Académique Documents
Professionnel Documents
Culture Documents
Ralis par :
NOUCHTI Ouafa
El QASMI Med Zakaria
HILALI Tarik
Promotion : IRT5
Encadr par :
Mr : ISMAILI Rachid
Ddicaces
Nous ddions ce travail :
A nos chers parents pour leur amour, sacrifice et soutiens.
A nos collgues pour leur comprhension et fidlit.
A nos enseignants pour leurs efforts remarquables.
A ceux qui nous devons reconnaissance.
A ceux qui nous font partager joies et souffrances.
Qu ils trouvent tous ici nos sincres gratitudes et reconnaissances.
Remerciements
Avant d entamer le vif de notre travail, il nous est tellement agrable de
prsenter nos sincres remerciements au personnel de l EMSI.
Nous tenons galement exprimer notre reconnaissance notre professeur
encadrant Mr. Rachid ISMAILI qui nous a beaucoup encourags, pour son
aide et orientation durant la priode du projet, il a engag son temps et ses
conseils pour nous venir en aide. Nos vifs remerciements sont galement
adresss tous les professeurs de l EMSI.
Enfin, notre profonde gratitude et notre respect a toute personne qui a contribu
de prs ou de loin l laboration de ce travail.
Abstract
Published by the IETF in 1997, MPLS technology first emerged within the
segments to extend the benefits realized in the core and provide a true end-to-end
architecture for the delivery of packet data services.
This article will present an overview of the operation of MPLS, then an example of
Sommaire
Introduction gnrale.
Gnralits.
2
2
1.3.5 MPLS/VPN.
1.3.5.1 Introduction.
12
17
Chapitre 2 : Ralisation.
2.1 sentation du logiciel GNS3.
2.2 Description de la maquette.
2.2.1 L activation du routage.
2.2.2 L activation du MPLS.
2.2.3 L activation du MPLS VPN.
2.3 Configuration d'un VPN MPLS.
19
19
20
21
21
22
22
Conclusion Gnrale
30
Bibliographie.
31
Annexes.
32
Glossaire
A
p
sy
A
A
p
sutr s r
ust
B
BGP
xps w
r
C
CEF
D
t t
Diffserv
DSCP
v
t t
E
EGP
EIGRP
xt rG
t
rG
tu
F
FR
FEC
w
r
quv
tu
us t
G
GRE
I
Intserv
IGP
IGRP
ISIS
ISP
t r
v s
t rG t
t
t r G t
t
st
t
t
v
r
v r
tu
t
st
L
ts ut
t
t
LDP
LSP
LSR
t
t
tu
M
MPLS
MP-BGP
MTU
O
p
OSPF
tr ts
tsr
P
PPP
POP
PHP
tt
t
ut
u ty
t
p p
Q
QoS
R
RD
RIP
RSVP
RT
ut ts us s
ut
su
ut
ts
S
su
SDH
T
TDP
TE
TTL
tsr tu
t
V
VPN
VRF
utr prv
tu
tw
w
r
W
WDM
vs
tp x
10
11
13
14
16
20
26
27
27
27
##' Commande Show ip cef vrf emsi 10.0.6.2 detail excute
au niveau du routeur PEA.
28
28
List
st
ux
AB
II
IJ
IL
IM
IM
^_`abcde`fb_ gnrale
Au dbut de l'Internet, la proccupation majeure tait de transmettre les paquets leur
destination. Ensuite, des mcanismes inhrents TCP ont t dvelopps pour faire face aux
consquences induites par les pertes de paquets ou la congestion du rseau. Mais depuis le
dbut des annes 1990, la communaut des fournisseurs de service (ISP : Internet service
Provider) qui administrent l'Internet est confronte non seulement au problme de croissance
explosive mais aussi des aspects de politique, globalisation et stabilit du rseau.
Par ailleurs, outre ces diffrents aspects, apparat une trs forte diversification des services
offerts. Ainsi de nouvelles applications se dveloppent sur le rseau : tlphonie,
L mergence des rseaux privs virtuels (VPN), ncessite galement une diffrentiation de
services. La qualit de service de bout en bout apparat, dans ce contexte, essentielle au succs
de ces applications.
(Diffserv et Intserv) une nouvelle approche est considre (MPLS pour l augmentation des
performances des quipements rseaux, les notions de trafic engineering et les VPN et la
gestion de qualit de service pour le traitement de la congestion, la classification des trafics et
la garantie de service).
Du point de vue ISP, considr comme le client principal du backbone IP et la passerelle des
utilisateurs Internet et rseaux, un dfit est surmonter c est d assurer une liaison parfaite
entre ses sites travers le backbone. Plusieurs solutions existent dont la plus innovante est
MPLS VPN.
Cette tude est compose de 2 chapitres. Le premier chapitre prsente les VPN son principe
de fonctionnement, ses nouveaux concepts et ses atouts.
harptei
[hseP
V jku
eo
d
m
atciv
p
erteralisation dun
i
applications et des donnes essentielles l entreprise. Le problme qui se pose est le suivant :
comment des succursales d une entreprise peuvent-elles accder ces donnes alors qu elles
sont rparties sur de grandes distances gographiques. Pour pallier ce problme, ces
entreprises mettent en place un rseau VPN.
Nous verrons dans cet article le principe de fonctionnement du VPN. Nous nous
intresserons aussi aux diffrents types d utilisation du VPN et aux protocoles permettant sa
mise en place.
Les rseaux privs virtuels reposent sur des protocoles nomms protocoles de tunneling ,
(ou encore protocoles de tunnelisation). Ils ont pour but de scuriser le rseau en cryptant les
donnes partant des extrmits du VPN l aide d algorithmes de cryptographie.
On utilise le terme Tunnel pour reprsenter le passage scuris dans lequel circulent les
donnes cryptes. Ainsi, toute personne n tant pas connecte au VPN ne peut pas dcrypter
ces donnes.
Lorsqu un utilisateur veut accder aux donnes sur le VPN, on appelle client VPN (Client
d Accs Distant) l lment qui chiffre et dchiffre les donnes du ct client et serveur VPN
(Serveur d Accs Distant) l lment qui chiffre et dchiffre les donnes du ct du serveur
(dans notre cas, c est l entreprise).
Une fois le serveur et le client identifis, le serveur crypte les donnes et les achemine en
empruntant le passage scuris (le tunnel), les donnes sont ensuite dcryptes par le client et
l utilisateur a accs aux donnes souhaites.
[lseP
V nou
eo
d
m
atciv
p
erteralisation dun
m
L utilisateur possde son propre logiciel client pour le VPN auquel cas il tablit
directement la communication de manire crypte vers le rseau de l entreprise.
[pseP
V rsu
eo
d
m
atciv
p
erteralisation dun
q
est particulirement utile au sein d'une entreprise possdant plusieurs sites distants.
Elle ouvre alors son rseau local ces derniers. Dans Ce cadre, il est fondamental que
l'administrateur du VPN puisse tracer les clients sur le rseau et grer les droits de chacun sur
celui-ci.
[tseP
V vwu
eo
d
m
atciv
p
erteralisation dun
u
L2F (dvelopp par CISCO) et le L2TP. Nous parlerons ici que du PPTP et du L2TP car le
L2F est un protocole quasi obsolte.
Il existe aussi un protocole de niveau 3, le IPSec qui permet de transporter des donnes
chiffres pour les rseaux IP.
encapsuler dans des datagrammes IP. PPTP cre ainsi un tunnel de niveau 3 dfini par le
protocole GRE (Generic Routing Encapsulation).
Le tunnel PPTP se caractrise par une initialisation du client, une connexion de contrle
entre le client et le serveur ainsi que par la clture du tunnel par le serveur.
L'tablissement d une connexion se droule en deux tapes :
Le client effectue d'abord une connexion avec son FAI (Fournisseur d accs
Internet).
Cette premire connexion tablie une connexion de type PPP et permet de faire
circuler des donnes sur Internet.
Par la suite, une deuxime connexion dial-up est tablie. Elle permet d'encapsuler les
paquets PPP dans des datagrammes IP. C'est cette deuxime connexion qui forme le
tunnel PPTP.
Ainsi, le trafic conu pour Internet emprunte la connexion physique normale et le trafic conu
pour le rseau priv distant passe par la connexion virtuelle de PPTP.
[xseP
V z{u
eo
d
m
atciv
p
erteralisation dun
y
donnes ou de les compresser. Mais nous ne nous s attarderons pas sur ces diffrents
protocoles.
protocole L2TP encapsule des trames PPP, encapsulant elles-mmes d'autres protocoles tels
que IP mais aussi IPX ou encore NetBIOS.
Lorsqu'il est configur pour transporter les donnes sur IP, L2TP peut tre utilis pour faire du
tunnelling sur Internet.
support physique aux connexions L2TP. Le trafic tant alors transfr sur les serveurs
rseau L2TP. Ces serveurs peuvent s'intgrer la structure d'un rseau commut RTC
ou alors un systme d'extrmit PPP prenant en charge le protocole L2TP. Ils
assurent le fractionnement en canaux de tous les protocoles bass sur PPP. Le LAC est
l'metteur des appels entrants et le destinataire des appels sortants.
les serveurs rseau L2TP (LNS) : Le LNS gre le protocole L2TP ct serveur. Le
protocole L2tp n'utilise qu'un seul support, sur lequel arrivent les canaux L2TP. Ils
sont cependant capables de terminer les appels en provenance de n'importe quelle
interface PPP du concentrateur d'accs Lac.
[|seP
V ~u
eo
d
m
atciv
p
erteralisation dun
}
Le LNS est l'metteur des appels sortants et le destinataire des appels entrants. C'est
lui qui sera responsable de l'authentification du tunnel.
L2TP n'intgre pas directement de protocole pour le chiffrement des donnes. C'est pourquoi
s'agit en fait d'un protocole apportant des amliorations au niveau de la scurit au protocole
IP afin de garantir la confidentialit, l'intgrit et l'authentification des changes.
Le protocole IPSec est bas sur trois modules :
second,
Encapsulating
Security
Payload
(ESP)
peut
aussi
permettre
l'authentification des donnes mais est principalement utilis pour le cryptage des
[seP
V u
eo
d
m
atciv
p
erteralisation dun
Le troisime, Internet Key Exchange (IKE) permet de grer les changes ou les
associations entre protocoles de scurit.
IPSec.
IPSec ne permet d identifier que des machines et non pas des utilisateurs.
[seP
V u
eo
d
m
atciv
p
erteralisation dun
1.3.5 MPLS/VPN
1.3.5.1 Introduction
Les VPN/MPLS sont essentiellement implments chez les oprateurs afin de fournir des
services leurs clients. Les oprateurs utilisent leur backbone sur MPLS pour crer des VPN,
par consquent le rseau MPLS des oprateurs se trouve partag ou mutualis avec d autre
client.
Du point de vue du client, il a l impression de bnficier d un rseau qui lui est entirement
ddi. C'est--dire qu il a l impression d tre le seul utiliser les ressources que l oprateur
lui met disposition. Ceci est d l tanchit des VPN/MPLS qui distingue bien les VPN de
chaque client et tous ces mcanismes demeurent transparents pour les clients.
Finalement, les deux parties sont gagnantes car les clients ont un vritable service IP qui
leur offre des VPN fiables des prix plus intressants que s ils devaient crer eux-mmes leur
VPN de couche 2. Les oprateurs eux aussi rduisent leurs cots du fait de la mutualisation de
leurs quipements.
[seP
V u
eo
d
m
atciv
p
erteralisation dun
Au lancement des VPN/MPLS le modle Overlay avait t choisi, il consiste muler des
lignes ddies entre chaque entit du client sur le rseau MPLS. Il s agit en fait d un LSP
(Label Switched Path) sur le rseau MPLS qui relie chaque site. La cration de ces LSP entre
les diffrents sites de l entreprise permettra alors de former un VPN IP.
Overlay model
Ce modle a cependant un inconvnient car les points d accs au rseau MPLS se situent
dans le rseau du client. En effet, l ajout de nouveaux sites dans ce VPN ncessite la cration
de nouveaux LSP. Ce modle pose ainsi un problme de scalabilit. Si nous avons 5 sites
appartenant un VPN, l ajout d un 6ime site requiert la mise en place de 5 nouveaux LSP.
Par consquent, plus le nombre de sites est lev plus la tache s avre fastidieuse.
D autre part, les points d accs au rseau MPLS, de ce modle, se trouvent cette fois ci du
cot de l oprateur sur les quipements PE (Provider Edge router). Chaque site change avec
10
[seP
V u
eo
d
m
atciv
p
erteralisation dun
les quipements PE des informations de routage et l oprateur achemine par la suite les
donnes vers les sites de destination sur son rseau MPLS.
Peer to peer model
Actuellement ce modle est largement employ chez les oprateurs car il permet l ajout de
nouveaux sites en changeant la configuration des PE. De plus, du point de vue de l utilisateur
De manire gnrale, la topologie utilise pour relier les sites dans un VPN avec ce modle
est la topologie entirement maille ou full mesh . Cela implique que tous les sites peuvent
se voir ou bien qu il existe une liaison point point entre tous les sites du VPN.
[seP
V u
eo
d
m
atciv
p
erteralisation dun
plages d adresses IP prives pour leur rseau LAN (10.0.0.0, 172.16.0.0, 192.168.0.0). Or le
rseau MPLS permet l implmentation de plusieurs VPN clients au sein de son rseau. Il faut
par consquent trouver un moyen de diffrencier les VPN qui peuvent avoir le mme
Cette route distinguisher d une taille de 8 octets est ajoute au prfixe ipv4 (de 4 octets)
pour tendre l adressage IP. La taille de cette adresse fait donc 96 bits en tout.
Le format de cette adresse devient alors : RD : prfixe IPV4
implmente des tables de routages spcifiques chaque VPN. Ces tables de routage appeles
VRF (Virtual Routing and Forwarding table) se rfrent aux identifiants de chaque VPN, les
RD. De cette faon chaque VPN possdent leur propre table de routage ou VRF dans le rseau
MPLS et ne voient pas les autres routes accessibles sur le rseau MPLS.
Nanmoins il existe une certaine flexibilit sur ces VRF, car dans le cas ou l on souhaite
implmenter un extranet par exemple, un site peut alors appartenir plusieurs VPN. Mais,
cela ne change rien au fait que le routage est impossible entre deux VPN diffrents.
Les CPE (Customer Premises Equipment) des sites utilisateurs sont connects au PE de
l oprateur pour appartenir au VPN. Ensuite les VRF des VPN en question doivent tre
configurs sur les interfaces des PE pour que les sites soient bien relis cette VRF ou encore
ce VPN.
Suivant leurs configurations les PE peuvent alors avoir plusieurs interfaces configures
pour plusieurs VRF. Il en rsulte donc que les PE peuvent avoir plusieurs tables de routage
pour chaque VPN. De plus, nous pouvons prciser que ces tables de routage VRF sont mises
jours en parallle avec la table de routage principale du PE ou n ud Edge-LSR.
12
[seP
V u
eo
d
m
atciv
p
erteralisation dun
Pour rappel, cette table de routage principale sert atteindre les autres n uds LSR au sein
du rseau MPLS. Elle est remplie par un protocole de routage IGP et sert mettre jour la
LFIB qui fait la correspondance entre les FEC et les labels.
pour envoyer leurs informations vers le PE de l oprateur. Dans notre exemple nous
Jusqu' prsent nous avons vu comment les sites clients envoyaient leurs informations vers
les PE et comment les PE grer ces diffrents VPN. Maintenant nous allons nous intresser
la communication des sites clients mais du cot backbone MPLS.
Nous avons vu plus haut que les n uds LSR utilisent un protocole IGP pour connatre leurs
voisins dans le rseau MPLS. Cela leur permettait de renseigner leur table LIB faisant
l association des FEC avec les labels.
13
[seP
V u
eo
d
m
atciv
p
erteralisation dun
D autre part, un protocole de distribution de label est utilis pour changer les labels et
effectuer des mapping entre les n uds LSR pour tablir un LSP. Mais avec les VPN il y a eu
l introduction du RD (Route Distinguisher) afin de distinguer les diffrents VPN.
Il a t dcid que pour les VPN implments sur les rseaux MPLS, le protocole d change
de label serait le MP-BGP (MultiProtocol
sont tablies entre deux n uds Edge-LSR (ou PE) et non entre un PE et un LSR (ou P router).
Car en effet, entre le PE et les P router, le mcanisme qui s applique est le label swapping .
Les sessions BGP sont donc effectues entre les diffrents PE pour changer les labels faisant
l association entre les labels et les VRF.
Ensuite il annonce cette route avec les autres PE en tablissant une session BGP en
Enfin, seul les PE sur lesquels les VRF ont t configures vont rajouter ces routes dans
14
[seP
V u
eo
d
m
atciv
p
erteralisation dun
Ds lors qu il y a un transport de donnes entre les VPN, les CPE envoient les paquets aux
PE avec lesquels ils sont connects. Les PE identifient quels VPN ces CPE font parties,
ensuite ils consultent leur VRF et insrent le label qui est associ au prfixe IP de destination
et qui fait galement partie de ce VPN.
Par la suite, la notion de pile de labels ou stack label intervient. Le label dont vous venons
de parler juste avant est dj insr sur les paquets, il nous sert identifier vers quel VPN
nous devons communiquer. Mais lors de la traverse du c ur de rseau MPLS, nous avons
des labels supplmentaires insrs en haut de la pile pour pouvoir acheminer les donnes d un
noeud LSR un autre. Ces nouveaux labels nous servent transfrer les donnes durant le
processus de label swapping . Ces labels sont donc commuts chaque saut entre les
n uds LSR et ces n uds ne s occupent pas des labels situs en dessous du label en haut de
pile.
A l arrive sur le n ud Edge-LSR, le n ud LSR qui vient de lui envoy les donnes a
Remarque : Il se peut que des PE se situent dans le mme LAN et que pour envoyer les
donnes du site 1 vers le site 2 ils n aient pas besoin de passer par un P router. Le transfert se
Penultimate Hop Popping qui consiste retirer des labels avant l envoi des donnes vers
le n ud egress. Cela vite ainsi que le n ud egress ait 2 fois consulter les labels et l entte
IP de destination pour forwarder les donnes utilisateurs.
15
[seP
V u
eo
d
m
atciv
p
erteralisation dun
16
[seP
V u
eo
d
m
atciv
p
erteralisation dun
Mpls
de Permet d'attribuer des priorits au
trafic par le biais de classes de
service
Infrieur celui des rseaux Frame
Relay et Atm mais suprieur celui
des autres Vpn IP.
Comparable la scurit offerte par
les rseaux Atm et Frame Relay
existants.
Ipsec
Le transfert se faisant sur l'Internet
public, permet seulement un service
"best effort"
Faible grce au transfert via le
domaine Internet public
Scurit totale grce la combinaison
de certificats numriques et de Pki
pour l'authentification ainsi qu' une
srie d'options de cryptage, triple
DES et AES notamment
Accs distance et nomade scuris.
Applications sous IP, notamment
courrier lectronique et Internet.
Inadapt au trafic en temps rel ou
priorit leve
Trs vaste puisque repose sur l'accs
Internet
Les dploiements les plus vastes
exigent une planification soigneuse
pour rpondre notamment aux
problmes d'interconnexion site site
et de peering
17
[seP
V u
eo
d
m
atciv
p
erteralisation dun
Conclusion
Cette tude des solutions Vpn, met en vidence une forte concurrence entres les
diffrents protocoles pouvant tre utiliss.
Nanmoins, il est possible de distinguer deux rivaux sortant leurs pingles du jeu,
savoir Ipsec et Mpls. Ce dernier est suprieur, mais il assure, en outre, simultanment, la
sparation des flux et leur confidentialit. Le dveloppement rapide du march pourrait bien
cependant donner l'avantage au second. En effet, la mise en place de Vpn par Ip entre
gnralement dans une politique de rduction des cots lis l'infrastructure rseau des
entreprises. Les Vpn sur Ip permettent en effet de se passer des liaisons loues de type Atm ou
Frame Relay. Le cot des Vpn Ip est actuellement assez intressant pour motiver de
nombreuses entreprises franchir le pas. A performance gales un Vpn Mpls cote deux fois
moins cher qu'une ligne Atm. Mais si les solutions base de Mpls prennent actuellement le
devant face aux technologies Ipsec c'est principalement grce l'intgration possible de
solution de tlphonie sur Ip. La qualit de service offerte par le Mpls autorise en effet Ce
type d'utilisation. Le march des Vpn profite donc de l'engouement actuel pour ces
technologies qui permettent elles aussi de rduire les cots des infrastructures de
communication. Les Vpn sont donc amens prendre de plus en plus de place dans les
rseaux informatiques.
18
t 2:
Ralisation
Descriptiondelamaquette.
Con
figuration
unVPN MPLS
[se
V u
eo
d
m
atciv
p
erteralisation dun VPN MPLS
] Chapitre 2
Ralisation .
Introduction.
Nous avons ralis une maquette simulant la solution MPLS VPN l'aide de
l mulateur GNS3 de Cisco, une tude a tait entame concernant les diffrents protocoles de
routages et leur configuration sur les routeurs Cisco.
Ce logiciel peut donc tre oppos Packet Tracer, qui est un simulateur fourni par Cisco dans
le cadre de son programme acadmique, et qui est donc limit aux seules fonctionnalits
implmentes par les dveloppeurs du logiciel.
Les performances des machines ainsi cres ne sont bien entendu pas quivalentes celles des
machines physiques relles, mais elles restent amplement suffisantes pour mettre en
uvre
des configurations relativement basiques et apprhender les concepts de base des quipements
Cisco.
A l heure actuelle, seules certaines plateformes de routeurs sont mules ainsi que les
plateformes PIX et ASA qui sont les Firewalls de la gamme Cisco. De simples commutateurs
Ethernet sont muls, et permettent notamment l interconnexion du Lab virtuel ainsi cre avec
un rseau physique.
19
ncessitera une machine avec de bonnes ressources pour muler plusieurs quipements en
simultan.
Pour tout autre renseignement sur le produit ou son tlchargement, vous pouvez vous rendre
directement sur la page www.gns3.net . Concernant les IOS, il vous faudra un compte CCO
pour tlcharger les IOS souhaits depuis le site de Cisco.
client EMSI : situe A et site B. Le rseau du client comprend les routeurs CEA et CEB.
20
2 routeurs reprsentant l edge MPLS (des routeurs PE) et simulant les routeurs de
Casa et Marrakech.
Tous les routeurs sont de type Cisco, la gamme 7200 utilisant comme image IOS c7200jk9o3s-mz.124-19.bin supportant la technologie MPLS.
OSPF n est pas une exigence et n a aucun effet sur le comportement des routeurs. MPLS
VPN offre la possibilit d utiliser tous types de protocoles de routages pour les sites clients
puisque l change des routes entre les routeurs PE est ralis par MP-BGP.
Un autre protocole de routage est activ qui est BGP mais seulement au niveau des routeurs
PE pour l change des routes MPLS VPN. Les connexions entre les routeurs sont assures par
leurs interfaces sries.
(Cisco Express Forwarding). Le Cisco Express Forwarding (CEF) est une technologie Couche
3 qui fournit une volutivit de transfert et d excution accrus pour grer plusieurs flux de
trafic de courte dure. L'architecture CEF place seulement les prfixes de routage dans ses
tables CEF (la seule information qu'elle requiert pour prendre des dcisions de transfert
Couche 3) se fondant sur les protocoles de routage pour faire le choix de l itinraire. En
excutant une consultation de simple table CEF, le routeur transfert les paquets rapidement et
indpendamment du nombre de flux transitant.
Nous avons choisit LDP ( Distribution Protocol) pour distribuer les labels MPLS.
Comme les interfaces des routeurs dans notre maquette sont de type srie.
21
Activer le protocole BGP sur le routeur avec comme numro de systme autonome
65000.
Activer la session BGP VPNv4 entre les deux routeurs PE. Pour pouvoir ajouter un voisin
dans la configuration VPNv4, ce voisin doit tre pralablement dclar dans la
configuration globale de BGP.
La deuxime tape est la conception (Design) VPN caractris par le choix des paramtres
RD (Route Distinguisher) et RT (Route Target) qui sont des communauts tendues BGP et
dfinissent l appartenance aux VPN. La plus simple mthode est d assigner chaque VPN le
mme RD et RT.
fournisseur de services, pour mettre en application un VPN bas sur MPLS. Toutes les
configurations dcrites dans les sections suivantes sont excutes partir du rseau montr
dans la figure 2.1.
Hostname CEA
ip cef
interface FastEthernet2/0
ip address 10.0.0.1 255.255.255.0
activation du MPLS
interface Serial1/0
ip address 10.0.1.2 255.255.255.0
clock rate 2016000
router bgp 65001
no synchronization
bgp log-neighbor-changes
network 10.0.0.0
redistribute connected
neighbor 10.0.1.1 remote-as 65000
interface Loopback0
ip address 1.1.1.1 255.255.255.255
interface Serial1/1
ip address 10.0.2.2 255.255.255.0
mpls label protocol ldp
mpls ip
clock rate 2016000
interface Serial1/0
ip vrf forwarding emsi
ip address 10.0.1.1 255.255.255.0
clock rate 2016000
router ospf 1
network 1.1.1.1 0.0.0.0 area 0
network 10.0.4.2 0.0.0.0 area 0
router bgp 65000
no synchronization
bgp log-neighbor-changes
neighbor 2.2.2.2 remote-as 65000
neighbor 2.2.2.2 update-source
Loopback0
no auto-summary
address-family vpnv4
neighbor 2.2.2.2 activate
neighbor 2.2.2.2 send-community
both
neighbor 2.2.2.2 next-hop-self
exit-address-family
address-family ipv4 vrf emsi
neighbor 10.0.1.2 remote-as 65001
neighbor 10.0.1.2 activate
neighbor 10.0.1.2 as-override
23
hostname PEB
ip cef
ip vrf emsi
rd 100:100
route-target both 100:100
interface Loopback0
ip address 2.2.2.2 255.255.255.255
interface Serial1/0
ip address 10.0.3.1 255.255.255.0
mpls label protocol ldp
mpls ip
clock rate 2016000
interface Serial1/1
ip vrf forwarding emsi
ip address 10.0.5.2 255.255.255.0
clock rate 2016000
router ospf 1
network 2.2.2.2 0.0.0.0 area 0
network 10.0.4.1 0.0.0.0 area 0
router bgp 65000
no synchronization
bgp log-neighbor-changes
redistribute connected
neighbor 1.1.1.1 remote-as 65000
neighbor 1.1.1.1 update-source Loopback0
no auto-summary
address-family vpnv4
neighbor 1.1.1.1 activate
neighbor 1.1.1.1 send-community both
neighbor 1.1.1.1 next-hop-self
exit-address-family
address-family ipv4 vrf emsi
neighbor 10.0.5.1 remote-as 65001
neighbor 10.0.5.1 activate
neighbor 10.0.5.1 as-override
no synchronization
exit-address-family
activation du MPLS
.
24
hostname CEB
ip cef
activation du MPLS.
interface FastEthernet2/0
ip address 10.0.6.2 255.255.255.0
interface Serial1/0
ip address 10.0.5.1 255.255.255.0
clock rate 2016000
router bgp 65001
no synchronization
bgp log-neighbor-changes
network 10.0.0.0
redistribute connected
neighbor 10.0.5.2 remote-as 65000
no auto-summary
hostname P
ip cef
interface Loopback0
ip address 3.3.3.3 255.255.255.255
interface Serial1/0
ip address 10.0.2.1 255.255.255.0
mpls label protocol ldp
mpls ip
clock rate 2016000
interface Serial1/1
ip address 10.0.3.2 255.255.255.0
mpls label protocol ldp
mpls ip
clock rate 2016000
Activation du MPLS
.
router ospf 1
network 3.3.3.3 0.0.0.0 area 0
network 10.0.2.1 0.0.0.0 area 0
network 10.0.3.2 0.0.0.0 area 0
25
Verification:
show ip route vrf emsi Vrifies les informations de routage au niveau du routeur PE.
traceroute vrf emsi 10.0.0.1 Vrifies les informations de routage au niveau du routeur
PE.
show ip cef vrf emsi 10.0.0.1 detail : Vrifie les informations de routage au niveau du
routeur PE.
sh mpls forwarding-table
champ Exp (cod sur 3 bits) est similaire au champ TOS de l'entte IP, mais n'est pas
employ ici.
Le routeur PEB a insr 2 Labels dans le paquet, le premier label (19) pour le VPN
26
champ Exp (cod sur 3 bits) est similaire au champ TOS de l'entte IP, mais n'est pas
employ ici.
Le routeur PEA a insr 2 Labels dans le paquet, le premier label (19) pour le VPN
Dans notre exemple, le nom du vrf est emsi sur l interface srie 1/1.
27
Figure 2.26: Commande Show ip cef vrf emsi 10.0.6.2 detail excute
au niveau du routeur PEA.
La table CEF d'une VRF peut galement tre examine, au moyen de la commande show
ip cef vrf emsi
28
Conclusion :
Dans ce chapitre, nous avons, tous d abord, prsent l mulateur GNS3 de CISCO. Il est
signaler que nous avons pu parvenir utiliser un IOS (Image Shell des routeurs CISCO)
rcent aprs des multiples
uvre les
principales fonctionnalits VPN MPLS. Une topologie qui consiste interconnecter les deux
sites EMSI via un rseau oprateur utilisant comme technologie de transport MPLS.
Les rsultats escompts sont comments et montrent bien le fonctionnement de notre rseau.
29
nrale
L volution dans le domaine des tlcommunications ne cesse de donner une grande
souplesse pour trouver des solutions efficaces pour certains dangers et pour fournir une
scurit des biens et des personnes. En effet, la combinaison entre les technologies VPN et
MPLS a permis de fournir une solution scuritaire. Cette solution assure, d une manire
efficace, la protection des biens et des personnes n importe o dans le monde.
Ce rapport s articule sur deux chapitres : dans le premier, nous avons expos les fondements
des VPNs, Dans le deuxime, nous avons prsent une solution VPN d'Intranet simple entre
deux sites appartenant au client EMSI.
Comme perspective de ce travail, nous proposons une solution mixte VPN MPLS/IPSec. La
nouvelle solution, intgrant une partie des solutions rseaux existantes, est compose d un
rseau VPN/MPLS reliant les PE, P associs des accs IPSec pour les sites qui s y
rattachent, afin de rendre le rseau plus scuris.
30
Bibliographie
, .
nnex
es
r t e
g
el eou
Verifier le BGP:
Verifier l OSPF: