REPUBLIQUE TUNISIENNEMINISTERE DE L’ENSEIGNENMENT SUPERIEUR ET DE LA RECHERCHE SCIENTIFIQUE Ecole Supérieure Privée des Technologies de l’Information et de Management de l’Entreprise Agrément n° 1/2002 TIME Private Higher School Projet de Fin d’Année –PFARéseaux Informatiques et Télécoms (RT4-B) Mise en place d’une architecture VPN/MPLS Encadré par : Réalisé par : - M. HAMDI Mohammed Ali -MhimdiWafa Année universitaire : 2015/2016 Dédicaces Je dédie ce travail: A mes chers parents pour leur amour, sacrifice et soutiens. A mes enseignants pour leurs efforts remarquables A m promotionnels de la RT4 A ceux à qui je dois reconnaissance Qu’ils trouvent tous ici mes sincères gratitudes et reconnaissances Remerciements Avant d’entamer le vif de mon travail, il m’est tellement agréable de présenter mes sincères remerciementsà mes enseignants de TIME Université. Je tiens également à exprimer ma reconnaissance à mon rofesseur encadrant Mr. HAMDI Med Ali qui m’a beaucoup encouragé,pour son aide et orientation durant la période du projet, il a engagé son temps et ses conseils pour me venir en aide. Enfin, ma profonde gratitude et mon respect à toute personne qui a contribuéede près ou de loin à l’élaboration de ce travail. Il attribue et supprime le label du paquet. Constraint-BasedRouting : Protocoles et procédures qui déterminent la route à prendre à travers le backbone selon les ressources nécessaires pour aboutir à la destination. BGP/MPLS/VPN : Solution VPN qui utilise les protocoles MPLS et BGP pour relier des sites distants.Liste des définitions Adresse MAC : Adresse matérielle d'un périphérique raccordé à un support de réseau partagé. IEEE (The Institute of Electrical and ElectronicsEngineers): Institut indépendant qui développe des normes de mise en réseau ISP (fournisseur de services Internet) : Société qui procure un accès à Internet. .. LDP : Label Distribution Protocol. il est utilisé pour distribuer les labels aux routeurs «LSR». Label Edge Router (LER) : C'est le routeur d'extrémité du réseau MPLS. LAN (réseau local) : Ordinateurs et produits de mise en réseau qui constituent le réseau à votre domicile ou votre bureau. Label Switching Router (LSR) : C'est un routeur de couche 3 qui transfert les paquets basés sur la valeur du label. d'affecter des adresses IP temporaires à d'autres périphériques réseau. Label-SwitchedPath (LSP) : C'est la séquence de sauts pour qu'un paquet parte de la source à la destination à travers les routeurs via le mécanisme de Label Switching. Ce chemin peut être géré dynamiquement ou de manière manuelle. Label Switch : C'est le fait de router des données par le biais de la permutation de labels. Label : C'est un identifiant ajouté par les routeurs du réseau MPLS afin de diriger le paquet à travers le réseau Label Disposition : C'est le fait de modifier le label inscrit sur l'en-tête du paquet. le serveur DHCP. Protocole de passage d'un réseau autonome à un autre réseau autonome. Il permet d'apporter des ressources particulières au réseau selon la classe ou le groupe duquel appartient le paquet. CoS : CoS est un des services de QoS. généralement des ordinateurs. ATM : Mode de transfert Asynchrone BGP : Border Gateway Protocol. DHCP (Dynamic Host Configuration Protocol) : Protocole qui permet à un périphérique d'un réseau local. . TCP/IP (Transmission Control Protocol/Internet Protocol) : Protocole réseau de transmission de données qui exige un accusé de réception du destinataire des données envoyées. NAT (traduction d'adresses réseau) : La technologie NAT traduit des adresses IP du réseau local en adresses IP différentes pour Internet PoE (Power over Ethernet) : Technologie permettant à un câble réseau Ethernet de fournir des données et l'alimentation électrique.LIB : Label Information Base. TLS (Transport Layer Security) : Protocole qui garantie la protection des informations confidentielles et l'intégrité des données entre les applications client/serveur qui communiquent sur Internet. C'est un tableau contenant les labels utilisé par le «LSR» et contenant également les labels des «LSR» voisins. Liste des acronymes ATM : Asynchronoustransfer mode CE Customer Edge router CEFCisco Express Forwarding EIGRPEnhanced Interior Gateway Routing Protocol ELSR Edge Label Switching Router # PE Provider Edge router FRFrame Relay FECForwarding Equivalency Class IDS Intrusion Detection Systems IETFInternet Engineering Task Force IGP Interior Gateway Protocol IPInternet Protocol IPSec Internet Protocol Security IS-IS Intermediate System – Intermediate System LDPLabel Distribution Protocol LSPLabel Switching Path LSRLabel Switching Router # P Provider Router LIB Label Information Base LFIB Label Forwarding Information Base L2F Layer Two Forwarding L2TPLayer Two Tunneling Protocol MPLSMultiprotocol Label Switching OSI Open Systems Interconnection OSPFOpen Shortest Path First PPPPoint to Point Protocol PPTP Point-to-Point Tunneling Protocol QoS Quality of Service RDRoute Distinguishers RIPRouting Information Protocol RTRoute Targets RSVP Resource reSerVation Protocol SDH Synchronous Digital Hierarchy SSL Secure Socket Layer . TCP/IP Transmission Control Protocol/Internet Protocol VPNVirtual private Network VRFVPN Routing and Forwarding . .................................................................38 Figure 20 table de transmission MPLS...................40 Figure 24 : Vérification de BGP............................ 28 Figure 12 : Backbone MPLS........................................................................................................................ 17 Figure 7 : VPN maillé........................................36 Figure 15 Assignation d’un loopback........................................................................... 34 Figure 14 Assignation d’adresse IP par interface..................................................................................... 18 Figure 8 Le protocole Pptp..................................43 1 Table des matières .........................................................................................................................................................37 Figure 17 Activation de MPLS.......................... 16 Figure 4 l’intranet VPN............. 39 Figure 23 : Configuration de BGP.....16 Figure 3 :VPN accés.................................................... 15 Figure 2 : Schéma générique de Tunnelisation............................................................................................................ 20 Figure 10 : les composantes de VPN MPLS............................ 29 Figure 13:Maquette.................................................................................................................................................................................................................................................................................................... 39 Figure 22 Table LIB......... 17 Figure 6 VPN en etoile.................................................................................39 Figure 21 Table LFIB.............................................................................................................................................................................. 38 Figure 18 Vérification du bon déroulement de MPLS..........................................................................37 Figure 16 Configuration du protocole OSPF..................................................................Liste des figures Figure 1 : Réseau virtuel VPN..........................................................27 Figure 11 : Table de routage......................................................................................................... 16 Figure 5 : L’extanet VPN.........................................................................................................38 Figure 19 Vérification de protocole LDP.................................................. 40 Figure 25 : vérification de BGP. 19 Figure 9 :Le protocole L2tp...................................................................................................................................................... 42 Figure 26: les machines virtuelles................... Ensuite.Introduction générale Au début de l'Internet. des mécanismes inhérents à TCP ont été développés pour faire face aux conséquences . la préoccupation majeure était de transmettre les paquets à leur destination. C’est pourquoi. avoir à gérer un seul réseau est très important pour un opérateur vu que ça lui permet de réduire ses coûts. ainsi qu’un rappel sur la qualité de service fournie par ATM. MPLS remédie à ce problème en mettant en œuvre des mécanismes permettant de faire passer du trafic haute exigence. globalisation et stabilité du réseau. MPLS fait également partie d’un mouvement d’ensemble vers les NGN (NextGeneration Networks) dont le but est de réaliser la convergence voix/données dans une perspective générale de "tout IP" (EoIP : Everything over IP). radio et télévision en direct… L’émergence des réseaux privés virtuels (VPN). encore largement utilisée en téléphonie. ce qui constitue un gain économique pour les opérateurs et les fournisseurs de services. par la définition de différentes classes de service. Mais depuis le début des années 1990. niveau de service "best-effort") ne permet pas d'offrir une qualité de service constante. La méthode utilisée jusque-là. diffusion audio et vidéo. Ainsi de nouvelles applications se développent sur le réseau : téléphonie. En effet ATM a été spécifiquement conçu pour proposer une intégration de services. il semble naturel d’envisager les solutions d’implémentation d’un réseau IP offrant une gestion de la qualité de service sur ATM. consistant à fournir des réseaux surdimensionnés ne peut plus s'appliquer indéfiniment. apparaît une très forte diversification des services offerts.induites par les pertes de paquets ou la congestion du réseau. et dans une moindre mesure dans les réseaux d’entreprises. Chapitre 1 : . essentielle au succès de ces applications. puisque c'est une technique à ressources dédiées. ensuite détaillera les fonctionnalités du protocole de routage MPLS et son utilité dans la mise en place des réseaux VPN et enfin nous expliquerons comment un client VPN distant peut …. La qualité de service de bout-en ¬bout apparaît. Ce type de commutation présente l'inconvénient de générer un gaspillage évident de ressources. Le réseau sera alors utilisé d'une façon plus optimale. D'autant plus que migrer vers les réseaux MPLS n'est pas très coûteux puisqu'il existe des solutions qui n'exigent pas de changer tous les équipements : on peut juste patcher les routeurs déjà installés. dans un réseau à ressources partagées. De plus. Dans la mesure où la technologie ATM a été largement déployée dans les réseaux d’opérateurs. C'est pourquoi. • Multi Protocol Label Switching (MPLS) sur ATM. On peut ainsi passer outre la technique de commutation de circuit et utiliser la commutation de paquet/label. les constructeurs et les fournisseurs de services concentrent depuis quelques années leurs efforts sur la définition et l'implémentation de ce concept dans les réseaux IP. nous envisagerons successivement différentes solutions d’implémentation de la QoS(Quality of Service ) IP sur un réseau ATM. sans pour autant dégrader sa qualité. la communauté des fournisseurs de service (ISPs) qui administrent l'Internet est confrontée non seulement au problème de croissance explosive mais aussi à des aspects de politique. • Differentiated Services (DiffServ) surATM . après une présentation succincte de ce qu’est la qualité de service en général. solutions qui ont en particulier fait l’objet de travaux au sein des groupes de travail de l’IETF et de l’ATM forum : • Integrated Services (IntServ) surATM . la nature intrinsèque de l'Internet (mode sans connexion. Ce document de façon non exhaustive présentera d'abord le concept et l'architecture des VPN. MPLS a réussi à conjuguer la simplicité de IP avec l'efficacité d'ATM dans la gestion du multiservice. tel que la voix. nécessite également une différentiation de services. outre ces différents aspects. C'est là que MPLS s'est imposé comme une solution leader. jeux en réseau. MPLS constitue aussi une alternative à la commutation de circuit. De plus. les architectes du réseau. dans ce contexte. Par ailleurs. ni de donner des priorités à certains types de trafic. vidéoconférence. Généralités sur les VPN Définitions Mode de fonctionnement de VPN Les types d’utilisation de VPN Protocoles utilisés Chapitre 1 :Généralités sur les VPN . Ainsi il n'est pas impossible que sur le chemin parcouru.. Pour garantir cette confidentialité. Définitions 1. les réseaux privés entreposent souvent des données confidentielles à l'intérieur de l'entreprise. des clients ou même des personnels géographiquement éloignés via internet. En d'autres termes. et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données.. 3. c'est-àdire que les liaisons entre machines appartiennent à l'organisation. etc. Réseau privé virtuel L'acronyme VPN correspond à Virtual Private Network. tels qu'Internet. il est parfois nécessaire d'utiliser Internet comme support de transmission. un réseau privé virtuel est l'extension d'un réseau privé qui englobe les liaisons sur des réseaux partagés ou publics. si ce n'est la mise en oeuvre des équipements terminaux. Il permet d'échanger des données entre deux ordinateurs sur un réseau partagé ou public. Il n'est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation ou l'entreprise. Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole d'encapsulation" (en anglais tunneling. Cette liaison autorise la transmission de données cryptées par le biais d'un réseau non sécurisé. acronyme de Virtual Private Network) pour désigner le réseau ainsi artificiellement créé. En général. Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût. cela correspond à une liaison permanente. . d'où l'utilisation impropre parfois du terme "tunnellisation"). L'inverse n'étant pas forcément vrai. Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée. Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non fiable (Internet). le réseau soit écouté par un utilisateur indiscret ou même détourné. serveurs de partage de données. Concept de VPN Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une organisation. On appelle alors ces réseaux privés « intranet ». On parle alors de réseau privé virtuel (noté RPV ou VPN. En contrepartie il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est à)public et donc non garanti. selon un mode qui émule une liaison privée point à point. distante et sécurisée entre deux sites d'une organisation. c'est-à-dire encapsulant les données à transmettre de façon chiffrée. Pour autant. ce qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents opérateurs. Il arrive ainsi que des entreprises éprouvent le besoin de communiquer avec des filiales.I. Dans les faits. Y sont stockés des serveurs propres à l'entreprise en l'occurrence des portails. pour des raisons d'interopérabilité. La première solution pour répondre à ce besoin de communication sécurisé consiste à relier les réseaux distants à l'aide de liaisons spécialisées. c'est-à-dire un réseau privé virtuel. Ces réseaux sont de plus en plus souvent reliés à Internet par l'intermédiaire d' équipements d'interconnexion. le réseau privé est coupé logiquement du réseau internet. De plus en plus. Réseau privé Couramment utilisés dans les entreprises. les machines se trouvant à l'extérieur du réseau privé ne peuvent accéder à celui-ci. on y utilise les mêmes protocoles que ceux utilisés dans l'Internet. . les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu'elles circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas défini à l'avance. comme Internet. L'utilisateur au sein d'un réseau privé pourra accéder au réseau internet 2. Une fois le serveur et le client identifiés. On emploi le terme « tunnel » pour symboliser le fait que les données soient cryptées et de ce fait incompréhensible pour tous les autres utilisateurs du réseau public (ceux qui ne se trouvent pas aux extrémités du VPN). on appelle client VPN (Clientd’Accès Distant) l’élément qui chiffre et déchiffre les données du côté client et serveur VPN(Serveur d’Accès Distant) l’élément qui chiffre et déchiffre les données du côté du serveur (dans notre cas. les données sont ensuite décryptées par le client etl’utilisateur a accès aux données souhaitées Figure 2 : Schéma générique de Tunnelisation1 III.Figure 1 :Réseau virtuel VPN II. le serveur crypte les données et les achemine enempruntant le passage sécurisé (le tunnel). Lorsqu’un utilisateur veut accéder aux données sur le VPN. c’est l’entreprise). 1 Types d’utilisation de VPN . Mode de fonctionnement d’un VPN Le VPN repose sur un protocole de tunnellisation (tunneling). c'est-à-dire un protocole qui permet le passage de données cryptées d'une extrémité du VPN à l'autre grâce à des algorithmes. Ce type de réseauest particulièrement utile au sein d'une entreprise possédant plusieurs sites DISTANTS Figure 4 l’intranet VPN3 3. VPN intranet L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Le VPN d’accés Le VPN d'accès est utilisé pour permettre à des utilisateurs d'accéder au réseauprivé de leur entreprise. VPN extranet Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. il est fondamental quel'administrateur du VPN puisse tracer les clients sur le réseau et gérer les droits de chacun sur celui-ci 2 3 .1. Dans Ce cadre. L'utilisateur se sert de sa connexion Internet pour établir la connexion VPNOn a deux cas : L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée versle serveur distant : il communique avec le NAS (Network Access Server) dufournisseur d'accès et c'est le NAS qui établit la connexion cryptée. L’utilisateur possède son propre logiciel client pour le VPN auquel cas il établitdirectement la communication de manière cryptée vers le réseau de l’entreprise Figure 3 :VPNaccés2 2.Elle ouvre alors son réseau local à ces derniers. 4 5 . VPN maillé Dans cette autre topologie les routeurs ou passerelles présents aux extrémités de chaque site seront considérés comme des serveurs d'accès distant. dans ce cas de figure tous les employés du réseau s'identifient ou s'authentifient au niveau du serveur et pourront ainsi accéder aux ressources qui se situent sur l'intranet. les ressources ici sont décentralisées sur chacun des sites autrement dit les employés pourront accéder aux informations présents sur tous les réseaux. avec un protocole d'encapsulation et un protocole d'authentification. VPN en etoile Dans cette topologie toutes les ressources sont centralisées au même endroit et c'est à ce niveau qu'on retrouve le serveur d`accès distant ou serveur VPN.Figure 5 : L’extanet VPN4 IV. on retrouve des réseaux privés virtuels en étoile. Topologie VPN Les VPN s'appuient principalement sur Internet comme support de transmission. Figure 6 VPN en etoile5 2. au niveau des topologies 9(*). maillé ou partiellement maillé. 1. L2tp est une évolution de Pptp et de L2F. Protocoles utilisés pour réaliser une connexion Vpn Nous pouvons classer les protocoles que nous allons étudier en deux catégories: Les protocoles de niveau 2 comme Pptp et L2tp. a révélé publiquement des failles importantes. L'authentification se fait grâce au protocole Ms-Chap de Microsoft qui. Microsoft a implémenté ses propres algorithmes afin de l'intégrer dans ses versions de windows. Nous n'évoquerons dans cette étude que Pptp et L2tp : le protocole L2F ayant aujourd'hui quasiment disparut. reprenant les avantages des deux protocoles. Pptp est une solution très employée dans les produits Vpn commerciaux à cause de son intégration au sein des systèmes d'exploitation Windows. après la cryptanalyse de sa version 1. L2F (développé par CISCO) et enfin L2tp.Figure 7 : VPN maillé6 V. Le protocole Pptp aurait sans doute lui aussi disparut sans le soutien de Microsoft qui continue à l'intégrer à ses systèmes d'exploitation Windows. Les protocoles de couche 2 dépendent des fonctionnalités spécifiées pour Ppp (Point to Point Protocol). c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de Ce protocole. Il existe en réalité trois protocoles de niveau 2 permettant de réaliser des Vpn : Pptp (de Microsoft). est un protocole qui utilise une connexion Ppp à travers un réseau Ip en créant un réseau privé virtuel (VPN). Ainsi. Les protocoles de niveau 3 comme Ipsec ou Mpls. Pptp est un protocole de niveau 2 qui permet l'encryptage des données ainsi que leur compression. (a)Le protocole Pptp Pptp. Microsoft a corrigé ces défaillances et propose aujourd'hui une version 2 de 6 . passe par la connexion virtuelle de Pptp. alors que le trafic conçu pour le réseau privé distant. Ainsi. C'est cette deuxième connexion qui forme le tunnel Pptp. mais les protocoles suivants permettent un niveau de performance et de fiabilité bien meilleur. (c) Le protocole L2tp L2tp. Lorsqu'il est configuré pour transporter les données sur IP. Il est actuellement développé et évalué conjointement par Cisco Systems. Pour l'encryptage des données. On retrouve évidement les protocoles développés par Microsoft et cités précédemment. est issu de la convergence des protocoles Pptp et L2F. une connexion de contrôle entre le client et le serveur ainsi que par la clôture du tunnel par le serveur.Ms-Chap plus sûre. le client effectue d'abord une connexion avec son fournisseur d'accès Internet. pour le processus d'identification. une deuxième connexion dial-up est établie. L2tp repose sur deux concepts : les concentrateurs d'accès L2tp (Lac : L2tp Access Concentrator) et les serveurs réseau L2tp (Lns : L2tp Network Server). L2tp peut être utilisé pour faire du tunnelling sur Internet. Enfin. Le tunnel Pptp se caractérise par une initialisation du client. L2tp n'intègre pas directement de . Elle permet d'encapsuler les paquets Ppp dans des datagrammes IP. La partie chiffrement des données s'effectue grâce au protocole Mppe (Microsoft Point-to-Point Encryption). 3Com ainsi que d'autres acteurs clés du marché des réseaux. (b) Figure 8Le protocole Pptp Plusieurs protocoles peuvent être associés à Pptp afin de sécuriser les données ou de les compresser. Ascend. Pptp crée ainsi un tunnel de niveau 3 défini par le protocole Gre (GenericRouting Encapsulation). Lors de l'établissement de la connexion. Microsoft. Ces divers protocoles permettent de réaliser une connexion Vpn complète. une compression de bout en bout peut être réalisée par Mppc (Microsoft Point to Point Compression). Le principe du protocole Pptp est de créer des paquets sous le protocole Ppp et de les encapsuler dans des datagrammes IP. Tout trafic client conçu pour Internet emprunte la connexion physique normale. Cette première connexion établie une connexion de type Ppp et permet de faire circuler des données sur Internet. Il permet l'encapsulation des paquets Ppp au niveau des couches 2 (Frame Relay et Atm) et 3 (Ip). il est possible d'utiliser les fonctions de Mppe (Microsoft Point to Point Encryption). il est possible d'utiliser les protocoles Pap (Password Authentification Protocol) ou MsChap. Par la suite. Le premier. soit les deux sites distants étaient reliés par une ligne spécialisée permettant de réaliser un WAN entre les deux sites soient les deux réseaux communiquaient par le RTC. Une des 7 . Il ne fournit par contre aucune confidentialité : les données fournies et transmises par Ce "protocole" ne sont pas encodées. il est apparu intéressant de développer des techniques de protection des données communes à Ipv4 et Ipv6. AH. est un protocole qui vise à sécuriser l'échange de données au niveau de la couche réseau. nous allons exposer les différents éléments utilisés dans Ipsec. Ipsec est basé sur deux mécanismes. pour Encapsulating Security Payload peut aussi permettre l'authentification des données mais est principalement utilisé pour le cryptage des informations. Avant de décrire ces différents protocoles. Le réseau Ipv4 étant largement déployé et la migration vers Ipv6 étant inévitable. Figure 9 :Le protocole L2tp7 (d) Le protocole Ipsec Ipsec. pour Authentification Header vise à assurer l'intégrité et l'authenticité des datagrammes IP. Le second. Esp. Ces mécanismes sont couramment désignés par le terme Ipsec pour Ip Security Protocols. il n’y avait que deux solutions. Enfin. Bien qu'indépendants ces deux mécanismes sont presque toujours utilisés conjointement. C'est pourquoi L'IETF préconise l'utilisation conjointe d'Ipsec et L2tp.protocole pour le chiffrement des données. mais néanmoins longue. le protocole Ike permet de gérer les échanges ou les associations entre protocoles de sécurité. Conclusion Au paravent pour interconnecter deux LANs distants. La qualité de service (QoS) est une fonctionnalité importante des VPN. Bien que les VPN nécessitent l’acquisition de produits matériels et logiciels supplémentaires. Cette solution est particulièrement intéressante pour connecter de façon sécurisée et les VPN peuvent être utilisé pour l’échange de données confidentielles. La principale raison pour implémenter un VPN est l’économie supposée par rapport à tout autre type de connexion. Il utilise la connexion avec son fournisseur d’accès pour se connecter à Internet et grâce aux VPN. il crée un réseau privé virtuel entre l’appelant et le serveur de VPN. . Ainsi la sécurité des échanges est assurée à plusieurs niveaux et par différentes fonctions comme le cryptage des données. l’authentification des deux extrémités communicantes et le contrôle d’accès des utilisateurs aux ressources. Ces VPN n’ont pas comme seul intérêt l’extension des WAN à moindre coût mais aussi l’utilisation de services ou fonctions spécifiques assurant la QoS.premières applications des VPN est de permettre à un hôte distant d’accéder à l’intranet de son entreprise ou à celui d’un client grâce à Internet tout en garantissant la sécurité des échanges. le coût à terme de ce genre de communication est moindre. apportent une solution aux problèmes déjà décrites précédemment. En termes de sécurité Les VPN. en unifiant les technologies d’accès et sécurisant les données. La technologie VPN procure de même la sécurité lors des connexions d’utilisateurs distants au réseau interne. Chapitre 2 : Les réseaux MPLS Présentation de MPLS VPN/MPLS Qualité de service Chapitre 2 : Les réseaux MPLS Introduction . indépendante des technologies utilisées est possible grâce à l'insertion dans les unités de données (cellules ou paquets) d'un label. Cette commutation. Nous étudierons également les classes de services CoS (Class of Service) et comment chacun des routeurs classe les paquets IP par type d’acheminement dans des FEC (Forwarding Equivalent Class). Le plan des données permet de transmettre des paquets de données en fonction des labels que ceux-ci transportent en se basant sur une base de données de transmission de labels maintenue par un commutateur de labels. Avec l’IP classique. le transport des données au sein d'une architecture MPLS peut être par exemple effectué à l'aide de paquets ou de cellules à travers des réseaux Frame Relay ou des réseaux ATM. 1. la QoS offerte étant corrélée au chemin suivi. Objectifs de MPLS Les objectifs de MPLS sont d’offrir de la QoS . Présentation de la technologie MPLS L'architecture MPLS repose sur des mécanismes de commutation de labels associant la couche 2 du modèle OSI (commutation) avec la couche 3 du modèle OSI (routage). si bien que certains chemins entre routeurs IP ne sont jamais empruntés. chaque nœud MPLS est un routeur IP qui doit par conséquent utiliser des protocoles de routage IP afin d'échanger ses tables de routage IP avec les routeurs voisins.Actuellement. MPLS quant à lui repose sur deux composants distincts pour prendre ses décisions : le plan de contrôle (control plane) et le plan des données. Cependant. L'originalité de MPLS par rapport aux technologies WAN déjà existantes est la possibilité pour un paquet de transporter une pile de labels et la manière dont ceux-ci sont attribués. Enfin. Le plan de contrôle quant à lui créé et maintient les informations de transmission des labels destinées à des groupes de commutateurs de labels. En effet. Les réseaux actuels utilisent l'analyse des en-têtes de couche 3 du modèle OSI pour prendre des décisions sur la transmission des paquets. L'implémentation des piles de labels permet une meilleure gestion de l'ingénierie de trafic et des VPN notamment en offrant la possibilité de rediriger rapidement un paquet vers un autre chemin lorsqu'une liaison est défaillante.De plus. I. le calcul d’une route optimale est assuré par l’algorithme de l’arbre de plus court chemin SPT (ShortestPathTree). dopée de nouvelles fonctionnalités. la commutation réalisée au niveau de la couche 2 est indépendante de la technologie utilisée. la méthode de routage utilisée est un routage unicast saut par saut basé sur la destination. Ce sont ces chemins que MPLS utilisera pour offrir de la QoS. Du point de vue du plan de contrôle. destinée à résoudre la majeure partie des problèmes rencontrés dans les infrastructures IP actuelles et à en étendre les fonctionnalités. Nous verrons dans les paragraphes suivants comment MPLS offre des services différenciés lorsque les routeurs d’extrémité utilisent le mécanisme de commutation d’étiquettes pour acheminer les paquets. la flexibilité de ce type de routage est affectée par certaines restrictions dues à l'utilisation de cette méthode. Dans l’architecture en couches IP sur ATM. c’est-à-dire d’autoriser de nouvelles routes à certains paquets IP par rapport à la route par défaut. pour transmettre des paquets IP (Internet Protocol) d'une adresse source vers une adresse de destination sur un réseau. offre des services intelligents. Ce petit label de taille fixe indique à chaque noeud MPLS la manière dont ils doivent traiter et transmettre les données. C'est pourquoi l'IETF décida de mettre au point un ensemble de protocoles pour former un nouveau type d'architecture réseau appelée MPLS (MultiProtocol Label Switching). nous verrons comment les liens sont réservés par le Traffic Engineering . la couche ATM assure l’acheminement des cellules et la couche IP. Notons que les objectifs de MPLS peuvent se résumer à : •Augmenter les performances et la « scalability » (économie d’échelle) du réseau ATM.1. La dernière partie sera consacrée sur la gestion de QoS qui nous garantit de bonnes performances aux applications dans le réseau. on va définir la notion d’ingénierie du trafic. Le protocole de routage interne (IGP) doit être un protocole à état de liens. 2. en particulier ceux des opérateurs. disposent de liens de secours en cas de panne. car n’étant pas sélectionnés comme chemins optimaux par l’IGP. En effet. qui permettent de réaliser des tunnels assurant le transport des données utilisateur. Les fonctions de MPLS Dans cette section. il est assez difficile d’obtenir une répartition du trafic sur ces liens qui ne sont traditionnellement pas utilisés. Dans la troisième partie on va présenter les VPNs comme système de sécurité pour un réseau MPLS. Les seuls protocoles supportant le TE sont donc OSPF et ISIS. •Supporter le multicast et la QoS. En deuxième lieu. 2. • Augmenter la flexibilité au niveau du routage. • Diminuer la taille des tables de routage. Le Trafic Engineering permet un meilleur emploi des liaisons.Label Distribution Protocol). Toutefois. Les fonctions avancées de MPLS Ingénierie de trafic La plupart des gros réseaux IP. indépendamment de l’IGP. • Etre indépendant des couches 2 et 3 (aspect multi-protocolaire). • Simplifier l’implémentation d’un acheminement des paquets IP basé sur la QoS. puisqu’il permet aux administrateurs réseau d’établir des tunnels LSP à travers le backbone MPLS. les routeurs doivent avoir la connaissance complète de la topologie du réseau.avec les protocoles RSVP et CR-LDP (ConstrainedRouting . • Simplifier le management. Les tunnels MPLS (appelés également Trunks) peuvent être créés en indiquant la liste des routeurs à emprunter (méthode explicite) ou bien en utilisant la notion d’affinité (méthode . on s’intéresse en premier lieu aux fonctions avancées dans les réseaux MPLS. pour déterminer le chemin à emprunter par un tunnel. en termes de disponibilité. Certes un surdimensionnement du réseau est beaucoup plus simple à mettre en place mais dans la plupart des cas coûteux. la QoS Qualité de Service est la capacité à véhiculer dans de bonnes conditions un type de trafic. si celui-ci a une priorité plus grande que les autres tunnels et que la bande passante totale utilisable pour le TE est insuffisante. Cela est d’autant plus vrai pour les réseaux d’opérateurs. chaque interface MPLS susceptible d’être un point de transit pour des tunnels MPLS dispose d’une notion de priorité. La notion d’affinité est simplement une valeur sur 32 bits spécifiée sur les interfaces des routeurs MPLS. taux de perte de paquets. où un très grand nombre de données transitent. alors un tunnel moins prioritaire sera fermé. Vers la sécurité sur MPLS . le délai (pour les applications interactives ou la téléphonie). Ce mode de fonctionnement est appelé préemption. comme la VoIP nécessitant d’avoir un faible délai.dynamique). La sélection du chemin s’effectue alors en indiquant (sur le routeur initiant le tunnel) une affinité et un masque.2 La gestion de QoS Dans le monde les télécommunications. De nos jours les applications sont de plus en plus gourmandes en ressources. La Qualité de Service dans les réseaux permet d’offrir aux utilisateurs des débits et des temps de réponse différenciés par application. Pour permettre une gestion plus souple du trafic. débit. opérateurs…) de s’engager formellement auprès de leurs clients sur les caractéristiques de transport des données applicatives sur leurs infrastructures IP. comme par exemple en bande passante avec la vidéo conférence ou pour le transfert de fichiers volumineux. la qualité pourra résider dans le débit (téléchargement ou diffusion vidéo). 2. définie sur 8 niveaux. Combiné à l’extension de certaines technologies. la disponibilité (accès à un service partagé) ou encore. délais de transmission. Son but est ainsi d’optimiser les ressources du réseau et de garantir de bonnes performances aux applications critiques. Elle permet ainsi aux fournisseurs de services (départements réseaux d’entreprises. Lors de l’établissement d’un nouveau tunnel. le taux de pertes de paquets (pertes sans influence pour de la voix ou de la vidéo. certains réseaux seraient incapables de supporter ce genre de trafic sans mécanisme de QoS. mais critiques pour le téléchargement). D’où la proposition de la mise en place de la QoS dans un réseau MPLS (réseau de plus en plus utilisé par les opérateurs). 3. c’est donc pour cette raison que la QoS devient indispensable. Selon le type de service envisagé. VPN/MPLS Les VPN/MPLS sont essentiellement implémentés chez les opérateurs afin defournir desservices à leurs clients. C'est-à-dire qu’il a l’impression d’être le seul à utiliser les ressources que l’opérateur lui met à disposition.L'arrivée de MPLS parmi les protocoles de communication a permis d'apporter la simplicité de la commutation dans les réseaux et aussi de proposer de nouvelles technologies comme l'ingénierie de trafic et les réseaux privés virtuels sur MPLS. il a l’impression de bénéficier d’un réseau qui lui est entièrementdédié. MPLS est devenu une technologie phare de demain alliant souplesse. Les opérateurs utilisent leur backbone sur MPLSpour créer desVPN.Du point de vue du client. les deux partiessont gagnantes car les clients ont un véritable service IP quileur offre des VPN fiables à des prix plus intéressants que s’ils devaient créer eux-mêmes leur VPN de couche 2. Pour créer des VPNs clients. Pour cela. il est donc nécessaire d’isoler les flux de chacun des clients. MPLS jouera un rôle important dans le routage. Ceci est dû à l’étanchéité des VPN/MPLS qui distingue bien les VPN dechaque client et tous ces mécanismes demeurent transparents pour les clients. la commutation et le transfert des paquets à travers les réseaux de nouvelles générations pour garantir les exigences des nouvelles applications et des nouveaux services des utilisateurs du réseau grâce à ses principaux avantages à savoir : Améliore l’efficacité du routage en particulier pour les grands réseaux Calcul unique au niveau de l’entrée du réseau Rapidité dans le cœur de réseau L’intelligence se trouve aux extrémités du réseau Donner aux routeurs IP une plus grande puissance de commutation Mais l’ouverture des systèmes réseaux au monde extérieur. Finalement. par conséquent le réseau MPLS des opérateurs se trouve partagé ou mutualisé avec d’autreclient. la décentralisation des traitements et des données ainsi que la multiplication des postes de travail accroissent les risques de dénaturation des systèmes et d’altération des données. le second label (intérieur) . Les opérateurs eux aussi réduisent leurs coûts du fait de la mutualisation deleurs équipements. évolutivité et performance pour un coût réduit. Grâce à ses mécanismes de commutation de labels avancés ainsi que par sa simplicité de mise en place sur des réseaux déjà existants. le label MPLS est constitué de non plus d’un label mais de 2 labels : le premier label (extérieur) identifie le chemin vers le LSR destination. Ce qui nous mène à trouver une résolution de sécurité pour protéger un réseau MPLS aux problèmes d’attaque. II. et change à chaque bond. PVC FR. …). Ce n’est qu’un changement de nom par rapport à la norme MPLS. . Le PE routeur (provider Edge Router) :routeur backbone de périphérie auquel sont connectés des CE. les fonctionnalités des routeurs sont totalement identiques. Le rôle de PE consiste à gérer les VPN en coopérant avec les autres PE et à commuter les trames avec les P.C’est au niveau de PE qu’est déclarée l’appartenance d’un CE à un VPN donné. les noms de LSR et E-LSR sont remplacés par routeurs PE et P.spécifie le VPN-ID attribué au VPN et n’est pas modifié entre le LSR source et le LSR destination.Il route le trafic entre le site client et le backbone IP. Le P équipement (Provider device) : routeur ou commutateur du cœur backbone chargé de la commutation des trames MPLS. C’est le LSR source qui applique ces 2 labels au paquet de data lorsqu’un VPN est utilisé : LABEL EXTÉRIEUR IDENTIFIE LA DESTINATION LABEL INTÉRIEUR IDENTIFIE LE VPN DATA (IP PAQUET) Chez certains opérateurs comme France Telecom. mais il est bon de le savoir car ces noms sont en général plus utilisés que ceux de la norme Les composants des VPNs MPLS sont : Le CE routeur (CustumerEdge Router) :routeur client connecté au backbone IP via un service d’accés (LS.ATM. une VRF (Virtual Routing and Forwarding Table) aussi appelé LIB (Label Information Base) dans la norme MPLS à chacune de ses interfaces utilisateur. Puis il annonce l’appartenance au VPN de ces réseaux IP ainsi que leur label local et leur PE de rattachement à l’ensemble des PE du backbone (Ce label local identifie le VPN auquel appartient le réseau IP). le protocole de routage dynamique e-BGP. Ceci afin de ne pas avoir à traiter de façon manuel un trop grand nombre de routes. Le PE de rattachement affecte un label local à chacun de ces réseaux IP et les stocke dans sa table de commutation. pour moins de 5 réseaux IP. Seuls les PE desservant des CE appartenant au même VPN captureront ces informations pour les stocker dans la VRF associée au VPN et pour mettre à jour leur table de commutation. Pour cela. RFC 2283). 8 . Pour indiquer les réseaux IP qu’il dessert. et pour plus de 6 réseaux IP. La VRF est une table de routage associée à un VPN qui donne les routes vers les réseaux IP faisant partie de ce VPN. Chaque PE associe. du routage statique. Figure 11 : Table de routage Chaque VRF est renseignée localement par le CE rattaché à l’interface de la VRF. le CE utilise. de manière statique. il transmet les informations pertinentes à l’ensemble des PE grâce au protocole MP-iBGP (Multi-Protocol BGP extension.Figure 10 : les composantes de VPN MPLS8 La gestion des VPN dans le backbone est assurée par l’opérateur par le biais des PE. On parle aussi. le MP-BGP (Multi Protocol Border Gateway Protocol) qui permet la distribution des labels en même 9 . le RSVP (Resource Reservation Protocol) utilisé en Traffic Engineering pourétablir des LSPs en fonction de critères de ressources et d’utilisation des liens. indépendamment des VPNs. Cet empilement d’en tête MPLS est utilisé pour transporter au sein du backbone. 1. BGP. A cet effet. Il est donc nécessaire de propager les informations sur ces labels à tous les LSRs. des protocoles de distributions de labels sont utilisés. Chaque routeur. ces protocoles doivent coopérer avec des protocoles de routage de niveau supérieur IS-IS. La trame MPLS est composé d’un paquet IP précédé d’une en-tête MPLS qui contient notamment : un champ label un champ EXP (3 bits) un bit S qui indique si un autre en-tête MPLS est présent dans la trame MPLS. les paquets IP ne sont pas routés suivant l’adresse de destination (contrairement au protocole IP) mais des trames MPLS sont commutées suivant leur label MPLS. ainsi que leur label local et leur PE de rattachement. Le protocole MPLS a été conçu initialement. le label local nécessaire à la gestion du VPN.Les PE supportant le même VPN connaissent ainsi tous les réseaux IP membres du VPN par le biais de la VRF. RIP. de label externe pour désigner le label MPLS et de label interne pour désigner le label local. par rapport au format de la trame MPLS.…Différents protocoles peuvent être utilisés pour assurer la fonction de distribution de labels entre LSRs tels que le protocole TDP (Tag Distribution Protocol) propriétaire CISCO. Pour cela. pour améliorer les performances du backbone. utilise lelabel pour déterminer l’interface et le label de sortie. OSPF. lorsqu’il reçoit un paquet taggué. Distribution de label Les LSRs se basent sur l’information de label pour commuter les paquets autravers du backboneMPLS. Figure 12 : Backbone MPLS9 Dans un backbone MPLS. DiffServ ne peut pas offrir de QoS de bout en bout et a un comportement « Hop By Hop ». IntServ définit 2 classes de services : Guaranteed : garantie de bande passante. . enfin le protocole LDP (Label Distribution Protocol) . IntServ permet donc une forte granularité de QoS par flux et pour cette raison. Protocole LDP Le LDP est un nouveau protocole permettant d’apporter aux LSRs lesinformations nécessaires concernant les différents labels d’un réseau MPLS.temps que la propagation des routes. LDP a pour objectif d’assigner des labels à des FECs et de les distribuer III. ce qui permet de minimiser la signalisation. classification. Les sessionsLDP [22] sont établies entre homologues d’un réseau MPLS sans que ceux-ci aientbesoin d’être adjacents. policing et scheduling par flux de niveau 4). défini par l’IETF dans la RFC3036 [11] utilisé pour le mapping des adresses IP unicast 2. Les différents flux. Comme tout protocole de distribution de labels. sont agrégés selon un nombre limité de classes de services. est davantage destiné à être appliqué en coeur de réseau opérateur. quant à lui. DiffServ DiffServ. Qualité de service Deux types d’architectures sont étudiés par l’IETF (Internet Engineering Task Force) pour définir la QoS IP : Integrated Services (IntServ) Differential Services (DiffServ) 1. car il exploite latable deroutage que génère ce dernier. délai et pas de perte de trafic ControlledLoad : fournit différents niveaux de services en best effort 2. assurée par RSVP. le plus utilisé.L’échange des messages LDP suppose préalablement la découverte du voisinagesuivie de l’établissement d’une session de transport entre voisins LDP. est plutôt destiné à être implémenté à l’accès. classifiés selon des règles prédéfinies. IP et VPN. les ressources nécessaires sont réservées à chaque bond entre l’émetteur et le récepteur. et doit maintenir l’état de chaque flux (messages RSVP.LDP est indépendant de tout protocole de routage. IntServ Int-Serv suppose que pour chaque flux demandant de la QoS. IntServ requiert une signalisation de bout en bout. il est possible de distinguer deux rivaux sortant leurs épingles du jeu. Les Vpn sont donc amenés à prendre de plus en plus de place dans les réseaux informatiques. En effet. Le marché des Vpn profite donc de l'engouement actuel pour ces technologies qui permettent elles aussi de réduire les coûts des infrastructures de communication. Les Vpn sur Ip permettent en effet de se passer des liaisons louées de type Atm ou Frame Relay. met en évidence une forte concurrence entre lesdifférents protocoles pouvant être utilisés. Cedernier est supérieur. Néanmoins. A performance égales un VpnMpls coûte deux fois moins cher qu'une ligne Atm. simultanément. Le développement rapide du marché pourrait biencependant donner l'avantage au second.CONCLUSION Cette étude des solutions Vpn. . àsa voir Ipsec et Mpls. la mise en place de Vpn par Ip entregénéralement dans une politiquede réduction des coûts liés à l'infrastructure réseau desentreprises. laséparation des flux et leur confidentialité. Mais si les solutions à base de Mpls prennent actuellement ledevant face aux technologies Ipsec c'est principalement grâce à l'intégration possible de solution de téléphonie sur Ip. mais il assure. Le coût des VpnIp est actuellement assez intéressant pour motiver denombreuses entreprises à franchir le pas. en outre. La qualité de service offerte par le Mpls autorise en effet Ce type d'utilisation. Chapitre 3 : Réalisation Présentation du logiciel GNS3 Description de la maquette Configuration d’un VPN MPLS . . Les performances des machines ainsi crées ne sont bien entendu pas équivalentes à celles des machines physiques réelles. De simplescommutateursEthernet sont émulés. mais nécessitera une machine avec de bonnes ressources pour émuler plusieurs équipements en simultané. une étude à été entamée concernant les differents protocoles de routage et leurs configuration sur les routeurs Cisco.dans la mesure ou ces machines s’appuient sur les véritables IOS fournis par Cisco et leur confèrent donc l’intégralité des fonctionnalités originales. Ce logiciel peut donc être opposé à Packet Tracer. A l’heure actuelle. mais elles restent amplement suffisantes pour mettre en œuvre des configurations relativement basiques et appréhender les concepts de base des équipements Cisco. Cette solution pourra donc être choisie pour la mise en place de labos virtuels.Il est necessaire d’insister sur le terme émulation. I. Présentation du logiciel GNS3 : Le logiciel GNS3 est en fait une interface graphique pour l’outil sous-jacent Dynamips qui permet l’emulation de machines virtuelles Cisco. et permettentnotamment l’interconnexion du Lab virtuel ainsi crée avecun réseau physique. et qui est donc limité aux seules fonctionnalités implémentées par les développeurs du logiciel.Chapitre 3 : Réalisation Introduction Nous avons réalisé une maquette simulant la solution VPN MPLS à l’aide de l’émulateur GNS3 de Cisco. notamment dans le cadre de la préparation des premières certifications Cisco telles que le CCNA. seules certaines plateformes de routeurs sont émulées ainsi que les plateformes PIX et ASA qui sont les Firewalls de la gamme Cisco. qui est un simulateur fourni par Cisco dans le cadre de son programme académique. R9.R11.II.R12. 8routeurs désignant des sites des clients VPN(des routeurs CE) et simulant les routeurs R6.Tout routeur « traditionnel » peut etre un routeur CE. Description de la maquette : Pour la réalisation de la maquette.R3. III.bin ».R13.bin » supportant ainsi la technologie MPLS. et R5 .quelque soit son type ou la version d’IOS utilisée. Pour les routeurs CE on a utilisé aussi des routeurs Cisco 7200 avec version IOS « c7200-adventerprisek9-mz.T1.T1.Voici l’adressage pour chaque routeur : .R10. 10 Plan d’adressage Nous avons utilisé pour notre maquette des adresses privées de différente classe avec un masque 24.nous avons utilisé routeurs dont : 1 routeur représentant le coreMPLS(des routeurs P) simulant le routeur R1 4 routeurs représenatants l’EdgeMPLS(des routeurs PE) et simulant les routeurs R2.R8.cesrouteus appartiennent au client et n’ont aucune connaissance des VPN ou meme de la notion de label.124-4.R4.124-4. Figure 13:Maquette10 Pour les routeurs P et PE on a utilisé des routeurs Cisco 7200 avec version IOS « c7200-adventerprisek9-mz.puisqu’ils sont des routeurs clients.R7. les loopback (interface de bouclage locale) sont des adresses privées de classe A avec un masque 32.Ces routeurs n’ont pas besoin de supporter la technologie MPLS. 1.2 192.12.0 255.255.10.0 192.22.12.0 R4 S1/2 S1/6 S1/7 172.21.1 10.11.0 10.1 10.1 10.0 255.255.16.252 255.255.1.42.255.12.168.252 255.0 192.10.255.0 255.255.16.252 255.255.0 10.31.0 192.255.0 10.252 OSPF/BGP OSPF/BGP OSPF/BGP 172.16.0 R6 S1/0 F0/0 S1/0 F0/0 S1/0 F0/0 S1/0 F0/0 S1/0 F0/0 S1/0 F0/0 S1/0 F0/0 S1/0 F0/0 10.5.41.255.255.10.0 172.255.255.255.4.0 255.1.255.1 255.255.11.2 192.0 10.3.22.255.255.255.16.1.0 R3 S1/1 S1/6 S1/7 172.255.255.10.0 192.255.0 10.255.0 192.41.252 255.255.1.n’ayant aucune connaissance de MPLS ou des VRF.0 192.1.0 192.2 192.42.168.3 10.10.0 192.252 172.252 255.1.252 OSPF/BGP OSPF/BGP OSPF/BGP OSPF/BGP 172.0 255.10.252 172.168.255.168.6 10.1.14 10.168.10.10.0 192.0 10.10.7.252 255.255.16.168.168.1 255.0 10.1 10.0 10.252 255.255.10.16.0 10.252 172.255.6.1.22.10.168.10.252 255.31.Périphérique Interface R1 Routage Network S1/0 S1/1 S1/2 S1/3 Masque Sousreseau 172.255.5.0 255.2 192.10.5 255.0 10.31.255.32.0.168.10.0 10.255.42.10.1 255.1 255.1.32.1.0 10.10.1.16.255.10.252 OSPF/BGP OSPF/BGP OSPF/BGP 172.1.255.252 255.16.0.16.2.0 R2 S1/0 S1/6 S1/7 172.168.2 192.0 R7 R8 R9 R10 R11 R12 R13 Adresse IP 3 Tableau 1 :Table d’adressage IV.252 OSPF/BGP OSPF/BGP OSPF/BGP 172.10.10.0 OSPF/BGP OSPF/BGP OSPF/BGP OSPF/BGP OSPF/BGP OSPF/BGP OSPF/BGP OSPF/BGP OSPF/BGP OSPF/BGP OSPF/BGP OSPF/BGP OSPF/BGP OSPF/BGP OSPF/BGP OSPF/BGP 10.255.10.1 255.255.9 255.41.255.255.4. Protocole de routage les CE sont des routeurs clients traditionnels.11.10.2 192.3. Les CE doivent donc échanger leurs routes IP avec leurs PE au moyen de protocoles de routage classique.0 10.6.21.255.7.255.12.10.42.10.0 10.255.252 255.255.255.255.16.2 192.255.1 10.10.32.16.41.16.255.0 192.11.0 10.1 .255.255.9 10.168.255.16.31.255.252 255.10. Les protocoles supportés par IOS sont eBGP(externel .255.168.255.0 10.10.2 192.10.0 255.21.0 10.0 10.10.255.10.255.2.252 255.252 255.255.255.16.1.16.255.168.0 10.252 255.255.16.252 255.1 255.32.1.1.255.168.252 OSPF/BGP OSPF/BGP OSPF/BGP 172.21.10.0 255.168.22.0 10.255.255.10.1 R5 S1/3 S1/6 S1/7 172.255.255.252 255.168.0 10.255.255.255.1.10. Le protocole OSPF a l’avantage de pouvoir supporter le VLSM (variable lengthsubnetmask)ce qui permet d’éviter le gaspillage dans l’utilisation des adresses. Les routeurs P doivent supporter les fonctionnalités MPLS. Le protocole eBGP a été choisi dans notre projet et cela pour l’échange des routes entre les PE et les CE. par exemple. Phase 1 : Activation du routage classique a) Assignation des adresses IP par interfaces Pour le routage IP classique.RIPv2. Un routeur CE. 1. L’utilité d’ajouter des adresses loopback est de .PE ou CE. créée par configuration et qui a la particularité de toujours etre un up/up.et OSPF.BGP).PE. la configuration des routeurs CE. nous allons décrire les étapes de configuration de base pour chaque groupe de routeurs.Nous avons utilisé un seul aire pour le réseau : Aire 0 pour le Backbone MPLS formé par les routeurs P et PE. V. il s’agit de configurer les interfaces et leur attribuer les adresses IP comme l’indique le plan d’adressage . D’un point de vue fonctionnement du routeur. Il est conseillé d’utiliser un protocole à état de lien tel qu’OSPF ou IS-IS qui sont les seuls à permettre le trafic Engineering. cette interface est perçue comme une interface physique. est un routeur d’accès client et n’a pas à supporter les fonctionnalités MPLS ni celle de VPN. par contre.P est la plus simple à réaliser.CE Il s’agit d’une interface virtuelle. D’autre part un protocole de routage interne doit etre utilisé sur le backbone pour pouvoir diffuser les labels MPLS. Dans ce qui suit. La création des VPN se fait au niveau des routeurs PE. Les routeurs PE. Configuration de la maquette : les configurations des routeurs diffèrent selon que ceux-ci soient des routeurs P. Un autre protocole de routage est activé qui est BGP au niveau des routeurs P et PE pour l’échange des routes MPLS VPN.PE. Figure 14Assignation d’adresse IP par interface b) Assignation des adresses ip des loopback des routeurs P. doivent supporter MPLS sur les interfaces qui appartiennent au backbone et non celles qui sont reliés aux routeurs clients. le choix de ce protocole est justifié par les raisons suivantes : Protocole de routage à état de lien Supporte le trafic engineering Rapidité de convergence Il a une zone de type dorsale (backbone) La configuration d’ospf est requise les étapes suivantes : Activation de processus ospf Déclaration des réseaux participant au processus Désignation de la zone administrative Désignation de l’identificater de routeur Figure 16 Configuration du protocole OSPF 2. Avant de configurer MPLS sur les interfaces des routeurs il est indispensable d’activer le CEF (Cisco Express Forwarding). L’activation diffère suivant l’emplacement du routeur dans le backbone : Dans les routeurs P nous avons activé MPLS sur toutes les interfaces . Nous avons choisi LDP (Label Distribution Protocol) pour distribuer les labels MPLS. Simuler un réseau connecté Influencer un protocole de routage(exple :router-id pour OSPF) Figure 15 Assignation d’un loopback c) Activation de routage IGP (OSPF) Au niveau du backbone(PE-P et P-P).le protocole de routage utilisé est l’ospf. Phase 2 : Activation de protocoles MPLS a) Activation de protocoles MPLS et LDP Seulement les routeurs PE et P supportent MPLS donc l’activation est réalisée à ce niveau. Dans les routeurs PE. MPLS est activé seulement sur les interfaces liant ces routeurs au routeur P. Figure 17 Activation de MPLS La commande « show mpls interfaces » vérifie que MPLS soit activé dans les interfaces des routeurs P et PE. nousavons utilisé la commande « show mplsforwarding-table » Figure 20 table de transmission MPLS Nous avons utilisé la commande « show mplsipbinding » pour afficher la table LFIB du routeur R4 : . Figure 18 Vérification du bon déroulement de MPLS Vérification du protocole LDP Figure 19 Vérification de protocole LDP Pour afficher le contenu de la base de MPLS l’étiquette de transmission des informations. voici la configuration de BGP : . nous avons utilisé la commande « show mplsldpbinding » Figure 22 Table LIB b) Configuration de BGP P/P et P/PE Mettre les P et les PE dans un même system autonome et simplifier les tables de routage.Figure 21 Table LFIB Pour afficher la table LIB. L’une des applications les plus importantes du protocole MPLS est de pouvoir créer des réseaux privés virtuels VPN.Figure 23 : Configuration de BGP la commande « show ipbgpsummary » permet la vérification de bon fonctionnement de protocole BGP : Figure 24 : Vérification de BGP Voila le backbone MPLS est fonctionnel. c) Activation du MPLS VPN Nous allons créer deux VPN « cust1 » qui regroupe les routeurs CE . pour cela on va implémenter dans notre maquette un VPN MPLS. La plus simple méthode est d’assigner à chaque VPN le meme RD et RT. Implémentation des services sur VPN MPLS On a implémenté à notre machine : Un client VPN 3. Le choix du RT est important afin de séparer l’échange des deux routes entre VPN. Chaque VPN possede son propre RD. Configuration des VRF La premiere étape est la conception (design) VPN caractérisé par le choix des parametres RD (route Distinguisher) et RT (Route Targets) qui sont des communautés étendues BGP et définissent l’appartenance aux VPN. Avant d’assigner les VRF des VPN.1Machine Virtuelle . suivant notre architecture le meme RT est utilisé pour l’export et l’import des routes pour chaque client. Les deux sites du client-a partage la valeur 1 :1 et ceux du client-b paragent 1 :2 comme RT. 3. nous avons attribué pour Client-a la valeur 1et pour Client-b la valeur2assurant ainsi la possibilité de recouvrement d’adresse entre les deux VPN. nous avons choisi comme protocole de routage le protocole BGP pour pouvoir communiquer deux systemes autonomes différents et assurer l’échange des routes entre les CE et PE. 2Connecter les hotes GNS3 à MVW Figure 25: les machines virtuelles Après avoir installer les machines virtuelles.3.on va suivre les étapes suivantes pour connecter à GNS3 : A partir du menu VM séléctionnerParametres Ajouter carte reseau Attribuer à une machine virtuelle une carte reseau . Dans GNS3 faire glisser et deposer un routeur et un nuage à travers lequel GNS3 sera connecté à un hote VMW Configuration du nuage(clic droit sur nuage configue) . CONCLUSION GENERALE Désormais tous les opérateurs commencent à utiliser les réseaux MPLS. les applications supportées par ce standard et d’implémenter et configurer une maquette de simulation. car la tendance des réseaux de communications consiste à faire converger les réseaux de voix. Du fait que le protocole MPLS apporte des services IP ainsi que de la convergence des réseaux. L’objectif de ce projet était essentiellement d’étudier le standard MPLS. . données. le protocole MPLS a certainement un grand avenir devant lui. multimédia en un réseau unique basé sur les paquets IP. ANNEXE 1 : Configuration d’un P upgrade fpd auto version 15.0 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption ! hostname PROVIDER ! boot-start-marker boot-end-marker ! ! no aaa new-model ! ! ip source-route no ipicmp rate-limit unreachable ipcef ! ! no ip domain lookup no ipv6 cef ! multilink bundle-name authenticated ! redundancy ! ! . 1.16.13 255.1.255.5 255.10 255.255.9 255.1 255.10.255 ipospf 1 area 0 ! ! interface FastEthernet0/0 no ip address shutdown duplex half ! ! interface Serial1/0 ip address 172.252 ipospf 1 area 0 mplsip serial restart-delay 0 clock rate 56000 ! ! interface Serial1/4 .1.255.255.16.255.1.10.252 ipospf 1 area 0 mplsip serial restart-delay 0 clock rate 56000 ! ! interface Serial1/1 ip address 172.16.255.16.255.iptcpsynwait-time 5 ! interface Loopback0 ip address 10.252 ipospf 1 area 0 mplsip serial restart-delay 0 clock rate 56000 ! ! interface Serial1/2 ip address 172.255.255.255.252 ipospf 1 area 0 mplsip serial restart-delay 0 clock rate 56000 ! ! interface Serial1/3 ip address 172. 1.1 log-adjacency-changes ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ! mplsldp router-id Loopback0 ! control-plane ! ! mgcp fax t38 ecm mgcp behavior g729-variants static-pt ! ! ! gatekeeper shutdown ! ! .1.no ip address shutdown serial restart-delay 0 ! ! interface Serial1/5 no ip address shutdown serial restart-delay 0 ! ! interface Serial1/6 no ip address shutdown serial restart-delay 0 ! ! interface Serial1/7 no ip address shutdown serial restart-delay 0 ! ! router ospf 1 router-id 1. 0 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption ! hostname PROVIDER-EDGE-1 ! boot-start-marker boot-end-marker ! ! no aaa new-model ! ! ip source-route no ipicmp rate-limit unreachable ipcef ! ! ipvrf client-a rd 1:1 route-target export 1:1 route-target import 1:1 .line con 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1 line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1 line vty 0 4 login ! end ANNEXE 2 : Configuration d’un PE upgrade fpd auto version 15. 16.252 ipospf 1 area 0 mplsip serial restart-delay 0 ! ! interface Serial1/1 no ip address shutdown serial restart-delay 0 ! ! interface Serial1/2 no ip address shutdown serial restart-delay 0 ! ! .2 255.20.255.1.255.20 255.20.! ipvrf client-b rd 1:2 route-target export 1:2 route-target import 1:2 ! no ip domain lookup no ipv6 cef ! multilink bundle-name authenticated ! ! redundancy ! ! iptcpsynwait-time 5 ! interface Loopback0 ip address 20.255 ipospf 1 area 0 ! ! interface FastEthernet0/0 no ip address shutdown duplex half ! ! interface Serial1/0 ip address 172.255.255. 11.3 autonomous-system 1 exit-address-family ! router ospf 1 .1 255.12.252 serial restart-delay 0 clock rate 56000 ! ! interface Serial1/7 ipvrf forwarding client-b ip address 10.255.0.3 autonomous-system 1 exit-address-family ! address-family ipv4 vrf client-b redistribute bgp 1000 metric 1024 1 255 1 1500 network 10.255.0.12.10.0 0.10.10.252 serial restart-delay 0 clock rate 56000 ! ! router eigrp 1 ! address-family ipv4 vrf client-a redistribute bgp 1000 metric 1024 1 255 1 1500 network 10.0.0 0.255.255.0.interface Serial1/3 no ip address shutdown serial restart-delay 0 ! ! interface Serial1/4 no ip address shutdown serial restart-delay 0 ! ! interface Serial1/5 no ip address shutdown serial restart-delay 0 ! ! interface Serial1/6 ipvrf forwarding client-a ip address 10.11.10.1 255. 2.40 activate neighbor 40.40.40.30 remote-as 1000 neighbor 30.50 update-source Loopback0 no auto-summary ! address-family vpnv4 neighbor 40.2 log-adjacency-changes ! router bgp 1000 no synchronization bgp log-neighbor-changes neighbor 30.router-id 2.50.40 remote-as 1000 neighbor 40.2.40 update-source Loopback0 neighbor 50.50.40 send-community extended exit-address-family ! address-family ipv4 vrf client-a no synchronization redistribute eigrp 1 metric 1 exit-address-family ! address-family ipv4 vrf client-b no synchronization redistribute eigrp 1 metric 1 exit-address-family ! ip forward-protocol nd no ip http server no ip http secure-server ! mplsldp router-id Loopback0 ! control-plane ! ! mgcp fax t38 ecm mgcp behavior g729-variants static-pt ! ! ! gatekeeper shutdown ! ! .40.30.40.30.40.50.30.40.40.30.40.30 update-source Loopback0 neighbor 40.50 remote-as 1000 neighbor 50.50. 0 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption ! hostname Customer-edge-2 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip source-route .line con 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1 line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1 line vty 0 4 login ! end ANNEXE 3 : Configuration d’un CE upgrade fpd auto version 15. 1 255.0 duplex half ! ! interface Serial1/0 ip address 10.12.255.255.252 serial restart-delay 0 ! ! interface Serial1/1 no ip address shutdown serial restart-delay 0 ! ! interface Serial1/2 no ip address shutdown serial restart-delay 0 ! ! interface Serial1/3 no ip address shutdown serial restart-delay 0 ! ! ! router eigrp 1 .no ipicmp rate-limit unreachable ipcef ! ! ! ! no ip domain lookup no ipv6 cef ! multilink bundle-name authenticated ! redundancy ! ! iptcpsynwait-time 5 ! interface FastEthernet0/0 ip address 192.1.168.255.255.10.2 255. 1.0.network 10.168.0 0.0 ! ip forward-protocol nd no ip http server no ip http secure-server ! control-plane ! ! ! mgcp fax t38 ecm mgcp behavior g729-variants static-pt ! ! ! gatekeeper shutdown ! ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1 line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1 line vty 0 4 login ! end .0.3 network 192.10.12. WEBOGRAPHIE .frameip.http://www.http://www.cisco.nerim.com/magazines/hightech/infos/dico/d/internet-mpls-3901/ .com .net/contents/5 26-mpls-multiprotocol-label-switching .http://wallu.http://www.htm .pagesperso-orange.commentcamarche.futurasciences.fr/vpn-mpls .http://www.http://www.fr/pagvpn.com/mpls/ .
Report "Projet fin d'année : Mise en place d'une solution MPls /vpn"