
FastEthernet1/0 192.168.3.17 255.255.255.252
Loopback0 11.11.11.11 255.255.255.255
Fournisseurs
d’accès
P-CENTRAL
GigabitEthernet1/0 172.16.10.1 255.255.255.0
GigabitEthernet2/0 172.16.11.1 255.255.255.0
GigabitEthernet3/0 172.16.30.1 255.255.255.0
GigabitEthernet4/0 172.16.31.1 255.255.255.0
GigabitEthernet5/0 172.16.21.1 255.255.255.0
GigabitEthernet6/0 172.16.20.1 255.255.255.0
Loopback0 7.7.7.7 255.255.255.255
PE1-TANA
GigabitEthernet1/0 172.16.10.2 255.255.255.0
GigabitEthernet2/0 192.168.1.14 255.255.255.252
Loopback0 1.1.1.1 255.255.255.255
PE2-TANA
GigabitEthernet1/0 172.16.11.2 255.255.255.0
GigabitEthernet2/0 192.168.1.18 255.255.255.252
Loopback0 2.2.2.2 255.255.255.255
PE1-
TAMATAVE
GigabitEthernet1/0 172.16.20.2 255.255.255.0
GigabitEthernet2/0 192.168.2.14 255.255.255.252
Loopback0 6.6.6.6 255.255.255.255
PE2-
TAMATAVE
GigabitEthernet1/0 172.16.21.2 255.255.255.0
GigabitEthernet2/0 192.168.2.18 255.255.255.252
Loopback0 5.5.5.5 255.255.255.255
PE1-
MAJUNGA
GigabitEthernet1/0 172.16.30.2 255.255.255.0
GigabitEthernet2/0 192.168.3.14 255.255.255.252
70
Loopback0 3.3.3.3 255.255.255.255
PE2-
MAJUNGA
GigabitEthernet1/0 172.16.31.2 255.255.255.0
GigabitEthernet2/0 192.168.3.18 255.255.255.252
Loopback0 4.4.4.4 255.255.255.255
Tableau 4.01: Table d’adressage
4.4.2 Configuration
4.4.2.1 Création du réseau et vérification de la connectivité
Étape 1 : Câblage du réseau conformément à la topologie et à la performance voulues.
Ici, on a utilisé un câble droit GigabitEthernet pour les services provider et FastEthernet pour le
reste.
Étape 2 : Configuration des paramètres de base pour chaque routeur des sites distants
c) Routeur TANA
Apres configuration manuel, nous avons :
Figure 4.07 : Table d’adressage de TANA
d) Routeur MAJUNGA :
Apres configuration manuel, nous avons :
Figure 4.08 : Table d’adressage de MAJUNGA
71
e) Routeur TAMATAVE :
Apres configuration manuel, nous avons :
Figure 4.09 : Table d’adressage de TAMATAVE
Maintenant, les sites distants sont prêts à être reliés entre eux grâce à la technologie MPLS.
4.4.2.2 Mise en place de la technologie VPN MPLS
La configuration de la transmission de MPLS est une étape à la disposition du backbone VPN
MPLS du fournisseur de service. Elle assure la promptitude du fournisseur de service pour fournir
des services MPLS-connexes aux clients éventuels :
Etape 1 : Configurer le cœur de réseau
Configurer les protocoles de routage dans le cœur de réseau : OSPF
Ex : Pour le routeur central :
:
Figure 4.10 : Protocol de routage actif dans le routeur central
Configuration du MPLS LDP (Label Distribution Protocol)
72
Pour valider MPLS sur tous les routeurs du cœur de réseau, nous allons configurer un protocole de
distribution d'étiquettes (label) sur chaque routeur appartenant au domaine du « service provider ».
Ex : Pour le routeur TANA
Figure 4.11 : Label Distribution Protocol dans le routeur TANA
La commande « mpls ip » est requise pour créer un voisinage avec le protocole LDP. On la
configure seulement dans les interfaces internes du fournisseur d’accès.
La commande « mpls label range » définit le nombre de labels que l’on veut implémenter pour
faciliter le repérage des paquets. On peut voir par la suite l’établissement du voisinage LDP de
chaque PE vers le routeur central dans la figure suivante :
Respectivement à chaque PE, le routeur central établit lui aussi des relations de voisinage LDP.
Figure 4.12 : Les relations de voisinage LDP
Configurer VRF sur les routeurs PE
Ceci a comme conséquence la création d'une table de routage VRF et d'une table Cisco Express
Forwarding (CEF) pour le client nommé ASECNA. Puis, on lui associe un RD ou Route
Distinguisher qui va créer des tables de routage et de transmission. Le RD est ajouté au début
des en-têtes IPv4 du client pour les convertir en préfixes globalement uniques VPNv4. Et enfin, on
lui attribue un RT ou Route Target pour configurer l'importation et l'exportation de stratégies
envers les communautés MP-BGP futur.
Les exemples suivants montrent les VRF ASECNA étant configurés sur tous les routeurs PE.
Création de VRF dans PE1
73
Figure 4.13 : VRF dans PE1
Création de VRF dans PE2
Figure 4.14 : VRF dans PE2
Association de VRF à l'adresse IP de l'interface
Ex : Pour PE-TAMATAVE
Figure 4.15 : Association de VRF dans TAMATAVE
Etape 2 : Connecter les clients VPN MPLS :
Etablissement du lien entre PE et CE
Les routeurs PE communiquent avec les clients grâce au protocole OSPF.
74
Figure 4.16 : Liaisons des routeurs PE
Configuration du protocole MP-BGP :
Ex : Pour MAJUNGA :
Figure 4.17 : Les voisins de MAJUNGA grâce à MP-BGP
Nous utilisons MP-BGP entre les routeurs PE afin qu'ils puissent partager des informations à partir
des VRF.
Redistribution des routes entre les clients et les fournisseurs :
A chaque site, on doit redistribuer les routes apprises par les protocoles actifs tels que le protocole
BGP à travers OSPF :
75
Figure 4.18 : Redistribution des routes BGP à travers OSPF
Puis OSPF à travers BGP :
Figure 4.19 : Redistribution des routes OSPF à travers BGP
Etape 3 : Vérification de la configuration VPN
Table VRF
76
Figure 4.20 : Les routes VRF dans TANA
Table MPLS
A l’aide de la commande « show mpls interfaces », on peut connaître quelle interface est activée
par MPLS.
77
Figure 4.21 : Activation de MPLS sur chaque interface
Dans notre configuration, on voit que seules les interfaces GigabitEthernet 1/0 des routeurs PE
sont activées par MPLS. On peut aussi vérifier la table MPLS des routeurs à l’aide de la
commande « show mpls forwarding-table ».
Ex : A TANA, on a :
Figure 4.22 : La table MPLS du routeur TANA
Dans le routeur central, on a :
Figure 4.23 : La table MPLS du routeur central
Table de routages appris par les clients :
Grace à l’échange de route effectuée par les différents protocoles, chaque site distant a la faculté
de communiquer avec les autres sites distants appartenant au même VPN que lui. Ces nouvelles
78
routes sont ici indiquées par « O E2 » qui montre qu’il a été importé par le protocole OSPF depuis
des sites externes. On peut donc vérifier que le routeur CE local et le routeur CE distant, sont dans
la table de routage.
Figure 4.24 : Table de routages des clients
Etape 4 : Vérification de la connectivité entre sites VPN MPLS
Vérification de la connectivité de routeur CE à routeur CE à travers le cœur de réseau
MPLS.
Ex : Connectivité de CE-TANA vers CE TAMATAVE
79
Figure 4.25 : Connectivite réussie entre TANA et TAMATAVE
Traçage de route labélisé par MPLS
Ex : Route empruntée par MAJUNGA pour aller vers TAMATAVE :
Figure 4.26 : Route MAJUNGA - TAMATAVE
4.4.2.3 Mise en place de la technologie DMVPN
Le routeur TANA fait office de Hub pour cette architecture. Pour chacun des Spokes, la
configuration sera identique, excepté pour les IP publique et privée, qui seront uniques pour
chaque site distant. Pour se faire, on a suivi les étapes suivantes :
Etape 1 : Création du tunnel :
On crée l’interface Tunnel qui va servir à encapsuler le trafic hub-spoke dans un tunnel IP/GRE.
Un tunnel, ça se creuse des deux côtés à la fois. Il faut donc intervenir sur les routeurs Hub et
Spokes. Tunnel 0 est le nom de la nouvelle interface réseau qui va conduire aux spokes.
L'adresse IP du tunnel HUB est 20.20.20.254 tandis que l’adresse IP de ses SPOKES sont
20.20.20.2 et 20.20.20.3
Etape 2 : Configuration du NHRP
80
Les commandes NHRP permettent de configurer le protocole sur cette interface, et en particulier
la clef d’authentification (ip nhrp authentication), l’insertion automatique des « spokes » dans la
liste de destinataires multicast (ip nhrp map multicast dynamic), et la « communauté » NHRP (ip
nhrp network-id 2020). Pour les Spokes, on mappe de façon manuelle en NHRP l'adresse publique
du hub pour l'établissement du tunnel permanent entre le spoke et le hub.
Etape 3 : Configuration du tunnel GRE
Etape 4 : Configuration du protocole de routage
On a choisi EIGRP. La configuration s’applique encore une fois de façon similaire sur l’ensemble
des routeurs (hub et spokes)
Figure 4.27 : Activation du protocole EIGRP
On désactive le mécanisme Split-Horizon par la commande suivant :
# no ip split-horizon eigrp 1
On demande à EIGRP de ne pas réécrire l'adresse de next-hop avec celle du routeur puisque cela
sert directement pour l'établissement de lien dynamique avec l'aide d'NHRP.
Etape 5 : Cryptage
La configuration est classique, légère et similaire à appliquer à la fois sur le hub et les spokes.
81
Figure 4.28 : Activation du service de cryptage
4.5 Interprétations des résultats de la simulation
4.5.1 Résultats des séries de test
Pour vérifier que tout fonctionne correctement, nous allons effectuer des captures de paquets par
le biais du logiciel Wireshark, ce qui nous permettra d’apercevoir des paquets ESP (Encapsulating
Security Payload) transitant entre les différents routeurs pour les communications Lan-to-Lan.
Mais auparavant, nous allons vérifier la présence exacte de la technologie DMVPN grâce aux
commandes suivantes :
#show ipnhrp : afin de voir les IP dynamiquement mappées sur le Hub (adresses NBMA et
VPN).
Figure 4.29 : Table de routage par le protocole NHRP
#show dmvpn : afin de visualiser l’état des peers VPN.
Pour le HUB, on a :
82
Figure 4.30 : Vérification du protocole DMVPN dans TANA
Le routeur MAJUNGA nous signale ci-dessous que le tunnel permanent NHRP est établi entre le
hub TANA et le spoke MAJUNGA. La même commande exécutée sur TAMATAVE nous
donnerait un résultat similaire.
Figure 4.31 : Vérification du protocole DMVPN dans MAJUNGA
Une fois ces configurations répliquées sur le Hub et les Spokes, nous serons capables de pouvoir
faire du DMVPN avec IPsec et GRE combinés. Nous allons le tester grâce aux connectivités
entres les sites distants TAMATAVE-MAJUNGA :
Figure 4.32 : Test de connectivité TAMATAVE-MAJUNGA
Le ping fonctionne, vérifions maintenant ce qui se passe au niveau ISAKMP et IPsec:
83
Figure 4.33 : Vérification de cryptage
On voit directement ici que nous avons deux connections IPsec actives à présent, celle concernant
le tunnel permanent entre le hub et le routeur (1001) qui s’est renégociée à l’activation de nos
nouveaux paramètres IPsec et le tunnel dynamique établi dynamiquement (1002) qui s’est
également renégocié étant déjà lui aussi établi lors de nos tests. A présent, grâce au logiciel
Wireshark, on peut effectuer des captures de paquet.
Figure 4.34 : Résultat de capture de paquet entre le routeur TAMATAVE et MAJUNGA
4.5.2 Analyse et suggestions
Durant l’élaboration de ce projet, nous avons essayé de démontrer le fonctionnement et l’efficacité
de notre topologie relayant la technologie DMVPN à travers MPLS. Par le biais d’un fournisseur
d’accès, nous avons créé une liaison spécialisée virtuelle qui permet de relier entre eux des
84
réseaux IP. Ces réseaux sont constitués avec des IP privées, et semblent simplement
interconnectés par un routeur. Une adresse IP privée du réseau de TAMATAVE dialogue sans
problème avec une autre adresse IP privée du réseau MAJUNGA, et réciproquement. Pourtant, le
lien entre ces deux réseaux est bel et bien bâti sur l'internet, où ces adresses IP privées sont
bannies.
Grâce à notre topologie, on a pu créer une redondance au niveau client distant par l’existence des
routeurs backup pour assurer une haute disponibilité des équipements transitant les données. On a
déployé ensuite le principe de Hub and Spoke dans notre réseau WAN pour relier directement
chaque site distant (tunneling) et de façons à sécuriser leurs liens. De cette manière les Spokes
(Clients) s’enregistrent avec le Hub (Serveur) et spécifient manuellement l’adresse du Hub dans le
Tunnel GRE (tunnel destination…). Ils envoient cela via le NHRP Registration Request. Puis, les
Hub apprennent dynamiquement les adresses VPN (Privées) et adresses NBMA (Publiques). Les
Spokes établissent donc les tunnels vers les Hub, puis ils échangent ensuite les infos de routage
IGP au travers du Tunnel.
D’après les résultats ci-dessus, on a des protocoles ESP transitant entre les sites qui indiquent que
les sites sont sécurisés par la technologie DMVPN.
4.6 Conclusion
Dans notre contexte, nous avons pris pour exemple la société ASECNA Madagascar. C’est une
grande société disposant de plusieurs Annexes dans les régions du pays. L’ASECNA centre étant
à Antananarivo, l’on veut établir une communication sécurisée entre celui-ci et les autres sites
situés à Tamatave et à Majunga. L’objectif ici était de raccorder ASECNA Antananarivo aux sites
ASECNA Tamatave et ASECNA Majunga, en utilisant DMVPN. A travers cette démonstration,
nous avons pu tester que notre conception est adaptative et est fonction des exigences liées à
chaque cas spécifique. Notamment la sécurité des données transitant sur chaque site.
85
CONCLUSION GENERALE
Il a été question pour nous, au cours de ce travail, de concevoir un modèle
d’infrastructure réseau basé sur les exigences requises dans le monde de la transmission
numérique d’information à grande distance ou télécommunication. Pour y parvenir, nous avons,
dans un premier lieu, tenté d’acquérir et de maitriser théoriquement les outils techniques et
méthodologiques d’analyse, de conception, et d’administration des réseaux. Le but était de
connaitre les bases de conception d’un réseau capable de répondre à des contraintes fonctionnelles
et évolutives, tout en tenant compte des composantes centrales que sont la sécurité, la mobilité et
les technologies IP. Ensuite, nous avons décidé d’implémenter notre projet dans les réseaux
étendus. Or, il existe de nombreux protocoles de réseaux de transports pouvant effectuer la
connectivité dans ce domaine tels que le X.25, le Frame Relay, l’ATM et MPLS.
Cependant, nous avons opté pour la technologie MPLS qui est une technique avantageuse, en
termes de traitement des paquets dans les réseaux longue distance opérateurs. De plus, le
transporteur sépare le trafic d'un client d'un autre lorsqu'il passe à travers le réseau fédérateur
partagé. Néanmoins, il n'y a pas de cryptage, donc le transporteur pourrait voir le trafic des clients,
même si les autres clients ne le peuvent pas. C'est pourquoi nous avons utilisé DMVPN à travers
notre MPLS. Ce dernier prend en charge via IPsec le cryptage, et fonctionne selon le principe
appelé « Hub &Spoke ». Grâce à DMVPN, les sites sont capables de construire dynamiquement
un tunnel VPN entre eux, ce qui permet la communication directe entre eux. Par conséquent, c'est
une excellente sauvegarde ou une alternative adaptable pour une entreprise fonctionnant sur un
réseau central MPLS privé basé sur IP. Enfin, nous avons présenté quelques résultats obtenus de la
conception du réseau géré par ces deux technologies.
Puisqu’en ingénierie, il n’y a pas de perfection mais plutôt du sens de créativité selon l’évolution
et les besoins de l’homme, nous pensons que pour approfondir les tests de déploiement de la
combinaison de ces deux technologies, il faudrait, en plus de tout ce que nous avons fait jusqu’ici
se tourner vers des test réels pour obtenir des résultats pratiques avec les équipements matériels
réels et ainsi fournir des conseils de conception sur l'évolutivité de diverses plates-formes dans les
configurations DMVPN. Ce travail, loin d’être complet pourra être amélioré dans tous les sens du
terme par quiconque s’y intéressant.
86
ANNEXE 1 Les gammes de paquet CISCO IOS
Il existe plusieurs paquets pour routeurs, catégorisés selon leurs fonctionnalités. Cependant, l’IP
Base est l’ensemble de bases de services logiciels Cisco IOS, requis pour faire fonctionner un
routeur Cisco dans un environnement de données. Il inclut des technologies telles que la
connectivité DSL, les modules de commutation Ethernet, le routage 802.1q et le trunking sur les
interfaces Ethernet. Ses sous-ensembles cités ci-dessous héritent toutes ses caractéristiques : [38]
[39]
a) IP Voice : ajoute la voix en plus des fonctionnalités disponibles dans IP Base. Il intègre le
support pour VoIP ou VoFR. Les fonctionnalités supplémentaires incluent la prise en
charge de toutes les interfaces voix existantes et de leurs protocoles de signalisation, des
capacités de leadership clés (ex : Cisco Call Manager Express) et de la téléphonie de site
(Survivable Remote, SRST).
b) Enterprise Base : intègre la prise en charge de la connectivité des données, des services
multi-protocoles et des services IBM (par exemples Appletalk, Novell et IPX).
c) Advanced Security : combine la sécurité et la connectivité de données avec un VPN. La
fonctionnalité supplémentaire inclut le pare-feu Cisco IOS, l'Intrusion Détection Système
(IDS) et le support pour le Client VPN et le Serveur. On fournira toutes les technologies de
chiffrage (3DES et AES) dans un ensemble de caractéristiques simples.
d) SP Services : combine des services de voix avec la connectivité de données et est un sur-
ensemble complet de Voix IP. L'ensemble de caractéristique de Services SP fournit aussi
d'autres caractéristiques haut de gamme, comme BGP et MPLS.
e) Advanced IP Services : combine le support pour des données et la voix avec la sécurité et
des capacités VPN. Il supporte toutes les caractéristiques matérielles soutenu dans les
Services SP et l’ensemble de caractéristiques de Sécurité Avancée en ajoutant le support
pour IPV6.
f) Enterprise Services : remplit entièrement les exigences des clients qui veulent intégrer le
support IBM complet et les services de voix.
g) Advanced Enterprise Services : fusionne le support pour des services de multi-protocole
avec la voix, sécurité, VPN et d'autres caractéristiques haut de gamme (c'est-à-dire IPv6,
BGP, MPLS).
87
Figure A1.01 : Les types de paquets de routeurs Cisco IOS
Comme pour les routeurs, les commutateurs eux aussi ont chacun leurs caractéristiques. On les
catégorise comme suit :
a) Layer 2 Base : offre des services Logiciels IOS nécessaires pour l'environnement
commuté de la Couche 2 Ethernet. Il inclut la fonctionnalité IEEE d'Ethernet, y compris le
support 802.1D, le point d’authentification 802.1x, la sécurité portuaire, et SSHv2.
b) LAN Base : inclut les caractéristiques de réseau local, de sécurité, et de qualité avancée
comme des Listes de Contrôle d'Accès avancées (ACL), le taux limitant des capacités, la
Qualité de Service (QoS).
c) IP Base : propose des services Logiciels IOS nécessaires pour opérer avec le switch Cisco.
Elle inclut toutes les caractéristiques de base de réseau local, avec l’acheminement IP
(Statique, RIP et PIM de Base), HSRP/VRRP et le Tunnelage GRE.
d) IP Services : inclut toutes les caractéristiques de base IP avec le cheminement IP complet
(EIGRP, OSPF et PIM), BGP, la Politique (Police), GLBP, la Haute Disponibilité, Multi-
VRF...
e) Advanced IP Service : inclut toutes les caractéristiques de Services IP avec IS-IS, MPLS,
VPN de couche 2 et 3.
f) Enterprise Services : inclut IPV6, toutes les caractéristiques de Services IP et des
caractéristiques supplémentaires pour l’environnement à multi-protocole de la Couche 3.
g) Advanced Enterprise Services : fusionne le support pour tous les protocoles d'entreprise
et IP (c'est-à-dire AppleTalk, Novell, l'IPX, IS-IS et BGP) et ajoute les caractéristiques des
Sécurités Avancées (le Pare-feu, IDS).
88
Figure A1.02 : Les types de paquets de commutateurs Cisco IOS
La liste suivante sert de référence, en vue d'aider des ingénieurs dans la vérification des ensembles
de caractéristiques inclus avec une image. Dans une image IOS on peut distinguer des nombres et
des lettres, qui indiquent la fonctionnalité de caractéristique incluse dans l'image. La liste ci-
dessous, bien que n'étant pas "complète", est une liste des codes les plus populaires IOS image
nommant la convention.
Figure A1.03 : Reference des noms de paquets Cisco
89
ANNEXE 2: Évolutions MPLS
La première extension du MPLS est le GMPLS ou Generalized Multi Protocol Label Switching.
Le concept de cette technologie est d’étendre la commutation aux réseaux optiques. GMPLS
reprend le plan de contrôle de MPLS en l'étendant pour prendre en compte les contraintes liées
aux réseaux optiques. En effet, il va ajouter une brique de gestion des liens à l'architecture MPLS.
Cette brique comprend un ensemble de procédures utilisées pour gérer les canaux et les erreurs
rencontrées. [3] [15] [16]
Il permet donc de transporter les données sur un ensemble de réseaux hétérogènes en encapsulant
les paquets successivement à chaque entrée, dans un nouveau type de réseau. Ainsi, il est possible
d'avoir plusieurs niveaux d'encapsulations selon le nombre de réseaux traversés.
GMPLS est destiné à traiter différents types de technologies de transmission et de transport. Son
but est donc d'intégrer les couches de transmissions au MPLS et d'obtenir une vision globale. Il
fournira un plan de contrôle consolidé en étendant la connaissance de la topologie du réseau à
toutes les couches et permet de réaliser le management de la bande passante. Le GMPLS consiste
donc à faire converger le monde de l’optique et celui des données. Ainsi, le label, en plus de
pouvoir être une valeur numérique, peut alors être mappé par une fibre, une longueur d'onde et
bien d'autres paramètres correspondent alors à des valeurs spécifiques selon les LSPs et les autres
paramètres comme la QoS.
Grâce à GMPLS, on voit apparaître de nouveaux types de commutation. Les protocoles de
signalisation et ceux de routage seront tout simplement étendus et/ou modifiés pour pouvoir être
adaptés et supporter plusieurs technologies, et surtout, pour être adapté à la fibre optique. Il est
clair que de tels réseaux seront plus robustes et plus complets, et surtout, pourront satisfaire les
contraintes NGN. Un réseau GMPLS devra donc comporter des éléments essentiels comme : des
routeurs, des commutateurs ou Switch, des ADM, des brasseurs SDH ou SONET, des systèmes
DWDM. On pourra obtenir un réseau optimisé en utilisant les techniques de protection, de
restauration et de Traffic Engineering proposé par MPLS. Le MPLS ne faisant que de la
commutation de paquets sur des réseaux constitués essentiellement de routeurs et de
commutateurs et, ne comprenant également que des interfaces PSC, le GMPLS, vient en
complément, car il permet de supporter d'autres types de commutations.
90
Le VPLS ou Virtual Private LAN Service définit un service de VPN au niveau de la couche 2. Son
but est de simuler un réseau LAN à travers l'utilisation d'un réseau MPLS classique. Là encore, la
plus grande partie des traitements va s'effectuer sur les PE tout comme les VPNs de niveau 3.
Chaque PE maintient une table d’adresses MAC appelée table VFI.
A ce niveau-là, le mapping des FEC s'effectue directement par rapport aux adresses MAC et non
les adresses IP. Le principe est similaire à la commutation classique de niveau 2 : une trame arrive
sur un PE qui consulte sa table VFI pour vérifier l'existence de l'adresse et la commute si trouvée.
Le cas échéant, le PE, qui émule ce commutateur, va envoyer la trame sur tous les ports logiques
relatifs à l'instance VPLS concernée.
VPLS apporte un service Ethernet multipoint-à-multipoint sur une infrastructure IP/MPLS au
niveau métropolitain ou longue distance. Différentes approches sont étudiées dans le cadre de
l’IETF et des implémentations opérationnelles sont aujourd’hui proposées par les équipementiers.
Les services Ethernet sont largement utilisés dans le cadre des réseaux Recherche et
Enseignement, en particulier dans les réseaux métropolitains. La technologie permet aujourd’hui
d’étudier et d’envisager la délivrance de services Ethernet innovants par et pour la communauté
Recherche et Enseignement, non seulement au niveau local, mais aussi de manière plus globale
dans un cadre multi-domaines.
91
BIBLIOGRAPHIE
[1] « CCIE Fundamentals: Network Design and Case Studies », Cisco Systems, Inc. Second
Edition, Campus Press France, 2000
[2] W. R. Stevens, G. Pujolle, P. Rolin, « Réseaux et principles fondamentaux », Cours
Master Informatique 2èmeAnnée, Université d’Angers, France, A.U: 1999-2000.
[3] T. DANG NGOC, « Routage », Université de Cergy-Pontoise, 2012–2013
[4] G. Pujolle, « Cours réseaux et télécom », Eyrolles 3è Edition 2004
[5] E. Robin, G. Tourres, M. Vernerie, « CCNA 4 – Essentiel Réseaux et technologies
WAN », Ecole Supérieure d’Informatique de Paris, Version 2.5.1, Janv 2006
[6] J. F. PILLOU, « Routage IP », Septembre 2015
[7] C. CALECA, « Le protocole Internet et le routage », Mars 2005
[8] J. Archimbaud, « Cours Interconnexion et conception de réseaux », Ecole d’ingénieur. A
Grenoble à l’ENSIMAG, 2002
[9] N. Lebedev, « Introduction aux Réseaux Etendus », CPE Lyon, 2007-2008
[10] N.S.K, « CCNA Exploration : Présentation des réseaux étendus », CCNA 4 Version 4.0,
2010
[11] E. Rose, « Understanding MPLS », BRKMPL-1101, Cisco Live, 2014
[12] E. Osborne, « Introduction to MPLS », BRKMPL-1100, Cisco Live, 2013
[13] A. RAZAFIARINOMENJANAHARY, « Sécurisation des données échangées entre des
sites à travers le réseau MPLS par la technologie DMVPN », Mémoire de MASTER,
Avril 2016
[14] A. Laurent, « MPLS and MPBGP Fundamentals », 3X CCIE/CCDEVRF, BRKCRT-
2601, cisco live, 2015
[15] F. TANGUEP, « Conception et déploiement de la technologie MPLS dans un réseau
métropolitain », Université de Maroua/ISS, 2013
[16] A. RANDRIAMITANTSOA, « Planification, Modélisation et Simulation des réseaux par
le protocole MPLS », Janvier 2009
[17] Luc De Ghein, « Scaling BGP », BRKRST-3321, Cisco Live, Fev.2016
[18] « MPLS architecture », RFC3031, Janv. 2001
[19] Aude Le DUC, « Multi-Protocol Label Switching (MPLS) », ESME, 2008-2009
92
[20] A. Rajiv, « Deploying IP/MPLS VPNs », BRKIPM-2017, Cisco Live, 2012
[21] D. JACQUET, « Modèles d’interconnexion d’AS pour le service L3VPN MPLS »,
Editions T.I., ref. article : te7581, Avr.2017
[22] S. Chuck, « BGP/MPLS VPN Hierarchical and Recursive Applications », RFC 2547,
2001
[23] « Dynamic Multipoint VPN Design Guide », Version 1.1, Cisco Validated Design, July
2008
[24] M. Conran, « DMVPN Technologies », GUIDE DE CONCEPTION, Fev 2015
[25] D. DABO, G. YAKETE, S. DEM, « Dynamic Multipoint Virtual Private Network »,
Institut Supérieur d’Informatique, 2014
[26] S. Lynn, « DMVPN/GET VPN Design & Case Study », Consulting Systems Engineer
CCIE 5507, 2008
[27] « IPsec VPN WAN Design Overview », OL-9021-01, Corporate Headquarters, Cisco
Systems, Inc. 2007
[28] M. Langlois, Réseaux privés virtuels (VPN), Cisco Systems, Inc. 2002
[29] M. Sullenberger, « Advanced Concepts of DMVPN », BRKSEC-3052, Cisco Live, Fev.
2017
[30] Benoit, « DMVPN Phase », CCIE, Network Life, 2014
[31] L. Archimède, T. Chevalier, J. Herbin, « Sécurité de l’information Tunnels et VPN »,
DESS ISYDI, Mai 2004
[32] « IP Routing: OSPF Configuration Guide », Cisco IOS Release 12.4T, Cisco Systems,
Inc., CA 95134-1706 USA, 2011
[33] S. Lynn, « WAN Architectures and Design Principles », BRKRST-2041, Cisco Live,
2012
[34] C. Huitema, « Routing the Internet (partie III) », Prentice Hall, 2000
[35] « Présentation de Visio », Visio Corporation, Référence 40128 0795, 1995
[36] A. Ksiks, I. Maiga, "Etude et simulation sur GNS3 du service MP-BGP/VPN-IP", Ecole
Nationale des Sciences Appliquées de Marrakech, A.U. : 2010-2011
[37] B. Darties, "Tutoriel d’utilisation de Wireshark", 2009
[38] « Cisco IOS planning tools », Cisco Systems,2005
[39] « Routeurs d'accès Cisco », Cisco Systems, 2010
93
PAGE DE RENSEIGNEMENTS
Nom : RAVONINTSOAMALALA
Prénom : Tantely
Adresse de l’auteur : Lot AB 10 Ikianja Ambohimangakely
Antananarivo – Madagascar
Téléphone : +261 34 64 818 18
E-mail : [email protected]
Titre du mémoire :
CONCEPTION ET MODELISATION D’UNE INFRASTRUCTURE RESEAU BASE SUR
LE PRINCIPE DE « HUB & SPOKE »
Nombre de pages : 92
Nombre de tableaux : 5
Nombre de figures : 66
Directeur de mémoire : M. RANDRIARIJAONA Lucien Elino
Téléphone : +261 032 11 081 90
E-mail : [email protected]
RESUME
Dans un environnement professionnel à la fois complexe et fortement évolutif, les concepteurs
réseau sont confrontés à la difficulté de devoir soumettre des solutions technologiques innovantes,
fiables et durables. Dans ce contexte, notre œuvre présente une approche de conception ciblée
pour le déploiement d’une connectivité WAN entre les VPN des grandes entreprises. En effet,
MPLS, un protocole de réseau de transport qui utilise un mécanisme de routage par commutation
de label, prend l’avantage sur les autres choix de connectivité dans les réseaux étendus par sa
qualité de service et ses applications. Malgré cela, elle ne garantit pas la sécurité des données.
L'apparition de DMVPN, qui n’est autre que l’ensemble des technologies IPsec, mGRE et NHRP,
répond à cette nécessité tout en gardant les fonctionnalités du réseau MPLS. Compte tenu des
caractéristiques des réseaux ainsi créés, nous avons donc proposé une méthode de mise en œuvre
de la technologie DMVPN, à travers le service MPLS dans un réseau étendu. Une simulation nous
montre leur complémentarité et efficacité dans les réseaux VPN IPsec volumineux, dotés de
fonctionnalités de routage dynamique.
Mots clés : MPLS, DMVPN, IPSec, EIGRP, OSPF
ABSTRACT
In a complex and highly scalable business environment, network designers are faced with the
challenge of having to submit innovative, reliable and sustainable technology solutions. In this
context, our work presents a targeted design approach for deploying WAN connectivity between
enterprise VPNs. Indeed, MPLS, a transport network protocol that uses a label switching routing
mechanism, takes advantage over other connectivity choices in wide area networks by its quality
of service and its applications. Despite this, it does not guarantee data security. The appearance of
DMVPN, which is none other than the set of IPsec technologies, mGRE and NHRP, meets this
need while keeping the functionality of the MPLS network. Given the characteristics of the
networks thus created, we have therefore proposed a method for implementing the DMVPN
technology, through the MPLS service in an extended network. A simulation shows their
complementarity and efficiency in large IPsec VPN networks with dynamic routing capabilities.
Keywords: MPLS, DMVPN, IPSec, EIGRP, OSPF