Vous êtes sur la page 1sur 55

REPUBLIQUE TUNISIENNE

MINISTERE DE LENSEIGNENMENT SUPERIEUR


ET DE LA RECHERCHE SCIENTIFIQUE

Ecole Suprieure Prive des Technologies de lInformation et de Management de


lEntreprise
Agrment n 1/2002

TIME Private Higher School

Projet de Fin dAnne PFARseaux Informatiques et Tlcoms


(RT4-B)

Mise en place dune architecture VPN/MPLS

Encadr par :
Ralis par :

M.

HAMDI Mohammed Ali

-MhimdiWafa

Anne universitaire : 2015/2016

Ddicaces
Je ddie ce travail:
A mes chers parents pour leur amour, sacrifice et soutiens.
A mes enseignants pour leurs efforts remarquables
A m promotionnels de la RT4
A ceux qui je dois reconnaissance
Quils trouvent tous ici mes sincres gratitudes et
reconnaissances

Remerciements

Avant dentamer le vif de mon travail, il mest tellement agrable de prsenter mes sincres
remerciements mes enseignants de TIME Universit.
Je tiens galement exprimer ma reconnaissance mon rofesseur encadrant Mr. HAMDI
Med Ali qui ma beaucoup encourag,pour son aide et orientation durant la priode
du projet, il a engag son temps et ses conseils pour me venir en aide.
Enfin, ma profonde gratitude et mon respect toute personne qui a contribuede prs ou de
loin llaboration de ce travail.

Liste des dfinitions


Adresse MAC : Adresse matrielle d'un priphrique raccord un support de rseau partag.
ATM : Mode de transfert Asynchrone
BGP : Border Gateway Protocol. Protocole de passage d'un rseau autonome un autre
rseau autonome.
BGP/MPLS/VPN : Solution VPN qui utilise les protocoles MPLS et BGP pour relier des
sites distants.
Constraint-BasedRouting : Protocoles et procdures qui dterminent la route prendre
travers le backbone selon les ressources ncessaires pour aboutir la destination.
CoS : CoS est un des services de QoS. Il permet d'apporter des ressources particulires au
rseau selon la classe ou le groupe duquel appartient le paquet.
DHCP (Dynamic Host Configuration Protocol) : Protocole qui permet un priphrique d'un
rseau local, le serveur DHCP, d'affecter des adresses IP temporaires d'autres priphriques
rseau, gnralement des ordinateurs..
IEEE (The Institute of Electrical and ElectronicsEngineers): Institut indpendant qui
dveloppe des normes de mise en rseau
ISP (fournisseur de services Internet) : Socit qui procure un accs Internet.
Label : C'est un identifiant ajout par les routeurs du rseau MPLS afin de diriger le paquet
travers le rseau
Label Disposition : C'est le fait de modifier le label inscrit sur l'en-tte du paquet.
Label Edge Router (LER) : C'est le routeur d'extrmit du rseau MPLS. Il attribue et
supprime le label du paquet.
Label Switch : C'est le fait de router des donnes par le biais de la permutation de labels.
Label Switching Router (LSR) : C'est un routeur de couche 3 qui transfert les paquets bass
sur la valeur du label.
Label-SwitchedPath (LSP) : C'est la squence de sauts pour qu'un paquet parte de la source
la destination travers les routeurs via le mcanisme de Label Switching. Ce chemin peut
tre gr dynamiquement ou de manire manuelle.
LAN (rseau local) : Ordinateurs et produits de mise en rseau qui constituent le rseau
votre domicile ou votre bureau.
LDP : Label Distribution Protocol, il est utilis pour distribuer les labels aux routeurs LSR.

LIB : Label Information Base. C'est un tableau contenant les labels utilis par le LSR et
contenant galement les labels des LSR voisins.
NAT (traduction d'adresses rseau) : La technologie NAT traduit des adresses IP du rseau
local en adresses IP diffrentes pour Internet
PoE (Power over Ethernet) : Technologie permettant un cble rseau Ethernet de fournir des
donnes et l'alimentation lectrique.
TCP/IP (Transmission Control Protocol/Internet Protocol) : Protocole rseau de transmission
de donnes qui exige un accus de rception du destinataire des donnes envoyes.
TLS (Transport Layer Security) : Protocole qui garantie la protection des informations
confidentielles et l'intgrit des donnes entre les applications client/serveur qui
communiquent sur Internet.

Liste des acronymes


ATM : Asynchronoustransfer mode
CE Customer Edge router
CEFCisco Express Forwarding
EIGRPEnhanced Interior Gateway Routing Protocol
ELSR Edge Label Switching Router # PE Provider Edge router
FRFrame Relay
FECForwarding Equivalency Class
IDS Intrusion Detection Systems
IETFInternet Engineering Task Force
IGP Interior Gateway Protocol
IPInternet Protocol
IPSec Internet Protocol Security
IS-IS Intermediate System Intermediate System
LDPLabel Distribution Protocol
LSPLabel Switching Path
LSRLabel Switching Router # P Provider Router
LIB Label Information Base
LFIB Label Forwarding Information Base
L2F Layer Two Forwarding
L2TPLayer Two Tunneling Protocol
MPLSMultiprotocol Label Switching
OSI Open Systems Interconnection
OSPFOpen Shortest Path First
PPPPoint to Point Protocol
PPTP Point-to-Point Tunneling Protocol
QoS Quality of Service
RDRoute Distinguishers
RIPRouting Information Protocol
RTRoute Targets
RSVP Resource reSerVation Protocol
SDH Synchronous Digital Hierarchy
SSL Secure Socket Layer

TCP/IP Transmission Control Protocol/Internet Protocol


VPNVirtual private Network
VRFVPN Routing and Forwarding

Liste des figures


Figure 1 : Rseau virtuel VPN.................................................................................... 15
Figure 2 : Schma gnrique de Tunnelisation...................................................................16
Figure 3 :VPN accs................................................................................................... 16
Figure 4 lintranet VPN............................................................................................. 16
Figure 5 : Lextanet VPN........................................................................................... 17
Figure 6 VPN en etoile............................................................................................... 17
Figure 7 : VPN maill................................................................................................ 18
Figure 8 Le protocole Pptp......................................................................................... 19
Figure 9 :Le protocole L2tp........................................................................................ 20
Figure 10 : les composantes de VPN MPLS....................................................................27
Figure 11 : Table de routage....................................................................................... 28
Figure 12 : Backbone MPLS....................................................................................... 29
Figure 13:Maquette.............................................................................................. 34
Figure 14 Assignation dadresse IP par interface......................................36
Figure 15 Assignation dun loopback...................................................................37
Figure 16 Configuration du protocole OSPF........................................................37
Figure 17 Activation de MPLS.............................................................................. 38
Figure 18 Vrification du bon droulement de MPLS...........................................38
Figure 19 Vrification de protocole LDP................................................................38
Figure 20 table de transmission MPLS.................................................................39
Figure 21 Table LFIB............................................................................................. 39
Figure 22 Table LIB............................................................................................ 39
Figure 23 : Configuration de BGP..........................................................................40
Figure 24 : Vrification de BGP............................................................................. 40
Figure 25 : vrification de BGP............................................................................. 42
Figure 26: les machines virtuelles........................................................................43

1 Table des matires

Introduction gnrale
Au dbut de l'Internet, la proccupation majeure tait de transmettre les paquets leur destination.
Ensuite, des mcanismes inhrents TCP ont t dvelopps pour faire face aux consquences

induites par les pertes de paquets ou la congestion du rseau. Mais depuis le dbut des annes 1990, la
communaut des fournisseurs de service (ISPs) qui administrent l'Internet est confronte non
seulement au problme de croissance explosive mais aussi des aspects de politique, globalisation et
stabilit du rseau. Par ailleurs, outre ces diffrents aspects, apparat une trs forte diversification des
services offerts. Ainsi de nouvelles applications se dveloppent sur le rseau : tlphonie,
vidoconfrence, diffusion audio et vido, jeux en rseau, radio et tlvision en direct Lmergence
des rseaux privs virtuels (VPN), ncessite galement une diffrentiation de services. La qualit de
service de bout-en bout apparat, dans ce contexte, essentielle au succs de ces applications.
La mthode utilise jusque-l, consistant fournir des rseaux surdimensionns ne peut plus
s'appliquer indfiniment. De plus, la nature intrinsque de l'Internet (mode sans connexion, niveau de
service "best-effort") ne permet pas d'offrir une qualit de service constante, ni de donner des priorits
certains types de trafic. C'est pourquoi, les architectes du rseau, les constructeurs et les fournisseurs
de services concentrent depuis quelques annes leurs efforts sur la dfinition et l'implmentation de ce
concept dans les rseaux IP.
Dans la mesure o la technologie ATM a t largement dploye dans les rseaux doprateurs, et dans
une moindre mesure dans les rseaux dentreprises, il semble naturel denvisager les solutions
dimplmentation dun rseau IP offrant une gestion de la qualit de service sur ATM. En effet ATM a
t spcifiquement conu pour proposer une intgration de services, par la dfinition de diffrentes
classes de service.
Cest pourquoi, aprs une prsentation succincte de ce quest la qualit de service en gnral, ainsi
quun rappel sur la qualit de service fournie par ATM, nous envisagerons successivement diffrentes
solutions dimplmentation de la QoS(Quality of Service ) IP sur un rseau ATM, solutions qui ont en
particulier fait lobjet de travaux au sein des groupes de travail de lIETF et de lATM forum :

Integrated Services (IntServ) surATM ;

Differentiated Services (DiffServ) surATM ;

Multi Protocol Label Switching (MPLS) sur ATM.


C'est l que MPLS s'est impos comme une solution leader. MPLS a russi conjuguer la simplicit
de IP avec l'efficacit d'ATM dans la gestion du multiservice. MPLS fait galement partie dun
mouvement densemble vers les NGN (NextGeneration Networks) dont le but est de raliser la
convergence voix/donnes dans une perspective gnrale de "tout IP" (EoIP : Everything over IP).
MPLS constitue aussi une alternative la commutation de circuit, encore largement utilise en
tlphonie. Ce type de commutation prsente l'inconvnient de gnrer un gaspillage vident de
ressources, puisque c'est une technique ressources ddies. MPLS remdie ce problme en mettant
en uvre des mcanismes permettant de faire passer du trafic haute exigence, tel que la voix, dans un
rseau ressources partages, sans pour autant dgrader sa qualit. On peut ainsi passer outre la
technique de commutation de circuit et utiliser la commutation de paquet/label. Le rseau sera alors
utilis d'une faon plus optimale, ce qui constitue un gain conomique pour les oprateurs et les
fournisseurs de services.
De plus, avoir grer un seul rseau est trs important pour un oprateur vu que a lui permet de
rduire ses cots. D'autant plus que migrer vers les rseaux MPLS n'est pas trs coteux puisqu'il
existe des solutions qui n'exigent pas de changer tous les quipements : on peut juste patcher les
routeurs dj installs.
Ce document de faon non exhaustive prsentera d'abord le concept et l'architecture des VPN, ensuite
dtaillera les fonctionnalits du protocole de routage MPLS et son utilit dans la mise en place des
rseaux VPN et enfin nous expliquerons comment un client VPN distant peut .

Chapitre 1 :

Gnralits sur les VPN

Dfinitions
Mode de fonctionnement de VPN
Les types dutilisation de VPN
Protocoles utiliss

Chapitre 1 :Gnralits sur les VPN

I.

Dfinitions
1. Rseau priv

Couramment utiliss dans les entreprises, les rseaux privs entreposent souvent des donnes
confidentielles l'intrieur de l'entreprise. De plus en plus, pour des raisons d'interoprabilit, on y
utilise les mmes protocoles que ceux utiliss dans l'Internet. On appelle alors ces rseaux privs
intranet . Y sont stocks des serveurs propres l'entreprise en l'occurrence des portails, serveurs de
partage de donnes, etc. ... Pour garantir cette confidentialit, le rseau priv est coup logiquement du
rseau internet. En gnral, les machines se trouvant l'extrieur du rseau priv ne peuvent accder
celui-ci. L'inverse n'tant pas forcment vrai. L'utilisateur au sein d'un rseau priv pourra accder au
rseau internet
2. Rseau priv virtuel
L'acronyme VPN correspond Virtual Private Network, c'est--dire un rseau priv virtuel. Dans les
faits, cela correspond une liaison permanente, distante et scurise entre deux sites
d'une organisation. Cette liaison autorise la transmission de donnes cryptes par le biais d'un rseau
non scuris, comme Internet. En d'autres termes, un rseau priv virtuel est l'extension d'un rseau
priv qui englobe les liaisons sur des rseaux partags ou publics, tels qu'Internet. Il permet d'changer
des donnes entre deux ordinateurs sur un rseau partag ou public, selon un mode qui mule une
liaison prive point point.
3. Concept de VPN
Les rseaux locaux d'entreprise (LAN ou RLE) sont des rseaux internes une organisation, c'est-dire que les liaisons entre machines appartiennent l'organisation. Ces rseaux sont de plus en plus
souvent relis Internet par l'intermdiaire d' quipements d'interconnexion. Il arrive ainsi que des
entreprises prouvent le besoin de communiquer avec des filiales, des clients ou mme des personnels
gographiquement loigns via internet. Pour autant, les donnes transmises sur Internet sont
beaucoup plus vulnrables que lorsqu'elles circulent sur un rseau interne une organisation car le
chemin emprunt n'est pas dfini l'avance, ce qui signifie que les donnes empruntent une
infrastructure rseau publique appartenant diffrents oprateurs. Ainsi il n'est pas impossible que sur
le chemin parcouru, le rseau soit cout par un utilisateur indiscret ou mme dtourn. Il n'est donc
pas concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation
ou l'entreprise. La premire solution pour rpondre ce besoin de communication scuris consiste
relier les rseaux distants l'aide de liaisons spcialises. Toutefois la plupart des entreprises ne
peuvent pas se permettre de relier deux rseaux locaux distants par une ligne spcialise, il est parfois
ncessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste utiliser
Internet comme support de transmission en utilisant un protocole d'encapsulation" (en
anglais tunneling, d'o l'utilisation impropre parfois du terme "tunnellisation"), c'est--dire
encapsulant les donnes transmettre de faon chiffre. On parle alors de rseau priv virtuel
(not RPV ou VPN, acronyme de Virtual Private Network) pour dsigner le rseau ainsi
artificiellement cr.
Ce rseau est dit virtuel car il relie deux rseaux "physiques" (rseaux locaux) par une liaison non
fiable (Internet), et priv car seuls les ordinateurs des rseaux locaux de part et d'autre du VPN
peuvent "voir" les donnes. Le systme de VPN permet donc d'obtenir une liaison scurise moindre
cot, si ce n'est la mise en oeuvre des quipements terminaux. En contrepartie il ne permet pas
d'assurer une qualit de service comparable une ligne loue dans la mesure o le rseau physique est
)public et donc non garanti.

Figure 1 :Rseau virtuel VPN

II.
Mode de fonctionnement dun VPN
Le VPN repose sur un protocole de tunnellisation (tunneling), c'est--dire un protocole qui
permet le passage de donnes cryptes d'une extrmit du VPN l'autre grce des
algorithmes. On emploi le terme tunnel pour symboliser le fait que les donnes soient
cryptes et de ce fait incomprhensible pour tous les autres utilisateurs du rseau public (ceux
qui ne se trouvent pas aux extrmits du VPN).
Lorsquun utilisateur veut accder aux donnes sur le VPN, on appelle client VPN
(ClientdAccs Distant) llment qui chiffre et dchiffre les donnes du ct client et serveur
VPN(Serveur dAccs Distant) llment qui chiffre et dchiffre les donnes du ct du
serveur (dans notre cas, cest lentreprise).Une fois le serveur et le client identifis, le serveur
crypte les donnes et les achemine enempruntant le passage scuris (le tunnel), les donnes
sont ensuite dcryptes par le client etlutilisateur a accs aux donnes souhaites

Figure 2 : Schma gnrique de Tunnelisation1

III.
1

Types dutilisation de VPN

1. Le VPN daccs
Le VPN d'accs est utilis pour permettre des utilisateurs d'accder au rseaupriv de
leur entreprise. L'utilisateur se sert de sa connexion Internet pour tablir la connexion VPNOn
a deux cas :
L'utilisateur demande au fournisseur d'accs de lui tablir une connexion crypte versle
serveur distant : il communique avec le NAS (Network Access Server) dufournisseur d'accs
et c'est le NAS qui tablit la connexion crypte.
Lutilisateur possde son propre logiciel client pour le VPN auquel cas il tablitdirectement
la communication de manire crypte vers le rseau de lentreprise

Figure 3 :VPNaccs2

2. VPN intranet
L'intranet VPN est utilis pour relier au moins deux intranets entre eux. Ce type de rseauest
particulirement utile au sein d'une entreprise possdant plusieurs sites DISTANTS
Figure 4 lintranet VPN3

3. VPN extranet
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires.Elle
ouvre alors son rseau local ces derniers. Dans Ce cadre, il est fondamental
quel'administrateur du VPN puisse tracer les clients sur le rseau et grer les droits de chacun
sur celui-ci

2
3

Figure 5 : Lextanet VPN4


IV.
Topologie VPN
Les VPN s'appuient principalement sur Internet comme support de transmission, avec un protocole
d'encapsulation et un protocole d'authentification, au niveau des topologies 9(*), on retrouve des rseaux
privs virtuels en toile, maill ou partiellement maill.
1. VPN en etoile
Dans cette topologie toutes les ressources sont centralises au mme endroit et c'est ce niveau qu'on
retrouve le serveur d`accs distant ou serveur VPN, dans ce cas de figure tous les employs du rseau
s'identifient ou s'authentifient au niveau du serveur et pourront ainsi accder aux ressources qui se
situent sur l'intranet.

Figure 6 VPN en etoile5

2. VPN maill

Dans cette autre topologie les routeurs ou passerelles prsents aux extrmits de chaque site
seront considrs comme des serveurs d'accs distant, les ressources ici sont dcentralises
sur chacun des sites autrement dit les employs pourront accder aux informations prsents
sur tous les rseaux.

4
5

Figure 7 : VPN maill6

V.

Protocoles utiliss pour raliser une connexion Vpn

Nous pouvons classer les protocoles que nous allons tudier en deux catgories:

Les protocoles de niveau 2 comme Pptp et L2tp.

Les protocoles de niveau 3 comme Ipsec ou Mpls.

Il existe en ralit trois protocoles de niveau 2 permettant de raliser des Vpn : Pptp (de
Microsoft), L2F (dvelopp par CISCO) et enfin L2tp. Nous n'voquerons dans cette tude
que Pptp et L2tp : le protocole L2F ayant aujourd'hui quasiment disparut. Le protocole Pptp
aurait sans doute lui aussi disparut sans le soutien de Microsoft qui continue l'intgrer ses
systmes d'exploitation Windows. L2tp est une volution de Pptp et de L2F, reprenant les
avantages
des
deux
protocoles.
Les protocoles de couche 2 dpendent des fonctionnalits spcifies pour Ppp (Point to Point
Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de Ce protocole.

(a)Le protocole Pptp


Pptp, est un protocole qui utilise une connexion Ppp travers un rseau Ip en crant un
rseau priv virtuel (VPN). Microsoft a implment ses propres algorithmes afin de
l'intgrer dans ses versions de windows. Ainsi, Pptp est une solution trs employe dans
les produits Vpn commerciaux cause de son intgration au sein des systmes
d'exploitation Windows. Pptp est un protocole de niveau 2 qui permet l'encryptage des
donnes ainsi que leur compression. L'authentification se fait grce au protocole Ms-Chap
de Microsoft qui, aprs la cryptanalyse de sa version 1, a rvl publiquement des failles
importantes. Microsoft a corrig ces dfaillances et propose aujourd'hui une version 2 de
6

Ms-Chap plus sre. La partie chiffrement des donnes s'effectue grce au protocole Mppe
(Microsoft
Point-to-Point
Encryption).
Le principe du protocole Pptp est de crer des paquets sous le protocole Ppp et de les

encapsuler dans des datagrammes IP. Pptp cre ainsi un tunnel de niveau 3 dfini par le
protocole Gre (GenericRouting Encapsulation). Le tunnel Pptp se caractrise par une
initialisation du client, une connexion de contrle entre le client et le serveur ainsi que par
la clture du tunnel par le serveur. Lors de l'tablissement de la connexion, le client
effectue d'abord une connexion avec son fournisseur d'accs Internet. Cette premire
connexion tablie une connexion de type Ppp et permet de faire circuler des donnes sur
Internet. Par la suite, une deuxime connexion dial-up est tablie. Elle permet
d'encapsuler les paquets Ppp dans des datagrammes IP. C'est cette deuxime connexion
qui forme le tunnel Pptp. Tout trafic client conu pour Internet emprunte la connexion
physique normale, alors que le trafic conu pour le rseau priv distant, passe par la
connexion virtuelle de Pptp.

(b)

Figure 8Le protocole Pptp

Plusieurs protocoles peuvent tre associs Pptp afin de scuriser les donnes ou de les
compresser. On retrouve videment les protocoles dvelopps par Microsoft et cits
prcdemment. Ainsi, pour le processus d'identification, il est possible d'utiliser les protocoles
Pap (Password Authentification Protocol) ou MsChap. Pour l'encryptage des donnes, il est
possible d'utiliser les fonctions de Mppe (Microsoft Point to Point Encryption). Enfin, une
compression de bout en bout peut tre ralise par Mppc (Microsoft Point to Point
Compression). Ces divers protocoles permettent de raliser une connexion Vpn complte,
mais les protocoles suivants permettent un niveau de performance et de fiabilit bien meilleur.

(c) Le protocole L2tp


L2tp, est issu de la convergence des protocoles Pptp et L2F. Il est actuellement dvelopp
et valu conjointement par Cisco Systems, Microsoft, Ascend, 3Com ainsi que d'autres
acteurs cls du march des rseaux. Il permet l'encapsulation des paquets Ppp au niveau
des couches 2 (Frame Relay et Atm) et 3 (Ip). Lorsqu'il est configur pour transporter les
donnes sur IP, L2tp peut tre utilis pour faire du tunnelling sur Internet. L2tp repose sur
deux concepts : les concentrateurs d'accs L2tp (Lac : L2tp Access Concentrator) et les
serveurs rseau L2tp (Lns : L2tp Network Server). L2tp n'intgre pas directement de

protocole pour le chiffrement des donnes. C'est pourquoi L'IETF prconise l'utilisation
conjointe d'Ipsec et L2tp.

Figure 9 :Le protocole L2tp7

(d)

Le protocole Ipsec

Ipsec, est un protocole qui vise scuriser l'change de donnes au niveau de la couche
rseau. Le rseau Ipv4 tant largement dploy et la migration vers Ipv6 tant invitable,
mais nanmoins longue, il est apparu intressant de dvelopper des techniques de
protection des donnes communes Ipv4 et Ipv6. Ces mcanismes sont couramment
dsigns par le terme Ipsec pour Ip Security Protocols. Ipsec est bas sur deux
mcanismes. Le premier, AH, pour Authentification Header vise assurer l'intgrit et
l'authenticit des datagrammes IP. Il ne fournit par contre aucune confidentialit : les
donnes fournies et transmises par Ce "protocole" ne sont pas encodes. Le second, Esp,
pour Encapsulating Security Payload peut aussi permettre l'authentification des donnes
mais est principalement utilis pour le cryptage des informations. Bien qu'indpendants
ces deux mcanismes sont presque toujours utiliss conjointement. Enfin, le protocole Ike
permet de grer les changes ou les associations entre protocoles de scurit. Avant de
dcrire ces diffrents protocoles, nous allons exposer les diffrents lments utiliss dans
Ipsec.

Conclusion
Au paravent pour interconnecter deux LANs distants, il ny avait que deux solutions,
soit les deux sites distants taient relis par une ligne spcialise permettant de raliser un
WAN entre les deux sites soient les deux rseaux communiquaient par le RTC. Une des
7

premires applications des VPN est de permettre un hte distant daccder lintranet de
son entreprise ou celui dun client grce Internet tout en garantissant la scurit des
changes. Il utilise la connexion avec son fournisseur daccs pour se connecter Internet et
grce aux VPN, il cre un rseau priv virtuel entre lappelant et le serveur de VPN. Cette
solution est particulirement intressante pour connecter de faon scurise et les VPN
peuvent tre utilis pour lchange de donnes confidentielles.
En termes de scurit Les VPN, en unifiant les technologies daccs et scurisant les
donnes, apportent une solution aux problmes dj dcrites prcdemment. La principale
raison pour implmenter un VPN est lconomie suppose par rapport tout autre type de
connexion. Bien que les VPN ncessitent lacquisition de produits matriels et logiciels
supplmentaires, le cot terme de ce genre de communication est moindre. La technologie
VPN procure de mme la scurit lors des connexions dutilisateurs distants au rseau interne.
Ces VPN nont pas comme seul intrt lextension des WAN moindre cot mais aussi
lutilisation de services ou fonctions spcifiques assurant la QoS. La qualit de service (QoS)
est une fonctionnalit importante des VPN. Ainsi la scurit des changes est assure
plusieurs niveaux et par diffrentes fonctions comme le cryptage des donnes,
lauthentification des deux extrmits communicantes et le contrle daccs des utilisateurs
aux ressources.

Chapitre 2 :

Les rseaux MPLS

Prsentation de MPLS
VPN/MPLS
Qualit de service

Chapitre 2 : Les rseaux MPLS


Introduction

Actuellement, pour transmettre des paquets IP (Internet Protocol) d'une adresse source vers
une adresse de destination sur un rseau, la mthode de routage utilise est un routage unicast
saut par saut bas sur la destination. Cependant, la flexibilit de ce type de routage est affecte
par certaines restrictions dues l'utilisation de cette mthode. C'est pourquoi l'IETF dcida de
mettre au point un ensemble de protocoles pour former un nouveau type d'architecture rseau
appele MPLS (MultiProtocol Label Switching), destine rsoudre la majeure partie des
problmes rencontrs dans les infrastructures IP actuelles et en tendre les fonctionnalits.

I.

Prsentation de la technologie MPLS

L'architecture MPLS repose sur des mcanismes de commutation de labels associant la


couche 2 du modle OSI (commutation) avec la couche 3 du modle OSI (routage).De plus, la
commutation ralise au niveau de la couche 2 est indpendante de la technologie utilise. En
effet, le transport des donnes au sein d'une architecture MPLS peut tre par exemple effectu
l'aide de paquets ou de cellules travers des rseaux Frame Relay ou des rseaux ATM.
Cette commutation, indpendante des technologies utilises est possible grce l'insertion
dans les units de donnes (cellules ou paquets) d'un label. Ce petit label de taille fixe indique
chaque noeud MPLS la manire dont ils doivent traiter et transmettre les donnes.
L'originalit de MPLS par rapport aux technologies WAN dj existantes est la possibilit
pour un paquet de transporter une pile de labels et la manire dont ceux-ci sont attribus.
L'implmentation des piles de labels permet une meilleure gestion de l'ingnierie de trafic et
des VPN notamment en offrant la possibilit de rediriger rapidement un paquet vers un autre
chemin lorsqu'une liaison est dfaillante. Les rseaux actuels utilisent l'analyse des en-ttes de
couche 3 du modle OSI pour prendre des dcisions sur la transmission des paquets. MPLS
quant lui repose sur deux composants distincts pour prendre ses dcisions : le plan de
contrle (control plane) et le plan des donnes. Le plan des donnes permet de transmettre des
paquets de donnes en fonction des labels que ceux-ci transportent en se basant sur une base
de donnes de transmission de labels maintenue par un commutateur de labels. Le plan de
contrle quant lui cr et maintient les informations de transmission des labels destines
des groupes de commutateurs de labels.
Du point de vue du plan de contrle, chaque nud MPLS est un routeur IP qui doit par
consquent utiliser des protocoles de routage IP afin d'changer ses tables de routage IP avec
les routeurs voisins.
1. Objectifs de MPLS
Les objectifs de MPLS sont doffrir de la QoS , cest--dire dautoriser de nouvelles
routes certains paquets IP par rapport la route par dfaut. Avec lIP classique,
le calcul dune route optimale est assur par lalgorithme de larbre de plus court
chemin SPT (ShortestPathTree), si bien que certains chemins entre routeurs IP ne
sont jamais emprunts. Ce sont ces chemins que MPLS utilisera pour offrir de la
QoS. Dans larchitecture en couches IP sur ATM, la couche ATM assure
lacheminement des cellules et la couche IP, dope de nouvelles fonctionnalits,
offre des services intelligents.
Nous verrons dans les paragraphes suivants comment MPLS offre des services
diffrencis lorsque les routeurs dextrmit utilisent le mcanisme de
commutation dtiquettes pour acheminer les paquets. Nous tudierons
galement les classes de services CoS (Class of Service) et comment chacun des
routeurs classe les paquets IP par type dacheminement dans des FEC
(Forwarding Equivalent Class), la QoS offerte tant corrle au chemin suivi.
Enfin, nous verrons comment les liens sont rservs par le Traffic Engineering

avec les protocoles RSVP et CR-LDP (ConstrainedRouting - Label Distribution


Protocol).
Notons que les objectifs de MPLS peuvent se rsumer :
Augmenter les performances et la scalability (conomie dchelle) du rseau
ATM.

Simplifier limplmentation dun acheminement des paquets IP bas sur la


QoS.

Augmenter la flexibilit au niveau du routage.

Diminuer la taille des tables de routage.

Simplifier le management.

Etre indpendant des couches 2 et 3 (aspect multi-protocolaire).


Supporter le multicast et la QoS.

2.

Les fonctions de MPLS


Dans cette section, on sintresse en premier lieu aux fonctions avances dans les

rseaux MPLS. En deuxime lieu, on va dfinir la notion dingnierie du trafic. Dans la


troisime partie on va prsenter les VPNs comme systme de scurit pour un rseau MPLS,
qui permettent de raliser des tunnels assurant le transport des donnes utilisateur. La dernire
partie sera consacre sur la gestion de QoS qui nous garantit de bonnes performances aux
applications dans le rseau.
2.1. Les fonctions avances de MPLS
Ingnierie de trafic
La plupart des gros rseaux IP, en particulier ceux des oprateurs, disposent de liens de
secours en cas de panne. Toutefois, il est assez difficile dobtenir une rpartition du trafic sur
ces liens qui ne sont traditionnellement pas utiliss, car ntant pas slectionns comme
chemins optimaux par lIGP. Le Trafic Engineering permet un meilleur emploi des liaisons,
puisquil permet aux administrateurs rseau dtablir des tunnels LSP travers le backbone
MPLS, indpendamment de lIGP. Le protocole de routage interne (IGP) doit tre un
protocole tat de liens. En effet, pour dterminer le chemin emprunter par un tunnel, les
routeurs doivent avoir la connaissance complte de la topologie du rseau. Les seuls
protocoles supportant le TE sont donc OSPF et ISIS.
Les tunnels MPLS (appels galement Trunks) peuvent tre crs en indiquant la liste
des routeurs emprunter (mthode explicite) ou bien en utilisant la notion daffinit (mthode

dynamique). La notion daffinit est simplement une valeur sur 32 bits spcifie sur les
interfaces des routeurs MPLS. La slection du chemin seffectue alors en indiquant (sur le
routeur initiant le tunnel) une affinit et un masque. Pour permettre une gestion plus souple du
trafic, chaque interface MPLS susceptible dtre un point de transit pour des tunnels MPLS
dispose dune notion de priorit, dfinie sur 8 niveaux. Lors de ltablissement dun nouveau
tunnel, si celui-ci a une priorit plus grande que les autres tunnels et que la bande passante
totale utilisable pour le TE est insuffisante, alors un tunnel moins prioritaire sera ferm. Ce
mode de fonctionnement est appel premption.

2.2

La gestion de QoS
Dans le monde les tlcommunications, la QoS Qualit de Service est la capacit

vhiculer dans de bonnes conditions un type de trafic, en termes de disponibilit, dbit, dlais
de transmission, taux de perte de paquets. Son but est ainsi doptimiser les ressources du
rseau et de garantir de bonnes performances aux applications critiques. La Qualit de Service
dans les rseaux permet doffrir aux utilisateurs des dbits et des temps de rponse
diffrencis par application. Elle permet ainsi aux fournisseurs de services (dpartements
rseaux dentreprises, oprateurs) de sengager formellement auprs de leurs clients sur les
caractristiques de transport des donnes applicatives sur leurs infrastructures IP. Selon le type
de service envisag, la qualit pourra rsider dans le dbit (tlchargement ou diffusion
vido), le dlai (pour les applications interactives ou la tlphonie), la disponibilit (accs
un service partag) ou encore, le taux de pertes de paquets (pertes sans influence pour de la
voix ou de la vido, mais critiques pour le tlchargement).
De nos jours les applications sont de plus en plus gourmandes en ressources, comme par
exemple en bande passante avec la vido confrence ou pour le transfert de fichiers
volumineux. Combin lextension de certaines technologies, comme la VoIP ncessitant
davoir un faible dlai, certains rseaux seraient incapables de supporter ce genre de trafic
sans mcanisme de QoS. Certes un surdimensionnement du rseau est beaucoup plus simple
mettre en place mais dans la plupart des cas coteux, cest donc pour cette raison que la QoS
devient indispensable. Cela est dautant plus vrai pour les rseaux doprateurs, o un trs
grand nombre de donnes transitent. Do la proposition de la mise en place de la QoS dans
un rseau MPLS (rseau de plus en plus utilis par les oprateurs).
3. Vers la scurit sur MPLS

L'arrive de MPLS parmi les protocoles de communication a permis d'apporter la


simplicit de la commutation dans les rseaux et aussi de proposer de nouvelles technologies
comme l'ingnierie de trafic et les rseaux privs virtuels sur MPLS. Grce ses mcanismes
de commutation de labels avancs ainsi que par sa simplicit de mise en place sur des rseaux
dj existants, MPLS est devenu une technologie phare de demain alliant souplesse,
volutivit et performance pour un cot rduit. MPLS jouera un rle important dans le
routage, la commutation et le transfert des paquets travers les rseaux de nouvelles
gnrations pour garantir les exigences des nouvelles applications et des nouveaux services
des utilisateurs du rseau grce ses principaux avantages savoir :
Amliore lefficacit du routage en particulier pour les grands rseaux
Calcul unique au niveau de lentre du rseau
Rapidit dans le cur de rseau
Lintelligence se trouve aux extrmits du rseau
Donner aux routeurs IP une plus grande puissance de commutation
Mais louverture des systmes rseaux au monde extrieur, la dcentralisation des
traitements et des donnes ainsi que la multiplication des postes de travail accroissent les
risques de dnaturation des systmes et daltration des donnes. Ce qui nous mne trouver
une rsolution de scurit pour protger un rseau MPLS aux problmes dattaque.

II.

VPN/MPLS

Les VPN/MPLS sont essentiellement implments chez les oprateurs afin defournir
desservices leurs clients. Les oprateurs utilisent leur backbone sur MPLSpour crer
desVPN, par consquent le rseau MPLS des oprateurs se trouve partag ou mutualis avec
dautreclient.Du point de vue du client, il a limpression de bnficier dun rseau qui lui est
entirementddi. C'est--dire quil a limpression dtre le seul utiliser les ressources que
loprateur lui met disposition. Ceci est d ltanchit des VPN/MPLS qui distingue bien
les VPN dechaque client et tous ces mcanismes demeurent transparents pour les clients.
Finalement, les deux partiessont gagnantes car les clients ont un vritable service IP quileur
offre des VPN fiables des prix plus intressants que sils devaient crer eux-mmes
leur VPN de couche 2. Les oprateurs eux aussi rduisent leurs cots du fait de la
mutualisation deleurs quipements.
Pour crer des VPNs clients, il est donc ncessaire disoler les flux de
chacun des clients. Pour cela, le label MPLS est constitu de non plus dun
label mais de 2 labels : le premier label (extrieur) identifie le chemin vers
le LSR destination, et change chaque bond, le second label (intrieur)

spcifie le VPN-ID attribu au VPN et nest pas modifi entre le LSR source
et le LSR destination.
Cest le LSR source qui applique ces 2 labels au paquet de data lorsquun
VPN est utilis :

LABEL EXTRIEUR
IDENTIFIE LA DESTINATION

LABEL INTRIEUR
IDENTIFIE LE VPN

DATA
(IP PAQUET)

Chez certains oprateurs comme France Telecom, les noms de LSR et E-LSR sont remplacs
par routeurs PE et P. Ce nest quun changement de nom par rapport la norme MPLS, les
fonctionnalits des routeurs sont totalement identiques, mais il est bon de le savoir car ces
noms sont en gnral plus utiliss que ceux de la norme
Les composants des VPNs MPLS sont :
Le CE routeur (CustumerEdge Router) :routeur client connect au backbone IP via un
service daccs (LS,PVC FR,ATM, ).Il route le trafic entre le site client et le
backbone IP.
Le PE routeur (provider Edge Router) :routeur backbone de priphrie auquel sont
connects des CE.Cest au niveau de PE quest dclare lappartenance dun CE un
VPN donn. Le rle de PE consiste grer les VPN en cooprant avec les autres PE et
commuter les trames avec les P.
Le P quipement (Provider device) : routeur ou commutateur du cur backbone
charg de la commutation des trames MPLS.

Figure 10 : les composantes de VPN MPLS8


La gestion des VPN dans le backbone est assure par loprateur par le biais des PE.
Chaque PE associe, de manire statique, une VRF (Virtual Routing and Forwarding Table)
aussi appel LIB (Label Information Base) dans la norme MPLS chacune de ses interfaces
utilisateur. La VRF est une table de routage associe un VPN qui donne les routes vers les
rseaux IP faisant partie de ce VPN.

Figure 11 : Table de routage

Chaque VRF est renseigne localement par le CE rattach linterface de la VRF. Pour
indiquer les rseaux IP quil dessert, le CE utilise, pour moins de 5 rseaux IP, du routage
statique, et pour plus de 6 rseaux IP, le protocole de routage dynamique e-BGP. Ceci afin de
ne pas avoir traiter de faon manuel un trop grand nombre de routes. Le PE de rattachement
affecte un label local chacun de ces rseaux IP et les stocke dans sa table de commutation.
Puis il annonce lappartenance au VPN de ces rseaux IP ainsi que leur label local et leur PE
de rattachement lensemble des PE du backbone (Ce label local identifie le VPN auquel
appartient le rseau IP). Pour cela, il transmet les informations pertinentes lensemble des
PE grce au protocole MP-iBGP (Multi-Protocol BGP extension, RFC 2283). Seuls les PE
desservant des CE appartenant au mme VPN captureront ces informations pour les stocker
dans la VRF associe au VPN et pour mettre jour leur table de commutation.
8

Les PE supportant le mme VPN connaissent ainsi tous les rseaux IP membres du VPN par
le biais de la VRF, ainsi que leur label local et leur PE de rattachement.

Figure 12 : Backbone MPLS9

Dans un backbone MPLS, les paquets IP ne sont pas routs suivant ladresse de destination
(contrairement au protocole IP) mais des trames MPLS sont commutes suivant leur label
MPLS. Le protocole MPLS a t conu initialement, pour amliorer les performances du
backbone, indpendamment des VPNs.
La trame MPLS est compos dun paquet IP prcd dune en-tte MPLS qui contient
notamment :
un champ label
un champ EXP (3 bits)
un bit S qui indique si un autre en-tte MPLS est prsent dans la trame MPLS. Cet
empilement den tte MPLS est utilis pour transporter au sein du backbone, le label local
ncessaire la gestion du VPN. On parle aussi, par rapport au format de la trame MPLS, de
label externe pour dsigner le label MPLS et de label interne pour dsigner le label local.
1. Distribution de label
Les LSRs se basent sur linformation de label pour commuter les paquets autravers du backboneMPLS.
Chaque routeur, lorsquil reoit un paquet taggu, utilise lelabel pour dterminer linterface et
le label de sortie. Il est donc ncessaire de propager les informations sur ces labels tous les LSRs.
Pour cela, des protocoles de distributions de labels sont utiliss. A cet effet, ces protocoles doivent
cooprer avec des protocoles de routage de niveau suprieur IS-IS, OSPF, RIP, BGP,Diffrents
protocoles peuvent tre utiliss pour assurer la fonction de distribution de labels entre LSRs tels que le
protocole TDP (Tag Distribution Protocol) propritaire CISCO, le RSVP (Resource Reservation Protocol)
utilis en Traffic Engineering pourtablir des LSPs en fonction de critres de ressources et dutilisation des
liens, le MP-BGP (Multi Protocol Border Gateway Protocol) qui permet la distribution des labels en mme
9

temps que la propagation des routes, IP et VPN, enfin le protocole LDP (Label Distribution Protocol) , le plus
utilis, dfini par lIETF dans la RFC3036 [11] utilis pour le mapping des adresses IP unicast
2. Protocole LDP
Le LDP est un nouveau protocole permettant dapporter aux LSRs lesinformations ncessaires concernant les
diffrents labels dun rseau MPLS. Les sessionsLDP [22] sont tablies entre homologues dun
rseau MPLS sans que ceux-ci aientbesoin dtre adjacents.Lchange des messages LDP suppose
pralablement la dcouverte du voisinagesuivie de ltablissement dune session de transport entre voisins
LDP.LDP est indpendant de tout protocole de routage, car il exploite latable deroutage que
gnre ce dernier. Comme tout protocole de distribution de labels, LDP a pour objectif dassigner des labels
des FECs et de les distribuer

III.

Qualit de service

Deux types darchitectures sont tudis par lIETF (Internet Engineering Task Force) pour
dfinir la QoS IP :
Integrated Services (IntServ)
Differential Services (DiffServ)
1. IntServ
Int-Serv suppose que pour chaque flux demandant de la QoS, les ressources ncessaires sont rserves
chaque bond entre lmetteur et le rcepteur. IntServ requiert une signalisation de bout en bout, assure par
RSVP, et doit maintenir ltat de chaque flux (messages RSVP, classification, policing et scheduling par flux
de niveau 4). IntServ permet donc une forte granularit de QoS par flux et pour cette raison, est plutt
destin tre implment laccs.
IntServ dfinit 2 classes de services :
Guaranteed : garantie de bande passante, dlai et pas de perte de trafic
ControlledLoad : fournit diffrents niveaux de services en best effort
2. DiffServ
DiffServ, quant lui, est davantage destin tre appliqu en coeur de rseau oprateur. Les diffrents flux,
classifis selon des rgles prdfinies, sont agrgs selon un nombre limit de classes de services, ce qui
permet de minimiser la signalisation. DiffServ ne peut pas offrir de QoS de bout en bout et a un
comportement Hop By Hop .

CONCLUSION
Cette tude des solutions Vpn, met en vidence une forte concurrence entre lesdiffrents
protocoles pouvant tre
utiliss. Nanmoins, il est possible de distinguer deux rivaux sortant leurs pingles du jeu, sa
voir Ipsec et Mpls. Cedernier est suprieur, mais il assure, en outre,
simultanment, lasparation des flux et leur confidentialit. Le dveloppement rapide du
march pourrait biencependant donner l'avantage au second. En effet, la mise en place de Vpn
par Ip entregnralement dans une politiquede rduction des cots lis
l'infrastructure rseau desentreprises. Les Vpn sur Ip permettent en effet de se passer
des liaisons loues de type Atm ou Frame Relay. Le cot des VpnIp est actuellement assez
intressant pour motiver denombreuses entreprises franchir le pas. A performance gales un
VpnMpls cote deux fois moins cher qu'une ligne Atm. Mais si les solutions base de Mpls
prennent actuellement ledevant face aux technologies Ipsec c'est principalement grce
l'intgration possible de solution de tlphonie sur Ip. La qualit de service offerte par le Mpls
autorise en effet Ce type d'utilisation. Le march des Vpn profite donc de l'engouement actuel
pour ces technologies qui permettent elles aussi de rduire les cots des
infrastructures de communication. Les Vpn sont donc amens prendre de plus en plus de
place dans les rseaux informatiques.

Chapitre 3 :

Ralisation

Prsentation du logiciel GNS3


Description de la maquette
Configuration dun VPN MPLS

Chapitre 3 : Ralisation
Introduction
Nous avons ralis une maquette simulant la solution VPN MPLS laide de lmulateur
GNS3 de Cisco, une tude t entame concernant les differents protocoles de routage et
leurs configuration sur les routeurs Cisco.
I.
Prsentation du logiciel GNS3 :
Le logiciel GNS3 est en fait une interface graphique pour loutil sous-jacent

Dynamips qui permet lemulation de machines virtuelles Cisco.Il est


necessaire dinsister sur le terme mulation,dans la mesure ou ces machines sappuient sur les
vritables IOS fournis par Cisco et leur confrent donc lintgralit des fonctionnalits originales.
Ce logiciel peut donc tre oppos Packet Tracer, qui est un simulateur fourni par Cisco dans le cadre
de son programme acadmique, et qui est donc limit aux seules fonctionnalits implmentes par les
dveloppeurs du logiciel.
Les performances des machines ainsi cres ne sont bien entendu pas quivalentes celles des
machines physiques relles, mais elles restent amplement suffisantes pour mettre en uvre des
configurations relativement basiques et apprhender les concepts de base des quipements Cisco.

A lheure actuelle, seules certaines plateformes de routeurs sont mules ainsi que
les plateformes PIX et ASA qui sont les Firewalls de la gamme Cisco. De
simplescommutateursEthernet sont muls, et permettentnotamment linterconnexion du Lab
virtuel ainsi cre avecun rseau physique.
Cette solution pourra donc tre choisie pour la mise en place de labos virtuels, notamment
dans le cadre de la prparation des premires certifications Cisco telles que le CCNA, mais
ncessitera une machine avec de bonnes ressources pour muler plusieurs quipements en
simultan.

II.

Description de la maquette :

Pour la ralisation de la maquette,nous avons utilis routeurs dont :


1 routeur reprsentant le coreMPLS(des routeurs P) simulant le routeur R1
4 routeurs reprsenatants lEdgeMPLS(des routeurs PE) et simulant les routeurs
R2,R3,R4, et R5 .
8routeurs dsignant des sites des clients VPN(des routeurs CE) et simulant les routeurs
R6,R7,R8,R9,R10,R11,R12,R13.

Figure 13:Maquette10

Pour les routeurs P et PE on a utilis des routeurs Cisco 7200 avec version
IOS c7200-adventerprisek9-mz.124-4.T1.bin supportant ainsi la technologie
MPLS.
Pour les routeurs CE on a utilis aussi des routeurs Cisco 7200 avec version
IOS c7200-adventerprisek9-mz.124-4.T1.bin ,cesrouteus appartiennent au client et
nont aucune connaissance des VPN ou meme de la notion de label.Tout routeur
traditionnel peut etre un routeur CE,quelque soit son type ou la version dIOS
utilise.Ces routeurs nont pas besoin de supporter la technologie MPLS,puisquils
sont des routeurs clients.
III.

10

Plan dadressage
Nous avons utilis pour notre maquette des adresses prives de diffrente classe avec
un masque 24, les loopback (interface de bouclage locale) sont des adresses prives de
classe A avec un masque 32.Voici ladressage pour chaque routeur :

Priphrique

Interface

R1

Routage

Network

S1/0
S1/1
S1/2
S1/3

Masque Sousreseau
172.16.1.1 255.255.255.252
172.16.1 .5 255.255.255.252
172.16.1.9 255.255.255.252
172.16.1.1 255.255.255.252

OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP

172.16.1.0
172.16.1.0
192.16.1.0
192.16.1.0

R2

S1/0
S1/6
S1/7

172.16.1.3
10.10.11.1
10.10.12.1

255.255.255.252
255.255.255.252
255.255.255.252

OSPF/BGP
OSPF/BGP
OSPF/BGP

172.16.1.0
10.10.11.0
10.10.12.0

R3

S1/1
S1/6
S1/7

172.16.1.6
10.10.31.1
10.10.32.1

255.255.255.252
255.255.255.252
255.255.255.252

OSPF/BGP
OSPF/BGP
OSPF/BGP

172.16.1.0
10.10.31.0
10.10.32.0

R4

S1/2
S1/6
S1/7

172.16.1.9
10.10.21.1
10.10.22.1

255.255.255.252
255.255.255.252
255.255.255.252

OSPF/BGP
OSPF/BGP
OSPF/BGP

172.16.1.0
10.10.21.1
10.10.22.1

R5

S1/3
S1/6
S1/7

172.16.1.14
10.10.41.1
10.10.42.1

255.255.255.252
255.255.255.252
255.255.255.252

OSPF/BGP
OSPF/BGP
OSPF/BGP

172.16.1.0
10.10.41.0
10.10.42.0

R6

S1/0
F0/0
S1/0
F0/0
S1/0
F0/0
S1/0
F0/0
S1/0
F0/0
S1/0
F0/0
S1/0
F0/0
S1/0
F0/0

10.10.11.2
192.168.0.0
10.10.12.2
192.168.1.0
10.10.31.2
192.168.2.0
10.10.32.2
192.168.3.0
10.10.21.2
192.168.4.0
10.10.22.2
192.168.5.0
10.10.41.2
192.168.6.0
10.10.42.2
192.168.7.0

255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0

OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP
OSPF/BGP

10.10.11.0
192.168.0.0
10.10.12.0
192.168.1.0
10.10.31.0
192.168.2.0
10.10.32.0
192.168.3.0
10.10.21.0
192.168.4.0
10.10.22.0
192.168.5.0
10.10.41.0
192.168.6.0
10.10.42.0
192.168.7.0

R7
R8
R9
R10
R11
R12
R13

Adresse IP

Tableau 1 :Table dadressage

IV.

Protocole de routage
les CE sont des routeurs clients traditionnels,nayant aucune connaissance de MPLS
ou des VRF. Les CE doivent donc changer leurs routes IP avec leurs PE au moyen de
protocoles de routage classique. Les protocoles supports par IOS sont eBGP(externel

BGP),RIPv2,et OSPF. Le protocole eBGP a t choisi dans notre projet et cela pour
lchange des routes entre les PE et les CE.
Dautre part un protocole de routage interne doit etre utilis sur le backbone pour
pouvoir diffuser les labels MPLS. Il est conseill dutiliser un protocole tat de lien
tel quOSPF ou IS-IS qui sont les seuls permettre le trafic Engineering.
Le protocole OSPF a lavantage de pouvoir supporter le VLSM (variable
lengthsubnetmask)ce qui permet dviter le gaspillage dans lutilisation des
adresses.Nous avons utilis un seul aire pour le rseau : Aire 0 pour le Backbone
MPLS form par les routeurs P et PE.
Un autre protocole de routage est activ qui est BGP au niveau des routeurs P et PE
pour lchange des routes MPLS VPN.

V.

Configuration de la maquette :
les configurations des routeurs diffrent selon que ceux-ci soient des routeurs P,PE ou
CE. Un routeur CE, par exemple, est un routeur daccs client et na pas supporter
les fonctionnalits MPLS ni celle de VPN. Les routeurs PE, par contre, doivent
supporter MPLS sur les interfaces qui appartiennent au backbone et non celles qui sont
relis aux routeurs clients. La cration des VPN se fait au niveau des routeurs PE. Les
routeurs P doivent supporter les fonctionnalits MPLS.
Dans ce qui suit, nous allons dcrire les tapes de configuration de base pour chaque
groupe de routeurs.

1. Phase 1 : Activation du routage classique


a) Assignation des adresses IP par interfaces
Pour le routage IP classique, la configuration des routeurs CE,PE,P est la plus
simple raliser, il sagit de configurer les interfaces et leur attribuer les
adresses IP comme lindique le plan dadressage .

Figure 14Assignation dadresse IP par interface

b) Assignation des adresses ip des loopback des routeurs P,PE,CE


Il sagit dune interface virtuelle, cre par configuration et qui a la particularit de
toujours etre un up/up. Dun point de vue fonctionnement du routeur, cette interface
est perue comme une interface physique.
Lutilit dajouter des adresses loopback est de

Simuler un rseau connect


Influencer un protocole de routage(exple :router-id pour OSPF)
Figure 15 Assignation dun loopback

c) Activation de routage IGP (OSPF)

Au niveau du backbone(PE-P et P-P),le protocole de routage utilis


est lospf, le choix de ce protocole est justifi par les raisons
suivantes :
Protocole de routage tat de lien
Supporte le trafic engineering
Rapidit de convergence
Il a une zone de type dorsale (backbone)

La configuration dospf est requise les tapes suivantes :


Activation de processus ospf
Dclaration des rseaux participant au processus
Dsignation de la zone administrative
Dsignation de lidentificater de routeur

Figure 16 Configuration du protocole OSPF

2. Phase 2 : Activation de protocoles MPLS


a) Activation de protocoles MPLS et LDP

Seulement les routeurs PE et P supportent MPLS donc lactivation est ralise ce niveau.
Avant de configurer MPLS sur les interfaces des routeurs il est indispensable dactiver le CEF
(Cisco Express Forwarding).
Nous avons choisi LDP (Label Distribution Protocol) pour distribuer les labels MPLS.
Lactivation diffre suivant lemplacement du routeur dans le backbone :

Dans les routeurs P nous avons activ MPLS sur toutes les interfaces

Dans les routeurs PE, MPLS est activ seulement sur les interfaces liant ces routeurs
au routeur P.

Figure 17 Activation de MPLS

La commande show mpls interfaces vrifie que MPLS soit activ dans les
interfaces des routeurs P et PE.

Figure 18 Vrification du bon droulement de MPLS

Vrification du protocole LDP

Figure 19 Vrification de protocole LDP

Pour afficher le contenu de la base de MPLS ltiquette de transmission des


informations, nousavons utilis la commande show mplsforwarding-table

Figure 20 table de transmission MPLS

Nous avons utilis la commande show mplsipbinding pour afficher la table


LFIB du routeur R4 :

Figure 21 Table LFIB

Pour afficher la table LIB, nous avons utilis la commande show


mplsldpbinding

Figure 22 Table LIB

b) Configuration de BGP P/P et P/PE


Mettre les P et les PE dans un mme system autonome et simplifier
les tables de routage, voici la configuration de BGP :

Figure 23 : Configuration de BGP

la commande show ipbgpsummary permet la vrification de bon


fonctionnement de protocole BGP :

Figure 24 : Vrification de BGP

Voila le backbone MPLS est fonctionnel. Lune des applications les plus
importantes du protocole MPLS est de pouvoir crer des rseaux privs virtuels
VPN, pour cela on va implmenter dans notre maquette un VPN MPLS.

c) Activation du MPLS VPN


Nous allons crer deux VPN cust1 qui regroupe les routeurs CE

Configuration des VRF


La premiere tape est la conception (design) VPN caractris par le choix
des parametres RD (route Distinguisher) et RT (Route Targets) qui sont des

communauts tendues BGP et dfinissent lappartenance aux VPN. La


plus simple mthode est dassigner chaque VPN le meme RD et RT.
Chaque VPN possede son propre RD, nous avons attribu pour Client-a la
valeur 1et pour Client-b la valeur2assurant ainsi la possibilit de
recouvrement dadresse entre les deux VPN. Le choix du RT est important
afin de sparer lchange des deux routes entre VPN, suivant notre
architecture le meme RT est utilis pour lexport et limport des routes pour
chaque client. Les deux sites du client-a partage la valeur 1 :1 et ceux du
client-b paragent 1 :2 comme RT.
Avant dassigner les VRF des VPN, nous avons choisi comme protocole de
routage le protocole BGP pour pouvoir communiquer deux systemes
autonomes diffrents et assurer lchange des routes entre les CE et PE.
3. Implmentation des services sur VPN MPLS
On a implment notre machine : Un client VPN
3.1Machine Virtuelle

3.2Connecter les hotes GNS3 MVW

Figure 25: les machines virtuelles

Aprs avoir installer les machines virtuelles,on va suivre les tapes suivantes
pour connecter GNS3 :

A partir du menu VM slctionnerParametres

Ajouter carte reseau


Attribuer une machine virtuelle une carte reseau

Dans GNS3 faire glisser et deposer un routeur et un nuage travers lequel


GNS3 sera connect un hote VMW

Configuration du nuage(clic droit sur nuage configue)

CONCLUSION GENERALE
Dsormais tous les oprateurs commencent utiliser les rseaux MPLS, car la
tendance des rseaux de communications consiste faire converger les rseaux de
voix, donnes, multimdia en un rseau unique bas sur les paquets IP. Du fait que le
protocole MPLS apporte des services IP ainsi que de la convergence des rseaux, le
protocole MPLS a certainement un grand avenir devant lui.
Lobjectif de ce projet tait essentiellement dtudier le standard MPLS, les
applications supportes par ce standard et dimplmenter et configurer une maquette
de simulation.

ANNEXE 1 : Configuration dun P


upgrade fpd auto
version 15.0
service timestamps debug datetimemsec
service timestamps log datetimemsec
no service password-encryption
!
hostname PROVIDER
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip source-route
no ipicmp rate-limit unreachable
ipcef
!
!
no ip domain lookup
no ipv6 cef
!
multilink bundle-name authenticated
!
redundancy
!
!

iptcpsynwait-time 5
!
interface Loopback0
ip address 10.10.10.10 255.255.255.255
ipospf 1 area 0
!
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
!
interface Serial1/0
ip address 172.16.1.1 255.255.255.252
ipospf 1 area 0
mplsip
serial restart-delay 0
clock rate 56000
!
!
interface Serial1/1
ip address 172.16.1.5 255.255.255.252
ipospf 1 area 0
mplsip
serial restart-delay 0
clock rate 56000
!
!
interface Serial1/2
ip address 172.16.1.9 255.255.255.252
ipospf 1 area 0
mplsip
serial restart-delay 0
clock rate 56000
!
!
interface Serial1/3
ip address 172.16.1.13 255.255.255.252
ipospf 1 area 0
mplsip
serial restart-delay 0
clock rate 56000
!
!
interface Serial1/4

no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/5
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/6
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/7
no ip address
shutdown
serial restart-delay 0
!
!
router ospf 1
router-id 1.1.1.1
log-adjacency-changes
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
!
mplsldp router-id Loopback0
!
control-plane
!
!
mgcp fax t38 ecm
mgcp behavior g729-variants static-pt
!
!
!
gatekeeper
shutdown
!
!

line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
end

ANNEXE 2 : Configuration dun PE


upgrade fpd auto
version 15.0
service timestamps debug datetimemsec
service timestamps log datetimemsec
no service password-encryption
!
hostname PROVIDER-EDGE-1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip source-route
no ipicmp rate-limit unreachable
ipcef
!
!
ipvrf client-a
rd 1:1
route-target export 1:1
route-target import 1:1

!
ipvrf client-b
rd 1:2
route-target export 1:2
route-target import 1:2
!
no ip domain lookup
no ipv6 cef
!
multilink bundle-name authenticated
!
!
redundancy
!
!
iptcpsynwait-time 5
!
interface Loopback0
ip address 20.20.20.20 255.255.255.255
ipospf 1 area 0
!
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
!
interface Serial1/0
ip address 172.16.1.2 255.255.255.252
ipospf 1 area 0
mplsip
serial restart-delay 0
!
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
!

interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/4
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/5
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/6
ipvrf forwarding client-a
ip address 10.10.11.1 255.255.255.252
serial restart-delay 0
clock rate 56000
!
!
interface Serial1/7
ipvrf forwarding client-b
ip address 10.10.12.1 255.255.255.252
serial restart-delay 0
clock rate 56000
!
!
router eigrp 1
!
address-family ipv4 vrf client-a
redistribute bgp 1000 metric 1024 1 255 1 1500
network 10.10.11.0 0.0.0.3
autonomous-system 1
exit-address-family
!
address-family ipv4 vrf client-b
redistribute bgp 1000 metric 1024 1 255 1 1500
network 10.10.12.0 0.0.0.3
autonomous-system 1
exit-address-family
!
router ospf 1

router-id 2.2.2.2
log-adjacency-changes
!
router bgp 1000
no synchronization
bgp log-neighbor-changes
neighbor 30.30.30.30 remote-as 1000
neighbor 30.30.30.30 update-source Loopback0
neighbor 40.40.40.40 remote-as 1000
neighbor 40.40.40.40 update-source Loopback0
neighbor 50.50.50.50 remote-as 1000
neighbor 50.50.50.50 update-source Loopback0
no auto-summary
!
address-family vpnv4
neighbor 40.40.40.40 activate
neighbor 40.40.40.40 send-community extended
exit-address-family
!
address-family ipv4 vrf client-a
no synchronization
redistribute eigrp 1 metric 1
exit-address-family
!
address-family ipv4 vrf client-b
no synchronization
redistribute eigrp 1 metric 1
exit-address-family
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
mplsldp router-id Loopback0
!
control-plane
!
!
mgcp fax t38 ecm
mgcp behavior g729-variants static-pt
!
!
!
gatekeeper
shutdown
!
!

line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
end

ANNEXE 3 : Configuration dun CE


upgrade fpd auto
version 15.0
service timestamps debug datetimemsec
service timestamps log datetimemsec
no service password-encryption
!
hostname Customer-edge-2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip source-route

no ipicmp rate-limit unreachable


ipcef
!
!
!
!
no ip domain lookup
no ipv6 cef
!
multilink bundle-name authenticated
!
redundancy
!
!
iptcpsynwait-time 5
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex half
!
!
interface Serial1/0
ip address 10.10.12.2 255.255.255.252
serial restart-delay 0
!
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
!
!
router eigrp 1

network 10.10.12.0 0.0.0.3


network 192.168.1.0
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
control-plane
!
!
!
mgcp fax t38 ecm
mgcp behavior g729-variants static-pt
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
end

WEBOGRAPHIE
- http://www.frameip.com/mpls/
- http://www.cisco.com
- http://www.commentcamarche.net/contents/5
26-mpls-multiprotocol-label-switching
- http://www.futurasciences.com/magazines/hightech/infos/dico/d/internet-mpls-3901/
- http://wallu.pagesperso-orange.fr/pagvpn.htm
- http://www.nerim.fr/vpn-mpls