Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Encadr par :
Ralis par :
M.
-MhimdiWafa
Ddicaces
Je ddie ce travail:
A mes chers parents pour leur amour, sacrifice et soutiens.
A mes enseignants pour leurs efforts remarquables
A m promotionnels de la RT4
A ceux qui je dois reconnaissance
Quils trouvent tous ici mes sincres gratitudes et
reconnaissances
Remerciements
Avant dentamer le vif de mon travail, il mest tellement agrable de prsenter mes sincres
remerciements mes enseignants de TIME Universit.
Je tiens galement exprimer ma reconnaissance mon rofesseur encadrant Mr. HAMDI
Med Ali qui ma beaucoup encourag,pour son aide et orientation durant la priode
du projet, il a engag son temps et ses conseils pour me venir en aide.
Enfin, ma profonde gratitude et mon respect toute personne qui a contribuede prs ou de
loin llaboration de ce travail.
LIB : Label Information Base. C'est un tableau contenant les labels utilis par le LSR et
contenant galement les labels des LSR voisins.
NAT (traduction d'adresses rseau) : La technologie NAT traduit des adresses IP du rseau
local en adresses IP diffrentes pour Internet
PoE (Power over Ethernet) : Technologie permettant un cble rseau Ethernet de fournir des
donnes et l'alimentation lectrique.
TCP/IP (Transmission Control Protocol/Internet Protocol) : Protocole rseau de transmission
de donnes qui exige un accus de rception du destinataire des donnes envoyes.
TLS (Transport Layer Security) : Protocole qui garantie la protection des informations
confidentielles et l'intgrit des donnes entre les applications client/serveur qui
communiquent sur Internet.
Introduction gnrale
Au dbut de l'Internet, la proccupation majeure tait de transmettre les paquets leur destination.
Ensuite, des mcanismes inhrents TCP ont t dvelopps pour faire face aux consquences
induites par les pertes de paquets ou la congestion du rseau. Mais depuis le dbut des annes 1990, la
communaut des fournisseurs de service (ISPs) qui administrent l'Internet est confronte non
seulement au problme de croissance explosive mais aussi des aspects de politique, globalisation et
stabilit du rseau. Par ailleurs, outre ces diffrents aspects, apparat une trs forte diversification des
services offerts. Ainsi de nouvelles applications se dveloppent sur le rseau : tlphonie,
vidoconfrence, diffusion audio et vido, jeux en rseau, radio et tlvision en direct Lmergence
des rseaux privs virtuels (VPN), ncessite galement une diffrentiation de services. La qualit de
service de bout-en bout apparat, dans ce contexte, essentielle au succs de ces applications.
La mthode utilise jusque-l, consistant fournir des rseaux surdimensionns ne peut plus
s'appliquer indfiniment. De plus, la nature intrinsque de l'Internet (mode sans connexion, niveau de
service "best-effort") ne permet pas d'offrir une qualit de service constante, ni de donner des priorits
certains types de trafic. C'est pourquoi, les architectes du rseau, les constructeurs et les fournisseurs
de services concentrent depuis quelques annes leurs efforts sur la dfinition et l'implmentation de ce
concept dans les rseaux IP.
Dans la mesure o la technologie ATM a t largement dploye dans les rseaux doprateurs, et dans
une moindre mesure dans les rseaux dentreprises, il semble naturel denvisager les solutions
dimplmentation dun rseau IP offrant une gestion de la qualit de service sur ATM. En effet ATM a
t spcifiquement conu pour proposer une intgration de services, par la dfinition de diffrentes
classes de service.
Cest pourquoi, aprs une prsentation succincte de ce quest la qualit de service en gnral, ainsi
quun rappel sur la qualit de service fournie par ATM, nous envisagerons successivement diffrentes
solutions dimplmentation de la QoS(Quality of Service ) IP sur un rseau ATM, solutions qui ont en
particulier fait lobjet de travaux au sein des groupes de travail de lIETF et de lATM forum :
Chapitre 1 :
Dfinitions
Mode de fonctionnement de VPN
Les types dutilisation de VPN
Protocoles utiliss
I.
Dfinitions
1. Rseau priv
Couramment utiliss dans les entreprises, les rseaux privs entreposent souvent des donnes
confidentielles l'intrieur de l'entreprise. De plus en plus, pour des raisons d'interoprabilit, on y
utilise les mmes protocoles que ceux utiliss dans l'Internet. On appelle alors ces rseaux privs
intranet . Y sont stocks des serveurs propres l'entreprise en l'occurrence des portails, serveurs de
partage de donnes, etc. ... Pour garantir cette confidentialit, le rseau priv est coup logiquement du
rseau internet. En gnral, les machines se trouvant l'extrieur du rseau priv ne peuvent accder
celui-ci. L'inverse n'tant pas forcment vrai. L'utilisateur au sein d'un rseau priv pourra accder au
rseau internet
2. Rseau priv virtuel
L'acronyme VPN correspond Virtual Private Network, c'est--dire un rseau priv virtuel. Dans les
faits, cela correspond une liaison permanente, distante et scurise entre deux sites
d'une organisation. Cette liaison autorise la transmission de donnes cryptes par le biais d'un rseau
non scuris, comme Internet. En d'autres termes, un rseau priv virtuel est l'extension d'un rseau
priv qui englobe les liaisons sur des rseaux partags ou publics, tels qu'Internet. Il permet d'changer
des donnes entre deux ordinateurs sur un rseau partag ou public, selon un mode qui mule une
liaison prive point point.
3. Concept de VPN
Les rseaux locaux d'entreprise (LAN ou RLE) sont des rseaux internes une organisation, c'est-dire que les liaisons entre machines appartiennent l'organisation. Ces rseaux sont de plus en plus
souvent relis Internet par l'intermdiaire d' quipements d'interconnexion. Il arrive ainsi que des
entreprises prouvent le besoin de communiquer avec des filiales, des clients ou mme des personnels
gographiquement loigns via internet. Pour autant, les donnes transmises sur Internet sont
beaucoup plus vulnrables que lorsqu'elles circulent sur un rseau interne une organisation car le
chemin emprunt n'est pas dfini l'avance, ce qui signifie que les donnes empruntent une
infrastructure rseau publique appartenant diffrents oprateurs. Ainsi il n'est pas impossible que sur
le chemin parcouru, le rseau soit cout par un utilisateur indiscret ou mme dtourn. Il n'est donc
pas concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation
ou l'entreprise. La premire solution pour rpondre ce besoin de communication scuris consiste
relier les rseaux distants l'aide de liaisons spcialises. Toutefois la plupart des entreprises ne
peuvent pas se permettre de relier deux rseaux locaux distants par une ligne spcialise, il est parfois
ncessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste utiliser
Internet comme support de transmission en utilisant un protocole d'encapsulation" (en
anglais tunneling, d'o l'utilisation impropre parfois du terme "tunnellisation"), c'est--dire
encapsulant les donnes transmettre de faon chiffre. On parle alors de rseau priv virtuel
(not RPV ou VPN, acronyme de Virtual Private Network) pour dsigner le rseau ainsi
artificiellement cr.
Ce rseau est dit virtuel car il relie deux rseaux "physiques" (rseaux locaux) par une liaison non
fiable (Internet), et priv car seuls les ordinateurs des rseaux locaux de part et d'autre du VPN
peuvent "voir" les donnes. Le systme de VPN permet donc d'obtenir une liaison scurise moindre
cot, si ce n'est la mise en oeuvre des quipements terminaux. En contrepartie il ne permet pas
d'assurer une qualit de service comparable une ligne loue dans la mesure o le rseau physique est
)public et donc non garanti.
II.
Mode de fonctionnement dun VPN
Le VPN repose sur un protocole de tunnellisation (tunneling), c'est--dire un protocole qui
permet le passage de donnes cryptes d'une extrmit du VPN l'autre grce des
algorithmes. On emploi le terme tunnel pour symboliser le fait que les donnes soient
cryptes et de ce fait incomprhensible pour tous les autres utilisateurs du rseau public (ceux
qui ne se trouvent pas aux extrmits du VPN).
Lorsquun utilisateur veut accder aux donnes sur le VPN, on appelle client VPN
(ClientdAccs Distant) llment qui chiffre et dchiffre les donnes du ct client et serveur
VPN(Serveur dAccs Distant) llment qui chiffre et dchiffre les donnes du ct du
serveur (dans notre cas, cest lentreprise).Une fois le serveur et le client identifis, le serveur
crypte les donnes et les achemine enempruntant le passage scuris (le tunnel), les donnes
sont ensuite dcryptes par le client etlutilisateur a accs aux donnes souhaites
III.
1
1. Le VPN daccs
Le VPN d'accs est utilis pour permettre des utilisateurs d'accder au rseaupriv de
leur entreprise. L'utilisateur se sert de sa connexion Internet pour tablir la connexion VPNOn
a deux cas :
L'utilisateur demande au fournisseur d'accs de lui tablir une connexion crypte versle
serveur distant : il communique avec le NAS (Network Access Server) dufournisseur d'accs
et c'est le NAS qui tablit la connexion crypte.
Lutilisateur possde son propre logiciel client pour le VPN auquel cas il tablitdirectement
la communication de manire crypte vers le rseau de lentreprise
Figure 3 :VPNaccs2
2. VPN intranet
L'intranet VPN est utilis pour relier au moins deux intranets entre eux. Ce type de rseauest
particulirement utile au sein d'une entreprise possdant plusieurs sites DISTANTS
Figure 4 lintranet VPN3
3. VPN extranet
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires.Elle
ouvre alors son rseau local ces derniers. Dans Ce cadre, il est fondamental
quel'administrateur du VPN puisse tracer les clients sur le rseau et grer les droits de chacun
sur celui-ci
2
3
2. VPN maill
Dans cette autre topologie les routeurs ou passerelles prsents aux extrmits de chaque site
seront considrs comme des serveurs d'accs distant, les ressources ici sont dcentralises
sur chacun des sites autrement dit les employs pourront accder aux informations prsents
sur tous les rseaux.
4
5
V.
Nous pouvons classer les protocoles que nous allons tudier en deux catgories:
Il existe en ralit trois protocoles de niveau 2 permettant de raliser des Vpn : Pptp (de
Microsoft), L2F (dvelopp par CISCO) et enfin L2tp. Nous n'voquerons dans cette tude
que Pptp et L2tp : le protocole L2F ayant aujourd'hui quasiment disparut. Le protocole Pptp
aurait sans doute lui aussi disparut sans le soutien de Microsoft qui continue l'intgrer ses
systmes d'exploitation Windows. L2tp est une volution de Pptp et de L2F, reprenant les
avantages
des
deux
protocoles.
Les protocoles de couche 2 dpendent des fonctionnalits spcifies pour Ppp (Point to Point
Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de Ce protocole.
Ms-Chap plus sre. La partie chiffrement des donnes s'effectue grce au protocole Mppe
(Microsoft
Point-to-Point
Encryption).
Le principe du protocole Pptp est de crer des paquets sous le protocole Ppp et de les
encapsuler dans des datagrammes IP. Pptp cre ainsi un tunnel de niveau 3 dfini par le
protocole Gre (GenericRouting Encapsulation). Le tunnel Pptp se caractrise par une
initialisation du client, une connexion de contrle entre le client et le serveur ainsi que par
la clture du tunnel par le serveur. Lors de l'tablissement de la connexion, le client
effectue d'abord une connexion avec son fournisseur d'accs Internet. Cette premire
connexion tablie une connexion de type Ppp et permet de faire circuler des donnes sur
Internet. Par la suite, une deuxime connexion dial-up est tablie. Elle permet
d'encapsuler les paquets Ppp dans des datagrammes IP. C'est cette deuxime connexion
qui forme le tunnel Pptp. Tout trafic client conu pour Internet emprunte la connexion
physique normale, alors que le trafic conu pour le rseau priv distant, passe par la
connexion virtuelle de Pptp.
(b)
Plusieurs protocoles peuvent tre associs Pptp afin de scuriser les donnes ou de les
compresser. On retrouve videment les protocoles dvelopps par Microsoft et cits
prcdemment. Ainsi, pour le processus d'identification, il est possible d'utiliser les protocoles
Pap (Password Authentification Protocol) ou MsChap. Pour l'encryptage des donnes, il est
possible d'utiliser les fonctions de Mppe (Microsoft Point to Point Encryption). Enfin, une
compression de bout en bout peut tre ralise par Mppc (Microsoft Point to Point
Compression). Ces divers protocoles permettent de raliser une connexion Vpn complte,
mais les protocoles suivants permettent un niveau de performance et de fiabilit bien meilleur.
protocole pour le chiffrement des donnes. C'est pourquoi L'IETF prconise l'utilisation
conjointe d'Ipsec et L2tp.
(d)
Le protocole Ipsec
Ipsec, est un protocole qui vise scuriser l'change de donnes au niveau de la couche
rseau. Le rseau Ipv4 tant largement dploy et la migration vers Ipv6 tant invitable,
mais nanmoins longue, il est apparu intressant de dvelopper des techniques de
protection des donnes communes Ipv4 et Ipv6. Ces mcanismes sont couramment
dsigns par le terme Ipsec pour Ip Security Protocols. Ipsec est bas sur deux
mcanismes. Le premier, AH, pour Authentification Header vise assurer l'intgrit et
l'authenticit des datagrammes IP. Il ne fournit par contre aucune confidentialit : les
donnes fournies et transmises par Ce "protocole" ne sont pas encodes. Le second, Esp,
pour Encapsulating Security Payload peut aussi permettre l'authentification des donnes
mais est principalement utilis pour le cryptage des informations. Bien qu'indpendants
ces deux mcanismes sont presque toujours utiliss conjointement. Enfin, le protocole Ike
permet de grer les changes ou les associations entre protocoles de scurit. Avant de
dcrire ces diffrents protocoles, nous allons exposer les diffrents lments utiliss dans
Ipsec.
Conclusion
Au paravent pour interconnecter deux LANs distants, il ny avait que deux solutions,
soit les deux sites distants taient relis par une ligne spcialise permettant de raliser un
WAN entre les deux sites soient les deux rseaux communiquaient par le RTC. Une des
7
premires applications des VPN est de permettre un hte distant daccder lintranet de
son entreprise ou celui dun client grce Internet tout en garantissant la scurit des
changes. Il utilise la connexion avec son fournisseur daccs pour se connecter Internet et
grce aux VPN, il cre un rseau priv virtuel entre lappelant et le serveur de VPN. Cette
solution est particulirement intressante pour connecter de faon scurise et les VPN
peuvent tre utilis pour lchange de donnes confidentielles.
En termes de scurit Les VPN, en unifiant les technologies daccs et scurisant les
donnes, apportent une solution aux problmes dj dcrites prcdemment. La principale
raison pour implmenter un VPN est lconomie suppose par rapport tout autre type de
connexion. Bien que les VPN ncessitent lacquisition de produits matriels et logiciels
supplmentaires, le cot terme de ce genre de communication est moindre. La technologie
VPN procure de mme la scurit lors des connexions dutilisateurs distants au rseau interne.
Ces VPN nont pas comme seul intrt lextension des WAN moindre cot mais aussi
lutilisation de services ou fonctions spcifiques assurant la QoS. La qualit de service (QoS)
est une fonctionnalit importante des VPN. Ainsi la scurit des changes est assure
plusieurs niveaux et par diffrentes fonctions comme le cryptage des donnes,
lauthentification des deux extrmits communicantes et le contrle daccs des utilisateurs
aux ressources.
Chapitre 2 :
Prsentation de MPLS
VPN/MPLS
Qualit de service
Actuellement, pour transmettre des paquets IP (Internet Protocol) d'une adresse source vers
une adresse de destination sur un rseau, la mthode de routage utilise est un routage unicast
saut par saut bas sur la destination. Cependant, la flexibilit de ce type de routage est affecte
par certaines restrictions dues l'utilisation de cette mthode. C'est pourquoi l'IETF dcida de
mettre au point un ensemble de protocoles pour former un nouveau type d'architecture rseau
appele MPLS (MultiProtocol Label Switching), destine rsoudre la majeure partie des
problmes rencontrs dans les infrastructures IP actuelles et en tendre les fonctionnalits.
I.
Simplifier le management.
2.
dynamique). La notion daffinit est simplement une valeur sur 32 bits spcifie sur les
interfaces des routeurs MPLS. La slection du chemin seffectue alors en indiquant (sur le
routeur initiant le tunnel) une affinit et un masque. Pour permettre une gestion plus souple du
trafic, chaque interface MPLS susceptible dtre un point de transit pour des tunnels MPLS
dispose dune notion de priorit, dfinie sur 8 niveaux. Lors de ltablissement dun nouveau
tunnel, si celui-ci a une priorit plus grande que les autres tunnels et que la bande passante
totale utilisable pour le TE est insuffisante, alors un tunnel moins prioritaire sera ferm. Ce
mode de fonctionnement est appel premption.
2.2
La gestion de QoS
Dans le monde les tlcommunications, la QoS Qualit de Service est la capacit
vhiculer dans de bonnes conditions un type de trafic, en termes de disponibilit, dbit, dlais
de transmission, taux de perte de paquets. Son but est ainsi doptimiser les ressources du
rseau et de garantir de bonnes performances aux applications critiques. La Qualit de Service
dans les rseaux permet doffrir aux utilisateurs des dbits et des temps de rponse
diffrencis par application. Elle permet ainsi aux fournisseurs de services (dpartements
rseaux dentreprises, oprateurs) de sengager formellement auprs de leurs clients sur les
caractristiques de transport des donnes applicatives sur leurs infrastructures IP. Selon le type
de service envisag, la qualit pourra rsider dans le dbit (tlchargement ou diffusion
vido), le dlai (pour les applications interactives ou la tlphonie), la disponibilit (accs
un service partag) ou encore, le taux de pertes de paquets (pertes sans influence pour de la
voix ou de la vido, mais critiques pour le tlchargement).
De nos jours les applications sont de plus en plus gourmandes en ressources, comme par
exemple en bande passante avec la vido confrence ou pour le transfert de fichiers
volumineux. Combin lextension de certaines technologies, comme la VoIP ncessitant
davoir un faible dlai, certains rseaux seraient incapables de supporter ce genre de trafic
sans mcanisme de QoS. Certes un surdimensionnement du rseau est beaucoup plus simple
mettre en place mais dans la plupart des cas coteux, cest donc pour cette raison que la QoS
devient indispensable. Cela est dautant plus vrai pour les rseaux doprateurs, o un trs
grand nombre de donnes transitent. Do la proposition de la mise en place de la QoS dans
un rseau MPLS (rseau de plus en plus utilis par les oprateurs).
3. Vers la scurit sur MPLS
II.
VPN/MPLS
Les VPN/MPLS sont essentiellement implments chez les oprateurs afin defournir
desservices leurs clients. Les oprateurs utilisent leur backbone sur MPLSpour crer
desVPN, par consquent le rseau MPLS des oprateurs se trouve partag ou mutualis avec
dautreclient.Du point de vue du client, il a limpression de bnficier dun rseau qui lui est
entirementddi. C'est--dire quil a limpression dtre le seul utiliser les ressources que
loprateur lui met disposition. Ceci est d ltanchit des VPN/MPLS qui distingue bien
les VPN dechaque client et tous ces mcanismes demeurent transparents pour les clients.
Finalement, les deux partiessont gagnantes car les clients ont un vritable service IP quileur
offre des VPN fiables des prix plus intressants que sils devaient crer eux-mmes
leur VPN de couche 2. Les oprateurs eux aussi rduisent leurs cots du fait de la
mutualisation deleurs quipements.
Pour crer des VPNs clients, il est donc ncessaire disoler les flux de
chacun des clients. Pour cela, le label MPLS est constitu de non plus dun
label mais de 2 labels : le premier label (extrieur) identifie le chemin vers
le LSR destination, et change chaque bond, le second label (intrieur)
spcifie le VPN-ID attribu au VPN et nest pas modifi entre le LSR source
et le LSR destination.
Cest le LSR source qui applique ces 2 labels au paquet de data lorsquun
VPN est utilis :
LABEL EXTRIEUR
IDENTIFIE LA DESTINATION
LABEL INTRIEUR
IDENTIFIE LE VPN
DATA
(IP PAQUET)
Chez certains oprateurs comme France Telecom, les noms de LSR et E-LSR sont remplacs
par routeurs PE et P. Ce nest quun changement de nom par rapport la norme MPLS, les
fonctionnalits des routeurs sont totalement identiques, mais il est bon de le savoir car ces
noms sont en gnral plus utiliss que ceux de la norme
Les composants des VPNs MPLS sont :
Le CE routeur (CustumerEdge Router) :routeur client connect au backbone IP via un
service daccs (LS,PVC FR,ATM, ).Il route le trafic entre le site client et le
backbone IP.
Le PE routeur (provider Edge Router) :routeur backbone de priphrie auquel sont
connects des CE.Cest au niveau de PE quest dclare lappartenance dun CE un
VPN donn. Le rle de PE consiste grer les VPN en cooprant avec les autres PE et
commuter les trames avec les P.
Le P quipement (Provider device) : routeur ou commutateur du cur backbone
charg de la commutation des trames MPLS.
Chaque VRF est renseigne localement par le CE rattach linterface de la VRF. Pour
indiquer les rseaux IP quil dessert, le CE utilise, pour moins de 5 rseaux IP, du routage
statique, et pour plus de 6 rseaux IP, le protocole de routage dynamique e-BGP. Ceci afin de
ne pas avoir traiter de faon manuel un trop grand nombre de routes. Le PE de rattachement
affecte un label local chacun de ces rseaux IP et les stocke dans sa table de commutation.
Puis il annonce lappartenance au VPN de ces rseaux IP ainsi que leur label local et leur PE
de rattachement lensemble des PE du backbone (Ce label local identifie le VPN auquel
appartient le rseau IP). Pour cela, il transmet les informations pertinentes lensemble des
PE grce au protocole MP-iBGP (Multi-Protocol BGP extension, RFC 2283). Seuls les PE
desservant des CE appartenant au mme VPN captureront ces informations pour les stocker
dans la VRF associe au VPN et pour mettre jour leur table de commutation.
8
Les PE supportant le mme VPN connaissent ainsi tous les rseaux IP membres du VPN par
le biais de la VRF, ainsi que leur label local et leur PE de rattachement.
Dans un backbone MPLS, les paquets IP ne sont pas routs suivant ladresse de destination
(contrairement au protocole IP) mais des trames MPLS sont commutes suivant leur label
MPLS. Le protocole MPLS a t conu initialement, pour amliorer les performances du
backbone, indpendamment des VPNs.
La trame MPLS est compos dun paquet IP prcd dune en-tte MPLS qui contient
notamment :
un champ label
un champ EXP (3 bits)
un bit S qui indique si un autre en-tte MPLS est prsent dans la trame MPLS. Cet
empilement den tte MPLS est utilis pour transporter au sein du backbone, le label local
ncessaire la gestion du VPN. On parle aussi, par rapport au format de la trame MPLS, de
label externe pour dsigner le label MPLS et de label interne pour dsigner le label local.
1. Distribution de label
Les LSRs se basent sur linformation de label pour commuter les paquets autravers du backboneMPLS.
Chaque routeur, lorsquil reoit un paquet taggu, utilise lelabel pour dterminer linterface et
le label de sortie. Il est donc ncessaire de propager les informations sur ces labels tous les LSRs.
Pour cela, des protocoles de distributions de labels sont utiliss. A cet effet, ces protocoles doivent
cooprer avec des protocoles de routage de niveau suprieur IS-IS, OSPF, RIP, BGP,Diffrents
protocoles peuvent tre utiliss pour assurer la fonction de distribution de labels entre LSRs tels que le
protocole TDP (Tag Distribution Protocol) propritaire CISCO, le RSVP (Resource Reservation Protocol)
utilis en Traffic Engineering pourtablir des LSPs en fonction de critres de ressources et dutilisation des
liens, le MP-BGP (Multi Protocol Border Gateway Protocol) qui permet la distribution des labels en mme
9
temps que la propagation des routes, IP et VPN, enfin le protocole LDP (Label Distribution Protocol) , le plus
utilis, dfini par lIETF dans la RFC3036 [11] utilis pour le mapping des adresses IP unicast
2. Protocole LDP
Le LDP est un nouveau protocole permettant dapporter aux LSRs lesinformations ncessaires concernant les
diffrents labels dun rseau MPLS. Les sessionsLDP [22] sont tablies entre homologues dun
rseau MPLS sans que ceux-ci aientbesoin dtre adjacents.Lchange des messages LDP suppose
pralablement la dcouverte du voisinagesuivie de ltablissement dune session de transport entre voisins
LDP.LDP est indpendant de tout protocole de routage, car il exploite latable deroutage que
gnre ce dernier. Comme tout protocole de distribution de labels, LDP a pour objectif dassigner des labels
des FECs et de les distribuer
III.
Qualit de service
Deux types darchitectures sont tudis par lIETF (Internet Engineering Task Force) pour
dfinir la QoS IP :
Integrated Services (IntServ)
Differential Services (DiffServ)
1. IntServ
Int-Serv suppose que pour chaque flux demandant de la QoS, les ressources ncessaires sont rserves
chaque bond entre lmetteur et le rcepteur. IntServ requiert une signalisation de bout en bout, assure par
RSVP, et doit maintenir ltat de chaque flux (messages RSVP, classification, policing et scheduling par flux
de niveau 4). IntServ permet donc une forte granularit de QoS par flux et pour cette raison, est plutt
destin tre implment laccs.
IntServ dfinit 2 classes de services :
Guaranteed : garantie de bande passante, dlai et pas de perte de trafic
ControlledLoad : fournit diffrents niveaux de services en best effort
2. DiffServ
DiffServ, quant lui, est davantage destin tre appliqu en coeur de rseau oprateur. Les diffrents flux,
classifis selon des rgles prdfinies, sont agrgs selon un nombre limit de classes de services, ce qui
permet de minimiser la signalisation. DiffServ ne peut pas offrir de QoS de bout en bout et a un
comportement Hop By Hop .
CONCLUSION
Cette tude des solutions Vpn, met en vidence une forte concurrence entre lesdiffrents
protocoles pouvant tre
utiliss. Nanmoins, il est possible de distinguer deux rivaux sortant leurs pingles du jeu, sa
voir Ipsec et Mpls. Cedernier est suprieur, mais il assure, en outre,
simultanment, lasparation des flux et leur confidentialit. Le dveloppement rapide du
march pourrait biencependant donner l'avantage au second. En effet, la mise en place de Vpn
par Ip entregnralement dans une politiquede rduction des cots lis
l'infrastructure rseau desentreprises. Les Vpn sur Ip permettent en effet de se passer
des liaisons loues de type Atm ou Frame Relay. Le cot des VpnIp est actuellement assez
intressant pour motiver denombreuses entreprises franchir le pas. A performance gales un
VpnMpls cote deux fois moins cher qu'une ligne Atm. Mais si les solutions base de Mpls
prennent actuellement ledevant face aux technologies Ipsec c'est principalement grce
l'intgration possible de solution de tlphonie sur Ip. La qualit de service offerte par le Mpls
autorise en effet Ce type d'utilisation. Le march des Vpn profite donc de l'engouement actuel
pour ces technologies qui permettent elles aussi de rduire les cots des
infrastructures de communication. Les Vpn sont donc amens prendre de plus en plus de
place dans les rseaux informatiques.
Chapitre 3 :
Ralisation
Chapitre 3 : Ralisation
Introduction
Nous avons ralis une maquette simulant la solution VPN MPLS laide de lmulateur
GNS3 de Cisco, une tude t entame concernant les differents protocoles de routage et
leurs configuration sur les routeurs Cisco.
I.
Prsentation du logiciel GNS3 :
Le logiciel GNS3 est en fait une interface graphique pour loutil sous-jacent
A lheure actuelle, seules certaines plateformes de routeurs sont mules ainsi que
les plateformes PIX et ASA qui sont les Firewalls de la gamme Cisco. De
simplescommutateursEthernet sont muls, et permettentnotamment linterconnexion du Lab
virtuel ainsi cre avecun rseau physique.
Cette solution pourra donc tre choisie pour la mise en place de labos virtuels, notamment
dans le cadre de la prparation des premires certifications Cisco telles que le CCNA, mais
ncessitera une machine avec de bonnes ressources pour muler plusieurs quipements en
simultan.
II.
Description de la maquette :
Figure 13:Maquette10
Pour les routeurs P et PE on a utilis des routeurs Cisco 7200 avec version
IOS c7200-adventerprisek9-mz.124-4.T1.bin supportant ainsi la technologie
MPLS.
Pour les routeurs CE on a utilis aussi des routeurs Cisco 7200 avec version
IOS c7200-adventerprisek9-mz.124-4.T1.bin ,cesrouteus appartiennent au client et
nont aucune connaissance des VPN ou meme de la notion de label.Tout routeur
traditionnel peut etre un routeur CE,quelque soit son type ou la version dIOS
utilise.Ces routeurs nont pas besoin de supporter la technologie MPLS,puisquils
sont des routeurs clients.
III.
10
Plan dadressage
Nous avons utilis pour notre maquette des adresses prives de diffrente classe avec
un masque 24, les loopback (interface de bouclage locale) sont des adresses prives de
classe A avec un masque 32.Voici ladressage pour chaque routeur :
Priphrique
Interface
R1
Routage
Network
S1/0
S1/1
S1/2
S1/3
Masque Sousreseau
172.16.1.1 255.255.255.252
172.16.1 .5 255.255.255.252
172.16.1.9 255.255.255.252
172.16.1.1 255.255.255.252
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
172.16.1.0
172.16.1.0
192.16.1.0
192.16.1.0
R2
S1/0
S1/6
S1/7
172.16.1.3
10.10.11.1
10.10.12.1
255.255.255.252
255.255.255.252
255.255.255.252
OSPF/BGP
OSPF/BGP
OSPF/BGP
172.16.1.0
10.10.11.0
10.10.12.0
R3
S1/1
S1/6
S1/7
172.16.1.6
10.10.31.1
10.10.32.1
255.255.255.252
255.255.255.252
255.255.255.252
OSPF/BGP
OSPF/BGP
OSPF/BGP
172.16.1.0
10.10.31.0
10.10.32.0
R4
S1/2
S1/6
S1/7
172.16.1.9
10.10.21.1
10.10.22.1
255.255.255.252
255.255.255.252
255.255.255.252
OSPF/BGP
OSPF/BGP
OSPF/BGP
172.16.1.0
10.10.21.1
10.10.22.1
R5
S1/3
S1/6
S1/7
172.16.1.14
10.10.41.1
10.10.42.1
255.255.255.252
255.255.255.252
255.255.255.252
OSPF/BGP
OSPF/BGP
OSPF/BGP
172.16.1.0
10.10.41.0
10.10.42.0
R6
S1/0
F0/0
S1/0
F0/0
S1/0
F0/0
S1/0
F0/0
S1/0
F0/0
S1/0
F0/0
S1/0
F0/0
S1/0
F0/0
10.10.11.2
192.168.0.0
10.10.12.2
192.168.1.0
10.10.31.2
192.168.2.0
10.10.32.2
192.168.3.0
10.10.21.2
192.168.4.0
10.10.22.2
192.168.5.0
10.10.41.2
192.168.6.0
10.10.42.2
192.168.7.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
10.10.11.0
192.168.0.0
10.10.12.0
192.168.1.0
10.10.31.0
192.168.2.0
10.10.32.0
192.168.3.0
10.10.21.0
192.168.4.0
10.10.22.0
192.168.5.0
10.10.41.0
192.168.6.0
10.10.42.0
192.168.7.0
R7
R8
R9
R10
R11
R12
R13
Adresse IP
IV.
Protocole de routage
les CE sont des routeurs clients traditionnels,nayant aucune connaissance de MPLS
ou des VRF. Les CE doivent donc changer leurs routes IP avec leurs PE au moyen de
protocoles de routage classique. Les protocoles supports par IOS sont eBGP(externel
BGP),RIPv2,et OSPF. Le protocole eBGP a t choisi dans notre projet et cela pour
lchange des routes entre les PE et les CE.
Dautre part un protocole de routage interne doit etre utilis sur le backbone pour
pouvoir diffuser les labels MPLS. Il est conseill dutiliser un protocole tat de lien
tel quOSPF ou IS-IS qui sont les seuls permettre le trafic Engineering.
Le protocole OSPF a lavantage de pouvoir supporter le VLSM (variable
lengthsubnetmask)ce qui permet dviter le gaspillage dans lutilisation des
adresses.Nous avons utilis un seul aire pour le rseau : Aire 0 pour le Backbone
MPLS form par les routeurs P et PE.
Un autre protocole de routage est activ qui est BGP au niveau des routeurs P et PE
pour lchange des routes MPLS VPN.
V.
Configuration de la maquette :
les configurations des routeurs diffrent selon que ceux-ci soient des routeurs P,PE ou
CE. Un routeur CE, par exemple, est un routeur daccs client et na pas supporter
les fonctionnalits MPLS ni celle de VPN. Les routeurs PE, par contre, doivent
supporter MPLS sur les interfaces qui appartiennent au backbone et non celles qui sont
relis aux routeurs clients. La cration des VPN se fait au niveau des routeurs PE. Les
routeurs P doivent supporter les fonctionnalits MPLS.
Dans ce qui suit, nous allons dcrire les tapes de configuration de base pour chaque
groupe de routeurs.
Seulement les routeurs PE et P supportent MPLS donc lactivation est ralise ce niveau.
Avant de configurer MPLS sur les interfaces des routeurs il est indispensable dactiver le CEF
(Cisco Express Forwarding).
Nous avons choisi LDP (Label Distribution Protocol) pour distribuer les labels MPLS.
Lactivation diffre suivant lemplacement du routeur dans le backbone :
Dans les routeurs P nous avons activ MPLS sur toutes les interfaces
Dans les routeurs PE, MPLS est activ seulement sur les interfaces liant ces routeurs
au routeur P.
La commande show mpls interfaces vrifie que MPLS soit activ dans les
interfaces des routeurs P et PE.
Voila le backbone MPLS est fonctionnel. Lune des applications les plus
importantes du protocole MPLS est de pouvoir crer des rseaux privs virtuels
VPN, pour cela on va implmenter dans notre maquette un VPN MPLS.
Aprs avoir installer les machines virtuelles,on va suivre les tapes suivantes
pour connecter GNS3 :
CONCLUSION GENERALE
Dsormais tous les oprateurs commencent utiliser les rseaux MPLS, car la
tendance des rseaux de communications consiste faire converger les rseaux de
voix, donnes, multimdia en un rseau unique bas sur les paquets IP. Du fait que le
protocole MPLS apporte des services IP ainsi que de la convergence des rseaux, le
protocole MPLS a certainement un grand avenir devant lui.
Lobjectif de ce projet tait essentiellement dtudier le standard MPLS, les
applications supportes par ce standard et dimplmenter et configurer une maquette
de simulation.
iptcpsynwait-time 5
!
interface Loopback0
ip address 10.10.10.10 255.255.255.255
ipospf 1 area 0
!
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
!
interface Serial1/0
ip address 172.16.1.1 255.255.255.252
ipospf 1 area 0
mplsip
serial restart-delay 0
clock rate 56000
!
!
interface Serial1/1
ip address 172.16.1.5 255.255.255.252
ipospf 1 area 0
mplsip
serial restart-delay 0
clock rate 56000
!
!
interface Serial1/2
ip address 172.16.1.9 255.255.255.252
ipospf 1 area 0
mplsip
serial restart-delay 0
clock rate 56000
!
!
interface Serial1/3
ip address 172.16.1.13 255.255.255.252
ipospf 1 area 0
mplsip
serial restart-delay 0
clock rate 56000
!
!
interface Serial1/4
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/5
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/6
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/7
no ip address
shutdown
serial restart-delay 0
!
!
router ospf 1
router-id 1.1.1.1
log-adjacency-changes
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
!
mplsldp router-id Loopback0
!
control-plane
!
!
mgcp fax t38 ecm
mgcp behavior g729-variants static-pt
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
end
!
ipvrf client-b
rd 1:2
route-target export 1:2
route-target import 1:2
!
no ip domain lookup
no ipv6 cef
!
multilink bundle-name authenticated
!
!
redundancy
!
!
iptcpsynwait-time 5
!
interface Loopback0
ip address 20.20.20.20 255.255.255.255
ipospf 1 area 0
!
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
!
interface Serial1/0
ip address 172.16.1.2 255.255.255.252
ipospf 1 area 0
mplsip
serial restart-delay 0
!
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/4
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/5
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/6
ipvrf forwarding client-a
ip address 10.10.11.1 255.255.255.252
serial restart-delay 0
clock rate 56000
!
!
interface Serial1/7
ipvrf forwarding client-b
ip address 10.10.12.1 255.255.255.252
serial restart-delay 0
clock rate 56000
!
!
router eigrp 1
!
address-family ipv4 vrf client-a
redistribute bgp 1000 metric 1024 1 255 1 1500
network 10.10.11.0 0.0.0.3
autonomous-system 1
exit-address-family
!
address-family ipv4 vrf client-b
redistribute bgp 1000 metric 1024 1 255 1 1500
network 10.10.12.0 0.0.0.3
autonomous-system 1
exit-address-family
!
router ospf 1
router-id 2.2.2.2
log-adjacency-changes
!
router bgp 1000
no synchronization
bgp log-neighbor-changes
neighbor 30.30.30.30 remote-as 1000
neighbor 30.30.30.30 update-source Loopback0
neighbor 40.40.40.40 remote-as 1000
neighbor 40.40.40.40 update-source Loopback0
neighbor 50.50.50.50 remote-as 1000
neighbor 50.50.50.50 update-source Loopback0
no auto-summary
!
address-family vpnv4
neighbor 40.40.40.40 activate
neighbor 40.40.40.40 send-community extended
exit-address-family
!
address-family ipv4 vrf client-a
no synchronization
redistribute eigrp 1 metric 1
exit-address-family
!
address-family ipv4 vrf client-b
no synchronization
redistribute eigrp 1 metric 1
exit-address-family
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
mplsldp router-id Loopback0
!
control-plane
!
!
mgcp fax t38 ecm
mgcp behavior g729-variants static-pt
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
end
WEBOGRAPHIE
- http://www.frameip.com/mpls/
- http://www.cisco.com
- http://www.commentcamarche.net/contents/5
26-mpls-multiprotocol-label-switching
- http://www.futurasciences.com/magazines/hightech/infos/dico/d/internet-mpls-3901/
- http://wallu.pagesperso-orange.fr/pagvpn.htm
- http://www.nerim.fr/vpn-mpls