Professional Documents
Culture Documents
Promotion : IRT5
Ddicaces
Nous ddions ce travail :
Remerciements
Avant dentamer le vif de notre travail, il nous est tellement agrable de prsenter nos sincres remerciements au personnel de lEMSI. Nous tenons galement exprimer notre reconnaissance notre professeur encadrant Mr. Rachid ISMAILI qui nous a beaucoup encourags, pour son aide et orientation durant la priode du projet, il a engag son temps et ses conseils pour nous venir en aide. Nos vifs remerciements sont galement adresss tous les professeurs de lEMSI. Enfin, notre profonde gratitude et notre respect a toute personne qui a contribu de prs ou de loin llaboration de ce travail.
Abstract
Published by the IETF in 1997, MPLS technology first emerged within the networking industry for IP core networks primarily as a mechanism to provide VPN services and traffic engineering capabilities. MPLS is now being extended toward the Ethernet/optical and access-network segments to extend the benefits realized in the core and provide a true end-to-end architecture for the delivery of packet data services. This article will present an overview of the operation of MPLS, then an example of configuration the Cisco router.
Sommaire
Introduction gnrale. 1
Chapitre 1 : Gnralits sur les VPNs. 1.1 Mode de fonctionnement des VPNs 1.1.1 Gnralits.
2 2 2 3 3 4 4 5 5 6 7 8 9 9 12 17
1.2 Les types d'utilisation de VPNs. 1.2.1 Le VPN d'accs. 1.2.2 L'intranet VPN. 1.2.3 L'extranet VPN. 1.3 Les Protocoles utiliss. 1.3.1 PPTP (Point to Point Tunneling Protocol). 1.3.2 P2TP (Layer 2 Tunneling Protocol). 1.3.3 IPSec (IP Security). 1.3.4 Comparaison entre le PPTP et le T2LP / IPSec. 1.3.5 MPLS/VPN. 1.3.5.1 Introduction. 1.3.5.2 Principe de Fonctionnement. 1.3.6 Comparaison entre MPLS et IPSec.
Chapitre 2 : Ralisation. 2.1 Prsentation du logiciel GNS3. 2.2 Description de la maquette. 2.2.1 Lactivation du routage. 2.2.2 Lactivation du MPLS. 2.2.3 Lactivation du MPLS VPN. 2.3 Configuration d'un VPN MPLS.
19 19 20 21 21 22 22
30 31 32
Glossaire
A ASIC ATM B BGP C CEF D Diffserv DSCP E EGP EIGRP F FR FEC G GRE I Intserv IGP IGRP ISIS ISP Integrated Services Interior Gateway Protocol Interior Gateway Routing Protocol Intermediate System-to-Intermediate System Internet Service Provider Generic Routing Encapsulation Frame Relay Forwarding Equivalency Class Exterior Gateway Protocol Enhanced Interior Gateway Routing Protocol Differentiated Services Differentiated Services Code Point Cisco Express Forwarding Border Gateway Protocol Application Specific Interface Circuits Asynchronous transfer mode
L LDP LSP LSR M MPLS MP-BGP MTU O OSPF P PPP POP PHP Q QoS R RD RIP RSVP RT S SDH T TDP TE TTL Tag Distribution Protocol Traffic Engineering Time to Live Synchronous Digital Hierarchy Route distinguishers Routing Information Protocol Ressource Reservation Protocol Route Targets Quality of Service Point to Point Protocol Point of Presence Penultimate Hop Popping Open Shortest Path First Multi Protocol Label Switching MultiProtocol-Exterior Gateway Protocol Maximum Transmission Unit Label Distribution Protocol Label Switching Path Label Switching Router
V VPN VRF W WDM Wavelength Division Multiplexing Virtual private Network VPN Routing and Forwarding
[Les VPN Etude comparative et ralisation dun VPN MPLS] Introduction gnrale
Introduction gnrale
Au dbut de l'Internet, la proccupation majeure tait de transmettre les paquets leur destination. Ensuite, des mcanismes inhrents TCP ont t dvelopps pour faire face aux consquences induites par les pertes de paquets ou la congestion du rseau. Mais depuis le dbut des annes 1990, la communaut des fournisseurs de service (ISP : Internet service Provider) qui administrent l'Internet est confronte non seulement au problme de croissance explosive mais aussi des aspects de politique, globalisation et stabilit du rseau. Par ailleurs, outre ces diffrents aspects, apparat une trs forte diversification des services offerts. Ainsi de nouvelles applications se dveloppent sur le rseau : tlphonie, vidoconfrence, diffusion audio et vido, jeux en rseau, radio et tlvision en direct Lmergence des rseaux privs virtuels (VPN), ncessite galement une diffrentiation de services. La qualit de service de bout en bout apparat, dans ce contexte, essentielle au succs de ces applications. Avec larrive de la technologie MPLS et les modles de gestion de la qualit de service (Diffserv et Intserv) une nouvelle approche est considre (MPLS pour laugmentation des performances des quipements rseaux, les notions de trafic engineering et les VPN et la gestion de qualit de service pour le traitement de la congestion, la classification des trafics et la garantie de service). Du point de vue ISP, considr comme le client principal du backbone IP et la passerelle des utilisateurs Internet et rseaux, un dfit est surmonter cest dassurer une liaison parfaite entre ses sites travers le backbone. Plusieurs solutions existent dont la plus innovante est MPLS VPN. Cette tude est compose de 2 chapitres. Le premier chapitre prsente les VPN son principe de fonctionnement, ses nouveaux concepts et ses atouts. Le deuxime chapitre contient la ralisation de la maquette de simulation VPN/MPLS.
1
Chapitre 1 :
Mode du Fonctionnement des VPNs Les types d'utilisation de VPN Protocoles utiliss
L'utilisateur demande au fournisseur d'accs de lui tablir une connexion crypte vers le serveur distant : il communique avec le NAS (Network Access Server) du fournisseur d'accs et c'est le NAS qui tablit la connexion crypte.
Lutilisateur possde son propre logiciel client pour le VPN auquel cas il tablit directement la communication de manire crypte vers le rseau de lentreprise.
Le client effectue d'abord une connexion avec son FAI (Fournisseur daccs Internet). Cette premire connexion tablie une connexion de type PPP et permet de faire circuler des donnes sur Internet.
Par la suite, une deuxime connexion dial-up est tablie. Elle permet d'encapsuler les paquets PPP dans des datagrammes IP. C'est cette deuxime connexion qui forme le tunnel PPTP.
Ainsi, le trafic conu pour Internet emprunte la connexion physique normale et le trafic conu pour le rseau priv distant passe par la connexion virtuelle de PPTP.
Figure 1.5: Principe d'encapsulation PPTP Il existe ensuite dautres protocoles qui peuvent tre associ PPTP afin de scuriser les donnes ou de les compresser. Mais nous ne nous sattarderons pas sur ces diffrents protocoles.
les concentrateurs d'accs L2TP (LAC) : Ces priphriques LAC fournissent un support physique aux connexions L2TP. Le trafic tant alors transfr sur les serveurs rseau L2TP. Ces serveurs peuvent s'intgrer la structure d'un rseau commut RTC ou alors un systme d'extrmit PPP prenant en charge le protocole L2TP. Ils assurent le fractionnement en canaux de tous les protocoles bass sur PPP. Le LAC est l'metteur des appels entrants et le destinataire des appels sortants.
les serveurs rseau L2TP (LNS) : Le LNS gre le protocole L2TP ct serveur. Le protocole L2tp n'utilise qu'un seul support, sur lequel arrivent les canaux L2TP. Ils sont cependant capables de terminer les appels en provenance de n'importe quelle interface PPP du concentrateur d'accs Lac.
[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 Le LNS est l'metteur des appels sortants et le destinataire des appels entrants. C'est lui qui sera responsable de l'authentification du tunnel. L2TP n'intgre pas directement de protocole pour le chiffrement des donnes. C'est pourquoi on l'utilise trs souvent avec le protocole IPSec. On distingue principalement 2 composantes dans les paquets L2TP :
Les paquets d'information, encapsuls dans des paquets PPP pour les sessions utilisateurs qui servent pour le transport de L2TP. Le protocole de signalisation, qui utilise le contrle de l'information L2TP est encapsul dans des paquets UDP/IP.
Le premier, Authentification Header (AH) vise assurer l'intgrit et l'authenticit des datagrammes IP. Il ne fournit par contre aucune confidentialit. Le second, Encapsulating Security Payload (ESP) peut aussi permettre
l'authentification des donnes mais est principalement utilis pour le cryptage des
7
[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 informations. Ces deux premiers mcanismes sont presque toujours utiliss conjointement.
Le troisime, Internet Key Exchange (IKE) permet de grer les changes ou les associations entre protocoles de scurit.
Mauvaise gestion des mots de passe Faiblesses dans la gnration des cls de session Faiblesses cryptographiques Identification des paquets non implmente
L2TP / IPSec sont plus robustes en terme de scurit que lutilisation du PPTP. Les points ngatifs de L2TP / IPSec sont les suivants :
Lensemble des quipements dun VPN L2TP doit bien implmenter le protocole IPSec. IPSec ne permet didentifier que des machines et non pas des utilisateurs. IPSec cause de la lourdeur des oprations de cryptage/dcryptage rduit les performances globales des rseaux. Lachat de priphriques ddis, coteux est souvent indispensable.
[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 Au lancement des VPN/MPLS le modle Overlay avait t choisi, il consiste muler des lignes ddies entre chaque entit du client sur le rseau MPLS. Il sagit en fait dun LSP (Label Switched Path) sur le rseau MPLS qui relie chaque site. La cration de ces LSP entre les diffrents sites de lentreprise permettra alors de former un VPN IP. Overlay model
Ce modle a cependant un inconvnient car les points daccs au rseau MPLS se situent dans le rseau du client. En effet, lajout de nouveaux sites dans ce VPN ncessite la cration de nouveaux LSP. Ce modle pose ainsi un problme de scalabilit. Si nous avons 5 sites appartenant un VPN, lajout dun 6ime site requiert la mise en place de 5 nouveaux LSP. Par consquent, plus le nombre de sites est lev plus la tache savre fastidieuse. Un autre modle rsout ce problme de scalabilit, il sagit du modle peer to peer . Ainsi, lajout dun grand nombre de sites ne pose pas de difficult. Dautre part, les points daccs au rseau MPLS, de ce modle, se trouvent cette fois ci du cot de loprateur sur les quipements PE (Provider Edge router). Chaque site change avec
10
[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 les quipements PE des informations de routage et loprateur achemine par la suite les donnes vers les sites de destination sur son rseau MPLS. Peer to peer model
Actuellement ce modle est largement employ chez les oprateurs car il permet lajout de nouveaux sites en changeant la configuration des PE. De plus, du point de vue de lutilisateur linterconnexion avec le VPN ne se fait que sur un seul quipement de loprateur contrairement au modle Overlay, il sagit du PE. Enfin, le routage entres diffrents sites clients est optimale car le PE connat sa topologie et peut de ce fait choisir la route adquate. De manire gnrale, la topologie utilise pour relier les sites dans un VPN avec ce modle est la topologie entirement maille ou full mesh . Cela implique que tous les sites peuvent se voir ou bien quil existe une liaison point point entre tous les sites du VPN.
[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 Durant la conception dun rseau dentreprise, les ingnieurs choisissent gnralement des plages dadresses IP prives pour leur rseau LAN (10.0.0.0, 172.16.0.0, 192.168.0.0). Or le rseau MPLS permet limplmentation de plusieurs VPN clients au sein de son rseau. Il faut par consquent trouver un moyen de diffrencier les VPN qui peuvent avoir le mme adressage IP. La notion de route distinguisher ou RD est alors introduite afin de diffrencier les diffrentes routes qui circulent sur le rseau MPLS. Cette route distinguisher dune taille de 8 octets est ajoute au prfixe ipv4 (de 4 octets) pour tendre ladressage IP. La taille de cette adresse fait donc 96 bits en tout. Le format de cette adresse devient alors : RD : prfixe IPV4 Cette extension de ladresse IP nous permet de diffrencier les diffrentes plages dadresses, elle nous permet galement de diffrencier les diffrents VPN. De plus, pour rendre la communication inter VPN interdite, la technologie MPLS implmente des tables de routages spcifiques chaque VPN. Ces tables de routage appeles VRF (Virtual Routing and Forwarding table) se rfrent aux identifiants de chaque VPN, les RD. De cette faon chaque VPN possdent leur propre table de routage ou VRF dans le rseau MPLS et ne voient pas les autres routes accessibles sur le rseau MPLS. Nanmoins il existe une certaine flexibilit sur ces VRF, car dans le cas ou lon souhaite implmenter un extranet par exemple, un site peut alors appartenir plusieurs VPN. Mais, cela ne change rien au fait que le routage est impossible entre deux VPN diffrents. Les CPE (Customer Premises Equipment) des sites utilisateurs sont connects au PE de loprateur pour appartenir au VPN. Ensuite les VRF des VPN en question doivent tre configurs sur les interfaces des PE pour que les sites soient bien relis cette VRF ou encore ce VPN. Suivant leurs configurations les PE peuvent alors avoir plusieurs interfaces configures pour plusieurs VRF. Il en rsulte donc que les PE peuvent avoir plusieurs tables de routage pour chaque VPN. De plus, nous pouvons prciser que ces tables de routage VRF sont mises jours en parallle avec la table de routage principale du PE ou nud Edge-LSR.
12
[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 Pour rappel, cette table de routage principale sert atteindre les autres nuds LSR au sein du rseau MPLS. Elle est remplie par un protocole de routage IGP et sert mettre jour la LFIB qui fait la correspondance entre les FEC et les labels.
Sur la figure prcdente les sites connects au VPN matrialisant la connexion CPE - PE peuvent communiquer avec lintermdiaire dune route statique ou encore RIP v2, OSPF BGP pour envoyer leurs informations vers le PE de loprateur. Dans notre exemple nous utilisons le protocole RIP v2. Jusqu' prsent nous avons vu comment les sites clients envoyaient leurs informations vers les PE et comment les PE grer ces diffrents VPN. Maintenant nous allons nous intresser la communication des sites clients mais du cot backbone MPLS. Nous avons vu plus haut que les nuds LSR utilisent un protocole IGP pour connatre leurs voisins dans le rseau MPLS. Cela leur permettait de renseigner leur table LIB faisant lassociation des FEC avec les labels.
13
[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 Dautre part, un protocole de distribution de label est utilis pour changer les labels et effectuer des mapping entre les nuds LSR pour tablir un LSP. Mais avec les VPN il y a eu lintroduction du RD (Route Distinguisher) afin de distinguer les diffrents VPN. Il a t dcid que pour les VPN implments sur les rseaux MPLS, le protocole dchange de label serait le MP-BGP (MultiProtocol Border Gateway Protocol). Des sessions BGP sont tablies entre deux nuds Edge-LSR (ou PE) et non entre un PE et un LSR (ou P router). Car en effet, entre le PE et les P router, le mcanisme qui sapplique est le label swapping . Les sessions BGP sont donc effectues entre les diffrents PE pour changer les labels faisant lassociation entre les labels et les VRF.
Figure 1.11 : Principe de fonctionnement(2) Lorsquun PE apprend une nouvelle route : Il insre dans sa VRF et indique quil sait la joindre en RIP. Ensuite il annonce cette route avec les autres PE en tablissant une session BGP en Enfin, seul les PE sur lesquels les VRF ont t configures vont rajouter ces routes dans
fournissant le label associ pour pouvoir atteindre ce VPN en question. leur table de routage.
14
[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 Ds lors quil y a un transport de donnes entre les VPN, les CPE envoient les paquets aux PE avec lesquels ils sont connects. Les PE identifient quels VPN ces CPE font parties, ensuite ils consultent leur VRF et insrent le label qui est associ au prfixe IP de destination et qui fait galement partie de ce VPN. Par la suite, la notion de pile de labels ou stack label intervient. Le label dont vous venons de parler juste avant est dj insr sur les paquets, il nous sert identifier vers quel VPN nous devons communiquer. Mais lors de la traverse du cur de rseau MPLS, nous avons des labels supplmentaires insrs en haut de la pile pour pouvoir acheminer les donnes dun noeud LSR un autre. Ces nouveaux labels nous servent transfrer les donnes durant le processus de label swapping . Ces labels sont donc commuts chaque saut entre les nuds LSR et ces nuds ne soccupent pas des labels situs en dessous du label en haut de pile. A larrive sur le nud Edge-LSR, le nud LSR qui vient de lui envoy les donnes a auparavant retir le label ncessaire au mcanisme de label swapping. Le nud Edge-LSR se retrouve ainsi avec des donnes mais possdant encore le label du VPN. Le nud Edge-LSR na plus qu identifier la valeur du VPN de retirer ce dernier label et transferer les donnes lextrieur du rseau MPLS. Ces donnes sont finalement envoyes vers le CPE reli au VPN identifi juste avant. Remarque : Il se peut que des PE se situent dans le mme LAN et que pour envoyer les donnes du site 1 vers le site 2 ils naient pas besoin de passer par un P router. Le transfert se fait alors de PE PE directement car il sagit du chemin optimal. Ce procd est le Penultimate Hop Popping qui consiste retirer des labels avant lenvoi des donnes vers le nud egress. Cela vite ainsi que le nud egress ait 2 fois consulter les labels et lentte IP de destination pour forwarder les donnes utilisateurs.
15
16
Toutes les applications, y compris les logiciels d'entreprise vitaux exigeant une qualit de service leve et une faible latence et les applications en temps rel (vido et voix sur IP) Dpend du rseau Mpls du Etendue fournisseur de services Evolutivit leve puisque n'exige Evolutivit pas une interconnexion d'gal gal entre les sites et que les dploiements standard peuvent prendre en charge plusieurs dizaines de milliers de connexions par Vpn Frais de Aucun traitement exig par le Traitements supplmentaires pour le cryptage et le dcryptage gestion du routage rseau Vitesse de Le fournisseur de services doit Possibilit d'utiliser l'infrastructure du dploiement dployer un routeur Mpls en bordure rseau Ip existant de rseau pour permettre l&148;accs client Prise en Non requise. Le Mpls est une Logiciels ou matriels client requis charge par le technologie rseau client Applications compatibles Tableau1.1: Comparaison entre MPLS et IPSec.
17
Conclusion
Cette tude des solutions Vpn, met en vidence une forte concurrence entres les diffrents protocoles pouvant tre utiliss. Nanmoins, il est possible de distinguer deux rivaux sortant leurs pingles du jeu, savoir Ipsec et Mpls. Ce dernier est suprieur, mais il assure, en outre, simultanment, la sparation des flux et leur confidentialit. Le dveloppement rapide du march pourrait bien cependant donner l'avantage au second. En effet, la mise en place de Vpn par Ip entre gnralement dans une politique de rduction des cots lis l'infrastructure rseau des entreprises. Les Vpn sur Ip permettent en effet de se passer des liaisons loues de type Atm ou Frame Relay. Le cot des Vpn Ip est actuellement assez intressant pour motiver de nombreuses entreprises franchir le pas. A performance gales un Vpn Mpls cote deux fois moins cher qu'une ligne Atm. Mais si les solutions base de Mpls prennent actuellement le devant face aux technologies Ipsec c'est principalement grce l'intgration possible de solution de tlphonie sur Ip. La qualit de service offerte par le Mpls autorise en effet Ce type d'utilisation. Le march des Vpn profite donc de l'engouement actuel pour ces technologies qui permettent elles aussi de rduire les cots des infrastructures de communication. Les Vpn sont donc amens prendre de plus en plus de place dans les rseaux informatiques.
18
Chapitre 2 :
Ralisation
Chapitre 2 : Ralisation.
Introduction.
Nous avons ralis une maquette simulant la solution MPLS VPN l'aide de lmulateur GNS3 de Cisco, une tude a tait entame concernant les diffrents protocoles de routages et leur configuration sur les routeurs Cisco.
Le logiciel GNS3 est en fait une interface graphique pour loutil sous-jacent Dynamips qui permet lmulation de machines virtuelles Cisco. Il est ncessaire dinsister sur le terme mulation, dans la mesure o ces machines sappuient sur les vritables IOS fournis par Cisco et leur confrent donc lintgralit des fonctionnalits originales. Ce logiciel peut donc tre oppos Packet Tracer, qui est un simulateur fourni par Cisco dans le cadre de son programme acadmique, et qui est donc limit aux seules fonctionnalits implmentes par les dveloppeurs du logiciel. Les performances des machines ainsi cres ne sont bien entendu pas quivalentes celles des machines physiques relles, mais elles restent amplement suffisantes pour mettre en uvre des configurations relativement basiques et apprhender les concepts de base des quipements Cisco. A lheure actuelle, seules certaines plateformes de routeurs sont mules ainsi que les plateformes PIX et ASA qui sont les Firewalls de la gamme Cisco. De simples commutateurs Ethernet sont muls, et permettent notamment linterconnexion du Lab virtuel ainsi cre avec un rseau physique.
19
[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2 Cette solution pourra donc tre choisie pour la mise en place de labos virtuels, notamment dans le cadre de la prparation des premires certifications Cisco telles que le CCNA, mais ncessitera une machine avec de bonnes ressources pour muler plusieurs quipements en simultan. Pour tout autre renseignement sur le produit ou son tlchargement, vous pouvez vous rendre directement sur la page www.gns3.net . Concernant les IOS, il vous faudra un compte CCO pour tlcharger les IOS souhaits depuis le site de Cisco.
Figure 2.20: Maquette ralise. Cette topologie met en vidence un VPN d' Intranet simple entre deux sites appartenant au client EMSI : situe A et site B. Le rseau du client comprend les routeurs CEA et CEB.
20
[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2 Nous avons utilis pour cette tche 5 routeurs dont : 1 routeur reprsentant le core MPLS (des routeurs P). 2 routeurs reprsentant ledge MPLS (des routeurs PE) et simulant les routeurs de Casa et Marrakech. 2 routeurs dsignant des sites de lEMSI (des routeurs CE). Tous les routeurs sont de type Cisco, la gamme 7200 utilisant comme image IOS c7200jk9o3s-mz.124-19.bin supportant la technologie MPLS.
interface Loopback0 ip address 1.1.1.1 255.255.255.255 interface Serial1/1 ip address 10.0.2.2 255.255.255.0 mpls label protocol ldp mpls ip clock rate 2016000 interface Serial1/0 ip vrf forwarding emsi ip address 10.0.1.1 255.255.255.0 clock rate 2016000 router ospf 1 network 1.1.1.1 0.0.0.0 area 0 network 10.0.4.2 0.0.0.0 area 0 router bgp 65000 no synchronization bgp log-neighbor-changes neighbor 2.2.2.2 remote-as 65000 neighbor 2.2.2.2 update-source Loopback0 no auto-summary address-family vpnv4 neighbor 2.2.2.2 activate neighbor 2.2.2.2 send-community both neighbor 2.2.2.2 next-hop-self exit-address-family address-family ipv4 vrf emsi neighbor 10.0.1.2 remote-as 65001 neighbor 10.0.1.2 activate neighbor 10.0.1.2 as-override
Associer VRF avec une interface Association de VRF l'adresse IP de l'interface. ip address affecter ladresse APRES la VRF. Configuration de ospf entre les PE. Configuration des voisins MP-iBGP.
utiliser loopback comme adresse source Configuration de l' "address-familiy" BGP VPNv4 activer les familles dadresses IPv4 et vpnv4
hostname PEB ip cef ip vrf emsi rd 100:100 route-target both 100:100 interface Loopback0 ip address 2.2.2.2 255.255.255.255 interface Serial1/0 ip address 10.0.3.1 255.255.255.0 mpls label protocol ldp mpls ip clock rate 2016000 interface Serial1/1 ip vrf forwarding emsi ip address 10.0.5.2 255.255.255.0 clock rate 2016000 router ospf 1 network 2.2.2.2 0.0.0.0 area 0 network 10.0.4.1 0.0.0.0 area 0 router bgp 65000 no synchronization bgp log-neighbor-changes redistribute connected neighbor 1.1.1.1 remote-as 65000 neighbor 1.1.1.1 update-source Loopback0 no auto-summary address-family vpnv4 neighbor 1.1.1.1 activate neighbor 1.1.1.1 send-community both neighbor 1.1.1.1 next-hop-self exit-address-family address-family ipv4 vrf emsi neighbor 10.0.5.1 remote-as 65001 neighbor 10.0.5.1 activate neighbor 10.0.5.1 as-override no synchronization exit-address-family
activation du MPLS .
24
hostname CEB ip cef interface FastEthernet2/0 ip address 10.0.6.2 255.255.255.0 interface Serial1/0 ip address 10.0.5.1 255.255.255.0 clock rate 2016000 router bgp 65001 no synchronization bgp log-neighbor-changes network 10.0.0.0 redistribute connected neighbor 10.0.5.2 remote-as 65000 no auto-summary
activation du MPLS. Configuration de linterface FastEthernet2/0. Configuration de linterface Serial1/0. Configuration du routage BGP sur le routeur CEB.
hostname P ip cef interface Loopback0 ip address 3.3.3.3 255.255.255.255 interface Serial1/0 ip address 10.0.2.1 255.255.255.0 mpls label protocol ldp mpls ip clock rate 2016000 interface Serial1/1 ip address 10.0.3.2 255.255.255.0 mpls label protocol ldp mpls ip clock rate 2016000 router ospf 1 network 3.3.3.3 0.0.0.0 area 0 network 10.0.2.1 0.0.0.0 area 0 network 10.0.3.2 0.0.0.0 area 0
Activation du MPLS .
25
Verification:
show ip vrf vrifies lexistence de la table VFR. show ip vrf interfaces Vrifies les interfaces actives. show ip route vrf emsi Vrifies les informations de routage au niveau du routeur PE. traceroute vrf emsi 10.0.0.1 Vrifies les informations de routage au niveau du routeur PE. show ip bgp vpnv4 tag : Vrifie le protocole de routage BGP. show ip cef vrf emsi 10.0.0.1 detail : Vrifie les informations de routage au niveau du routeur PE. sh mpls forwarding-table sh tag-switching tdp bindings sh ip ospf database sh ip route
Figure 2.21: Commande traceroute excute au niveau du routeur CEB avec ladresse 10.0.0.1 Le label MPLS affich pour chaque hop correspond au label en entre du routeur. Le champ Exp (cod sur 3 bits) est similaire au champ TOS de l'entte IP, mais n'est pas employ ici. Le routeur PEB a insr 2 Labels dans le paquet, le premier label (19) pour le VPN emsi , le deuxime (16) pour la commutation LSP au sein du nuage MPLS. Le routeur P a supprim le Label (16) du paquet avant de le rexpdier au routeur PEA.
26
Figure 2.22: Commande traceroute excute au niveau du routeur CEA avec ladresse 10.0.6.2 Le label MPLS affich pour chaque hop correspond au label en entre du routeur. Le champ Exp (cod sur 3 bits) est similaire au champ TOS de l'entte IP, mais n'est pas employ ici. Le routeur PEA a insr 2 Labels dans le paquet, le premier label (19) pour le VPN emsi , le deuxime (17) pour le routeur lui-mme. Le routeur P a supprim le Label (17) du paquet avant de le rexpdier au routeur PEB.
Figure 2.23: Commande Show ip vrf excute au niveau du routeur PEB. La commande Show ip vrf permet de tester lexistence des VRFs sur lensemble des interfaces dun routeur, et les affiches. Dans notre exemple, le nom du vrf est emsi sur linterface srie 1/1.
Figure 2.24: Commande Show ip vrf interfaces excute au niveau du routeur PEA. Cette commande permet dafficher linterface sur laquelle le VRF est activ, ici cest linterface Srie 1/0 avec comme adresse IP : 10.0.1.1
27
Figure 2.25: Commande Show mpls forwarding-table excute au niveau du routeur PEB. Cette commande permet de voir le LFIB de PEB constitu dynamiquement grce au protocole LDP.
Figure 2.26: Commande Show ip cef vrf emsi 10.0.6.2 detail excute au niveau du routeur PEA. La table CEF d'une VRF peut galement tre examine, au moyen de la commande show ip cef vrf emsi
28
Conclusion :
Dans ce chapitre, nous avons, tous dabord, prsent lmulateur GNS3 de CISCO. Il est signaler que nous avons pu parvenir utiliser un IOS (Image Shell des routeurs CISCO) rcent aprs des multiples difficults que nous avons pu surmonter en s'appuyant sur
plusieurs profondes recherches ainsi quune documentation trs difficile trouver. En dernier, nous avons choisi une topologie rseau permettant de mettre en uvre les principales fonctionnalits VPN MPLS. Une topologie qui consiste interconnecter les deux sites EMSI via un rseau oprateur utilisant comme technologie de transport MPLS. Les rsultats escompts sont comments et montrent bien le fonctionnement de notre rseau.
29
[Les VPN Etude comparative et ralisation dun VPN MPLS] Conclusion gnrale
Conclusion Gnrale
Lvolution dans le domaine des tlcommunications ne cesse de donner une grande souplesse pour trouver des solutions efficaces pour certains dangers et pour fournir une scurit des biens et des personnes. En effet, la combinaison entre les technologies VPN et MPLS a permis de fournir une solution scuritaire. Cette solution assure, dune manire efficace, la protection des biens et des personnes nimporte o dans le monde. Ce rapport sarticule sur deux chapitres : dans le premier, nous avons expos les fondements des VPNs, Dans le deuxime, nous avons prsent une solution VPN d'Intranet simple entre deux sites appartenant au client EMSI. Comme perspective de ce travail, nous proposons une solution mixte VPN MPLS/IPSec. La nouvelle solution, intgrant une partie des solutions rseaux existantes, est compose dun rseau VPN/MPLS reliant les PE, P associs des accs IPSec pour les sites qui sy rattachent, afin de rendre le rseau plus scuris.
30
Bibliographie/Annexes
Bibliographie
(1) GUY PUJOLLE, Les Rseaux , 6me dition, EYROLLES, 2008, numros des pages consultes [853-866]. (2) R. et E. Corvalan et Y, Les VPN, DUNOD. (3) Bibliographie WEB : http://www.securiteinfo.com/ http://www.hsc.fr/ http://www.routage.org/ www.cisco.com www.ietf.org WWW.GNS3.com
31
Bibliographie/Annexes
Annexes
Table de routage:
Verifier le BGP:
Verifier lOSPF:
32
Bibliographie/Annexes
33