DOSSIER TECHNIQUE POUR :

DMVPN
SOCIETE GENERALE CAMEROUN

1
I. INTRODUCTION ………………………………………………………………………………………………….4

II. EQUIPE IPRO SL DE GESTION DU PROJET …………… ………… …………… ……… ………….4

III. PRESENTATION DE LA SOLUTION …… …… …… … …… ……… … …… ……… …… ………….5

IV. ARCHITECTURE RESEAU DE LA SOLUTION ……………… …… …… ……… …… …… ………. 6

V. DESCRIPTION DE LA SOLUTION…... …… …… … ……… ………… ……… ……… ……… ……… 8

VI. CONFIGURATION DE LA SOLUTION ……… ……… …… …… …… …………… .………...… … ..12

VII. OFFRE FINANCIERE ………………………………… …………………… ……… …………… ………….. 12

2
 I. PRESENTATION DE LA SOLUTION DMVPN

Les VPNs IPsec multipoints dynamiques (Dynamic Multipoint VPN,

DMVPN) est une technique de routage qui permettent de déployer rapidement un
grand nombre de sites de manière sécurisée et scalable. Le nom DMVPN désigne
en fait un ensemble de technologies (IPsec, mGRE et NHRP) qui, combinées,
facilitent le déploiement de réseaux privés virtuels IPsec.
1. Problématique
Suite aux limites des VPN IPsec en particulier, de deux d’entre elles, lorsque l’on
rajoute un site qui doit communiquer avec un site central, il est nécessaire de
modifier la configuration de ce site central. Cela présente non seulement un
problème pratique de maintenance (il faut intégrer une modification conséquente
dans la configuration d’un équipement en production), mais surtout d’échelle : la
configuration du site central peut devenir rapidement illisible à d’autres sites
distants.
Par ailleurs, si les sites distants doivent communiquer entre eux, l’équation devient
impossible à résoudre. Imaginons un réseau composé d’un site central (S) et de
deux sites distants (S1 et S2). Pour obtenir un réseau "full meshed" (complètement
maillé, ayant des liaisons IPsec entre tous les sites), il faut créér 3 tunnels IPsec (S-
S1, S-S2 et S1-S2) voir figure 1.

Figure1 : Réseau maillé à trois routeurs

3
Maintenant, nous ajoutons un troisième site S3. Pour continuer à avoir un réseau
complètement maillé, nous devons créer 3 tunnels supplémentaires (S-S3,S1-
S3,S2-S3) voir figure 2.

Figure 2 :Réseau maillé à quatre routeurs

Nous avons doublé le nombre de tunnels pour arriver à 6 tunnels. En fait, pour
relier un nombre n de sites, nous devons configurer n(n-1)/2 tunnels, et modifier les
configurations de n routeurs.

2. Solution

DMVPN (Dynamic Multipoint VPN) permet de résoudre ces deux problèmes : non
seulement la configuration du routeur "central reste statique (elle ne change pas
lorsque l’on ajoute un site distant), mais encore la création de tunnels entre sites
distants est complètement automatique.

3. Prérequis
DMVPN s’appuyant sur des technologies et des protocoles très typés Cisco, cette
solution requiert un équipement dudit constructeur, accompagné d’un IOS assez
récent (12.3(11) T3).

4
 4. Composants et terminologie
DMVPN et en fait une combinaison des technologies suivantes :

• IPsec

Le protocole IPsec permet de chiffrer le traffic entre les différents sites.

Des clefs "wilcard psk (pre-shared keys)" (clefs pré-partagées génériques) seront
utilisées. Ce n’est pas l’idéal en termes de sécurité, mais c’est ce qui permet la
mise en œuvre la plus simple et la plus rapide.

• mGRE (mutipoint GRE)

GRE permet d’encapsuler des paquets multicast, requis notamment pour les
protocoles de routage ; le ’m’de mGRE permet lui de créer des tunnels multipoints
entre les sites, c’est à dire de créer plusieurs tunnels par une seule pseudo-interface
’Tunnel’.

• NHRP (Next Hop Resolution Protocol)

Ce protocole permet aux sites distants de faire connaitre l’adresse IP de l’interface

physique servant à monter le tunnel GRE avec le serveur. Le serveur conservera
cette information pour tous les sites distants, afin de leur permettre d’obtenir
l’adresse de leur voisin pour monter des tunnels directs.

5
IV. ARCHITECTURE RESEAU DE LA SOLUTION

ISP1:Camtel
ISP2:MTN
ISP3:Orange

WAN MPLS

6
 V. DESCRIPTION DE LA SOLUTION

Le réseau WAN de la Société générale du Cameroun est constitué de trois liaisons WAN établies
avec trois FAI distincts à savoir Camtel,MTN et Orange afin de garantir la haute disponibilité de son
réseau. Ainsi lors du déploiement du DMVPN,trois tunnels multipoint GRE seront crées sur chaque
site du réseau WAN. Le site central appelé le HUB aura ainsi trois tunnels GRE et les sites distancts
appélés SPOKE auront égalément trois tunnels mGRE. Ces tunnels assureront également la
redondance des liaisons WAN DMVPN car lorsque la liaison principale est « down » la liason
secondaire prendra automatiquement le rélai comme l’illustre la figure ci-dessous.

ISP1:Camtel
ISP2:MTN
ISP3:Orange

WAN MPLS

7
Une fois les tunnels crées, le protocol NHRP assurera l’établissement de la base de données de tous
les spoke du réseau garantissant ainsi l’établissement des liaison VPN à la demande notamment
lorsqu’un ou plusieurs spokes aimeraient communiquer entre elle. Cette liaison s’établira
automatiquement et se fermera automatiquement à la fin de la communication comme l’illustre la
figure ci-dessous

S1

ISP1:Camtel
ISP2:MTN
ISP3:Orange

S2
WAN MPLS

S3

Supposons que sur la figure ci-dessus le spoke S2 aimerait communiquer avec le spoke S3. Ce
dernier va contacter le Hub en lui envoyant une demande NHRP car il est considéré sur l’architecture
comme le serveur NHRP. Le Hub va lui envoyer une réponse NHRP sur lequel il aura les paramétres
du spoke S3 afin d’établir une tunnel VPN automatiquement sans une configuration préalable. Une
fois le tunnel établi,les deux spokes pourront s’échanger les données et une fois terminée le tunnel se
fermera. Voir figure illustratif ci-dessous ;

Les communications établies seront séront sécurisées par IPsec afin de garantir l’intégrité des
données de bout en bout.

8
 S1
ISP1:Camtel
ISP2:MTN
ISP3:Orange
NHRP request

NHRP reply

Probématique:
WAN MPLS
S2
Je souhaite
communiquer aves S3

S3

VI. CONFIGURATION DE LA SOLUTION

Ce thème sera traité lors du déploiement de la solution.