Vous êtes sur la page 1sur 105

Numéro d’ordre : 19/STI/TCO Année Universitaire 2014/2015

UNIVERSITE D’ANTANANARIVO
-------------------
ECOLE SUPERIEURE POLYTECHNIQUE
-------------------
DEPARTEMENT TELECOMMUNICATION

Mémoire en vue de l’obtention


De Master à visée Professionnelle
Titre : Ingénieur

Mention: Télécommunication

Parcours: Système de Traitement de l’Information

Par : RAZAFIARINOMENJANAHARY Antsanirina Miora

SECURISATION DES DONNEES ECHANGEES ENTRE


DES SITES A TRAVERS LE RESEAU MPLS PAR LA
TECHNOLOGIE DMVPN
Soutenu le 22 Avril 2016 devant la commission d’Examen composée de :

Président :

Monsieur RAKOTONDRAINA Tahiana Ezéchiel

Examinateurs :

Madame ANDRIANTSILAVO Haja Samiarivonjy

Monsieur ANDRIAMANALINA Ando Nirina

Monsieur RANDRIAMIHAJARISON Mparany Jimmy

Directeur de mémoire :

Monsieur ANDRIAMIASY Zidora


ii
REMERCIEMENTS

Ayant donné la force, le courage et l’intelligence, je rends grâce à Dieu que j’ai pu parvenir
à bien mener à l’élaboration de ce mémoire.

Je remercie Monsieur ANDRIANAHARISON Yvon, Professeur Titulaire et Directeur de l’Ecole


Supérieure Polytechnique d’Antananarivo, de m’avoir accueilli au sein de son établissement.

Je tiens également à exprimer mes sincères remerciements à Monsieur RAKOTOMALALA


Mamy Alain, Maître de conférences et Chef de Département Télécommunication, pour la richesse
et la qualité de la formation qui m’a été offerte durant mes études à l’Ecole Supérieure
Polytechnique d’Antananarivo.

J’adresse aussi mes remerciements à Monsieur RAKOTONDRAINA Tahiana Ezéchiel, Maître de


conférences au sein de Département Télécommunication, d’avoir fait honneur de présider le jury.

Je tiens à témoigner ma gratitude et ma reconnaissance à Monsieur ANDRIAMIASY Zidora,


Maître de conférences au sein de Département Télécommunication, pour m’avoir donné son
encadrement tout au long du travail. Il m’a été précieux de recevoir ses valeureux conseils et
recommandations, et son assistance a permis à ce mémoire d’aboutir.

Je remercie chaleureusement tous les membres du jury d’avoir bien voulu apporté leur
soutien pour examiner et améliorer l’ensemble de ce travail :

Madame ANDRIANTSILAVO Haja Samiarivonjy


Monsieur ANDRIAMANALINA Ando Nirina
Monsieur RANDRIAMIHAJARISON Mparany Jimmy

Sans oublier tous les enseignants qui a patiemment contribué à notre formation au sein de l’Ecole
Supérieure Polytechnique d’Antananarivo, ainsi que les personnels.

Enfin, j’adresse mes vifs remerciements à toute ma famille, et surtout mes parents pour leur
soutien moral, spirituel et financier tout au long de mes années d’études au sein de l’Ecole
Supérieure Polytechnique d’Antananarivo et durant la réalisation de ce travail. Et, j'adresse mes
sincères remerciements à tous mes amis et à tous ceux qui ont contribué de près ou de loin pour
leur soutient et leur encouragement au cours de la réalisation de ce mémoire.

i
TABLE DES MATIERES
REMERCIEMENTS........................................................................................................................ i

TABLE DES MATIERES .............................................................................................................. ii

NOTATIONS ET ABREVIATIONS............................................................................................ vi

INTRODUCTION GENERALE ................................................................................................... 1

CHAPITRE 1 : CONCEPT DE BASE DU RESEAU INFORMATIQUE ............................... 2

1.1 Introduction ..................................................................................................................... 2

1.2 Généralités sur les réseaux informatiques .................................................................... 2

1.2.1 Définition .................................................................................................................... 2

1.2.2 Classification des réseaux .......................................................................................... 3

1.3 Les réseaux à commutation ............................................................................................ 3

1.3.1 Généralité sur la commutation .................................................................................. 3

1.3.2 La commutation de circuits........................................................................................ 4

1.3.3 La commutation de messages..................................................................................... 5

1.3.4 La commutation de paquets ....................................................................................... 6

1.3.5 La commutation de cellules ....................................................................................... 7

1.4 Organisation du modèle de référence ............................................................................ 7

1.4.1 Concepts ayant conduit à la modélisation ................................................................. 7

1.4.2 Propriétés du modèles OSI ......................................................................................... 8

1.4.3 Descriptions des couches du modèle OSI .................................................................. 9

1.5 Le modèle TCP/IP ......................................................................................................... 13

1.5.1 Origine ...................................................................................................................... 13

1.5.2 Principe architectural............................................................................................... 13

1.5.3 Description générale de la pile applications TCP/IP .............................................. 14

1.6 Evolutions technologiques des protocoles des réseaux de transport ........................ 16

1.6.1 Le protocole X.25 ...................................................................................................... 16

1.6.2 Le Frame Relay ........................................................................................................ 17

ii
1.6.3 L’ATM ...................................................................................................................... 17

1.7 Conclusion ...................................................................................................................... 18

CHAPITRE 2 : VUE D’ENSEMBLE DURESEAU MPLS ..................................................... 19

2.1 Introduction ................................................................................................................... 19

2.2 Présentation des concepts de MPLS ............................................................................ 19

2.2.1 Historique ................................................................................................................. 19

2.2.2 Définition .................................................................................................................. 20

2.2.3 Objectifs .................................................................................................................... 21

2.2.4 Architecture du réseau MPLS ................................................................................. 21

2.3 La commutation de labels ............................................................................................. 25

2.3.1 Définition de label .................................................................................................... 25

2.3.2 Distribution des labels .............................................................................................. 26

2.3.3 Déroulement de la commutation de label ................................................................ 27

2.4 Notions de base de la théorie des graphes ................................................................... 29

2.4.1 Présentation .............................................................................................................. 29

2.4.2 Théorème .................................................................................................................. 29

2.5 Applications de MPLS .................................................................................................. 31

2.5.1 L’AToM ou Any Transport over MPLS .................................................................. 31

2.5.2 Le support des réseaux privés virtuels : MPLS VPN .............................................. 31

2.5.3 Le support de la qualité de service : MPLS QoS ..................................................... 32

2.5.4 L’ingénierie de trafic : MPLS TE ............................................................................ 32

2.6 Avantages et inconvénients de MPLS.......................................................................... 33

2.6.1 Les avantages ............................................................................................................ 33

2.6.2 Les inconvénients ..................................................................................................... 35

2.7 Conclusion ...................................................................................................................... 35

CHAPITRE 3 : LA TECHNOLOGIE DMVPN ...................................................................... 36

3.1 Introduction ................................................................................................................... 36

iii
3.2 Origine ............................................................................................................................ 36

3.3 Définitions ...................................................................................................................... 38

3.4 Principes de DMVPN .................................................................................................... 39

3.4.1 Fonctionnement........................................................................................................ 39

3.4.2 Modèles de déploiement de la communication........................................................ 40

3.4.3 Les différents types d’architectures DMVPN .......................................................... 41

3.5 Les composants de DMVPN ......................................................................................... 43

3.5.1 Le protocole GRE ..................................................................................................... 43

3.5.2 Le protocole IPSec.................................................................................................... 45

3.5.3 Les protocoles de routage utilisés ............................................................................ 50

3.5.4 Le protocole NHRP .................................................................................................. 54

3.6 Les avantages de DMVPN ............................................................................................ 55

3.7 Conclusion ...................................................................................................................... 56

CHAPITRE 4 : SIMULATION SOUS GNS3 ET SECURISATION DES DONNEES


ENTRE LES DIFFERENTS SITES TRAVERSANT LE RESEAU MPLS............................ 57

4.1 Introduction ................................................................................................................... 57

4.2 Choix du simulateur ...................................................................................................... 57

4.3 Présentations des outils de simulations utilisés........................................................... 57

4.3.1 Le simulateur GNS3 ................................................................................................. 57

4.3.2 L’analyseur du réseau Wireshark ........................................................................... 59

4.4 Mise en œuvre de la sécurité......................................................................................... 60

4.4.1 Présentation des équipements .................................................................................. 60

4.4.2 Présentation de la topologie ..................................................................................... 61

4.4.3 Plan d’dressage du réseau ....................................................................................... 61

4.5 Interprétations des résultats de la simulation............................................................. 62

4.5.1 Vérification dans le réseau MPLS ........................................................................... 62

4.5.2 Test des sites et résultats ........................................................................................... 66

iv
4.6 Conclusion ...................................................................................................................... 68

CONCLUSION GENERALE ...................................................................................................... 69

ANNEXE 1 EXTRAIT DE LA CONFIGURATION DES SITES .................................... 70

ANNEXE 2 EXTRAIT DE LA CONFIGURATION DU RESEAU MPLS ..................... 77

ANNEXE 3 ALGORITHME DE DIJKSTRA ..................................................................... 84

ANNEXE 4 ALGORITHME DUAL .................................................................................... 86

ANNEXE 5 LE PROTOCOLE ESP..................................................................................... 88

BIBLIOGRAPHIE ........................................................................................................................ 90

FICHE DE RENSEIGNEMENT ................................................................................................. 92

RESUME .......................................................................................................................................... 1

ABSTRACT ..................................................................................................................................... 1

v
NOTATIONS ET ABREVIATIONS
Notations mathématiques

( 1, t1), …, ( k, tk) Paires origine-destination du multiflot

(, ) Capacité de l’arc

Quantité du multiflot entrant


∈ ( )

Quantité du flot entrant


∈ ( )

Quantité du flot entrant


∈ ( )

Quantité du multiflot entrant


∈ ( )

Arc d’indice i

Nœud d’indice i

(S) Ensemble des arcs entrants du cocycle

(S) Ensemble des arcs sortants du cocycle

A Ensemble d’arcs

ca Capacité des arcs

D ou dk Demande à chaque paire origine-destination du flot ou du multiflot

Fk Vecteur flot

m Nombre d’arcs du graphe

N Ensemble de nœuds

n Nombre de nœuds du graphe

Ensemble des paires origine-destination du multiflot

ou sk Origine du flot ou du multiflot


ou tk Destination du flot ou du multiflot

( ) Ensemble des arcs incidents aux nœuds de S

vi
Abréviations techniques

AH Authentication Header

ARIS Architecture of Integrated Information Systems

ARP Address Resolution Protocol

ARPANET Advanced Research Projects Agency Network

ATM Asynchronous Transfer Mode

AToM Any Transport over MPLS

BGP Border Gateway Protocol

CE Customer Edge router

DARPA Defense Advanced Research Project Agency

DMVPN Dynamic Multipoint VPN

DNS Domain Name System

DUAL Diffusing Update Algorithm

EIGRP Enhanced Interior Gateway Routing Protocol

E-LSR Edge LSR

ESP Encapsulation Security Payload

ETCD Equipement Terminal de Circuit de Données

ETTD Equipement Terminal de Traitement de Données

FEC Forward Error Correction

FTP File Transfert Protocol

GNS3 Graphical Network Simulator 3

GRE Generic Routing Encapsulation

HTTP Hyper Text Transfer Protocol

IBM International Business Machines

vii
ICMP Internet Control Message Protocol

IETF Internet Engineering Task Force

IGP Interior Gateway Protocol

IGRP Interior Gateway Routing Protocol

I-LER Ingress LER

IP Internet Protocol

IPSec Internet Protocol Security

IPX Internetwork Packet Exchange

ISO International Organization for Standardization

ISP Internet Service Provider

LAN Local Area Network

LDP Label Distribution Protocol

LER Label Edge Router

LFIB Label Forwarding Information Base

LIB Label Information Base

LSP Label Switching Path

LSR Label Switch Router

MAN Metropolitain Area Network

mGRE Multipoint Generic Routing Encapsulation

MPLS MultiProtocol Label Switching

NBMA Non-Broadcast Multi-Access

NCP Network Control Protocol

NCP Network Control Protocol

NHC NHRP Client


NHRP Next Hop Resolution Protocol

viii
NHS NHRP Serveur
OSI Open Systems Interconnection

OSPF Open Short Path First

OSPF-TE OSPF-Trafic Engineering

P Provider device

PAN Personal Area Network

PE Provider Edge router

PPP Point-to-Point Protocol


QoS Quality of Service

RARP Reverse ARP

RIP Routing Information Protocol

RNIS Réseau Numérique à Intégration de Services

RSVP Resource ReSerVation Protocol

RSVP-TE RSVP-Trafic Engineering

SDH Synchronous Digital Hierarchy

SLIP Serial Line Internet Protocol

SMTP Simple Mail Transfer Protocol

SNMP Simple Network Management Protocol

SSH Secure SHell

SSL Secure Socket Layer

TCP Transmission Control Protocol

TELNET TELecommunication NETwork

TFTP Trivial FTP


TLS Transport Layer Security

TTL Time To Live

ix
UDP User Datagram Protocol

UIT Union Internationale des Télécommunications

VPN Virtual Private Network

WAN Wide Area Network

WDM Wavelenght Division Multiplexing

x
INTRODUCTION GENERALE

Notre société est de plus en plus dépendante de l'informatique. Quelles que soient nos activités,
nous sommes confrontés directement ou indirectement à des ordinateurs: procédures
administratives, virement d'argent, réservations, télécommunications, etc.
Dans le domaine de la télécommunication, le réseau informatique joue un rôle important pour le
transfert et l’échange des informations entre plusieurs utilisateurs distants. L’émergence des
nouveaux services de communications d’aujourd’hui demandent une très bonne qualité de service,
les réseaux MPLS ou MultiProtocol Label Switching sont devenus les réseaux les plus utilisés
dans les structures des opérateurs. Ceux-ci permettent l’utilisation de l’ingénierie de trafic pour
éviter les congestions et améliorer le transport du trafic. De temps en temps, des problèmes de
sécurité sont dévoilés, tous les éléments intervenant dans le traitement des données sont
susceptibles de connaître des défaillances qui menacent la sécurité du système d’information car
parfois les données échangées peuvent être modifié ou même perdu durant leur transfert par des
agents malveillants. Il est donc nécessaire d’assurer sa protection, afin de lutter contre les menaces
qui pèsent sur l’intégrité, la confidentialité et la disponibilité des ressources. Beaucoup de
compétences sont nécessaires pour assurer une sécurité optimale et il existe des moyens efficaces
pour faire face à ces agressions.
La technologie DMVPN ou Dynamic Multipoint Virtual Private Network est une solution pour
sécuriser les données à travers ce réseau MPLS.
Et c’est ainsi que ce mémoire consiste à la « sécurisation des données échangées entre des sites à
travers le réseau MPLS par la technologie DMVPN ». Notre objectif est alors de sécuriser les
données échangées entre les sites à travers le réseau MPLS en utilisant le principe de la
technologie DMVPN. Pour se faire, ce présent rapport comporte quatre grands chapitres dont le
premier chapitre traitera le concept de base sur le réseau informatique. Le deuxième chapitre fera
l’objet d’une vue d’ensemble sur le réseau MPLS tandis que le troisième chapitre portera sur
l’étude de la technologie DMVPN. Et pour terminer, dans le dernier chapitre, nous allons faire une
simulation sur Graphical Network Simulator 3 ou GNS3 pour tester le fonctionnement de la
technologie DMVPN à travers le réseau MPLS.

1
CHAPITRE 1

CONCEPT DE BASE DU RESEAU INFORMATIQUE

1.1 Introduction
Le développement rapide des moyens de calcul et l’importance croissante des systèmes
d’information ont engendré la multiplicité des techniques réseaux. La complexité croissante des
besoins de communication et la diversité des solutions adoptées ont très vite fait apparaître la
nécessité de définir un modèle complet de communication ou architecture protocolaire réseau.
Nous allons parler du concept de base du réseau informatique le long de ce chapitre.

1.2 Généralités sur les réseaux informatiques

1.2.1 Définition
Un réseau informatique est un ensemble des ordinateurs et périphériques reliés entre eux grâce à
des supports de transmission dans le but d’échanger des données. Les supports de transmission
peuvent être classés en deux grandes catégories :
-les supports à guide physique : les paires torsadées, des câbles coaxiaux, les fibres optiques
-les supports sans guide physique : les ondes hertziens, radioélectriques, ultraviolettes, infrarouges

Figure 1.01 : Le réseau : ensemble de ressources mises en commun

2
Le réseau illustré par la figure 1.01 est composé de nœuds. Les nœuds d’accès, situés à la
périphérie du réseau, permettent le raccordement des usagers par une liaison dénommée liaison
d’abonné. L’ensemble des moyens mis en œuvre pour raccorder un usager est souvent désigné par
le terme de boucle locale. Les nœuds sont généralement des routeurs au point d’accès et des
commutateurs au cœur du réseau. [1] [3]

1.2.2 Classification des réseaux


Le langage courant distingue les réseaux selon différents critères. La classification traditionnelle,
fondée sur la notion d’étendue géographique, correspond à un ensemble de contraintes que le
concepteur devra prendre en compte lors de la réalisation de son réseau. Généralement, on adopte
la terminologie suivante :
- PAN est le plus petit réseau permettant de connecter un ordinateur à plusieurs périphériques
comme des souris, des claviers et des appareils électroniques personnels via la technologie
Bluetooth ou infrarouge. C’est un réseau constitué autour d’une personne, de l’ordre de quelques
mètres.
- LAN, réseau local d’étendue limitée à une circonscription géographique réduite, ces réseaux
destinés au partage local de ressources informatiques (matérielles ou logicielles) offrent des débits
élevés de 10 à 100 Mbit/s. il est constitué de quelques équipements informatiques (ordinateur,
imprimante et autres périphériques) limités à une entreprise, à un service d’entreprise, à un
immeuble … Par exemples, réseau dans un bâtiment.
- MAN, d’une étendue de l’ordre d’une centaine de kilomètres, les MAN sont généralement
utilisés pour fédérer les réseaux locaux ou assurer la desserte informatique de circonscriptions
géographiques importantes (réseau de campus). C’est donc une collection de réseaux locaux. Il
relie des ordinateurs situé dans le même espace géographique à l’échelle d’une ville.
- WAN, ces réseaux assurent généralement le transport d’information sur de grande distance.
C’est un réseau qui relie des réseaux locaux et métropolitains entre eux. Un réseau étendu peut
être réparti sur tout un pays ou plusieurs pays du monde. Exemple : Internet. Lorsque ces réseaux
appartiennent à des opérateurs, les services sont offerts à des abonnés contre une redevance. Les
débits offerts sont très variables de quelques kbit/s à quelques Mbit/s. [1] [2]

1.3 Les réseaux à commutation

1.3.1 Généralité sur la commutation


Le concept de réseau à commutation est né de la nécessité de mettre en relation un utilisateur avec
n’importe quel autre utilisateur (relation de 1 à 1 parmi n ou interconnexion totale) et de

3
l’impossibilité de créer autant de liaisons point à point qu’il y a de paires potentielles de
communicants.

Figure 1.02 : L’interconnexion totale


Ainsi, pour réaliser l’interconnexion totale de 2 stations comme indique la figure 1.02, il suffit
d’une liaison ; pour 3 stations 3 liens... D’une manière générale, dans un réseau de N stations, pour
relier la station N aux N – 1 stations déjà connectées il faut (N – 1) liens. Soit, pour les N stations,
N(N-1) liens. En comptant de cette manière, on commet l’erreur de compter deux fois chaque lien
(le lien de A vers B est le même que le lien de B vers A). Le nombre total de liens nécessaires
dans un système de N nœuds est donc de:
( − 1)
!" # =
2 (1.01)

Il est indispensable de rechercher des techniques particulières pour optimiser le partage des
ressources, c’est l’objectif des techniques de commutation. Selon la technique employée pour «
relier » deux utilisateurs, on distingue la commutation de circuits, de messages, de paquets ou de
cellules.

1.3.2 La commutation de circuits


Dans la commutation de circuits, un lien physique est établi par juxtaposition de différents
supports physiques afin de constituer une liaison de bout en bout entre une source et une
destination. La mise en relation physique est réalisée par les commutateurs avant tout échange de
données et est maintenue tant que les entités communicantes ne la libèrent pas expressément. Il
faut faire l’établissement de connexion (circuit) entre la source et la destination avant la
transmission. Le circuit peut passer par plusieurs stations intermédiaires qui vont donc
réacheminer les informations. Une station qui reçoit émet aussitôt vers une autre station du circuit.

4
Figure 1.03 : Réseau à commutation de circuits ou spatiale
La constitution d’un chemin physique, emprunté par la suite par toutes les données transférées,
garantit l’ordonnancement des informations. Elles sont reçues dans l’ordre où elles ont été émises.
Cependant, les deux entités correspondantes doivent être présentes durant tout l’échange de
données, il n’y a pas de stockage intermédiaire. Les débits de la source et du destinataire doivent
être identiques. [3] [4]

1.3.3 La commutation de messages


En commutation de circuits, la régulation de trafic est réalisée à la connexion, s’il n’y a plus de
ressource disponible, de bout en bout, la connexion est refusée. Pour éviter d’avoir à sur-
dimensionner les réseaux, la commutation de messages, n’établit aucun lien physique entre les
deux systèmes d’extrémité. Le message est transféré de nœud en nœud et mis en attente si le lien
inter-nœud est occupé comme montre la figure1.04. Chaque bloc d’information c'est-à-dire
message constitue une unité de transfert (fichier, écran de terminal...) acheminée individuellement
par le réseau.
Le message est mémorisé, intégralement, par chaque nœud, et retransmis au nœud suivant dès
qu’un lien se libère. Le transfert réalisé, le lien est libéré. Assurant une meilleure utilisation des
lignes, la commutation de messages autorise un dimensionnement des réseaux à commutation de
messages inférieur à celui des réseaux à commutation de circuits. En cas de fort trafic, il n’y a pas
blocage du réseau mais seulement un ralentissement (attente de la libération d’un lien). La
mémorisation intermédiaire de l’intégralité des messages nécessite des mémoires de masse
importantes et augmente le temps de transfert. Les réseaux à commutation de messages ne sont
pas adaptés aux applications interactives. [3] [4]

5
Figure 1.04 : Réseau à commutation de messages

Les réseaux à commutation de messages assurent, par rapport à la commutation de circuits :


- le transfert, même si le correspondant distant est occupé ou non connecté ;
- la diffusion d’un même message à plusieurs correspondants ;
- le changement de format des messages ;
- l’adaptation des débits et éventuellement des protocoles.
La commutation de messages ne permet qu’un échange simplex et asynchrone, elle est plus un
service qu’un technique réseau. La commutation de messages est aujourd’hui le support logique
des réseaux de télex et des systèmes de messagerie modernes.
Ici on ne garantit pas le chemin entre l’émetteur et le récepteur mais l’acheminement du message,
indépendamment du chemin physique qu’il emprunte. Il n’y a pas d’établissement de connexion
entre les stations source et la destination. Chaque message est acheminé individuellement et
chaque station mémorise intégralement le message avant de le retransmettre. Il y a un entête
contenant l’adresse du destinataire. [3] [4]

1.3.4 La commutation de paquets


La commutation de paquets utilise une technique similaire à la commutation de messages.
Le message est découpé en fragments appelés paquets, de petite taille. Chaque paquet est
acheminé dans le réseau indépendamment du précédent. Contrairement à la commutation de
messages, il n’y a pas de stockage d’information dans les nœuds intermédiaires. Chaque nœud,
recevant un paquet, le réémet immédiatement sur la voie optimale. De ce fait, le séquencement des
informations n’est plus garanti. Pour reconstituer le message initial, le destinataire devra,
éventuellement, réordonnancer les différents paquets avant d’effectuer le réassemblage. Chaque
paquet est accompagné de son entête contenant notamment l’adresse du destinataire. Les paquets
voyagent sur le réseau en fonction de la disponibilité des nœuds intermédiaires.

6
Figure 1.05 : Principe de la commutation de paquets
Ce mode de transfert optimise l’utilisation des ressources, les paquets de différentes sources sont
multiplexés sur un même circuit. Cependant, chaque paquet doit contenir les informations
nécessaires à son acheminement ou un label identifiant le flux (multiplexage par étiquette). La
ressource offerte est banalisée et non attribuée à une communication particulière comme dans la
commutation de circuits. [3] [4]

1.3.5 La commutation de cellules


La commutation de cellules est aussi nommée le multiplexage par étiquette. La commutation de
paquets et le multiplexage par étiquette sont des techniques similaires.
Elles se différencient essentiellement par le fait que l’une admet des unités de données de taille
variable (commutation de paquets), l’autre des unités de données de taille fixe (commutation de
cellules). Cette dernière technique est utilisée par le protocole ATM. [3]

1.4 Organisation du modèle de référence

1.4.1 Concepts ayant conduit à la modélisation


Au sens du modèle OSI, on appelle système réel l’ensemble constitué d’un ou plusieurs
ordinateurs, logiciels, périphériques associés et opérateurs humains capables d’effectuer des
traitements informatiques et de s’échanger des informations. Un système est dit ouvert si les
communications entre les divers constituants s’effectuent conformément au modèle de référence
OSI.
La nécessité d’identifier des fonctions élémentaires distinctes, mais participant au processus de
communication, a conduit à étudier un modèle structuré en couches. La définition des différentes
couches descriptives du modèle respecte les principes suivants :
-Ne pas créer plus de couches que nécessaire, pour que le travail de description et d’intégration
reste simple, ce qui conduit à regrouper les fonctions similaires dans une même couche.
-Créer une couche chaque fois qu’une fonction peut être identifiée par un traitement ou une
technologie particulière mise en jeu.

7
-Créer une couche là où un besoin d’abstraction de manipulation de données doit être distingué.
Une interface sera créée à la frontière de chaque couche. Les figures 1.06 et 1.07 illustrent le
principe de la structuration du système. Chaque couche échange des unités de données avec la
couche correspondante sur l’entité distante (homologue) à l’aide d’un ensemble de règles appelé
protocole en utilisant pour cela les services de la couche inférieure. [3] [4]

1.4.2 Propriétés du modèles OSI


Deux fonctions essentielles peuvent être distinguées pour assurer l’interfonctionnement
d’applications informatiques à travers un réseau.

Figure 1.06 : Interfonctionnement des applications

Il faut, d’une part garantir un transport fiable des informations à travers le réseau, et d’autre part
organiser le dialogue entre les applications distantes (dialogue applicatif). Le modèle devant
masquer à l’utilisateur la répartition physique des ressources et offrir les mêmes performances
pour des ressources locales ou distantes.
Cet aspect conduit à spécifier deux ensembles de couches aux fonctionnalités spécifiques :
Les couches hautes essentiellement chargées d’assurer l’interfonctionnement des
processus applicatifs distants, ces couches sont dites orientées application ;
Les couches basses destinées à fournir aux couches hautes un service de transport fiable
de données, déchargeant les couches hautes de la gestion de tous les mécanismes de
localisation et de transfert d’information à travers un ou plusieurs systèmes relais, ces
couches sont dites orientées transport (ou transfert).

8
Figure 1.07 : Spécification en deux ensembles de couches
Les couches basses garantissent aux couches hautes que le transfert d’information se réalise
correctement. Il est donc nécessaire que la dernière couche basse destination s’assure, avant de
délivrer les données aux couches applicatives, que celles-ci sont correctes (contrôle debout en
bout). Les autres couches inférieures n’effectuent qu’un transfert de proche en proche entre
systèmes. Les couches hautes n’assurent, globalement, que l’organisation des échanges et
fournissent les mécanismes nécessaires à assurer l’interfonctionnement d’une ou plusieurs
applications distantes. [3] [4]

1.4.3 Descriptions des couches du modèle OSI

1.4.3.1 Fonctions des couches

Pour réaliser une communication à travers un ou plusieurs systèmes intermédiaires il faut :


• La couche physique
Elle fournit les moyens mécaniques, optiques, électronique et elle doit disposer des procédures
nécessaire à l’activation au maintient et à la désactivation de connexion physique nécessaire à la
transmission des trains de bits. Son service consiste à recevoir ou à restituer des bits. Elle permet
de relier les systèmes par un lien physique;
La couche physique n’a aucune connaissance de la structure des données nécessaires pour émettre
ou recevoir. La couche physique est responsable de la transmission des bits de données sur le
média physique en utilisant le signal approprié compatible avec les périphériques de
communication. [2] [4]
• La couche liaison
Elle assure la transmission d’information entre deux ou plusieurs systèmes. Elle détecte et corrige
les erreurs provenant de la couche physique car elle est la première couche qui gère les erreurs de

9
transmission. Elle permet de transformer l’échange de bits en échange de données, les bits reçus
sont groupés en unités appelées « trame».Elle contrôle aussi qu’une liaison peut être correctement
établie sur ce lien.
La couche liaison des données prend les données de la couche physique et fournit ses services à la
couche réseau. [2] [4]
• La couche réseau
Elle assure l’acheminement et le routage des données à travers un réseau. Ce réseau peut être
constitué de système intermédiaire ou relais (routeur). Les objets échangés sont des paquets. La
couche réseau gère les connexions entre les nœuds du réseau. Elle assure ainsi, qu’à travers le
relais, les données sont correctement acheminées et délivrées au bon destinataire Parfois, elle
assure également un contrôle du flux de données et la gestion de certains incidents de réseau. [2]
[4]
• La couche transport
Elle contrôle, avant de délivrer les données à l’application que le transport s’est réalisé
correctement de bout en bout. Elle doit maintenir une certaine qualité de transmission comme la
fiabilité ou l’optimisation de l’utilisation des ressources. Cette couche garantit que les données
reçues sont telles qu’elles ont été envoyées c'est-à-dire l’intégrité des données. Pour vérifier
l’intégrité des données, cette couche se sert des mécanismes de contrôle des couches inférieures.
C’est la couche transport qui va décider de réinitialiser la connexion et de reprendre le transfert
des données. [2] [4]
• La couche session
La couche session permet de définir le cadre d’un échange de donnée, avec un début, une fin, et
un ordre de transmission pour chaque interlocuteur. La couche session fournit aux entités
coopérants les moyens nécessaires pour synchroniser leur dialogue c'est-à-dire qu’elle fournit les
moyens de synchroniser les échanges de données. Elle peut les interrompre ou les reprendre tout
en assurant la cohérence de données échangées au sein de l’application. Ainsi, elle organise le
dialogue entre toutes les applications, en gérant des sessions d’échange. [2] [4]
• La couche présentation
Elle se charge de la représentation des informations que les entités s’échangent. La couche
présentation définit alors la syntaxe et la sémantique des informations transportées. Elle assure le
transport de données dans un format homogène entre applications et ordinateurs hétérogènes. Ceci
permet de masquer l’hétérogénéité des techniques de codages utilisés par les différents systèmes.

10
Pour que deux systèmes puissent se comprendre, ils doivent utiliser le même système de
représentation des données. La couche présentation gère cette représentation des données. [2] [4]
• La couche d’application
La couche d’application fournit au programme utilisateur, l’application proprement dite, un
ensemble de fonctions permettant le déroulement correct des programmes communicants :
-le transfert d’informations
-l’allocation de ressources
-l’intégrité et la cohérence des données accédées [2] [4]

COUCHES FONCTIONS
NIVEAU 1 : Couche Physique La couche physique assure un transfert de bits
sur le canal physique (support). À cet effet, elle
définit les supports et les moyens d’y accéder.
NIVEAU 2 : Couche Liaison de donnée La couche liaison assure, sur la ligne, un service
de transfert de blocs de données (trames) entre
deux systèmes adjacents en assurant le contrôle,
l’établissement, le maintien et la libération du
lien logique entre les entités.
Les protocoles de niveau 2 permettent, en outre,
de détecter et de corriger les erreurs inhérentes
aux supports physiques.

NIVEAU 3 : Couche Réseau La couche réseau assure, lors d’un transfert à


travers un système relais, l’acheminement des
données (paquets) à travers les différents nœuds
d’un sous-réseau (routage).
Les protocoles de niveau 3 fournissent les
moyens d’assurer l’acheminement de l’appel, le
routage, le contrôle de congestion, l’adaptation
de la taille des blocs de données aux capacités du
sous-réseau physique utilisé.
NIVEAU 4 : Couche Transport La couche transport est la couche pivot du
modèle OSI. Elle assure le contrôle du transfert
de bout en bout des informations (messages)
entre les deux systèmes d’extrémité. La couche
transport est la dernière couche de contrôle des
informations, elle doit assurer aux couches
supérieures un transfert fiable quelle que soit la
qualité du sous-réseau de transport utilisé.

11
NIVEAU 5 : Couche Session La couche session gère l’échange de données
(transaction) entre les applications distantes.
NIVEAU 6 : Couche Présentation Interface entre les couches qui assurent l’échange
de données et celle qui les manipule, cette
couche assure la mise en forme des données, les
conversions de code nécessaires pour délivrer à
la couche supérieure un message dans une
syntaxe compréhensible par celle-ci.
NIVEAU 7 : Couche Application La couche application, la dernière du modèle de
référence, fournit au programme utilisateur,
l’application proprement dite, un ensemble de
fonctions permettant le déroulement correct des
programmes communicants (transferts fichiers,
courrier électronique...).

Tableau 1.01 : Brève description des fonctionnalités de chaque couche

1.4.3.2 Architecture

Le but de l’OSI est de créer un modèle idéal ou chaque couche effectue une tâche définie et
dépend des services de la couche inférieure. Chaque couche donc fournit ses propres services à la
couche supérieure. La figure 1.08 ci-après illustre cette architecture. [3]

Figure 1.08 : Modèle de référence OSI

12
1.5 Le modèle TCP/IP

1.5.1 Origine
L’architecture TCP/IP a été développée, dans le milieu des années 1970, par la DARPA pour les
besoins d’interconnexion des systèmes informatiques de l’armée. TCP/IP, du nom de ses deux
protocoles principaux TCP et IP, est un ensemble de protocoles permettant de résoudre les
problèmes d’interconnexion en milieu hétérogène. À cet effet, TCP/IP décrit un réseau logique
(réseau IP) au-dessus du ou des réseaux physiques réels auxquels sont effectivement connectés les
ordinateurs.

Figure 1.09 : Le réseau logique IP et les sous-réseaux physiques réels (SRx)


TCP/IP a remplacé en 1983 le protocole NCP dans ARPANET, ancêtre de l’Internet. Aujourd’hui,
TCP/IP est le protocole standard de tous les réseaux, du LAN au WAN. De récentes adaptations
autorisent les flux multimédia et, en particulier, la voix. [3] [4]

1.5.2 Principe architectural


Précédant le modèle OSI, TCP en diffère fortement, non seulement par le nombre de couches,
mais aussi par l’approche. Le modèle OSI spécifie des services (approche formaliste), TCP/IP des
protocoles (approche pragmatique). Développé au-dessus d’un environnement existant, TCP/IP ne
décrit, à l’origine, ni de couche physique ni de couche liaison de données. Les applications
s’appuient directement sur le service de transport. L’architecture TCP/IP ne comprend que 2
couches : la couche transport (TCP) et la couche inter-réseau (IP). La figure 1.10compare les deux
architectures.

13
Figure 1.10 : Le modèle OSI et l’architecture TCP/IP
La couche transport, sur laquelle s’appuient directement les applications, fournit deux types de
service: un service en mode connecté (TCP) comparable en ce qui concerne les services rendus et
un service de transport allégé UDP qui n’offre qu’un service de type best effort (datagramme). La
couche réseau (IP) présente les mêmes fonctionnalités que la couche réseau d’ISO en mode non
connecté (mode datagramme), et les services rendus sont comparables à ceux de la norme ISO. [3]
[4]

1.5.3 Description générale de la pile applications TCP/IP


L’architecture TCP/IP comprend de nombreux programmes applicatifs, utilitaires et protocoles
complémentaires. À l’origine TCP/IP ne spécifiait aucun protocole de ligne, il s’appuyait sur les
réseaux existants. L’utilisation massive de TCP/IP a fait apparaître des réseaux tout IP et la
nécessité de disposer d’un protocole de liaison. De même, TCP/IP a été adapté aux protocoles dits
« Haut Débit » comme le Frame Relay, l’ATM ou Asynchronous Transfer Mode… qui constituent
aujourd’hui le cœur de la plupart des réseaux privés et d’opérateurs.

Figure 1.11 : Protocoles et applications de TCP/IP

14
Les principaux protocoles et applications de l’environnement TCP/IP sont :
Protocoles Descriptions
HTTP Assure le transfert de fichiers hypertextes entre
un serveur Web et un client Web
FTP Système de manipulation de fichiers à distance
(transfert, suppression, création...)
TELNET Système de terminal virtuel, permet l’ouverture
de sessions avec des applications distantes
SMTP Offre un service de courrier électronique
TFTP Version allégée du protocole FTP
DNS Système de bases de données réparties assurant
la correspondance d’un nom symbolique et
d’une adresse Internet (adresse IP)
RIP Protocole de routage (vecteur distance) utilisé
dans Internet
SNMP Devenu le standard des protocoles
d’administration de réseau
ICMP Assure un dialogue IP/IP et permet notamment
la signalisation de la congestion, la
synchronisation des horloges et l’estimation
des temps de transit... Il est utilisé par
l’utilitaire Ping qui permet de tester la présence
d’une station sur le réseau

ARP Utilisé pour associer une adresse logique IP à


une adresse physique MAC (Medium Access
Control, adresse de l’interface dans les réseaux
locaux) ;

RARP Permet l’attribution d’une adresse IP à une


station
OSPF Protocole de routage du type état des liens, il a
succédé à RIP

15
SLIP Protocole d’encapsulation des paquets IP, il
n’assure que la délimitation des trames
PPP Protocole d’encapsulation des datagrammes IP,
il assure la délimitation des trames, identifie le
protocole transporté et la détection d’erreurs

Tableau 1.02 : Les différents protocoles de l’environnement TCP/IP

1.6 Evolutions technologiques des protocoles des réseaux de transport

1.6.1 Le protocole X.25

1.6.1.1 Définition

Conçu par les français et britanniques, le protocole X.25 a été le premier protocole utilisé dans les
réseaux publics de données.
Le protocole X.25 couvre les trois premières couches du modèle OSI :
La couche physique, niveau bit ou X.25-1 ou X-21 qui fixe les règles d’échange pour :
l’établissement de la connexion avec un ETTD distant à travers un ou plusieurs réseaux,
l’échange des données en mode duplex intégral et la libération de la connexion.
La couche liaison, niveau trame ou X.25-2, garantit un transfert fiable de données sur une
liaison physique non fiable. L’une des stations est l’ETTD, l’autre le nœud de rattachement
au réseau ou ETCD.
La couche réseau, niveau paquet ou X.25-3, gère l’établissement, le maintien et la
libération des circuits virtuels ou CVC. Il assure aussi le transfert de données, le contrôle
de flux, la fragmentation et le réassemblage des paquets.
Le X.25 ne concerne que l’accès au réseau. Le réseau de transport peut utiliser, dans le réseau
interne, un protocole différent. Bien que considère actuellement comme un protocole d'ancienne
génération, le X.25 a été une technologie de commutation de paquets très répandue car elle
permettait d'obtenir une connexion très fiable sur des infrastructures câblées non fiables. Ce
résultat était obtenu grâce à des contrôles de flux et d'erreurs supplémentaires. Ces contrôles
alourdissaient cependant le protocole. [3] [5]

16
1.6.2 Le Frame Relay
Le protocole Frame Relay demande moins de temps de traitement que le X.25, du fait qu'il
comporte moins de fonctionnalités. Par exemple, il ne fournit pas de correction d'erreur, car les
réseaux étendus actuels permettent d'obtenir des connexions plus fiables que les anciens.
Lorsqu'il détecte des erreurs, le nœud Frame Relay abandonne tout simplement les paquets sans
notification. Toute correction d'erreur, telle que la retransmission des données, est à la charge des
composants d'extrémité. La propagation des données d'une extrémité client à une autre est donc
très rapide sur le réseau.
Frame Relay permet un traitement efficace en volume et en vitesse, en réunissant les fonctions des
couches liaison de données et réseau en un seul protocole simple. En tant que protocole de liaison
de données, Frame Relay permet d'accéder à un réseau, il délimite et fournit les trames dans
l'ordre approprié et détecte les erreurs de transmission par un contrôle de redondance cyclique
standard. En tant que protocole de réseau, il fournit plusieurs liaisons logiques sur un même circuit
physique et permet au réseau d'acheminer les données sur ces liaisons jusqu'à leurs destinations
respectives. [5]

1.6.3 L’ATM
La technologie ATM a été adoptée par l'UIT à la fin des années 80 pour répondre à la demande
des opérateurs de télécommunication d'un «Réseau Numérique à Intégration de Service Large
Bande » unifiant dans un même protocole leurs mécanismes de transport des données, d'images et
surtout de la voix, et garantissant la qualité de service.
L’ATM est une technique de transfert fondée sur la commutation de paquets de taille fixe (les
cellules). A chaque demande de connexion d’un utilisateur, on lui associe un circuit virtuel
(VC),qui est tracé à l’intérieur du réseau ATM par des «marques» laissées dans chaque nœud
traversé.
Les informations émises par l’utilisateur sont alors transmises par paquets de tailles fixes, appelés
cellules, composés de 48 octets pour les données et de 5 octets pour l’entête. Cet entête permet
d’identifier le chemin virtuel que devront emprunter les cellules.
Un réseau ATM est constitué de commutateurs reliés par des liens physiques nommés conduits de
transmission. Les commutateurs sont chargés :
- d’acheminer les cellules reçues sur les ports d’entrée vers le bon port de sortie selon les
informations de routage contenues dans l’entête de la cellule.
- d’effectuer le multiplexage des cellules sur la sortie requise.

17
- de contrôler l’établissement et la libération des connexions.
Cependant, le coût de ces commutateurs est très élevé et ATM ne peut pas cohabiter avec d’autres
technologies réseaux. De plus, ATM est approprié lorsque le trafic est constitué majoritairement
de voix, mais il est inadapté lorsque le trafic est majoritairement constitué de données, ce qui sera
de plus en plus le cas avec l'explosion du trafic lie à l'Internet. [5]

1.7 Conclusion
Un réseau peut être vu comme un ensemble de ressources mise en place pour offrir un ensemble
de services. Pour réaliser une communication à travers un ou plusieurs systèmes intermédiaires, il
faut traverser les différentes couches selon le modèle OSI ou le modèle TCP/IP.
Jusqu’à présent, afin de garantir une bande passante ainsi qu’une qualité de service suffisante aux
besoins grandissant des utilisateurs, différentes technologies ont été utilisées. Parmi celles-ci
figure le protocole X.25, le Frame Relay et le protocole ATM. Cependant, toutes ces technologies
utilisées jusqu’à maintenant n’étaient pas optimales concernant la gestion ainsi que la maintenance
des réseaux, d’où l’apparition de MPLS que l’on va détailler dans le chapitre suivant.

18
CHAPITRE 2

VUE D’ENSEMBLE DURESEAU MPLS

2.1 Introduction

Vu le coût élevé des commutateurs ATM et la difficulté de faire cohabiter ATM avec d’autres
technologies réseaux, il a fallu concevoir une technologie de commutation qui permettra une
meilleure qualité de service avec souplesse et la possibilité d’intégration sur différents types de
réseau. MPLS représente une solution basée sur le principe de commutation de circuit en
remédiant au problème de gaspillage des ressources par la gestion des priorités dans le trafic à
faire circuler. Nous allons, le long de ce chapitre, faire le tour de la technologie MPLS. Nous
commencerons par expliquer son origine puis son principe de fonctionnement. Nous détaillerons
ensuite les concepts relatifs aux labels et à leurs distributions. Nous finirons par donner un aperçu
des applications que MPLS permet de réaliser.

2.2 Présentation des concepts de MPLS

2.2.1 Historique

L'ingénieuse idée du MPLS naît en 1996 au sein d'un groupe d'ingénieurs d'Ipsilon Network. Par
la suite, plusieurs constructeurs se lanceront sur les traces du MPLS en développant des protocoles
propriétaires basés sur le même principe, il s'agit de :- ARIS de la maison IBM ;
-IP Switching d'Ipsilon Network et Nokia;
-Tag Switching de Cisco Systems. Mais, au tout début de l'histoire, il était prévu que MPLS ne
fonctionne que sur ATM, ce qui a poussé Ipsilon Network à mettre au point son IP Switching. Cet
attachement à ATM poussera d'ailleurs certains constructeurs comme Cisco à sortir sa version Tag
Switching, qui par la suite sera renommée en Label Switching pour standardisation par l'IETF en
tant que MPLS à proprement parler. Cisco en sortira vainqueur à cette époque parce que son Tag
Switching allait au-delà d'ATM. Certains auteurs qualifient le MPLS comme étant un protocole de
niveau 2,5 au sens OSI du terme. [6]

19
2.2.2 Définition

Le protocole MPLS est un protocole qui utilise un mécanisme de routage qui lui est propre, basés
sur l'attribution d'un " label " à chaque paquet. Cela lui permet de router les paquets en optimisant
les passages de la couche 2 à la couche 3 du modèle OSI et d'être indépendant du codage de
celles-ci suivant les différentes technologies (ATM, Frame Relay, Ethernet, etc.…). Les routeurs-
commutateurs à l’entrée du réseau MPLS imposent les labels entre les en-têtes du niveau 2 et du
niveau 3. C’est la raison pour laquelle MPLS est donnée l’appellation « protocole de couche
2,5».MPLS est un technique réseau en cours de normalisation à l'IETF dont le rôle principal est de
combiner les concepts du routage IP de niveau 3, et les mécanismes de la commutation de niveau
2 telles qu’implémentée dans ATM ou Frame Relay. MPLS doit permettre d'améliorer le rapport
performance/prix des équipements de routage, d'améliorer l'efficacité du routage (en particulier
pour les grands réseaux) et d'enrichir les services de routage, les nouveaux services étant
transparents pour les mécanismes de commutation de label, ils peuvent être déployés sans
modification sur le cœur du réseau.

Les efforts de l’IETF portent aujourd’hui sur IPv4. Cependant, la technique MPLS peut être
étendue à de multiples protocoles (IPv6, IPX, etc.…). MPLS n’est en aucune façon restreint à une
couche 2 spécifique et peut fonctionner sur tous les types de support permettant l’acheminement
de paquets de niveau 3. [6] [7] [8]

Figure 2.01 : Positionnement du MPLS dans le modèle OSI

20
2.2.3 Objectifs

L'un des objectifs initiaux était d'accroître la vitesse du traitement des datagrammes dans
l'ensemble des équipements intermédiaires. Depuis, l'aspect "fonctionnalité" a largement pris le
dessus sur l'aspect "performance", avec notamment les motivations suivantes: intégration IP/ATM,
création de VPN, la flexibilité c'est-à-dire la possibilité d’utiliser plusieurs types de media (ATM,
FR, Ethernet, PPP) et le routage multicast.

MPLS pourra assurer une transition facile vers l'Internet optique. MPLS n'étant pas lié à une
technique de niveau 2 particulière, il peut être déployé sur des infrastructures hétérogènes
(Ethernet, ATM, etc.). Avec la possibilité d'utiliser simultanément plusieurs protocoles de
contrôle, MPLS peut faciliter l'utilisation de réseaux optiques en fonctionnant directement sur
WDM. [8] [9]

2.2.4 Architecture du réseau MPLS

2.2.4.1 Fonctionnement

Une architecture MPLS se compose de deux grande parties : les sites utilisateurs et du domaine
MPLS (cœur de réseau).À l'entré dans le domaine MPLS, tout paquet ou trame réseau provenant
d'un site utilisateur (Réseau d’utilisateurs) est examiné, puis on attribue une étiquette avant de
l'envoyer dans le cœur du domaine MPLS : c'est le label. Une fois au cœur du domaine MPLS,
tous les paquets arrivant sur un routeur sont examinés (examen basé sur les labels uniquement).
Cette opération sera répétée jusqu'à ce que les trames arrivent aux frontières du domaine MPLS. À
la sortie du domaine MPLS, les trames venant du cœur du domaine MPLS sont examinés et leurs
étiquettes enlevés ; puis ces paquets sont envoyés vers leurs destinations. [7] [9]

21
Figure 2.02 : Architecture simplifiée d’un réseau MPLS

On a une fonction de routage qui s'effectue à la première étape. L'acheminement des paquets dans
le domaine MPLS ne se fait donc pas à base d'adresse IP mais de label (commutation de label). Il
est clair qu'après la découverte de chemin (par le protocole de routage type IGP), il faut mettre en
œuvre un protocole qui permet de distribuer les labels entre les LSRs pour que ces derniers
puissent constituer leurs tables de commutation et ainsi exécuter la commutation de labels
adéquate à chaque paquet entrant. Cette tâche est effectuée par « un protocole de distribution de
label »: LDP et RSVP-TE. [7] [9]

2.2.4.2 Les équipements nécessaires

Les équipements nécessaires sont alors :


- Routeurs CE
- Routeurs PE appelés aussi LER
- Routeurs P appelés aussi LSR

a. Les routeurs CE
Les routeurs CE sont les routeurs présents dans le réseau du client. Ils sont interconnectés avec un
ou plusieurs PE. Ces routeurs n’ont pas la connaissance de la technologie MPLS. [8] [9]

22
b. Les routeurs PE ou LER
PE sont des routeurs qui font interfaces entre le réseau MPLS et le monde extérieur. En général,
une partie de ces interfaces supportent le protocole MPLS et l’autre un protocole de type IP. C’est
un routeur d’accès au réseau MPLS qui gère le trafic entrant dans le réseau MPLS et possédant à
la fois des interfaces IP traditionnelles et des interfaces connectées au réseau MPLS. Ce routeur
ELSR d'entrée, exécute les fonctions de l'imposition de label et de l’expédition d'un paquet à
destination du réseau MPLS. A la sortie du réseau MPLS, il exécute les fonctions de déplacement
(disposition) de label et la transmission de paquet IP au destinataire. Ils sont alors chargés de
mettre ou d’enlever le label sur les paquets de données provenant ou à destination des routeurs CE
pour qu’il puisse être acheminé correctement.
Les deux types de LER existants sont :
- I-LER: c’est un routeur qui gère le trafic entrant dans un réseau MPLS. C’est lui qui assigne le
label à un paquet avant son entrée dans le réseau.
- E-LER: c’est un routeur qui gère le trafic sortant d’un réseau MPLS. C’est lui qui enlève le label
à un paquet avant sa sortie du réseau.
E-LSR aussi est une appellation des routeurs LER parce que ce sont des routeurs se trouvant au
bord des LSR. [8] [9]

c. Les routeurs P ou LSR


Ce sont les routeurs composant le cœur du réseau MPLS. Ils sont chargés de la distribution des
trames MPLS. Ce sont alors eux qui acheminent les données grâce à la commutation de labels.
Le LSR participe à la mise en place du chemin par lequel les paquets sont acheminés. Lorsque le
routeur LSR reçoit un paquet labélisé, il le permute avec un autre de sortie et expédie le nouveau
paquet labélisé sur l'interface de sortie appropriée. Le routeur LSR, selon son emplacement dans le
réseau MPLS, peut jouer plusieurs rôles à savoir : exécuter la disposition du label (appelé
déplacement), marquer l'imposition (appelée poussée) ou marquer la permutation en remplaçant le
label supérieur dans une pile de labels avec une nouvelle valeur sortante de label. [8] [9]

23
Figure 2.03 : Topologie d’un réseau MPLS

2.2.4.3 Structure fonctionnelle MPLS

Le protocole MPLS est fondé sur les deux plans principaux :


a. Le plan de contrôle
Le plan de contrôle est composé d’un ensemble de protocoles de routage classique et des
protocoles de signalisation. Il est chargé de la construction, du maintien et de la distribution des
tables de routage et des tables de commutations. Pour ce faire, le plan de contrôle utilise des
protocoles de routages classiques, tels qu’OSPF afin de créer la topologie des nœuds du réseau
MPLS, ainsi que des protocoles de signalisations spécialement développés pour le réseau MPLS
comme LDP, BGP (utilisé par MPLS VPN) ou RSVP (utilisé par MPLS TE).
Dans un réseau MPLS, il existe deux méthodes pour créer et distribuer les labels. Ces méthodes
sont « Implicit routing » et « Explicit routing ». Ces deux méthodes sont celles utilisées pour
définir les chemins LSP ou Label Switch Path dans le réseau MPLS. La méthode implicit routing
est celle du routage implicite, saut par saut (hop by hop) où chaque paquet contenant un LSP
choisit indépendamment le saut suivant pour une FEC de données. Le routage explicite est la
méthode explicit routing où le premier routeur ELSR détermine la liste des nœuds ou des routeurs
LSR à suivre pour délivrer le paquet. [6] [9]

b. Le plan de données
Le plan de données permet de transporter les paquets labélisés à travers le réseau MPLS en se
basant sur les tables de commutations. Il est indépendant des algorithmes de routages et
d'échanges de label. Il utilise une table de commutation appelée LFIB pour transférer les paquets
labélisés avec les bons labels. Cette table est remplie par les protocoles d'échange de label comme
le protocole LDP.

24
A partir des informations de labels apprises par le protocole LDP, les routeurs LSR construisent
deux tables, la LIB et la LFIB. De manière générale, la LIB contient tous les labels appris des
voisins LSR, tandis que la LFIB est utilisée pour la commutation proprement dite des paquets
labélisés. La table LFIB est un sous-ensemble de la base LIB. [6] [9]

Figure 2.04 : Architecture d’un nœud MPLS

2.3 La commutation de labels

2.3.1 Définition de label


Le label est un simple nombre entier de 4 octets (32 bits). Il est inséré entre les entêtes de niveau 2
et de niveau 3. Ce sont ces labels que les routeurs permutent tout au long du réseau jusqu’à
destination sans avoir besoin de consulter l’entête IP et leur table de routage. On appelle cette
technique « Label Swapping ».

Le label peut être associé à un chemin, une destination, une source, une application, un critère de
qualité de service, etc. ou une combinaison de ces différents éléments. Autrement dit, le routage IP
est considérablement enrichi sans pour autant voir ses performances dégradées (à partir du
moment où un datagramme est encapsulé, il est acheminé en utilisant les mécanismes de
commutation de niveau 2). A chaque bond le long du chemin LSP, un label est utilisé pour
chercher les informations de routage (Next Hop, interface de sortie). Les actions à réaliser sur le
label sont les suivantes: insérer, permuter et retirer. Un label MPLS se présente sous cette forme :

25
Figure 2.05 : Détails d’un label MPLS

La signification des différents champs est donnée comme suit :


• Valeur du label : 20 bits
• Classe du service du paquet (CSP) : 3 bits
• Indicateur de fin de pile (égal à 1 s’il s’agit du dernier label) : 1 bit
• Durée de vie du paquet TTL : 8 bits [1] [8] [10]

2.3.2 Distribution des labels


LDP est un ensemble de procédures par lesquelles un routeur LSR en informe un autre des
affectations faites des labels. Dans un réseau MPLS, deux routeurs LSR sont liés au label de
distribution (peer) lorsqu’ils utilisent un LDP pour échanger leurs affectations. Ce protocole LDP
est bidirectionnel utilisé dans le backbone MPLS.
Les routeurs LSR se basent sur l’information de label pour commuter les paquets labellisés.
Chaque routeur LSR, lorsqu’il reçoit un paquet labellisé, utilise le label local pour déterminer
l’interface et le label de sortie. Il est donc nécessaire de propager les informations sur ces labels à
tous les routeurs LSR. Pour cela, des protocoles de distribution sont employés pour l’échange des
labels entre les routeurs LSR. L’autre objectif du protocole LDP est l’établissement des chemins
appelés «LSP» sur le réseau MPLS. Il définit un ensemble de procédures et de messages
permettant l’échange des labels et la découverte dynamique des nœuds adjacents grâce aux
messages échangés par UDP.
Il définit aussi une suite de procédures et de messages utilisés par les routeurs LSR pour s'informer
mutuellement de la correspondance (mapping) entre les labels et le flux. [1] [8] [10]

26
Figure 2.06 : Principe de fonctionnement d’un LDP
Le schéma suivant montre le mécanisme d’établissement d’une connexion LDP pour les annonces
de labels :

Figure 2.07 : Etablissement d’une connexion LDP


LDP s'appuie sur les protocoles de routage IP dont il utilise la table de routage. Il définit un
ensemble de procédures et de messages pour l'échange des labels entre les routeurs LSR. Chaque
fois qu'une destination IP (ou une FEC) découverte, LDP est sollicité pour obtenir un label pour
cette destination. [1] [8] [10]

2.3.3 Déroulement de la commutation de label


Le déroulement de la commutation de label dans un réseau MPLS se fait comme suit :

27
- Lorsqu’un paquet arrive dans un réseau MPLS (1), l’I-LER consulte sa table de commutation (2)
et affecte un label au paquet (3), et le transmet au LSR suivant (4). Cette étape est montrée par la
figure 2.08 suivante.

Figure 2.08 : Ajout de label à un paquet entrant dans le nuage MPLS


Lorsque le paquet MPLS arrive sur un LSR (1) interne du nuage MPLS comme la figure
2.09le montre, le protocole de routage fonctionnant sur cet équipement détermine dans la base de
données des LIB, le prochain label à appliquer à ce paquet pour qu’il parvienne jusqu’à sa
destination (2). L’équipement procède ensuite à une mise à jour de l’entête MPLS (swapping du
label et mise à jour du champ TTL) (3), avant de l’envoyer au nœud suivant (4). [1] [8] [10]

Figure 2.09 : Commutation de label à l’intérieur du nuage MPLS


Enfin, comme la figure 2.10 le montre, une fois que le paquet MPLS arrive à l’egress node ou PE
(1), l’équipement lui retire toute trace MPLS (2) et le transmet à la couche réseau. [1] [8] [10]

28
Figure 2.10 : Retrait du label

2.4 Notions de base de la théorie des graphes

2.4.1 Présentation
La théorie moderne des graphes s’est développée bien plus tard, dans les années 1960, sous
l’impulsion, entre autres, des travaux de Berge, Erdös, Edmonds, Ford et Fulkerson. Cependant, ce
problème illustre parfaitement les relations profondes qu’il existe entre la théorie des graphes et la
topologie. En effet, le problème posé à Euler lie les berges et des îlots de la rivière Pregolya par
des ponts de la ville de Königsberg. Dans cet exemple, les objets sont les berges et les îlots, et les
ponts forment les liens entre ces objets.
Dans notre cas, les objets sont les équipements PE et P du cœur de réseau MPLS. Sans aucune
mesure, le problème est fondamentalement topologique puisqu’il s’agit de trouver un chemin
parcourant tous les liens une et une seule fois.
Un graphe est donc une modélisation mathématique de relations entre des objets. [11]

2.4.2 Théorème
Mathématiquement, un graphe G = (N, A) est défini par :
• Un ensemble N= {v1, …, vn} de nœuds (ou sommets). On notera |N| = n le nombre de
nœuds du graphe. Par abus de langage, on désignera un nœud par son indice (vi = i).
• Un ensemble A = {a1, …, am} d’arcs. Chaque arc a ∈ A est un couple (i, j) de nœuds. On
notera |A| = m le nombre d’arcs du graphe.

Si on ne fait pas de distinction entre l’arc (i, j) et l’arc (j, i), le graphe est dit non orienté. L’usage
veut alors qu’on nomme un arc «arête». [11]

29
La représentation graphique usuelle d’un graphe se fait par des cercles pour les nœuds et des
flèches pour les arcs (des traits sans flèche pour les arêtes). Ainsi la figure 2.11 représente le
graphe G = (N, A) défini par :
• N= {1, 2, 3, 4, 5, 6}
• N= {(1, 2), (1, 3), (2, 4), (3, 5), (4, 6), (5, 6)}

Figure 2.11 : Représentation graphique d’un graphe


Deux arcs ayant au moins une extrémité en commun sont dits adjacents. On appelle cocycle d’un
ensemble S ⊂ N de nœuds l’ensemble des arcs incidents aux nœuds de S, et on le note ω(S). On
distincte souvent l’ensemble ω-(S) des arcs entrants du cocycle et l’ensemble ω+(S) des arcs
sortants du cocycle.
Un chemin entre deux nœuds désigne une succession d’arcs les reliant. Les arcs doivent être pris
dans le «bon sens», c’est-à-dire de l’origine vers la destination. Par exemple, sur la figure 2.12
, les arcs(1, 2), (2, 4) et (4, 6) forment un chemin de 1 à 6. Un chemin est dit élémentaire s’il ne
passe pas deux fois par le sommet. Un cycle est un chemin dont l’origine et la destination d’un
chemin sont confondues.
Soit s et t deux nœuds du graphe. Une (s, t)-coupe est un ensemble C d’arcs déconnectant s de t.
En d’autres termes, tous les chemins de s à t passent par au moins un arc de C. Une coupe définit
alors une partition de l’ensemble des nœuds N = S ∪ Ṡ où s ∈ S, t ∈ Ṡ et pour tout arc (i, j) ∈ C,
i ∈S et j ∈Ṡ.
Un réseau est un graphe orienté G = (N, A) avec une valuation positive de ses arcs. La valuation
c(i, j)d’un arc (i, j) est appelée la capacité de l’arc. Un flot F sur un réseau est également une
valuation positive des arcs, c’est-à-dire une application de A dans R+, vérifiant la loi de
conservation du flot : la quantité de flot entrant est égale à la quantité de flot sortant (2.01). Le flot
« entre » dans le réseau en un sommet s appelé origine du flot et en « sort » en un sommet t appelé

30
destination. On associe généralement une demande d à chaque paire origine-destination. Cette
demande peut être variable comme, par exemple, dans un problème cherchant la plus grande
demande acceptable par le réseau pour une paire origine destination donnée. Un flot est dit
réalisable lorsqu’il respecte les contraintes de conservation de flot. [11]

" = ,
− = )− " = ,, (2.01)
∈ ( ) ( ( ) 0 "# #.

Un multiflot est une généralisation de la notion de flot à plusieurs paires origine-destination. Soit
Kun ensemble de paires origine-destination (s1, t1), . . ., (sk, tk) et d1, . . ., dk les demandes
respectives. A chaque paire origine-destination (sk, tk) correspond un vecteur flot Fk. Un multiflot
pour les K paires origine-destination est donc un ensemble de flots (F1, …, Fk). Un multiflot
réalisable respecte alors les contraintes de conservation de flot (2.02) et les capacités des arcs
(2.03). [11]
" =
− = )− " = ,∀ ∈ ∀. ∈ (2.02)
∈ ( ) ∈ ( ) 0 "# #

≤ 1 ∀ ∈2 (2.03)
∈/

2.5 Applications de MPLS

2.5.1 L’AToM ou Any Transport over MPLS


Ce service traduit l'indépendance de MPLS vis-à-vis des protocoles de couches 2 et 3. AToM est
une application qui facilite le transport du trafic de couche 2, tel que Frame Relay, Ethernet, PPP
et ATM, à travers un nuage MPLS. [12]

2.5.2 Le support des réseaux privés virtuels : MPLS VPN


Les réseaux privés virtuels basés sur la technologie MPLS simplifient considérablement le
déploiement des services VPN par rapport aux VPN traditionnels.
En plus, les services de VPN/MPLS sur IP sont le moyen le plus souple et le plus économique
pour interconnecter un ensemble de sites. L'architecture mise en place par MPLS est très sollicitée

31
par les opérateurs réseaux fournissant plusieurs clients car elle permet de partager des
équipements physiques.
MPLS permet de résoudre efficacement la fonctionnalité de tunneling, dans la mesure où
l'acheminement des paquets n'est pas réalisé sur l'adresse de destination du paquet IP, mais sur la
valeur du label assigné au paquet. Ainsi, un ISP ou un fournisseur d’accès internet peut mettre en
place un VPN. Chaque site du VPN indique à l'ISP l'ensemble des préfixes (adresses) joignables
sur le site local. Le système de routage de l'ISP communique alors cette information vers les autres
sites distants du même VPN, à l'aide du protocole de distribution de labels. En effet, l'utilisation
d'identifiant de VPN permet à un même système de routage de supporter multiples VPN, avec un
espace d'adressage éventuellement identique. Ainsi, chaque LER place le trafic en provenance
d'un site dans un LSP fondé sur une combinaison de l'adresse de destination du paquet et
l'appartenance à un VPN donné. [12]

2.5.3 Le support de la qualité de service : MPLS QoS


Avec la technologie MPLS, la QoS est un élément crucial pour un réseau d'opérateur. En effet,
l’opérateur doit pouvoir garantir à ses clients le transport de leurs flux en garantissant différentes
contraintes. Avec la technologie MPLS, il est possible de garantir une QoS adaptée à chacun des
flux utilisant la solution VPN/MPLS. La QoS se décline principalement en quatre paramètres :
débit, délai, gigue et perte.
-Le débit représente les ressources de transmission occupées par un flot. Un flot est un ensemble
de paquets résultant d'une application utilisatrice.
-Le délai correspond au temps de transfert de bout en bout d'un paquet.
-La gigue correspond aux variations de latence des paquets. La gigue provient essentiellement des
variations de trafic sur les liens de sorties des routeurs.
-Des pertes de paquets peuvent être dues à des erreurs d'intégrité sur les données ou des rejets de
paquets en cas de congestion. [12]

2.5.4 L’ingénierie de trafic : MPLS TE


Tout comme la qualité de service, le « Trafic Engineering ou TE» est un élément crucial pour un
réseau d'opérateur.
Dans un réseau MPLS, le TE permet d'optimiser l'utilisation des ressources d'un réseau afin
d'éviter la congestion. C'est la prise en compte de la bande passante disponible sur un lien lors des
décisions de routage qui rend possible cette optimisation. Ainsi, pour sa mise en place dans un

32
réseau, l'opérateur doit utiliser un protocole de routage particulier qui doit implémenter
l'algorithme CSPF.
C'est cet algorithme qui permet le choix d'une route en fonction des paramètres comme par
exemple le débit disponible sur un lien. Des évolutions des protocoles de routages existant comme
OSPF-TE ont été développés afin d'implémenter l'algorithme CSPF.
Dans un réseau MPLS, le respect de ces contraintes lors des décisions de routage est fait grâce à la
présence d'un protocole de routage implémentant l'algorithme CSPF. Enfin, la réservation de la
bande passante éventuelle, qui doit être faite sur les routeurs, est très souvent faite grâce au
protocole RSVP-TE.

L'ingénierie de trafic est activée par des mécanismes MPLS permettant de diriger le trafic via un
chemin spécifique, qui n'est pas nécessairement le chemin le moins coûteux. Les administrateurs
de réseau peuvent mettre en œuvre des politiques visant à assurer une distribution optimale du
trafic et à améliorer l'utilisation globale du réseau. [12]

2.6 Avantages et inconvénients de MPLS

2.6.1 Les avantages


-Par sa fiabilité et sa qualité de service, la technologie MPLS prend l’avantage sur les autres choix
de connectivité dans les réseaux étendus : il sera possible d’utiliser des adresses privées dans un
réseau public ; ajouter de QoS sur les liaisons en fonction des relations entre les différents sites.

-MPLS permet une meilleure gestion du routage, de la commutation ainsi que du transfert de
paquets au travers de réseaux de nouvelle génération par rapport aux autres réseaux de transport.

-La possibilité de définir à l’avance le chemin que devront emprunter les données ou types de
données transitant sur le réseau (Trafic Engineering), ainsi que la gestion des flux de trafic et
l’optimisation de la détermination de l’acheminement des paquets. Le fonctionnement des labels
facilite considérablement la reprise du routage après des défaillances du réseau. Ceci garantit une
pérennité des accès aux données. La labelisation des paquets : « le chemin le plus court n’est pas
toujours le meilleur », avec le MPLS, une politique peut être établie afin que les paquets suivent
un chemin défini. Ainsi, il est possible d’alléger les liaisons, favorisant le confort et évitant la
congestion des liens. [13][14]

-La facilité de création de tunnels IP et de VPN au niveau des fournisseurs d’accès à Internet, et
résolution des problèmes liés à la multiplication de ceux-ci : les VPN en environnement MPLS

33
permettent de réduire la complexité d’un grand réseau. Il devient ainsi facile d’intégrer des VPN
sur le cœur du réseau IP/MPLS de part l’affectation des labels directement associés aux VPN.

-Le MPLS offre aux opérateurs des services adéquats à leurs attentes : au niveau de la garantie de
transfert et de la bande passante qui constituent des améliorations conséquentes par rapport aux
technologies utilisées pour les trafics traditionnels.

-Le routage sous-traité : avec MPLS, l’opérateur gère le routage du réseau étendu. Les entreprises
utilisatrices n’ont pas à s’en occuper elles-mêmes ; il leur est plus simple d’utiliser MPLS que de
gérer un grand réseau routé. Et elles réduisent leurs besoins en ingénieurs spécialistes des
routeurs/WAN.

-La prise en charge intégrée de la QoS : pratiquement tous les services MPLS du marché
proposent plusieurs niveaux de qualité de service. Les utilisateurs peuvent indiquer les seuils
minimums du temps de latence, de gigue et de perte de paquets pour chaque type de trafic (voix,
vidéo, email, transferts de fichiers en masse, etc.). Par exemple, le réseau MPLS donne la priorité
au trafic des données sensibles à la latence, comme la voix et la vidéo, par rapport au reste du
trafic, moins sensible. [13] [14]

-Une intégration IP/ATM: en effet, si la couche 2 est gérée par le protocole ATM, MPLS permet
l’utilisation de l’en-tête de couche 2. Cela évite l’ajout d’un en-tête supplémentaire et permet donc
de diminuer la taille des données de signalisation.

-La flexibilité : MPLS permet l’utilisation de n’importe quelle couche 2 car ce protocole vient se
placer entre la couche réseau et la couche de transmission de données. L’ajout d’une couche
supplémentaire permet de coexister avec l’ensemble des protocoles existants (surtout pour la
couche 2). Il est ainsi possible de déployer un réseau IP/MPLS sur des infrastructures sousjacentes
hétérogènes comme Ethernet, ATM, etc...

-MPLS donne d’excellents résultats et est largement utilisé pour interconnecter d’une part des
datacenters et d’autre part, des succursales entre elles. Ce niveau de connectivité comprend la
couche 2 dans l’architecture WAN. [13] [14]

34
2.6.2 Les inconvénients
Généralement, les services Internet sont considérablement moins onéreux que MPLS, bien que le
coût des services aux entreprises soumis à des contrats de niveau de service soit parfois
comparable à celui de MPLS. En tous cas, la plupart des sites sont dotés d’une manière ou d’une
autre d’un accès à Internet. Mais l’inconvénient des services Internet est le manque de fiabilité.
Les services Internet grand public en particulier peuvent s’avérer capricieux aussi bien en termes
de qualité de service (le service fonctionne mais mal) que de disponibilité (interruption de
service).Pour les sites où l’obligation de moyen suffit, où la qualité de service n’est pas
indispensable et où l’ubiquité l’emporte sur la fiabilité, les services Internet constituent une bonne
solution.
Le principal but de MPLS n’est pas d’apporter la sécurité à un client mais de sa connectivité
étendue. MPLS ne nous protège pas des autres, mais il nous sépare virtuellement. Son but n’est
pas de sécuriser les données transportées mais d’accroître la vitesse de traitement des
datagrammes dans l’ensemble des équipements intermédiaires.
MPLS est une technologie de tunneling où les flux ne sont pas absolument chiffrés. Les VPN
MPLS permettent d’isoler le trafic entre les sites n’appartenant pas au même VPN. [13] [14]

2.7 Conclusion
MPLS est un protocole utilisant un mécanisme de routage qui lui est propre, basés sur l'attribution
d'un " label " à chaque paquet. Les principales applications de la technologie MPLS sont l’Any
Transport over MPLS, le support des réseaux privés virtuels (MPLS VPN), le support de la qualité
de service (MPLS QoS) et l'ingénierie de trafic (MPLS TE).
Grâce à ses mécanismes de commutation de labels avancés et sa simplicité de mise en place sur
des réseaux déjà existants, le MPLS est devenu une technologie phare de demain alliant souplesse,
évolutivité et performance pour un coût réduit. Malgré tous ces avantages, MPLS reste un réseau
non sécurisé. Mais grâce à l’apparition de la technologie DMVPN, on a pu sécuriser MPLS. D’où
l’utilisation de la technologie DMVPN à travers MPLS qu’on va voir dans le chapitre suivant.

35
CHAPITRE 3

LA TECHNOLOGIE DMVPN

3.1 Introduction
Malgré l’insécurité du réseau MPLS, on peut la combiner à une technologie. La technologie
DMVPN est une solution qui peut sécuriser ce réseau MPLS. Dans ce chapitre, nous allons décrire
cette technologie en parlant de son origine, sa définition, ses principes, ses différents composants,
et ainsi que ses avantages.

3.2 Origine
De plus en plus d’entreprises expriment le besoin d’interconnecter leurs différents sites et
d’utiliser un moyen de chiffrement afin de protéger leurs communications. Dans le passé, la seule
solution à ce problème était l’utilisation des réseaux Layer-2 tels que RNIS ou Frame Relay, mais
la mise en place ainsi que le cout étant fastidieux, le déploiement de ces derniers serait sans doute
moins cher si tous les sites avaient accès à internet afin de faciliter la sécurité des communications
IP par l’utilisation des tunnels IPSec pour assurer l’authentification, l’intégrité et la confidentialité
des données (VPN IPSec).
Le VPN IPSec est une solution fiable de communication sécurisée, mais il présente un certain
nombre de limités à savoir :
Une limite de maintenance et d’échelle : chaque ajout d’un nouveau site conduit à une
modification totale de la configuration du site central. Cela présente non seulement un
problème pratique de maintenance, il faut intégrer une modification conséquente dans la
configuration d’un équipement en production, mais surtout d’échelle c'est-à-dire la
configuration du site central peut devenir rapidement illisible à partir de quelques dizaines
de sites distants.
Par ailleurs, si les sites distants doivent communiquer entre eux, l’équation devient
impossible à résoudre. Par exemple, un réseau composé d’une mairie (M) et de deux
annexes (A1 et A2). Pour obtenir un réseau "full meshed" c’est-à-dire complètement
maillé, ayant des liaisons IPSec entre tous les sites, il faut créer 3 tunnels IPSec (M-A1,
M-A2, A1-A2).

36
Figure 3.01 : Réseau complètement maillé à trois routeurs
Et en ajoutant une troisième annexe A3, il faut créer 3 tunnels supplémentaires (M-A3,
A1-A3, A2-A3) pour continuer à avoir un réseau complètement maillé.

Figure 3.02 : Réseau complètement maillé à quatre routeurs


Il faut doubler le nombre de tunnels pour arriver à 6 tunnels. En fait, pour relier un nombre n de
sites, il faut configurer n(n-1)/2 tunnels et modifier les configurations de n routeurs, une équation
qui devient difficile à résoudre quand le nombre de sites augmente notamment dans le cas des
réseaux Full Meshed ou complètement maillés.

Ces principales limites ont poussé les auteurs du VPN IPSec à se tourner vers une technologie
beaucoup plus avantageuse : le DMVPN. Il s’agit d’un mécanisme qui permet d’établir les tunnels
IPSec et GRE directement entre les routeurs qui veulent dialoguer ensemble avec une simplicité et
surtout de façon totalement dynamique. Son avantage majeur est qu’il permet de garder la
configuration des routeurs statiques en cas d’ajout d’un nouveau site et la création des tunnels
entre les sites distants est entièrement automatique. [15] [16]

37
3.3 Définitions
Un réseau privé virtuel multipoint dynamique ou DMVPN est un mécanisme qui permet d’établir
les tunnels IPSec et GRE directement entre les routeurs qui veulent dialoguer ensemble avec une
simplicité déconcertante et surtout de façon totalement dynamique. C’est une technologie qui
permet de sécuriser les données échangées entre les sites sans avoir besoin de passer le trafic à
travers le site central d’une organisation de réseau privé virtuel, que ce soit un serveur ou un
routeur.
Il utilise des technologies standard, telles que :
- le tunnel d’encapsulation GRE
-le protocole NHRP
-le protocole de routage comme EIGRP ou OSPF
-le protocole IPSec pour le chiffrement du tunnel
Le DMVPN est donc en réalité un ensemble de protocoles qui, combinées, facilite le déploiement
des réseaux privés virtuels. Il est basé sur une architecture centralisée et prend en compte divers
types d’utilisateurs dont les travailleurs mobiles, les télétravailleurs et même les utilisateurs
d’extranet. [16] [17]

Figure 3.03 : Exemple d’une topologie de DMVPN


DMVPN permet aux succursales de communiquer directement entre eux par l’intermédiaire d’un
réseau de transport. [16] [17]

38
3.4 Principes de DMVPN

3.4.1 Fonctionnement
Avec la fonction DMVPN, un routeur central, habituellement placé au site central, est désigné
comme « un concentrateur ou hub », alors que tous les autres routeurs placé au site distant sont
«des périphériques ou spokes » et qui sont configurés avec des tunnels en direction du
concentrateur de sorte que les succursales peuvent accéder aux ressources du siège central. Le
routeur Hub engage le rôle du serveur tandis que les routeurs spokes agissent comme les clients.
Les tunnels entre le concentrateur et les périphériques sont actifs en permanence. Le routeur Hub
maintient une base de données NHRP spéciale avec les adresses IP publiques de tous les spokes
configurés.
En revanche, lorsqu’un routeur« périphérique » veut transmettre un paquet à un autre périphérique
ou plutôt vers le sous-réseau qui se trouve derrière ce routeur périphérique, il utilise le protocole
NHRP pour déterminer de manière dynamique l’adresse de destination du routeur cible. Les
routeurs spokes envoient la requête NHRP via le chemin Hub pour obtenir l'adresse réelle du
spoke distant.
Le routeur Hub joue le rôle de serveur NHRP et gère la requête pour le compte du routeur
périphérique source. Les deux routeurs périphériques établissent alors de manière dynamique un
tunnel IPSec entre eux par l’intermédiaire de l’interface mGRE unique, pour permettre la
transmission directe de données. Une fonction de temporisation désactive automatiquement le
tunnel après une période d’inactivité prédéfinie. [18]

Figure 3.04 : Exemple mode de fonctionnement de DMVPN

39
3.4.2 Modèles de déploiement de la communication
DMVPN se compose de deux modèles essentiellement de déploiement :

3.4.2.1 Le modèle Hub-and-spoke

Un DMVPN Hub-and-spoke est utilisé pour réaliser les interconnexions entre le site central est les
sites distants. Chaque spoke possède une interface GRE permettant de monter le tunnel vers le
Hub. Tous les trafics entre les spokes doivent passer par le Hub. Ce modèle permet une forte
évolutivité de la configuration mais ne prend pas en compte les liaisons entre les spokes. [16] [18]

Figure 3.05 : Le modèle hub-and-spoke

3.4.2.2 Le modèle spoke-to-spoke

Un DMVPN spoke-to-spoke est utilisé pour effectuer les interconnexions entre les sites distants.
En outre, le trafic peut être aussi envoyé directement d’un spoke à l’autre. Chaque spoke doit
disposer d’une interface mGRE permettant aux tunnels dynamiques de transiter vers les autres
spokes. Les spokes créent alors dynamiquement un tunnel IPSec entre eux (par l'intermédiaire de
l'interface mGRE) et les données peuvent être directement transférées. Ce modèle prend en
compte les liaisons entre les différents spokes et offre une grande évolutivité de la configuration
pour les périphériques. [16] [18]

40
Figure 3.06 : Le modèle spoke-to-spoke

3.4.3 Les différents types d’architectures DMVPN

3.4.3.1 Réseau composé d’un seul routeur Hub

C’est la forme la plus simple de l’architecture de DMVPN. Il se compose du Hub principal situé
au site central et les spokes distants sont répartis entre les bureaux distants. [19] [20]

Figure 3.07 : Architecture de DMVPN avec un seul Hub


Il n’y qu’un seul routeur Hub dans ce déploiement. Cette architecture se compose des tunnels
GRE/IPSec entre le Hub et le spoke. Elle représente l’avantage de ne nécessiter qu’un routeur
Hub. Il engage les trois plans de contrôle (NHRP, mGRE et IPSec protection). Le routeur Hub se
charge d’IPSec pour le chiffrement / déchiffrement.
Ce modèle DMVPN est une approche habituelle pour un réseau de DMVPN de budget limité avec
quelques dizaines branches éloignées. C’est une architecture la plus avantageuse pour le
déploiement de la technologie DMVPN parce qu’elle prend en charge les liaisons entre les
différents spokes.

41
3.4.3.2 Réseau composé de deux routeurs centraux

Le déploiement de DMVPN se compose de deux routeurs au siège. Le premier routeur, R1, est
chargé de mettre fin aux connexions IPSec à tous les spokes, déchargeant le processus de cryptage
et de décryptage de la principale plaque tournant derrière elle. Le routeur Hub engage la fin du
tunnel mGRE, le serveur NHRP et le traitement de toutes les mises à jour du protocole de routage.
[19] [20]

Figure 3.08 : Architecture de DMVPN avec deux routeurs centraux


Le seul véritable avantage offert cette architecture est qu'il peut prendre en charge un nombre
significativement plus élevé des spokes. Mais son inconvénient est qu’on perd la capacité spoke-
to-spoke.

3.4.3.3 Réseau composé de deux routeurs Hub au siège

La topologie se compose de deux routeurs Hub : Hub 1 et Hub 2. Chaque réseau DMVPN
(DMVPN 1 et DMVPN 2) représente un sous-réseau IP, l’un est considéré comme le principal
DMVPN tandis que l'autre, le secondaire est comme la sauvegarde DMVPN ou backup. [19] [20]

Figure 3.09 : Architecture de DMVPN avec deux routeurs Hub au site central

42
Avec cette architecture, chaque Hub gère son propre réseau DMVPN. Chaque Hub se charge
d'IPSec pour le chiffrement / déchiffrement, la résiliation de tunnel mGRE et NHRP pour son
réseau DMVPN. Un protocole de routage tel que l’EIGRP ou l’OSPF est généralement mis en
œuvre dans ce type de configuration pour assurer le basculement automatique en cas d’échoue du
DMVPN primaire. Mais son inconvénient est que cette architecture ne garantit pas aussi les
liaisons entre les différents spokes. [19] [20]

3.4.3.4 Réseau composé de quatre routeurs centraux

Cette architecture se compose de deux concentrateurs qui traitent seulement les tunnels mGRE et
services NHRP, chaque Hub est géré de son propre réseau DMVPN. Les routeurs R1 et R2
prennent soin de toute l’interruption d’IPSec pour tous les spokes, et d’effectuer le chiffrement/
déchiffrement des données entrées ou sorties des tunnels IPSec. [19] [20]

Figure 3.10 : Architecture de DMVPN avec quatre routeurs centraux


Tout comme l’architecture de DMVPN avec deux routeurs Hub au site central, chaque Hub gère
son propre réseau DMVPN et les connexions avec les spokes. Malheureusement, comme avec
tous les déploiements à deux niveaux, on perd la capacité spoke-to-spoke, mais ce ne serait pas
une limitation pour certains. [19] [20]

3.5 Les composants de DMVPN

3.5.1 Le protocole GRE

3.5.1.1 Présentation

Le protocole GRE est un protocole de tunneling capable d’encapsuler divers types de protocoles
de couche réseau entre deux emplacements sur un réseau public, par exemple Internet. Le

43
protocole GRE est conçu pour gérer le transport du trafic multi-protocole et multidiffusion IP
entre deux ou plusieurs sites, qui ne possèdent que de la connectivité IP. Il peut également
encapsuler plusieurs types de paquets de protocoles au sein d'un tunnel IP. GRE ne prévoit pas de
chiffrement des données qui passent dans le tunnel, il n’est pas étanche. Il ne prévoit pas aussi
l’authentification des extrémités du tunnel. Le protocole GRE peut être utilisé dans les situations
suivantes :

- Connexion de réseaux IPv6 à des réseaux IPv4

- Utilisation de paquets de multidiffusion (applications OSPF ou EIGRP) [15] [20]

3.5.1.2 Fonctionnements

a. Le tunnel point-à-point GRE


La mise en œuvre traditionnelle d'un tunnel GRE implique la configuration d'un tunnel point à
point d'aller entre deux sites. GRE est considéré comme un protocole de niveau supérieur, qui sera
transporté par IP. Pour IP, il est donc quelque chose à transporter, au même titre que TCP et UDP.
Dans un réseau DMVPN, ce type de configuration fonctionne bien mais il y a un nombre limité de
tunnels qui doivent être configurés. Sur chaque connexion aux spokes, le routeur Hub a besoin
d’établir un tunnel GRE séparé. Donc, quand le nombre de spoke augmente, le routeur Hub doit
aussi augmenter le nombre de tunnel et il est nécessaire de modifier la configuration de ce routeur
hub. Cela présente non seulement un problème pratique de maintenance, mais surtout d’échelle :
la configuration du site centrale peut devenir rapidement illisible à partir de quelques dizaines de
sites distants. [15] [20]

Figure 3.11 : Fonctionnement de point-à-point GRE dans un réseau DMVPN

44
b. Le tunnel multipoint GRE ou mGRE
Le mGRE est un protocole permettant de créer des tunnels multipoints entre différents sites, c'est-
à-dire créer plusieurs tunnels à partir d’un seul pseudo interface tunnel. Il est donc utilisé pour
supporter les multiples tunnels IPSec et contribue considérablement à simplifier la complexité et
la taille de la configuration.
Dans un réseau DMVPN, le prochain type de configuration GRE utilise mGRE sur le site central
(hub) et de la configuration normale de point à point GRE des spokes. Les tunnels multipoints
sont configurés uniquement sur le routeur concentrateur. Un seul mGRE peut ainsi s’occuper des
tunnels GRE multiples.

Les tunnels mGRE ne possèdent pas une destination de tunnel défini, ils ne peuvent pas être
utilisés seuls. NHRP comble cette lacune de mGRE car il s’occupe des adresses de destination où
on va envoyer les paquets. [15] [20]

Figure 3.12 : Fonctionnement de multipoint GRE dans un réseau DMVPN

3.5.2 Le protocole IPSec

3.5.2.1 Présentation d’IPSec

IPSec ou Internet Protocol Security est un ensemble de protocoles permettant le transport de


données IP sécurisées au sein de la couche réseau, qui a été développé pour fournir un service de
sécurité à base de cryptographie, permettant de garantir l’authentification, l’intégrité, le contrôle
d’accès et la confidentialité des données. Il comprend des mécanismes de chiffrement et

45
d’authentification. L’IETF standardise ce protocole et son architecture depuis 1995, et publie des
RFCs dont la plus important aujourd’hui est IPsecv2. [24] [25]

Figure 3.13 : Le protocole IPSec dans le modèle OSI


Les protocoles d’IPSec agissent au niveau de la couche de réseau (niveau 3 du modèle OSI). Il
existe d’autres protocoles de sécurité aussi très étendus. On peut citer SSH qui permet à un
utilisateur distant d’avoir un interpréteur de commande à distance sécurisé (chiffrement et
authentification). Il y a aussi TLS, descendant de SSL, qui offre la possibilité d’ouvrir des sockets
TCP sécurisées, mais les applications doivent alors explicitement faire appel à cette bibliothèque.
Ces protocoles opèrent à partir de la couche de transport vers la couche applicative (niveau 4 à 7).
L’utilisation d’IPSec permet de protéger d’avantage les données dès la couche 3.
Son grand succès est qu’il sécurise toutes les applications et leurs communications au dessus d’IP
de façon transparente, évitant ainsi les vulnérabilités des couches supérieures. [24] [25]

b. Fonctionnement
Mode transport : IPSec peut fonctionner dans un mode transport hôte à hôte où les données
transférées sont uniquement chiffrées et/ou authentifiées. C'est-à-dire en mode transport,
on chiffre ou on authentifie la partie donnée d’un paquet IP. Le reste du paquet IP est
inchangé et de ce fait le routage des paquets n'est pas modifié. Néanmoins, les adresses IP
ne pouvant pas être modifiées sans corrompre le hash de l'en-tête AH généré par IPSec. Le
mode transport est utilisé pour les communications dites hôte à hôte. Le mode transport
protège uniquement le contenu du paquet IP sans toucher à l’en-tête ; ce mode n’est
utilisable que sur les équipements terminaux (postes clients, serveurs). [25] [26]

46
Figure 3.14 : Liaison entre deux hôtes distants en mode transport avec le format du paquet
Mode tunnel : IPSec peut fonctionner aussi dans un mode tunnel réseau. Dans ce cas, on
protège le paquet complet et on l’encapsule dans un nouveau paquet. En mode tunnel, c'est
la totalité du paquet IP qui est chiffré et/ou authentifié. Le paquet est ensuite encapsulé
dans un nouveau paquet IP avec un nouvel en-tête IP. La figure 3.15 montre le format du
paquet qui traverse le tunnel d’IPSec. Le mode tunnel est utilisé pour créer des réseaux
privés virtuels permettant la communication de réseau à réseau par exemple entre deux
sites distants, d'hôte à réseau par exemple accès à distance d'un utilisateur ou bien d'hôte à
hôte comme la messagerie privée. En mode tunnel la sécurité peut être faite par des
routeurs intermédiaires. Le mode tunnel permet la création de tunnels par “encapsulation”
de chaque paquet IP dans un nouveau paquet. Ainsi, la protection porte sur tous les champs
des paquets IP arrivant à l’entrée d’un tunnel, y compris sur les champs des en-têtes
(adresses source et destination par exemple).Ce mode est celui utilisé par les équipements
réseau (routeurs, gardes-barrières...). [25] [26]

Figure 3.15 : Liaison entre deux hôtes distants en mode tunnel avec le format du paquet

c. Les protocoles de transformation


IPSec regroupe les deux mécanismes ou services de sécurité au niveau réseau :

47
AH qui sert à valider l’intégrité des messages. AH permet une sécurisation du maximum
de données du datagramme IP en assurant l'intégrité des données et leur authentification.
Toutes les données ne pourront être sécurisée pour une raison simple, certain champs
dans les entêtes sont variables et donc de nature non prédictible. Ces champs pourront
donc pas être considéré comme sûr, ce qui en fait le talon d'achille d'AH. En revanche, il
ajoute tout de même un contrôle contre les répétitions et de d'intégrité des données sur un
mode non connecté (couche IP).

Figure 3.16 : Intégration d’AH dans un datagramme IPv4 en mode transport

Figure 3.17 : Intégration d’AH dans un datagramme IPv4 en mode tunnel


ESP permet la sécurisation des données du datagramme IP par le chiffrement
(confidentialité), l'intégrité et l'authentification des données. [25] [26]

48
En mode transport, seules les données transportées par le datagramme seront protégée, en mode
tunnels, ce sera l'intégralité du datagramme qui sera protégé.
L'authentification et l'intégrité des données sont assurées par les mêmes mécanismes que pour AH.
Si on est en mode transport, on chiffre le reste du paquet avec la clef secrète, et on ajoute au
paquet un header ESP.

Figure 3.18 : Intégration d’ESP dans un datagramme IPv4 en mode transport


Si on est en mode tunnel, des nouveaux IP headers sont rajoutés lors du routage des paquets, mais
le paquet origine est crypté avec la clef secrète. Le IP header d’origine est conservé intacte dans la
partie cryptée. [25] [26]

Figure 3.19 : Intégration d’ESP dans un datagramme IPv4 en mode tunnel

d. Les services offerts par IPSec


IPSec vise à prévenir les diverses attaques rendues possibles par le protocole IP, notamment
empêcher un adversaire d’espionner les données circulant sur le réseau ou de se faire passer pour
autrui afin d’accéder à des ressources ou données protégées.
Dans ce but, IPSec peut fournir, suivant les options sélectionnées, tout ou partie des services de
sécurité suivants :

49
Confidentialité des données et protection partielle contre l’analyse du trafic. Les données
transportées ne peuvent être lues par un adversaire espionnant les communications. En
particulier, aucun mot de passe, aucune information confidentielle ne circule en clair sur le
réseau. Il est même possible, dans certains cas, de chiffrer les en-têtes des paquets IP et
ainsi masquer, par exemple, les adresses source et destination réelles. On parle alors de
protection contre l’analyse du trafic.
Authenticité des données et contrôle d’accès continu. L’authenticité est composée de deux
services, généralement fournis conjointement par un même mécanisme : l’authentification
de l’origine des données et l’intégrité. L’authentification de l’origine des données garantit
que les données reçues proviennent de l’expéditeur déclaré. L’intégrité garantit qu’elles
n’ont pas été modifiées durant leur transfert. La garantie de l’authenticité de chaque
paquet reçu permet de mettre en œuvre un contrôle d’accès fort tout au long d’une
communication, contrairement à un contrôle d’accès simple à l’ouverture de la connexion,
qui n’empêche pas un adversaire de récupérer une communication à son compte. Ce
service permet en particulier de protéger l’accès à des ressources ou données privées.
Protection contre le rejeu qui permet de détecter une tentative d’attaque consistant à
envoyer de nouveau un paquet valide intercepté précédemment sur le réseau.
Ces services sont basés sur des mécanismes cryptographiques modernes qui leur confèrent un
niveau de sécurité élevé lorsqu’ils sont utilisés avec des algorithmes forts. [26] [27]

3.5.3 Les protocoles de routage utilisés

3.5.3.1 Le protocole OSPF

a. Présentation du protocole OSPF


Il a été conçu au sein de l’IETF à la fin des années 80 pour résoudre les principaux défauts du
protocole RIP et entre autres le temps de convergence.
Actuellement, ce temps est d’environ d’une minute avec l’utilisation d’un protocole tel qu’OSPF.
Il est donc certain que ce protocole a permis de réduire considérablement le temps de convergence
mais pas suffisamment pour certaines applications pour lesquelles ce temps est de l’ordre d’une
minute ou plus.
Dans ce cadre, une solution complémentaire a été apportée au protocole OSPF qui consiste à
calculer préalablement un chemin de secours disjoint du premier chemin utilisé pour chaque
destination possible sur le réseau. [21] [22]

50
b. Fonctionnement d’OSPF
Pour bien comprendre son fonctionnement, il est nécessaire de s’intéresser aux notions suivantes :
• Notion de système autonome: C’est un ensemble de réseaux qui utilise un protocole de
routage commun et qui dépend d’une autorité administrative unique. OSPF est un
protocole de routage intra-domaine, c'est-à-dire qu’il ne diffuse les informations de routage
qu’entre les routeurs appartenant à un même système autonome.
• Notion de zone: Un système autonome géré par le protocole OSPF est divisé en plusieurs
zones de routages qui contiennent des routeurs et des hôtes. Cette division introduit le
routage hiérarchique. Chaque zone possède sa propre topologie et ne connaît pas les
topologies des autres zones du système autonome.
La « zone backbone » est une zone particulière constituée de plusieurs routeurs interconnectés et
devant être le centre de toutes les zones. Autrement dit, toutes les zones doivent être connectées
physiquement au backbone. [21] [22]

Figure 3.20 : Organisation d’OSPF selon les zones


La figure 3.20 illustre que le système autonome est découpé en trois zones plus le backbone. Les
routeurs de la zone 1 ne connaissent pas les routeurs de la zone 2 ni ceux de la zone 3. De même,
la zone 1 ne connaît pas la topologie des zones 2 et 3.
L’intérêt de définir des zones est de limiter le trafic de routage, de réduire la fréquence des calculs
du plus court chemin par l’algorithme SPF et d’avoir une table de routage plus petite, ce qui
accélère la convergence de celle-ci.
Chaque routeur découvre son voisinage et conserve une liste de tous ses voisins utilise un
protocole fiable pour échanger les informations topologiques avec ses voisins stocke les
informations topologiques apprises dans leur base de données exécute l'algorithme SPF pour

51
calculer les meilleurs routes place ensuite la meilleur route vers chaque sous-réseau dans sa table
de routage. Chaque routeur possède une table de ses voisins, appelé Neighbor table, une base de
données de la topologie du réseau, appelé Topology database et une table de routage, appelé
Routing table. [21] [22]

c. Caractéristiques
Ce protocole a deux caractéristiques essentielles :
• Il est ouvert c'est-à-dire que son fonctionnement peut être connu de tous.
• Il utilise l'algorithme de Dijkstra, afin d'élire la meilleure route vers une destination
donnée.
OSPF fait partie de la seconde génération de protocole de routage (Link State Protocol). Il est
beaucoup plus complexe que RIP mais ses performances et sa stabilité sont supérieures. Il utilise
une base de données distribuées qui permet de garder en mémoire l’état des liaisons. Ces
informations forment une description de la topologie du réseau et de l’état de l’infrastructure.
Le protocole OSPF est un protocole de routage à état de lien, même objectif que les algorithmes à
vecteurs distance c'est-à-dire obtenir une table de routage avec les meilleurs routes et converger au
plus vite vers une table de routage optimale
Avec un protocole à vecteur distance, un routeur connaît ses voisins uniquement lors de la
transmission de mise à jour de leur part et lors d'un envoi d'une mise à jour à un voisin, ce voisin
ne retourne aucune confirmation à l'expéditeur
Avec un protocole à état de lien, beaucoup d'informations sont transmises et nécessitent beaucoup
de ressources. Chaque routeur doit connaître ses voisins avant d'échanger des informations. [21]
[22]

3.5.3.2 Le protocole EIGRP

a. Présentation
En 1994, Cisco a lancé EIGRP, une version évolutive et améliorée de son protocole de routage à
vecteur de distance propriétaire, IGRP. EIGRP est un protocole de routage développé par Cisco à
partir de leur protocole original IGRP. C’est un protocole de routage hybride IP, avec une
optimisation permettant de minimiser l'instabilité de routage due aussi bien au changement de
topologie qu'à l'utilisation de la bande passante et la puissance du processeur du routeur. Il
améliore considérablement les propriétés de convergence et l’efficacité d’exploitation par rapport
à IGRP. [22] [23]

52
b. Concepts d’EIGRP
Afin de pouvoir réagir rapidement aux changements, les routeurs EIGRP stockent les informations
de topologie et de route en mémoire RAM. À l’instar d’OSPF, EIGRP enregistre ces informations
dans diverses tables et bases de données.
Il enregistre les routes apprises de manière spécifique. Chaque route reçoit un état particulier et
peut être étiquetée pour fournir des informations utiles supplémentaires.
EIGRP met à jour trois tables :
la table de voisinage : est la table la plus importante d’EIGRP. Chaque routeur EIGRP
tient à jour une table de voisinage qui répertorie les routeurs adjacents. Cette table est
comparable à la base de données de contiguïté utilisée par OSPF. Il y a une table de
voisinage pour chaque protocole pris en charge par EIGRP. Lorsque des voisins
nouvellement découverts sont acquis, l’adresse et l’interface du voisin sont enregistrées la
table topologique : est constituée de toutes les tables de routage EIGRP du système
autonome. L’algorithme DUAL extrait les informations fournies dans la table de
voisinage et dans la table topologique et calcule les routes de moindre coût vers chaque
destination. En analysant ces informations, les routeurs EIGRP peuvent identifier
rapidement d’autres routes et les emprunter. Les informations que l’algorithme DUAL
fournit au routeur sont utilisées pour déterminer la route successeur, c’est-à-dire la route
principale ou la meilleure route. Une copie est également insérée dans la table
topologique. Chaque routeur EIGRP tient à jour une table topologique pour chaque
protocole réseau configuré. Toutes les routes apprises jusqu’à une destination sont
conservées dans la table topologique.
la table de routage : contient les meilleures routes vers une destination donnée. Ces
informations sont extraites de la table topologique. Chaque routeur EIGRP tient à jour
une table de routage pour chaque protocole de réseau. Une route successeur est une route
sélectionnée comme route principale à utiliser pour atteindre une destination. [22] [23]

3.5.3.3 Caractéristiques

EIGRP est un protocole de routage à vecteur de distance avancé qui joue le rôle d’un protocole à
état de liens lors de la mise à jour des voisins et de la gestion des informations de routage.
Par rapport aux protocoles à vecteur de distance simples, EIGRP offre notamment les avantages
suivants : une convergence rapide et une utilisation efficace de la bande passante. Les routeurs
EIGRP convergent rapidement car ils reposent sur l’algorithme DUAL.

53
Cet algorithme garantit à tout instant un fonctionnement exempt de boucles grâce à un calcul de
route qui permet à tous les routeurs concernés par le changement topologique de se synchroniser
de façon simultanée. EIGRP utilise la bande passante de façon rationnelle en envoyant des mises à
jour partielles et limitées, et sa consommation est minime lorsque le réseau est stable. Les routeurs
EIGRP effectuent des mises à jour partielles et incrémentielles, plutôt que d’envoyer leurs tables
en entier.
C’est un fonctionnement similaire à celui d’OSPF, mais contrairement aux routeurs OSPF, les
routeurs EIGRP envoient ces mises à jour partielles uniquement aux routeurs qui ont besoin de
l’information, et pas à tous les routeurs d’une zone. C’est pour cela que l’on utilise le terme de
mises à jour limitées. Plutôt que d’utiliser des mises à jour de routage temporisées, les routeurs
EIGRP gardent le contact à l’aide de petits paquets HELLO. Bien qu’ils soient échangés
régulièrement, les paquets HELLO consomment une part négligeable de la bande passante. [22]
[23]

3.5.4 Le protocole NHRP

3.5.4.1 Présentation

Dans un réseau informatique, NHRP est un protocole ou une méthode qui peut être utilisée de telle
sorte qu'un ordinateur qui envoie des données à un autre ordinateur peut apprendre l'itinéraire (la
route) le plus direct (le plus petit nombre de sauts) à l'ordinateur de réception.
Dans le réseau DMVPN, le protocole NHRP permet à un client NHC (spoke) de découvrir
dynamiquement l’adresse IP d’un autre client NHC connecté à un réseau NBMA. Ce protocole
permet aux routeurs distants de faire connaître leur adresse IP servant à monter le tunnel GRE
avec le serveur. Ce serveur de son côté stocke les adresse IP pour permettre à chaque routeur de
connaître l’adresse de son voisin et ainsi établir un tunnel direct avec lui. [15] [20]

3.5.4.2 Fonctionnement

Les routeurs spokes peuvent utiliser le NHRP pour découvrir les adresses des autres routeurs
spokes connectés à un réseau NBMA. Le routeur spoke qui envoie la demande registration NHRP
est appelé NHC, pendant que le routeur Hub qui répond la demande s’appelle NHS.
La figure 3.21illustre quatre routeurs dont les trois sont des routeurs spokes notés B1, B2 et B3et
le dernier un routeur Hub qui sont connectés à un réseau étendu ou Internet.

54
La phase de transfert est décrite comme suit : lorsqu’un routeur spoke NHC souhaite émettre, il
suit la procédure de routage en déterminant le prochain saut. Dès lors, deux cas sont possibles :
-Soit il connaît l’adresse IP correspondant du destinataire, il envoie donc l’information.
-Soit il fait une requête de résolution d’adresses donnant l’IP du destinataire. Le routeur spoke
NHC peut aussi préciser qu’il souhaite une réponse officielle, c'est-à-dire une réponse provenant
du NHS en charge du destinataire. En attendant la réponse de résolution d’adresses, le paquet peut
être soit jeté, soit mis en attente d’une réponse d’un raccourci, soit envoyer sur le chemin routé.
De son côté, un NHS recevant une requête regarde dans sa table, s’il est associé au destinataire. Si
c’est le cas, il renvoie une réponse officielle, sinon il transmet la requête vers le destinataire. Ce
dernier répond ensuite le NHS via le chemin inverse afin de mettre à jour les tables. Lorsque la
réponse arrive au NHS, il est alors susceptible de créer une connexion directe avec le destinataire.
Le routeur Hub répond avec l’adresse NBMA de B3, mais s’il ne connaît pas le NBMA de B3, il
doit tout d’abord demander ou vérifier B3. [15] [20]

Figure 3.21 : Fonctionnement du protocole NHRP

3.6 Les avantages de DMVPN


DMVPN fournit un certain nombre d’avantages qui ont contribué à le rendre très populaire et
fortement recommandé. Ceux-ci inclus :

55
-La simplification de la configuration du routeur Hub. Un VPN IPSec traditionnel nécessite la
configuration des caractéristiques de la crypto map, de l’ACL crypto ainsi que l’interface tunnel
GRE pour chaque SPOKE distant. Avec DMVPN, il suffit de créer une seule interface mGRE
ainsi qu’une seule politique IPSec. Il n’a pas besoin d’ACL crypto sur le routeur HUB. Peu
importe le nombre de routeurs spokes connectés au Hub, la configuration Hub reste constante.
DMVPN réduit considérablement la configuration nécessaire dans un réseau à grande échelle. [16]
[20]

-Le support complet pour les routeurs spokes avec l'adressage IP dynamique. Les routeurs spokes
peuvent utiliser des adresses IP dynamiques public. Grâce à NHRP, les routeurs spokes comptent
sur le routeur Hub de trouver l’adresse IP public des autres routeurs spokes et de construire un
tunnel VPN avec eux.

-La simplification de la communication entre les sites distants grâce à la création des tunnels
dynamiques spoke-to-spoke. Ainsi, le trafic entre les sites distants n’a pas besoin de parcourir le
routeur Hub.

- DMVPN améliore les performances du réseau en réduisant la latence et la gigue. Elle simplifie
grandement la topologie de réseau WAN, ce qui permet à l'administrateur de faire face à d'autres
problèmes plus fastidieux. Cela permet d'économiser de la bande passante précieuse, le temps et
l’argent.

-La sécurité est renforcée avec IPSec. Eventuellement, IPSec peut être configuré pour fournir le
cryptage des données et la confidentialité. IPSec est utilisé pour sécuriser les tunnels mGRE en
chiffrant le trafic du tunnel grâce aux variétés d'algorithmes de cryptage disponibles. [16] [20]

3.7 Conclusion
La technologie DMVPN est une solution fiable, sécurisée et évolutive, permettant une mise en
place et une gestion souples des tunnels IPSec. Elle se base sur une architecture centralisé, un
routeur est désigné comme « concentrateur ou Hub » et tous les autres routeurs « périphériques ou
spoke». Et il y a deux modèles de communication pour son déploiement, qui sont le modèle Hub-
and-spoke et le modèle spoke-to-spoke dont il existe quatre types d’architecture. Cette technologie
utilise le protocole GRE, NHRP, OSPF ou EIGRP et IPSec pour la déployer. Elle représente aussi
de nombreuses avantages comme la sécurisation du réseau MPLS qui est notre but dans ce travail
et que l’on va simuler dans le chapitre suivant.

56
CHAPITRE 4

SIMULATION SOUS GNS3 ET SECURISATION DES DONNEES ENTRE LES


DIFFERENTS SITES TRAVERSANT LE RESEAU MPLS

4.1 Introduction
Après avoir vu les concepts et l’étude théorique précédents, on s’intéresse dans cette partie au
déploiement de la technologie DMVPN sur une architecture MPLS. Les premiers pas consistent à
décrire le simulateur, la topologie du réseau et la configuration des équipements. Après cela, nous
présenterons les résultats afin d’élucider l’impact.

4.2 Choix du simulateur


Contrairement aux simulateurs commerciaux ou gratuits comme Boson, Packet Tracer, GNS3
utilise un véritable IOS entièrement fonctionnel.
Il donne la possibilité de mettre ses éléments dans le même réseau de la machine ce qui permet de
pouvoir faire de la simulation tout en faisant intervenir des équipements réels de notre réseau
(Routeurs, Switch, machines, téléphones IP, ...). Ainsi, GNS3 utilise des véritables IOS de Cisco
dans un environnement virtuel à travers un ordinateur.
GNS3 est particulièrement intéressant pour l’entrainement, la pédagogie et la familiarisation avec
les produits et les technologies de Cisco System. Il permet aussi de tester les fonctionnalités d’un
IOS, ainsi que la vérification rapide de configuration à déployer plus tard dans un environnement
de production. [28]

4.3 Présentations des outils de simulations utilisés

4.3.1 Le simulateur GNS3


Le GNS3 est un simulateur graphique de réseaux qui permet de créer des topologies de réseaux
complexes et d'en établir des simulations. C’est un émulateur de réseau libre avec une interface
graphique à l’image de Packet Tracer, Network Visualizer, … et qui suit le même principe de
fonctionnement que les machines virtuelles (VMWare, VirtualBox, …) qui émule un IOS
(Windows 7, linux, …) dans un environnement virtuel. [29]
Les gammes de routeurs émulés sont:
-Cisco 1700 (1710 à 1760)
-Cisco 2600 (2610 à 2651XM, 2691)
-Cisco 3600 (3620, 3640, 3660)

57
-Cisco 3700 (3725, 3745)
-Cisco 7200
Ce logiciel, en lien avec :
Dynamips qui un émulateur de routeurs Cisco capable de faire fonctionner des images
Cisco IOS comme si elles s'exécutaient sur de véritables équipements. Son rôle n'est pas de
remplacer de véritables routeurs, mais de permettre la réalisation de maquettes complexes
avec de vraies versions d'IOS. Contrairement à certains autres produits, il ne s'agit pas
d'une émulation de la ligne de commande IOS et de son fonctionnement, mais d'une
émulation complète du « hardware ». Dynamips peut être utilisé à des fins de formation,
d'expérimentation, aide au diagnostic, validation de configurations, ...
Dynagen qui est un produit complémentaire s'interfaçant avec Dynamips grâce au mode
hyperviseur et facilite la création et la gestion des maquettes grâce à un fichier de
configuration simple décrivant la topologie du réseau à simuler et une interface texte
interactive.
Pemu qui est aussi émulateur et un excellent outil pour l'administration des réseaux Cisco
ou dans les laboratoires réseaux. [29]

Figure 4.01 : Fenêtre d’accueil de GNS3

58
4.3.2 L’analyseur du réseau Wireshark
Wireshark est un logiciel d'analyse réseau permettant de visualiser l'ensemble des données
transitant sur la machine qui l'exécute, et d'obtenir des informations sur les protocoles applicatifs
utilisés. Ainsi, il permet d’examiner des trames à partir d’un fichier ou directement en les
capturant sur le réseau. Pour chaque paquet, il est possible d’obtenir un résumé.
En outre, le logiciel possède des fonctionnalités très utiles comme les filtres de capture et
d’affichage et la reconstitution du flux d’une session TCP. De plus, le nombre de protocoles
reconnus par l’analyseur est très élevé.[30]

Figure 4.02 : Interface de l’analyseur

L'interface de l'analyseur est découpée en trois zones :


• Zone supérieure, numérotée (1) sur Figure 4.02 : liste l'ensemble des paquets capturés
• Zone centrale, numérotée (2) sur Figure 4.02 : affiche le détail d'un paquet sélectionné
dans la liste des paquets de la zone supérieure. Les informations présentées y sont de loin
les plus pertinentes, puisqu'il est possible de visualiser aisément les différents en-têtes
résultant de l'encapsulation d'un message.
• Zone inférieure, numérotée (3) sur Figure 4.02 : présente l'ensemble du paquet sous
forme octale et ASCII. Ces octets contiennent les en-têtes des différentes couches de

59
l'architecture TCP/IP ainsi que les données transmises par le processus à l'origine du
message.
Lorsqu'un paquet est sélectionné, la zone centrale permet de visualiser clairement les
différentes couches d'encapsulation du paquet. Par exemple si l'on sélectionne un paquet de type
UDP, la zone centrale pourrait afficher quelque chose de similaire à ce qui est présenté par la
figure 4.03. Les cinq entrées présentées correspondent à différentes encapsulations, ordonnées de
la couche la plus basse à la couche la plus haute :
-Données sur le média de capture : Frame 5765
-Trame relative à la couche liaison de donnée : Ethernet II
-Paquet relatif à la couche réseau : Internet Protocol
-Datagramme relatif à la couche transport : User Datagram Protocol
-Données de l'application : regroupe généralement les couches session, présentation, application.
[30]

Figure 4.03 : Encapsulation d’un paquet UDP, zone centrale de l’analyseur

4.4 Mise en œuvre de la sécurité

4.4.1 Présentation des équipements


A partir de sa version 0.8.6, le simulateur GNS3 dispose d’une fonction permettant de simuler
certaines caractéristiques d’un réseau informatique comme l’optimisation de celui-ci ou encore sa
sécurisation.
Pour la réalisation de l’infrastructure on va utiliser l’architecture d’un seul DMVPN avec un seul
routeur Hub, car on veut réaliser les deux modèles de déploiement de DMVPN à travers le réseau
MPLS qui sont le modèle Hub-and-spoke et le modèle spoke-to-spoke.
Pour cela, on a choisit d’utiliser huit routeurs dans cette infrastructure dont:
-un routeur Hub que l’on nomme « Site_central »
-trois routeurs spokes qui sont les sites distants « Site_distant1, Site_distant2 et Site_distant3 »
-deux routeurs représentant le cœur du réseau MPLS et simulant les routeurs P1 et P2
-deux routeurs représentant le bord du réseau MPLS et simulant les routeurs PE1 et PE2

60
4.4.2 Présentation de la topologie
Lors de la mise en œuvre de la topologie, on a choisi d’utiliser la version IOS « c3640-ik9o3s-
mz124-13.bin » pour les quatre sites supportant ainsi la technologie DMVPN tandis qu’on a utilisé
la version IOS « c7200-p-mz.124-10b.bin » pour les routeurs P et PE supportant MPLS.
La figure 4.04 représente la topologie du réseau qu’on va sécuriser.

Figure 4.04 : La plateforme du réseau à simuler

4.4.3 Plan d’dressage du réseau


Dans notre topologie, les adresses de tous les sites appartiennent à la classe C tandis que les
adresses des routeurs P1, P2, PE1 et PE2 au cœur de réseau MPLS appartiennent à la classe A.
En effet :
-Une adresse IP de classe A dispose d'un seul octet pour identifier le réseau et de trois octets pour
identifier les machines sur ce réseau. Un réseau de classe A peut comporter plus de 16 millions de
terminaux. Le premier octet d'une adresse IP de classe A commence toujours par le bit 0, il est
donc compris entre 0 et 127, soit 0.0.0.0-127.255.255.255 avec un masque de sous réseau par
défaut 255.0.0.0.
-Une adresse IP de classe B dispose de deux octets pour identifier le réseau et de deux octets pour
identifier les machines sur ce réseau. Un réseau de classe B peut comporter jusqu'à 65 534
terminaux. Le premier octet d'une adresse IP de classe B commence toujours par la séquence de
bits 10, il est donc compris entre 128 et 191, soit 128.0.0.0-191.255.255.255 avec un masque de
sous réseau par défaut 255.255.0.0.

61
- Une adresse IP de classe C dispose de trois octets pour identifier le réseau et d'un seul octet pour
identifier les machines sur ce réseau. Un réseau de classe C peut comporter jusqu'à 254 terminaux.
Le premier octet d'une adresse IP de classe C commence toujours par la séquence de bits 110, il
est donc compris entre 192 et 223, soit 192.0.0.0-223.255.255.255 avec un masque de sous réseau
par défaut 255.255.255.0.
- Les adresses de classe D sont utilisées pour les communications multicast, tandis que les
adresses de classe E sont réservées à un usage non déterminé.
Matériel Interface Adresse Masque
Site_central f0/0 192.168.1.100 255.255.255.0
f1/0 192.168.1.1 255.255.255.0
PE1 f1/1 5.5.1.2 255.0.0.0
f2/0 6.6.1.2 255.0.0.0
f1/0 5.5.1.3 255.0.0.0
P1 f1/1 7.7.1.3 255.0.0.0
f1/0 6.6.1.3 255.0.0.0
P2 f1/1 8.8.1.3 255.0.0.0
f1/0 7.7.1.2 255.0.0.0
f1/1 8.8.1.2 255.0.0.0
PE2 f2/0 192.168.2.1 255.255.255.0
f2/1 192.168.3.1 255.255.255.0
f3/0 192.168.4.1 255.255.255.0
Site_distant1 f0/0 192.168.2.2 255.255.255.0
Site_distant2 f0/0 192.168.3.3 255.255.255.0
Site_distant3 f0/0 192.168.4.4 255.255.255.0

Tableau 4.01 : Les adresses IP des équipements utilisés lors de la simulation dans GNS3

4.5 Interprétations des résultats de la simulation

4.5.1 Vérification dans le réseau MPLS

4.5.1.1 Pour le routeur PE1

A l’aide de la commande « show mpls interfaces » on peut connaître quelle interface est activée
par MPLS.

62
Figure 4.05 : Résultat de la commande « show mpls interfaces » du routeur PE1
Les interfaces FastEthernet1/1 et FastEthernet2/0 du routeur PE1 sont activées par MPLS.

On peut aussi vérifier la table MPLS des routeurs à l’aide de la commande « show mpls
forwarding-table ».

Figure 4.06 : Résultat de la commande « show mpls forwarding-table » du routeur PE1

4.5.1.2 Pour le routeur P1

Figure 4.07 : Résultat de la commande « show mpls interfaces » du routeur P1

63
Les interfaces FastEthernet1/0 et FastEthernet1/1 du routeur P1 sont activées par MPLS.

Figure 4.08 : Résultat de la commande « show mpls forwarding-table » du routeur P1

4.5.1.3 Pour le routeur P2

Figure 4.09 : Résultat de la commande « show mpls interfaces » du routeur P2

Les interfaces FastEthernet1/0 et FastEthernet1/1 du routeur P2 sont activées par MPLS.

64
Figure 4.10 : Résultat de la commande « show mpls forwarding-table » du routeur P2

4.5.1.4 Pour le routeur PE2

Figure 4.11 : Résultat de la commande « show mpls interfaces » du routeur PE2


Les interfaces FastEthernet1/0 et FastEthernet1/1 du routeur PE2 sont activées par MPLS.

Figure 4.12 : Résultat de la commande « show mpls forwarding-table » du routeur PE2

65
4.5.2 Test des sites et résultats
On va tester d’envoyer des paquets aux sites distants à l’aide de la commande « ping ». On va
tester tous les sites distants dont l’adresse du tunnel sont 10.1.1.2 pour le site_distant1, 10.1.1.3
pour le site_distant2 et 10.1.1.4 pour le site_distant3.

Figure 4.13 : Résultat du commande « ping»


A l’aide de la commande « show ip nhrp », on peut voir les adresses de chaque tunnel et les
adresses NBMA des sites distants enregistrés dans le routeur site central.

Figure 4.14 : Résultat généré par la commande « show ip nhrp »


A l’aide de la commande « show crypto isakmp sa », on peut vérifier l’état de l’IKE entre le
routeur site central et les routeurs sites distants.

66
Figure 4.15 : Résultat de la commande « show crypto isakmp sa »
Ce résultat montre que la politique IKE est activée entre le site central et les sites distants. Et grâce
au logiciel Wireshark, on peut effectuer des captures de paquet.

Figure 4.16 : Résultat de capture de paquet entre le routeur PE2 et le site distant1 par Wireshark
D’après ce résultat, on a des protocoles ESP transitant entre les sites qui indique que le sites sont
bien sécurisés par la technologie DMVPN.

67
4.6 Conclusion
Les résultats de notre simulation montrent que grâce au déploiement de la technologie DMVPN,
on a pu sécuriser les données entre le site central et les trois sites distants à travers le réseau
MPLS. A travers cette démonstration, nous nous rendons compte que GNS3 est un outil de réseau
puissant et indispensable pour l'évaluation test avant le lancement dans un environnement réel.
Partant du constat de nos jours, les entreprises s'orientent de plus en plus vers des solutions de
virtualisation de leur réseau afin d'optimiser leurs ressources et par souci d'économie.

68
CONCLUSION GENERALE

Les réseaux informatiques et les ordinateurs constituent aujourd’hui des outils essentiels au succès
d’une entreprise, peu importe sa taille. Ils permettent aux personnes de communiquer, prennent en
charge les applications et les services et offrent l’accès aux ressources nécessaires au
fonctionnement de l’entreprise. Pour répondre aux besoins quotidiens des entreprises, les réseaux
eux-mêmes deviennent de plus en plus complexes. La sécurité des réseaux d’information doit être
conçue de façon à protéger automatiquement le réseau contre tout incident imprévu et contre tout
incident de sécurité.
De nombreux protocoles de réseaux de transports se succèdent comme le X.25, le Frame Relay,
l’ATM et MPLS, mais ce dernier a su prendre une place prépondérante dans les réseaux longue
distance opérateurs. Son premier but était d'optimiser le temps de traitement des paquets au sein
du cœur de réseau. En plus, de nos jours, les quantités de données transportées sur les réseaux sont
de plus en plus importantes, et le routage IP actuel ne satisfait pas aux contraintes qui sont
désormais de l'ordre de la bande passante et du temps de transmission. MPLS offre
indéniablement plusieurs services intéressants à exploiter, et ne nécessite pas forcément
d'investissement conséquent lors de sa mise en place. En effet, grâce à la flexibilité de son
architecture et à l’évolution du réseau de transport, une entreprise centrale peut se connecter à ces
filiales. Malgré ces avantages du réseau MPLS, son principal inconvénient est qu’il n’assure pas la
sécurité des données échangées.
Dans ce mémoire, nous avons utilisé la technologie DMVPN afin de sécuriser les données
échangées entre les sites à travers MPLS. Cette technologie garantit cette sécurité des données et
facilite aussi la configuration car elle permet de garder la configuration du site centrale en cas
d’ajout d’un nouveau site. Grâce à ces différents composants, la technologie DMVPN crée un
tunnel en utilisant le protocole mGRE afin d’envelopper les trafics multicast, le protocole NHRP
pour s’occuper des adresses de destination du tunnel et le protocole IPSec pour protéger les
données à travers le réseau MPLS. Basé sur une architecture centralisée, il existe deux façons de la
déployer, soit en mode Hub and spoke, soit en mode spoke-to-spoke. L’accès des employés à
distance à l’aide de la technologie DMVPN est ainsi un point fondamental de la mise à niveau du
réseau.

69
ANNEXE 1 EXTRAIT DE LA CONFIGURATION DES SITES

A1.1 Configuration du site central

Nous allons présenter les configurations à l’aide de l’invite de commande sur le simulateur de
Cisco GNS3.

Crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0

Crypto ipsec transform-set MINE esp-3des

Crypto ipsec profile DMVPN

set transform-set MINE

interface Tunnel0

ip address 10.1.1.1 255.255.255.0

no ip redirects

ip mtu 1416

ip hold-time eigrp 1 35

no ip next-hop-self eigrp 1

ip nhrp map multicast dynamic

ip nhrp network-id 1

70
no ip split-horizon eigrp 1

tunnel source 192.168.1.100

tunnel mode gre multipoint

tunnel protection ipsec profile DMVPN

interface FastEthernet0/0

ip address 192.168.1.100 255.255.255.0

speed 100

full-duplex

Router eigrp 1

network 10.0.0.0

network 172.16.0.0

network 192.168.0.0

no auto-summary

A1.2 Configuration des sites distants

A1.2.1 Pour le site distant1

Crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0

71
!

Crypto ipsec transform-set MINE esp-3des

Crypto ipsec profile DMVPN

set transform-set MINE

interface Loopback0

ip address 172.16.2.1 255.255.255.0

interface Tunnel0

ip address 10.1.1.2 255.255.255.0

no ip redirects

ip mtu 1416

ip hold-time eigrp 1 35

no ip next-hop-self eigrp 1

ip nhrp map 10.1.1.1 192.168.1.100

ip nhrp map multicast 192.168.1.100

ip nhrp network-id 1

ip nhrpnhs 10.1.1.1

no ip split-horizon eigrp 1

tunnel source 192.168.2.2

tunnel mode gre multipoint

72
tunnel protection ipsec profile DMVPN

interface FastEthernet0/0

ip address 192.168.2.2 255.255.255.0

speed 100

full-duplex

Router eigrp 1

network 10.0.0.0

network 172.16.0.0

network 192.168.0.0

no auto-summary

A1.2.2 Pour le site distant2

Crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0

Crypto ipsec transform-set MINE esp-3des

Crypto ipsec profile DMVPN

73
set transform-set MINE

interface Tunnel0

ip address 10.1.1.3 255.255.255.0

no ip redirects

ip mtu 1416

ip hold-time eigrp 1 35

no ip next-hop-self eigrp 1

ip nhrp map 10.1.1.1 192.168.1.100

ip nhrp map multicast 192.168.1.100

ip nhrp network-id 1

ip nhrp nhs 10.1.1.1

no ip split-horizon eigrp 1

tunnel source 192.168.3.3

tunnel mode gre multipoint

tunnel protection ipsec profile DMVPN

interface FastEthernet0/0

ip address 192.168.3.3 255.255.255.0

speed 100

full-duplex

74
Router eigrp 1

network 10.0.0.0

network 172.16.0.0

network 192.168.0.0

no auto-summary

A1.2.3 Pour le site distant3

Crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0

Crypto ipsec transform-set MINE esp-3des

Crypto ipsec profile DMVPN

set transform-set MINE

interface Loopback0

ip address 172.16.4.1 255.255.255.0

interface Tunnel0

ip address 10.1.1.4 255.255.255.0

75
no ip redirects

ip mtu 1416

ip hold-time eigrp 1 35

no ip next-hop-self eigrp 1

ip nhrp map 10.1.1.1 192.168.1.100

ip nhrp map multicast 192.168.1.100

ip nhrp network-id 1

ip nhrp nhs 10.1.1.1

no ip split-horizon eigrp 1

tunnel source 192.168.4.4

tunnel mode gre multipoint

tunnel protection ipsec profile DMVPN

interface FastEthernet0/0

ip address 192.168.4.4 255.255.255.0

speed 100

full-duplex

Router eigrp 1

network 10.0.0.0

network 172.16.0.0

network 192.168.0.0

no auto-summary

76
ANNEXE 2 EXTRAIT DE LA CONFIGURATION DU RESEAU MPLS

A2.1 Configuration des routeurs PE

A2.1.1 Routeur PE1

ip cef

no ip domain lookup

ip domain name lab.local

mpls label protocol ldp

interface Loopback0

ip address 2.2.2.2 255.0.0.0

interface FastEthernet0/0

no ip address

shut down

duplex half

interface FastEthernet1/0

ip address 192.168.1.1 255.255.255.0

duplex auto

speed auto

77
interface FastEthernet1/1

ip address 5.5.1.2 255.0.0.0

duplex auto

speed auto

mpls ip

interface FastEthernet2/0

ip address 6.6.1.2 255.0.0.0

duplex auto

speed auto

mpls ip

interface FastEthernet2/1

noip address

shut down

duplex auto

speed auto

Router ospf 1

log-adjacency-changes

network 2.0.0.0 0.255.255.255 area 0

network 5.0.0.0 0.255.255.255 area 0

78
network 6.0.0.0 0.255.255.255 area 0

A2.1.2 Routeur PE2

ip cef

no ip domain lookup

ip domain name lab.local

mpls label protocol ldp

interface Loopback0

ip address 3.3.3.3 255.0.0.0

interface FastEthernet0/0

no ip address

shut down

duplex half

interface FastEthernet1/0

ip address 7.7.1.2 255.0.0.0

duplex auto

speed auto

mpls ip

79
interface FastEthernet1/1

ip address 8.8.1.2 255.0.0.0

duplex auto

speed auto

mpls ip

interface FastEthernet2/0

ip address 192.168.2.1 255.255.255.0

duplex auto

speed auto

interface FastEthernet2/1

ip address 192.168.3.1 255.255.255.0

duplex auto

speed auto

interface FastEthernet3/0

ip address 192.168.4.1 255.255.255.0

duplex auto

speed auto

interface FastEthernet3/1

80
no ip address

shut down

duplex auto

speed auto

Router ospf 1

log-adjacency-changes

network 3.0.0.0 0.255.255.255 area 0

network 7.0.0.0 0.255.255.255 area 0

network 8.0.0.0 0.255.255.255 area 0

A2.2 Configuration des routeurs P

A2.2.1 Routeur P1

ip cef

no ip domain lookup

ip domain name lab.local

mpls label protocol ldp

interface FastEthernet0/0

no ip address

shut down

duplex half

81
!

interface FastEthernet1/0

ip address 5.5.1.3 255.0.0.0

duplex auto

speed auto

mpls ip

interface FastEthernet1/1

ip address 7.7.1.3 255.0.0.0

duplex auto

speed auto

mpls ip

Router ospf 1

log-adjacency-changes

network 5.0.0.0 0.255.255.255 area 0

network 7.0.0.0 0.255.255.255 area 0

A2.2.1 Routeur P2

ip cef

no ip domain lookup

ip domain name lab.local

82
mpls label protocol ldp

interface FastEthernet0/0

no ip address

shut down

duplex half

interface FastEthernet1/0

ip address 6.6.1.3 255.0.0.0

duplex auto

speed auto

mpls ip

interface FastEthernet1/1

ip address 8.8.1.3 255.0.0.0

duplex auto

speed auto

mpls ip

router ospf 1

log-adjacency-changes

network 6.0.0.0 0.255.255.255 area 0

network 8.0.0.0 0.255.255.255 area 0

83
ANNEXE 3 ALGORITHME DE DIJKSTRA

A3.1 Présentation

L’algorithme du chemin le court, fondé sur la théorie des graphes, fut mis au point par Edsger
Dijkstra en 1959. Depuis lors, grâce à son efficacité et à sa relative simplicité, il a été utilisé dans
bon nombre d’applications dans le domaine de l’informatique et des réseaux. Parmi celles-ci, on
peut citer les protocoles d’arbres de recouvrement et à état des liens.

L’algorithme opère sur un graphe orienté comportant des nœuds reliés par des arcs pondérés. Le
problème à résoudre consiste à trouver pour un nœud du graphe (appelé nœud racine) le chemin le
plus court vers tous les nœuds accessibles (ce chemin est celui dont le cumul des poids de tous les
arcs vers ces nœuds destination est minimal, cette valeur cumulée s’appelle distance)

A3.2 Principes

L’algorithme utilise deux ensembles de données composés de deux champs : l’identification du


nœud et sa distance au nœud racine. Le premier ensemble appelé : « chemin le plus court » ou SP
(Shortest Path) est destiné à contenir les nœuds pour lesquels le plus court chemin a déjà été
trouvé. Le deuxième ensemble appelé « chemin candidat le plus court » ou CSP (Candidate
Shortest Path) contient les pour lesquels le chemin le plus court reste à confirmer. Au démarrage
l’algorithme range le nœud racine dans le SP laissant la CSP vide. Par itérations successives
l’algorithme déroule les étapes suivantes :

Il calcule la distance du nœud S vers tous ses voisins. S’il s’agit de l’initialisation, le nœud
S est le nœud racine ; sinon, c’est celui défini à l’étape 4 qui est pris comme nœud source.
Il range tous les nœuds voisins de S dans la CSP en leur associant la distance minimale.
Il choisit le nœud ayant la distance minimale parmi tous ceux de la CSP pour le ranger
dans la SP.
Il prend le nœud suivant de la CSP comme nœud source pour boucler à partir de l’étape 1.
L’itération se termine à l’épuisement des nœuds continus dans la CSP.

La version étendue de l’algorithme de Dijkstra utilisée dans le protocole OSPF ou dans les
protocoles d’état de liens consiste à calculer le plus court chemin pour tous les nœuds du graphe
vers les autres nœuds.

84
Pour mieux comprendre le mécanisme, prenons l’exemple du graphe illustré sur la figure A3.1.
Les nœuds sont représentés par des cercles numérotés. Les arcs sont représentés par des lignes,
chacune avec le poids associé.

Figure A3.1 : Exemple du graphe orienté

85
ANNEXE 4 ALGORITHME DUAL

A4.1 Principe

On considère les deux problèmes :

primal dual

3 4 5 = 14 3"# =6 (A4.01)
24 = 62 ≥ 1 (A4.02)
4≥0 6 89 !1 #89 (A4.03)

Si on a une base B alors

6(: + ) ≥ (1< , 1= ) (A4.04)

C'est-à-dire

6: ≥ 1< 6 ≥ 1= (A4.05)

On peut choisir y tel que 6: = 1< en prenant6 = 1> : ?


. De plus on a :

1> : ?
≥ 1= (A4.06)

C'est-à-dire 5 − 1@ ≥ 0 pour tout j indice de variable hors-base. Cela signifie donc que B réalise
l’optimum si B est admissible.

Cette remarque donne lieu à l’algorithme dual du simplexe qui part d’une situation où 5 − 1@ ≥ 0
mais où la base n’est pas admissible (des bi sont inférieur à 0). L’algorithme consiste à choisir un
pivot qui rend les bi ≥ 0 tout en maintenant les 5 − 1@ ≥ 0(situations duales de l’algorithme du
simplexe).

A4.2 Algorithme

Choix du pivot : choisir une ligne i tel que br< 0 et une colonne k telle que

(") A, <0
("") (5 1 )/ A, = 3 4 D (5 1 )/ A, E A, < 0F (A4.07)

Cas de pivotage : comme ,. < 0 la nouvelle valeur de br devient ≥ 0 mais d’autres


peuvent changer de signes. Il faut montrer que 5 − 1@ ≥ 0 pour tout j. le coefficient après
pivotage est

86
G5 − 1@ H − ( , / A, ) (5 − 1I ) (A4.08)

Qui doit être ≥ 0

1. Si , ≥ 0 on a bien une valeur ≥ 0


2. Si , > 0 on obtient

(5 − 1@ )/ , ≤ (5 − 1I )/ A, (A4.09)

87
ANNEXE 5 LE PROTOCOLE ESP

A5.1 Les éléments d’IKE

Schématiquement, IKE est l’ensemble des protocoles ISAKMP et Oakley :

ISAKMP est un protocole pour la négociation préalable à l’établissement des associations


de sécurité. Les sessions ISAKMP utilisent UDP (source et destination port = 500).
Les résultats de l’établissement d’une session ISAKMP sont des SAs ISAKMP bidirectionnelles.
Une session ISAKMP est authentifiée :
- soit par une clef partagée (pre-shared key)
- soit par RSA signature et chiffrement.
Oakley détermine le mécanisme pour l’échange automatique des clefs, le partage, de façon
sur entre les tiers, d’un ensemble d’informations relatives au chiffrement. Il définit le
mécanisme d’échange de clefs dans les SAs ISAKMP, détermine les clefs AH/ESP
nécessaire pour chaque IPSec SA et utilise l’algorithme Diffie-Hellman pour les
générations de clefs.

IKE démarre donc avant IPSec.


- On a un tunnel IKE en premier,
- Puis un tunnel IPSec ensuite (ce dernier étant issu des négociations IKE préalables).

A5.2 Les utilisations d’IKE

A5.2.1 Un protocole en deux phases

Le protocole IKE se décompose en deux phases distinctes. Dans une première phase, un canal
sécurisé (chiffré et authentifié) est créé entre les deux participants. Dans une deuxième phase, ce
canal est utilisé pour négocier les divers paramètres de la SA.
La première phase utilise bien entendu elle aussi des algorithmes cryptographiques, qui ne sont
pas nécessairement les mêmes que ceux définis finalement dans la SA. Les paramètres du canal
sécurisé négocié lors de la première phase et utilisé pour protéger la seconde phase sont parfois
désignés sous le terme ISAKMPSA ou encore IKE SA, par opposition aux IPSEC SA qui sont les
SA négociées lors de la seconde phase et utilisées pour protéger le trafic « utile ».
La première version d’IKE permettait deux modes différents pour la phase 1, le mode principal et
le mode agressif. Le deuxième a la caractéristique de nécessiter moins de messages que le premier

88
mais de ne pas cacher l’identité des participants à un éventuel attaquant en écoute passive sur le
réseau. La phase 2 utilisait quant à elle le mode rapide. IKE version 2 a une première phase
similaire au mode principal mais n’emploie plus cette terminologie. On trouve toutefois encore
des produits désignant par « mode principal » la première phase et « mode rapide » la deuxième.

A5.2.2 Authentification des correspondants

L’authentification des participants à la première phase peut se faire soit au moyen d’un secret
partagé (PSK : « Pre-Shared Key ») soit par utilisation d’un mécanisme de cryptographie
asymétrique tel que RSA. Dans ce cas, il est possible d’utiliser une Infrastructure de Gestion de
Clés (IGC ou PKI) pour certifier les clés publiques des participants et ainsi ne pas devoir pré-
positionner toutes les clés publiques sur l’ensemble des hôtes.
On privilégie généralement l’utilisation d’une IGC, ce qui permet de simplifier l’exploitation du
système : l’ajout d’un nouvel hôte ou la révocation d’une clé compromise est aisée (il n’est pas
nécessaire d’intervenir sur tous les équipements déjà en place). Il peut être délicat dans les autres
modes de réagir avec la diligence nécessaire à une compromission de clé, par exemple le vol d’un
équipement.
Le mode PSK doit en principe être évité pour des systèmes en production et être cantonné à des
systèmes de tests ou à des opérations de diagnostic. S’il était nécessaire d’y recourir
exceptionnellement, une bonne pratique générale pour les secrets partagés est de prendre garde à
ce que l’entropie soit suffisante pour rendre difficile une attaque par recherche exhaustive.
A5.2.3 Négociation des SP

IKE permet aussi de négocier les SP. Dans la plupart des cas, tous les paramètres des SP sont
connus à l’avance et cette négociation ne présente que peu d’intérêt. Il est alors très utile de
pouvoir adapter ce paramètre de la SP à la volée au moyen de la négociation IKE.
Dans les cas où un tel mécanisme de négociation n’est pas nécessaire, il est préférable d’employer
une configuration statique (si les équipements le permettent) de manière à garder la maîtrise de la
politique de sécurité. Dans le cas où une négociation des politiques de sécurité par IKE est utilisée,
il est nécessaire de s’assurer par la politique de filtrage que le système ne se trouve jamais dans un
état où il échange des données en clair. Concrètement, cela signifie interdire par des règles de
filtrage réseau tout trafic qui n’utilise pas le protocole IKE, ESP et les protocoles qui seraient
nécessaires au fonctionnement du réseau, tel qu’ICMP.

89
BIBLIOGRAPHIE

[1] C. Attiogbé, "Réseaux informatiques: architecture et concepts fondamentaux", 2000

[2] B. Marti, "Télématique : techniques, normes, services", 1990

[3] C. Servin, "Réseaux et télécoms", 2003

[4] B. Cousin, "Introduction aux réseaux informatiques", 2013

[5] G. Mohamed, "planification, ingénierie des réseaux de nouvelle génération-NGN", 2013

[6] N. Saâda, "Etude et optimisation d’un backbone IP/MPLS", 2014

[7] J. Michel, "Exposé sur le MPLS", Université de Toulouse, 2003-2004

[8] F. Hochenedel, "Prévention des congestions dans les réseaux MPLS pour une meilleure
ingénierie de trafic", 2010

[9] L. Charbonnier, "Evaluation de la sécurité des réseaux privés virtuels sur MPLS", 2007

[10] N. T. Trang, "MPLS", 2009

[11] F. Nolot, "Introduction à MPLS", 2009

[12] J. Truffot, "Conception de réseaux haut débit sous contrainte de sécurisation", 2007

[13] M. Emilie, "Optimisation des réseaux de télécommunications : réseaux multiniveaux,


tolérance aux pannes et surveillance du trafic", 2006

[14] Z. B. Hamouda, "Conception et optimisation robuste des réseaux de télécommunications",


2010

[15] J. Bass, "DMVPN for R&S CCIE Candidate", 2014

[16] D. Dabo, G. Yakete, S. Dem, "Dynamic multipoint virtual private network (DMVPN)", Institut
Supérieur d’informatique ISI, A.U : 2013-2014

[17] F. Detienne, M. Kumar, M. Sullenberger, "Flexible DynamicMesh VPN", 2013

[18] S. Lynn, "DMVPN/GET VPN", 2008

90
[19] M. Sullenberger, "Advanced Concepts of DMVPN", 2013

[20] B. Sustar, "Designing Site-to-Site IPsec VPNs-Part 4", 2009

[21] F. Nolot, "Les protocoles de routage OSPF", 2007

[22] F. Nolot, "Les protocoles de routage OSPF et EIGRP", 2007

[23] L. Steffenel, "Le protocole EIGRP", 2008

[24] X. F. Caballero, "Etude d’IPsec : projet d’une API_IPsec pour la mobilité et le Multihoming",
2008

[25] D. Reynal, J. G. Rorthais, S. S. Tan, "Présentation sur les VPN", 2004

[26] A. Guermouche, "Sécurité des réseaux IPSec", 2009

[27] G. Labouret, "La sécurité réseau avec IPSec", 1999

[28] J. Diokh, "Prise en main de GNS3", Ecole Centrale des logiciels libres et de
télécommunications, A.U.: 2010-2011

[29] A. Ksiks, I. Maiga, "Etude et simulation sur GNS3 du service MP-BGP/VPN-IP", Ecole
Nationale des Sciences Appliquées de Marrakech, A.U. : 2010-2011

[30] B. Darties, "Tutoriel d’utilisation de Wireshark", 2009

91
FICHE DE RENSEIGNEMENT
Nom : RAZAFIARINOMENJANAHARY

Prénoms : Antsanirina Miora

Adresse de l’auteur : Lot 072 E Bis Ambohibao Antehiroka


Antananarivo 101 – Madagascar
Tel : +261 34 61 087 66
E-mail : rantsanirinamiora@gmail.com

Titre du mémoire :

« SECURISATION DES DONNEES ECHANGEES ENTRE DES SITES A

TRAVERS LE RESEAU MPLS PAR LA TECHNOLOGIE DMVPN »

Nombre de pages : 93

Nombre de tableaux : 3

Nombres de figures : 59

Directeur de mémoire :

Nom : ANDRIAMIASY

Prénoms : Zidora

Grade : Maître de conférences

Tel : +261 34 01 141 21

E-mail : andriamiasyzidora@yahoo.fr

92
RESUME

La conception d’une architecture sécuritaire est devenue primordial lors de l’échange de données à
travers un réseau de transport non sécurisé. MPLS est un protocole de réseau de transport qui
utilise un mécanisme de routage qui lui est propre, basé sur l'attribution d'un « label » à chaque
paquet. Son but est d'associer la puissance de la commutation de la couche 2 avec la flexibilité du
routage de la couche 3. Il offre de nombreux avantages mais malheureusement, il ne garantit pas la
sécurité des données. Avec l'apparition de la nouvelle technologie DMVPN, les entreprises
peuvent sécuriser les données échangées entre des sites distants, tout en gardant les fonctionnalités
du réseau MPLS. La technologie DMVPN qui est en réalité un ensemble de technologies comme
IPSec, mGRE et NHRP, facilite le déploiement des réseaux privés virtuels IPSec. Le déploiement
de la technologie DMVPN dans un réseau MPLS assure donc la sécurité des données échangées à
travers les sites. Les résultats de la simulation montrent que le déploiement de la technologie
DMVPN permet de sécuriser les données échangées entre les sites à travers le réseau MPLS.
Mots clés : MPLS, DMVPN, mGRE, IPSec, EIGRP, NHRP.

ABSTRACT

Designing security architecture has become essential when exchanging data through an insecure
transport network. MPLS is a transport network protocol that uses a routing mechanism of its
own, based on the award of a “label” to each packet. Its goal is to combine the power of the
switching layer 2 with flexibility of routing layer 3. It offers many benefits but unfortunately, it
does not guarantee data security. With the advent of the new DMVPN technology, companies can
secure the data exchanged between remote sites while maintaining the functionality of the MPLS
network. The DMVPN technology that actually is a set of technologies such as IPSec, mGRE and
NHRP, facilitates the deployment of IPSec VPNs. The deployment of the DMVPN technology in
an MPLS network thus ensures the security of data exchanged through the sites. The simulation
results show that the deployment of the DMVPN technology enables secure data exchange
between sites across the MPLS network.

Keys words: MPLS, DMVPN, mGRE, IPSec, EIGRP, NHRP.

Vous aimerez peut-être aussi