Memoire Online - Etude et déploiement d'un réseau MPLS/VPN pour le partage des données dans une entreprise multi-sites. Cas de la BCC/Kananga

C'est le cas d'utilisateur le plus simple. Il s'agit de mettre en relation deux serveurs.

Le cas d'utilisateur peut être le besoin de synchronisation de base de données entre deux serveurs d'une entreprise disposant de chaque côté d'un accès internet. L'accès complet n'est pas indispensable dans ce genre de situation.

¹⁷ R. Corvalan, E. Corvalan et Y.L. Corvic, « Les VPN : Principes, conception et Déploiement des Réseaux Privés Virtuels », Dunod, 2005.

Elle correspond à un type d'infrastructure de réseau étendu, c'est-à-dire que l'interconnexion entre les VPN remplace et améliore les réseaux privés existant. Elle est utilisée pour relier un site avec les filiales à moindre coût et en toute sécurité.

( Extrémité du tunnel : données à transporter insérées dans un paquet de protocole de « tunnelisation », puis dans un paquet du protocole de transport de données ;

( L'autre extrémité du tunnel : données extraites du protocole de « tunnelisation » et poursuivent leur chemin sous leur forme initiale.

> Le paquet IP privé (avec adresses IP privées) est encapsulé dans un paquet

Les protocoles utilisés dans le cadre d'un VPN sont de 2 types, suivant le niveau de la couche OSI auquel il travaille :

> Les protocoles de niveau 2 comme PPTP (Point-to-Point Tunneling Protocol) ou L2TP

> Les protocoles de niveau 3 comme IPSec (Internet Protocol Security) ou MPLS (Multi-Protocol Label Switch ING).

PPTP est un protocole qui utilise une connexion PPP à travers un réseau IP en créant un réseau privé virtuel (VPN). Microsoft a implémenté ses propres algorithmes afin de l'intégrer dans ses versions de Windows. Ainsi, PPTP est une solution très employée dans les produits VPN commerciaux à cause de son intégration au sein des systèmes d'exploitation Windows. PPTP est un protocole de niveau 2 qui permet l'encryptage des données ainsi que leur compression.

L'authentification se fait grâce au protocole MS-CHAP de Microsoft. La partie chiffrement des données s'effectue grâce au protocole MPPE (Microsoft Point-to-Point Encryption).

Le principe du protocole PPTP est de créer des paquets sous le protocole PPP et de les encapsuler dans des datagrammes IP. PPTP crée ainsi un tunnel de niveau 3 défini par le protocole GRE (GenericRouting Encapsulation). Le tunnel PPTP se caractérise par une initialisation du client, une connexion de contrôle entre le client et le serveur ainsi que par la clôture du tunnel par le serveur. Lors de l'établissement de la connexion, le client effectue d'abord une connexion avec son fournisseur d'accès Internet. Cette première connexion établie une connexion de type PPP et permet de faire circuler des données sur Internet. Par la suite, une deuxième connexion dial-up est établie.

Elle permet d'encapsuler les paquets PPP dans des datagrammes IP. C'est cette deuxième connexion qui forme le tunnel PPTP. Tout trafic client conçu pour Internet emprunte la connexion physique normale, alors que le trafic conçu pour le réseau privé distant, passe par la connexion virtuelle de PPTP.

Plusieurs protocoles peuvent être associés à PPTP afin de sécuriser les données ou de les compresser. Il y a les protocoles développés par Microsoft et cités précédemment. Ainsi, pour le processus d'identification, il est possible d'utiliser les protocoles :

? MPPC (Microsoft Point to Point Compression) pour une compression de bout en bout.

Ces divers protocoles permettent de réaliser une connexion VPN complète, mais L2TP permet un niveau de performance et de fiabilité bien meilleur.

L2TP est issu de l'exploitation des points forts des protocoles PPTP et L2F. Il est actuellement développé et évalué conjointement par Cisco Systems, Microsoft, Ascend, 3Com ainsi que d'autres acteurs clés du marché des réseaux. Il permet l'encapsulation des paquets PPP au niveau des couches 2 (Frame Relay et ATM) et 3 (IP). Lorsqu'il est configuré pour transporter les données sur IP, L2TP peut être utilisé pour faire du tunneling. L2TP repose sur deux concepts : les concentrateurs d'accès L2TP (LAC : L2TP Access Concentrator) et les serveurs réseau L2TP

(LNS : L2TP Network Server). L2TP n'intègre pas directement de protocole pour le chiffrement des données. C'est pourquoi L'IETF préconise l'utilisation conjointe d'IPSec et L2TP. [¹⁹]

IPSec est un protocole défini par l'IETF permettant de sécuriser les échanges au niveau de la couche réseau. Il s'agit en fait d'un protocole apportant des améliorations au niveau de la sécurité au protocole

IP afin de garantir la confidentialité, l'intégrité et l'authentification des

? Le mode transport permet de protéger principalement les protocoles de niveaux supérieurs :

? IPSec récupère les données venant de la couche 4 (TCP/transport), les signes et les cryptes puis les envoie à la couche 3 (IP/réseau). Cela permet d'être transparent entre la couche.

> L'entête IP est produit par la couche IP et donc IPSec ne peut pas la contrôler dans ce cas ;

> Il ne peut donc pas masquer les adresses pour faire croire à un réseau LAN virtuel entre les deux LAN reliés ;

> Cela ne garantit donc pas non plus de ne pas utiliser des options Ips non voulues ;

> Le mode tunnel permet d'encapsuler des datagrammes IP dans des datagrammes IP.

Les paquets descendent dans la pile jusqu'à la couche IP et c'est la couche IP qui passe ses données à la couche IPSec. Il y a donc une entête IP encapsulée dans les données IPSec et une entête IP réelle pour le transport sur Internet (on pourrait imaginer que ce transport se fasse sur de l'IPX ou NetBIOS puisqu'il n'y a pas de contrainte dans ce mode)

> L'entête IP réelle est produit par la couche IPSec. Cela permet d'encapsuler une entête IP avec des adresses relatives au réseau virtuel et en plus de les crypter de façon à être sûr qu'elles ne sont pas modifiées ;

> On a donc des adresses IP virtuelles donc tirant partie au mieux du concept de VPN ;

> On a le contrôle total sur l'entête IP produite par IPSec pour encapsuler ses données et son entête IPSec.

> L'intégrité : on s'assure que les champs invariants pendant la transmission,

> Il ne gère pas la confidentialité : les données sont signées mais pas cryptées ;

> Security Assocation (SA) définit l'échange des clés et des paramètres de

> Les algorithmes de sécurité utiliser pour encrypter, vérifier l'intégrité ;

comment traiter les paquets arrivant ou partant. Elles sont identifiées par des triplets :

Security Association and Key Management Protocol) en est la base et a pour rôle la création (négociation et mise en place), la modification et la suppression des SA. Elle se compose de deux phases :

? La première permet de créer un canal sécurisé (par Diffie-Hellman) et authentifié à travers duquel on échange un secret pour dériver les clés utilisées dans la phase 2.

La seconde permet de mettre en place IPSec avec ses paramètres et une SA part sens de communication. Les données échangées sont protégées par le canal mis en place dans la phase 1.

MPLS (Multi-Protocol Label Switching) est une technique réseau en cours de normalisation à l'IETF dont le rôle principal est de combiner les concepts du routage IP de niveau 3, et les mécanismes de la commutation de niveau 2 telles que implémentée dans ATM ou Frame Relay. Le protocole MPLS doit permettre d'améliorer le rapport performance/prix des équipements de routage, d'améliorer l'efficacité du routage (en particulier pour les grands réseaux) et d'enrichir les services de routage (les nouveaux services étant transparents pour les mécanismes de commutation de label, ils peuvent être déployés sans modification sur le coeur du réseau).

Les efforts de l'IETF portent aujourd'hui sur Ipv4. Cependant, la technique MPLS peut être étendue à de multiples protocoles (IPv6, IPX, AppleTalk, etc.). MPLS n'est en aucune façon restreint à une couche 2 spécifique et peut fonctionner sur tous les types de support permettant l'acheminement de paquets de niveau 3.

MPLS traite la commutation en mode connecté (basé sur les labels); les tables de commutation étant calculées à partir d'informations provenant des protocoles de routage IP ainsi que de protocoles de contrôle. MPLS peut être considéré comme une interface apportant à IP le mode connecté et qui utilise les services de niveau 2 (PPP, ATM, Ethernet, ATM, Frame Relay, SDH ...).

La technique MPLS a été voulue par l'IETF relativement simple mais très modulaire et très efficace. Certains points clé sont maintenant mis en avant par l'IETF et par certains grands constructeurs dominés par Cisco, ainsi que par les fournisseurs

de services aux premiers desquels se trouvent les opérateurs de réseaux. Un grand effort pour aboutir à une normalisation a été consenti par les différents acteurs, ce qui semble mener à une révolution des réseaux IP.

Le MPLS ou Multiprotocol Label Switching est une technique de routage dans le secteur des réseaux de télécommunication. Il achemine les données d'un noeud à un autre en se basant sur des labels (ou étiquettes) via un chemin court plutôt que sur de longues adresses réseau ; évitant ainsi les recherches complexes dans une table de routage et accélérant les flux de trafic

Ainsi, les labels identifient des liens virtuels (chemins) entre des noeuds distants plutôt que des points d'extrémité. Le Multiprotocol Label Switching peut encapsuler des paquets de divers protocoles réseau, d'où la référence « multi-protocole » figurant dans son nom. Le MPLS prend en charge toute une gamme de technologies d'accès, notamment T1 / E1, ATM, Frame Relay et DSL.

Il existe trois types de VPN MPLS déployés dans les réseaux aujourd'hui : Point à point (Pseudowire) Couche 2 (VPLS) et Couche 3 (VPRN).

L'architecture logique MPLS est composée de deux plans principaux pour la commutation dans le réseau backbone :

? Plan de contrôle : Il permet de créer et de distribuer les routes et les labels. Ainsi, il contrôle des informations de routage, de commutation et de distribution des labels entre les périphériques adjacents ;

? Plan de données : Il est connu également sous le nom de « Forwarding Plane » et permet de contrôler la transmission des données en se basant sur la commutation des labels

²¹ J. Ndwo, Rapport de stage réalisé à la Banque Centrale du Congo ; Stage, BCC, L2 Génie info, 2017.

Figure II.12.4.4. Architecture logique du réseau MPLS [²²] II.12.5. Protocole MPLS : Objectifs et Missions

L'un des objectifs initiaux était d'accroître la vitesse du traitement des datagrammes dans l'ensemble des équipements intermédiaires. Cette volonté, avec l'introduction des giga routeurs, est désormais passée au second plan. Depuis, l'aspect « fonctionnalité » a largement pris le dessus sur l'aspect « performance », avec notamment les motivations suivantes :

? Flexibilité : possibilité d'utiliser plusieurs types de media (ATM, FR, Ethernet, PPP, SDH) ;

MPLS pourra assurer une transition facile vers l'Internet optique. MPLS n'étant pas lié à une technique de niveau 2 particulière, il peut être déployé sur des infrastructures hétérogènes (Ethernet, ATM, SDH, etc.). Avec la prise en charge de la gestion de contraintes molles et dures sur la qualité de service (DiffServ, Cisco Guaranteed Bandwidth). Avec la possibilité d'utiliser simultanément plusieurs protocoles de contrôle, MPLS peut faciliter l'utilisation de réseaux optiques en fonctionnant directement sur WDM.

Trafic Engineering permettant de définir des chemins de routage explicites dans les réseaux IP (avec RSVP ou CR-LDP). L'ingénierie des flux est la faculté de pouvoir gérer les flux de données transportés au-dessus d'une infrastructure réseau. Aujourd'hui, cette ingénierie des flux est essentiellement faite à l'aide d'ATM, avec comme conséquence une grande complexité de gestion (en effet IP et ATM sont deux techniques réseaux totalement différentes, avec parfois des contraintes non compatibles). Avec l'intégration de cette fonctionnalité, MPLS va permettre une simplification radicale des réseaux.

Les labels peuvent être associés à un chemin, une destination, une source, une application, un critère de qualité de service, etc. ou une combinaison de ces différents éléments. Autrement dit, le routage IP est considérablement enrichi sans pour autant voir ses performances dégradées (à partir du moment où un datagramme est encapsulé, il est acheminé en utilisant les mécanismes de

²² J. Vallet : Optimisation dynamique de réseaux IP/MPLS ; Thèse en informatique, Faculté des Sciences/ UNITOU-PS, 2015

commutation de niveau 2). On peut imaginer qu'un des services les plus importants sera la possibilité de créer des réseaux privés virtuels (VPN) de niveau 3. Ainsi, des services de voix sur IP, de multicast ou d'hébergement de serveurs web pourront coexister sur une même infrastructure. La modularité de MPLS et la granularité des labels permettent tous les niveaux d'abstraction envisageables.

Le MPLS est évolutif et indépendant du protocole. Dans un réseau MPLS, les labels sont attribués aux paquets de données. Les décisions de transfert de paquet sont prises uniquement sur le contenu de cette étiquette ; sans qu'il soit nécessaire d'examiner le paquet lui-même.

Cela permet de créer des circuits de bout en bout sur tout type de support de transport ; en utilisant n'importe quel protocole de bout en bout.

Ainsi, le principal avantage est d'éliminer la dépendance vis-à-vis d'une technologie particulière de couche de liaison de données (couche 2). Je pense par exemple au mode de transfert asynchrone (ATM), le relais de trame, la mise en réseau optique synchrone (SONET) ou Ethernet, et d'éliminer le besoin de recourir à plusieurs couches. 2 réseaux pour satisfaire différents types de trafic. La commutation d'étiquettes multiprotocole appartient à la famille des réseaux à commutation de paquets.

Aussi, le label MPLS fonctionne au niveau d'une couche généralement comprise entre les définitions traditionnelles de la couche 2 de l'OSI (couche liaison de données) et de la couche 3 (couche réseau).

Il est donc souvent appelé protocole de couche 2.5. Le MPLS a été conçu pour fournir un service unifié de transport de données à la fois aux clients basés sur des circuits et aux clients à commutation de paquets fournissant un modèle de service de datagramme. Il peut être utilisé pour transporter de nombreux types de trafic, y compris des paquets IP, ainsi que des trames ATM, SONET et Ethernet natives.

Il est composé d'un ensemble des protocoles de routage classique et de signalisation. Il est chargé de la construction, du maintien et de la distribution des tables de routage et de commutation. Pour ce faire, le plan de contrôle utilise des protocoles de routage classique tels qu'IS-IS ou OSPF afin de créer la topologie des noeuds du réseau MPLS et des protocoles de signalisation spécialement développés pour le réseau MPLS comme LDP, MP-BGP (utilisé par MPLS-VPN) ou RSVP (utilisé par MPLS-TE).

Dans un réseau MPLS, il existe deux méthodes pour créer et distribuer les labels : « Implicitrouting » et « Explicit routing ». Ces deux méthodes sont celles utilisées pour définir les chemins LSP dans le réseau MPLS.

Cette méthode est un modèle orienté-contrôle fondé sur la topologie du réseau où les labels sont créés à l'issue de l'exécution des protocoles de routage classique. Il existe également la distribution implicite des labels aux routeurs LSR.

Cette distribution est réalisée grâce au protocole LDP où les labels sont spécifiés selon le chemin « Hop By Hop » défini par le protocole de routage interne classique IGP dans le réseau. Chaque routeur LSR doit donc mettre en oeuvre un

protocole de routage interne de niveau 3 et les décisions de routage sont prises indépendamment les unes des autres comme l'illustre la figure ci-dessous :

La méthode explicite est fondée sur les requêtes (REQUEST-BASED) et consiste à ne construire une route que lorsqu'un flux de données est susceptible de l'utiliser. Avec cette méthode, le routeur Ingress ELSR choisit le chemin de bout en bout au sein du réseau MPLS. Dans ce cas, la création des labels est déclenchée lors de l'exécution d'une requête de signalisation comme RSVP par exemple. Comme illustré dans la figure ci-dessous. Cette méthode est utilisée pour CR-LDP (CR-LDP=LDP+TE) et RSVP-TE. Et, le LSP n'est plus déterminé à chaque bond contrairement au routage implicite.

Ce qui permet MPLS de faire du « Trafic Engineering » afin d'utiliser efficacement les ressources du réseau et d'éviter les points de forte congestion en répartissant le trafic sur l'ensemble du réseau. Ainsi, des routes, autres que le plus court chemin, peuvent être utilisées tel que décrit dans la figure ci-dessous :

LDP est un ensemble de procédures par lesquelles un routeur LSR en informe un autre des affectations faites des labels. Ce protocole LDP est bidirectionnel utilisé dans l'épine dorsale MPLS. Les routeurs LSR se basent sur l'information de label pour commuter les paquets labellisés et l'utilisent pour déterminer l'interface et le label de sortie. Il définit de même un ensemble de

²³J. Ndwo, Rapport de stage réalisé à la Banque Centrale du Congo ; Stage, BCC, L2 Génie info, 2017.

²⁴J. Ndwo, Rapport de stage réalisé à la Banque Centrale du Congo ; Stage, BCC, L2 Génie info, 2017.

procédures et de messages permettant l'échange des labels et la découverte dynamique des noeuds adjacents grâce aux messages échangés par UDP tel qu'illustré dans la figure ci-dessous :

Le plan de données permet de transporter les paquets labélisés à travers le réseau MPLS en se basant sur les tables de commutations. Il correspond à l'acheminement des données en accolant l'en-tête SHIM aux paquets arrivant dans le domaine MPLS. Il est indépendant des algorithmes de routages et d'échanges des labels et utilise une table de commutation appelée LFIB pour transférer les paquets labélisés avec les bons labels.

Cette table est remplie par les protocoles d'échange de label comme le protocole LDP. A partir des informations de labels apprises par LDP, les routeurs LSR construisent deux tables la LIB et la LFIB. La première contient tous les labels appris des voisins LSR et la seconde est utilisée pour la commutation proprement dite des paquets labélisés ainsi, la table LFIB est un sous ensemble de la base LIB.

Elle est la première table construire par le routeur MPLS, elle contient pour chaque sous-réseau IP la liste des labels affectés par les LSR voisins. Il est de même possible de connaitre les labels affectés à un sous-réseau par chaque LSR voisin et donc elle contient tous les chemins possibles pour atteindre la destination. II.12.7.2. Table FIB (Forwarding Information Base)

Cette table est la base de données utilisée pour acheminer les paquets non labélisés.

La table LFIB est construite à partir de la table LIB et de la table de routage IP du réseau interne au Backbone par chaque routeur LSR afin d'être utilisée afin de commuter les paquets labélisés. C'est ainsi que dans le réseau MPLS, chaque sous-réseau IPest appris par un protocole IGP qui détermine le prochain saut (NextHop) pour atteindre le sous-réseau.

²⁵ J. Vallet : Optimisation dynamique de réseaux IP/MPLS ; Thèse en informatique, Faculté des Sciences/ UNITOU-PS, 2015

Pour pouvoir comprendre le fonctionnement du MPLS que nous présenterons par la suite, il convient de prendre tout d'abord connaissance avec le vocabulaire MPLS que nous avons consigné dans le tableau ci-dessous :

Acronymes CE : Customer Edge =>	Explications et détails C'est un routeur client
PE f LER : Provider Edge f Label Edge Router =>	C'est le point d'entrée sur le réseau MPLS
LSR :	Label Switching Router =>routeur de coeur de réseau MPLS dont toutes les interfaces supportent le protocole IP et qui est capable de retransmettre les paquets au niveau de la couche 3 en se basant seulement sur le mécanisme des labels.
LSP : Label Switch Path =>	C'est une séquence de labels à chaque noeud du chemin allant d'une source à une ou plusieurs destinations. Elle est établie en fonction du type de transmission de données ou après détection d'un certain type de données. Ainsi, il est clair qu'un LSP sera unidirectionnel et le trafic de retour doit donc prendre un autre LSP.
ELSR : =>	: c'est le terme CISCO pour désigner un PE
Nuage =>	C'est juste un réseau MPLS
FEC :ForwardingEquivalency Classes =>	Il représente un groupe de paquets qui ont en commun les mêmes exigences de transport. Ils reçoivent ainsi le même traitement lors de leur acheminement. À l'opposé des transmissions IP traditionnelles, ici, à un paquet est assigné à une FEC, une et une seule fois ; ceci se faisant lors de son entrée dans le réseau. Les FEC prennent en comptes les besoins en termes de service pour certains groupes de paquets ou même un certain préfixe d'adresses. Ainsi,
		chaque LSR se construit une table pour savoir comment un paquet doit être transmis : c'est la table dite Label Information Base (*LIB*).
Label ou Étiquette =>		C'est un entier naturel qui est associé à un paquet lorsqu'il circule dans un réseau type MPLS ; il sert à prendre les décisions de routage.
LDP : Label Distribution Protocol =>		C'est un protocole permettant d'apporter aux LSR les informations sur l'association des labels dans un réseau. Il s'utilise pour associer les labels aux FEC, et créer des LSPs. Il construit la table de commutation des labels sur chaque routeur et se base sur le protocole IGP (Internal Gateway Protocol) pour le routage.
MPLS Egressnode Ou routeur de sortie MPLS =>		C'est un routeur gérant le trafic sortant d'un réseau MPLS. Il possède à la fois des interfaces IP traditionnelles et des interfaces connectées au réseau MPLS. C'est l'usine du popping ou label disposition car il retire le label aux paquets sortants sauf si le mode PHP (Penultimate Hop Popping) est activé.
MPLS Ingressnode Ou routeur d'entrée MPLS =>		C'est un routeur gérant le trafic entrant dans un réseau MPLS. Il possède également des interfaces IP traditionnelles et des interfaces connectées au réseau MPLS. C'est l'usine du label pushing ou labelimposition car il impose le label aux paquets entrants. Il est aussi appelé LER (Label Edge Routeur) due au fait qu'il connecte le réseau MPLS au monde extérieur.

Combine les principes du routage (IP) avec les principes de la commutation (ATM, Frame Relay)

Le principe de base de MPLS est la commutation des labels qui rend le concept de commutation générique car il peut fonctionner sur tout type de protocole de niveau 2 comme illustré dans la figure ci-dessous :

Les routeurs MPLS, à l'intérieur de coeur du réseau, permutent les labels tout au long du réseau jusqu'à destination sans consultation de l'en-tête IP et la table de routage. La commutation MPLS est une technique orientée connexion. Une transmission des données s'effectue sur un chemin LSP et chaque routeur MPLS, LSR possède une table de commutation associant un label d'entrée à un label de sortie. La table de commutation est rapide à parcourir dans le but d'accroître la rapidité de commutation sur label par rapport à la table de routage du réseau IP.

Le résumé du mécanisme se présente comme suit : le « Ingress ELSR » reçoit les paquets IP, réalise une classification des paquets dans un FEC en fonction du réseau de destination, y assigne un label VPN et un label MPLS puis transmet les paquets labélisés au réseau MPLS. En se basant uniquement sur les labels, les routeurs LSR du réseau MPLS commutent les paquets labélisés jusqu'au routeur de sortie « Egress LSR » qui supprime les labels et remet les paquets à leur destination finale comme l'illustre la figure ci-dessous :

Les labels sont des simples nombres entiers de 4 octets (32 bits) insérés entre les en-têtes des couches 2 et 3 du modèle OSI. Un label a une signification locale entre deux routeurs LSR adjacents et mappe le flux de trafic entre le LSR amont et le LSR aval. A chaque bond, le long du chemin LSP, un label est utilisé pour chercher les informations de routage (Next Hop, interface de sortie). Les actions à

²⁶ [16] J. NDWO, Rapport de stage réalisé à la Banque Centrale du Congo ; Stage, BCC, L2 Génie info, 2017.

²⁷ [17] J. Vallet : Optimisation dynamique de réseaux IP/MPLS ; Thèse en informatique, Faculté des Sciences/ UNITOU-PS, 2015

réaliser sur le label sont les suivantes : insérer, permuter et retirer. Un label MPLS se présente sous la forme telle qu'illustrée dans la figure ci-dessous :

Un label peut être mis en oeuvre dans les différentes technologies ATM, Frame Relay, PPP et Ethernet (Encapsulation). Pour les réseaux Ethernet, un nouveau champ appelé « SHIM » a été introduit entre les couches 2 et 3 comme l'indique la figure ci-dessous :

La technologie MPLS repose sur la technique de la commutation de label, chaque paquet qui traverse le réseau doit donc être capable de transporter un label. A cet effet, Il existe deux façons de réaliser le transport des labels dans un réseau MPLS :

? La première solution de transport de labels est celle appliquée aux protocoles de la couche 2 qui, transporte des labels à l'intérieur même de leur en-tête (ATM, Frame Relay). Dans le cas du protocole ATM, le label sera transporté

²⁸ [16] J. NDWO, Rapport de stage réalisé à la Banque Centrale du Congo ; Stage, BCC, L2 Génie info, 2017.

²⁹ [16] J. Ndwo, Rapport de stage réalisé à la Banque Centrale du Congo ; Stage, BCC, L2 Génie info, 2017

dans le champ « VPI/VCI » de l'en-tête et dans le cas du Frame Relay, c'est le champ « DLCI » qui sera affecté à cette tâche ;

? Pour la seconde solution, le label sera transporté dans le champ « SHIM » qui sera inséré entre l'en-tête de la couche liaison et l'en-tête de la couche réseau. Cette technique permet de supporter la technique de commutation de label sur n'importe quel protocole de la couche de liaison de données.

Le Multiprotocol Label Switching fonctionne en préfixant les paquets avec un en-tête MPLS ; contenant une ou plusieurs étiquettes. Ceci s'appelle une pile d'étiquettes.

? Une valeur d'étiquette de 20 bits. Une étiquette avec la valeur 1 représente l'étiquette d'alerte du routeur.

? Un champ de classe de trafic de 3 bits pour la priorité QoS (quality of service) et ECN (notification d'encombrement explicite). Avant 2009, ce champ s'appelait EXP.

? Un indicateur de bas de pile de 1 bit. Si cette option est définie, cela signifie que l'étiquette actuelle est la dernière de la pile.

Ces paquets étiquetés MPLS sont commutés après une recherche / commutation d'étiquettes au lieu d'une recherche dans la table IP. Comme mentionné ci-dessus, lorsque MPLS a été conçu, la recherche et la commutation d'étiquettes étaient plus rapides qu'une table de routage ou une recherche RIB (Routing Information Base) car elles pouvaient avoir lieu directement dans la matrice commutée et éviter d'utiliser le système d'exploitation.

Aussi, la présence d'une telle étiquette doit cependant être signalée au routeur / commutateur. Dans le cas des trames Ethernet, cela se fait via l'utilisation des valeurs EtherType 0x8847 et 0x8848, respectivement pour les connexions unicast et multicast.

La qualité de service (QoS) se réfère à « l'effet collectif de l'exécution de service qui détermine le degré de satisfaction d'un utilisateur du service » [³⁰]. Elle consiste alors à assurer les performances désirées pour un trafic donné dans le réseau.

Cela permet au réseau MPLS de traiter de manière cohérente les paquets présentant des caractéristiques particulières ; comme ceux provenant de

³⁰Recommendation E.800, « Terms and definitions related to quality of service and network performance including dependability », August 1994.

ports particuliers ou transportant le trafic de types d'applications particuliers. Idéal pour gérer la QOS (Quality Of Service) correctement.

Les paquets transportant du trafic en temps réel, comme la voix ou la vidéo, peuvent facilement être mis en correspondance avec des itinéraires à faible latence sur le réseau ; ce qui constitue un défi pour le routage classique.

Le point clé de l'architecture de tout cela est que les étiquettes permettent d'attacher des informations supplémentaires à chaque paquet. Des informations qui vont au-delà de ce que les routeurs avaient auparavant.

Le Penultimate Hop Popping (PHP) est une fonction exécutée par certains routeurs dans un réseau MPLS. Il s'agit du processus par lequel l'étiquette la plus externe d'un paquet étiqueté MPLS est retirée par un routeur de commutation d'étiquettes (LSR). Ceci avant que le paquet ne soit transmis à un routeur de bord d'étiquette (LER) adjacent.

Un routeur MPLS qui effectue un routage basé uniquement sur l'étiquette est appelé un routeur de commutation d'étiquettes (LSR) ; ou un routeur de transit. Il s'agit d'un type de routeur situé au milieu d'un réseau MPLS. Il est responsable de la commutation des étiquettes utilisées pour router les paquets.

Ainsi, lorsqu'un LSR reçoit un paquet, il utilise l'étiquette incluse dans l'en-tête du paquet comme index pour déterminer le saut suivant sur le chemin à commutation d'étiquettes (LSP) ; ainsi qu'une étiquette correspondante pour le paquet à partir d'une table de correspondance. L'ancienne étiquette est ensuite retirée de l'en-tête et remplacée par la nouvelle étiquette avant que le paquet ne soit acheminé.

Un routeur Edge LSR ou routeur LER est un routeur qui fonctionne au bord d'un réseau MPLS. Aussi, il agit comme point d'entrée et de sortie du réseau. Les LER apposent une étiquette MPLS sur un paquet entrant et la retirent d'un paquet sortant. Sinon, cette fonction peut être exécutée par le LSR directement connecté au LER sous l'avant-dernier saut.

Lors du transfert d'un datagramme IP dans le domaine MPLS, un routeur LER utilise les informations de routage pour déterminer l'étiquette appropriée à apposer, étiquette le paquet en conséquence ; puis transmet le paquet étiqueté au domaine MPLS. De même, à la réception d'un paquet étiqueté destiné à sortir du domaine MPLS. Le LER enlève l'étiquette et transmet le paquet IP résultant à l'aide de règles de transfert réseaux IP normales.

Dans le contexte spécifique d'un réseau privé virtuel (VPN) basé sur le MPLS, les LER qui fonctionnent en tant que routeurs d'entrée et/ou de sortie vers le VPN MPLS sont souvent appelés routeurs PE (Provider Edge). Les périphériques qui fonctionnent uniquement en tant que routeurs de transit sont appelés de manière similaire routeurs P (fournisseurs). Le travail d'un routeur P est beaucoup plus facile que celui d'un routeur PE. Ils peuvent donc être moins complexes et plus fiables à cause de cela. .

Pour gérer les schémas de trafic des applications convergentes dynamiques d'aujourd'hui, les entreprises doivent déployer un réseau MPLS/VPN dans leur coeur de réseau. La question est la suivante : l'internet public est déjà très rapide et a une portée mondiale, mais pourquoi les entreprises ont-elles encore besoin de la mise en place de réseaux privés virtuels basés sur MPLS ?

La réponse appropriée à cette question est le réseau public se concentre uniquement sur le transport de paquets de données ; sans tenir compte de la qualité de service (QoS), de la garantie de temps de fonctionnement. Enfin, il offre des capacités limitées pour une entreprise. Bien que, ces dernières années, l'internet public ait bien fonctionné pour le courrier électronique et les transferts de fichiers, il est nécessaire de disposer d'un protocole avancé. Un protocole qui puisse prendre en charge les applications convergentes et le trafic multimédia.

Une autre raison est que la vidéo est l'application qui connaît la croissance la plus rapide de nos jours ; générant un immense trafic. Une seule connexion à l'internet présente souvent des limites de capacité. Cette connexion n'a pas une capacité suffisante pour prendre en charge diverses applications et le trafic multimédia ; ou celui du standard téléphonique.

Ainsi, si les entreprises achètent et gèrent plusieurs connexions pour atteindre la capacité souhaitée aux heures de pointe, elles finiront par ajouter des coûts et de la complexité à l'équation. Elles doivent également obtenir la faible latence nécessaire au bon fonctionnement des communications en temps réel de bout en bout.

MPLS offre une confidentialité intégrée avec des accords de niveau de service (SLA) complets qui incluent des garanties de latence, de gigue et de temps de fonctionnement. Les VPN IPSec sont plus rapides à déployer, offrent une capacité SD WAN avec une plus grande flexibilité pour accéder aux services de Cloud public et aux applications SaaS. [³¹j

deux choses à la fois, sans avoir besoin de beaucoup de logiciel côté client :

PPTP	y'	Très répandu		· ·	Peu fiable Performance faible	L2TP
y'	Mobilité	·		L'overHead	IPSec
y'	Confidentialité/Intégrité des données	·		Pas d'authentification des utilisateurs
			· ·	Pas de QOS L'lourdeur des opérations	MPLS
y' y' y'	Rapidité QOS fournie Intégration des différents trafics (voix, vidéo, donnée)	types des	·	Dépend du réseau MPLS du fournisseur de service	SSL
y'	Déploiement		·	Maitrise client

même endroit, et c'est à ce nouveau qu'on retrouve le serveur d'accès distant (ou serveur VPN).

serveur et peuvent alors accéder aux ressources qui se situent sur le réseau intranet.

Dans cette topologie, les routeurs ou passerelles présents aux extrémités de chaque site relié sont considérés comme étant des serveurs d'accès distant. Ces ressources à ce niveau sont décentralisées sur chacun des sites soit les employés ne pourrons qu'accéder aux informations présentes sur l'ensemble du réseau.

La mise en place d'un VPN permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local, grâce à des liaisons virtuelles qui s'appuient sur une infrastructure de communication sous-jacente.

L'infrastructure sous-jacente peut être un réseau international à accès publique ou une partie d'un réseau dédié. [³³I

Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de se connecter au réseau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d'applications possibles :

? Accès au réseau local (d'entreprise) à distance et de façon sécurisée pour les travailleurs nomades ; Partage de fichiers sécurisés ; Jeu en réseau local avec des machines distantes.

II.16.1. Les principaux avantages de l'utilisation d'un VPN sont : ? Sécurisé ; Simple ; Economique ; Mobile.

L'administration de la sécurité est centralisée, basée sur des politiques. Les protocoles de tunneling permettent de faire circuler les informations de façon cryptée de bout à l'autre du tunnel.

Ainsi, les échanges entre utilisateurs authentifiés se font comme s'ils étaient connectés directement sur un même réseau local sans que les autres utilisateurs non authentifiés puissent intercepter. Pour garantir la confidentialité, le réseau privé est coupé logiquement du réseau internet. En général, les machines se

³³ R. Bidou, « Introduction aux VPN », Multi-System & Internet Security Cookbook, Décembre 2003.

trouvant à l'extérieur du réseau privé ne peuvent accéder à celui-ci. L'inverse n'étant pas forcément vrai. L'utilisateur au sein d'un réseau privé pourra accéder au réseau internet.

Les VPN utilisent les circuits de communication classiques. La gestion des infrastructures se trouve ainsi simplifié. On peut alors améliorer la capacité à déployer de nouvelles applications sans avoir à se préoccuper de sécurité.

Les VPN utilisent Internet en tant que media principal de transport. Ce qui diminue les couts car on a plus besoin d'une ligne dédiée. De plus, l'infrastructure est partagée.

Le système de VPN rend un service d'interconnexion à grande distance de qualité similaire à un réseau local. Sécurité accélérée jusqu'à 12 Gbps de bande passante, Prise en charge de la plupart des protocoles existants.

Bien qu'ils soient utiles, voire indispensables dans bien des cas, les VPN ne sont pas toujours parfaits. Leur premier inconvénient, c'est qu'ils sont susceptibles de ralentir votre connexion Internet puisqu'ils font transiter votre trafic par des serveurs intermédiaires. Tout dépend de la qualité du service proposé et elle est différente d'un fournisseur à un autre. Les meilleurs VPN payants offrent tout de même un débit suffisant pour couvrir les besoins les plus courants du quotidien.

L'autre inconvénient a déjà été abordé plus haut. Un VPN n'est pas une assurance tout risque pour la protection de votre vie privée. Le fournisseur VPN a les moyens d'en savoir beaucoup sur ce que vous faites en ligne. Le registre de vos activités passe ainsi des mains de votre FAI à ceux de votre fournisseur de service. D'où l'importance d'opter pour un fournisseur de confiance.

Certains services ne voient pas les VPN d'un bon oeil. Vous risquez d'avoir des difficultés à y accéder si vous les utilisez. C'est le cas de Netflix qui mène une guerre farouche contre les VPN en bloquant les adresses IP identifiées comme provenant de leurs serveurs. Les fournisseurs et le géant du streaming jouent constamment au jeu du chat et de la souris.

C'est pareil pour les pays qui n'accueillent pas favorablement les VPN et qui utilisent les mêmes techniques pour bloquer les connexions provenant de ce genre de service.

Le VPN MPLS est un VPN maîtrisé par un opérateur qui fait passer les flux par des serveurs, commutateur et routeur qui lui appartiennent et qui sont privés. Il permet met à disposition le QoS ou Quality of Service qui permet de donner la priorité sur certains flux. L'un des applications les plus importantes du protocole MPLS est de pouvoir créer des réseaux privés virtuels.

Les VPN s'appuyant sur le protocole MPLS, sont différents de l'image classique du VPN, à savoir un tunnel crypté établi à couche 3. Par défauts, les tunnels VPN bâtis sur MPLS ne sont pas cryptés et s'apparente plutôt à des PVCs comme avec ATM ou Frame Relay plutôt qu'à des PVCs établis avec IPsec ou Point to point tunneling protocol. Ils s'appuient sur la séparation des paquets sur la valeur

de leurs labels et n'utilisent pas de méthode de cryptage ou d'encapsulation. La valeur de ce label n'est lue que par les LSR qui appartiennent à des LSP précis.

MPLS VPN permet d'isoler le trafic entres sites n'appartenant pas au même VPN, et étant totalement transparent pour ces sites entre eux. Il permet d'utiliser un adressage privé sans utilisation de fonctionnalité NAT et d'avoir un recouvrement d'adresses entre différents VPNs. [³⁴]

On distingue deux modes de réalisation des VPN MPLS, le modèle « overlay » et le modèle « peer » dit encore modèle « homologue ».

Réaliser un VPN overlay consiste à relier les sites clients par des circuits virtuels permanents. L'interconnexion des sites clients est réalisée par la définition d'un ensemble de circuits virtuels. Les relations sont du type point à point.

L'inconvénient avec ce modèle c'est qu'à cause de nombreuse mailles qui existe entre les sites clients, le résultat de la connexion n'est pas optimal. N sites requièrent N (N-1)/2 circuits.

Etude et déploiement d'un réseau MPLS/VPN pour le partage des données dans une entreprise multi-sites. Cas de la BCC/Kananga

II.9. Les différentes architectures de VPN