Mini Projet

Virtual Private Network

Etude comparative et ralisation dun VPN MPLS

Ralis par : NOUCHTI Ouafa El QASMI Med Zakaria HILALI Tarik

Encadr par : Mr : ISMAILI Rachid

Promotion : IRT5

Anne universitaire 2009/2010

Ddicaces
Nous ddions ce travail :

A nos chers parents pour leur amour, sacrifice et soutiens.

A nos collgues pour leur comprhension et fidlit.

A nos enseignants pour leurs efforts remarquables.

A ceux qui nous devons reconnaissance.

A ceux qui nous font partager joies et souffrances.

Quils trouvent tous ici nos sincres gratitudes et reconnaissances.

Remerciements
Avant dentamer le vif de notre travail, il nous est tellement agrable de prsenter nos sincres remerciements au personnel de lEMSI. Nous tenons galement exprimer notre reconnaissance notre professeur encadrant Mr. Rachid ISMAILI qui nous a beaucoup encourags, pour son aide et orientation durant la priode du projet, il a engag son temps et ses conseils pour nous venir en aide. Nos vifs remerciements sont galement adresss tous les professeurs de lEMSI. Enfin, notre profonde gratitude et notre respect a toute personne qui a contribu de prs ou de loin llaboration de ce travail.

Abstract

Published by the IETF in 1997, MPLS technology first emerged within the networking industry for IP core networks primarily as a mechanism to provide VPN services and traffic engineering capabilities. MPLS is now being extended toward the Ethernet/optical and access-network segments to extend the benefits realized in the core and provide a true end-to-end architecture for the delivery of packet data services. This article will present an overview of the operation of MPLS, then an example of configuration the Cisco router.

Sommaire
Introduction gnrale. 1

Chapitre 1 : Gnralits sur les VPNs. 1.1 Mode de fonctionnement des VPNs 1.1.1 Gnralits.

2 2 2 3 3 4 4 5 5 6 7 8 9 9 12 17

1.2 Les types d'utilisation de VPNs. 1.2.1 Le VPN d'accs. 1.2.2 L'intranet VPN. 1.2.3 L'extranet VPN. 1.3 Les Protocoles utiliss. 1.3.1 PPTP (Point to Point Tunneling Protocol). 1.3.2 P2TP (Layer 2 Tunneling Protocol). 1.3.3 IPSec (IP Security). 1.3.4 Comparaison entre le PPTP et le T2LP / IPSec. 1.3.5 MPLS/VPN. 1.3.5.1 Introduction. 1.3.5.2 Principe de Fonctionnement. 1.3.6 Comparaison entre MPLS et IPSec.

Chapitre 2 : Ralisation. 2.1 Prsentation du logiciel GNS3. 2.2 Description de la maquette. 2.2.1 Lactivation du routage. 2.2.2 Lactivation du MPLS. 2.2.3 Lactivation du MPLS VPN. 2.3 Configuration d'un VPN MPLS.

19 19 20 21 21 22 22

Conclusion Gnrale Bibliographie. Annexes.

30 31 32

Glossaire
A ASIC ATM B BGP C CEF D Diffserv DSCP E EGP EIGRP F FR FEC G GRE I Intserv IGP IGRP ISIS ISP Integrated Services Interior Gateway Protocol Interior Gateway Routing Protocol Intermediate System-to-Intermediate System Internet Service Provider Generic Routing Encapsulation Frame Relay Forwarding Equivalency Class Exterior Gateway Protocol Enhanced Interior Gateway Routing Protocol Differentiated Services Differentiated Services Code Point Cisco Express Forwarding Border Gateway Protocol Application Specific Interface Circuits Asynchronous transfer mode

L LDP LSP LSR M MPLS MP-BGP MTU O OSPF P PPP POP PHP Q QoS R RD RIP RSVP RT S SDH T TDP TE TTL Tag Distribution Protocol Traffic Engineering Time to Live Synchronous Digital Hierarchy Route distinguishers Routing Information Protocol Ressource Reservation Protocol Route Targets Quality of Service Point to Point Protocol Point of Presence Penultimate Hop Popping Open Shortest Path First Multi Protocol Label Switching MultiProtocol-Exterior Gateway Protocol Maximum Transmission Unit Label Distribution Protocol Label Switching Path Label Switching Router

V VPN VRF W WDM Wavelength Division Multiplexing Virtual private Network VPN Routing and Forwarding

Liste des figures

Figure 1.1: Schma gnrique de Tunnelisation. Figure 1.2: VPN d'accs. Figure 1.3: L'intranet VPN. Figure 1.4: L'extranet VPN. Figure 1.5: Principe d'encapsulation PPTP. Figure 1.6: Principe dencapsulation L2TP. Figure 1.7: VPN/MPLS. Figure 1.8: Overlay model. Figure 1.9: Peer to peer model. Figure 1.10: Principe de fonctionnement(1). Figure 1.11: Principe de fonctionnement(2). Figure 1.12: rcapitulatif VPN/MPLS. Figure 2.20: Maquette ralise. Figure 2.21: Commande traceroute excute au niveau du routeur CEB avec ladresse 10.0.0.1 Figure 2.22: Commande traceroute excute au niveau du routeur CEA avec ladresse 10.0.6.2 Figure 2.23: Commande Show ip vrf excute au niveau du routeur PEB. Figure 2.24: Commande Show ip vrf interfaces excute au niveau du routeur PEA. Figure 2.25: Commande Show mpls forwarding-table excute au niveau du routeur PEB. Figure 2.26: Commande Show ip cef vrf emsi 10.0.6.2 detail excute au niveau du routeur PEA. 3 4 4 4 6 7 9 10 11 13 14 16 20 26 27 27 27 28 28

Liste des tableaux

Tableau 1.1 : Comparaison entre MPLS et IPSec Tableau 2.2 : Configuration du routeur CEA Tableau 2.3 : Configuration du routeur PEA Tableau 2.4 : Configuration du routeur PEB Tableau 2.5 : Configuration du routeur CEB Tableau 2.6 : Configuration du routeur P 17 22 23 24 25 25

[Les VPN Etude comparative et ralisation dun VPN MPLS] Introduction gnrale

Introduction gnrale
Au dbut de l'Internet, la proccupation majeure tait de transmettre les paquets leur destination. Ensuite, des mcanismes inhrents TCP ont t dvelopps pour faire face aux consquences induites par les pertes de paquets ou la congestion du rseau. Mais depuis le dbut des annes 1990, la communaut des fournisseurs de service (ISP : Internet service Provider) qui administrent l'Internet est confronte non seulement au problme de croissance explosive mais aussi des aspects de politique, globalisation et stabilit du rseau. Par ailleurs, outre ces diffrents aspects, apparat une trs forte diversification des services offerts. Ainsi de nouvelles applications se dveloppent sur le rseau : tlphonie, vidoconfrence, diffusion audio et vido, jeux en rseau, radio et tlvision en direct Lmergence des rseaux privs virtuels (VPN), ncessite galement une diffrentiation de services. La qualit de service de bout en bout apparat, dans ce contexte, essentielle au succs de ces applications. Avec larrive de la technologie MPLS et les modles de gestion de la qualit de service (Diffserv et Intserv) une nouvelle approche est considre (MPLS pour laugmentation des performances des quipements rseaux, les notions de trafic engineering et les VPN et la gestion de qualit de service pour le traitement de la congestion, la classification des trafics et la garantie de service). Du point de vue ISP, considr comme le client principal du backbone IP et la passerelle des utilisateurs Internet et rseaux, un dfit est surmonter cest dassurer une liaison parfaite entre ses sites travers le backbone. Plusieurs solutions existent dont la plus innovante est MPLS VPN. Cette tude est compose de 2 chapitres. Le premier chapitre prsente les VPN son principe de fonctionnement, ses nouveaux concepts et ses atouts. Le deuxime chapitre contient la ralisation de la maquette de simulation VPN/MPLS.
1

Chapitre 1 :

Gnralits sur les VPNs

Mode du Fonctionnement des VPNs Les types d'utilisation de VPN Protocoles utiliss

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1

Chapitre 1 : Gnralits sur les VPNs

Introduction
Les entreprises ont des rseaux locaux de plus en plus importants qui comportent des applications et des donnes essentielles lentreprise. Le problme qui se pose est le suivant : comment des succursales dune entreprise peuvent-elles accder ces donnes alors quelles sont rparties sur de grandes distances gographiques. Pour pallier ce problme, ces entreprises mettent en place un rseau VPN. Nous verrons dans cet article le principe de fonctionnement du VPN. Nous nous intresserons aussi aux diffrents types dutilisation du VPN et aux protocoles permettant sa mise en place.

1.1 Mode de fonctionnement des VPNs 1.1.1 Gnralit

Les rseaux privs virtuels reposent sur des protocoles nomms protocoles de tunneling , (ou encore protocoles de tunnelisation). Ils ont pour but de scuriser le rseau en cryptant les donnes partant des extrmits du VPN laide dalgorithmes de cryptographie. On utilise le terme Tunnel pour reprsenter le passage scuris dans lequel circulent les donnes cryptes. Ainsi, toute personne ntant pas connecte au VPN ne peut pas dcrypter ces donnes. Lorsquun utilisateur veut accder aux donnes sur le VPN, on appelle client VPN (Client dAccs Distant) llment qui chiffre et dchiffre les donnes du ct client et serveur VPN (Serveur dAccs Distant) llment qui chiffre et dchiffre les donnes du ct du serveur (dans notre cas, cest lentreprise). Une fois le serveur et le client identifis, le serveur crypte les donnes et les achemine en empruntant le passage scuris (le tunnel), les donnes sont ensuite dcryptes par le client et lutilisateur a accs aux donnes souhaites.

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1

Figure 1.1 : Schma gnrique de Tunnelisation

1.2 Les types d'utilisation de VPN

Dans cette partie, nous tudierons les 3 types dutilisation du VPN qui sont :

Le VPN d'accs L'intranet VPN L'extranet VPN

1.2.1 Le VPN daccs

Le VPN d'accs est utilis pour permettre des utilisateurs d'accder au rseau priv de leur entreprise. L'utilisateur se sert de sa connexion Internet pour tablir la connexion VPN On a deux cas :

L'utilisateur demande au fournisseur d'accs de lui tablir une connexion crypte vers le serveur distant : il communique avec le NAS (Network Access Server) du fournisseur d'accs et c'est le NAS qui tablit la connexion crypte.

Lutilisateur possde son propre logiciel client pour le VPN auquel cas il tablit directement la communication de manire crypte vers le rseau de lentreprise.

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1

Figure 1.2 : VPN d'accs

1.2.2 Lintranet VPN

L'intranet VPN est utilis pour relier au moins deux intranets entre eux. Ce type de rseau est particulirement utile au sein d'une entreprise possdant plusieurs sites distants.

Figure 1.3 : L'intranet VPN

1.2.3 Lextranet VPN

Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son rseau local ces derniers. Dans Ce cadre, il est fondamental que l'administrateur du VPN puisse tracer les clients sur le rseau et grer les droits de chacun sur celui-ci.

Figure 1.4 : L'extranet VPN 4

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1

1.3 Protocoles utiliss

Il existe deux catgories de protocoles, les protocoles de niveau 2 et 3. Nous avons 3 protocoles de niveau 2 pour raliser des VPN : le PPTP (de Microsoft), le L2F (dvelopp par CISCO) et le L2TP. Nous parlerons ici que du PPTP et du L2TP car le L2F est un protocole quasi obsolte. Il existe aussi un protocole de niveau 3, le IPSec qui permet de transporter des donnes chiffres pour les rseaux IP.

1.3.1 PPTP (Point to Point Tunneling Protocol)

Le principe du protocole PPTP est de crer des trames sous le protocole PPP et de les encapsuler dans des datagrammes IP. PPTP cre ainsi un tunnel de niveau 3 dfini par le protocole GRE (Generic Routing Encapsulation). Le tunnel PPTP se caractrise par une initialisation du client, une connexion de contrle entre le client et le serveur ainsi que par la clture du tunnel par le serveur. L'tablissement dune connexion se droule en deux tapes :

Le client effectue d'abord une connexion avec son FAI (Fournisseur daccs Internet). Cette premire connexion tablie une connexion de type PPP et permet de faire circuler des donnes sur Internet.

Par la suite, une deuxime connexion dial-up est tablie. Elle permet d'encapsuler les paquets PPP dans des datagrammes IP. C'est cette deuxime connexion qui forme le tunnel PPTP.

Ainsi, le trafic conu pour Internet emprunte la connexion physique normale et le trafic conu pour le rseau priv distant passe par la connexion virtuelle de PPTP.

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1

Figure 1.5: Principe d'encapsulation PPTP Il existe ensuite dautres protocoles qui peuvent tre associ PPTP afin de scuriser les donnes ou de les compresser. Mais nous ne nous sattarderons pas sur ces diffrents protocoles.

1.3.2 P2TP (Layer 2 Tunneling Protocol)

Le protocole L2TP est issu de la convergence des protocoles PPTP et L2F. Ainsi le protocole L2TP encapsule des trames PPP, encapsulant elles-mmes d'autres protocoles tels que IP mais aussi IPX ou encore NetBIOS. Lorsqu'il est configur pour transporter les donnes sur IP, L2TP peut tre utilis pour faire du tunnelling sur Internet. L2TP repose sur deux concepts :

les concentrateurs d'accs L2TP (LAC) : Ces priphriques LAC fournissent un support physique aux connexions L2TP. Le trafic tant alors transfr sur les serveurs rseau L2TP. Ces serveurs peuvent s'intgrer la structure d'un rseau commut RTC ou alors un systme d'extrmit PPP prenant en charge le protocole L2TP. Ils assurent le fractionnement en canaux de tous les protocoles bass sur PPP. Le LAC est l'metteur des appels entrants et le destinataire des appels sortants.

les serveurs rseau L2TP (LNS) : Le LNS gre le protocole L2TP ct serveur. Le protocole L2tp n'utilise qu'un seul support, sur lequel arrivent les canaux L2TP. Ils sont cependant capables de terminer les appels en provenance de n'importe quelle interface PPP du concentrateur d'accs Lac.

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 Le LNS est l'metteur des appels sortants et le destinataire des appels entrants. C'est lui qui sera responsable de l'authentification du tunnel. L2TP n'intgre pas directement de protocole pour le chiffrement des donnes. C'est pourquoi on l'utilise trs souvent avec le protocole IPSec. On distingue principalement 2 composantes dans les paquets L2TP :

Les paquets d'information, encapsuls dans des paquets PPP pour les sessions utilisateurs qui servent pour le transport de L2TP. Le protocole de signalisation, qui utilise le contrle de l'information L2TP est encapsul dans des paquets UDP/IP.

Figure 1.6: Principe d'encapsulation L2TP

1.3.3 IPSec (IP Security)

IPSec est un protocole qui permet de scuriser les changes au niveau de la couche rseau. Il s'agit en fait d'un protocole apportant des amliorations au niveau de la scurit au protocole IP afin de garantir la confidentialit, l'intgrit et l'authentification des changes. Le protocole IPSec est bas sur trois modules :

Le premier, Authentification Header (AH) vise assurer l'intgrit et l'authenticit des datagrammes IP. Il ne fournit par contre aucune confidentialit. Le second, Encapsulating Security Payload (ESP) peut aussi permettre

l'authentification des donnes mais est principalement utilis pour le cryptage des
7

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 informations. Ces deux premiers mcanismes sont presque toujours utiliss conjointement.

Le troisime, Internet Key Exchange (IKE) permet de grer les changes ou les associations entre protocoles de scurit.

Le protocole IPSec est souvent utilis avec le L2TP.

1.3.4 Comparaison entre PPTP, T2LP et IPSec

PPTP prsente lavantage dtre compltement intgr dans les environnements Windows. Cependant comme beaucoup de produit Microsoft la scurit est le point faible du produit :

Mauvaise gestion des mots de passe Faiblesses dans la gnration des cls de session Faiblesses cryptographiques Identification des paquets non implmente

L2TP / IPSec sont plus robustes en terme de scurit que lutilisation du PPTP. Les points ngatifs de L2TP / IPSec sont les suivants :

Lensemble des quipements dun VPN L2TP doit bien implmenter le protocole IPSec. IPSec ne permet didentifier que des machines et non pas des utilisateurs. IPSec cause de la lourdeur des oprations de cryptage/dcryptage rduit les performances globales des rseaux. Lachat de priphriques ddis, coteux est souvent indispensable.

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1

1.3.5 MPLS/VPN 1.3.5.1 Introduction

Les VPN/MPLS sont essentiellement implments chez les oprateurs afin de fournir des services leurs clients. Les oprateurs utilisent leur backbone sur MPLS pour crer des VPN, par consquent le rseau MPLS des oprateurs se trouve partag ou mutualis avec dautre client. Du point de vue du client, il a limpression de bnficier dun rseau qui lui est entirement ddi. C'est--dire quil a limpression dtre le seul utiliser les ressources que loprateur lui met disposition. Ceci est d ltanchit des VPN/MPLS qui distingue bien les VPN de chaque client et tous ces mcanismes demeurent transparents pour les clients. Finalement, les deux parties sont gagnantes car les clients ont un vritable service IP qui leur offre des VPN fiables des prix plus intressants que sils devaient crer eux-mmes leur VPN de couche 2. Les oprateurs eux aussi rduisent leurs cots du fait de la mutualisation de leurs quipements. Voici une reprsentation des VPN/MPLS.

Figure 1.7 : Reprsentation des VPN/MPLS.

9

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 Au lancement des VPN/MPLS le modle Overlay avait t choisi, il consiste muler des lignes ddies entre chaque entit du client sur le rseau MPLS. Il sagit en fait dun LSP (Label Switched Path) sur le rseau MPLS qui relie chaque site. La cration de ces LSP entre les diffrents sites de lentreprise permettra alors de former un VPN IP. Overlay model

Figure 1.8: Overlay model

Ce modle a cependant un inconvnient car les points daccs au rseau MPLS se situent dans le rseau du client. En effet, lajout de nouveaux sites dans ce VPN ncessite la cration de nouveaux LSP. Ce modle pose ainsi un problme de scalabilit. Si nous avons 5 sites appartenant un VPN, lajout dun 6ime site requiert la mise en place de 5 nouveaux LSP. Par consquent, plus le nombre de sites est lev plus la tache savre fastidieuse. Un autre modle rsout ce problme de scalabilit, il sagit du modle peer to peer . Ainsi, lajout dun grand nombre de sites ne pose pas de difficult. Dautre part, les points daccs au rseau MPLS, de ce modle, se trouvent cette fois ci du cot de loprateur sur les quipements PE (Provider Edge router). Chaque site change avec
10

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 les quipements PE des informations de routage et loprateur achemine par la suite les donnes vers les sites de destination sur son rseau MPLS. Peer to peer model

Figure 1.9: Peer to peer model

Actuellement ce modle est largement employ chez les oprateurs car il permet lajout de nouveaux sites en changeant la configuration des PE. De plus, du point de vue de lutilisateur linterconnexion avec le VPN ne se fait que sur un seul quipement de loprateur contrairement au modle Overlay, il sagit du PE. Enfin, le routage entres diffrents sites clients est optimale car le PE connat sa topologie et peut de ce fait choisir la route adquate. De manire gnrale, la topologie utilise pour relier les sites dans un VPN avec ce modle est la topologie entirement maille ou full mesh . Cela implique que tous les sites peuvent se voir ou bien quil existe une liaison point point entre tous les sites du VPN.

1.3.5.2 Principe de fonctionnement

11

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 Durant la conception dun rseau dentreprise, les ingnieurs choisissent gnralement des plages dadresses IP prives pour leur rseau LAN (10.0.0.0, 172.16.0.0, 192.168.0.0). Or le rseau MPLS permet limplmentation de plusieurs VPN clients au sein de son rseau. Il faut par consquent trouver un moyen de diffrencier les VPN qui peuvent avoir le mme adressage IP. La notion de route distinguisher ou RD est alors introduite afin de diffrencier les diffrentes routes qui circulent sur le rseau MPLS. Cette route distinguisher dune taille de 8 octets est ajoute au prfixe ipv4 (de 4 octets) pour tendre ladressage IP. La taille de cette adresse fait donc 96 bits en tout. Le format de cette adresse devient alors : RD : prfixe IPV4 Cette extension de ladresse IP nous permet de diffrencier les diffrentes plages dadresses, elle nous permet galement de diffrencier les diffrents VPN. De plus, pour rendre la communication inter VPN interdite, la technologie MPLS implmente des tables de routages spcifiques chaque VPN. Ces tables de routage appeles VRF (Virtual Routing and Forwarding table) se rfrent aux identifiants de chaque VPN, les RD. De cette faon chaque VPN possdent leur propre table de routage ou VRF dans le rseau MPLS et ne voient pas les autres routes accessibles sur le rseau MPLS. Nanmoins il existe une certaine flexibilit sur ces VRF, car dans le cas ou lon souhaite implmenter un extranet par exemple, un site peut alors appartenir plusieurs VPN. Mais, cela ne change rien au fait que le routage est impossible entre deux VPN diffrents. Les CPE (Customer Premises Equipment) des sites utilisateurs sont connects au PE de loprateur pour appartenir au VPN. Ensuite les VRF des VPN en question doivent tre configurs sur les interfaces des PE pour que les sites soient bien relis cette VRF ou encore ce VPN. Suivant leurs configurations les PE peuvent alors avoir plusieurs interfaces configures pour plusieurs VRF. Il en rsulte donc que les PE peuvent avoir plusieurs tables de routage pour chaque VPN. De plus, nous pouvons prciser que ces tables de routage VRF sont mises jours en parallle avec la table de routage principale du PE ou nud Edge-LSR.

12

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 Pour rappel, cette table de routage principale sert atteindre les autres nuds LSR au sein du rseau MPLS. Elle est remplie par un protocole de routage IGP et sert mettre jour la LFIB qui fait la correspondance entre les FEC et les labels.

Figure 1.10 : Principe de fonctionnement(1)

Sur la figure prcdente les sites connects au VPN matrialisant la connexion CPE - PE peuvent communiquer avec lintermdiaire dune route statique ou encore RIP v2, OSPF BGP pour envoyer leurs informations vers le PE de loprateur. Dans notre exemple nous utilisons le protocole RIP v2. Jusqu' prsent nous avons vu comment les sites clients envoyaient leurs informations vers les PE et comment les PE grer ces diffrents VPN. Maintenant nous allons nous intresser la communication des sites clients mais du cot backbone MPLS. Nous avons vu plus haut que les nuds LSR utilisent un protocole IGP pour connatre leurs voisins dans le rseau MPLS. Cela leur permettait de renseigner leur table LIB faisant lassociation des FEC avec les labels.

13

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 Dautre part, un protocole de distribution de label est utilis pour changer les labels et effectuer des mapping entre les nuds LSR pour tablir un LSP. Mais avec les VPN il y a eu lintroduction du RD (Route Distinguisher) afin de distinguer les diffrents VPN. Il a t dcid que pour les VPN implments sur les rseaux MPLS, le protocole dchange de label serait le MP-BGP (MultiProtocol Border Gateway Protocol). Des sessions BGP sont tablies entre deux nuds Edge-LSR (ou PE) et non entre un PE et un LSR (ou P router). Car en effet, entre le PE et les P router, le mcanisme qui sapplique est le label swapping . Les sessions BGP sont donc effectues entre les diffrents PE pour changer les labels faisant lassociation entre les labels et les VRF.

Figure 1.11 : Principe de fonctionnement(2) Lorsquun PE apprend une nouvelle route : Il insre dans sa VRF et indique quil sait la joindre en RIP. Ensuite il annonce cette route avec les autres PE en tablissant une session BGP en Enfin, seul les PE sur lesquels les VRF ont t configures vont rajouter ces routes dans

fournissant le label associ pour pouvoir atteindre ce VPN en question. leur table de routage.
14

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1 Ds lors quil y a un transport de donnes entre les VPN, les CPE envoient les paquets aux PE avec lesquels ils sont connects. Les PE identifient quels VPN ces CPE font parties, ensuite ils consultent leur VRF et insrent le label qui est associ au prfixe IP de destination et qui fait galement partie de ce VPN. Par la suite, la notion de pile de labels ou stack label intervient. Le label dont vous venons de parler juste avant est dj insr sur les paquets, il nous sert identifier vers quel VPN nous devons communiquer. Mais lors de la traverse du cur de rseau MPLS, nous avons des labels supplmentaires insrs en haut de la pile pour pouvoir acheminer les donnes dun noeud LSR un autre. Ces nouveaux labels nous servent transfrer les donnes durant le processus de label swapping . Ces labels sont donc commuts chaque saut entre les nuds LSR et ces nuds ne soccupent pas des labels situs en dessous du label en haut de pile. A larrive sur le nud Edge-LSR, le nud LSR qui vient de lui envoy les donnes a auparavant retir le label ncessaire au mcanisme de label swapping. Le nud Edge-LSR se retrouve ainsi avec des donnes mais possdant encore le label du VPN. Le nud Edge-LSR na plus qu identifier la valeur du VPN de retirer ce dernier label et transferer les donnes lextrieur du rseau MPLS. Ces donnes sont finalement envoyes vers le CPE reli au VPN identifi juste avant. Remarque : Il se peut que des PE se situent dans le mme LAN et que pour envoyer les donnes du site 1 vers le site 2 ils naient pas besoin de passer par un P router. Le transfert se fait alors de PE PE directement car il sagit du chemin optimal. Ce procd est le Penultimate Hop Popping qui consiste retirer des labels avant lenvoi des donnes vers le nud egress. Cela vite ainsi que le nud egress ait 2 fois consulter les labels et lentte IP de destination pour forwarder les donnes utilisateurs.

15

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1

Figure 1.12 : rcapitulatif VPN/MPLS

16

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1

1.3.6 Comparaison entre MPLS et IPSec.

Qualit service Cot Scurit Mpls de Permet d'attribuer des priorits au trafic par le biais de classes de service Infrieur celui des rseaux Frame Relay et Atm mais suprieur celui des autres Vpn IP. Comparable la scurit offerte par les rseaux Atm et Frame Relay existants. Ipsec Le transfert se faisant sur l'Internet public, permet seulement un service "best effort" Faible grce au transfert via le domaine Internet public Scurit totale grce la combinaison de certificats numriques et de Pki pour l'authentification ainsi qu' une srie d'options de cryptage, triple DES et AES notamment Accs distance et nomade scuris. Applications sous IP, notamment courrier lectronique et Internet. Inadapt au trafic en temps rel ou priorit leve Trs vaste puisque repose sur l'accs Internet Les dploiements les plus vastes exigent une planification soigneuse pour rpondre notamment aux problmes d'interconnexion site site et de peering

Toutes les applications, y compris les logiciels d'entreprise vitaux exigeant une qualit de service leve et une faible latence et les applications en temps rel (vido et voix sur IP) Dpend du rseau Mpls du Etendue fournisseur de services Evolutivit leve puisque n'exige Evolutivit pas une interconnexion d'gal gal entre les sites et que les dploiements standard peuvent prendre en charge plusieurs dizaines de milliers de connexions par Vpn Frais de Aucun traitement exig par le Traitements supplmentaires pour le cryptage et le dcryptage gestion du routage rseau Vitesse de Le fournisseur de services doit Possibilit d'utiliser l'infrastructure du dploiement dployer un routeur Mpls en bordure rseau Ip existant de rseau pour permettre l&148;accs client Prise en Non requise. Le Mpls est une Logiciels ou matriels client requis charge par le technologie rseau client Applications compatibles Tableau1.1: Comparaison entre MPLS et IPSec.

17

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 1

Conclusion
Cette tude des solutions Vpn, met en vidence une forte concurrence entres les diffrents protocoles pouvant tre utiliss. Nanmoins, il est possible de distinguer deux rivaux sortant leurs pingles du jeu, savoir Ipsec et Mpls. Ce dernier est suprieur, mais il assure, en outre, simultanment, la sparation des flux et leur confidentialit. Le dveloppement rapide du march pourrait bien cependant donner l'avantage au second. En effet, la mise en place de Vpn par Ip entre gnralement dans une politique de rduction des cots lis l'infrastructure rseau des entreprises. Les Vpn sur Ip permettent en effet de se passer des liaisons loues de type Atm ou Frame Relay. Le cot des Vpn Ip est actuellement assez intressant pour motiver de nombreuses entreprises franchir le pas. A performance gales un Vpn Mpls cote deux fois moins cher qu'une ligne Atm. Mais si les solutions base de Mpls prennent actuellement le devant face aux technologies Ipsec c'est principalement grce l'intgration possible de solution de tlphonie sur Ip. La qualit de service offerte par le Mpls autorise en effet Ce type d'utilisation. Le march des Vpn profite donc de l'engouement actuel pour ces technologies qui permettent elles aussi de rduire les cots des infrastructures de communication. Les Vpn sont donc amens prendre de plus en plus de place dans les rseaux informatiques.

18

Chapitre 2 :

Ralisation

Prsentation du logiciel GNS3. Description de la maquette. Configuration d'un VPN MPLS.

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

Chapitre 2 : Ralisation.
Introduction.
Nous avons ralis une maquette simulant la solution MPLS VPN l'aide de lmulateur GNS3 de Cisco, une tude a tait entame concernant les diffrents protocoles de routages et leur configuration sur les routeurs Cisco.

2.1 Prsentation du logiciel GNS3.

Le logiciel GNS3 est en fait une interface graphique pour loutil sous-jacent Dynamips qui permet lmulation de machines virtuelles Cisco. Il est ncessaire dinsister sur le terme mulation, dans la mesure o ces machines sappuient sur les vritables IOS fournis par Cisco et leur confrent donc lintgralit des fonctionnalits originales. Ce logiciel peut donc tre oppos Packet Tracer, qui est un simulateur fourni par Cisco dans le cadre de son programme acadmique, et qui est donc limit aux seules fonctionnalits implmentes par les dveloppeurs du logiciel. Les performances des machines ainsi cres ne sont bien entendu pas quivalentes celles des machines physiques relles, mais elles restent amplement suffisantes pour mettre en uvre des configurations relativement basiques et apprhender les concepts de base des quipements Cisco. A lheure actuelle, seules certaines plateformes de routeurs sont mules ainsi que les plateformes PIX et ASA qui sont les Firewalls de la gamme Cisco. De simples commutateurs Ethernet sont muls, et permettent notamment linterconnexion du Lab virtuel ainsi cre avec un rseau physique.
19

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2 Cette solution pourra donc tre choisie pour la mise en place de labos virtuels, notamment dans le cadre de la prparation des premires certifications Cisco telles que le CCNA, mais ncessitera une machine avec de bonnes ressources pour muler plusieurs quipements en simultan. Pour tout autre renseignement sur le produit ou son tlchargement, vous pouvez vous rendre directement sur la page www.gns3.net . Concernant les IOS, il vous faudra un compte CCO pour tlcharger les IOS souhaits depuis le site de Cisco.

2.2 Description de la maquette.

Figure 2.20: Maquette ralise. Cette topologie met en vidence un VPN d' Intranet simple entre deux sites appartenant au client EMSI : situe A et site B. Le rseau du client comprend les routeurs CEA et CEB.

20

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2 Nous avons utilis pour cette tche 5 routeurs dont : 1 routeur reprsentant le core MPLS (des routeurs P). 2 routeurs reprsentant ledge MPLS (des routeurs PE) et simulant les routeurs de Casa et Marrakech. 2 routeurs dsignant des sites de lEMSI (des routeurs CE). Tous les routeurs sont de type Cisco, la gamme 7200 utilisant comme image IOS c7200jk9o3s-mz.124-19.bin supportant la technologie MPLS.

2.2.1 Lactivation du routage

Pour le routage, le protocole OSPF est implment dans le backbone, lexcution du protocole OSPF nest pas une exigence et na aucun effet sur le comportement des routeurs. MPLS VPN offre la possibilit dutiliser tous types de protocoles de routages pour les sites clients puisque lchange des routes entre les routeurs PE est ralis par MP-BGP. Un autre protocole de routage est activ qui est BGP mais seulement au niveau des routeurs PE pour lchange des routes MPLS VPN. Les connexions entre les routeurs sont assures par leurs interfaces sries.

2.2.2 Lactivation du MPLS

Seulement les routeurs PE et P supportent MPLS donc lactivation est ralise ce niveau. Avant de configurer MPLS sur les interfaces des routeurs il est indispensable dactiver le CEF (Cisco Express Forwarding). Le Cisco Express Forwarding (CEF) est une technologie Couche 3 qui fournit une volutivit de transfert et dexcution accrus pour grer plusieurs flux de trafic de courte dure. L'architecture CEF place seulement les prfixes de routage dans ses tables CEF (la seule information qu'elle requiert pour prendre des dcisions de transfert Couche 3) se fondant sur les protocoles de routage pour faire le choix de litinraire. En excutant une consultation de simple table CEF, le routeur transfert les paquets rapidement et indpendamment du nombre de flux transitant. Nous avons choisit LDP (Label Distribution Protocol) pour distribuer les labels MPLS. Comme les interfaces des routeurs dans notre maquette sont de type srie.
21

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

2.2.3 Lactivation du MPLS VPN

Nous allons considrer un VPN emsi . La premire tape est la configuration du MPBGP sur les routeurs PE (PEA et PEB) pour cela on doit : Activer le protocole BGP sur le routeur avec comme numro de systme autonome 65000. Activer la session BGP VPNv4 entre les deux routeurs PE. Pour pouvoir ajouter un voisin dans la configuration VPNv4, ce voisin doit tre pralablement dclar dans la configuration globale de BGP. La deuxime tape est la conception (Design) VPN caractris par le choix des paramtres RD (Route Distinguisher) et RT (Route Target) qui sont des communauts tendues BGP et dfinissent lappartenance aux VPN. La plus simple mthode est dassigner chaque VPN le mme RD et RT.

2.3 Configuration d'un VPN MPLS

Cette partie dcrit les configurations gnriques exiges sur les routeurs dans le domaine du fournisseur de services, pour mettre en application un VPN bas sur MPLS. Toutes les configurations dcrites dans les sections suivantes sont excutes partir du rseau montr dans la figure 2.1.
Hostname CEA ip cef interface FastEthernet2/0 ip address 10.0.0.1 255.255.255.0 interface Serial1/0 ip address 10.0.1.2 255.255.255.0 clock rate 2016000 router bgp 65001 no synchronization bgp log-neighbor-changes network 10.0.0.0 redistribute connected neighbor 10.0.1.1 remote-as 65000 activation du MPLS Configuration de linterface FastEthernet2/0. Configuration de linterface Serial1/0. Configuration du routage BGP sur le routeur CEA.

Tableau 2.2: Configuration du routeur CEA

22

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

hostname PEA ip cef ip vrf emsi rd 100:100 route-target both 100:100 Attribution du nom au routeur. Activation du MPLS. Configurer VRF sur le routeur PE : le VRF emsi sur le routeur PEA et PEB. Ceci a comme consquence la cration d'une table de routage VRF et d'une table emsi Express Forwarding (CEF) pour emsi. Cet exemple montre emsi VRF tant configur sur le routeur PEA. Notez que le nom de VRF est sensible la casse. Configurer le RD: Le RD cre des tables de routage et de transmission. Le RD est ajout au dbut des en-ttes IPv4 du client pour les convertir en prfixes globalement uniques VPNv4. Configuration des paramtres VRF: RT Configurer l'importation et l'exportation des stratgies: Configurent l'importation et l'exportation de stratgies pour les communauts MP-BGP. La stratgie est employe pour filtrer des itinraires pour ce "target-route" particulire. PEA(config-vrf)#route-target both 100:100 Dfinition de ladresse pour linterface Loopback. mpls ip (sur les interfaces internes des routeurs oprateurs).

interface Loopback0 ip address 1.1.1.1 255.255.255.255 interface Serial1/1 ip address 10.0.2.2 255.255.255.0 mpls label protocol ldp mpls ip clock rate 2016000 interface Serial1/0 ip vrf forwarding emsi ip address 10.0.1.1 255.255.255.0 clock rate 2016000 router ospf 1 network 1.1.1.1 0.0.0.0 area 0 network 10.0.4.2 0.0.0.0 area 0 router bgp 65000 no synchronization bgp log-neighbor-changes neighbor 2.2.2.2 remote-as 65000 neighbor 2.2.2.2 update-source Loopback0 no auto-summary address-family vpnv4 neighbor 2.2.2.2 activate neighbor 2.2.2.2 send-community both neighbor 2.2.2.2 next-hop-self exit-address-family address-family ipv4 vrf emsi neighbor 10.0.1.2 remote-as 65001 neighbor 10.0.1.2 activate neighbor 10.0.1.2 as-override

Associer VRF avec une interface Association de VRF l'adresse IP de l'interface. ip address affecter ladresse APRES la VRF. Configuration de ospf entre les PE. Configuration des voisins MP-iBGP.

utiliser loopback comme adresse source Configuration de l' "address-familiy" BGP VPNv4 activer les familles dadresses IPv4 et vpnv4

Configuration de BGP par VRF IPv4 (Contexte de routage)

Tableau 2.3: Configuration du routeur PEA

23

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

hostname PEB ip cef ip vrf emsi rd 100:100 route-target both 100:100 interface Loopback0 ip address 2.2.2.2 255.255.255.255 interface Serial1/0 ip address 10.0.3.1 255.255.255.0 mpls label protocol ldp mpls ip clock rate 2016000 interface Serial1/1 ip vrf forwarding emsi ip address 10.0.5.2 255.255.255.0 clock rate 2016000 router ospf 1 network 2.2.2.2 0.0.0.0 area 0 network 10.0.4.1 0.0.0.0 area 0 router bgp 65000 no synchronization bgp log-neighbor-changes redistribute connected neighbor 1.1.1.1 remote-as 65000 neighbor 1.1.1.1 update-source Loopback0 no auto-summary address-family vpnv4 neighbor 1.1.1.1 activate neighbor 1.1.1.1 send-community both neighbor 1.1.1.1 next-hop-self exit-address-family address-family ipv4 vrf emsi neighbor 10.0.5.1 remote-as 65001 neighbor 10.0.5.1 activate neighbor 10.0.5.1 as-override no synchronization exit-address-family

activation du MPLS .

Tableau 2.4: Configuration du routeur PEB

24

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

hostname CEB ip cef interface FastEthernet2/0 ip address 10.0.6.2 255.255.255.0 interface Serial1/0 ip address 10.0.5.1 255.255.255.0 clock rate 2016000 router bgp 65001 no synchronization bgp log-neighbor-changes network 10.0.0.0 redistribute connected neighbor 10.0.5.2 remote-as 65000 no auto-summary

activation du MPLS. Configuration de linterface FastEthernet2/0. Configuration de linterface Serial1/0. Configuration du routage BGP sur le routeur CEB.

Tableau 2.5 : Configuration du routeur CEB

hostname P ip cef interface Loopback0 ip address 3.3.3.3 255.255.255.255 interface Serial1/0 ip address 10.0.2.1 255.255.255.0 mpls label protocol ldp mpls ip clock rate 2016000 interface Serial1/1 ip address 10.0.3.2 255.255.255.0 mpls label protocol ldp mpls ip clock rate 2016000 router ospf 1 network 3.3.3.3 0.0.0.0 area 0 network 10.0.2.1 0.0.0.0 area 0 network 10.0.3.2 0.0.0.0 area 0

Activation du MPLS .

Tableau 2.6: Configuration du routeur P.

25

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

Verification:

show ip vrf vrifies lexistence de la table VFR. show ip vrf interfaces Vrifies les interfaces actives. show ip route vrf emsi Vrifies les informations de routage au niveau du routeur PE. traceroute vrf emsi 10.0.0.1 Vrifies les informations de routage au niveau du routeur PE. show ip bgp vpnv4 tag : Vrifie le protocole de routage BGP. show ip cef vrf emsi 10.0.0.1 detail : Vrifie les informations de routage au niveau du routeur PE. sh mpls forwarding-table sh tag-switching tdp bindings sh ip ospf database sh ip route

Figure 2.21: Commande traceroute excute au niveau du routeur CEB avec ladresse 10.0.0.1 Le label MPLS affich pour chaque hop correspond au label en entre du routeur. Le champ Exp (cod sur 3 bits) est similaire au champ TOS de l'entte IP, mais n'est pas employ ici. Le routeur PEB a insr 2 Labels dans le paquet, le premier label (19) pour le VPN emsi , le deuxime (16) pour la commutation LSP au sein du nuage MPLS. Le routeur P a supprim le Label (16) du paquet avant de le rexpdier au routeur PEA.

26

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

Figure 2.22: Commande traceroute excute au niveau du routeur CEA avec ladresse 10.0.6.2 Le label MPLS affich pour chaque hop correspond au label en entre du routeur. Le champ Exp (cod sur 3 bits) est similaire au champ TOS de l'entte IP, mais n'est pas employ ici. Le routeur PEA a insr 2 Labels dans le paquet, le premier label (19) pour le VPN emsi , le deuxime (17) pour le routeur lui-mme. Le routeur P a supprim le Label (17) du paquet avant de le rexpdier au routeur PEB.

Figure 2.23: Commande Show ip vrf excute au niveau du routeur PEB. La commande Show ip vrf permet de tester lexistence des VRFs sur lensemble des interfaces dun routeur, et les affiches. Dans notre exemple, le nom du vrf est emsi sur linterface srie 1/1.

Figure 2.24: Commande Show ip vrf interfaces excute au niveau du routeur PEA. Cette commande permet dafficher linterface sur laquelle le VRF est activ, ici cest linterface Srie 1/0 avec comme adresse IP : 10.0.1.1
27

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

Figure 2.25: Commande Show mpls forwarding-table excute au niveau du routeur PEB. Cette commande permet de voir le LFIB de PEB constitu dynamiquement grce au protocole LDP.

Figure 2.26: Commande Show ip cef vrf emsi 10.0.6.2 detail excute au niveau du routeur PEA. La table CEF d'une VRF peut galement tre examine, au moyen de la commande show ip cef vrf emsi

28

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

Conclusion :
Dans ce chapitre, nous avons, tous dabord, prsent lmulateur GNS3 de CISCO. Il est signaler que nous avons pu parvenir utiliser un IOS (Image Shell des routeurs CISCO) rcent aprs des multiples difficults que nous avons pu surmonter en s'appuyant sur

plusieurs profondes recherches ainsi quune documentation trs difficile trouver. En dernier, nous avons choisi une topologie rseau permettant de mettre en uvre les principales fonctionnalits VPN MPLS. Une topologie qui consiste interconnecter les deux sites EMSI via un rseau oprateur utilisant comme technologie de transport MPLS. Les rsultats escompts sont comments et montrent bien le fonctionnement de notre rseau.

29

[Les VPN Etude comparative et ralisation dun VPN MPLS] Conclusion gnrale

Conclusion Gnrale
Lvolution dans le domaine des tlcommunications ne cesse de donner une grande souplesse pour trouver des solutions efficaces pour certains dangers et pour fournir une scurit des biens et des personnes. En effet, la combinaison entre les technologies VPN et MPLS a permis de fournir une solution scuritaire. Cette solution assure, dune manire efficace, la protection des biens et des personnes nimporte o dans le monde. Ce rapport sarticule sur deux chapitres : dans le premier, nous avons expos les fondements des VPNs, Dans le deuxime, nous avons prsent une solution VPN d'Intranet simple entre deux sites appartenant au client EMSI. Comme perspective de ce travail, nous proposons une solution mixte VPN MPLS/IPSec. La nouvelle solution, intgrant une partie des solutions rseaux existantes, est compose dun rseau VPN/MPLS reliant les PE, P associs des accs IPSec pour les sites qui sy rattachent, afin de rendre le rseau plus scuris.

30

[Les VPN Etude comparative et ralisation dun VPN MPLS]

Bibliographie/Annexes

Bibliographie
(1) GUY PUJOLLE, Les Rseaux , 6me dition, EYROLLES, 2008, numros des pages consultes [853-866]. (2) R. et E. Corvalan et Y, Les VPN, DUNOD. (3) Bibliographie WEB : http://www.securiteinfo.com/ http://www.hsc.fr/ http://www.routage.org/ www.cisco.com www.ietf.org WWW.GNS3.com

31

[Les VPN Etude comparative et ralisation dun VPN MPLS]

Bibliographie/Annexes

Annexes
Table de routage:

Verifier le BGP:

Verifier lOSPF:

32

[Les VPN Etude comparative et ralisation dun VPN MPLS]

Bibliographie/Annexes

33