1

Ddicaces

Que ce travail prsente nos respects :
A nos parents grce vos tendres encouragements et vos
grands sacrifices. Vous avez pu crer le climat affectueux
propice la poursuite de nos tudes. Aucune ddicace ne
saurait exprimer nos respects, nos considrations et nos
profonds sentiments pour vous. Nous prions Dieu de vous bnir,
de veiller sur vous, et nous esprons que vous serez toujours
fire de nous.
A nos frres ainsi qu nos collgues nous vous ddions ce
travail en vous souhaitant un avenir plein de russite et de
bonheur.
A nos amis : Trouvez ici le tmoignage dune fidlit et amiti
infinies.
A nos chers formateurs votre gnrosit et votre soutient nous
oblige vous prendre en considration sur ce ddicace.
A tous ceux qui nous sont trs chres tous ceux qui nous ont
soutenue moralement pour raliser ce projet.








2



Remerciements


Avant tout et travers ce modeste travail, nous tenons remercier tous
ceux qui ont orient les diffrents tapes de ce travail jusqu son terme,
par leurs estimables conseils et contributions.
Tout le corps administratif de lEcole Marocaine des Sciences de
lIngnieur de Marrakech, tous nos professeurs de la branche rseaux et
tlcommunications pour le suivi de notre travail et pour leur
disponibilits, leur assistance, et pour les renseignements quils nous ont
fournis durant nos annes de formation.
Mr. Rachid Ismaili notre encadrant, pour son aide et ses prcieux
conseils et ses riches expriences dont il nous a fait part.
Nous tenons finalement remercier encore une fois les membres du jury
et exprimer lexpression de nos gratitudes nos familles et respects
tous nos amis pour leurs conseils, critiques et observations, et tous ceux
qui nous ont aid.








3






Rsum

Les VPN/MPLS (Virtuel Protocol Network/ Multi Protocol Label Switching)
sont de nouvelles alternatives pour scuriser et amliorer les Wans (Wide Area
Network). De plus en plus ils gagnent du terrain en industrie. Les entreprises
clientes se rendent auprs de fournisseurs de services VPN/MPLS. La raison
fondamentale de ce changement ou de cette modification est la capacit du
MPLS VPN de fournir une contribution importante en ce qui concerne la
scurit des liens et la connectivit any-to-any. La QoS (Quality of Service) est
llment le plus important pour les rseaux locaux en entreprise. Il est noter
que le rseau dentreprise partage la vido, laudio et la circulation des donnes
travers une seule infrastructure rseau.






4


Abstract

The VPN/MPLS (Virtual Protocol Network/Multiprotocol label
Switching) has new alternatives to secure and improve WANs(Wide Area
Network).In the technologic sectors is gaining much space, and involve
immediately customer firms to using it to keep connectivity point to point
through the core operators network. QoS (Quality of Service) is the main
element which the corporate need to be managed during the connection session
established.
Our final year project will give the near approach in the chapter bellow:
The first chapter is deep study of the MPLS architecture and the functions with
necessary equipment in the core network (PE, P)
The second chapter is presenting the VPN protocol which can provides
confidentiality and security peer to peer through the MPLS network, and shows
the principle of double label.
The last chapter shows the reel practice simulation using GNS3 simulator to test
the routing, and commutation and the label function inside the VPN/MPLS





5

Glossaire

AToM: Any Transport over MPLS
AH : Authentification Header
AS : Autonomous System


BGP : Border Gateway Protocol

CR-LDP : Constraint-based Routing LDP
CE : Customer Edge

ESP : Encapsulated Security Payload
EGP : Exterior Gateway Protocols


FEC: Forwarding Equivalence Class
FIB : Forwarding Information Base

GRE : Generic Routing Encapsulation


IETF: Internet Engineering Task Force
F
C
E
A
G
I
B

6
IGP : interior Gateway Protocols
IPSec : IP Security


L2TP: Layer 2 Tunneling Protocol
LSR: Label Switch Router
LER : Label Edge Router
LSP : Label Switched Path
LDP : Label Distribution Protocol
L2F : Layer 2 Forwarding


MPLS: Multi Protocol Label Switching
MPLS TE : Le Traffic Engineering


PPTP: Point to Point Tunneling Protocol
PPP: Point to Point Protocol
P : Provider
PE : Provider Edge


QoS : Quality of Service

RSVP TE : Ressource Reservation Protocol Traffic Engineering
RAS : Remote Access Server
R

L
M

Q
P


7
RD : Route Distinguisher
RT : Route Target

SPD: Security Policy Data base
SA : Security Associatione


TDP: Tag Distribution Protocol
TLS: Transport Layer Security

VPI: Virtual Path Identifier
VCI: Virtual Channel Identifier
VPN MPLS: Virtual Path Network MPLS
VPN: Virtual Private Network
VRF: VPN Routing and Forwarding





S
T
V

8

Liste de figures

Figure 1.1 : Exemple dun rseau MPLS7
Figure 1.2 : l'encapsulation MPLS dans diffrentes technologies.9
Figure 1.3 : Format du shim MPLS.9
Figure 1.4 : Pile de labels.10
Figure 1.5 : Descente systmatique...11
Figure 1.6 : Descente la demande..12
Figure 1.7 : MPLS VPN15
Figure 2.1 : Principe du VPN...19
Figure 2.2 : VPN d'accs..20
Figure 2.1 : VPN d'intranet...20
Figure 2.2 : VPN d'extranet..21
Figure 2.5 : La structure de la trame PPTP ..22
Figure 2.6 : Structure du paquet IPSec de type AH.23
Figure 2.7 : Structure du paquet IPSec de type ESP .23
Figure 2.8: La table Virtual Routing and forwarding..25
Figure 2.9 : Exemple de configuration simple de RT..27
Figure 2.10 : Exemple de configuration avanc de RT.28
Figure 2.11 : Mcanisme de propagation de label MPLS VPN.29
Figure 3.1 : Configuration des IOS.33
Figure 3.2 : Test de dynamips.33
Figure 3.3 : Maquette tudier3

9

Sommaire


10


11
INTRODUCTION GENERALE

Au dbut de l'Internet, la proccupation majeure tait de transmettre les
paquets leur destination. Ensuite, des mcanismes inhrents TCP ont t
dvelopps pour faire face aux consquences induites par les pertes de paquets ou
la congestion du rseau. Mais depuis le dbut des annes 1990, la communaut des
fournisseurs de service (ISP : Internet service Provider) qui administrent l'Internet est
confronte non seulement au problme de croissance explosive mais aussi des
aspects de politique, globalisation et stabilit du rseau. Par ailleurs, outre ces
diffrents aspects, apparat une trs forte diversification des services offerts. Ainsi de
nouvelles applications se dveloppent sur le rseau : tlphonie, vidoconfrence,
diffusion audio et vido, jeux en rseau, radio et tlvision en directLmergence
des rseaux privs virtuels (VPN), ncessite galement une diffrentiation de
services. La qualit de service de bout en bout apparat, dans ce contexte,
essentielle au succs de ces applications.Du point de vue ISP, considr comme le
client principal du backbone IP et la passerelle des utilisateurs Internet et rseaux, un
dfit est surmonter cest dassurer une liaison parfaite entre ses sites travers le
backbone. Plusieurs solutions existent dont la plus innovante est MPLS VPN.
Notre mini-projet tudiera les chapitres suivants : Initialement, dans le 1er
chapitre, nous allons nous concentrer sur le MPLS son fonctionnement et ses
principes de base, puis on va se concentrer sur les VPN MPLS et finalement on
passe tudier un rseau VPN/MPLS.







12
Chapitre 1:





Multi Protocol Label Switching
MPLS



Principe de fonctionnement de MPLS
Les labels
Pile de labels
Concepts relatifs la distribution de labels
Les applications de MPLS
Le Trafic Engineering (MPLS TE)





13
Introduction :
Le MPLS est davantage une architecture qu'un protocole ou un modle de
gestion. Ainsi, l'architecture MPLS est compose d'un certain nombre de protocoles
et de mcanismes dfinis, ou en cours de dfinition.
Nous allons, le long de ce premier chapitre, faire le tour de la technologie
MPLS. Nous commencerons par expliquer son principe de fonctionnement. Nous
dtaillerons ensuite les concepts relatifs aux labels et leurs distributions. Nous
finirons par donner un aperu des applications que MPLS permet de doffrir.
1.1 Principe de fonctionnement de MPLS

Figure 1.1 : Exemple dun rseau MPLS
Un rseau MPLS est constitu de deux types d'quipements :
LSR (Label Switch Router) : c'est un quipement de type routeur, ou
commutateur qui appartient un domaine MPLS.

LER (Label Edge Router) : c'est un LSR qui fait l'interface entre un domaine
MPLS et le monde extrieur. En gnral, une partie de ses interfaces
supportent le protocole MPLS et l'autre un protocole de type IP. Il existe deux
types de LER :
Ingress LER : c'est un routeur qui gre le trafic qui entre dans un rseau
MPLS.
1
2

14
Egress LER : c'est un routeur qui gre le trafic qui sort d'un rseau MPLS.
La mise en uvre de MPLS repose sur la dtermination de caractristiques
communes un ensemble de paquets et dont dpendra l'acheminement de ces
derniers. Cette notion de caractristiques communes est appele Forwarding
Equivalence Class (FEC).
Une FEC est la reprsentation dun ensemble de paquets qui partagent les
mmes caractristiques pour leur transport.
- Le routage IP classique distingue les paquets en se basant seulement sur les
adresses des rseaux de destination (prfixe dadresse).
- MPLS constitue les FEC selon de nombreux critres : adresse destination, adresse
source, application, QoS, etc.
Quand un paquet IP arrive un ingress LER, il sera associ une FEC. Puis,
exactement comme dans le cas d'un routage IP classique, un protocole de routage
sera mis en uvre pour dcouvrir un chemin jusqu' l'egress LER (Voir Figure 1.1,
les flches (1) ). Mais la diffrence d'un routage IP classique cette opration ne
se ralise qu'une seule fois. Ensuite, tous les paquets appartenant la mme FEC
seront achemins suivant ce chemin qu'on appellera Label Switched Path (LSP).
Ainsi on a eu la sparation entre fonction de routage et fonction de commutation : Le
routage se fait uniquement la premire tape. Ensuite tous les paquets
appartenant la mme FEC subiront une commutation simple travers ce chemin
dcouvert. Pour que les LSR puissent commuter correctement les paquets, le
Ingress LER affecte une tiquette (appele aussi Label) ces paquets (label
imposition ou label pushing). Ainsi, si on prend l'exemple de la figure 1.1, Le LSR1
saura en consultant sa table de commutation que tout paquet entrant ayant le label L
=18 appartient la FEC tel et donc doit tre commut sur une sortie tel en lui
attribuant un nouveau label L=21 (label swapping). Cette opration de commutation
sera excuter par tous les LSR du LSP jusqu' aboutir l'Egress LER qui supprimera
le label (label popping ou label disposition) et routera le paquet de nouveau dans
le monde IP de faon traditionnelle. L'acheminement des paquets dans le domaine
MPLS ne se fait donc pas base d'adresse IP mais de label (commutation de label).

15
Il est claire qu'aprs la dcouverte de chemin (par le protocole de routage), il
faut mettre en uvre un protocole qui permet de distribuer les labels entre les LSR
pour que ces derniers puissent constituer leurs tables de commutation et ainsi
excuter la commutation de label adquate chaque paquet entrant. Cette tche est
effectue par "un protocole de distribution de label" tel que LDP ou RSVP TE.
Les protocoles de distribution de label seront repris plus loin dans un
paragraphe part. Les trois oprations fondamentales sur les labels (Pushing,
swapping et popping) sont tout ce qui est ncessaire pour MPLS. LesLabels
pushing/popping peuvent tre le rsultat d'une classification en FEC aussi complexe
qu'on veut. Ainsi on aura plac toute la complexit aux extrmits du rseau MPLS
alors que le cur du rseau excutera seulement la fonction simple de label
swapping en consultant la table de commutation.
1.2 Les labels
Un label a une signification d'identificateur local d'une FEC entre 2 LSR
adjacents et mappe le flux de trafic. La figure 1.2, illustre la mise en uvre des
labels dans diffrentes technologies. Ainsi, MPLS fonctionne indpendamment des
protocoles de niveau 2 (ATM, FR, etc.) et des protocoles de niveau 3 (IP, etc.).
C'est ce qui lui vaut son nom de "Multi Protocol Label Switching".
En-tte PPP Shim MPLS En-tte couche 3

En-tte Ethernet Shim MPLS En-tte couche 3

En-tte FR Shim MPLS En-tte couche 3

GFC VPI VCI PTI CLP HEC DATA


Figure 1.2 : l'encapsulation MPLS dans diffrentes technologies
Label
ATM

16
Dans le cas ATM, MPLS utilise les champs VPI (Virtual Path Identifier) et VCI
(Virtual Channel Identifier) comme tant un label MPLS. Dans les autres cas, MPLS
insre un en-tte (32 bits) entre la couche 2 et la couche 3 appel shim MPLS. La
figure 1.3 illustre le format d'un shim MPLS :
LABEL EXP S TTL

Figure 1.3 : Format du shim MPLS
LABEL (20 bits) : Contient le label.
EXP (3 bits) : Initialement rserv pour une utilisation exprimentale.
Actuellement, la plus part des implmentations utilise ce champ comme indicateur de
QoS. Gnralement, c'est une copie du champ PRECEDENCE (PPP) dans l'en-tte
IP. En IP, la prcdence dfinit la priorit d'un paquet (0 : priorit suprieure, 7 :
priorit infrieure).
S (1 bit) : Indique s'il y a empilement de labels (il est en fait commun d'avoir
plus qu'un label attach un paquet). Le bit S est 1 lorsque le label se trouve au
sommet de la pile, 0 sinon.
TTL (8 bits) : Mme signification que pour IP. Ce champ donne la limite
suprieure au nombre de routeurs qu'un paquet peut traverser. Il limite la dure de
vie du paquet. Il est initialis une certaine valeur, puis dcrment de un par
chaque routeur qui traite le paquet. Lorsque ce champ atteint 0, le paquet est rejet.
L'utilisation de ce champ vite les boucles de routage.
1.3 Pile de labels (Label Stack)
Comme on l'a dj voqu, il est commun d'avoir plus qu'un label attach un
paquet. Ce concept s'appelle empilement de label. L'empilement de label permet en
particulier d'associer plusieurs contrats de service un flux au cours de sa traverse
du rseau MPLS. Dans le cas de deux niveaux de label, on pourra relier deux
rseaux d'un rseau priv au travers d'un rseau oprateur (Voir figure 1.4), en
20 bits 3 bits 1 bit 8 bits

17
utilisant un niveau de labels au niveau oprateur, et un niveau de labels au niveau du
rseau priv. Les LSR de frontire de rseau auront donc la responsabilit de
pousser (ou tirer) la pile de labels pour dsigner le niveau d'utilisation courant de
label.

Figure 1.4 : Pile de labels
L'utilisation de plusieurs niveaux de labels permet, lors d'interconnexions de
disposer de plusieurs niveaux d'oprateurs. Chacun manipule les labels
correspondant son niveau.
1.4 Concepts relatifs la distribution de labels
Pour comprendre comment les LSR gnrent et distribuent les labels, on doit
aborder quelques concepts relatifs la distribution de labels.
1.4.1 Contrle de distribution des labels
Il existe deux modes de contrle de distribution des labels aux LSR voisins :
Mode de contrle ordonn (Ordered control mode) : Dans ce mode, un LSR
associe un label une FEC particulire, si :
Il s'agit d'un Egress LER ;
L'assignation (l'association Label, FEC) a t reue du LSR situ au
saut suivant.


18
Mode de contrle indpendant (Independent control mode) :
Dans ce mode, les LSR sont libres de communiquer les associations entre
label et FEC leurs voisins sans attendre de recevoir l'assignation du LSR situ au
saut suivant. Ainsi, un LSR peut diffuser un label pour une FEC, quand bien mme il
n'est pas prt communiquer sur ce label.
1.4.2 Distribution et gestion des labels
La distribution elle-mme des labels peut se faire suivant plusieurs mthodes :
Descente systmatique (unsolicited downstream) :
Le LSR en aval envoie le label au LSR prcdent (en amont) de manire
systmatique (sans demande explicite). Ainsi dans l'exemple de la figure 1.5, LSR C
demande au LSR B d'utiliser le Label 53 Pour la destination 182.65.10/24. LSR B,
son tour, demande au LSR A d'utiliser le label 25 pour cette mme destination.

Figure 1.5 : Descente systmatique
Descente la demande (Downstream-on-Demand) :
Dans ce mode, le LSR en aval envoie le label au LSR prcdent uniquement
s'il a reu une requte. Et ceci mme s'il a dj gnr un label pour la FEC en
question.

19

Figure 1.6 : Descente la demande

1.4.3 Conservation des labels
Il existe deux modes que les LSR utilisent pour la conservation des labels
reus :
Mode de conservation libral (Liberal retention) :
Dans ce mode, les LSR conservent les labels reus de tous leurs voisins. Il
permet une convergence plus rapide face aux modifications topologiques du rseau
et la commutation de trafic vers d'autres LSP en cas de changement. En contre
partie, ce mode ncessite beaucoup de mmoire.
Mode de conservation conservateur (Conservative retention) :
Dans ce mode, les LSR retiennent uniquement les labels des voisins situs
sur le saut suivant et ignorent tous les autres. Ce mode ncessite peu de mmoire.
En contre partie, on aura une adaptation plus lente en cas derreur.
1.4.4 Espace de labels (Label Space)
Les labels utiliss par un LSR pour l'assignation de labels un FEC sont
dfinis de deux faons :
Par plate-forme (per-platform label space ou global space) :

20
Dans ce cas, les valeurs de labels sont uniques dans tous les quipements
LSR. Les labels sont allous depuis un ensemble commun de labels : de la sorte,
deux labels situs sur des interfaces distinctes possdent des valeurs distinctes.
Par interface (per-interface label space) :
Les domaines de valeurs des labels sont associs une interface. Plusieurs
peuvent tre dfinis. Dans ce cas, les valeurs de labels fournies sur des interfaces
diffrentes peuvent tre identiques. Il est clairement stipul qu'un LSR peut utiliser
une assignation de label par interface, la condition express qu'il soit en mesure de
distinguer linterface depuis laquelle arrive le paquet. Il risque sinon de confondre
deux paquets possdant le mme label, mais issus d'interfaces diffrentes.
1.4.5 Cration des labels
Plusieurs mthodes sont utilises pour la cration des labels, en fonction des
objectifs recherchs.
Fonde sur la topologie (Topology-based) :
Cette mthode engendre la cration de labels lissue de lexcution normale
des processus de routages (comme OSPF ou BGP).
Fonde sur les requtes (Request-based) :
Cette mthode de cration de labels est dclenche lors de lexcution dune
requte de signalisation.
Fonde sur le trafic (Traffic-based) :
Cette mthode de cration de labels attend la rception dun paquet de
donne pour dclencher lassignation et la distribution de labels.
La dernire mthode est un exemple de protocole fond sur le modle orient
donnes (data-driven). Ce modle n'a pas t retenu par MPLS. Dans ce cas,
l'assignation de labels n'est dclenche qu' la rception effective de paquets de
donnes et non a priori comme en mode control-driven. Cette mthode prsente

21
l'avantage de justifier le processus de cration de labels et de leur distribution qui se
fait uniquement en prsence effective d'un trafic utilisateur. En revanche, elle a
l'inconvnient d'obliger l'ensemble des routeurs du rseau fonctionner au dpart
comme des routeurs traditionnels, avec l'obligation de disposer des fonctions de
classification de paquets pour identifier les flux de trafic. En outre, il existe un dlai
entre la reconnaissance d'un flux sur le rseau et la cration d'un label pour ce flux.
Enfin, en prsence d'un nombre important de flux de trafic (sur un grand
rseau), le processus de distribution de labels peut devenir complexe et lourd
grer.
Les deux premires mthodes exposes sont des exemples d'assignation de
labels tablis partir du modle orient contrle (control-driven), savoir qu'
l'inverse du modle prcdent, les labels sont assigns et distribus pralablement
l'arrive des donnes de trafic de l'utilisateur. C'est le modle retenu et utilis par
MPLS.
Voici les principaux protocoles de distribution de labels envisags :
TDP (Tag Distribution Protocol) : Prdcesseur de LDP.
LDP (Label Distribution Protocol) : Protocole cr spcifiquement.
BGP (Border Gateway Protocol) : Amlioration de BGP pour la
distribution des labels
PIM (Protocol Independent Multicast) : Amlioration de PIM pour la
distribution des labels
CR-LDP (Constraint-based Routing LDP) : Amlioration de LDP
RSVP TE (Ressource ReSerVation Protocol Traffic Engineering) :
Amlioration de RSVP
Les quatre premires approches sont fondes sur la topologie (Topology-
based). Les deux dernires approches sont fondes sur les requtes (Request-
based). Et ce sont ces deux protocoles de distribution de labels qui sont utiliss pour
le MPLS Traffic Engineering.


22
1.5 Les applications de MPLS
La motivation primaire de MPLS tait d'accrotre la vitesse de traitement des
paquets au niveau des nuds intermdiaires. Cela dit, aujourd'hui MPLS offre peu
sinon pas d'amlioration du tout dans ce sens : les routeurs actuels sont quips
avec des circuits et des algorithmes permettant un acheminement (forwarding) des
paquets extrmement rapide. Donc, traiter des paquets sur la base de label de 20
bits de MPLS n'est plus significativement rapide par rapport traiter des paquets sur
la base d'adresse de 32 bits de IP.
Aujourd'hui, les motivations relles pour dployer des solutions MPLS sont
les applications que MPLS permet et qui taient trs difficiles voire impossibles
mettre en uvre avec IP traditionnel. Ces applications sont trs importantes pour les
oprateurs et les ISP (Internet Service Provider), tout simplement parce qu'elles
peuvent tre vendues.
Il existe aujourd'hui quatre applications majeures de MPLS. Ces applications
supposent la mise en uvre de composants adapts aux fonctionnalits
recherches. L'implmentation de MPLS sera donc diffrente en fonction des
objectifs recherchs. Cela se traduit principalement par une faon diffrente
d'assigner et de distribuer les labels (Classification, protocoles de distribution de
labels). Le principe d'acheminement des paquets fond sur l'exploitation des labels
tant le mcanisme de base commun toutes les approches.
Les principales applications de MPLS concernent :
Any Transport over MPLS (AToM) ;
Le support des rseaux privs virtuels (MPLS VPN, Virtual Private
Network) ;
Le support de la qualit de service (MPLS QoS) ;
Le Traffic Engineering (MPLS TE).

1.5.1 Any Transport over MPLS (AToM)

23
Ce service traduit l'indpendance de MPLS vis--vis des protocoles de
couches 2 et 3. AToM est une application qui facilite le transport du trafic de couche
2, tel que Frame Relay, Ethernet, PPP et ATM, travers un nuage MPLS.
1.5.2 Le support des rseaux privs virtuels (MPLS VPN)
Un rseau priv virtuel (VPN) simule le fonctionnement d'un rseau tendu
(WAN) priv sur un rseau public comme Internet. Afin d'offrir un service VPN fiable
ses clients, un oprateur ou un ISP doit alors rsoudre deux problmatiques
essentielles :
Assurer la confidentialit des donnes transportes ;
Prendre en charge des plans d'adressage priv, frquemment identiques.
La construction de VPN repose alors sur les fonctionnalits suivantes :
Systmes de pare-feu (Firewall) pour protger chaque site client et permettre
une interface scurise avec Internet ;
Systme d'authentification pour vrifier que chaque site client change des
informations avec un site distant valide ;
Systme de cryptage pour empcher l'examen ou la manipulation des
donnes lors du transport sur Internet ;
Tunneling pour permettre un service de transport multiProtocol et l'utilisation
de plans d'adressage privs ;
MPLS permet de rsoudre efficacement la fonctionnalit de tunneling, dans la
mesure o l'acheminement des paquets n'est pas ralis sur l'adresse de destination
du paquet IP, mais sur la valeur du label assign au paquet. Ainsi, un ISP peut
mettre en place un VPN, en dployant un ensemble de LSP pour permettre la
connectivit entre diffrents sites du VPN d'un client donn. Chaque site du VPN
indique l'ISP l'ensemble des prfixes (adresses) joignables sur le site local. Le
systme de routage de l'ISP communique alors cette information vers les autres sites
distants du mme VPN, l'aide du protocole de distribution de labels. En effet,
l'utilisation d'identifiant de VPN permet un mme systme de routage de supporter
multiples VPN, avec un espace d'adressage ventuellement identique. Ainsi, chaque

24
LER place le trafic en provenance d'un site dans un LSP fond sur une combinaison
de l'adresse de destination du paquet et l'appartenance un VPN donn.

Figure 1.7 : MPLS VPN
Il existe une autre approche permettant de mettre en uvre des VPN sur les
rseaux IP :
IPSec privilgie la scurisation des flux d'information par encryptage des
donnes, alors que MPLS se concentre plutt sur la gestion de la qualit de service
et la priorit des flux.
Le problme de scurit dans MPLS VPN est minimal dans le cas o le
rseau est propritaire (non Internet). Cependant, si cette garantie n'est pas
suffisante, il existe des solutions qui permettent d'utiliser en mme temps MPLS et
IPSec et ainsi construire des VPN disposant des avantages des deux approches en
mme temps : la souplesse de MPLS et la scurisation dIPSec.
1.5.3 Le support de la qualit de service (MPLS QoS)
Le support de la QoS peut tre mise en uvre de deux faons sur MPLS :
Les trafics sur un mme LSP peuvent se voir affecter diffrentes files
d'attente dans les routeurs LSR, selon la valeur du champ EXP de l'en-
tte MPLS (Voir Figure 1.3). Le principe du champ EXP dans MPLS
est le mme que le champ Precedence (PPP) dans IP.
L'utilisation du Traffic Engineering,

25

1.6 Le Trafic Engineering (MPLS TE)
Sur cette application est en troite relation avec la Qualit de Service, puisque
sont rsultat immdiat est l'amlioration de paramtres tel que le dlai ou la gigue
dans le rseau. Elle est tout de mme considre comme une application part
entire par la plupart des industriels. Ceci vient du fait que MPLS TE n'est pas une
simple technique de rservation de ressources pour les applications rseau. C'est un
concept plus global qui se veut tre une solution qui vise augmenter les
performances gnrales du rseau en jouant sur la rpartition quilibre des charges
(trafics) dans le rseau pour ainsi avoir une utilisation plus optimale des liens.
Conclusion :
Mme si le temps de routage nest plus lintrt de cette technologie, MPLS
est toujours trs favorable pour s'imposer dans le monde des rseaux.
Les offres MPLS au niveau de la qualit de service, de VPN ou de Traffic
Engineering assureront ce protocole un succs tant au prs des utilisateurs que
des oprateurs et fournisseurs de services. Son succs vient galement du fait quil
ne remet pas en cause les protocoles existants de niveau 2 et 3.
Dans le chapitre qui va suivre, on va s'approfondir dans la notion de MPLS VPN et
voir comment MPLS traite ce concept.








26

Chapitre 2:


Virtual Path Network MPLS
VPN MPLS

Dfinition
Principe de fonctionnement
Les diffrents types de VPN
Les protocoles pour les tunnels VPN
o PPTP
o IPSec
VPN sur MPLS
Introduction
Routeurs P, PE et CE
Routeurs virtuels : VRF (VPN Routing Forwarding)
Multiprotocol BGP (MP-BGP)
La notion du RD (Route Distinguisher)
La notion du RT (Route Target)
Conclusion


27

Introduction :
La prsence grandissante d'Internet a considrablement modifi les modes de
travail et de fonctionnement d'un grand nombre d'organisations. Pour garder une
longueur d'avance face la concurrence, un nombre accru d'organisations
demandent leurs employs de se connecter des rseaux d'entreprise depuis des
sites distants, qu'il s'agisse de leur domicile, de filiales, d'htels ,de cybercafs ou
des locaux d'un client.
Ces connexions distantes sont gnralement tablies l'aide des technologies de
rseau priv virtuel (VPN, Virtual Private Network).Grce aux connexions VPN, des
employs ou des partenaires peuvent en toute scurit se connecter au rseau local
d'une entreprise sur un rseau public. Tout accs distant reposant sur des
technologies VPN ouvre ainsi la voie une large palette de nouvelles opportunits
commerciales, notamment l'administration distance et les applications haute
scurit. Un nombre considrable de groupes commerciaux et d'utilisateurs fait appel
des applications de productivit et d'administration qui exige un accs distance
rgulier et fiable des rseaux locaux d'entreprise.

2.1 Dfinition :
Le rseau priv virtuel (VPN, Virtuel Private Network) est un lment essentiel
dans les architectures modernes de scurit. Un VPN est constitu dun ensemble
de LAN privs relis travers Internet par un tunnel scuris dans lequel les
donnes sont cryptes.
Les postes distants faisant parties du mme VPN communiquent de manire
scurise comme sils taient dans le mme espace priv, mais celui-ci est virtuel
car il ne correspond pas une ralit physique. Cette solution permet dutiliser les
ressources de connexion de linternet plutt que de mettre en place, comme par le
pass, une liaison spcialise prive entre deux sites qui peut tre trs couteuse si
les sites sont fortement loigns.

28
La principale contrainte du VPN est de scuriser les transmissions, par nature
exposes sur le rseau public internet.





Figure 2.1 : Principe du VPN
Ce mcanisme est illustr par la figure 2. 1. Les pc des deux LAN font parties du
mme VPN .Les communications passent par des passerelles matrielles ou
logicielles charges didentifier les extrmits du tunnel, de crypter les donnes et de
les encapsuler dans un nouveau paquet en grant un double adressage priv et
public.
2.2 Principe de fonctionnement
Un rseau VPN repose sur un protocole appel protocole de tunneling .Ce
protocole permet de faire circuler les informations de lentreprise de faon crypte
dun bout lautre du tunnel. Ainsi, les utilisateurs ont limpression de se connecter
directement sur le rseau de leur entreprise.
Le principe du tunneling consiste construire un chemin virtuel aprs avoir
identifi lmetteur et le destinataire .Par la suite, la source chiffre les donnes et les
achemine en empruntant ce chemin virtuel. Afin dassurer un accs ais et peu
couteux aux intranets ou aux extranets dentreprise, les rseaux privs virtuels
daccs simulent un rseau priv, alors quils utilisent en ralit une infrastructure
daccs partag, comme internet.
Les donnes transmettre peuvent tre prises en charge par un protocole diffrent
dIP. Dans ce cas, le protocole de tunneling encapsule les donnes en ajoutant un

29
en-tte tunneling est lensemble des processus dencapsulation, de transmission et
de dsencapsulation.
2.3 Les diffrents types de VPN
Il existe trois types de VPN :
VPN daccs : il est utilis pour permettre des utilisateurs itinrants
daccder au rseau de leur entreprise. Lutilisateur se sert dune connexion
internet afin dtablir une liaison scurise.





Figure 2.2 : VPN d'accs

VPN dintranet : il est utilis pour relier deux ou plusieurs intranets dune
mme entreprise entre eux. Ce type de rseau est particulirement utile au
sein dune entreprise possdant plusieurs sites distants. Cette technique est
galement utilise pour relier des rseaux dentreprise, sans quil soit question
dintranet (partage de donnes, de ressources, exploitation de serveurs
distants etc.).





30





Figure 2.3 : VPN d'intranet

VPN dextranet : Une entreprise peut utiliser le VPN pour communiquer avec
ses clients et ses partenaires. Elle ouvre alors son rseau local ces derniers.
Dans ce cas, il est ncessaire davoir une authentification forte des
utilisateurs, ainsi quune trace des diffrents accs. De plus, seul une partie de
ressources sera partage, ce qui ncessite une gestion rigoureuse des
espaces dchange.





Figure 2.4 : VPN d'extranet





31

2.4 Les protocoles pour les tunnels VPN

Au niveau 2, les deux protocoles les plus utiliss pour mettre en place un
tunnel VPN sont PPTP (Point to Point Tunneling Protocol) propose au dpart par
Microsoft et L2TP (Layer 2 Tunneling Protocol) normalis par LIETF (Internet
Engineering Task Force) et qui est le rsultat de la fusion du protocole L2F (Layer 2
Forwarding) de Cisco et PPTP.
Les rseaux MPLS permettent galement de mettre en place des VPN. Les
circuits virtuels nomms LSP (Label Switched Path) peuvent tre scuriss pour
former les tunnels VPN utilisant des fonctionnalits de niveau 2 et 3.
Au niveau 3, IPSec (IP Security) dfini par LIETF permet de scuriser les
paquets IP et de crer un tunnel sur la couche rseau.
Aux niveaux suprieurs, SSL/TLS (Secure Socket Layer /Transport Layer
Security) et SSH (Secure Shell) permettent de chiffrer les messages encapsuls
dans des segments TCP et donc de crer indirectement des VPN de niveau 7.

2.4.1 Le protocole PPTP
mthode standard pour accder distance un rseau non scuris, par
exemple linternet via son FAI, est de se connecter par un modem un serveur
daccs distant ou le RAS(Remote Access Server).La connexion entre le modem et
lun des modems du FAI repose sur le protocole PPP(Point to Point Protocol )qui est
un protocole de niveau 2 charg de ngocier les paramtres de la connexion (dbit,
authentification) et dencapsuler les paquets IP dans des trames .
Dans le cas dun VPN, le serveur RAS devient une passerelle VPN laquelle on
accde par le protocole PPTP. Le rle de PPTP est donc de chiffrer et dencapsuler,
en les faisant passer par un tunnel crypt, les datagrammes IP dans le cadre dune
connexion point point.
Une trame PPTP est constitue :

32
Du datagramme IP contenant les donnes utiles et les adresses IP de
bout en bout.
De len-tte PPP ncessaire pour toute connexion point point.
Dun en tte GRE (Generic Routing Encapsulation) qui gre
lencapsulation et permet disoler les flux IP priv et public.
Dun nouvel en-tte IP contenant les adresses IP source et destination
des passerelles VPN (client et serveur VPN).



Figure 2.5 : La structure de la trame PPTP

Avant dtablir le tunnel GRE, une connexion TCP sur le port 1723 est ralise.
Elle intgr la ngociation des paramtres et lauthentification de lutilisateur.
Lun des points faibles de PPTP est que toute la partie ngociation de la connexion
nest pas protge. Par ailleurs, de nombreuses implmentations de ce protocole,
notamment celles de Microsoft, ont fait lobjet de dcouvertes de vulnrabilits et
dincapacit protger efficacement les mots de passe des utilisateurs. Ce
mcanisme offre par consquent une authentification nettement moins fiable que
celle propose par IP Sec



33

2.4.2 Le protocole IPSec
Ce protocole, li IPv4 et IPv6 et essentiellement employ dans les VPN,
assure lauthentification et lencryptage des paquets IP au travers de linternet. Il
intervient donc au niveau 3.
IPSec peut tre utilis pour ne faire que de lauthentification : dans ce cas
lajout dun en-tte dauthentification (AH, Authentification Header) permet de vrifier
lauthenticit et lintgrit des paquets. AH ne spcifie pas dalgorithme de signature
particulier mais SHA-1 est le plus utiliss. Lauthentification est faite sur :
Les donnes qui suivent len-tte AH.
Sur len-tte AH.
Sur les champs importants de len-tte IP (source, destination,
protocole, longueur, version) et qui ne varient pas pendant le
transfert sur le rseau.

Figure 2.6 : Structure du paquet IPSec de type AH
Dans la plupart des applications IPSec, lenveloppe ESP (Encapsulated
Security Payload) qui permet de chiffrer et dauthentifier les paquets utiliss.
Lenveloppe ESP contient :
Len-tte (header).
Les donnes chiffres.
Une queue (trailer).
Des donnes supplmentaires dauthentification optionnelles.


34


IP ESP
HEADER
Donnes ESP
Trailer
ESP
Auth

Figure 2.7 : Structure du paquet IPSec de type ESP
Par ailleurs deux modes correspondant deux architectures sont possibles avec
IPSec (figure 2.7) :
Le mode transport qui ne protge (par authentification AH ou chiffrage
ESP) que les donnes des paquets transmis.
Le mode tunnel dans lequel le paquet entier est protg (par
authentification AH ou chiffrage ESP) en lencapsulant dans un nouveau
paquet IP.
Sur chaque systme susceptible dutiliser IPSec, une base de donnes
nomme SPD (Security Policy Data base) doit tre prsente. Sa forme prcise est
laisse au choix de limplmentation ; elle permet de prciser la politique de scurit
appliquer au systme. Une communication protge entre deux systmes laide
dIPSec est appele une SA (Security Association).Une SA est une entre de la
SPD, cest--dire un enregistrement contenant des paramtres de communication
IPSec: algorithmes, types de cls, dure de validit, identit des partenaires.
Enfin pour viter davoir grer les cls de cryptage et dauthentification
manuellement, IPSec intgre un protocole dchange automatique de cl nomm
IKE (internet Key Exchange).Ce protocole est utilis dans la phase dinitialisation est
charg dans un premier temps de ngocier une SA (paramtres des cls pour AH ou
ESP).



35

2.5 Les VPN-MPLS
2.5.1 Dfinition
Parmi les applications les plus importantes de MPLS cest de pouvoir
implmenter des solutions VPN ; cela veut dire quune entreprise peut raccorder
plusieurs de ses sites distants partir dun rseau partags par dautres entreprises,
lavantage de cette mthode cest que plusieurs sites appartenant aux mme VPN
peuvent communiquer en toute transparence tout en isolant le Traffic des stations
appartenant pas aux mme VPN.
Cette partie aborde le concept VPN/MPLS en particulier avec les notions de routeurs
virtuel (VRF) et le protocole MP-BGP, ddi lchange de routes VPN.
2.5.2 Routeurs P, PE et CE
P (Provider) : Ces routeurs, composant le cur du backbone MPLS, nont
aucune connaissance de la notion de VPN. Ils se contentent dacheminer les
donnes grce la commutation de labels.
PE (Provider Edge) : Ces routeurs sont situs la frontire du backbone MPLS et
ont par dfinition une ou plusieurs interfaces relies des routeurs clients .
CE (Customer Edge) : Ces routeurs appartiennent au client et nont aucune
connaissance des VPN ou mme de la notion de label. Tout routeur
traditionnel peut tre un routeur CE, quelle que soit son type ou la version
dIOS utilise.

2.5.3 Routeurs virtuels : VRF (VPN Routing Forwarding)



36

La notion mme de VPN implique lisolation du trafic entre sites clients
nappartenant pas aux mmes VPN. Pour raliser cette sparation, les routeurs PE
ont la capacit de grer plusieurs tables de routage grce la notion de VRF (VPN
Routing and Forwarding). Une VRF est constitue dune table de routage, dune FIB
(Forwarding Information Base) et dune table CEF spcifiques, indpendantes des
autres VRF et de la table de routage globale. Chaque VRF est dsigne par un nom
sur les routeurs PE. Les noms sont affects localement, et nont aucune signification
vis--vis des autres routeurs.








Figure 2.8: La table Virtual Routing and forwarding
Chaque interface de PE relie un site client est rattache une VRF
particulire. Lors de la rception de paquets IP sur une interface client, le routeur PE
procde un examen de la table de routage de la VRF laquelle est rattache
linterface, et donc ne consulte pas sa table de routage globale. Cette possibilit
dutiliser plusieurs tables de routage indpendantes permet de grer un plan
dadressage par sites, mme en cas de recouvrement dadresses entre VPN
diffrents.


37

2.5.4 Multi Protocol BGP (MP-BGP)
Le protocole MP-BGP est une extension du protocole BGP 4,et permettant
dchanger des routes Multicast et des routes VPN.
MP-BGP adopte une terminologie similaire BGP concernant le peering :
MP-iBGP : peering entre routeurs dun mme AS ;
MP-eBGP : peering entre routeurs situs dans 2 AS diffrents.
Le routage lintrieur des systmes autonomes (AS, Autonomous System) qui
correspondent un domaine de routage li un dcoupage de linternet et sous la
responsabilit dune autorit unique (un AS est identifi par un numro unique
attribu par le NIC).
Les protocoles de routage interne IGP (interior Gateway Protocols) telles que
RIP et OSPF qui concerne les routeurs internes.
Les protocoles de routage externe comme EGP (Exterior Gateway Protocols)
ou BGP (Border Gateway Protocol) utiliss par les routeurs externes ou
routeurs de bord (border routers).
2.5.5 La notion du RD (Route Distinguisher)
Quand il sagit des VPN isols ayant la possibilit dutiliser des plans
dadressage recouvrant, les routes changes entre PE doivent tre rendues
uniques au niveau des updates BGP. Pour cela, un identifiant appel RD (Route
Distinguisher),cod sur 64 bits, est accol chaque subnet IPV4 dune VRF donne.
Le RD scrit sous la forme IP-Address : nn .
Il est conseill de choisir un RD unique par routeur et par VRF.

38
Lors de la cration dun VRF sur un PE, un RD doit tre configur. Les routes
apprises soit localement (routes statiques, Loopback sur le PE), soit par les CE
rattachs au PE seront ainsi exportes dans les updates MP-BGP avec ce RD.
2.5.6 La notion du RT (Route Target)
Le RD permet de garantir lunicit des routes VPNv4 changes entre PE,
mais ne dfinit pas la manire dont les routes vont tre insres dans les VRF des
routeurs PE.
Limport et lexport de routes sont grs grce une communaut tendue
BGP (Extended community) appel RT (Route Target).Les RT ne sont rien de plus
que des sortes de filtres appliqus sur les routes VPNv4.Chaque VRF dfinie sur un
PE est configure pour exporter ses routes suivant un certain nombre de RT. Une
route VPN exporte avec un RT donn sera ajoute dans les VRF des autres PE qui
importe ce RT.

Figure 2.9 : Exemple de configuration simple de RT

Pour changer les routes entre tous les sites numero (1) de la figure 2.9,
chaque PE importe et exporte le RT 500 :1000.
La configuration simple pour un VPN consiste appliquer la rgle :
1
1 1

39


(Avec RT_VPN choisi comme identifiant spcifique auVPN).
Le schma suivant indique la marche suivre pour crer une topologie de type hub
and spoke :

Figure 2.10 : Exemple de configuration avanc de RT
Dans cet exemple, le site (1) est un site central (par ex. pour ladministration
des diffrents VPN). Chacun des 3 sites, appartenant un VPN diffrent (2),(3),(4)
importe les routes du site central (RT 500:1001). Rciproquement, le site central
importe les routes de tous les sites clients (RT 500:1000). Bien que le site central ait
accs tous les sites clients, ceux-ci ne peuvent se voir entre eux. En effet, aucune
relation de RT nest dfinie entre les sites clients (aucun site n importe o nexporte
de route vers un autre).
Naturellement, comme le site (1) voit les 3 sites clients, le plan dadressage de
ces sites doit tre compatible (cest--dire non recouvrant) au niveau des routes
changes pour garantir lunicit des routes vis--vis du site central.*


RT_import =RT_export =RT_VPN
1
2 4 3

40

2.5.7 Principe de fonctionnement
2.5.7.1 Acheminement des paquets
La pile de label MPLS est utilise pour informer le routeur PE de ce quil doit
faire avec un paquet venant dun VPN particulier. En utilisant la pile de label, le
routeur PE dentre (Ingres router) place deux labels dans un paquet entrant. Le
premier label, celui de sommet de la pile, est un label LDP. Il garantit que le paquet
traverse le backbone MPLS et arrive au routeur PE de sortie (Egress router).Le label
secondaire dans la pile dit label VPN est assign par lEgress PE et informe le
routeur comment acheminer un paquet appartenant un VPN particulier, en dautres
termes slectionne linterface de sortie de lEgress PE.
Le mcanisme de PHP (Penultimate Hop Popping) peut tres appliqu au
niveau de MPLS VPN ou le dernier routeur P du backbone enlve le label du
sommet de la pile donc lEgress PE reoit un paquet contenant seulement le label
VPN.
2.5.7.2 Propagation du label VPN
Le second label est allou par le routeur PE de sortie. Il est propag de
lEgress PE vers lingress PE en choisissant MP-BGP comme mcanisme de
propagation. Chaque mise jour MP-BGP transporte le label assign avec
lensemble de prfixe VPN de 96 bits. Le schma suivant illustrent la propagation de
label VPN entre les routeurs PE :


41

Figure 2.11 : Mcanisme de propagation de label MPLS VPN

Etape 1 :lEgress PE assigne un label chaque route VPN reue par les routeurs
attachs. Le label est alors utilis comme secondaire dans la pile de label MPLS par
lingress PE quand il laffecte au paquet VPN.
Etape 2 : le label VPN est transmis aux autres routeurs PE avec les mises jour
MPBGP.
Etape 3 : lingress recevra deux labels associs la route VPN qui seront combins
dans une pile est installs dans la table VRF.

Conclusion :
Dans ce chapitre, nous nous sommes consacrs, la prsentation des
solutions VPN et les diffrents protocoles pouvant tre utiliss. La technologie MPLS
VPN reprsente une nouvelle alternative de connectivit client multi sites travers le
backbone IP dun oprateur, du faite des nombreux avantages quelle prsente
savoir :


42

conservation de plan dadressage client.
Mise en place rapide.
dfinition conjointe des paramtres de la qualit de service.
simplicit pour le client: aucun nouveau paradigme dapplication
Dans le suivant et dernier chapitre, nous allons essayer dvaluer le fonctionnement
VPN/MPLS laide de lmulateur GNS3 et ainsi prsenter les caractristiques et les
possibilits quoffre cette technologie.














43



Chapitre 3:


Partie simulation


Le fonctionnement de GNS3Les labels
Mise en place dun VPN MPLS
Mise en place des VRF sur les PE
Configuration des interfaces
Mise en place du protocole intra-nuage
Mise en place du protocole CE-PE
Mise en place du protocole MP-BGP
Gestion de la redistribution respective des prfixes
Tests et vrifications

44


Introduction :
GNS3 est un simulateur graphique de rseaux qui vous permet de crer des
topologies de rseaux complexes et d'en tablir des simulations. Ce logiciel, en lien
avec Dynamips (simulateur IOS), Dynagen (interface textuelle pour Dynamips) et
Pemu (mulateur PIX) est un excellent outil pour l'administration des rseaux
CISCO, les laboratoires rseaux ou les personnes dsireuses de s'entraner avant
de passer les certifications CCNA, CCNP, CCIP ou CCIE. De plus, il est possible de
s'en servir pour tester les fonctionnalits des IOS Cisco ou de tester les
configurations devant tre dployes dans le futur sur des routeurs rels.
3.1 Le fonctionnement de GNS3
Le droulement de la simulation se base sur certain module qui consiste la base du
fonctionnement savoir :
Dynamips : un mulateur d'image IOS qui permet de lancer des
images binaires IOS provenant de Cisco Systems.
Dynagen : Une interface en mode texte pour Dynamips.
WINCAP: Explique comment capturer, enregistrer et imprimer
l'intgralit de l'cran, parties de l'cran, ou fentres spcifiques.

3.1.1 Configuration des quipements sur GNS3
Pour crer une topologie il faut configurer les binaire d'IOS dont on va se
servir. Pour cela on renseigne, pour chaque modle de routeur que l'on veut utiliser,
le chemin vers l'image IOS.








45


Figure 3.1 : Configuration des IOS












Figure 3.2 : Test de dynamips

3.2 Mise en place dun VPN MPLS
Larchitecture ci-dessous se base sur les lments suivant :
PE :A lxtrimit utilisant un routage BGP(R2,R6,R4,R10)
P : routeur du cur utilisant un routage OSPF (R3)
PA :routeurs reprsentant les cliens (R1,R5)
IOS ajoutes

46

Figure 3.3 : Maquette tudier

3.2.1 Prcisions pralables

Ce schma expose un exemple de topologie MPLS avec derrire chaque PE
(Provider Edge) pour CUSTOMER (R1, R5), un routeur ddi.
Le but du jeu ici est de pouvoir permettre via un nuage MPLS (label-switching) de
faire communiquer les clients entre eux. Cela sous-entend ici que R1 devra pouvoir
avoir accs R5.
Les routeurs doivent tre configurs suivant les adresses IP indiqus dans la
topologie, ainsi que la configuration dune interface loopback0 sur chaque routeur :

R1: 1.1.1.1 / 24
R2: 2.2.2.2 / 24
R3: 3.3.3.3 / 24
R4: 4.4.4.4 / 24
R5: 5.5.5.5 / 24
R6: 6.6.6.6 / 24
R10: 7.7.7.7 / 24

Lutilisation de table de routage virtuelle pour chaque client (Virtual Routing
and Forwarding ou VRF) nous permet de distinguer les routes avec dautres
paramtres notamment le RD (Route Distinguisher).


47
3.2.2 Pourquoi les VPN MPLS?

Pour revenir lessentiel de la technologie, lavantage de ce type de VPN
MPLS est de pouvoir faire du label-Switching entre PE (R2 R4) sans que les
routeurs du milieu du nuage, naient avoir connaissance des prfixes de
destination dans leurs tables de routage respectives. Cela nous permet de maintenir
une architecture plus facilement et daugmenter galement la scalabilit de celle-ci.
Enfin, de nos jours, cest un srieux concurrent pour les technologies plus anciennes
de couche 2 comme ATM ou Frame-Relay.

3.2.3 Technologies utilises

On a choisi pour cette simulation les technologies suivantes:
OSPF protocole de routage interne.
EIGRP protocole de routage externe.
MP-BGP pour le routage dxtrmit.

3.2.4 Mthodologie dapproche

Dans notre manipulation nous allons procd ainsi :
1. Mise en place des VRF sur les PE
2. Configuration des interfaces
3. Mise en place du protocole intra-nuage
4. Mise en place du protocole CE-PE
5. Mise en place du protocole MP-BGP
6. Gestion de la redistribution respective des prfixes



3.3 Premire tape Mise en place des VRF sur les
PE



48
Pour cette premire tape, rien de compliqu car on connait lavance la procdure.
R2#conf t
Enter configuration commands, one per line.Endwith CNTL/Z.
R2(config)#ipvrfCUSTOMER
R2(config-vrf)#rd1:1
R2(config-vrf)#route import1:1
R2(config-vrf)#route export1:1
R2(config-vrf)#exit

Pour dtailler ce que nous faisons ici, nous crons deux tables de routage
virtuelles(VRF) pour chaque client. lintrieur de la configuration de la VRF, nous
dsignons de RD des futures routes de cette VRF ainsi que le RT(Route
Target) dans les deux sens(import et export).
Cette tape est bien entendu rpter sur R4 qui accueillera exactement la mme
configuration.
3.4 Deuxime tape - Configuration des interfaces

Outre la configuration des IPs, nous devons galement effectuer plusieurs actions
pour prparer le terrain :
Sur toutes les interfaces des PE directement relies sur des CE, nous devons
assigner linterface locale du PE une VRF.
Sur les interfaces concernes par le label-Switching MPLS, nous devons activer
le protocole dchange de label LDP(Label Distribution Protocol).

3.4.1 Assignation dune VRF sur un port de routeur

Pour cela, rien de plus simple galement, suivez plutt lexemple suivant sur R2:
R2(config)#int s1/0
R2(config-if)#ipvrf forwarding CUSTOMER
R2(config-if)#ip add 192.168.12.2255.255.255.0
R2(config-if)#nosh

Avec cette commande ipvrfforwarding, on affecte linterface la VRF choisie
uniquement. Lopration rpter galement sur R4 en adaptant les adresses IPs
bien entendu.

3.4.2 Activation du LDP sur les interfaces concernes

On active ici uniquement le LDP sur les interfaces qui auront faire du label-
switching(gnralement les interfaces qui sont dans le nuage MPLS).

49
Pour ce faire galement, la procdure est trs simple. On prend lexemple de R2:
R2(config)#int fa1/1
R2(config-if)#mplsip

Cette procdure sera rpter sur plusieurs ports (R4, R3, R10 et R6 ) qui sont dans
le nuage MPLS.
3.5 Troisime tape Mise en place du protocole
intra-nuage
Dans cette section, nous allons juste activer OSPF dans le nuage pour garantir
la communication intra-nuage des routeurs qui sont dans le nuage MPLS.
Sur les PE(R2, R6, R10 et R4), la configuration est la suivante :
R2(config-if)#router ospf1
R2(config-router)# network 2.2.2.00.0.0.255 area 0
R2(config-router)# network 192.168.23.00.0.0.255 area 0
R2(config-router)# network 192.168.22.00.0.0.255 area 0
R2(config-router)# network 192.168.33.00.0.0.255 area 0
R2(config-router)#exit

La premire instruction network nous servira pour annoncer les rseaux
de loopback des PEs respectifs pour MP-BGP. Les instructionssuivantes annoncera
dans le nuage les rseaux directement connects et formera des relations de
voisinages avec ses voisins connects.
Sur R3, la configuration est la suivante :
R3config-if)#router ospf1
R3(config-router)# network 3.3.3.00.0.0.255 area 0
R3(config-router)# network 192.168.23.00.0.0.255 area 0
R3(config-router)# network 192.168.43.00.0.0.255 area 0
R3(config-router)# network 192.168.32.00.0.0.255 area 0
R3(config-router)# network 192.168.34.00.0.0.255 area 0
R3(config-router)#exit

A ce moment l, R2 devrait pouvoir pinger linterface loopback0 de R4 sans
problmes :
R2#ping 4.4.4.4
Type escape sequence to abort.
Sending5,100-byte ICMP Echos to 4.4.4.4, timeout is2 seconds:
!!!!!
Success rate is100 percent (5/5), round-trip min/avg/max =12/16/28ms


50

3.6 Quatrime tape Mise en place du protocole CE-
PE

Dans un premier temps, la configuration ddie aux CE est trs simple, du fait
que la CE (CUSTOMER) na aucune notion de MPLS, il va juste tablir une
adjacence avec le PE auquel il est reli et partager ses routes avec celui-ci.
Cette configuration sera applique sur tous les CE en ne changeant aucune
instruction:
R1(config)#router eigrp1
R1(config-router)#network 192.168.12.0
R1(config-router)#noauto-summary

Passons maintenant la configuration du PE, un peu plus complexe. Nous
allons configurer dans le PE une instance dEIGRP par VRF. Ces commandes
sappliqueront sur R2 et R4 sans aucun changement:
R2(config)#router eigrp1
R2(config-router)#address-family ipv4 vrfCUSTOMER
R2(config-router-af)#network 192.168.12.0
R2(config-router-af)#noauto-summary
R2(config-router-af)#autonomous-system 1
R2(config-router-af)#exit

*Jan 1 19:25:43.267: %DUAL-5-NBRCHANGE: IP-EIGRP(1) 1: Neighbor 192.168.12.1
(FastEthernet1/0) is up: new adjacency

Remarquez en gras que ladjacence est forme entre le PE et la CE
concerne par la VRF sur laquelle nous avons activ EIGRP.
Remarquez enfin que lon fait bien correspondre le numro dAS dEIGRP
configur sur chaque CE avec largument de la commande autonomous-system
dans la configuration du PE pour chaque VRF.

3.7 Cinquime tape Mise en place du protocole MP-
BGP

Pour configurer la liaison vpnv4 entre les deux PE que lon recherche faire, il
nous faut configurer sur les deux routeurs, comme on le ferait en BGP, une relation
de voisinage en prenant comme rfrence les IPs de loopback paramtres
prcdemment.
La configuration pour R2 est la suivante :

51
R2(config)#router bgp1
R2(config-router)#neighbor 4.4.4.4 remote-as1
R2(config-router)#neighbor 4.4.4.4 update-source Lo0
R2(config-router)#address-family vpnv4
R2(config-router-af)#neighbor 4.4.4.4 activate
R2(config-router-af)#neighbor 4.4.4.4 send-community extended
R2(config-router-af)#exit
R2(config-router)#exit

On demande galement ce que lIP source des paquets qui schangent
entre les pairs BGP soit bien celle de notre IP de loopback, cest--dire 2.2.2.2 pour
R2.
Enfin, on active le mcanisme vpnv4 de BGP en le configurant galement de
telle sorte ce que BGP utilise le champ community de ses updates pour pouvoir
en faire un champ de communaute tendue (qui servira lors de la ngociation des
capacits des voisins)
La configuration pour R4 est exactement la mme en adaptant les IPs:
R4(config)#router bgp1
R4(config-router)#neighbor 2.2.2.2 remote-as1
R4(config-router)#neighbor 2.2.2.2upd
R4(config-router)#neighbor 2.2.2.2 update-source Lo0
R4(config-router)#address-family vpnv4
R4(config-router-af)#neighbor 2.2.2.2 activate
R4(config-router-af)#neighbor 2.2.2.2 send-community extended
R4(config-router-af)#exit
R4(config-router)#exit

On pourra voir que la relation de voisinage BGP est ngocie avec succs
avec notamment cette ligne de log:
*Jan 1 19:50:01.595: %BGP-5-ADJCHANGE: neighbor 2.2.2.2 Up

3.8 Sixime tape Gestion de la redistribution
respective des prfixes

Avant de pouvoir tester le bon fonctionnement de notre VPN, il nous manque
encore une brique importante de notre architecture.
Il faut configurer les PE de telle sorte ce que la redistribution des routes soit
effective mutuellement dans les deux sens entre BGP et EIGRP. Lavantage de ce
type darchitecture est la scalabilit.
Imaginez que le client rajoute une route sur son CE. Dans ce cas, la route est
automatiquement redistribue dans BGP et les autres PE seront directement au

52
courant de ce nouveau prfixe sans aucune intervention de votre part! Nous allons
donc bnficier galement de temps de convergence qui sera rduit!
3.8.1 Redistribution EIGRP => BGP configuration:

Dans cette section, on soccupe de redistribuer les routes apprises par EIGRP
dans BGP.
La configuration est galement appliquer sur R4.

R2(config)#router bgp1
R2(config-router)#address-family ipv4 vrfCUSTOMER
R2(config-router-af)#redistribute eigrp1 metric 1
R2(config-router-af)#exit
PE1(config-router)#exit


3.8.2 Redistribution BGP => EIGRP configuration:

Dans cette section, on fait linverse. On soccupe de redistribuer les routes
apprises par BGP dans EIGRP. La configuration similaire est galement appliquer
sur R4.
R2(config)#router eigrp1
R2(config-router)#address-family ipv4 vrfCUSTOMER
R2(config-router-af)#redistribute bgp1metric1024125511500
R2(config-router-af)#exit
R2(config-router)#exit
Nous sommes arrivs au bout des configurations possibles, dans la section suivante,
nous prsentons les diffrents tests raliss sur notre maquette.
3.9 Tests et vrifications

On se place sur la perspective de R1 (CUSTOMER) qui a envie de contacter R5
travers le VPN MPLS.
Regardons la table de routage de ce routeur :
R1#sh ip route
Codes: C - connected, S -static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS,su- IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia- IS-IS inter area,*- candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort isnotset
C192.168.12.0/24is directly connected,FastEthernet1/0
1.0.0.0/24issubnetted,1 subnets
C1.1.1.0/24is directly connected,Loopback0
D 192.168.45.0[90/30720] via 192.168.12.2,01:16:24,FastEthernet1/0
5.0.0.0/24issubnetted,1 subnets

53
D 5.5.5.0[90/158120] via 192.168.12.2,01:16:24,FastEthernet1/0


R1 a appris une route via EIGRP vers 192.168.45.0

R1#ping 5.5.5.5
Type escape sequence to abort.
Sending5,100-byte ICMP Echos to 5.5.5.5, timeout is2 seconds:
!!!!!
Success rate is100 percent (5/5), round-trip min/avg/max =604/761/968ms
R1#
Et voil, a ping sans aucun problme, notre configuration est ici termine !
Vous pouvez galement regarder les label Tracings cres automatiquement sur R2
et/ou sur les autres routeurs du nuage MPLS :

R1# traceip 5.5.5.5

Type escape sequence to abort.
1 192.168.12.2 564msec428msec16msec
2 192.168.23.3[MPLS: Labels 20/24Exp 0] 876msec1096msec1384msec
3 192.168.45.4[MPLS: Labels 24Exp 0] 88msec816msec1180msec
4 192.168.45.51704msec2736msec780msec
R1#
Le label MPLS affich pour chaque saut correspond au label en entre du routeur.
Le champ Exp (cod sur 3 bits) est similaire au champ TOS de l'entte IP, mais
n'est pas employ ici.
Le routeur R2 a insr 2 Labels dans le paquet, le premier label (24) pour le VPN
CUSTOMER , le deuxime (20) pour le routeur lui-mme.
Le routeur R4 a supprim le Label (20) du paquet avant de le rexpdier au routeur
R5 (Client).

A ltape suivante, on va essayer de mettre linterface Fa1/0 du routeur R3 en tat
DOWN , autrement dit, inactif.
R3# conf t
Entrer configuration commands, one per line. End with CNTL/Z
R3(config)#int f1/0
R3(config-if)#shutdown
R3(config-if)#end
R1#

Par la suite on va recrer sur le routeur R2 les labelTracing, afinde vrifier la
circulation du paquet dans le rseau MPLS aprs le changement.




54
R1# traceroute 5.5.5.5

Type escape sequence to abort.
1 192.168.12.2 548msec700msec 420msec
2 192.168.22.6[MPLS: Labels 21/24 Exp 0] 1600msec1852msec1684msec
3 192.168.45.4 [MPLS: Labels 24 Exp 0] 1400msec1620msec1580msec
4 192.168.45.5 1654msec19636msec2180msec
R1#
Daprs le rsultat, le paquet a pris un autre chemin vers la destination via le routeur
R6 sur linterface 192.168.22.6 avec un label (21), et un mme label de VPN qui est
(24).
Dautres commandes sont disponibles pour la vrification du bon fonctionnement du
rseau VPN/MPLS, y compris :
show ipvrf
R2# show ipvrf CUSTOMER
Name Default RD Interfaces
Customer 1:1 Fa1/1
R2#
Cette commande permet de vrifie et tester lexistence de l a table VRF sur
linterface du routeur R2 qui est, dans ce cas Fa1/1, et afficher aussi le
nom du client (CUSTOMER) l ie.
show ipvrf interfaces
R2# show ipvrf interfaces
Interface IP-Adress VRF Protocol
Fa1/1 2.2.2.2 CUSTOMER up
R2#
Cette commande permet dafficher linterface sur laquelle le VRF est
acti v

show mplsinterfaces
R2# show mpls interfaces
Interface IP Tunnel Operational
FastEthernet1/0 Yes(ldp) No Yes
FastEthernet2/0 Yes(ldp) No Yes
FastEthernet2/1 Yes(ldp) No Yes
R2#
Cette commande nous affiche les interfaces mpls du routeur R2.

show mpls forwarding-table

55
R2# show mpls forwarding-table
Local Outgoing Prefix Bytes tag Outgoing Next
tagtag or VC or tunel Id switched interface Hop
16 Untagged 192.168.44.0/24 0 Fa2/1 192.168.33.7
17 20 4.4.4.0/24 0 Fa1/0 192.168.23.3
18 4.4.4.0/24 0 Fa2/0 192.168.22.6
18 Untagged 6.6.6.0/24 0 Fa2/0 192.168.22.6
19 Pop tag 192.168.32.0/24 0 Fa1/0 192.168.23.3
20 Pop tag 192.168.34.0/24 0 Fa1/0 192.168.23.3
21 Pop tag 192.168.43.0/24 0 Fa1/0 192.168.23.3
Pop tag 192.168.43.0/24 0 Fa2/0 192.168.22.6
22 Pop tag 3.3.3.0/24 0 Fa1/0 192.168.23.3
23 Untagged 1.1.1.0/24[V] 0 Fa1/1 192.168.12.1
24 Aggregate 192.168.12.0/24[V] 0
R2#
Local tag:
Etiquette assign localement pour le routeur R2 .

Outgoing tag or VC:
Label attribute par le routeur du saut suivant, ou VPI/VCI utilis pour se
rendre saut suivant. On trouve :
* [T] Transmettre travers un tunnel TSP
* Untagged signifie quil ya pas dtiquette pour la destination au niveau du
saut suivant, ou le label Switching nest pas activ sur linterface sortante.
*Pop tag Signifie que le prochain saut a une tiquette NULL implicite pour
la destination, et que ce routeur a une tiquette suprieure.

Prefix or tunnel Id :
Ladresse ou tunnel sur lequel les paquets avec ce label sont en cours.

Bytes tag Switching :
Nombre doctets commut avec cette tiquette entrant.

Outgoing interface :
Interface travers laquelle les paquets sont envoys.

Next Hop :
Ladresse IP du voisin qui va intercepter le label sortant.
Le BGP Border Gateway Protocol (BGP) est utilis entre les routeurs PE et il est
ncessaire pour la connectivit inter-sites. Dans cet exemple, nous utilisons interne
BGP (iBGP).
Vous pouvez utiliser cette commande pour vrifier BGP:

show ipbgp vpnv4 vrf CUSTOMER
R2# show ipbgp vpnv4 vrf CUSTOMER
BGP table version is 44, local router ID is 2.2.2.2

56
Status codes: s suppressed, d damped, h history, * valid, > best, i
internal
Origin codes: i - IGP, e - EGP, ?incomplete

Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 1:1 (default for vrf CUSTOMER)
*>1.1.1.0/24 192.168.12.1 156160 32768 ?
*>i5.5.5.0/24 4.4.4.4 156160 100 0 ?
*> 192.168.12.0 0.0.0.0 0 32768 ?
*>i192.168.45.0 4.4.4.40 100 0 ?
R2#
2
Concl usi on:
Dans ce chapitre, nous avons prsent lmulateur GNS3 de CISCO, il est
signaler que nous avons pu parvenir utiliser un IOS rcent aprs des multiples
difficults que nous avons pu surmonter en sappuyant sur plusieurs profondes
recherches ainsi quune documentation trs difficile trouver. En dernier, nous
avons choisi une topologie rseau permettant de mettre en uvre les principales
fonctionnalits VPN/MPLS. Une topologie qui consiste interconnecter les deux sites
CUSTOMER via un rseau oprateur utilisant comme technologie de transport
VPN/MPLS. Les rsultats escompts sont comments et montrent bien le
fonctionnement de notre rseau.












57

Conclusion gnrale
Cette tude de solutions VPN/MPLS,met en vidence une forte concurrence
entre les diffrents protocoles pouvant tre utiliss.Nanmoins,il est possible de
distinguer deux rivaux sortant leurs pingles du jeu, savoir IPSEC et MPLS. Ce
dernier est suprieur sur des points, mais il assure, en outre, simultanment des flux
et leur confidentialit. Le dveloppement rapide du march pourra cependant donner
lavantage au second. En effet, la mise en place de VPN par IP entre gnralement
dans une politique de rduction des couts lis linfrastructure rseaux des
entreprises. Les VPN sur IP permettent de se passer de liaisons lous de types
ATM, ou Frame-Relay. Le cout des VPN IP est actuellement assez intressent pour
motiver de nombreuses entreprises franchir le pas. Performance gales un VPN
MPLS coute deux fois moins cher quune ligne ATM. Mais si les solutions base de
MPLS prennent actuellement le devant face la technologie IPSec cest
principalement grce lintgration possible de solution de tlphonie sur IP. La
qualit de services offerts par le MPLS autorise en effet ce type dutilisation. Le
march du vin profite donc de lengouement actuel pour ces technologies qui
permettent elles aussi de rduire les couts des infrastructures de communication.
Le protocole MPLS lui avait comme objectif initial dallier la puissance de
communication du niveau 2 la couche de niveau 3 en restant homogne vis--vis
des protocoles L2 et L3.Mais il existe dsormais des routeurs contenant des puces
ASIC(Application Spcifique Intgre Circuit)dont certaines fonctions ne sont plus
excutes du cot applicatives mais de manir compltement matrielle. CES
quipements rseau obtiennent ainsi des performances tout fait acceptables
compares au rseau MPLS. Cependant, le protocole MPLS fournit plusieurs
services de niveau 3offrant de ce fait une vritable valeur ajoute aux entreprises qui
lutilisent. On peut citer par exemple le Traffic Engineering, cet exemple tmoigne
parfaitement du bnfice apport par ce protocole.
Dsormais tous les oprateurs commencent utiliser les rseaux MPLS,car la
tendance des rseaux de communications consiste faire converger les rseaux de
voix, donnes, multimdia en un rseau unique bas sur les paquets IP. Du fait que
le protocole MPLS apporte des services IP ainsi que la convergence des rseaux, le
protocole MPLS certainement un bel avenir devant lui. La difficult durant ce mini-
projet se dfinit dans la diversit de protocoles utiliss soit pour le routage, soit pour
les liaisons inter-sites, cela nous a permis de renforcer nos connaissance sur
larchitecture MPLS tout en basant sur les fonctionnalits des quipements
constituant le rseau.


58


BIBLIOGRAPHIE





Rfrence webographie

http://www.frameip.com
http://rizzitech.blogspot.com/2008/10/mpls-vpn-lab 02.html (visit le 4 janvier)
http://www.cisco.com/en/US/products/ps6557/products ios technology home.html