RahantanirinaOdileS ESPA Lic 17

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 102

N° d’ordre : 07 / IRS / TCO Année universitaire : 2015-2016

UNIVERSITE D’ANTANANARIVO
----------------------
ECOLE SUPERIEURE POLYTECHNIQUE
-----------------------
MENTION TELECOMMUNICATION

MEMOIRE

en vue de l’obtention

du DIPLOME de Licence
Par :
RAHANTANIRINA Odile Samoella

Domaine : Sciences de l’Ingénieur


Mention : Télécommunication
Parcours : Ingénieur Réseau et Système (IRS)

PERFORMANCE
Soutenu le …………….devant la Commission d’Examen composée de :
VPN - MPLS
ou STI (master à visée professionnelle)
Soutenu le Jeudi 16 Mars 2017 devant la Commission d’Examen composée de :
Président :
M. ANDRIAMIASY Zidora
Examinateurs :
Mme RAMAFIARISONA Hajasoa Malalatiana
Mme ANDRIANTSILAVO Haja
M. RATSIMBAZAFY Andriamanga
Directeur de mémoire :
M. RANDRIAMITANTSOA Andry Auguste
REMERCIEMENTS

Avant tout, je tiens à louer le Seigneur Dieu pour m’avoir toujours encouragé jusqu’à
l’accomplissement de cet ouvrage et pour le tracé qu'il donne au chemin de ma vie.
Puis, je tiens également à remercier les personnes suivantes sans qui je n’aurai accompli les études
que j’ai suivi à l’ESPA, parmi lesquelles :
Monsieur RAMANOELINA Panja, Professeur Titulaire, Président de l’Université
d’Antananarivo.
Monsieur RANDRIANAHARISON Yvon, Professeur Titulaire, Responsable du Domaine
Sciences de l’Ingénieur de l’Ecole Supérieure Polytechnique d’Antananarivo, qui m’a
permis d’étudier au sein de l’Université et finalement de présenter cette soutenance.
Monsieur RAKOTOMALALA Mamy Alain, Responsable de la mention
Télécommunication au sein de l’Ecole Supérieure Polytechnique d’Antananarivo de m’avoir
accepté et formé dans cette mention.
Monsieur RANDRIAMITANTSOA Andry Auguste, Maitre de Conférences, qui, en tant que
Directeur de ce mémoire, s'est toujours montré à l'écoute et très disponible tout au long de
sa réalisation et auquel je tiens à témoigner mes sincères gratitudes.
Je tiens aussi à remercier Monsieur ANDRIAMIASY Zidora, Maître de Conférences, Enseignant
au sein du Département Télécommunication, qui nous a fait l’honneur de présider les membres du
Jury de ce mémoire.
Tous les membres du Jury, également enseignants dans la filière Télécommunication, à savoir :
Mme RAMAFIARISONA Hajasoa Malalatiana, Maitre de Conférences.
Mme ANDRIATSILAVO Haja, Enseignante.
M. RATSIMBAZAFY Andriamanga, Maitre de Conférences.
Qui ont volontairement accepté de donner de leur temps pour assister à la présentation de ce
mémoire et de le juger.

J'exprime ma très profonde gratitude à ma famille, pour m'avoir soutenu tout au long de mes études.
Je reconnais les sacrifices que ces longues années ont représentés et je les remercie d'avoir appuyé
mes choix et d'avoir toujours su m'encourager. Enfin, tous mes collègues, mes amis et tous ceux qui
de près ou de loin ont contribué à la réalisation de ce travail.

i
TABLE DES MATIERES

REMERCIEMENTS ........................................................................................................................ i
TABLE DES MATIERES .............................................................................................................. ii
ABREVIATIONS .......................................................................................................................... vii
INTRODUCTION ........................................................................................................................... 1
CHAPITRE 1 : GENERALITES SUR LES RESEAUX INFORMATIQUES ......................... 2
1.1 Introduction ........................................................................................................................... 2

1.2 Propriétés des réseaux informatiques ................................................................................. 2

1.2.1 Echelle géographique ...................................................................................................... 2

1.2.2 Modes d’acheminement des messages ............................................................................ 3

1.3 Modèles de réseaux................................................................................................................ 6

1.3.1 Modèle OSI ...................................................................................................................... 6

1.3.2 Modèle TCP/IP ................................................................................................................ 6

1.4 Réseaux physiques ................................................................................................................. 7

1.4.1 Mode de diffusion ............................................................................................................ 8

1.4.2 Mode point à point........................................................................................................... 8

1.5 Réseaux logiques .................................................................................................................... 9

1.5.1 Adressage logique IPv4 ................................................................................................. 10

1.5.2 Mécanismes de routage IPv4 ........................................................................................ 11

1.5.3 ATM ............................................................................................................................... 16

1.5.4 Réseau IP ....................................................................................................................... 17

1.6 Conclusion ............................................................................................................................ 18

CHAPITRE 2 : VIRTUAL PRIVATE NETWORK .................................................................. 19

ii
2.1 Introduction ......................................................................................................................... 19

2.2 Généralités ........................................................................................................................... 19

2.2.1 Liaison louée.................................................................................................................. 19

2.2.2 VSat ................................................................................................................................ 20

2.2.3 Cloud computing ........................................................................................................... 21

2.2.4 VPN ................................................................................................................................ 21

2.2.5 Les objectifs, avantages, marché cible du VPN ........................................................... 22

2.3 Concept de base de VPN ..................................................................................................... 23

2.3.1 C’est quoi un VPN ? ...................................................................................................... 23

2.3.2 Pourquoi utiliser un VPN ? .......................................................................................... 24

2.4 Les constituants principaux d’un VPN ............................................................................ 24

2.5 Le tunneling (tunnelisation) ............................................................................................... 25

2.6 Applications des VPN ......................................................................................................... 27

2.7 Conclusion ............................................................................................................................ 30

CHAPITRE 3 : PROTOCOLE MULTI-PROTOCOL LABEL SWICTHING………………3


3.1 Introduction ....................................................................................................................................... 31

3.2 Historique .......................................................................................................................................... 31

3.3 Origine du protocole MPLS ............................................................................................................. 32

3.3.1 Pourquoi on a inventé le protocole MPLS ? .............................................................................. 32

3.3.2 Naissance du protocole MPLS ................................................................................................... 33

3.4 Définition du protocole MPLS ......................................................................................................... 34

3.5 Objectifs de MPLS ............................................................................................................................ 34

3.6 Concept clé de MPLS........................................................................................................................ 35

3.7 Les terminologies MPLS .................................................................................................................. 35

3.7.1 FEC : Forwarding Equivalence Class ....................................................................................... 35

iii
3.7.2 LSP : Label Switching Path : ..................................................................................................... 35

3.7.3 LDP : Label Distribution Protocol ............................................................................................. 36

3.7.4 LIB (Label Information Base) ................................................................................................... 36

3.7.5 LFIB (Label Forwarding Information Base) ............................................................................ 36

3.7.6 CEF (Cisco Express Forwarding) .............................................................................................. 36

3.7.7 FIB (Forwarding Information Base) ou CEF table .................................................................. 37

3.8 Les équipements du réseau MPLS .................................................................................................. 38

3.8.2 Les routeurs CE .......................................................................................................................... 38

3.8.3 Les routeurs P ou LSR................................................................................................................ 39

3.8.4 Les routeurs PE ou LER ............................................................................................................ 39

3.9 Caractéristiques du MPLS ............................................................................................................... 41

3.9.1 Place du protocole MPLS dans le modèle OSI .......................................................................... 41

3.9.2 Label ............................................................................................................................................ 41

3.9.3 Les différents modes MPLS ........................................................................................................ 42

3.10 Structure fonctionnelle de MPLS .................................................................................................. 44

3.10.1 Le plan de contrôle ................................................................................................................... 44

3.10.2 Le plan de données ................................................................................................................... 45

3.11 Fonctionnement du MPLS ............................................................................................................. 45

3.11.1 Principe ..................................................................................................................................... 45

3.11.2 Différents procédés pendant la commutation d’un label ........................................................ 46

3.11.3 Déroulement de la commutation de label ............................................................................... 49

3.12 Performance du réseau MPLS ....................................................................................................... 51

3.12.1 Notion sur le QoS...................................................................................................................... 51

iv
3.12.2 QoS de MPLS ............................................................................................................................ 56

3.12.3 Traffic Engineering (TE) ......................................................................................................... 57

3.12.4 Intérêts du réseau MPLS .......................................................................................................... 61

3.13 VPN et MPLS .................................................................................................................................. 61

3.13.1 Mode de réalisation des VPN MPLS ........................................................................................ 62

3.13.2 Composants des VPN MPLS .................................................................................................... 63

3.13.3 Protocoles utilisés ..................................................................................................................... 66

3.13.4 Fonctionnement d’un VPN MPLS .......................................................................................... 66

3.13.5 Avantages de la technique VPN MPLS ................................................................................... 68

3.14 Conclusion ....................................................................................................................................... 68

CHAPITRE 4 : SIMULATION VPN-MPLS .............................................................................. 70


4.1 Introduction ....................................................................................................................................... 70

4.2 Outils de Simulation.......................................................................................................................... 70

4.2.1 Présentation de GNS3................................................................................................................. 70

4.2.2 Présentation de Dynamips et Dynagen ...................................................................................... 71

4.3 Simulation .......................................................................................................................................... 71

4.3.1 Architecture de la simulation ..................................................................................................... 71

4.3.2 Méthodologie d’approche ........................................................................................................... 72

 Gestion de la redistribution respective des préfixes ................................................................... 72

4.3.3 Résultat et vérification ................................................................................................................ 73

4.4 Conclusion ......................................................................................................................................... 75

CONCLUSION GENERALE ...................................................................................................... 76


ANNEXES ...................................................................................................................................... 78
ANNEXE 1 : PROTOCOLE PPTP ........................................................................................................... 78

ANNEXE 2 : VPN L2TP ............................................................................................................... 80

v
ANNEXE 3 : IPSec ........................................................................................................................ 82
ANNEXE 4 : EXTRAIT CONFIGURATION VPN-MPLS GNS3 .......................................... 84
BIBLIOGRAPHIE ........................................................................................................................ 86
FICHE DE RENSEIGNEMENTS ............................................................................................... 89

vi
ABREVIATIONS

AAA Authentication Authorization Accounting


AH Authentication Header
ARP Address Resolution Protocol
ATM Asynchronous Transfert Mode
BGP Border Gateway Protocol
BS Bottom of Stack
CA Certification Authority
CE Customer Edge
CHAP Challenge Handshake Authentication Protocol
DARPA Defense Advanced Research Project Agency
DES Data Encryption Standard
DiffServ Differential Services
DNS Domain Name System
DoD Departement of Defense
DV Domain Validation
EAP Extensible Authentication Protocol
EGP Exterior Gateway Protocol
EIGRP Enhanced Interior Gateway Rounting Protocol
ESP Encapsulating Security Payload
EV Etendue Validation
FAI Fournisseur d'Accès Internet
FDDI Fiber Distributed Data Interface
FEC Forwarding Equivalence Class
FTP File Transfert Protocol
GRE Generate Rounting Encapsulation
GRP Glass Reinforced Plastic
ICMP Internet Control Mesaage Protocol
ICV Integrity Control Value
IEEE Institute of Electrical and Electronics Engineers
IETF Internet Engineering Task Force

vii
IGP Internet Gateway Protocol
IKE Internet Key Exchange
IntServ Integrated Services
IP Internet Protocol
IPCP Internet Protocol Contol Protocol
IPSec Internet protocol Security
IPX Inter-Network Packet Exchange
ISAKAMP Internet Security Association and Key Management Protocol
ISO International Standard Organisation
ISP Internet Service Provider
L2F Layer Two Forwarding
L2TP Layer Two Tunneling Protocol
LAC L2TP Access Concentrator
LAN Local Area Network
LDAP Lightweight Directory Access Protocol
LDP Label Distribution Protocol
LER Label Edge Router
LNS L2TP Network Server
LSP Label Switching Path
LSR Label Switching Router
MAC Medium Access Control
MAN Metropolitain Area Network
MD5 Message Digest 5
MPLS Multi Protocol Label Switching
MS-CHAP Microsoft Challenge Handshake Authentication Protocol
NAS Network Access Server
NAT Network Address Translation
ODBC Open Database Connectivity
OSI Open System Interconnect
OSPF Open Shortest Path First
OV Organisation Validation
P Provider

viii
PAM Pluggable Authentication Modules
PAN Personnal Area Network
PAP Password Authentication Protocol
PE Provider Edge
PEAP Protected Extensible Authentication Protocol
PPP Poin to Point Protocol
PPTP Point to Point Tunneling Protocol
QoS Quality of Service
RARP Reverse Address Resolution Protocol
RFC Request For Comment
RIP Rounting Information Protocol
RNIS Réseau Numérique à Integration de Service
RSA Rivest Shamir Adleman
RT Route Target
RTC Réseau Téléphonique Commuté
RTP Real Time Protocol
SA Security Association
SAD Security Association Database
SAN Storage Area Network
SDH Synchronous Digital Hierarchy
SLA Service Level Agreement
SLS Service Level Specification
SMB Server Message Block
SMTP Single Mail Transfert Protocol
SNMP Simple Network Management Protocol
SPAP Shiva Password Authentication protocol
SPD Security Policy Database
SPI Security Parameter Index
SQL Structured Query Language
SSL Secure Socket Layer
TCP Transfert Control Protocol
TFTP Trivial File Transfer Protocol

ix
TLS Transport Layer Security
TTL Time To Live
UDP User Datagramme Protocol
VPI/VCI Virtual Path
VPN Virtual Private Network
VRF Virtual Rounting Forwarding Table
WAN Wide Area Network
WAAS WAN As A Service
WiFi Wireless Fidelity
WPA Wi-Fi Protected Access

x
INTRODUCTION

Actuellement, l’entreprise converge de plus en plus vers l’informatisation. Les réseaux de


télécommunication jouent un rôle très important dans leurs activités. Très vite, les besoins de
partager, de centraliser et de protéger les informations se fait sentir, il arrive qu’ils éprouvent le
besoin de communiquer avec ses filiales, ses clients à distances ou même des personnels
géographiquement éloignés via internet. Or les données transmises sur Internet sont beaucoup plus
vulnérables aux attaques des malfaiteurs car les données empruntent une infrastructure réseau
publique appartenant à différents opérateurs. C’est ainsi que plusieurs mesures de sécurités et
d’accès ont été adoptés par les administrateurs réseaux.
Puisqu’on ne voit pas son correspondant directement, il faut s’authentifier. Puisqu’on ne sait pas
par où passent les données, il faut les chiffrer. Puisqu’on ne sait pas si quelqu’un ne va pas modifier
les informations émises, il faut vérifier leur intégrité. Le système de VPN est un remède pour
connecter une machine distante ou tout un réseau local au réseau de l’entreprise comme s’ils étaient
locaux d’une manière sécurisée
Du coup, le besoin de connexion à « Haut-débit » est de plus en plus fort et une convergence des
services dits « triple play » (Internet, voix/visioconférence, télévision/vidéo) sont sur le marché.
Face à des technologies de plus en plus complexes, les déploiements sont ralentis car trop coûteux
vue l’augmentation considérable des volumes de trafic et de nouvelles contraintes en terme de
QoS. Or, La QoS consiste à assurer les performances désirées pour un trafic donné dans un réseau
C’est pour cela qu’on a marié le protocole MPLS avec le VPN.
C’est ce qui nous a poussé à choisir le sujet ici présent comme proposition favorable dans la
résolution des problèmes ici présentés qui s’intitule : « PERFORMANCE VPN-MPLS ».
Pour mieux détailler tout cela, nous adopterons le plan décrit ci-dessous.
Le premier chapitre de ce mémoire parlera de généralités sur les réseaux informatiques pour une
notion de base.
Le second chapitre abordera le VPN qui est l’un du vif du sujet ou seront expliquées tout ce qui le
concerne.
Puis le troisième chapitre se focalise sur le protocole MPLS et le couple VPN-MPLS et surtout sa
performance.
Et enfin, le dernier chapitre est consacré pour la simulation du VPN-MPLS sous GNS3.

1
CHAPITRE 1
GENERALITES SUR LES RESEAUX INFORMATIQUES

1.1 Introduction

Un réseau informatique est un ensemble d’ordinateurs ou de périphériques autonomes connectés


entre eux et qui sont situés dans un certain domaine géographique. Deux stations sont considérées
comme interconnectées si elles sont capables d’échanger des flux d’information. Il convient
toutefois de faire attention aux situations dans lesquelles le terme réseau est employé en
informatique. En effet, il peut désigner l’ensemble des machines, le protocole de communications
ou la manière dont les équipements sont connectés.

1.2 Propriétés des réseaux informatiques

1.2.1 Echelle géographique

On distingue généralement quatre catégories de réseaux informatiques, différenciées par la distance


maximale séparant les points les plus éloignés du réseau [1] représenté par la figure 1.01 :
PAN (Personnal Area Network) pour les réseaux personnels de moins d’une dizaine de
machines ;
LAN (Local Area Network) pour les réseaux locaux à l’échelle d’un bâtiment ;
MAN (Metropolitan Area Network) pour les réseaux construits à l’échelle d’une ville
ou d’un campus ;
WAN (Wide Area Network) pour les réseaux à l’échelle d’un pays ou mondiale. Le
nombre de machines mises en réseau va définir la différence entre un LAN ou un PAN.
En revanche, il est intéressant de noter que les MAN et les WAN peuvent être composés
de plusieurs LAN ou PAN. Il y donc non seulement interconnexion de machines mais
aussi de réseaux au travers desquels les messages seront acheminés.

Figure 1.01 : Classification des réseaux selon leur taille

2
1.2.2 Modes d’acheminement des messages

Comme la mise en réseau de machines correspond au besoin d’échanger des informations, des
messages transitent en permanence dans un réseau. Il existe plusieurs stratégies pour acheminer un
message au travers du réseau. On parle alors de techniques de commutation. Nous détaillerons les
5 méthodes les plus courantes à savoir [2] :
Commutation de circuits ;
Commutation de messages ;
Commutation de paquets ;
Commutation de trames ;
Commutation de cellules

Commutation de circuits

C’est une méthode utilisée sur les réseaux téléphoniques classiques. Les communications passent
par trois phases distinctes :
L’établissement de la liaison où l’on va chercher et occuper un itinéraire pour acheminer
le message ;
Le maintien de la liaison pendant toute la durée de la connexion ;
La libération des connexions sur ordre et le retour à l’état libre du réseau.

Figure 1.02 : Commutation de circuit

3
Commutation de messages

Cette méthode s’appuie sur les nœuds du réseau. Ainsi, le message transite de nœuds en nœuds
jusqu’au destinataire. Un nœud ne peut envoyer le message que s’il a reçu ce dernier complètement.
Ce mode a été abandonné et remplacé au profit de la commutation de paquets. [2]

Figure 1.03 : Commutation de messages

Commutation de paquets

Cette méthode consiste à fragmenter le message en paquets qui seront transmis de nœuds en nœuds
jusqu’au destinataire. Il existe plusieurs stratégies pour acheminer les paquets.
Dans le mode connecté les paquets empruntent toujours le même chemin (c’est le cas
du réseau TRANSPAC) ;
Dans le mode non-connecté les paquets peuvent emprunter des itinéraires différents. En
réalité, chaque nœud va se charger d’aiguiller l’information. C’est sur ce principe que
sont échangées les informations sur internet.

4
Comme il s’agit de l’un des plus répandus modes de commutation, ce dernier fait l’objet d’une
norme internationale qui est l’œuvre des opérateurs téléphoniques : la norme X25. Pour permettre
l’acheminement et le réassemblage des paquets, ce dernier renferme les informations suivantes :

Un identifiant de source ;
Un identifiant de destination ;
Un numéro de séquence ;
Un bloc contenant les données proprement dites ;
Un code de vérification des erreurs.

Figure 1.04 : Commutation de paquets

Commutation de trames

C’est une extension de la commutation de paquets. La commutation est assurée directement au


niveau du matériel employé pour construire le réseau.

Commutation de cellules

Cette méthode est également une extension de la commutation de paquets à laquelle on ajoute les
avantages de la commutation de circuits. Les paquets ont une longueur fixe de 53 octets dont 5 sont
utilisés pour l’en-tête. La connexion est mise en place avant toute émission de cellule. Le réseau
ATM (Asynchronous Transfer Mode) exploite cette solution. A ce type de commutation est associée
la notion de qualité de service qui dépend du type d’informations transportés. [2]

5
1.3 Modèles de réseaux

1.3.1 Modèle OSI

Cette norme a été créée en 1984 par l’ISO (International Standard Organisation).
Elle s’intéresse aux réseaux à commutation de paquets. Il s’agit d’un modèle à 7 couches qui décrit
les réseaux. Le modèle OSI est l’un des modèles qui ont été créés pour l’interopérabilité des
différents réseaux. Elle est formée par sept couches qui ont chacune son rôle à jouer dans la
transmission de données. [3]

Niveau Nom Description


7 Application Gère l’accès des utilisateurs à l’environnement OSI et offre des services
d’information distribués
6 Présentation Assure la présentation de l’information qui transite sur le réseau, la
compression et le cryptage des données.
5 Session Etablit une session entre 2 utilisateurs et déterminer les mécanismes de
synchronisation à employer.
4 Transport Accomplit un transfert fiable et transparent des données entre les points
d’extrémités. Assure une récupération d’erreur et un contrôle de flux de
bout en bout.
3 Réseau Assure l’interconnexion de plusieurs réseaux physiques et
l’acheminement d’un paquet d’un point du réseau à un autre.
2 Liaison de Assure la communication entre plusieurs machines reliées par le même
données support physique
1 Physique Décrit le support physique employé pour transmettre l’information
(fibre optique, paire torsadé….).

Tableau 1.01 : Modèle OSI

1.3.2 Modèle TCP/IP

TCP/IP fut développé par le DoD (Département de la défense) des Etats-Unis et par DARPA
(Agence de projet de recherché de défense avancée) dans les années 70. TCP/IP fut conçu pour être
un standard ouvert, que quiconque puisse l’utiliser pour connecter des ordinateurs ensemble et
échanger des informations. Par la suite, il est devenu le modèle de base pour l’Internet. TCP/IP

6
prend comme modèle de référence le modèle OSI mais seulement avec 4 couches fonctionnelles.
Certaines couches du modèle TCP/IP portent les mêmes noms que celles du modèle OSI mais avec
des fonctions différentes. [1]

Couche Description Protocoles


Application Définit les protocoles d’application TCP/IP et explique http, Telnet, FTP,
comment l’hôte programme l’interface avec les services de TFTP, SNMP, DNS,
couches de transport pour utiliser le réseau SMTP, X Windows,
autres protocoles
d’application
Transport Propose la gestion des sessions de communication entre TCP, UDP, RTP
les ordinateurs hôtes. Définit le niveau de service et l’état
de la connexion utilisés lors du transport des données.
Internet Regroupe les données en datagrammes IP qui IP, ICMP, ARP,
contiennent des informations sur les adresses de source et RARP
de destination utilisées pour transmettre les datagrammes
entre les hôtes et à travers les réseaux. Effectue le routage
des datagrammes IP
Accès Donne des détails sur le mode d’envoi des données à Ethernet, Token
réseau travers le réseau, y compris sur la façon dont les bits sont Ring, FDDI, X25,
électriquement signalés par les périphériques matériels FR, RS-232,v.35
jouant directement le rôle d’interface avec un support
réseau, comme un câble coaxial, une fibre optique ou un
fil de cuivre à paire torsadée.

Tableau 1.02 : Modèle TCP/IP

1.4 Réseaux physiques

On peut également différencier les réseaux selon leur structure ou plus précisément leur topologie.
On y distingue ainsi deux classes de réseaux : [4]

7
1.4.1 Mode de diffusion

Ce mode consiste à partager un seul support de transmission. Chaque message envoyé par un
équipement sur le réseau est reçu par tous les autres. C’est l’adresse spécifique placée dans le
message qui permettra à chaque équipement de déterminer si le message lui est adressé ou non.

Figure 1.05 : Réseau en mode diffusion

1.4.2 Mode point à point

Dans le monde diffusion point à point le support physique (le câble) relie une paire d’équipements
seulement. Quand deux éléments non directement connectés entre eux veulent communiquer ils le
font par l’intermédiaire des autres nœuds du réseau.

Figure 1.06 : Réseau en mode point à point

8
Topologie maillée

Ce type de câblage constitue une généralisation du cas à deux stations. En effet, chaque station du
réseau est reliée à une autre par un câble. Ce système est inutilisé de nos jours en raison du nombre
de câbles nécessaires pour créer un tel réseau. De plus, rajouter une station sur ce réseau signifie
que l’on doit rajouter autant de câbles que de stations déjà présentes sur le réseau.

Topologie en bus

Dans ce type de câblage, toutes les stations se partagent le même support physique de
communication (le bus). Si les stations cherchent à communiquer en même temps, ce partage du
même support entraîne la collision des différents messages. Il faudra mettre au point des stratégies
d’anticollision. Les anciens réseaux Ethernet fonctionnent avec ce type de topologie.

Topologie en anneau

Un anneau est unidirectionnel, le message se propage toujours dans le même sens dans les câbles.
À la différence des topologies précédentes, chaque station qui reçoit un message va alors le
réémettre, donc le transmettre à la station suivante, si elle n’est pas concernée par le message en
question. Toutefois, si l’un des câbles est défectueux ou une des stations tombe en panne, l’ensemble
du réseau est coupé. Pour éviter ce problème, l’anneau est parfois doublé avec un circuit allant dans
le sens contraire.

Topologie en étoile

Toutes les stations sont reliées à un nœud central (une station du réseau) qui sera le seul à relayer
les messages. Dans ce type de topologie, le point faible réside dans le nœud central. La fiabilité du
réseau est équivalente à celle du nœud central.

1.5 Réseaux logiques

Comme nous l’avons évoqué, la couche 3 du modèle OSI fait intervenir la notion de réseau logique,
par opposition au réseau physique. Ainsi, les principales fonctionnalités qui sont traitées par cette
couche sont : [4]

9
Traduire les adresses physiques en adresse logiques et inversement ;
Router les messages en fonction de leur priorité et de l’état du réseau ;
Gérer le trafic sur le réseau ;
Gérer la commutation des paquets sur le réseau ;
Découper et réassembler les messages en fonction de la longueur maximale des trames
des réseaux physiques par lesquels ils transitent.

1.5.1 Adressage logique IPv4

Adresse IP

Les adresses IP (version 4) sont standardisées sous forme d’un nombre de 32 bits qui permet à la
fois l’identification de chaque hôte et du réseau auquel il appartient. Le choix des nombres
composants une adresse IP n’est pas laissée au hasard, au contraire il fait l’objet d’une attention
particulière notamment pour faciliter les opérations de routage. Ces adresses sont notées : w.x.y.z,
avec chaque élément compris entre 0 et 255. Le chiffre 0 est réservé pour les adresses de réseau et
le 255 pour les adresses de broadcast appelées aussi « adresse de diffusion », ces dernières
permettent de contacter toutes les machines d’un même réseau. Une adresse logique permet
d’identifier le réseau sur lequel est connectée une machine. [5]
En fonction de la valeur du premier octet, une classe d’adresse est définie et un masque par défaut
est associé :

Classe 𝟏𝒆𝒓 Octet Adresses Masque par défaut


0 à 126 1.0.0.0 à 126.255.255.255 255.0.0.0
A

B 128 à 191 128.0.0.0 à 191.255.255.255 255.255.0.0


C 192 à 223 192.0.0.0 à 223.255.255.255 255.255.255.0
D 224 à 239 224.0.0.0 à 239.255.255.255
E 240 à 255

Tableau 1.03 : Classes d’adresses IP

10
Notion de sous-réseau

Les grands réseaux sont fréquemment subdivisés en sous-réseaux. Ceci permet d’utiliser de manière
hétérogène plusieurs types de réseaux physiques différents. Cela favorise la segmentation du réseau
en vue de faciliter le routage et permet de réduire l’encombrement général du réseau. Ceci permet
aussi d’isoler certaines parties du réseau peu fiables ou au contraire très sécurisées par rapport à un
parc de machines standard. [5]

1.5.2 Mécanismes de routage IPv4

Principe de routage

Il s’agit de l’un des rôles essentiels de la couche 3 du modèle OSI : acheminer les paquets d’un
réseau à un autre. Pour ce faire, les divers réseaux physiques seront reliés entre eux par des
machines qui seront sur plusieurs réseaux à la fois : les routeurs. De plus, comme il est impossible
de relier tous les réseaux physiques directement, les paquets doivent parfois passer par des réseaux
physiques intermédiaires. [6]

Figure 1.07 : Exemple de routage à travers plusieurs réseaux

Table de routage

Le routeur utilise sa table de routage pour déterminer le meilleur chemin à utiliser pour transférer
un paquet.
La table de routage est une table de correspondance entre l'adresse de la machine visée et le nœud
suivant auquel le routeur doit délivrer le message. En réalité il suffit que le message soit délivré
sur le réseau qui contient la machine, il n'est donc pas nécessaire de stocker l’adresse IP complète
de la machine, seul l’ID du réseau a besoin d’être stocké. [6]

11
Réseau de destination Masque Prochain routeur Interface Métrique
192.168.1.0 255.255.255.0 192.168.4.2 f 0/0 2
192.168.2.0 255.255.255.0 192.168.4.2 f 0/1 2
192.168.3.0 255.255.255.0 192.168.3.1 f 1/0 1
192.168.4.0 255.255.255.0 192.168.4.1 f 2/0 1

Tableau 3.03 : Exemple de table de routage

Protocoles de routage

Figure 1.08 : Les différents types des protocoles de routage

Vecteur de distance :
Son principe est de rechercher le plus court chemin au sens d’un critère de coût où
seul le nombre de routeurs traversés intervient sans tenir compte du coût ou bien la
rapidité
A Etat de lien
Le chemin meilleur est en fonction de terme de bande passante, fiabilité, charge, etc.

12
Remarque : Le protocole à état de lien est plus performant que ce du vecteur à distance vue que
le temps de convergence de ce dernier est plus rapide.
Convergence : On connait toutes les routes dans le réseau via le protocole.

a) OSPF
C’est un protocole de routage interne IP de type à état de liens c’est-à-dire qu’il surveille activement
l’état de toutes ses liaisons et diffuse cet état à tous les autres routeurs. Ce protocole calcule le
chemin le plus court à partir de l’algorithme de Dijkstra.
Avec OSPF, le réseau est divisé en plusieurs zones qu’on appelle « area » ou aire. Une aire regroupe
les routeurs d’un groupe connexe. Les aires sont interconnectées entre-elles par une aire spécifique
appelée « backbone area» ou « aire dorsale », on la note par « area 0 ». Ceci permet d’optimiser le
routage en annonçant que des résumés de routes. Dans OSPF, chaque routeur établit des relations
d’adjacence avec ses voisins immédiats. Chaque routeur communique ensuite la liste des réseaux
auxquels il est connecté par des messages LinkState advertisements (LSA) propagés de proche en
proche à tous les routeurs du réseau. L’ensemble des LSA forme une base de données de l’état des
liens Link-State Database (LSDB) pour chaque aire, qui est identique pour tous les routeurs
participants dans cette aire.

b) EIGRP

Le protocole EIGRP (Enhanced Interior Gateway Routing Protocol) est un protocole de routage à
vecteur de distance avancé développé par Cisco Systems. Comme son nom l'indique, le protocole
EIGRP est une version améliorée d'un autre protocole de routage Cisco, IGRP (Interior Gateway
Routing Protocol). IGRP est un ancien protocole de routage à vecteur de distance, sans classe,
devenu obsolète depuis IOS 12.3.

Le protocole EIGRP est un protocole de routage à vecteur de distance qui comprend des fonctions
disponibles dans les protocoles de routage à état de liens. Ce protocole convient à de nombreux
supports et topologies différents. Dans un réseau bien conçu, le protocole EIGRP peut mettre à
l'échelle pour inclure plusieurs topologies et peut fournir des temps de convergence extrêmement
rapides avec un trafic réseau minimal.

13
c) BGP
BGP (Border Gateway Protocol) est un protocole de routage entre systèmes autonomes
(Autonomous System, AS), donc de type EGP (Exterior Gateway Protocol). Un AS est un réseau
ou un ensemble de réseaux sous une même entité administrative, et ayant des politiques de routage
identiques.

BGP est le protocole de routage utilisé pour Internet, et est le protocole utilisé entre les Fournisseurs
d’Accès Internet (FAI). Les réseaux clients (comme les entreprises, universités, etc.) en principe
utilisent un protocole de type IGP (Interior Gateway Protocole) comme RIP ou OSPF pour échanger
les routes à l’intérieur de leur réseau. Ces clients se connectent à un FAI et les FAI utilisent BGP
pour échanger les routes des clients avec les autres FAI. Quand BGP est utilisé entre plusieurs AS,
le protocole est dit eBGP (exterior BGP). Si un fournisseur d’accès utilise BGP pour échanger des
routes à l’intérieur d’un AS, le protocole est dit iBGP (interior BGP).

Des voisins BGP échangent la totalité des informations de routage quand une connexion TCP entre
les deux voisins est la première fois établie. Quand des changements dans la table de routage sont
détectés, les routeurs BGP envoient seulement les routes qui ont changées à leurs voisins. Les
routeurs BGP n’envoient pas de mises à jour de routes périodiquement. De même que les mises à
jour de routes BGP avertissent seulement du meilleur chemin jusqu’à une destination.

Les routes apprises par BGP ont des propriétés associées qui sont utilisées pour déterminer la
meilleure route jusqu’à une destination quand de multiples chemins existent. Ces propriétés sont les
attributs BGP. Il est nécessaire de comprendre la signification de ces attributs pour avoir une idée
de la manière dont BGP sélectionne la meilleure route.

Les différents attributs sont :

Le poids : cet attribut est local, il permet de choisir la route avec le poids le plus
important,
La préférence locale, permet de choisir un point de sortie préféré de l’AS,
Le discriminant multi-sorti : suggestion pour d’autres AS concernant la route pour
accéder à l’AS,
L’origine : la manière dont BGP a appris la route : IBGP, EBGP, « incomplete »,
Le chemin d’AS : liste des AS le long de la route,

14
Le next hop : l’adresse IP utilisée pour joindre le routeur avertissant,
La communauté : permet de grouper les destinations suivant des communautés
auxquelles on applique des décisions de routage.

Tous les routeurs participant au routage BGP au sein d’un AS doivent établir des connexions iBGP
entre eux (full mesh) ce qui peut poser des problèmes de taille, le nombre de connexions augmentant
selon le carré du nombre de routeurs présents dans l’AS. Deux solutions sont possibles pour passer
outre cette limite : Route Reflectors et Confederations.

Route Reflectors : cette extension protocolaire permet de réduire le nombre de connexions


nécessaires au sein d’un AS. Un seul routeur (ou deux routeurs redondants) établit des
sessions avec tous les autres routeurs de son groupe. Les autres routeurs n’ont besoin
que de se connecter à lui.
Confederations : est utilisé dans les très grands réseaux ou l’AS est subdivisé en petits
AS internes. Les Confederations peuvent être utilisées conjointement avec les Route
Reflectors.

Figure 1.09 : Protocole BGP : distinction entre i-BGP et e-BGP

15
1.5.3 ATM

Définition

La technologie ATM (Asynchronous Transfer Mode) a été adoptée par l’UIT (Union
Internationale des Télécommunications) à la fin des anné es 80 pour répondre à la demande des
opérateurs de télécommunication d’un « Réseau Numérique à Intégration de Service Large Bande
» unifiant dans un même protocole leurs mécanismes de transport des données, d’images et surtout
de la voix, et garantissant la qualité de service.

Principe

L’ATM est une technique de commutation, multiplexage, voire de transmission, qui est une
variante de la commutation par paquets en ce qu’elle fait appel à des paquets courts et de taille fixe
appelés cellules. La différence entre une cellule et une trame est que la longueur d’une cellule est
toujours 53 octets, alors que celle d’une trame est variable.

La figure 1.04 représente une cellule ATM avec 5 octets d’entête et 48 octets de données.

Figure 1.10 : Cellule ATM

Dans les commutateurs, le traitement de ces cellules est limité à l’analyse de l’entête pour
permettre leur acheminement vers les files d’attente appropriées. Les fonctions de contrôle de flux
ou de traitement d’erreurs ne sont pas effectuées dans le réseau ATM, mais laissées à la charge
des applications utilisatrices ou des équipements d’accès. Ces caractéristiques permettent à l’ATM
de répondre raisonnablement aux contraintes de trafics aussi différents que la voix, les images
animées ou les données. Ce mode de transfert universel rend possible l’intégration de tous types
de services sur un accès unique au réseau. La commutation de cellules s’insère entre les fonctions
de transmission et celles qui concernent l’adaptation aux caractéristiques des flux d’information
transportés par ces cellules.

16
Fonctionnement

Les réseaux ATM sont globalement orientés connexion. Des circuits virtuels doivent être établis
avant tout transfert de données. Il existe deux types de circuits virtuels : les trajets virtuels identifiés
par des identificateurs de trajet virtuel (VPI : Virtual Path Indicator) et des canaux virtuels
identifiés par des combinaisons d’identificateurs de trajet virtuel et d’identificateurs de canal
virtuel (VCI Virtual Channel Indicator).

Figure 1.11 : VPI et VCI

Les trajets virtuels représentent des groupes de canaux virtuels et sont tous commutés de manière
transparente sur le réseau ATM en fonction de leur VPI commun. Le fonctionnement de base d’un
commutateur ATM est assez simple : il reçoit des cellules par une liaison grâce à un VCI ou un
VPI connu, il vérifie la valeur de la connexion dans un tableau de conversion local pour déterminer
les points sortants de connexion et la nouvelle valeur VPI/VCI de la connexion sur cette liaison et,
enfin, il retransmet la cellule sur cette liaison sortante.

Le but de la commutation au niveau de la liaison, est d’améliorer en performance la commutation


de paquets en simplifiant le nombre de niveaux de l’architecture à prendre en compte. En reportant
la commutation au niveau 2 de l’architecture, on simplifie considérablement le travail des nœuds.

1.5.4 Réseau IP

L’internet Protocol est issu des recherches menées par le département de Défense américain
pendant la guerre froide, dans les années 1960, mais il n’a été standardisé qu’en 1982. Le principal
intérêt du protocole IP est son adoption quasi universelle. Les différents réseaux sont
interconnectés par des passerelles (les routeurs), ce qui permet à un paquet d’emprunter plusieurs

17
chemins différents pour atteindre sa destination. Aujourd’hui, c’est fort heureusement pour des
motifs bien plus agréables qu’on utilise IP : en effet, le réseau des réseaux, Internet, repose sur lui.

Les paquets véhiculés sur le réseau IP sont appelés datagrammes. Ces datagrammes vont passer
un certain nombre de routeurs pour atteindre la destination. IP est un protocole de réseau
fonctionnant en mode non connecté. Ainsi, tous les paquets d’un même message sont indépendants
les uns des autres et peuvent emprunter des itinéraires différents pour parvenir au destinataire. Les
protocoles IP assurent l’acheminement aux mieux (best-effort) des paquets. Ils ne se préoccupent
pas du contenu des paquets, mais fournissent une méthode pour les mener à destination. Des
protocoles de routage interviennent pour acheminer les paquets sur le réseau et entre les routeurs.
[1]

1.6 Conclusion

Le réseau informatique est essentiel dans le monde de la télécommunication. Il est un ensemble


d'équipements reliés entre eux pour échanger des informations. Les réseaux informatique s’appuient
sur les spécifications du modèle l’OSI, c’est-à-dire qu’ils utilisent des méthodes de
communication semblables pour échanger des données. Et on a vu aussi ce qu’on appelle routage
qui consiste à relier deux réseaux différents.

18
CHAPITRE 2
VIRTUAL PRIVATE NETWORK

2.1 Introduction

Les télétravailleurs peuvent se procurer les ressources du réseau local de son entreprise via
l’Internet, par e-mail. Mais l’internet qui est un réseau public ne permet pas d’accéder aux
informations de manière sûre. Les données qui circulent via l’internet sont lisibles pour tous. Tout
cela peut être modifié par les tiers. C’est très dangereux d’exposer les données de l’entreprise de
la sorte.
Traditionnellement, pour une question de sécurité, la solution est de louer des lignes dédiées entre
les deux bureaux ou seules les données des deux entités pouvaient circuler. Mais quand les affaires
se prospèrent, les coûts des lignes dédiées ont explosé car l’entreprise échange de plus en plus de
données.
Heureusement, il y a une solution plus sécurisée et à faible coût qui permet à travers l’internet à se
connecter aux réseaux d’entreprise. C’est le : « VPN ». Afin d’offrir un niveau de sécurité adéquat,
le VPN est caractérisé par trois aspects fondamentaux : la confidentialité, l’intégrité et
l’authentification.

2.2 Généralités

2.2.1 Liaison louée

Une liaison louée se définit comme une liaison permanente constituée par un ou plusieurs tronçons
ouvert au public et réservée à l’usage exclusif d’un utilisateur. Elle s’oppose ainsi, à la liaison
commutée, qui est temporaire [7] [8].

19
Figure 2.01 : Liaison louée

2.2.2 VSat

VSat est une technique de communication par satellite. L’antenne Vsat est une antenne
parabolique de relativement petit diamètre. Il est utile pour relier deux sites géographiquement
éloignés. [9]

Figure 2.02 : Liaison par VSat

20
2.2.3 Cloud computing

Le « Cloud Computing » est une technologie informatique émergente qui utilise l'Internet et des
serveurs centraux, utilisés à distance, pour gérer des données et des applications.
Le Cloud Computing contient des promesses fortes :
Hautement disponible.
Les ressources sont allouées dynamiquement
0 frais pour les ressources qu’on utilise.
Cependant, devant toutes les possibilités offertes par ce nouveau concept de l’informatique, il
demeure des réticences dans son adoption. Ces réticences sont liées, pour la plupart, au facteur de
sécurité, qui reste encore un véritable challenge.

Figure 2.03 : Modèle « Cloud Computing »

2.2.4 VPN

Le VPN ou Réseau Privé Virtuel est un réseau comme son nom l’indique [8] [11] [12] :
Virtual (Virtuel) : il n’y a pas de liaison physique dédiée,
Private (Privé) : les échanges sont sécurisés et cryptés,
Network (Réseau) : servant d’accès à un site ou un hôte distant.

21
Figure 2.04 : Liaison VPN

2.2.5 Les objectifs, avantages, marché cible du VPN

• Connexion de • Sécurisé
• entreprises
deux entités • Simple
multi sites
distants • Economique
Marché cible du VPN

• Intégrité des flux • Mobile • télétravailleurs


d’information ou travailleurs
• Sécurité mobile
• exploitation
de réseaux
Avantages

extranets
Objectifs

• Interconnexion
de succursales

Figure 2.05 : Objectifs, avantages, marché cible du VPN

Les principaux avantages de l’utilisation d’un VPN sont :


Sécurisé :
Les protocoles de tunneling permettent de faire circuler les informations de façon
cryptée de bout à l’autre du tunnel. Ainsi, les échanges entre utilisateurs authentifiés

22
se font comme s’ils étaient connectés directement sur un même réseau local sans que
les autres utilisateurs non authentifiés puissent intercepter. Pour garantir la
confidentialité, le réseau privé est coupé logiquement du réseau internet. En général,
les machines se trouvant à l'extérieur du réseau privé ne peuvent accéder à celui-ci.
L'inverse n'étant pas forcément vrai. L'utilisateur au sein d'un réseau privé pourra
accéder au réseau internet.

Simple
Les VPN utilisent les circuits de communication classiques. La gestion des
infrastructures se trouve ainsi simplifié. On peut alors améliorer la capacité à déployer
de nouvelles applications sans avoir à se préoccuper de sécurité. Adaptation
d’infrastructure existant et sans installation lourde. Facile à gérer (réduction des
ressources humaine et financière)

Economique
Les VPN utilisent Internet en tant que media principal de transport. Ce qui diminue les
couts car on a plus besoin d’une ligne dédiée. De plus, l'infrastructure est partagée.
Coût d’installation largement moins chères que les autres solutions

Mobile
Le système de VPN rend un service d'interconnexion à grande distance de qualité
similaire à un réseau local. Sécurité accélérée jusqu'à 12 Gbps de bande passante, prise
en charge de la plupart des protocoles existants.

2.3 Concept de base de VPN

2.3.1 C’est quoi un VPN ?

Un VPN (Virtual Private Network) est une liaison sécurisée entre 2 parties via un réseau public,
en général Internet en utilisant un protocole de tunnelisation. Cette technique assure
l’authentification des 2 parties, l’intégrité des données et le chiffrage de celles-ci. [12] [14]
Il permet aux utilisateurs à domicile ou en déplacement d’établir une connexion d’accès distant en
utilisant l’infrastructure fournie par un inter réseau public.

23
Un VPN se repose principalement sur le « tunneling ».

2.3.2 Pourquoi utiliser un VPN ?

La principale raison pour implémenter un VPN est l’économie supposée par rapport à tout autre
type de connexion. Bien que les VPN nécessitent l’acquisition de produits matériels et logiciels
supplémentaires, le coût à terme de ce genre de communication est moindre. L’entreprise ne paye
que l’accès à l’Internet via son ISP (tarif local) et non une communication nationale dans le cas
d’une liaison RNIS ou un forfait dans le cas d’une +Liaison Spécialisée. La technologie VPN
procure de même la sécurité lors des connexions d’utilisateurs distants au réseau interne de
l’entreprise.

2.4 Les constituants principaux d’un VPN [12]

Figure 2.06 : Composants d’un VPN

Serveur VPN : Ordinateur qui accepte les connexions VPN en provenance des
clients VPN. Un serveur VPN peut fournir une connexion VPN d’accès distant ou
connexion VPN routeur à routeur.
Client VPN : L’ordinateur qui lance une connexion VPN vers le serveur VPN.
Il peut s’agir d’un ordinateur individuel qui obtient une connexion VPN d’accès
distance ou bien d’un routeur qui obtient une connexion VPN de routeur à routeur.

24
Tunnel : Portion de la connexion dans laquelle les données sont encapsulées.
Connexion VPN : Portion de la connexion dans laquelle les données sont cryptées.
Pour des connexions VPN sécurisées, les données sont cryptées et encapsulées sur la
même portion de connexion.

2.5 Le tunneling (tunnelisation)

Définition

Le « tunneling » est une pratique courante visant à transporter un protocole (et ses
données) dans un autre protocole. C’est la méthode utilisée pour faire transiter des informations
privées sur un réseau public. Dans cette méthode dite d’encapsulation, chaque paquet est
complètement chiffré et placé à l’intérieur d’un nouveau paquet. [15]

Principe de fonctionnement

Le principe du « tunneling » consiste à construire un chemin virtuel après avoir identifié


l’émetteur et le destinataire.

Le transport des données se fait par encapsulation l’entrée du tunnel, les données à transporter sont
insérées dans un paquet du protocole de tunnelisation, puis une deuxième fois dans un paquet du
protocole utilisé pour le transport des données entre les deux extrémités du tunnel. A la sortie, les
données sont extraites du protocole de tunnelisation et poursuivent leur chemin sous leur forme
initiale.
Ainsi, le protocole qui implémente le tunnel encapsule les paquets, qui devraient être transportés
dans le réseau IP, dans un en-tête supplémentaire. Cet en-tête supplémentaire fournit des
informations de routage de sorte que la charge utile encapsulée puisse transiter le réseau
intermédiaire.

Remarque : Pour qu’un tunnel puisse être établi, le client VPN et le serveur VPN doivent
implémenter le même protocole.

25
L’encapsulation dans un datagramme IP consiste à créer un paquet ayant pour données le
paquet d’origine, pour adresse source, l’adresse du point d’entrée dans le tunnel et pour adresse
destination l’adresse de terminaison du tunnel.

Figure 2.06 : Encapsulation d’un paquet IP

Le « tunneling » inclut le processus : encapsulation, transmission et désencapsulation des paquets.

Les protocoles de tunnelisation [15]

Les protocoles de tunnelisation sont des normes de communication utilisées pour gérer les
tunnels et encapsuler les données privées. On les classifie suivant le niveau de la couche OSI
auquel il travaille :

Niveau 2 : comme PPTP (Point to Point Tunneling Protocol) et L2TP (Layer Two
Tunneling Protocol)
Niveau 2.5 : MPLS (Multi Protocol Label Switching)
Niveau 3 : IPSec (Internet Protocol Security)
Niveau 5 : TLS (Transport Layer Security) ou SSL (Secure Layer Security)

26
Comparaison des différents protocoles de tunnelisation

Protocoles Avantages Inconvénients

PPTP Très répandu Peu fiable


Performance faible
L2TP Mobilité L’overHead

IPSec Confidentialité/Intégrité Pas


des données d’authentification
des utilisateurs
Pas de QoS
Lourdeur des
opérations
MPLS Rapide Dépend du réseau
QoS fournie MPLS du
Intégration des fournisseur de
différents types des service
trafics (voix, donnée,
video)

SSL Déploiement - Maîtrise client

Tableau 2.01 : Comparaison des différents protocoles de tunnelisation

2.6 Applications des VPN [12]

Une organisation a le choix entre plusieurs types de VPN selon l’entité avec laquelle elle veut
être interconnectée. En effet, un VPN peut être créé entre :

Deux systèmes
Deux organisations ;
Plusieurs systèmes et une organisation
Plusieurs organisations.

27
Ainsi, les VPN les plus utilisés sont :
VPN Accès distants
VPN Intranet
VPN Extranet

VPN Accès distants

Les VPN Accès distants permettent à des utilisateurs distants de se connecter à son LAN
privé tout en conservant la confidentialité via une infrastructure de réseau public. Les composants
d’une connexion VPN Accès distants sont : [16]

Serveur VPN : un ordinateur qui accepte les connexions VPN en provenance des
clients VPN. Un serveur VPN peut fournir une connexion VPN d’accès distant.
Client VPN : Ordinateur qui lance une connexion VPN vers un serveur VPN.
Connexion VPN : Portion de la connexion dans laquelle les données sont cryptées.
Inter réseau de transit : inter réseau partagé ou public traversé par les données
encapsulées.

L’utilisateur se sert d’une connexion Internet pour établir la connexion VPN. Il existe deux cas :

L’utilisateur demande au fournisseur d’accès de lui établir une connexion cryptée vers
le serveur distant : il communique avec le NAS du fournisseur d’accès et c’est la NAS
qui établit la connexion cryptée.
L’utilisateur possède son propre logiciel client pour le VPN auquel cas il établit
directement la communication de manière cryptée vers le réseau de l’entreprise.

Figure 2.07 : VPN Accès distant

28
VPN Intranet

Un Intranet est un réseau interne à une entreprise. Il met en relation les sites à l’intérieur
d’une même organisation.
VPN Intranet est utilisé pour relier au moins deux intranets entre eux en créant une
connexion sécurisée entre les deux réseaux locaux. Ceci grâce encore aux protocoles de
tunnelisation qui peuvent être les mêmes que ceux du VPN d’Accès distant. Ce type de réseau est
particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. VPN Intranet
permet d’offrir une qualité comparable à un réseau d’entreprise composé de liaisons louées
classique. Le plus important dans ce type de réseau est de garantir la sécurité et l'intégrité des
données. Certaines données très sensibles peuvent être amenées à transiter sur le VPN (base de
données clients, informations financières...).
Les VPN Intranet peuvent être aussi VPN routeur à routeur car c’est entre les routeurs de
chaque extrémité que va être établie une connexion VPN. [16]

Figure 2.08 : VPN Intranet

VPN Extranet

L’Extranet correspond à une ouverture d’une partie de l’Intranet à des partenaires commerciaux,
par exemple des clients ou des fournisseurs.

Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle
ouvre alors son réseau local à ces derniers. Dans ce cadre, il est fondamental que l'administrateur
du VPN puisse tracer les clients sur le réseau et gérer les droits de chacun sur celui-ci. [16]

29
Figure 2.09 : VPN Extranet

2.7 Conclusion

L’implantation d’un VPN au sein d’un système d’information est quelque chose de très actuel, du
fait de l’apparition forte de la mobilité et de l’évolution des possibilités informatiques. Cependant,
cette implantation n’est pas quelque chose à prendre à la légère. La technologie VPN autorise une
certaine souplesse, surtout en termes d’intégration de l’information par les nomades, cependant,
celle-ci tant en termes d’architecture que de sécurité doit être pensée et réfléchie au préalable. On
a parlé aussi des différentes sortes des protocoles de tunnelisation, chacun ont leurs points forts et
leurs points faibles. Mais on verra dans le chapitre suivant la performance du protocole MPLS qui
est le meilleur parmi eux.

30
CHAPITRE 3
PROTOCOLE MULTI-PROTOCOL LABEL SWICTHING

3.1 Introduction

Les services Internet proposés au particulier et aux petites entreprises sont de plus en plus
nombreux (connexion via un fournisseur d'accès, travail à distance, services à valeur ajoutée tels
que l'e-mail, serveur Web hébergé, VPN, etc.). Cette population appelée communément SOHO
(Small Office / Home Office) est la cible des grands de l'industrie du réseau (opérateurs,
constructeurs, etc.).
La tendance actuelle est orientée actuelle est orientée vers la mutualisation des services voix,
données et vidéo qui sont trop spécifiques (encapsulations multiples des protocoles pour interfacer
PC et modem) ou encore trop difficiles à mettre en place par les opérateurs (configuration,
formation des utilisateurs).
Différentes propositions ont été faites par la combinaison du technique VPN par les différents
protocoles d’encapsulation qu’on a comparée dans le chapitre précédent.
Parmi ces protocoles, MPLS est aujourd'hui la solution apparaissant comme la plus mature du
marché. La possibilité d'obtenir une QoS garantie par contrat est un élément qui pèse fortement
dans la balance des décideurs. On va voir dans ce chapitre comment et pourquoi tout cela sont
possible.

3.2 Historique

L’idée MPLS est apparue en 1996 d’un groupe d’ingénieurs de Ipsilon Networks, une société
Américain. A l’origine, la technologie n’était prévue pour fonctionner que sur ATM, qui permet
de garantir des qualités de services ainsi que l'usage du protocole RSVP (Ressource ReserVation
Protocol) qui ont été principalement utilisés pour transporter des paquets IP à l'aide de cellules
ATM. Cependant, toutes ces technologies utilisées jusqu'à maintenant n'étaient pas optimales
concernant la gestion ainsi que la maintenance des réseaux. C'est pourquoi, afin de palier à ces
problèmes, une équipe de l'IETF (Internet Engineering Task Force) se forma en 1997 pour mettre
au point ce qui s'appellera par la suite le MPLS. Cisco Systems, Inc. proposa ensuite l’idée de ne
pas limiter MPLS sur ATM et créa le « Tag Switching », qui sera ensuite renommé en « Label
Switching » pour la standardisation par l’IETF en tant que MPLS. MPLS fut alors créé au mois de

31
mars 1997 par l’IETF qui a mis en place le groupe de travail MPLS pour définir une approche
normative de la commutation d’étiquettes.

L’IETF a défini le nouveau protocole MPLS avec deux objectifs principaux :


Permettre un acheminement rapide des paquets IP en remplaçant la fonction de routage
par une fonction de commutation beaucoup plus rapide. Ceci est possible grâce à la
substitution des tables de routage classiques par des matrices de commutation
beaucoup plus petites.
Faciliter l’ingénierie réseau en fournissant aux opérateurs la maîtrise de
l’acheminement des données.

3.3 Origine du protocole MPLS

3.3.1 Pourquoi on a inventé le protocole MPLS ?

L’idée est de réduire le temps de traitements des paquets dans les routeurs afin de gagner une
performance. Or avec IP ce n’est pas suffisant. Voici les limites du protocole IP.

Asymétrie du routage

Le trafic sur l’Internet et les réseaux est bidirectionnel : l’émetteur possède un chemin pour
rejoindre le destinataire, qui en retour contient un chemin pour rejoindre l’émetteur. En raison des
différentes politiques de routage, il est fréquent que le chemin de retour soit complètement
différent du chemin allé. Cette asymétrie peut poser un problème dans la mesure où les chemins
empruntés à l’aller et au retour ne possèdent pas les mêmes caractéristiques de QoS (notamment
en ce qui concerne le temps de traversée du réseau).

Pas d’équilibrage de charge

Autre inconvénient des protocoles de routage : l’incapacité d’équilibrage de charge sur les liens
réseaux.

32
Non prise en charge de la QoS

Les protocoles de routage « Best Effort » ne permettent pas de tenir compte de la qualité de service
demandée pour un datagramme, car le choix des routes ne fait pas intervenir de métriques liées à
la QoS. Pour pallier aux lacunes du service « Best Effort », la communauté Internet est mobilisée
pour essayer d’introduire la notion de Qualité de Service. Ainsi, sont apparus des protocoles de
routage supportant la QoS. Ces derniers font l’objet de recherche de plusieurs équipes de travail
au sein de l’IETF (Internet Engineering Task Force).

3.3.2 Naissance du protocole MPLS

En faisant une analyse des deux protocoles IP et ATM qui appartient respectivement au couche
2 et 3 du modèle OSI, l’idée fût apparue.

Figure 3.01 : Analyse de deux protocoles IP et ATM

33
Combinaison de l’algorithme utilisé par ATM et IP

Figure 3.02 : Naissance du protocole MPLS

MPLS est une technique qui vise à combiner le routage IP de niveau 3 et les mécanismes de
commutation de niveau 2 telles qu’ATM ou Frame Relay. MPLS doit permettre d’améliorer le
rapport performance/prix des équipements de routage, d’améliorer l’efficacité du routage et
d’enrichir les services de routage. MPLS traite la commutation en mode connecté, basé sur les
labels. MPLS peut être considéré comme interface apportant à IP le mode connecté et qui utilise
les services de niveau 2 (PPP, ATM, Ethernet, ATM, Frame Relay,).

3.4 Définition du protocole MPLS

MPLS ou MultiProtocol Label Switching est une technique pour le routage dans un réseau. Elle
fonctionne en mode connecté. Comme son sigle l’indique, ses caractéristiques sont :
Multiprotocol (multi-protocoles) : capable de supporter différents protocoles de niveau
inférieur, au sens OSI (ATM, Frame Relay, …)
Label Switching (commutation par étiquettes) : se base sur une étiquette ou label qui
est un identifiant pour la commutation des paquets.
 Routage à l’entrée du nuage
 Commutation à l’intérieur du nuage

3.5 Objectifs de MPLS

Intégration d’IP/ATM
La QoS
Création de VPN
Flexibilité : possibilité d’utiliser plusieurs types de média tel que ATM, FR, Ethernet

34
Differential Services
Réduire la taille des tables de routage
Traffic Egineering permettant de définir des chemins de routage explicites dans les
réseaux IP (avec RSVP ou CR-LDP)
Pour les opérateurs :
Nouveaux services
Tout en s’appuyant sur l’infrastructure en place

3.6 Concept clé de MPLS

Concrètement, MPLS permet d’étiqueter les paquets de données provenant d’applications


différentes en fonction de leur urgence puis de les acheminer via des chemins de commutation
d’étiquette prédéfinie (LSP) sur le réseau IP privé de l’opérateur de Télécommunications. Elle
permet ainsi de donner la priorité aux données qui sont les plus urgentes pour qu’elles arrivent à
destination avant les données d’applications moins importantes. En effet, à partir du moment où
un datagramme est encapsulé, il est acheminé en utilisant les mécanismes de commutation de
niveau 2. On peut dire qu’un des services les plus importants sera la possibilité de créer des réseaux
privés virtuels de niveau 3. La modularité de MPLS et la granularité des labels permettent tous les
niveaux d’abstraction envisageables. [19]

3.7 Les terminologies MPLS

3.7.1 FEC : Forwarding Equivalence Class

Définit les caractéristiques de QoS attribués au flux traversant le réseau MPLS. C’est la
représentation d’un groupe de paquets qui ont en commun les mêmes besoins quant à leur
transport.

3.7.2 LSP : Label Switching Path :

Suite de labels définissant un chemin unique pour un flux traversant le réseau MPLS.
Dans un environnement MPLS, un LSP est un chemin à travers le réseau MPLS. Il est mis en place
par des protocoles comme LDP. Le chemin est basé sur une FEC. Les paquets qui ont alors la
même FEC auront alors le même label et suivent le même LSP. Cependant, un LSP peut être utilisé
par plusieurs FEC. Les LER choisit le label adéquat en fonction de la FEC. Les routeurs font suivre

35
aux paquets le LSP. Un LSP est unidirectionnel. Il en faut un autre pour permettre la
communication bidirectionnelle.

3.7.3 LDP : Label Distribution Protocol

La distribution implicite de labels aux LSR est réalisée par le protocole LDP. Le protocole LDP
définit un ensemble de procédures et de messages qui permettent l’échange des labels entre les
équipements du réseau MPLS.

3.7.4 LIB : Label Information Base

C’est la première table construite par le routeur MPLS. Elle contient pour chaque sous-réseau IP
la liste des labels affectés par les LSR voisins. Elle contient tous les chemins possibles pour
atteindre une destination. [23]

3.7.5 LFIB : Label Forwarding Information Base

A partir de la LIB et la table de routage IP, le routeur construit une table LFIB qui contient les
labels du meilleur prochain saut et qui sera utilisée pour commuter les paquets labélisés.

Pour faire simple, le routeur MPLS attribue un label à chaque route, qu’il garde dans sa LIB, et
lorsqu’un de ses voisins l’informe d’un label pour une même route, il remplit la LFIB pour faire
correspondre les labels, ce qui permettra le switching.

Le routeur, lorsqu'il reçoit un paquet taggué, se base sur la LFIB pour forwarder le paquet. A partir
d'un label d'entrée (local tag), il en déduit l'interface et le label de sortie (Outgoing interface et
Outgoing tag or VC). Pour pouvoir utiliser la LFIB, le routeur doit employer CEF comme
technique de commutation, qui doit être activée globalement et pour chaque interface recevant des
paquets taggués. CEF est en effet le seul mode de commutation capable d'utiliser la LFIB. Les
anciens modes (fast switching, optimum switching, etc.) ne sont pas conçus pour gérer cette table.

3.7.6 CEF : Cisco Express Forwarding

C’est une méthode de commutation sur tous les routeurs du backbone. En effet, CEF est la seule
méthode de routage capable d'utiliser la LFIB pour commuter les paquets. En cas d'oubli, MPLS
ne sera pas fonctionnel. [23]

36
3.7.7 FIB : Forwarding Information Base ou CEF table

Cette base appartient au plan de données. Elle est utilisée pour acheminer les paquets non labélisés.
Ce sont les LER qui l’utilisent.

En recevant un paquet, elle tient les informations essentielles de la table de routage pour prendre
une décision. Ces informations sont appelées « Préfixe IP » qui sont évaluer pour savoir le next
hop et l’interface de sortie. [18]

Remarques :

A partir des informations de labels apprises par le protocole LDP, les routeurs LSR
construisent deux tables, la LIB et la LFIB. De manière générale, la LIB contient tous
les labels appris des voisins LSR, tandis que la LFIB est utilisée pour la commutation
proprement dite des paquets labélisés. La table LFIB est un sous-ensemble de la base
LIB.
Quelques nuances entre la notation de CISCO et EITF

Ancien terminologie Nouveau terminologie


Tag Switching MPLS
Tag Label
TDP LDP
TFIB LFIB
TSR LSR
TSC LSC
TSP LSP

Tableau 3.01 : Ancien et nouveau notation terminal pour Tag Switching/MPLS

TDP est utilisée comme éléments de base pour LDP.LDP à la même fonctionnalité que TDP mais
ceux sont des différents protocoles. Pour échanger les labels correspondants aux routes unicast
apprises par un IGP, les routeurs Cisco emploient TDP (Tag Distribution Protocol), utilisant TCP
sur le port 711. Ce protocole est un protocole propriétaire défini par Cisco Systems. Le protocole

37
défini par l'IETF est LDP (Label Distribution Protocol), qui utilise TCP sur le port 646. Bien que
ces deux protocoles soient fonctionnellement identiques, ils sont incompatibles entre eux, à cause
de différences dans le format des paquets. A l'avenir, Cisco IOS pourra utiliser soit TDP ou LDP,
ou bien les deux simultanément.

3.8 Les équipements du réseau MPLS

Le réseau MPLS utilise la topologie maillée. Chaque entité n’a besoin que d’une connexion vers le
réseau MPLS. Seul le réseau MPLS est affecté par le protocole MPLS. [20]

Figure 3.03 : Topologie d’un réseau MPLS

Les équipements nécessaires sont alors :


Routeurs CE (customer Edge router)
Routeurs P (Provider device) appelés aussi LSR (Label Switch Router)
Routeurs PE (Provider Edge router) aussi appelés LER (Label Edge Router)

3.8.2 Les routeurs CE

Les routeurs CE sont les routeurs présents dans le réseau du client. Ils sont interconnectés avec un
ou plusieurs PE. Ces routeurs n’ont pas la connaissance de la technologie MPLS.

38
3.8.3 Les routeurs P ou LSR

Les routeurs P ou LSR sont les routeurs composant le cœur du réseau MPLS. Ils sont chargés de la
distribution des trames MPLS. Ce sont alors eux qui acheminent les données grâce à la commutation
de labels.

Fonctionnement d’un LSR


La figure suivante nous montre le fonctionnement d’un LSR. [22]

Figure 3.04 : Structure d’un LSR

Tout d’abord, le routeur LSR doit avoir les informations venant du protocole de routage utilisé
c’est-à-dire la table de routage. A partir de cette table de routage, le LDP (Label Distributed
Protocol) fournit le label adéquat. Puis, le LFIB enregistre cette information dans sa base et
échange le label entrant avec le label sortant.

3.8.4 Les routeurs PE ou LER

PE sont des routeurs qui font interfaces entre le réseau MPLS et le monde extérieur. En général,
une partie de ces interfaces supportent le protocole MPLS et l’autre un protocole de type IP. Ils sont
alors chargés de mettre ou d’enlever le label sur les paquets de données provenant ou à destination
des routeurs CE pour qu’il puisse être acheminé correctement.

39
Les deux types de LER existants sont :
Ingress LER (I-LER) : c’est un routeur qui gère le trafic entrant dans un réseau MPLS.
C’est lui qui assigne le label à un paquet avant son entrée dans le réseau.
Egress LER (E-LER) : c’est un routeur qui gère le trafic sortant d’un réseau MPLS.
C’est lui qui enlève le label à un paquet avant sa sortie du réseau.
E-LSR (Edge LSR) aussi est une appellation des routeurs LER parce que ce sont des routeurs se
trouvant au bord des LSR.

Fonctionnement d’un LER

Comme celui de LSR le protocole de routage utilisé fournit une table de routage qui est utilisée
par le LDP. Le LDP permet de fournir la LFIB. Pour les E-LER, les paquets entrants sont
labélisés et délabélisés en sortant. Pour les I-LER, les paquets entrants sont non labélisés et
labélisés en sortant. [22]

Figure 3.05 : Structure d’un LER

40
3.9 Caractéristiques du MPLS

3.9.1 Place du protocole MPLS dans le modèle OSI

Figure 3.06 : Place du protocole MPLS

3.9.2 Label

Définition

Les labels sont des simples nombres entiers. Ils sont insérés entre les entêtes de niveau 2 et de
niveau 3. Ce sont ces labels que les routeurs permutent tout au long du réseau jusqu’à destination
sans avoir besoin de consulter l’entête IP et leur table de routage. On appelle cette
technique « Label Swapping ».

Caractéristiques

Un label a une signification locale entre 2 LSR adjacents et mappe le flux de trafic entre le LSR
amont et la LSR aval. A chaque bond le long du LSP, un label est utilisé pour chercher les
informations de routage (next hop, lien de sortie, encapsulation, queueing et scheduling) et les
actions à réaliser sur le label : insérer, changer ou retirer. La figure ci-dessous, décrit la mise en
œuvre des labels dans les différentes technologies ATM, Frame Relay, PPP, Ethernet et HDLC.
Pour les réseaux Ethernet, un champ appelé « shim » a été introduit entre la couche 2 et la couche
3.

41
Un entête MPLS encapsulant un label est de la forme suivante :

Figure 3.07 : Label MPLS

L’entête MPLS est de 32 bits :


Label : valeur du label.
CoS (Class of Service) : utilisé pour les répartitions des services. Il est utilisé pour
différencier la priorité parmi les différents types de trafics. On l’appelle aussi EXP
(experimental).
S (Stack) : MPLS permet l’insertion de multiples labels. S détermine si ce label est le
dernier label du paquet. Si S=1, cela indique que ce label est le dernier.
L’implémentation des piles de labels permet une meilleure gestion de l’ingénierie de
trafic et des VPN qui offrent la possibilité de rediriger rapidement un paquet vers un
autre chemin lorsqu’une liaison est défaillante.
TTL (Time To Live) : durée de vie des paquets. Il est identique au TTL de l’entête
IP.

3.9.3 Les différents modes MPLS

Un LSR peut utiliser plusieurs modes quand il échange des labels entre un autre LSR. Il existe
trois modes distincts comme suit [18] :

42
Mode Label distribution
Mode Label retention
Mode LSP control

Mode Label distribution

LDP permet l’échange de labels entre LSR selon deux modes et les LSR peuvent supporter chacun
indépendamment chacun de ces deux modes :
Mode « unsollicited downstream » : chaque LSR informe les autres LSR sur les labels
à utiliser (recevoir sans demander)
Mode « « downstream on demand » : le LSR désirant envoyer un paquet doit d’abord
faire une demande de label aux autres LSR.

Mode Label retention

Afin d'accélérer la convergence du réseau lors d'un changement de topologie (lien défectueux,
dysfonctionnement d'un routeur), les LSR conservent dans leur table TIB la liste des labels
annoncés pour chaque réseau IP par leurs voisins TDP, y compris de ceux n'étant pas les next-hops
choisis par l'IGP.

« Libéral » : en cas de perte d'un lien ou d'un noeud, la sélection d'un nouveau label

de sortie est immédiate : en effet, il suffit au routeur d'élire un nouveau next-hop et de

sélectionner l'entrée correspondante dans la TIB, puis de mettre à jour la TFIB.

L'avantage de ce procédé est naturellement une convergence plus rapide lorsque les

informations de routage au niveau 3 changent, avec pour inconvénients que davantage

de mémoire est allouée dans les routeurs et que des labels supplémentaires sont utilisés.

Le mode libéral est appliqué dans le cas d'interfaces fonctionnant en mode trame.

« Conservatif » : correspond au downstream on demand, utilisé par les LSR ATM.

Pour atteindre un subnet donné au-delà d'une interface de type « cellule », les LSR

43
ATM demandent à leurs voisins downstream de leur fournir un label pour chaque

couple (interface d'entrée, subnet IP).

Mode LSP control

La distribution dans le réseau peut, elle-même, s’effectuer selon deux modes :


Mode indépendant : chaque LSR associe un label pour chaque FEC de manière
indépendante et en informe ses homologues. Dans ce mode, il est donc possible qu’un
label sortant soit envoyé d’un premier LSR vers un second avant que le label entrant
n’ait été reçu par le premier.
Mode ordered : l’information qui associe un label à un FEC est propagée d’une
extrémité à l’autre du réseau MPLS (en cascade). Dans ce mode, chaque LSR devra
donc attendre de recevoir l’information sur un label entrant avant de pouvoir propager
l’information sur le label sortant.

3.10 Structure fonctionnelle de MPLS

Le protocole MPLS est fondé sur deux plans principaux :

Le plan de contrôle (Propagation des routes VPN et la distribution des labels MPLS)
Le plan de données (Packet forwarding)

3.10.1 Le plan de contrôle

Il est chargé de la construction, du maintien et de la distribution des tables de routage et des tables
de commutations. Il est composé par l’ensemble des protocoles de signalisation et des
protocoles de routage appartenant chacun au plan de signalisation et au plan de routage.

Les protocoles de routages classiques sont IS-IS ou OSPF afin de créer la topologie
des nœuds du réseau MPLS.
Les protocoles de signalisations spécialement développés pour le réseau MPLS comme
Label Distribution Protocol (LDP), MPBGP (utilisé par MPLS VPN) ou RSVP (utilisé
par MPLS TE) si l’on prend en considération les problèmes de Traffic Engineering.
[21]

44
3.10.2 Le plan de données

Ce plan est indépendant des algorithmes de routages et d’échanges de label. Il utilise une base
appelée LFIB (Label Forwarding Information Base) pour commuter les paquets av1ec les bons
labels. Il contrôle ainsi la transmission des informations en se basant soit sur les adresses de
destination soit sur les labels. Il correspond à l’acheminement des données en accolant un " Shim
header " aux paquets arrivant dans le domaine MPLS. [21]

Voici une figure qui résume son architecture.

Figure 3.08 : Présentation de l’architecture du réseau MPLS

3.11 Fonctionnement du MPLS

3.11.1 Principe

Le principe de la technologie MPLS est de remplacer les traitements longs et complexes associés
au relayage de paquets IP par un traitement plus simple. Dès son entrée dans le réseau MPLS, un
label est assigné au paquet par les routeurs d’extrémité.
Ainsi, seuls les routeurs d’extrémité du réseau font une recherche dans leur table, les autres
utilisent uniquement les labels. Ce qui rend le transfert des paquets plus rapide.

45
3.11.2 Différents procédés pendant la commutation d’un label

Table de commutation

Comme la table de routage dans le routage IP, la table de commutation de MPLS contient les
chemins qu’un paquet doit suivre pour parvenir à sa destination. Cette table comporte quatre
entrées :
Interface d’entrée du paquet (InPort)
Etiquette MPLS en entrée (InLabel)
Etiquette MPLS de sortie (OutLabel)
Interface de sortie du paquet (OutPort)

InPort InLabel OutLabel OutPort

f0/0 L1 L3 f1/0

f0/0 L2 L2 f2/0

Tableau 3.02 : Exemple table de commutation MPLS

Distribution des labels

Les LSR se basent sur l'information de label pour commuter les paquets au travers du backbone
MPLS. Chaque routeur, lorsqu'il reçoit un paquet taggué, utilise le label pour déterminer l'interface
et le label de sortie. Il est donc nécessaire de propager les informations sur ces labels à tous les LSR.
Pour cela, des protocoles de distributions de labels sont utilisés. Suivant le type des FEC, différents
protocoles sont employés pour l'échange de labels entre LSR :

TDP/LDP (Tag/Label Distribution Protocol) : Mapping des adresses IP unicast ;


RSVP (Resource Reservation Protocol) : utilisé en Traffic Engineering pour établir des
LSP en fonction de critères de ressources et d'utilisation des liens ;
MP-BGP (MultiProtocol Border Gateway Protocol) pour l'échange de routes VPN.

46
Mais ce qui nous intéresse pour le fonctionnement du VPN MPLS sont la distribution des labels aux
« LSR » via le protocole LDP.

Il va définir des procédures et des méthodes de communications pour que les « LSR » puissent
s'informer des tables de commutation (Correspondance des labels et des flux) de leurs voisins. Les
labels sont du type « saut par saut », c'est-à-dire qu'ils n'effectuent le chemin que d'un saut avant
d'être mis à jour. Cette méthode est utilisée par le protocole de routage IGP (Interior Gateway
Protocol). La découverte des « LSR » voisins (adjacents) se fait à l'aide de la couche 3 du modèle
OSI, via le protocole de routage UDP (par l'envoi de ACK). Dès que deux noeuds se sont découverts,
ils établissent une connexion TCP pour le transport fiable (contrairement à UDP) des données. Les
messages échangés entre les deux routeurs « LSR » lors d'une session « LDP » sont de types:

Messages de découverte : Recherche et maintien la connexion avec un « LSR » sur le


réseau.
Messages de session : Etablissement, maintien et cessation de sessions LDP.
Messages d'avertissement : Création, modification et suppression des correspondances
entre FEC et labels.
Messages de notification : Messages d'erreurs.

Il offre les services suivants :

Annonce de la présence d’un LSR (en mode connecté, via UDP)

Etablissement, maintenance et fermeture d’une session entre LSR en mode connecté

via des sessions TCP ;

Création, échange et suppression de labels dans une session TCP ;

Messages d’information ou d’erreur dans une session TCP.

LDP est bidirectionnel et permet la découverte dynamique des nœuds adjacents grâce à des messages
Hello échangés par UDP. Une fois que les 2 nœuds se sont découverts, ils établissent une session TCP

47
qui agit comme un mécanisme de transport fiable des messages d'établissement de session TCP, des
messages d'annonce de labels et des messages de notification.

Figure 3.09 : Etablissement d’une connexion LDP

La permutation de labels

Le MPLS fonctionne par permutation de labels. Ces labels sont ajoutés une fois, à l'entrée du paquet
sur le réseau MPLS, par l'ingress node. Le label est déterminé à partir d'une référence dans le tableau
de commutation du routeur d'entrée sur le réseau. Le paquet est alors transféré avec son label aux
routeurs « LSR » qui vont permuter les labels. Le label entrant est analysé puis est remplacé par un
label sortant. Le paquet est alors envoyé au nœud suivant. Les « LSR » sont basés uniquement sur
la commutation de labels et ainsi commutent les paquets labellisés. Arrivé à l'Egress node, le label
du paquet est supprimé puis ce dernier est remis à son destinataire.

48
L'affectation des labels

L'affectation des labels dépend de l'appartenance des paquets à des classes ou des groupes de flux
« FEC ». Ces « FEC » (Forwarding Equivalency Classes) vont permettre de diviser les traitements
de paquets par groupement.

On distingue trois « FEC » d'associations de label à un :

Flux de trafic
Id du routeur
Adresse IP

Les paquets appartenant à une même « FEC » sont traités de la même manière.

C'est ainsi que tous les paquets d'un même flux vont emprunter le même chemin MPLS. Ce chemin
est appelé « LSP » (Label Switched Path).

3.11.3 Déroulement de la commutation de label [19]

Etape 1 : Push (Entrée du paquet dans le réseau MPLS de droite à gauche sur la figure)

Figure 3.10 : Ajout de label à un paquet entrant dans le nuage MPLS

49
1) Le paquet IP arrive sur l’ingress node
2) Le protocole de routage IP détermine, à partir de l’adresse IP de l’egress node le FEC,
le label et le port de sortie
3) Ajout de label sur l’en-tête
4) Transmission du paquet IP + label vers le LSR suivant

Etape 2 à n-1 : Swap (échanger en français) (Echange du label suivant la table de commutation
des routeurs P dans le nuage MPLS)

Figure 3.11 : Commutation de label à l’intérieur du nuage

1) Le paquet IP + Label arrive sur un LSR


2) Le protocole de routage fonctionnant sur cet équipement détermine dans la base de
données des LIB, le prochain label à appliquer à ce paquet pour le next hop LSR ou E-
LSR
3) L’équipement procède ensuite à une mise à jour de l’entête MPLS (swapping du label
et mise à jour du champ TTL) D’où le terme swap.
4) Paquet IP + Label envoyé vers le nœud suivant

Etape n : Pop (Décapsulation du label à l’avant-dernier saut. C’est le rôle de PE)


Une fois que le paquet MPLS arrive à l'egress node [1], l'équipement lui retire toute trace MPLS
[2] et le transmet à la couche réseau.

50
Figure 3.12 : Décapsulation du label à l’avant-dernier saut

1) Paquet IP +label arrive sur l’Egress node


2) Retrait du label et transmission du paquet IP à la couche réseau
Remarque : On appelle « Penultimate Hop Popping » l’action de dépilement le label de l’avant
dernier commutateur.

3.12 Performance du réseau MPLS

3.12.1 Notion sur le QoS

La QoS est un facteur qui permet d’optimiser les performances d’un réseau.

Définition QoS

La qualité de service (QoS) se réfère à « l’effet collectif de l’exécution de service qui détermine le
degré de satisfaction d’un utilisateur du service » [11]. Elle consiste alors à assurer les performances
désirées pour un trafic donné dans le réseau.

Principaux indicateurs de Qualité de Service (QoS)

Les flux de données sont principalement associés à des paramètres de QoS qui peuvent être de
différents types.

51
1. Le débit

C’est la quantité d’informations écoulée par unité de temps. Il est exprimé en bit/s.

2. Délai

Il caractérise l'intervalle du temps entre l'émission et la réception d'un paquet. Le délai


comporte du délai de propagation, du délai de transmission, du délai d'attente dans la
file d'attente, et du délai de traitement dans les équipements intermédiaires de réseaux.
La contrainte de délai en termes de QoS est variable selon les applications de l'Internet.
Le tableau 4.01 illustre une recommandation de l’ITU en termes de délai et gigue pour
les applications temps réelle tel que la vidéo.

Métrique Valeurs acceptables


Latence Inférieure à 150 ms
Gigue 0 ms : Excellent
75 ms : Bon
125 ms : Acceptable
225 ms : Mauvais

Tableau 3.03 : Délai et gigue recommandés par l’ITU-T

3. Gigue

C’est une variation à court terme dans le temps d'arrivée des paquets, généralement
causée par la congestion du réseau ou du serveur. Par conséquent, le délai
d'acheminement pour les paquets n'est surement pas le même. Ce phénomène mené au
problème de synchronisation, tel que les paquets de la voix ou la vidéo doivent être
arrivé dans son ordre. Pour compenser la variation du délai, le récepteur utilise souvent
des mémoires tampons (en anglais buffers) pour synchroniser les paquets arrivés.
Cependant, ce mécanisme de synchronisation rallonge le délai d'acheminement.

52
4. Perte de paquets

Elle correspond soit à la non-réception d'un paquet, soit à la réception d'un paquet erroné
pour la destination. Elle peut avoir de multiples sources : limitations de bande passante,
congestion du réseau, liens en échec ou erreurs de transmission.

Arrivée de services de natures différentes :

Téléphonie : « temps réel » interactif


Flux vidéo : « temps réel » unidirectionnel
Transferts de données, Email : « Non temps réel »

Remarque : CoS définit le niveau de priorité et QoS manipule la circulation selon les niveaux de
la prio1rité.

Classe de Service (CoS)

Classe de Service (CoS) est une technique pour grouper ensemble type semblable de données, et
assigne des étiquettes avec “le niveau de priorité” à chaque groupe. Une classification des
principales applications peut être comme suit : [11]

 Voix : regroupe toutes les applications de type conversationnel ayant pour


contrainte forte des objectifs sur le délai et la gigue. Elles sont également sensibles
aux taux de perte bien qu’il ne soit pas possible de retransmettre les données.
 Vidéo : regroupe toutes les applications multimédia qui sont sensibles aux taux de
perte, débit et gigue.
 Données : regroupent toutes les applications de transfert de données ayant pour
seule contrainte un taux de perte nul.
 Défaut : désigne toutes les applications n’exigeant aucune garantie de QoS. Il est
connu sous le nom de « Best-Effort », c’est le mode de transport du protocole IP.

La QoS fournit une grande flexibilité en matière de gestion et en optimisation de services des
réseaux. C’est pourquoi, cette technologie est un outil incontournable dans l’administration

53
moderne. Son utilisation devient de plus en plus facile. Ainsi, la QoS deviendra la partie inséparable
du routage de demain.

Implémentation de la QoS

Il existe deux grands modèles pour implémenter la QoS dans un réseau :

Le modèle Best-Effort
Le modèle IntServ (Integrated Service)
Le modèle DiffServ (Differenciated Service)

3.12.1.3.a) Modèle Best-Effort


Actuellement, quand nous parlons de modèle Best-Effort cela signifie aucun QoS n'est configuré.
Dans ce modèle tous les trafics sont traités d’une même manière et tous sont également importants.
Non classification et aucune différenciation dans les applications différentes. Le modèle Best-Effort
fournit le scalabilité et facile à manier mais il en manque de garantie de service et manque de
différenciation de service.

3.12.1.3.b) Modèle IntServ (Integrated Service)

La première proposition d’architecture Internet avec support pour la QoS a été faite par l’IETF avec
le modèle IIS (Internet Integrated Services) ou IntServ. L’idée de base du modèle IntServ est de
fournir une QoS individualisée à chaque connexion en utilisant un mécanisme de contrôle
d’admission et de réservation de ressources via le protocole RSVP. Avec ce protocole, chaque
routeur est interrogé sur ses ressources disponibles. S’il est possible de trouver un chemin entre les
deux extrémités de connexion sur lequel tous les routeurs disposent de suffisamment de ressources
pour assurer la QoS de la connexion, alors celle-ci est établie, sinon elle est refusée. Le modèle
IntServ définit trois types de service appelés GS (Garanteed Service), CL (Controlled Load) et BE
(Best Effort) : [12]

GS utilise des limites supérieures (prouvées mathématiquement) sur les délais d’attente
de chaque flot pour fournir une QoS dite dure (limite en terme de délai d’attente dans
un routeur) en réservant la bande-passante et la mémoire nécessaires. Ce service est
prévu pour les applications temps-réel comme la voix [RFC2212].

54
CL simule un réseau peu chargé lors de la congestion du réseau grâce à un multiplexage
statistique. Il fournit de faibles taux de pertes et de faibles délais, mais reste qualitatif.
De ce fait, ce service peut se dégrader si le réseau est très chargé. Il convient à des
applications adaptatives [RFC2211].
BE est le service traditionnel, sans aucune garantie de QoS.

3.12.1.3.c) Modèle DiffServ (Differentiated Service)

Le modèle DiffServ différencie les traitements des flux de façon indépendante dans chaque routeur,
à la différence de IntServ qui considère les flux de bout en bout. Les flux sont regroupés en classes
de service (par exemple temps-réel mais pertes autorisées pour la voix, sans perte mais sans garantie
de délai pour le transactionnel et best effort).

DiffServ n’utilise pas de mécanisme de réservation de ressources pour les flux, mais leur offre une
QoS située entre le best-effort (IP classique) et la QoS garantie (GS d’IntServ). L’avantage de ce
modèle est d’une part sa proximité avec IP (RSVP n’est plus nécessaire), ce qui permet une
implémentation aisée, et d’autre part ses capacités d’évolution face à l’introduction de nouveaux
services. Ce modèle est d’ailleurs d’une complexité moins grande que celle d’IntServ. Certains bits
de l’entête IP sont utilisés pour associer au paquet une classe de service (champ de l’entête appelé
DSCP), et une information indiquant si le paquet peut être éliminé en cas de congestion. [12]

3.12.1.3.d) Différence et limite entre IntServ et DiffServ

IntServ et DiffServ sont deux mécanismes pour accomplir QoS. Ils ont une différente architecture.
Il y a des différences dans leurs structures et leurs configurations.

Le modèle IntServ était la première tentative accomplir QoS. Il est basé par l’opération des flux. Il
utilise le contrôle de l'admission pour fournir le QoS garanti par flux spécifique. Il réserve la bande
passante partout dans le chemin et permet l'application de commencer s'il y a une disponibilité de
ressources. Il utilise RSVP pour réservation de ressources. Quand RSVP réserve la bande passante,
cette bande passante ne peut pas être utilisée par autre transmission. Chaque courant est isolé de l'un
l'autre. Il travaille comme un soldat a loué des lignes et il fournit le QoS garanti.

55
Le modèle DiffServ a le mécanisme différent pour fournir QoS. Il ne fournit pas une QoS garanti
mais c'est plus flexible. Il ne réserve pas le ressource pour chaque courant. Les décisions du
traitement de la circulation sont prises à chaque petit saut. Il n'utilise aucun protocole de
signalisation par comportement du petit saut pour fournir la QoS. Tous les appareils sur réseau sont
programmés pour fournir une QoS pour une classe spécifique de circulation.

3.12.2 QoS de MPLS

IntServ MPLS

MPLS et IntServ n’est pas intéressant par ce que les réseaux MPLS sont souvent des réseaux très
étendus.

Or, une des faiblesses du modèle IntServ est sa non-résistance au facteur d’échelle. RSVP oblige à
maintenir des sessions sur tous les équipements qui sont traversés par les flux. Et ces sessions
nuisent aux performances des équipements et génèrent du trafic sur le réseau. De plus, il suffit qu’un
nœud dans la route n’implémente pas les fonctionnalités IntServ pour que la QoS ne puisse plus être
strictement garantie. Quand le nombre d’utilisateurs augmente, le nombre de sessions augmente
aussi. Cette augmentation entrainera la diminution des performances de l’architecture. [8]

Ce modèle n’est donc pas adapté aux réseaux de grande taille. De plus, RSVP est compliqué à
mettre en place. Cette complexité augmentera de façon exponentielle avec la taille du réseau.

DiffServ MPLS

La combinaison de DiffServ et MPLS est une stratégie très avantageuse pour un réseau backbone
d’un fournisseur de service. Cette avantage est due au fait que la technologie de commutation de
paquets avec MPLS est rapide.

Dans l’entête MPLS, le champ dédié pour les CoS dans les labels est le champ CoS ou EXP. Ce
champ est de 3 bits. C’est le champ EXP qui détermine la file d’attente, l’ordonnancement et donne
la priorité à une classe. La priorité et la bande passante réservée à un type de flux varient selon la
valeur insérée dans ce champ. Par exemple, on donne la valeur EXP=5 pour un flux de type vidéo
et 0 pour les autres. Chaque LSR donnera alors la priorité absolue aux flux vidéo. [9]

56
3.12.3 Traffic Engineering (TE)

De nos jours, il y a une croissance considérable des débits d’accès et une convergence des services
dits « triple play » (Internet, voix/visioconférence, télévision/vidéo). Ces évolutions entraînent une
augmentation considérable des volumes de trafic et de nouvelles contraintes en termes de QoS et de
disponibilité du réseau. Des mécanismes supplémentaires sont alors nécessaires. L’ingénierie de
trafic est une solution possible. L’ingénierie de trafic regroupe l’ensemble des méthodes et
mécanismes de contrôle permettant d’optimiser l’utilisation des ressources, tout en garantissant la
QoS (bande passante, délais, …) L’objectif de ce mécanisme est de maximiser la quantité de trafic
pouvant transiter dans un réseau afin de retarder l’investissement dans de nouvelles infrastructures.

MPLS-TE

L’architecture MPLS est l’une des solutions adaptées aux besoins actuels puisqu’elle s’avère
adaptée aux objectifs d’ingénierie de trafic. En effet, MPLS offre le routage explicite, permettant la
création de chemins routés de façon explicite, indépendamment de la route IP. On appelle ces
chemins tunnels MPLS ou LSP.

1. Principe

Ce principe est illustré sur la figure 3.13. MPLS-TE est basé sur le concept de routage de tunnels
(Tunnel 1 et Tunnel 2). Le tunnel est unidirectionnel et est défini par deux LER (Ingress (PE1) et
Egress (PE2)). Plusieurs LSP peuvent exister entre deux LER. Cela permet d’une part d’offrir des
routes différentes correspondant à la QoS requise pour les flux transportés et d’autre part de créer
des LSP de secours en cas de panne ou de surcharge sur le LSP initial. [19]

57
Figure 3.13 : MPLS-TE

2. Fonctionnement

MPLS-TE combine le routage explicite offert par MPLS et le routage par contrainte. Le routage par
contrainte repose sur une fonction de découverte dynamique de la bande passante réservable sur un
lien, une fonction de calcul de chemin explicite contraint, et d’une fonction d’établissement de LSP
explicites avec réservation de ressources et distribution de labels le long du chemin explicite. Les
objectifs du routage explicite qui est la solution pour faire de l’ingénierie de trafic sont les suivants :
[19]

Utiliser efficacement les ressources du réseau


Eviter les points de forte congestion en répartissant le trafic sur l’ensemble du réseau.

Dans le cas d’un routage explicite, le LSP n’est plus déterminé à chaque bond mais choisit par
l’ingress node. C’est l’I-LER qui détermine le chemin de bout en bout.

Ce mécanisme repose sur trois fonctions principales :

La fonction de découverte de la topologie


La fonction de calcul de chemins
La fonction de signalisation des LSP

a. Fonction de découverte de la topologie

Cette fonction permet à tous les routeurs d’avoir une vision actualisée de la topologie TE et en
particulier de la bande passante réservable sur les liens. Cette fonction est assurée par un protocole

58
IGP-TE. La topologie TE est enregistrée par chaque routeur du réseau dans une base de données TE
appelée TED (TE Database), qui enregistre pour chaque lien du réseau les paramètres TE comme :
la bande passante maximale, la bande passante maximale réservable et d’autres métriques.

b. Fonction de calcul de chemins


La fonction de calcul de chemins permet de calculer les chemins pour les LSP en utilisant un
algorithme de routage par contrainte. Elle prend en entrée les contraintes des LSP (bande passante,
groupes à inclure/exclure, etc.) et la topologie TE alimentée par le protocole IGP-TE.

c. Fonction de signalisation des LSP


Une fois la route explicite pour un LSP calculée, la fonction de signalisation intervient pour établir
le LSP. Cet établissement comprend le routage explicite du LSP le long de la route explicite, la
réservation de ressource sur les liens traversés ainsi que la distribution des labels sur le chemin. Elle
est réalisée par des protocoles de signalisation comme RSVP-TE ou CR-LDP (ConstraintBased
Routing LDP)

RSVP-TE

Nous parlerons de RSVP-TE ici car c’est la seule méthode de signalisation actuellement disponible
pour MPLS-TE, CR-LDP étant devenue obsolète.
RSVP est un protocole de signalisation destiné à l’origine pour IntServ, un modèle QoS. Il a par la
suite été adapté pour devenir un protocole de signalisation qui supporte les extensions nécessaires à
MPLS-TE. Le protocole RSVP-TE tourne entre routeurs adjacents.
Le protocole RSVP-TE effectue trois fonctions principales dans le but de signaler le LSP-TE le long
du chemin préalablement défini : [19]
Il effectue un contrôle d’admission local, pour s’assurer que les contraintes sont bien
respectées (bande passante, groupes administratifs). Ce contrôle d’admission local est
nécessaire pour prendre en compte les cas d’erreur de calcul de route.
Il réserve la bande passante. Cette réservation de ressources est purement logique et ne
se traduit pas par une réservation physique de bande passante.
Il distribue les labels et entraîne une mise à jour des tables MPLS en transit.

59
RSVP-TE permet aux instances de tunnel TE de supporter divers évènements. Par exemple, un
changement de route suite à une réoptimisation, un reroutage sur panne, etc. Ce changement de
LSP-TE s’effectue sans perte de paquets, grâce à la procédure de création de nouveau LSP-TE :
bascule du trafic puis suppression de l’ancien LSP-TE. Aussi, les ressources nécessaires ne sont pas
réservées plusieurs fois dans les TED des routeurs traversés. Pour établir un LSP-TE, les routeurs
s’envoient des messages pour réserver des ressources et confirmer la réservation de lien. Ces
messages sont de type :
Path : établit et maintient le LSP-TE dans le sens descendant,
Resv : établit et maintient le LSP-TE dans le sens montant.
PathErr : Indique une erreur.

L’établissement d’un LSP-TE avec RSVP-TE se fait comme suit :

Figure 3.14 : Etablissement LSP-TE avec RSVP-TE

(1) R1 est tête de tunnel TE, il envoie un message Path à R2 demandant une réservation de lien.
Celui-ci vérifie le format du message et la disponibilité des ressources TE demandées. Si les
ressources ne sont pas disponibles, R2 renvoie un message PathErr à R1, la séquence
d’établissement est alors annulée.

(2) R2 envoie un message Path à R3. R3 fait les mêmes vérifications qu’en (1)

(3) Ainsi de suite jusqu’à (5)

60
(6) R7 est la queue du tunnel TE. Il envoie un message Resv à R6. Ce message contient le label de
commutation MPLS à employer pour le tunnel TE par R6.

(7) R6 envoie un message Resv à R5 et indique un label L=42

Il en est de même pour (8), (9) et (10) sur la figure 3.04

Ainsi, MPLS-TE est un ensemble d’outils et de mécanismes, qui vient étendre MPLS. Il fonctionne
sans perturber le fonctionnement normal du réseau. MPLS-TE est l’un des avantages apportés par
MPLS en optimisant l’utilisation des ressources et assurant un bon partage de charge. Mais en plus
des avantages apportés par l’ingénierie de trafic, MPLS-TE permet la création et le maintien de
routes de secours.

3.12.4 Intérêts du réseau MPLS

Allègement du routage dans les routeurs internes au réseau


Réduction du temps de commutation (grâce aux labels)
Encapsulation des paquets IP et compatibilité avec IP
Intégration des mécanismes de différenciation de services (DiffServ)
Flexibilité de l’ingénierie de trafic

3.13 VPN et MPLS

Le VPN MPLS est un VPN maîtrisé par un opérateur qui fait passer les flux par des serveurs,
commutateur et routeur qui lui appartiennent et qui sont privés. Il permet met à disposition le QoS
ou Quality of Service qui permet de donner la priorité sur certains flux. L’un des applications les
plus importantes du protocole MPLS est de pouvoir créer des réseaux privés virtuels.
Les VPN s’appuyant sur le protocole MPLS, sont différents de l’image classique du VPN, à savoir
un tunnel crypté établi à couche 3. Par défauts, les tunnels VPN bâtis sur MPLS ne sont pas cryptés
et s’apparente plutôt à des PVCs comme avec ATM ou Frame Relay plutôt qu’à des PVCs établis
avec IPsec ou Point to point tunneling protocol. Ils s’appuient sur la séparation des paquets sur la
valeur de leurs labels et n’utilisent pas de méthode de cryptage ou d’encapsulation. La valeur de
ce label n’est lue que par les LSR qui appartiennent à des LSP précis.
MPLS VPN permet d’isoler le trafic entres sites n’appartenant pas au même VPN, et étant
totalement transparent pour ces sites entre eux. Il permet d’utiliser un adressage privé sans

61
utilisation de fonctionnalité NAT et d’avoir un recouvrement d’adresses entre différents VPNs.
[19]

3.13.1 Mode de réalisation des VPN MPLS

On distingue deux modes de réalisation des VPN MPLS, le modèle « overlay » et le modèle « peer
» dit encore modèle « homologue ».

Le modèle « overlay »

Réaliser un VPN overlay consiste à relier les sites clients par des circuits virtuels permanents.
L’interconnexion des sites clients est réalisée par la définition d’un ensemble de circuits virtuels.
Les relations sont du type point à point.
L’inconvénient avec ce modèle c’est qu’à cause de nombreuse mailles qui existe entre les sites
clients, le résultat de la connexion n’est pas optimal. N sites requièrent N (N-1)/2 circuits.

Figure 3.15 : Principe du modèle « overlay »

Le modèle « peer »

Le modèle peer-to-peer est fut développé pour pallier le problème avec le modèle «Overlay».
Dans le modèle peer, les VPN sont ignorés du cœur de réseau, les données échangées entre les
clients d’un même VPN sont acheminées dans le réseau comme des données ordinaires. Les
informations relatives aux VPN sont échangées entre le routeur client (CE, Customer Edge) et le

62
routeur de périphérie (PE, Provider Edge). Seuls les routeurs de périphérie du réseau ont
connaissance des VPN, le routage des données est réalisé dans les réseaux dans l’ignorance de
l’appartenance à un VPN ; seul le PE de sortie tiendra compte de cette appartenance. Les routeurs
de cœur de réseau (P Router, Provider router) n’ont plus de nombreux circuits virtuels à gérer et
l’ajout d’un client n’a aucun impact sur le cœur de réseau, de ce fait, l’évolution des VPN peer est
aisée.

Figure 3.16 : Le modèle « peer »

3.13.2 Composants des VPN MPLS

Figure 3.17 : VPN MPLS

63
Routeurs P, PE et CE [19]

Le CE routeur ou Customer Edge router : c’est un routeur client connecté au


backbone IP via un service d’accès. Il route en IP le trafic entre le site et le backbone
IP. Ce routeur n’a aucune connaissance des VPN ou des labels donc tout routeur
traditionnel peut être un CE
Le routeur PE ou Provider Edge Router = LER : routeur backbone de périphérie
auquel sont connectés dès CE. C’est au niveau des PE qu’est déclarée l’appartenance
d’une CE à un VPN donné. Le rôle du PE consiste à gérer les VPN en coopérant avec
les autres PE et à commuter les trames avec les P. La gestion dans le backbone est
assurée par l’opérateur par le biais de ces PE. Chaque PE associe de manière statique
un VRF aussi appelé LIB
L’équipement P ou Provider device : est un routeur commutateur de cœur de
backbone chargé de la commutation des trames MPLS. Il n’a aucune notion de VPN
mais il se contente d’acheminer les données grâce à la commutation de label.

Routeurs Virtuels : VRF

Quelques terminologies :

RD (Route Distinguisher)

Des sites appartenant à des VPN isolés ayant la possibilité d'utiliser des plans d'adressage
recouvrant, les routes échangées entre PE doivent être rendues uniques au niveau des updates BGP.
Pour cela, un identifiant appelé RD (Route Distinguisher), codé sur 64 bits, est accolé à chaque
subnet IPv4 d'une VRF donnée. Le RD s'écrit sous la forme « ASN:nn » ou « IP-Address:nn ». [19]

RT (Route Target)

Le RD permet de garantir l'unicité des routes VPNv4 échangées entre PE, mais ne définit pas la
manière dont les routes vont être insérées dans les VRF des routeurs PE. L'import et l'export de
routes sont gérés grâce à une communauté étendue BGP (extended community) appelée RT (Route
Target). Les RT ne sont rien de plus que des sortes de filtres appliqués sur les routes VPNv4. Chaque
VRF définie sur un PE est configurée pour exporter ses routes suivant un certain nombre de RT.

64
Une route VPN exportée avec un RT donné sera ajoutée dans les VRF des autres PE important ce
RT. [19]

VRF :

VRF ou VPN Routing and Forwarding Table est une table de routage associée à un
VPN qui donne les routes vers les réseaux IP faisant partie de ce VPN.
Permet de virtualiser une partie du routeur car un opérateur a plusieurs clients sur le
même PE. Par exemple, un routeur qui doit traiter le traffic de plusieurs AS ayant le
même adressage, afin de ne pas les mélanger, mettra chaque AS dans une VRF.
Constituée d'une table de routage, d'une FIB (Forwarding Information Base) et d'une
table CEF spécifiques, indépendantes des autres VRF et de la table de routage globale.
Chaque VRF est désignée par un nom sur les routeurs PE. Les noms sont affectés
localement, et n'ont aucune signification vis-à-vis des autres routeurs. Chaque
interface de PE reliée à un site client est rattachée à une VRF particulière.

Figure 3.18 : VRF

Son fonctionnement :
Le routage se fera grâce à BGP et son extension multi protocole (MP BGP). Un routeur en cœur
de réseau pouvant avoir plusieurs clients ayant les mêmes adresses privées, on assignera à chaque

65
VRF une route distinguisher, qui, préfixé a une adresse IPv4 donnera une adresse VPNv4 unique
dans tout le réseau (on aura donc une RD par VRF). Les routes des VRFs pouvant être injectées
dans d’autres VRF (VPN Multi Sites), on utilisera les Route Target (RT) qui permettront de définir
un nom d’export à la table de routage de notre VRF, et d’indiquer quelles tables importer. Les RT
seront transportées via MP BGP.
Chaque VRF doit avoir une RD (unique) et une ou plusieurs RT en import et/ou export.

3.13.3 Protocoles utilisés

Pour la configuration de VPN MPLS, on a utilisé les protocoles suivants :


MPLS sur les routeurs appartenant au réseau MPLS
OSPF pour la communication intra-nuage (délimité par l’ellipse en pointillé)
EIGRP (Enhanced Interior Gateway Routing Protocol) entre CE-PE
MP-BGP pour le VPN

3.13.4 Fonctionnement d’un VPN MPLS [19]

Les VPN MPLS fournissent typiquement plusieurs classes de services via DiffServ utilisé
principalement pour éviter la congestion du réseau dans le cas de services temps-réels. Ils peuvent
utiliser les mécanismes traditionnels d’accès au réseau tel Frame Relay en s’appuyant sur BGP ou
des routes statiques pour router les paquets à travers le réseau du provider. Ceci implique qu’ils
requièrent une plus grande coordination entre le client et le provider que l’approche VPN au niveau
de la couche 2. Ces VPN sont établis à partir des CE du client et le LER du réseau MPLS. Les CE
sont considérées comme étant directement connectés aux LER. Pour établir entre deux sites
connectés chacun à une CE, un LSP est établi (dynamiquement ou statiquement) entre le LER
d’entrée et le LER de destination du réseau MPLS permettant de connecter les deux CE.

Figure 3.19 : Les routeurs MPLS dans un VPN

66
Une table VRF est construite et maintenue au niveau du LER d’entrée. Elle n’est seulement
consultable que par les paquets émis par un site faisant partie du VPN du site émetteur. Cette table
contient les routes reçues de la CE directement connecté ainsi que les autres LER. La distribution
des routes est contrôlée via EBGP s’appuyant sur des attributs permettant d’identifier l’ensemble
des tables VRF auxquelles un LER distribue les routes ainsi que les sites autorisés à lui fournir les
routes.
Un identifiant RD ou Route Distinguisher est associée à chaque route distincte. Cela permet
d’affecter une adresse VPN IPv4 ou VPN-IPv6 unique à chaque IP VPN en associant le RD et
l’adresse IP cible VPN. Un LER en entrée va rajouter ce RD alors qu’un LER sortie va le
supprimer.
Les routes VPN-IPv4/6 sont échangées entre les différents LER via BGP. Les routes VPN-IPv4/6
sont utilisées pour le contrôle (échange d’information entre les CE et les LER, échange entre les
LER, établissement des LSP entre les LER) alors que le transfert du trafic utilisateur s’appuie sur
MPLS et des adresses IPv4/6.
La création d’un tunnel VPN en MPLS exige de gérer une pile de profondeur 2 au niveau du
paquet. En effet, un premier niveau de label sert à gérer le prochain saut en terme de LER déterminé
par un protocole style BGP (il correspond au numéro de VC ou VPN associé) et l’autre niveau sert
à gérer le prochain saut en terme de LSR dans le tunnel au sein du réseau MPLS déterminé par
IGP.
Au sein d’un VPN, un paquet arrivant sur le LER d’entrée MPLS, se voit attribuer suivant le «
forwarding table » un premier label représentant le VPN et le routeur LER de sortie de celui-ci au
sein du réseau VPN. Pour transiter via un LSP du LER d’entrée jusqu’au LER de sortie, un
deuxième niveau de label est empilé permettant la commutation par label classique de proche en
proche. Une fois le paquet arrivé au bout du tunnel, le deuxième label est dépilé et le premier label
ne donne accès qu’aux informations de routage associé au bon VPN.

Pour créer des VPN clients, il est donc nécessaire d’isoler les flux de chacun des clients. Pour cela,
le label MPLS est constitué de non plus d’un label mais de 2 labels :
Le premier label de l’extérieur identifie le chemin vers le LSR destination, et change
à chaque bond.

67
Le second label de l’intérieur spécifie le VPN-ID attribué au VPN et n’est pas modifié
entre LSR source et le LSR destination.

C’est le LSR source qui applique ces 2 labels au paquet de data lorsqu’un VPN est utilisé :

Figure 3.20 : Encapsulation MPLS

3.13.5 Avantages de la technique VPN MPLS

VPN MPLS utilise évidemment le réseau MPLS. Donc tout service et performance disponible pour
MPLS est disponible aussi pour le VPN MPLS.

Sécurité

Les données ne transitent pas via Internet (Connexion directe via le réseau opérateur).
Comparable à la sécurité offerte par les réseaux ATM et Frame Relay existants

Performance

Optimisation du réseau (Traffic Engineering).

Qualité de service (QoS)

Intégration facile de services IP (VoIP, vidéo, etc.) et de donner la priorité aux flux métier.

3.14 Conclusion

MPLS apporte au protocole IP, non orienté connexion, les avantages du mode connecté tout en
conservant la souplesse du routage, en outre il permet :la diminution du temps de transit dans les
réseaux, concurrencée aujourd’hui par les giga (voire Téra) routeurs ; l’ingénierie de trafic, qui
autorise dans un réseau IP une haute disponibilité et la prévention de la congestion ; la mise en

68
œuvre de la QoS qui a autorisé un service voix de qualité sur un réseau IP et une gestion souple
des VPN.
MPLS améliore la performance d’un réseau et propose de la QoS avec DiffServ. De plus, il peut
fonctionner avec n’importe quel protocole de la couche 2. DiffServ est la qualité évolutive de
service qui est fournie par de nombreux fournisseurs de services internet sur les réseaux IP actuel.
Dès lors, MPLS et DiffServ sont très utiles et stratégiques pour le trafic d’aujourd’hui.
D'autre part certaines entreprises ne souhaitent pas sous-traiter leurs communications à un seul
opérateur. Cependant utiliser plusieurs opérateurs pour la gestion du VPN complique d'autant la
gestion et la configuration de celui-ci.

69
CHAPITRE 4
SIMULATION VPN-MPLS

4.1 Introduction

La simulation est une technique utilisée pour évaluer le fonctionnement d’un système. Elle constitue
un moyen utile pour prédire les performances d’un système et d’appuyer ou de prouver une théorie.
Dans les chapitres précédents, nous avons parlé du fonctionnement de la technologie MPLS. MPLS
est une technologie pouvant améliorer le fonctionnement d’un réseau. De plus, il permet
l’implémentation de divers services qui aide à optimiser la performance d’un réseau. Nous verrons
alors ces fonctionnalités dans le présent chapitre.
Dans notre simulation, nous allons configurer un réseau avec une topologie très simple. Le but serait
de configurer les routeurs afin d’en créer un réseau MPLS VPN.

4.2 Outils de Simulation

4.2.1 Présentation de GNS3

GNS3 ou Graphical Network Simulator 3rd version est un émulateur réseau libre avec une interface
graphique à l’image de Packet Tracer, Network Visualizer, … Sa différence avec ces derniers c’est
sa capacité de reproduction du comportement des IOS et des machines. Il suit le même principe de
fonctionnement que les machines virtuelles (VMWare, VirtualBox, …) qui émule un OS (Windows
7, linux, …) dans un environnement virtuel. Ainsi, GNS3 utilise des véritables IOS de Cisco dans
un environnement virtuel à travers un ordinateur.

Figure 4.01 : Logo du simulateur réseau GNS3

70
GNS3 est particulièrement intéressant pour :
L’entrainement, la pédagogie et la familiarisation avec les produits et les technologies
de Cisco System,
Tester les fonctionnalités d’un IOS,
La vérification rapide de configuration à déployer plus tard dans un environnement de
production.
On peut émuler avec GNS3 les gammes de routeurs suivantes à condition que nous disposions de
l’image de son IOS :

Cisco 1700
Cisco 2600
Cisco 3600
Cisco 3700
Cisco 7200
Ce logiciel fonctionne avec Dynamips et Dynagen.

4.2.2 Présentation de Dynamips et Dynagen

Dynamips est un émulateur de routeurs Cisco capable de faire fonctionner des images IOS de Cisco
non modifiées. Ces images d’IOS fonctionnent comme si elles s’exécutaient sur de véritables
routeurs. Le rôle de Dynamips n’est pas de remplacer de véritables routeurs mais de permettre la
réalisation des architectures avec de vraies versions d’IOS Dynagen est un module s’interfaçant
avec Dynamips grâce au mode hyperviseur. Dynagen facilite la création et la gestion des
architectures grâce à un fichier de configuration simple décrivant la topologie du réseau à simuler.

4.3 Simulation

4.3.1 Architecture de la simulation

Pour cette simulation, on va créer un réseau avec un seul client CPC1 dans le site central qui a un
site distant avec le client CPC2.

71
On a utilisé ici des adresses différentes au niveau des liaisons PE-CE pour spécifier les adresses
utilisées par les VPN. Dans cette simulation, on établira un seul VPN pour le comprendre
facilement.

Figure 4.02 : Architecture de la simulation VPN MPLS

4.3.2 Méthodologie d’approche

Afin de créer un VPN MPLS, nous allons suivre les étapes suivantes :
Configuration des interfaces sur chaque routeur
Routage interne FAI
Configuration MPLS
Configuration des VRF
Mise en place du protocole EIGRP
Configuration du protocole BGP
Gestion de la redistribution respective des préfixes

72
4.3.3 Résultat et vérification

Table de routage des VPN

Figure 4.03 : Table de routage du VPN Client

Table de routage globale du routeur

Examinons maintenant la table de routage globale de PE avec la commande « sh ip route ». Cette


table est montrée par la figure

73
Figure 4.04 : Table de routage globale du routeur PE1

Si on compare les tables de routage données par la figure 4.02 et figure 4.03, on constate qu’il
s’agit de deux tables complètement différentes et indépendantes.

VPN MPLS

Si on trace la route de la VPN Client PE1 allant au routeur CE2, on obtient le résultat sur la figure
suivante :

Figure 4.05 : Route du vrf vrf-client vers CE2

On voit bien que le routeur utilise MPLS avec deux labels pour router le paquet. C’est la propriété
d’un VPN MPLS. Ici, c’est le label L=20 qui indique le VPN et l’autre L=16 est le label établissant
le LSP.

74
Test que CE1 a appris une route via EIGRP vers 192.168.2.1

Figure 4.06 : Test que CE1 a appris une route via EIGRP vers 192.168.2.1

Labels bindings (correspondance FEC/label) crées automatiquement sur PE1 et sur les
autres routeurs du nuage MPLS

Figure 4.07 : Correspondance FEC/label

4.4 Conclusion

La simulation d’un VPN MPLS avec laquelle on a créé deux VPN est réussie. Les trafics dans ces
VPN sont sécurisés car ce sont des routes virtuelles. Ils permettent aussi l’utilisation de n’importe
quelle adresse IP au sein de ces VPN car il n’y a pas de risque de conflit d’adresse.
A travers cette démonstration, nous nous rendons compte que GNS3 est un outil de réseau puissant
et indispensable pour l'évaluation test avant le lancement dans un environnement réel.

75
CONCLUSION GENERALE

Les VPN est une application du tunneling pour relier en pseudo-local les nœuds ou réseaux
géographiquement distants. De plus, le concept de VPN et une solution moins coûteuse et facile à
déployer pour l’interconnexion de sites distants.

En tenant compte de l’évolution de la technologie de l’informatique et de la télécommunication


ainsi que la croissance considérable des utilisateurs. La recherche d’une solution pour remédier à la
congestion des routeurs et donner une qualité de service au réseau s’est alors avérée utile. De ce fait
la décision de routage faites par chaque routeur est "lente" car il faut parcourir toute ou partie de la
table.
Pour bénéficier alors de leurs avantages et remédier à leurs obstacles, MPLS a été conçu.
Le MPLS offre une meilleure rapidité de commutation des paquets, en effet la décision de routage
se fait en analysant un label inséré par le protocole MPLS entre les couches 2 et 3. Ainsi chaque
routeur possède une table associant un port/label d'entrée à un port/label de sortie. Cette table est
rapide à parcourir, ce qui a pour but d'accroître la rapidité de routage par rapport à un réseau IP.
En outre, MPLS permet la gestion des QoS avec le modèle DiffServ. De ce fait, les données sont
différenciées selon différentes classes. Chaque classe aura un traitement adéquat au besoin de la
qualité de service voulue. Il permet alors d’avoir une QoS adapté et convenable.
De plus, la technologie MPLS permet le routage explicite qui est utile dans l’ingénierie de trafic.
L’ingénierie de trafic vise à faciliter les opérations d’un réseau tout en optimisant en même temps
l’utilisation des ressources du réseau et la performance du trafic.
D’après la performance offrit par le réseau MPLS, nous avons décidé d’utiliser le réseau VPN avec
ce protocole. MPLS permet la création de réseaux privés virtuels (VPN) qui a la capacité d’isoler
les trafics. Cette technique permet la sécurisation des transferts de données tout en utilisant les
réseaux publics pour réseau de transmission. Il apporte une flexibilité et une qualité de service
immédiat, ainsi que la sécurisation des données.
Lors de ce travail, on a fait la simulation d’un VPN MPLS.

Le VPN-MPLS sont bien sécurisées et en bonne qualité de service MPLS est un sérieux concurrent
pour les technologies plus anciennes de couche 2 comme ATM ou Frame-Relay. Mais il a aussi
un sérieux concurrent c’est la technologie WAAS (WAN As A service) de « Cloud Computing ».

76
Les avantages du « Cloud Computing » sont aujourd’hui une évidence. Le seul hic de cette
technologie est la garantie de la confidentialité des données de l’entreprise.
Malgré les risques et les inconvénients de « Cloud Computing », il est incontestable que ses
avantages peuvent procurer un effet de levier aux entreprises qui en utilisent les services. Le
désavantage de l’insécurité des systèmes d’information de l’informatique dématérialisée est plus
important que l’avantage de la réduction de leurs coûts d’opérations. D’où VPN-MPLS reste la
solution le plus mature parmi les autres en termes de qualité de service, de coût et sécurité.

77
ANNEXES

ANNEXE 1
PROTOCOLE PPTP

A1.1 Définition

Le protocole PPTP ou Point-to-Point Tunneling Protocol est un protocole d’encapsulation


PPP sur IP conçu par Microsoft, permettant la mise en place de réseaux privés virtuels au-dessus
d’un réseau public tel qu’Internet.
PPTP utilise une connexion TCP appelée connexion de contrôle PPTP pour créer, maintenir et
terminer le tunnel, ainsi qu’une version modifiée de GRE pour encapsuler des trames PPP sous
forme de données en tunnel. Les charges utiles des trames PPP encapsulées peuvent être cryptées
et/ou comprimées.
Ce protocole ouvre deux canaux de communication entre le client et le serveur :
Un canal de contrôle pour la gestion des liens : ce canal consiste en une connexion
TCP
Un canal de données transportant le trafic

A1.2 Le tunneling des données PPTP

Le tunneling des données PPTP est réalisé par le biais de multiples niveaux d’encapsulation
comme sur la figure suivante :

En-tête En-tête En-tête Charge utile En-queue

Liaison de IP GRE PPP Liaison de données


données

Figure 4.08 : Figure A1.01 : Données PPTP mise en tunnel

L'envoi PPP initial est crypté et encapsulé avec un en-tête PPP pour créer la trame PPP. La trame
PPP est alors encapsulée avec un en-tête GRE.

78
GRE est un protocole de mise en tunnel qui permet d' encapsuler n'importe quel paquet de
la couche réseau. Le paquet d'origine est la charge utile du paquet finale.
Par exemple, les serveurs de tunnel qui cryptent les données peuvent utiliser GRE à travers
Internet pour sécuriser les Réseaux Privés Virtuels. C’est un protocole client d’IP utilisant le
protocole IP 47. Le payload résultant GRE et PPP encapsulé est encapsulé avec un en-tête IP
contenant les adresses sources et destination IP appropriées pour le client PPTP et le serveur PPTP.
Pour être envoyé sur une liaison LAN ou WAN, le datagramme IP est enfin encapsulé avec un
entête et une fin de message pour la technologie de couche data-link de l'interface physique
sortante.

A1.3 Sécurité PPTP

PPTP offre l’authentification des utilisateurs et le cryptage des données. L’utilisateur qui tente une
connexion PPTP est authentifié grâce aux protocoles d’authentification d’utilisateur PPP tels que
EAP, MS-CHAP, SPAP et PAP. PPTP hérite du cryptage MPPE, qui utilise le codage de chiffrage
RC4 (RSA). MPPE fournit seulement un cryptage de liaison, pas un cryptage de bout en bout. Le
cryptage de bout en bout est le cryptage de données entre l’application client et le serveur et le
serveur hébergeant les ressources ou les services accédés par l’application. Il peut utiliser des clés
de cryptage 40 bits ou 148 bits. Par défaut, la puissance de cryptage la plus élevée prise en charge
par le client VPN et le serveur VPN est négocié pendant le processus d’établissement de
connexion. Si le serveur VPN nécessite une puissance de cryptage plus élevée que celle prise en
charge par le client VPN, la tentative de connexion est refusée.
MPPE a été conçu au départ pour le cryptage sur une liaison point à point où les paquets arrivent
dans le même ordre que celui dans lequel ils ont été envoyés, et cela avec une faible perte de
paquets. Pour cet environnement, le décryptage d’un paquet dépend du décryptage du paquet
précédent. Toutefois, pour les réseaux VPN, les datagrammes IP envoyés sur Internet peuvent
arriver dans un ordre différent de celui dans lequel ils ont été envoyés, et un plus grand nombre de
paquets est susceptibles de se perdre. Toutefois, MPPE pour les connexions VPN modifie la clé
de cryptage pour chaque paquet. MPPE inclut un numéro d’ordre son l’en-tête. Si les paquets sont
perdus ou arrivent dans un ordre différent, les clés de cryptage sont modifiées en fonction de leur
numéro d’ordre.

79
ANNEXE 2
VPN L2TP

A2.1 Définition

C’est un protocole réseau qui encapsule des trames PPP pour les envoyer sur des réseaux IP,
X25, relais de trame ou ATM. Lorsqu’il est configuré pour transporter les données sur IP, les
protocoles L2TP peuvent être utilisés pour faire du tunneling sur Internet. Dans ce cas L2TP
transporte des trames PPP dans des paquets IP. La maintenance du tunnel est assurée à l’aide des
messages de commandes au format L2TP tandis que le protocole UDP est utilisé pour envoyer
les trames PPP au sein des trames L2TP.

A2.2 Encapsulation PPP L2TP

Figure 4.09 : Figure A2.01 : Encapsulation de PPP dans L2TP

Comme on le constate, PPP fournit un mécanisme d’encapsulation multi protocole pour le


transport des paquets à travers des connexions de la couche 2. La charge utile IP initiale est
encapsulée par un en-tête PPP et L2TP. Le paquet L2TP est ensuite encapsulé avec un en-tête UDP
qui sera à son tour encapsulé par un en-tête IP. Pour être envoyé sur une liaison WAN point à
point, telle qu’une ligne téléphonique analogique ou RNIS, le datagramme IP est encapsulé avec
et un code de fin PPP. Tout comme PPTP, L2TP utilise aussi 2 types de messages : message de

80
contrôle et message de données. Les messages de données sont employés pour l’encapsulation des
trames PPP dans le tunnel tandis que les messages de contrôle utilisent un canal fiable pour en
garantir la livraison.

A2.3 Sécurité VPN L2TP

L’authentification de l’utilisateur se fait grâce aux protocoles d’authentification d’utilisateurs


PPP tels qu’EAP, MS-CHAP, CHAP, SPAP et PAP. L2TP procure également un moyen
d’authentifier les points finaux d’un tunnel L2TP durant le processus d’établissement du tunnel,
intitulé authentification de tunnel L2TP.

81
ANNEXE 3
IPSec

A3.1 Définition

IPSEC est un protocole de couche 3 du modèle OSI, tout comme IP. IPSec est conçu pour donner
une sécurité de haute qualité, basée sur la cryptographie, sans problème d'interopérabilité, pour
IPv4 et IPv6. L'ensemble des services de sécurité proposé inclut le contrôle d'accès, l'intégrité en
mode non connecté, l'authentification de l'origine des données, la protection contre le rejeu, la
confidentialité, et une certaine confidentialité sur le flux de trafic. Ces services sont offerts par IP
ou par d'autres protocoles de couches supérieures. Ces objectifs sont atteints par l'utilisation de
deux protocoles de sécurité de trafic, Authentication Header (AH) et Encapsulating Security
Payload (ESP), et par l'utilisation de procédures et de protocoles de gestion de clefs de
cryptographie. IPsec offre des services de sécurité au niveau de la couche IP en permettant au
système de choisir le protocole de sécurité dont il a besoin, de déterminer l'algorithme à utiliser
pour ce ou ces services, et de mettre en place les clefs de cryptographie nécessaire pour assurer
ces services. IPsec peut être utilisé pour protéger un ou plusieurs accès entre deux hôtes, entre
deux passerelles de sécurité, ou entre une passerelle de sécurité et un hôte. VPN IPSec a les
propriétés suivantes :
Les données transitant sont chiffrées (confidentialité) et protégées (intégrité)
Les deux extrémités sont authentifiées
Les adresses sources et destination sont chiffrées, avec IPSec
Ils peuvent présenter, suivant le protocole, des qualités anti-rejeux ou empêcher les
attaques type main-in-middle.

A3.2 VPN et IPSEC


Quand on choisit IPSec pour sécuriser les connexions à distance telle que les VPN, on peut
l’utiliser avec d’autres protocoles de tunnelisation. On peut avoir par exemple un VPN L2TP
IPSEC. Dans ce cas, le tunneling des données L2TP passe par plusieurs niveaux d’encapsulation.

82
Figure A3.04 : Données en tunnel L2TP sur IPSec

La charge utile PPP initiale est encapsulé avec un en-tête PPP et un en-tête L2TP. La paquet L2TP
encapsulé est ensuite encapsulé avec un en-tête UDP. En fonction de la stratégie IPSec, le message
UDP est crypté et encapsulé avec un en-tête et un code de fin IPSec ESP et un code de fin IPSec
Authentication. La paquet IPSec est encapsulé avec un en-tête IP final contenant les adresses IP
source et cible du client VPN et du serveur VPN. Enfin, pour être envoyé sur une liaison WAN, la
datagramme IP est encapsulé avec un en-tête et un code de fin PPP.

A3.6 Sécurité VPN L2TP IPSec

L’authentification du client VPN se produit à deux niveaux différents : l’ordinateur est


authentifié puis l’utilisateur.

a) Authentification de l’ordinateur
L'authentification mutuelle d'ordinateurs du client VPN et du serveur VPN s'exécute lorsque
s’établit une association de sécurité IPSec ESP par le biais de l'échange de certificats
d'ordinateurs. La négociation IPSec Phase I et Phase II se produit et une association de sécurité
s'établit avec un accord défini sur un algorithme de cryptage, un algorithme de hachage et des
clés de cryptage.

b) Authentification de l’utilisateur
L'utilisateur qui tente une connexion L2TP est authentifié grâce aux protocoles d'authentification
d'utilisateurs PPP tels que EAP, MS-CHAP, CHAP, SPAP et PAP.

83
ANNEXE 4
EXTRAIT CONFIGURATION VPN-MPLS GNS3

A4.1 Configuration des interfaces sur chaque routeur

Voici un extrait de configuration pour PE1.

En
Conf t
Hostn PE1
interface loopback 0
ip address 10.0.1.1 255.255.255.255
interface F0/0
ip address 10.0.10.1 255.255.255.0
no shutdown
interface fastethernet 0/1
ip address 172.16.100.254 255.255.255.0
no shutdown

A4.2 Routage interne FAI

On va maintenant configurer le routage interne du fournisseur, car BGP est un protocole EGP
(Exterior Gateway Protocol), et son but n’est pas le routage au sein de l’AS mais entre les AS. Ses
neighbors ne seront pas forcément dans les mêmes sous réseaux, et il faut donc qu’ils puissent
communiquer, ce qui implique une table de routage valide pour chaque routeur.
Pour aller plus vite on agrégera les différents réseaux de chaque routeur.
Ceci s’applique pour les routeurs Core, PE1 et PE2

router ospf 1
network 10.0.0.0 0.255.255.255 area 0

A4.3 Configuration MPLS

On active ici uniquement le LDP sur les interfaces qui auront à faire du label switching
(généralement les interfaces qui sont dans le nuage MPLS).

mpls ldp advertise-labels


mpls ldp router-id loopback0 force
interface f0/0
mpls ip

84
A4.4 Configuration des VRF

Nous créons une table de routage virtuelle (VRF) pour le client. À l’intérieur de la configuration
de la VRF, nous désignons de RD des futures routes de cette VRF ainsi que le RT (Route Target)
dans les deux sens (import et export).

ip vrf vrf_client
rd 65000:123
route-target both 65000:123

A4.5 Configuration EIGRP


Dans un premier temps, la configuration dédiée aux CE est très simple, du fait que le CE n’a
aucune notion de MPLS, il va juste établir une adjacence avec le PE auquel il est relié et partager
ses routes avec celui-ci.

router eigrp 65000


no auto-summary
network 172.16.0.0
network 192.168.2.0

85
BIBLIOGRAPHIE

[1] J. Randriamihajarison, « Réseaux TCP/IP », Cours L2– TCO, Dép. TCO. - E.S.P.A., A.U. :
2014-2015.

[2] A. Ratsimbazafy, « Téléinformatique et Télématique », Cours L3– TCO, Dép. TCO. - E.S.P.A.,
A.U. : 2015-2016.

[3] J. Randriamihajarison, « Initiation en Réseau Informatique », Cours L1– TCO, Dép. TCO. -
E.S.P.A., A.U. : 2013-2014.

[4] A. Ratsimbazafy, « WLAN », Cours L3– TCO, Dép. TCO. - E.S.P.A., A.U. : 2015-2016.

[5] A. Ratsimbazafy, « Initiation Réseaux TCP/IP », Cours L1– TCO, Dép. TCO. - E.S.P.A., A.U.
: 2013-2014.

[6] J.F. Rasolomanana, « Technique de ROUTAGE », Cours L3– TCO, Dép. TCO. - E.S.P.A.,
A.U. : 2015-2016.

[7] M. Baptiste, F.Vincent , « Technologies, Etat de l’Art, Avantages du VPN BGP », 2008.

[8] M. Guillaume, A. Geoffrey, « QoS dans MPLS », Université de technologie de Troyes,


Automne 2010.

[9] « Etude du protocole DiffServ », http://www.guill.net/index.php?cat=3&pro=3&wan=6,


fevrier 2014.

[10] B. Lisan, « Cloud Computing généralités et enjeu », 20 Mars 2015.

[11] UIT-T Recommendation E.800, « Terms and definitions related to quality of service
and network performance including dependability », August 1994.

[12] D. Gauchard, « Simulation hybride des réseaux IP-DiffServ-MPLS multi-services sur environnement
d’exécution distribuée », 2003.

86
[13] I. Pepelnjak, J. Guichaud, « Architecture MPLS et VPN », CampusPress, 2001.

[14] B.Sonntag, J.Steinberg et T.Speed, SSL VPN : « Accès Web et Extranets sécurisés », Eyrolles,
2006.

[15] J.Regis, « Broadband Telecommunications Handbook ».

[16] G. Pujolle, « Les Réseaux », Eyrolles, 2000.

[17] Y. Teng, « MPLS Introduction », Dept. Of Computer Science,UMBC.

[18] L.D Ghein , «MPLS Fundamentals», CCIE No. 1897, Cisco Press 800 East 96th Street
Indianapolis, IN 46240 USA.

[19] B. Benduduh J.M. Fourcade, « Mpls », www.frameip.com/mpls/, février 2017.

[20] B. Davenel, « Les VPN MPLS », Université Paris-Est Marne la Vallée, Ingénieurs 2000.

[21] A. Amine, « Mise en œuvre d’un cœur de réseau IP/MPLS », Université de Bechar, 2011.

[22] F. Nolot, « Introduction à MPLS », Université de Reims Champagne – Ardenne, 2009.

[23] C. Fillot, « Implémentation MPLS avec Cisco », février 2001.

87
FICHE DE RENSEIGNEMENTS

Nom : RAHANTANIRINA
Prénoms : Odile Samoella
Adresse : LOT VT CUA Ampahateza – Ambohipo TANA 101
E-mail : [email protected]
Téléphone : +261 34 51 459 97
Titre du mémoire :

PERFORMANCE
VPN-MPLS
Nombres de pages : 103
Nombres de tableaux : 7
Nombre de figures : 46

Directeur de mémoire :
Nom et prénoms : RANDRIAMITANTSOA Andry Auguste
E-mail : [email protected]
Téléphone : +261330744666
RESUME

Dans cet ouvrage, nous avons parlé du VPN-MPLS et le simuler sous GNS3. Le succès de MPLS
est sans doute le résultat du réseau qui est intègre les différents types de traffic de haut de gamme
comme le VOIP, le vidéo-conférence dans la couche 2.MPLS fusionne les réseaux Frame Relay
et le VOIP en une infrastructure ce qui implique un énorme avantage au niveau du prix et aussi au
niveau de qualité. Le couple MPLS-VPN est le plus populaire et le plus répandu par
l’implémentation de la technologie MPLS. Il est la solution le plus mature et le plus stable au
niveau du réseau en offrant plusieurs nouvelles caractéristiques.

Mots clés : VPN, MPLS, QoS, Label, Traffic engineering

ABSTRACT

In this project, we have talked about VPN-MPLS using the simulator GNS3. The success of MPLS
is undoubtedly a result of the fact that it enables the network to carry all kinds of traffic, ranging
from IP traffic to Voice over IP (VoIP) traffic to Layer 2 traffic. MPLS can consolidate the ATM,
Frame Relay, Voice, and IP networks into one unified network infrastructure, thereby generating a
huge cost advantage. The couple MPLS VPN, or MPLS Virtual Private Networks, is the most
popular and widespread implementation of MPLS technology. MPLS has matured among the and
is a stable technology, seeing many new features.

Keywords : VPN, MPLS, QoS, Label, Traffic engineering

Vous aimerez peut-être aussi