Interconnexion de sites distants avec DMVPN

Introduction

Le monde change rapidement. Et les demandes sur le réseau augmentent de façon exponentielle.
Plus que jamais, les entreprises ont besoin de technologies pour offrir rapidité, flexibilité et
informations de manière rentable sur l'ensemble de leurs systèmes et processus. La technologie
DMVPN de Cisco aide les entreprises de tous les segments d’une organisation d’être reliés au siège
social de l’entreprise - leurs succursales - à la valeur commerciale située n'importe où sur le réseau.
Que votre succursale soit un magasin de détail, une clinique de soins de santé ou une télécommande
bureau, les succursales sont un élément essentiel de l'entreprise. Ce sont les endroits où les
organisations interfacent avec les clients et les autres citoyens, où la plupart des informations sont
collectées, et où la plupart des employés travaillent. Il est donc crucial que la succursale joue un
grand rôle dans les plans de numérisation de l’entreprise.

Dans de nombreuses implémentations WAN traditionnelles, les clients, vendeurs, fournisseurs et

employés qui sont situés au niveau de la succursale ne peuvent souvent pas recevoir un service
optimal, et leurs capacités sont limitées. Avec la capacité de DMVPN à simplifier les VPNs et à
permettre plus de contrôle, des applications telles que le trafic Internet invité, les services de cloud
public et les applications cloud partenaires peuvent être déchargé immédiatement avec la qualité
appropriée des niveaux de service. Enfin, étant donné la nécessité de sécuriser tous ces cas
d'utilisation, vous verrez la valeur de l'IWAN dans la fourniture d'une connectivité sécurisée pour vos
applications tout en offrant un meilleur service et de meilleures performances.

La solution Cisco DMVPN aide les entreprises à atteindre leurs objectifs dans ce sens.

Présentation de la connectivité à distance

La voix, la vidéo et les données généralement envoyées entre les bureaux distants et les sites
centraux exigent souvent une faible latence et un provisionnement facile, tout en maintenant un
faible coût. Les solutions WAN traditionnelles (par exemple, les lignes louées, Frame Relay et ATM)
ne parviennent généralement pas à répondre simultanément à toutes ces exigences. Heureusement,
une variété de technologies VPN conviennent bien dans un tel design.

Les connexions de réseau étendu (WAN) traditionnelles utilisent des technologies telles que lignes
louées et circuits virtuels permanents (PVC) définis dans la commutation de trames (par exemple,
Frame Relay) et les réseaux de commutation de cellules (par exemple, ATM). Par exemple, si une
entreprise ouvre un bureau de vente à distance, il peut acheter une connexion Frame Relay pour ce
bureau distant et utiliser un PVC qui interconnecte ce bureau distant au site central de l’entreprise.

Cependant, avec l'état actuel d'Internet, les connexions à haut débit sont largement accessibles. Par
exemple, un bureau de vente distant peut acheter une connexion DSL ou modem câble à Internet, à
un coût relativement faible par rapport aux lignes louées traditionnelles ou technologies de
commutation trame / cellule. Sur cette connexion Internet, un réseau privé virtuel (VPN) pourrait
créer un chemin logique entre le bureau des ventes et le siège social emplacement.

Cette section catégorise diverses technologies VPN. Ensuite, le reste de ce chapitre examine ces
technologies un peu plus en détail.

Technologies de transport WAN

Chaque technologie a des coûts et des caractéristiques différentes (techniques et évolutives) qui
impactent sur la stratégie globale de conception d'un WAN. Les sections suivantes fournissent un
aperçu des technologies WAN au fur et à mesure de leur développement.

Accès par ligne commutée

Les ordinateurs et les routeurs se connectent les uns aux autres avec des modems analogiques qui
utilisent le réseau téléphonique public commuté (RTPC) des compagnies de téléphone. Utilisation de
l'infrastructure du PSTN existant offre une flexibilité car la connectivité peut être établie
dynamiquement vers n'importe quel numéro de téléphone. Les lignes téléphoniques sont
nécessaires pour prendre en charge uniquement la voix, qui a besoin de 9600 bps de bande passante.
La vitesse prise en charge par le premier modem, 300 bps, a augmenté au fil du temps jusqu'à 56 000
bps (56 kbps) lorsque la qualité audio est idéale. Parfois, la qualité de la ligne peut entraîner la
déconnexion de la session du modem, entraînant convergence du routage du réseau ou perte de
paquets pendant que l'appel est rétabli. Accès par ligne commutée est une solution flexible et peu
coûteuse lorsqu'une connectivité temporaire à faible bande passante est requise.

Circuits loués

Surmonter la barrière de la vitesse de la connectivité par ligne commutée nécessite l'utilisation de

liens réseau entre les deux sites. Le coût pour avoir les droits fonciers, acheter et installer les câbles
et acquérir le matériel présente un obstacle financier pour la plupart la plupart des entreprises.

Les compagnies de téléphone utilisent l'infrastructure existante et vendent l'accès entre les lignes
louées dédiées. Les lignes louées fournissent des connexions sécurisées à large bande passante mais
manquent la flexibilité de l'accès commuté. Quelle que soit l'utilisation de la liaison, les lignes louées
offrent une garantie la bande passante car les circuits sont dédiés entre les sites du FAI.

La plupart des SP installent désormais des câbles à fibre optique entre les emplacements ; chaque
câble contient plusieurs brins qui prennent en charge plusieurs connexions. Seule une partie des
brins de câble est consommée, ce qui signifie que des capacités supplémentaires peuvent être
consommées en interne ou louées à d'autres sociétés. Les câbles à fibres optiques non utilisés sont
appelés circuits à fibres noires. Certains les entreprises se spécialisent dans la localisation et la
revente de circuits à fibres noires. Les clients sont fournis avec un support de transport, mais sont
responsables de l'installation d'appareils à chaque extrémité pour capacités de routage ou de
commutation. La fibre noire n'est pas vraiment un service mais plutôt un atout.

Les organisations peuvent tirer parti de toutes les capacités du câble à fibre optique (généralement
10 Gbit / s) en utilisant des dispositifs de multiplexage en longueur d'onde dense (DWDM). Celles-ci
permettre à une interface 10 Gb de se voir attribuer une longueur d'onde optique spécifique, et
parce que certains câbles à fibres optiques prennent en charge plusieurs longueurs d'onde optiques,
un seul brin de câble prend en charge plusieurs liaisons 10 Go. La bande passante est garantie car
seulement deux appareils peuvent communiquer sur la même longueur d'onde, et aucun conflit de
longueur d'onde avec d'autres longueurs d'onde.

Circuits virtuels

La connectivité précoce pour le RTPC et les lignes louées ne permettait que la communication point à
point entre deux appareils sur le circuit. Cette planification de capacité compliquée à partir d'un
téléphone point de vue du fournisseur et a maintenu les coûts d’exploitation à un niveau élevé. Alors
que la demande de circuits augmentait pour acheminer le trafic de données au lieu du trafic vocal, la
nécessité d'une infrastructure plus efficace augmenté.

Des technologies telles que X25, Frame Relay et ATM ont introduit le concept de partage d'une ligne
grâce à l'utilisation de circuits virtuels. Les circuits virtuels fournissent un tunnel pour que le trafic
suive chemin spécifique dans le réseau d'un SP. Ils permettent à plusieurs conversations d'exister sur
liaisons, réduisant les coûts opérationnels du SP et permettant la communication avec plusieurs
périphériques utilisant la même interface physique.

Les circuits virtuels offrent les avantages suivants :

■ La communication est autorisée avec plus de deux appareils en même temps en utilisant la même
interface.

■ Les interfaces peuvent fonctionner avec différents paramètres de bande passante entre les
périphériques.

Réseaux Peer-to-Peer

Grâce aux améliorations du protocole Ethernet, les liaisons Ethernet peuvent prendre en charge des
vitesses allant de 1 Mbps à 100 Gbps, dépassant les autres technologies série telles que T1 et SONET.
Par exemple, les circuits série OC-768 ne peuvent transporter que jusqu'à 38,5 Gbit / s.

La quantité de bande passante requise sur un site distant peut varier en fonction du nombre
d'utilisateurs et de services de données requis sur chaque site. Certains sites distants peuvent
prendre en charge une connectivité Ethernet, mais d'autres sites ne peuvent se connecter que via
des liaisons série en raison du circuit exigences de longueur. Si deux sites se connectent via deux
supports de transport différents (tels qu’Ethernet et série) et doivent pouvoir communiquer entre
eux, le fournisseur d’accès fournit généralement la connectivité indirectement par routage (couche
3) entre les deux sites.

Réseaux haut débit

Les particuliers demandent de plus en plus de bande passante à un coût économique réduit. En
raison de la grande zone géographique demandant accès au réseau, les opérateurs de téléphonie et
les fournisseurs de câble avaient besoin d'une technologie qui pourrait réutiliser des parties de leur
infrastructure existante tout en offrant plus de bande passante aux consommateurs. Le multiplexage
(combinaison) de plusieurs fréquences sur le même lien leur a permis de fournir une plus grande
bande passante pour les consommateurs. Ces types de réseaux sont appelés réseaux à large bande
car ils combinent plusieurs fréquences (bandes) pour fournir une bande passante.

Les réseaux à large bande existent sous deux formats :

■ Modem câble : la connectivité est assurée via l'infrastructure coaxiale existante utilisé par les
fournisseurs de télévision par câble. Les vitesses initiales du modem câble étaient de 1 à 2 Mbps mais
fournissent actuellement plus de 100 Mbps. Parce que l'infrastructure coaxiale est partagée entre
plusieurs emplacements, la bande passante est partagée et peut varier en fonction de l’utilisation de
la bande passante autres utilisateurs partageant le même circuit. Bien que la bande passante puisse
culminer à ce qui est indiqué dans le SLA, il est recommandé de régler la bande passante sur la
moyenne.
■ DSL: il existe différentes variantes de DSL, mais en substance, il utilise le cuivre existant les fils du
réseau RTPC qui fournissent un service téléphonique à une maison. DSL utilise des fréquences plus
élevées que les humains ne peuvent pas entendre pour transmettre des données. Il n'utilise pas de
partage mais est généralement limitée à une petite distance (environ 2 à 5 km) de l’équipement
d’interconnexion de la compagnie de téléphone. Le plus éloigné de l’équipement d’interconnexion,
plus la bande passante disponible est faible. DSL peut atteindre des vitesses supérieures à 40 Mbps.

Réseaux cellulaires sans fil

Avec l'invention du smartphone, les fournisseurs de services sans fil cellulaires ont permis aux
téléphones et transmettre des données en plus de passer des appels vocaux. Les réseaux cellulaires
sans fil offrent avantages suivants:

■ Accessibilité: toutes les entreprises n'opèrent pas dans des endroits où un SP a des circuits. Dans
certaines des emplacements distants (tels que des montagnes ou des îles) peuvent ne pas exister de
câbles de connectivité. La couverture des réseaux sans fil cellulaires permet aux entreprises de
prendre le réseau dans des emplacements géographiques qui n'étaient jamais disponibles via des
connexions filaires.

■ Connectivité de sauvegarde : la vitesse des réseaux cellulaires offre aux entreprises la possibilité
pour exécuter leurs opérations sur ce qui était généralement utilisé comme une gestion hors bande
lien. Cela signifie que les réseaux sans fil cellulaires peuvent fournir une deuxième connexion où
plusieurs SP ne sont pas disponibles. Cela inclut la prise en charge de la voix et de la vidéo sur
cellulaire en cas de panne du réseau primaire.

■ Rapidité : les circuits terrestres peuvent généralement prendre jusqu'à 90 jours pour se déployer
Emplacements. L'activation rapide du cellulaire permet aux entreprises d'apporter des
emplacements et services en ligne en jours, voire en heures au lieu de semaines ou de mois.

■ Possibilité d'héberger des réseaux dont l'emplacement change : certains fournisseurs de services
mobiles (tels que food trucks) ont besoin d'une connectivité réseau pour vérifier les transactions par
carte de crédit. Un autre secteur en pleine croissance est l’utilisation des réseaux cellulaires sans fil
pour suivre les signes vitaux d’un patient pendant que le patient est à la maison, ce qui réduit le
besoin du patient de se rendre dans un établissement de santé, ou mettre des soins à la disposition
des patients qui ne peuvent pas voyager.

■ Capacité à héberger des réseaux en mouvement : certaines entreprises ont besoin de pouvoir
fournir une connectivité réseau aux appareils en mouvement. Par exemple, les trains de voyageurs
peuvent fournir un service WiFi à leurs passagers, suivre les capteurs embarqués critiques ou
combiner Capteurs GPS pour suivre l'emplacement du véhicule.

Réseaux privés virtuels (VPN)

Il peut être difficile de garantir qu'un SP peut fournir une connectivité à deux emplacements
différents. Un fournisseur de services peut ne disposer que d'une connectivité régionale et non de
capacités mondiales. Fournir une connectivité aux clients ayant une empreinte mondiale n'est pas
une tâche facile pour de nombreux fournisseurs d’accès, en particulier ceux qui n'ont qu'une
présence régionale. Dans le cas où un SP mondial ne peut pas être trouvé, les SP régionaux doivent
être interconnectés. Ce scénario augmente la complexité opérationnelle lorsque la connectivité doit
être fournie entre des sites dans différents pays ou continents. Des scénarios comme celui-ci peuvent
empêcher une solution peer-to-peer ; cependant, la connectivité Internet est courante dans le
monde entier et facile à obtenir presque partout.

Un VPN fournit une connectivité à des réseaux privés sur un réseau public, comme Internet. Un VPN
fonctionne en créant des tunnels, en chiffrant la charge utile, ou les deux à la fois. Avec le tunneling
VPN, les paquets destinés à transiter entre des réseaux privés sont encapsulés et de nouveaux en-
têtes, permettant ainsi aux paquets de traverser le réseau public. Un tunnel VPN est classé comme
un réseau de superposition, car le réseau VPN est construit au-dessus d'un réseau de transport
existant, également appelé réseau de sous-couche. Après l'authentification avec le point de
terminaison VPN distant, le tunnel VPN est établi pour les paquets à traverser vers le réseau privé.
Un VPN peut tirer parti du transport par réseau public tel qu'Internet pour fournir une connectivité
mondiale en utilisant un seul transport.

Remarque : Les VPN ne sont pas limités à une utilisation sur Internet. De nombreuses organisations
utilisent des VPN à travers les réseaux d'entreprise pour garantir que les données sensibles ne sont
pas compromises en transit entre les emplacements géographiques.

Dans les tunnels VPN, les nouveaux en-têtes de paquets fournissent une méthode de transfert d'un
paquet sur le réseau public sans exposer les en-têtes de paquets d'origine du réseau privé. Cela
permet au paquet d'être transféré entre les deux points d'extrémité sans nécessiter de routeurs pour
extraire les informations de la charge utile (en-têtes et données de paquet d'origine). Une fois que le
paquet a atteint le point de terminaison distant, les en-têtes de tunnel VPN sont décapsulés
(supprimés). Le point de terminaison vérifie les en-têtes d'origine, puis transfère le paquet via
l'interface appropriée au réseau privé.

Il existe plusieurs protocoles VPN avec divers avantages et considérations de conception pour
encapsuler, chiffrer et transférer des données sur des réseaux publics. Le protocole IPsec, Secure
Sockets Layer (SSL), Datagram Transport Layer La sécurité (DTLS) et le protocole de tunneling point à
point (PPTP) font partie des protocoles les plus courants utilisés aujourd'hui pour les VPN. Les
sections suivantes expliquent les types de VPN les plus courants.

VPN d'accès à distance

Les employés ou partenaires d'une entreprise peuvent installer un logiciel VPN sur un appareil client
(poste de travail, tablette ou téléphone) qui peut établir un tunnel VPN vers le serveur VPN. Le client
doit connaître l'adresse IP publique du serveur VPN, mais le serveur VPN n’a pas besoin de connaître
à l'avance l'adresse IP publique du client. Le serveur VPN attribue un privé Adresse IP au client pour
que les appareils du réseau privé distant sachent où envoyer renvoyer le trafic réseau.

En règle générale, le serveur VPN définit toutes les stratégies d'accès ou de sécurité sur le client. Le
serveur VPN peut exiger que tout le trafic provenant du client soit envoyé à travers le tunnel VPN,
appelé tunnel complet, ou spécifier que le trafic vers des réseaux de destination spécifiques soit
acheminé à travers le tunnel VPN, appelé tunneling fractionné.

Tunnels VPN de site à site

Les solutions VPN d'accès à distance ne s'adaptent pas bien aux emplacements avec plusieurs clients
VPN comme les succursales. Une meilleure solution évolutive utilise un client VPN dédié (routeur,
pare-feu ou dispositif de sécurité) pour fournir une connectivité au serveur VPN distant via un tunnel
VPN de site à site.

Chaque point de terminaison VPN doit connaître l'adresse IP publique de l'autre. De plus, les points
de terminaison doivent identifier le trafic intéressant (réseaux source et de destination) qui utilisera
le tunnel VPN. En cas de non-concordance de trafic intéressant, soit les paquets ne sont pas
encapsulés correctement, soit les paquets ne sont pas désencapsulés et sont supprimés.

Lorsque le premier point de terminaison VPN reçoit un trafic intéressant, le tunnel VPN est établi. Les
paquets de réseau privé sont encapsulés, acheminés sur le réseau public vers le point de terminaison
distant et décapsulés. En fonction de la configuration du point de terminaison, le tunnel VPN reste
indéfiniment activé ou un temporisateur inactif peut être configuré. Le temporisateur inactif est
réinitialisé si des paquets traversent le tunnel. Si la minuterie atteint zéro, le tunnel VPN est
supprimé.

Topologie Hub-and-Spoke

Les organisations comptant plus de deux sites établissent généralement des VPN de site à site entre
le siège social et les sites de succursale à l'aide d'une topologie de réseau concentrateur. Le trafic
réseau d'une branche à une autre branche doit passer de la branche (spoke) à l'emplacement du
siège (hub), puis revenir à la branche distante.

La figure 2-2 illustre une topologie à hub-and-spoke typique entre R1, R2 et R3.

R1 est le hub, et R2 et R3 sont des spokes. La latence du réseau des deux spokes vers le hub est de
110 ms, ce qui est généralement une latence acceptable pour la plupart des applications. La latence
de bout en bout entre les rayons (R2 à R3) est de 220 ms, ce qui peut être acceptable pour la plupart
des applications mais peut entraîner des problèmes pour d'autres. Par exemple, pour la VoIP il est
recommandé un délai maximum de 150 ms. Le dépassement du délai recommandé peut affecter la
qualité audio des appels pour les utilisateurs de R2 parlant avec les utilisateurs de R3.

Il est essentiel d'allouer une bande passante appropriée au site concentrateur. Le hub constitue la
destination typique de la plupart du trafic réseau, mais le trafic entre les autres spokes doit transiter
deux fois via le hub, une fois en entrée et une autre en sortie vers l'autre site de succursale.
L'ajout d'un nouveau site à une topologie hub-and-spoke nécessite une configuration supplémentaire
(adressage IP de point de terminaison, définition de trafic intéressant, cryptographie, manipulation
de table de routage) sur le nouveau routeur spoke et sur le routeur hub. La formule n ∗ 2 fournit le
nombre d'interfaces VPN (points de terminaison de tunnel) qui doivent être configurés pour le
domaine de routage, où n reflète le nombre de sites. Dans la figure 2-2, deux sites nécessitent quatre
interfaces de tunnel VPN (deux sur R1, une sur R2 et une sur R3).

Topologie à maillage complet

Pour remédier à certaines des lacunes du modèle hub-and-spoke, des tunnels VPN peuvent être
établis entre R2 et R3, formant ainsi une topologie à maillage complet. Cela peut réduire la latence
de bout en bout entre tous les sites, en supposant que la latence dans le réseau de transport entre
R2 et R3 est inférieure. Dans ce scénario, la latence est de 110 ms, ce qui fournit une qualité d'appel
vocal suffisante et améliore la réactivité des autres applications. De plus, le trafic réseau entre les
sites ne consomme pas inutilement la bande passante de R1.

La figure 2-3 montre les trois sites avec une connectivité directe de site à site. Cela illustre une
topologie à maillage complet car tous les sites sont connectés à tous les autres sites, quelle que soit
leur taille.

Les topologies à maillage complet utilisant des tunnels VPN de site à site peuvent introduire une
variété de problèmes à mesure que le nombre de sites augmente. Ces problèmes sont :

■ Gestion des points de terminaison VPN : lorsqu'un nouveau site nécessite une connectivité,
l'interface du tunnel VPN doit être configurée sur le nouveau routeur et le routeur distant. La
formule n (n − 1) fournit le nombre d'interfaces de tunnel VPN qui doivent être configurées, où n
reflète le nombre de sites. Dans la figure 2-3, il existe trois sites, mais la topologie nécessite la
création de six points de terminaison de tunnel VPN. Le problème est encore exacerbé lorsque 10
sites sont nécessaires car 90 interfaces de tunnel VPN doivent être gérées.

■ Consommation de CPU et de mémoire du routeur : le maintien d'un nombre élevé de tunnels VPN
actifs consomme plus de ressources CPU et mémoire. Tous les routeurs doivent être dimensionnés
en conséquence pour s'adapter à toute charge générée pour la maintenance des tunnels VPN.
La plupart des conceptions VPN pour les grandes organisations placent généralement un hub dans
une région géographique majeure. Le hub est connecté via un maillage complet, puis le trafic
interrégional est contenu via un modèle de hub-and-spoke.

VPNs MPLS (Multiprotocol Label Switching)

Les fournisseurs de services utilisent la commutation la technologie MPLS pour fournir une
architecture peer-to-peer évolutive qui permet aux paquets de transiter sur le réseau du SP d'un
routeur PE à un routeur PE sans avoir besoin d'examiner le contenu des paquets. Les VPN MPLS
utilisent au moins deux étiquettes (label) MPLS, l'une pour le transfert de paquets entre des routeurs
PE et l'autre pour identifier le réseau client auquel appartient le paquet. Étant donné qu'un réseau
client est spécifié dans la deuxième étiquette MPLS, l'adressage IP n'est pas partagé entre les clients.
Cela permet au SP d'offrir une connectivité VPN à plusieurs clients qui utilisent souvent le même
espace d'adresse IP privé (RFC 1918).

Un réseau MPLS transfère le trafic sur la base de l'étiquette MPLS la plus à l'extérieur d'un paquet.
Les étiquettes MPLS sont placées avant les en-têtes IP (IP source et IP de destination), de sorte
qu'aucun des routeurs de transit ne nécessite un examen de l'en-tête IP ou de la charge utile du
paquet. Comme les paquets traversent le cœur du réseau, les adresses IP source et de destination ne
sont jamais vérifiées tant que l'étiquette de transfert existe dans le paquet. Seuls les routeurs PE ont
besoin de savoir comment envoyer les paquets vers le routeur CE. Un VPN MPLS est considéré
comme un réseau de superposition, car le trafic réseau est transféré sur le réseau de sous-couche du
SP à l'aide des étiquettes MPLS.

Tous les VPN MPLS sont classés par deux technologies sur le routeur PE: VPN de couche 2 et de
couche 3.

La principale différence entre les L2VPN et les L3VPN est la façon dont la relation CE-PE est gérée. Les
L2VPN ne sont concernés que du point de vue de la couche 2, tandis que les L3VPN participent à la
table de routage des réseaux clients. Les deux modèles assurent la sécurité des réseaux clients via la
segmentation des circuits / réseaux, et le réseau SP est invisible pour le client. Chaque modèle a ses
avantages et ses inconvénients.

Avantages de l'indépendance des transports

Tous les transports traditionnels (accès à distance, circuits loués, MPLS et VPN IPsec) présentent des
avantages et des inconvénients. Un transport peut préférer un protocole de routage tandis qu'un
transport différent peut préférer un protocole de routage différent. Certains transports ne sont pas
toujours disponibles ou rentables à tous les endroits. Le mélange de plusieurs transports dans une
architecture WAN native peut entraîner un environnement WAN complexe.

Pour garantir que le réseau est toujours disponible à des fins professionnelles, il ne doit pas y avoir
de SPOFs (Single Point of Failure). Les architectes réseau prévoient des circuits de sauvegarde qui ne
sont actifs qu'en cas de défaillance du circuit principal ou des circuits doubles pouvant être utilisés en
même temps. Les architectes réseau doivent également décider du nombre de routeurs sur chaque
site, si un routeur est dédié à chaque circuit, ou si les deux circuits doivent se connecter au même
routeur.

L'utilisation d'un seul routeur avec un seul transport fournit «trois neuf» (99,9%) de disponibilité, ce
qui correspond à environ quatre à neuf heures d'indisponibilité par an. L'utilisation d'un seul routeur
avec deux transports fournit «quatre neuf» (99,995%) de disponibilité, ce qui correspond à 26
minutes d'indisponibilité par an. L'utilisation de deux routeurs, chacun avec son propre transport,
fournit «cinq neuf» (99,999%) de disponibilité, ce qui correspond à cinq minutes d'indisponibilité par
an.

Une architecture de réseau bien conçue doit prendre en compte le personnel de soutien
opérationnel et réduire la complexité dans la mesure du possible. Il devrait tenir compte des
ingénieurs subalternes travaillant dans le centre des opérations réseau (NOC) qui effectuent la
gestion quotidienne du réseau. La redistribution entre les protocoles doit être réduite au minimum
pour éviter la confusion et les boucles de routage. La conception doit être modulaire pour prendre en
charge la croissance future et permettre une migration simple entre les SP pour répondre aux
besoins de l'entreprise.

DMVPN offre une indépendance de transport grâce à l'utilisation d'un routage de superposition à
maillage complet. Cette technologie permet aux organisations d'utiliser plusieurs transports WAN,
car le type de transport est associé au réseau sous-jacent et n'est pas pertinent pour le réseau
superposé. Le réseau de superposition est cohérent et normalisé au tunnel DMVPN.

L'indépendance de transport permet la cohérence opérationnelle des architectures WAN en

fournissant les éléments suivants:

■ Domaine de routage unique : les protocoles de routage traditionnels ont été conçus pour résoudre
le problème d'accessibilité des noeuds finaux dans un environnement de transfert de destination
bond par bond de topologie inconnue. Les protocoles de routage choisissent uniquement le meilleur
chemin en fonction du coût attribué statiquement. Parce que DMVPN présente une topologie plate,
il fournit une topologie cohérente qui permet l'équilibrage de charge ECMP à travers les tunnels
DMVPN.

■ Dépannage cohérent: le même processus peut être utilisé pour le dépannage de la connectivité
pour le tunnel DMVPN et le réseau sous-jacent. Même si le transport de calque sous-jacent change, il
repose sur la connectivité IP de base entre les points d'extrémité du tunnel.

■ Topologie cohérente: il existe une topologie et une méthodologie cohérentes pour le déploiement
d'autres services tels que le routage des performances.

Un exemple d'utilisation pour l'indépendance du transport est lorsqu'une entreprise déploie une
nouvelle succursale. La plupart des SP ont un délai de 60 à 90 jours pour l'installation de nouveaux
circuits. Une entreprise peut immédiatement déployer un routeur à l'aide d'un plan de données
cellulaires, puis basculer vers le circuit commandé ultérieurement avec des modifications minimes de
la configuration. Le modèle de support opérationnel reste le même quel que soit le transport WAN
utilisé.

La mise en œuvre de l'indépendance de transport sur les circuits existants offre une flexibilité et un
effet de levier lors des renouvellements de circuits. En règle générale, l'utilisation d'Internet comme
moyen de transport coûte moins cher que l'utilisation d'un VPN MPLS pour un transport et peut
générer des économies pour votre entreprise.

DMVPN
DMVPN est une solution de routage de superposition Cisco qui corrige les carences des tunnels VPN
de site à site. Les emplacements distants (spokes) établissent un tunnel statique vers un
emplacement centralisé (hub), mais sont également capables d'établir une connectivité avec d'autres
emplacements distants avec un tunnel dynamique spoke-to-spoke.
La formation de tunnel spoke-to-spoke de manière dynamique permet une connectivité à maillage
complet sans la gestion supplémentaire dans le cas d’une connectivité à maillage complet statique.
Les tunnels de spoke-to-spoke sont supprimés après une certaine période d'inactivité, libérant ainsi
de la mémoire du routeur et du CPU. Étant donné que les tunnels de site à site sont dynamiques, les
routeurs spokes ne nécessitent pas autant de mémoire ou de processeur que les routeurs hub.

La figure 2-6 illustre un tunnel DMVPN où R1 est le hub et R2, R3 et R4 sont des routeurs spokes. R2
et R4 établissent un tunnel dynamique spoke-to-spoke pour une communication directe, et
finalement ce tunnel dynamique est libéré une fois qu'il n'est plus nécessaire.

DMVPN utilise les technologies suivantes :

■ Tunnels d'encapsulation de routage générique multipoint (mGRE) : mGRE est un protocole de

tunnel de superposition qui transporte plusieurs protocoles tels que IPv4, IPv6, IPX (Internetwork
Packet Exchange), etc. Contrairement aux tunnels VPN IPsec, les tunnels GRE se voient attribuer une
interface réelle et nécessitent un adressage sur l'interface du tunnel. Contrairement aux tunnels GRE
traditionnels qui sont qui sont des tunnels point à point, mGRE prend en charge plus de deux
appareils sur le réseau de superposition.

■ Protocole de résolution du prochain bond (NHRP) : en raison de la nature dynamique du DMVPN,

les routeurs spoke DMVPN ont besoin d'une méthode pour associer l'adresse IP du point de
terminaison du tunnel à l'adresse IP de transport pour les autres routeurs DMVPN. NHRP fournit une
résolution IP aux clients (NHC) en enregistrant et en interrogeant un serveur (NHS). Initialement
utilisé pour mapper les adresses IP sur les réseaux .X25, il est désormais utilisé pour résoudre les
adresses de point de terminaison de tunnel en adresses IP logiques du cloud de réseau DMVPN.

■ Protection du tunnel IPsec (facultatif): IPsec utilise la cryptographie pour authentifier et crypter le
trafic réseau IP sur les réseaux. Il prend en charge Internet Key Exchange (IKE) v1 et v2 et les
technologies de chiffrement de nouvelle génération Suite-B.

DMVPN offre les avantages suivants par rapport au VPN IPsec de site à site traditionnel:

■ Aucune nouvelle configuration sur le hub : l'ajout de routeurs spoke supplémentaires ne nécessite
aucune configuration supplémentaire sur le routeur hub. Cela simplifie la maintenance continue des
routeurs hub. La résolution de l'adressage IP des points d'extrémité des spokes est réalisée avec
NHRP.
■ Communication entre les spokes: les phases 2 et 3 du NHRP prennent en charge la connectivité
réseau dynamique entre les spokes. Tous les routeurs DMVPN bénéficient des avantages d'une
topologie à maillage complet mais conservent les ressources du routeur en créant des tunnels entre
les points de terminaison VPN uniquement selon les besoins. La communication spoke-to-spokes
réduit la latence et la gigue, tout en évitant la consommation de bande passante aux emplacements
des hubs.

■ Adressage IP du tunnel : DMVPN utilise des tunnels GRE qui utilisent l'adressage IP dans le réseau
de superposition. Les adresses IPv4 ou IPv6 peuvent être utilisées dans la superposition ou pour
fournir une connectivité dans la sous-couche. Les protocoles de routage peuvent s'exécuter au-
dessus du tunnel DMVPN, permettant ainsi des mises à jour réseau dynamiques par rapport à la mise
à jour manuelle des tables de routage lors de l'utilisation de tunnels VPN IPsec.

■ Le chiffrement est facultatif: les avantages du routage de superposition peuvent être obtenus avec
les réseaux MPLS L3VPN sans consommation inutile de ressources de routeur pour le chiffrement.
Les tunnels DMVPN fonctionnant sur des réseaux non sécurisés (comme Internet) chiffrent
généralement la charge utile avec les technologies IPsec.

■ Prise en charge de la multidiffusion: les tunnels VPN IPsec natifs ne prennent pas en charge le trafic
de multidiffusion (multicast), ce qui complique la capacité de transmettre le trafic de multidiffusion
des sites de succursale aux sites du siège. DMVPN fournit une prise en charge de la multidiffusion
entre les dispositifs hub-and-spoke pour les flux de trafic hub-to-spoke.

■ QoS par tunnel: DMVPN prend en charge la capacité du hub DMVPN de définir différentes
politiques de QoS et de bande passante pour chaque tunnel vers un routeur spoke en fonction du
modèle de connectivité du site.

GRE
Comme son nom l'indique, un tunnel GRE (Generic Routing Encapsulation) peut encapsuler presque
tous les types de données que nous pourrions envoyer à partir d'une interface de routeur physique.
En réalité, GRE peut encapsuler n'importe quel protocole de couche 3, ce qui le rend très flexible.

Le GRE en lui-même ne fournit aucune sécurité pour les données qu'il transmet ; cependant, un
paquet GRE peut être envoyé sur un VPN IPsec, entraînant la sécurisation du paquet GRE (et donc
son contenu). Une telle configuration est couramment utilisée, car IPsec ne peut protéger les
paquets IP unicast. Cette limitation entraîne des problèmes pour les protocoles de routage qui
utilisent des paquets multicast IP. Heureusement, un tunnel GRE peut encapsuler des paquets
multicast IP. Le paquet GRE résultant de cette encapsulation est donc un paquet unicast IP, qui peut
par la suite ensuite être protégé par un tunnel IPsec.

À titre d'exemple, considérons la figure 2-3. Les routeurs R1 et R2 doivent former une relation OSPF
dans le cloud du fournisseur d’accès. De plus, le trafic entre ces deux routeurs doit être protégé.
Alors qu'IPsec peut protéger le trafic IP unicast, OSPF communique via des messages de type
multicast IP. Par conséquent, tout le trafic entre les routeurs R1 et R2 (y compris les paquets
multicast OSPF) est encapsulé à l'intérieur d'un tunnel GRE. Ceux Les paquets GRE, qui sont des
paquets IP unicast, sont ensuite envoyés et protégés par un Tunnel IPsec.
Considérons une topologie VPN distribuée sur laquelle plusieurs sites distants ont une connexion
VPN à un site central. Dans une telle topologie, si un site distant souhaitait communiquer en toute
sécurité avec un autre site distant, le trafic se déplacerait entre les sites par l’intermédiaire du siège,
plutôt que directement entre les sites distants. Une solution à ce problème de cheminement sous-
optimal serait de créer un maillage complet de connexions VPN IPsec entre tous les sites : ce qui
fournirait une connexion VPN IPsec directe entre deux sites distants. Cependant, une telle solution
pourrait être complexe et coûteuse à mettre en place.

Une solution plus économique qui fournirait un cheminement optimal sans nécessiter un maillage
complet est la technologie DMVPN (Dynamic Multipoint VPN). DMVPN permet de manière
dynamique la création et la libération de Tunnel VPN entre deux sites distants selon les besoins.
Considérons la figure 2-5, qui montre une topologie Hub-and-spoke (un nœud central est connecté à
plusieurs nœuds distants), avec comme hub (nœud central) le siège de l’entreprise. Les succursales B
et C veulent établir une communication entre eux. Par conséquent, un tunnel DMVPN est créé entre
ces deux emplacements.

Pour mettre en place la technologie DMVPN, les protocoles suivants sont requis
 - GRE Multipoint
- NHRP (Next Hop Resolution Protocol)
- IPsec

Chacun de ces protocoles est discuté dans la partie suivante.

GRE multipoint

L'évolutivité offerte par DMVPN est rendue possible, en partie, grâce au GRE multipoint (mGRE), qui
permet à un routeur de prendre en charge plusieurs tunnels GRE sur une même interface GRE.

Certaines des caractéristiques de mGRE sont les suivantes :

■ Comme le GRE traditionnel, mGRE peut transporter une grande variété de protocoles (par
exemple, unicast, multicast et broadcast).

■ Dans une topologie hub-and-spoke, un routeur concentrateur peut avoir une seule interface
mGRE, et plusieurs tunnels peuvent utiliser cette même interface.

■ Une interface configurée pour mGRE est capable de former dynamiquement un tunnel GRE en
utilisant le protocole NHRP pour découvrir l'adresse du nœud à l'extrémité du tunnel.

Nous pouvons déployer mGRE dans une topologie hub-and-spoke ou une topologie spoke-to-spoke.
La figure 2-6 illustre une topologie de hub-and-spoke, où seul le routeur concentrateur est configuré
avec une interface mGRE.

La figure 2-7 montre une topologie mGRE de spoke-to-spoke. Avec une topologie mGRE en étoile,
chaque routeur possède une interface mGRE, qui permet aux sites du réseau de s'interconnecter en
utilisant un maillage partiel ou une collection de tunnels à maillage complet.
NHRP
La technologie DMVPN nécessite que les routeurs exécutent le protocole NHRP (Next Hop Resolution
Protocol), qui utilise un modèle client-serveur. Un routeur désigné comme routeur concentrateur
agit comme serveur. Le reste des routeurs, désignés comme spoke, agissent en tant que clients. Les
clients NHRP sont configurés avec l'IP l'adresse du serveur NHRP, et lorsqu'un client est mis en ligne,
il communique au serveur à la fois son adresse IP physique (attribuée à son interface physique) et
son adresse IP logique (attribuée à son interface de tunnel virtuel) qui vont être utilisées pour ses
tunnels.

À titre d'exemple, examinons la figure 2-8.

Dans la figure 2-8, le routeur du siège social fait office de concentrateur et les routeurs des sites
distants A, B et C agissent comme des spokes. Lorsque les routeurs des sites distants se mettent en
ligne, ils annoncent l'adresse IP de leur interface physique qui sera utilisée pour la formation du
tunnel, ainsi que l'adresse IP de l'interface du tunnel virtuel. Par exemple, le routeur du site A
informe le routeur du siège social que l'adresse IP de son interface de tunnel virtuel est 10.0.0.1, et il
est disponible à l'adresse IP d'une interface physique de 192.0.2.1. Les routeurs des site B et C
envoient des informations similaires au routeur du siège. Par conséquent, le routeur du siège remplit
sa base de données NHRP.

Avec la base de données du concentrateur remplie, un « spoke » peut interroger le concentrateur

pour connaître l'adresse IP d'une interface physique correspondant à l'adresse IP d'une interface de
tunnel spécifique. En tant qu’exemple, notons dans la figure 2-9 comment NHRP aide le routeur de la
branche C à configurer un tunnel GRE avec le routeur branche B.

Dans la figure 2-9, le routeur de la branche C doit former dynamiquement un tunnel GRE avec le
Routeur de la branche B. Le routeur de la branche C sait que l'autre extrémité du tunnel qu'il veut le
formulaire a une adresse IP de 10.0.0.2. Cependant, le routeur de la branche C ne connaît pas
l'adresse IP de l'interface physique sur le routeur de la branche B correspondant à l'adresse IP
virtuelle du tunnel. Le processus de découverte de l'adresse IP physique distante et la formation du
tunnel est le suivant :

 Étape 1 : Le routeur de la branche C envoie une requête NHRP au routeur concentrateur

pour lui demander l'adresse IP de l'interface physique associée à l'adresse IP d'une interface
de tunnel du 10.0.0.2.
 Étape 2 : Le routeur concentrateur (c'est-à-dire le routeur du siège social) vérifie sa base de
données NHRP et répond à la requête, en indiquant au routeur de la succursale C que
l'interface physique de L'adresse IP correspondant à l'adresse IP de l'interface tunnel de
10.0.0.2 est 203.0.113.1, qui est l'adresse IP du routeur de la branche B.
  Étape 3 : Ayant appris dynamiquement l'adresse IP de l'interface physique dans la branche
Routeur B, le routeur succursale C établit un tunnel GRE avec le routeur de la succursale B.

IPsec
La sécurité dans un DMVPN est assurée par IPsec. Les quatre fonctions de sécurité suivantes sont
offerts par IPsec:

■ Confidentialité : la confidentialité des données est assurée par le cryptage des données. Si un tiers
intercepte les données cryptées, la partie ne pourrait pas interpréter les données.

■ Intégrité : l'intégrité des données garantit que les données ne sont pas modifiées en transit. Par
exemple, les routeurs à chaque extrémité d'un tunnel pourraient calculer une valeur de somme de
contrôle ou une valeur de hachage pour les données, et si les deux routeurs calculent la même
valeur, les données n'ont probablement pas été modifié en transit.

■ Authentification : l'authentification des données permet aux parties impliquées dans une
conversation de vérifier que l'autre partie est la partie qu'elle prétend être.

■ Antireplay: IPsec utilise une protection antireplay pour garantir que les paquets envoyés ne sont
pas envoyés en double. Par exemple, un attaquant pourrait capturer des paquets qui contiennent un
identifiant valide d’unhôte et essayez de lire ces paquets afin de pouvoir accéder à l'hôte.
Cependant, IPsec utilise des numéros de séquence pour déterminer si un paquet doit être considéré
comme un paquet en double et aucun paquet en double n'est transmis.

Parmi ces services IPsec, le chiffrement et l'authentification sont particulièrement utiles dans un
réseau DMVPN. Par exemple, le chiffrement peut aider à protéger le trafic circulant entre les sites
(via Internet ou via le cloud d'un fournisseur de services). De plus, l'authentification peut assurer que
les tunnels GRE ne sont pas configurés dynamiquement avec des rayons indésirables.

IPsec utilise une collection de protocoles pour fournir ses fonctionnalités. L'un des principaux
protocoles IPsec est utilisé par le protocole Internet Key Exchange (IKE). Plus précisément, IPsec peut
fournir le cryptage entre pairs authentifiés à l'aide de clés de cryptage, qui sont périodiquement
modifiées. Toutefois, IKE permet à un administrateur de configurer manuellement les clés.