Académique Documents
Professionnel Documents
Culture Documents
CHAPITRE : I
RESEAUX WAN
Comme vous le savez, les réseaux locaux sont appelés LAN. Le nom implique que votre réseau local est local pour vous
et votre petite entreprise à domicile ou à bureau. Mais que se passe-t-il si votre réseau est destiné à une entreprise plus
grande, peut-être même à une entreprise mondiale ? Vous ne pouvez pas exploiter une grande entreprise avec plusieurs
sites sans un réseau étendu, appelé WAN. Ce module explique ce que sont les WAN et comment ils se connectent à
Internet et également à votre réseau local. Comprendre le but et les fonctions des WAN est fondamental pour votre
compréhension des réseaux modernes. Alors, passons aux Concepts WAN !
1. Définition
Un réseau étendu est un réseau de communication de données qui fonctionne au-delà de la portée géographique d’un
réseau local.
Que ce soit au travail ou à la maison, nous utilisons tous des réseaux locaux (LAN). Toutefois, les réseaux locaux sont
limités à une petite zone géographique.
Un réseau étendu (WAN) est nécessaire pour se connecter au-delà des limites du réseau local. Un réseau étendu est un
réseau de télécommunications qui s'étend sur une zone géographique relativement vaste. Le WAN a une portée qui va au-
delà de l'étendue géographique du LAN.
2. Principales caractéristiques
- Ils connectent généralement des périphériques séparés par une zone géographique plus étendue que ne peut
couvrir un réseau local ;
- Ils utilisent les services d’opérateurs, tels que les compagnies de téléphone ou de câble, des systèmes satellite et
des fournisseurs de réseau ;
- Ils utilisent divers types de connexions série pour permettre l’accès à la bande passante sur de vastes zones
géographiques.
3. But
Les réseaux étendus, utilisés seuls ou conjointement avec Internet, apportent à des organisations ou des individus
une réponse à leurs besoins de communication étendue.
Dans la figure ci-dessous, les services WAN sont requis pour interconnecter un réseau de campus d'entreprise aux réseaux
locaux distants des succursales, des sites de
télétravail et des utilisateurs distants.
Les réseaux WAN peuvent être construits par
divers types d'organisations, comme suit :
Une organisation qui souhaite connecter
des utilisateurs à différents emplacements
Un fournisseur de services Internet qui
souhaite connecter les clients à Internet
Un ISP ou des télécommunications qui
souhaite interconnecter des ISPs
Un WAN privé est une connexion dédiée à un seul
client. Cette disposition prévoit ce qui suit :
Niveau de service garanti
Bande passante cohérente
Sécurité
Une connexion WAN publique est généralement fournie par un ISP ou un fournisseur de services de télécommunication
utilisant Internet. Dans ce cas, les niveaux de service et la bande passante peuvent varier et les connexions partagées ne
garantissent pas la sécurité.
Remarque : Les grands réseaux déploient généralement une combinaison de ces topologies
Les normes d'accès WAN sont définies et gérées par plusieurs autorités reconnues :
• TIA/EIA - Association de l'industrie des télécommunications et Alliance des industries électroniques
• ISO - Organisation internationale de normalisation
• IEEE - Institut des ingénieurs en électricité et en électronique
La plupart des normes WAN se concentrent sur la couche physique et la couche de liaison de données.
Protocoles de couche 1
• Synchronous Digital Hierarchy (SDH)
• Synchronous Optical Networking (SONET)
• Multiplexage en longueur d'onde dense (DWDM)
Protocoles de couche 2
• Large bande (c.-à-d. DSL et câble)
• Sans-fil
• WAN Ethernet (Metro Ethernet)
• Commutation multi protocole par étiquette
(MPLS)
• PPP (Point-to-Point Protocol)
• HDLC (High Level Data Link Control)
• Relais de trame (Frame Relay)
• Mode de transfert asynchrone (ATM)
DCE (Data Communications Equipment) Appareil utilisé pour communiquer avec le fournisseur.
Équipements installés dans les locaux du Il s'agit des périphériques DTE et DCE situés sur la périphérie de
client. l'entreprise.
Réseau de liaison (backhaul) Connecte plusieurs nœuds d'accès du réseau du fournisseur de services
Réseau fédérateur Réseaux de grande capacité utilisés pour interconnecter des réseaux de
fournisseurs de services et pour créer un réseau redondant.
Routeur san fil/ Point d'accès Les périphériques sont utilisés pour se connecter sans fil à un fournisseur WAN.
Un réseau à commutation de circuits établit un circuit (ou canal) dédié entre les points d'extrémité avant que les
utilisateurs puissent communiquer.
• Établit une connexion virtuelle dédiée via le
réseau du fournisseur de services avant le
démarrage de la communication.
• Toutes les communications utilisent le même
chemin.
• Les deux types les plus courants de technologies
WAN à commutation de circuits est le réseau
téléphonique public commuté (PSTN) et le
réseau numérique à intégration de services
(ISDN).
Les réseaux de fournisseurs de services utilisent des infrastructures à fibre optique pour transporter les
données des utilisateurs entre les destinations. Le câble à fibre optique est de loin supérieur au câble en cuivre
pour les transmissions à longue distance en raison de son atténuation et des interférences beaucoup plus faibles.
Deux normes OSI de fibre optique de couche 1 sont disponibles pour les fournisseurs de services :
• SDH - Synchronous Digital Hierarchy (SDH) est une norme mondiale pour le transport de données sur
un câble à fibre optique.
• SONET - Synchronous Optical Networking (SONET) est la norme nord-américaine qui fournit les
mêmes services que SDH.
SDH/SONET définissent comment transférer un trafic multiple de données, de voix et de vidéo sur fibre
optique sans laser ou LED sur de grandes distances.
Dense Wavelength Division Multiplexing (DWDM) est une technologie plus récente qui augmente la capacité
de charge des données de SDH et SONET en envoyant simultanément plusieurs flux de données (multiplexage)
en utilisant différentes longueurs d'onde de lumière.
1. LIAISON DÉDIÉE
Pour comprendre les WAN d'aujourd'hui, il est utile de savoir où ils ont commencé.
• Lorsque les réseaux locaux sont apparus dans les années 1980, les organisations ont commencé à constater
la nécessité de s'interconnecter avec d'autres endroits.
• Pour ce faire, ils avaient besoin de leurs réseaux pour se connecter à la boucle locale d'un fournisseur de
services.
• Cela a été réalisé en utilisant des lignes spécialisées ou en utilisant des services commutés d'un fournisseur
de services.
Les lignes point à point pouvaient être louées auprès d'un fournisseur de services et étaient appelées "lignes
louées". Le terme ligne louée fait référence au fait que l'organisation paie tous les mois un certain montant à un
fournisseur de services pour utiliser la ligne.
• Les lignes louées sont disponibles dans différentes capacités fixes et leur prix est généralement basé sur
la largeur de bande requise et la distance entre les deux points connectés.
• Deux systèmes sont utilisés pour définir la capacité numérique d'une liaison série média cuivre :
• T-carrier - Utilisé en Amérique du Nord, T-carrier fournit des liaisons T1 prenant en charge la
bande passante jusqu'à 1,544 Mbps et des liaisons T3 prenant en charge la bande passante jusqu'à
43,7 Mbps.
• E-carrier - Utilisé en Europe, e-carrier fournit des liaisons E1 prenant en charge la bande passante
jusqu'à 2,048 Mbps et des liaisons E3 prenant en charge la bande passante jusqu'à 34,368 Mbps.
Avantages
Simplicité Les liaisons de communication point à point ne nécessitent que peu d'expertise pour leur
installation et leur maintenance.
Les liaisons de communication point à point offrent habituellement une grande qualité de
Qualité
service, si la bande passante est adaptée.
Une disponibilité constante est essentielle pour certaines applications, telles que commerce
Disponibilité électronique. Les liaisons de communication point à point offrent une capacité permanente
dédiée, nécessaire pour la voix ou la vidéo sur IP.
Inconvénients
Les liaisons point à point sont généralement le type d'accès WAN le plus coûteux. Le coût des
Coût liaisons louées peut être important lorsqu’elles servent à connecter plusieurs sites répartis sur des
grandes distances.
Flexibilité Le trafic WAN est souvent variable et les lignes louées possèdent une capacité fixe, de telle sorte
limitée que la bande passante de la ligne correspond rarement de manière exacte à ce qui est nécessaire.
C’est une technologie facile à mettre en œuvre, de qualité et ayant une bande passante garantie. Comme
inconvénient elle est couteuse.
2. COMMUTATION DE CIRCUITS
Les connexions à commutation de circuits sont fournies par les entreprises de réseau téléphonique de service
public (PSTN). La boucle locale reliant le CPE au CO est un support cuivre.
Il existe deux options traditionnelles de commutation de circuits :
a. Réseau téléphonique public commuté (RTPC)
Utilisé dans les années 90 avant l’ADSL. Les connexions à commutation de circuits sont fournies par les
entreprises de réseau téléphonique de service public (PSTN). La boucle locale reliant le CPE au CO est un
support cuivre.
• L'accès WAN à distance utilise le RTPC comme connexion WAN. Les boucles locales classiques
peuvent transporter des données informatiques binaires sur le réseau téléphonique à l'aide d'un modem.
• Les caractéristiques physiques de la boucle locale et sa connexion au réseau téléphonique public commuté
(RTPC) limitent le débit du signal à moins de 56 kbit/s.
b. ISDN ou RNIS (Réseau Numérique à Intégration de Services)
• Le ISDN est une technologie de commutation de circuit qui permet à la boucle locale du RTPC de
transporter directement des signaux numériques, permettant ainsi de booster la valeur du débit. Cela a
permis d'obtenir des connexions commutées de plus grande capacité que l'accès par ligne commutée.
ISDN fournit des débits de données de 45 Kbit/s à 2,048 Mbit/s.
3. COMMUTATION DE PAQUETS
La commutation de paquets fractionne le trafic en paquets qui sont acheminés sur un réseau partagé. Il permet
à plusieurs paires de nœuds de communiquer sur le même canal.
C’est un réseau spécifique utilisant des équipements spécifiques rendant couteux la maintenance.
• Frame Relay est une technologie WAN simple de couche 2 NBMA (non-broadcast multi-access) utilisée
pour connecter des LAN d'entreprises entre eux.
• Frame Relay crée des circuits virtuels permanents identifiés grâce à un identifiant de connexion de liaison
de données (DLCI).
b. Mode de transfert asynchrone (ATM)
• La technologie ATM (Asynchronous Transfer Mode) peut transférer de la voix, de la vidéo et des
données sur des réseaux privés et publics.
• La technologie ATM repose sur une architecture à cellules et non sur une architecture à trames. Les
cellules ATM présentent toujours une longueur fixe de 53 octets.
Remarque : Les relais de trame et les réseaux ATM ont été largement remplacés par des solutions Metro Ethernet
et Internet plus rapides.
• Les entreprises ont désormais besoin d'options de connectivité WAN plus rapides et plus flexibles.
• Les options de connectivité WAN traditionnelles ont rapidement diminué parce qu'elles ne sont plus
disponibles, trop coûteuses ou ont une bande passante limitée.
La figure montre les connexions de boucle locale les plus susceptibles d'être rencontrées aujourd'hui. De nouvelles
technologies ne cessent d'émerger. La figure résume les options de connectivité WAN modernes.
• La fibre optique peut être installée indépendamment par une organisation pour connecter des
emplacements distants directement entre eux.
• La fibre noire peut être louée ou achetée auprès d'un fournisseur.
Commutation de paquets
Les entreprises utilisent désormais couramment l'infrastructure Internet mondiale pour la connectivité WAN
Remarque : les WAN Ethernet ont gagné du terrain et ils sont de plus en plus utilisés pour remplacer les liaisons
point-à-point, WAN ATM et Frame Relay.
2. MPLS
Multiprotocol Label Switching (MPLS) est une technologie de routage WAN de fournisseur de services haute
performance pour interconnecter les clients sans tenir compte de la méthode d'accès ou de la charge utile.
• MPLS prend en charge diverses méthodes d'accès client (par exemple, Ethernet, DSL, câble, relais de
trame).
• MPLS peut encapsuler tous les types de protocoles, y compris le trafic IPv4 et IPv6.
• Un routeur MPLS peut être un routeur Edge client (CE), un routeur Edge fournisseur (PE) ou un
routeur Fournisseur interne (P).
• Les routeurs MPLS sont des
routeurs à changement d'étiquette
(LSR). Ils attachent des étiquettes
aux paquets qui sont ensuite utilisés
par d'autres routeurs MPLS pour
transférer le trafic.
• MPLS fournit également des
services pour la prise en charge de la
QoS, l'ingénierie du trafic, la
redondance et les VPN.
Les opérateurs télécoms déploient des connexions DSL dans la boucle locale. La connexion est configurée
entre le modem DSL et le multiplexeur d'accès DSL (DSLAM).
• Le modem DSL convertit les signaux Ethernet du périphérique de télétravail en un signal DSL, qui est
transmis à un multiplexeur d'accès DSL (DSLAM) à l'emplacement du fournisseur.
• Le DSLAM est le périphérique situé au niveau du central téléphonique (CO) du fournisseur, qui
concentre les connexions issues de plusieurs abonnés DSL.
• Le DSL n'est pas un support partagé. Chaque utilisateur bénéficie d'une connexion directe et distincte
au multiplexeur DSLAM. L'ajout d'utilisateurs n'empêche pas les performances.
Ici le débit dépend de la distance entre le CPE et DSLAM. Les ISP utilisent toujours PPP comme protocole
de couche 2 pour les connexions DSL à large bande.
2. Technologie Fibré
De nombreuses municipalités, villes et fournisseurs installent un câble à fibre optique à l'emplacement de
l'utilisateur. Ceci est communément appelé Fibre to the x (FTTx) et comprend ce qui suit :
•
FTTH (Fibre to the Home) - Fibre atteint la limite de la résidence.
•
FTTB (Fiber to the Building) - La fibre atteint la limite du bâtiment avec la connexion finale à l'espace
de vie individuel étant faite par des moyens alternatifs.
• FTTN (Fibre to the Node/Neighborhood) - Le câblage optique atteint un nœud optique qui convertit
les signaux optiques dans un format acceptable pour la paire torsadée ou le câble coaxial vers le local.
Remarque : FTTx peut fournir la bande passante la plus élevée de toutes les options haut débit.
• Wi-Fi Municipal - Des réseaux sans fil municipaux sont disponibles dans de nombreuses villes et
fournissent un accès à l'internet à haut débit gratuitement ou à un prix nettement inférieur à celui des
autres services à large bande.
• Cellulaire - Utilisé de plus en plus pour connecter des appareils à l'internet à l'aide d'ondes radio pour
communiquer via une tour de téléphonie mobile située à proximité. 3G/4G/5G et Long-Term
Evolution (LTE) sont des technologies cellulaires.
• Internet par satellite - Généralement utilisé par les utilisateurs ruraux ou dans les régions éloignées où le
câble et l'ADSL ne sont pas disponibles. Un routeur se connecte à une antenne parabolique orientée vers
le satellite d'un fournisseur d'accès dans une orbite géosynchrone. Les arbres et les fortes pluies peuvent
avoir un impact sur le signal satellite.
• WiMAX - La technologie WiMAX est décrite dans la norme IEEE 802.16 qui fournit un service à
haut-débit avec accès sans fil et offre une couverture étendue, similaire à celle du réseau de téléphonie
mobile, plutôt que via de petits points d'accès Wi-Fi.
Chaque solution haut débit présente des avantages et des inconvénients. Si plusieurs solutions haut-débit sont
disponibles, une analyse coûts/avantages doit être effectuée en vue de déterminer la meilleure solution.
• Câble - La bande passante est partagée par de nombreux utilisateurs. Par conséquent, les débits de
données en amont sont souvent lents pendant les heures de forte utilisation dans les zones où il y a sur
abonnement.
• DSL - Largeur de bande limitée et sensible à la distance (par rapport au bureau central du FAI). Le taux
de chargement est proportionnellement inférieur par rapport au taux de téléchargement.
• Fiber-to-the-Home - Cette option nécessite l'installation de la fibre directement à la maison.
• Cellulaire/Mobile - Avec cette option, la couverture est souvent un problème, même dans un petit bureau
ou un bureau à domicile où la largeur de bande est relativement limitée.
• Wi-Fi municipal - La plupart des municipalités ne disposent pas d'un réseau Wi-Fi maillé déployé. Si
elle est disponible et accessible, c'est une option viable.
• Satellite - Cette option est coûteuse et offre une capacité limitée par abonné. Généralement utilisé
lorsqu’aucune autre option n'est disponible
Le VPN est un réseau bâti autour d’un ensemble de protocoles sécurisés, qui vient pallier aux carences en sécurité
du protocole IPv4. Le VPN est un concept et non une implémentation réelle. C’est une généralisation du concept
de tunnel que nous connaissons déjà du SSH, à travers une superposition de protocoles et d’algorithmes de
cryptages, dans le but de construire un canal sécurisé au sein d’une infrastructure publique comme internet.
Ils peuvent être utilisés pour résoudre les problèmes de sécurité rencontrés lorsqu'un employé d'un bureau distant
utilise des services à large bande pour accéder au réseau étendu de l'entreprise via l'internet.
Un VPN peut également être vu comme une connexion chiffrée entre réseaux privés sur un réseau public. Les
tunnels VPN sont acheminés via l'internet à partir du réseau privé de l'entreprise vers le site distant ou l'hôte de
l'employé.
• Réduction des coûts - Élimine les liaisons WAN et les banques de modems dédiées coûteuses et
spécialisées.
• Sécurité - Des protocoles avancés de cryptage et d'authentification protègent les données contre les accès
non autorisés.
• Évolutivité - Les grandes entreprises peuvent ajouter des volumes importants de capacité sans ajouter
d’infrastructure importante.
• Compatibilité avec la technologie haut-débit - Prise en charge par les fournisseurs d'accès haut-débit tels
que la DSL et le câble DSL.
Il existe deux grands types de VPN :
- VPN gérés par les entreprises (Entreprise Managed VPN)
- VPN gérés par des opérateurs (Provider Managed VPN)
- VPN nomade ou Remote-access VPN : L'utilisateur est conscient et initie une connexion d'accès
à distance. Par exemple, en utilisant HTTPS dans un navigateur pour vous connecter à votre
banque. Alternativement, l'utilisateur peut exécuter le logiciel client VPN sur son hôte pour se
connecter au périphérique de destination et s'authentifier auprès de celui-ci.
C’est un protocole qui a été mis en place pour accélérer les opérations de routage en évitant de lire à chaque fois
les entête de paquets, mais plutôt les marqueur mpls. C’est un protocole qui a révolutionné le réseau des
opérateurs. Il permet la gestion de plusieurs tables de routage virtuelles (VRF) et aussi la mise en place de la
QoS avancée.
On distingue :
MPLS niveau 2
Qui est une extension du domaine de broadcast via la Wan. Pour cela il existe deux technologies :
ETHoMPLS ou VPWS (Virtual Private Wired Service) se sont les tunels point à point
qui peuvent etre établir sur des liaison ATM ou Ethernet Ip
VPLS (Virtual Private Lan Switching) où plusieurs réseaux partagent le même Lan de
broadcast virtuellement. Les machines sont identifiées comme appartenant à des sites
différents en fonction de leurs adresses mac. C’est le même principe avec le concept de
vxLan
MPLS niveau 3
Fournir un routage de niveau 3 entre différents sites distants à condition que l’accès Wan soit gérer par le
même opérateur.
Ce type de VPN est parfaitement adapté pour une architecture multi site et aussi pour prioriser les
communication ToIP, car la bande passante est garantie. Il permet de mettre en place une véritable QoS.
Il existe plusieurs protocole VPN :
• Protocoles de niveau 2
L2F (Layer 2 Forwording) de cisco pour les utilisateurs nomades
PPTP (Point to point tunneling ptotocol) de Microsoft pour les utilisateurs nomades
L2TP (layer 2 Tnneling Protocol) cisco et Microsoft pour nomades et sites distants
• Protocoles de niveau 3
GRE (Generic Routing Encapsulation) pour du site to site et n’offre aucune possibilité de
chiffrement et d’authentification
IPsec (Internet Protocol Security) très sécuriser et complexe à maitriser
• Autres protocols
SSL
OpenVPN
SoftEther VPN
GRE est un protocole assez simple à mettre en place développé par Cisco et pouvant encapsuler n’importe quel
parquet de la couche réseau. Dans son principe, il n’est pas important de maintenir une session permanente entre
les deux extrémités du tunnel et ces deux extrémités n’ont pas besoin d’être connectés au Wan via le même
opérateur. Il n’est pas sécurisé parce que tous les paquets encapsulés sont en clair. Il est utilisé pour transporter
des flux multicast, des protocoles de routage dynamique.
4. VPN IPsec
IPsec définit par la référence RFC 2401 n’est pas en soit un protocole mais un Framework ou une bibliothèque
de plusieurs protocoles et algorithmes de chiffrement permettant de chiffrer et d’authentifier des
communications IP de niveau 3. Il encapsule uniquement les paquet IP. Le réseau IPv4 est largement déployé et
la migration vers IPv6 étant inévitable, mais néanmoins longue, il est apparu intéressant de développer des
techniques de protection des données communes à IPv4 et IPv6. Ces mécanismes sont couramment désignés par
le terme IPsec pour IP Security Protocol. IPsec est basé sur deux mécanismes et un protocole :
Le premier AH, pour Authentication Header vise à assurer l’intégrité et l’authentification des
datagrammes IP. Il ne fournit pas, par contre aucune confidentialité : les données fournies et transmises
par ce protocole ne sont pas encodées ;
Le second ESP, pour Encapsulating Security Payload peut aussi permettre l’authentification des données
mais est principalement utilisé pour le cryptage des informations. Bien qu’indépendants ces deux
mécanismes soient presque toujours utilisés conjointement.
Enfin, le protocole IKE permet de gérer les échanges ou les associations entre protocoles de sécurité.
Avant de décrire ces différents protocoles, nous allons exposer les différents éléments utilisés dans IPSec
a) Vue d’ensemble
Les mécanismes mentionnés ci-dessus font bien sûr appel à la cryptographie et utilisent donc un certain
nombre de paramètres (algorithmes de chiffrement utilisés, clefs, mécanisme sélectionnés…) sur lesquels les tiers
communicants doivent se mettre d’accord. Afin de gérer ces paramètres, IPSec a recours à la notion d’association
de sécurité (SA).
Une association de sécurité IPSec est une connexion simple qui fournit des services de sécurité au trafic qu’elle
transporte. On peut aussi la considérer comme une structure de données servant à stocker l’ensemble des
paramètres associés à une communication donnée.
Une SA est unidirectionnelle ; en conséquence, protéger les deux sens d’une communication classique requiert
deux associations, une dans chaque sens. Les services de sécurité sont fournis par l’utilisation soit de AH soit de
ESP. Si AH et ESP sont tous deux appliqués au trafic en question, deux SA sont créées. Pour gérer les
associations de sécurités actives, on utilise une base de données des associations de sécurités (Security Association
Data, SAD). Elle contient tous les paramètres relatifs à chaque SA et sera consulter pour savoir comment traiter
chaque paquet reçu ou à émettre. Les protections offertes par IPSec sont basées sur des choix définis dans une
base de données de politique de sécurité (SPD). Cette base de données est établie et maintenue par un utilisateur,
un administrateur système ou une application mise en place par ceux-ci. Elle permet de décider, pour chaque
paquet, s’il se verra apporter des services de sécurité, s’il sera autorisé à passer ou à rejeter. Dans le cas où le
paquet reçu est un paquet IP classique, la SPD permet de savoir s’il a néanmoins le droit de passer. Par exemple
les paquets IKE sont une exception. Ils sont traités par IKE, qui peut envoyer des alertes administratives en cas
de tentative de connexion infructueuse.
Est conçu pour assurer l’intégrité et l’authentification des datagrammes IP sans chiffrement des données.
Le principe d’AH est d’adjoindre au datagramme IP classique un champ supplémentaire permettant à la réception
de vérifier l’authenticité des données inclue dans le datagramme, en fonction du mode de fonctionnement utilisé
ISAKMP (Internet Security Association and Key Management Protocol) a pour rôle la négociation,
l’établissement, la modification et la suppression des associations de sécurité et de leurs attributs. Il pose
les bases permettent de construire divers protocoles de gestion des clefs (et plus généralement des
associations de sécurité).
f) Modes de fonctionnement d’IPSec
On distingue trois modes :
Le mode transport ou transparent : Ce mode est utilisé pour créer une communication entre deux hôtes
qui supportent IPSec. Une SA est établie entre les deux hôtes. Les entêtes IP ne sont pas modifiés et les
protocoles AH et ESP sont intégrés entre cet entête et l'entête du protocole transporté. Ce mode est
souvent utilisé pour sécuriser une connexion Point-To-Point.
Le mode tunnel : il est utilisé entre deux équipements dont au moins un n’est pas un équipement
terminal ; les données peuvent être chiffrés (modes ESP) ou pas (mode AH). Il crée des tunnels en
encapsulant chaque trame dans une enveloppe qui protège tous champs de trames.
Le mode Nesting : Le mode de Nesting utilise à la fois le mode transport et le mode tunnel : Un paquet
IPSec est encapsule dans un paquet IPSec.
g) Configuration
R1# show crypto isakmp policies ….indique la politique association qui a été configurer pour l’échange des clés
R1#show crypto isakmp peers ……indique la pair d’adresse ip public des deux extrémités
R1#show crypto isakmp sa…indique si les deux extrémités sont actives ou se sont accordé sur le politique de sécurité
R1#show crypto ipsec sa ….indique le nombre de paquet encrypté
5. DMVPN
DMVPN (Dynamic Multipoint Virtual Network) crée pas Cisco et adapter aux interconnexions avec de
nombreux sites distants Il s’agit d’une architecture Hub and Spoke. L’objectif de créer un seul profil IPsec
pour tous les sites distants.
Fonctionnement
PPP est en effet un ensemble de sous protocoles permettant la connexion du niveau physique jusqu’au niveau
3.
6. Configuration
AREA 10
Configuration Frame Relay Point to Multipoint
AREA 20
AREA 30
Configuration Frame Relay Broadcast
Configuration OSPF
R1(config) # router ospf 1
R1(config-router) # router-id 1.1.1.1
R1(config-router) # network 172.16.0.1 0.0.0.0 area 0
Configuration OSPF
R2(config) # router ospf 1
R2(config-router) # router-id 2.2.2.2
R2(config-router) # network 172.16.0.2 0.0.0.0 area 0
Configuration OSPF
R3(config) # router ospf 1
R3(config-router) # router-id 3.3.3.3
R3(config-router) # network 172.16.0.3 0.0.0.0 area 0
- Dans un milieu NBMA, la détection des voisins ne se fait pas de manière automatique et c’est à nous de renseigner
cela manuellement sur R1, car c’est le seul qui est directement relier aux autres routeurs (R2 et R3)
Configuration OSPF
R1(config-router) # neighbor 172.16.0.2
R1(config-router) # neighbor 172.16.0.3
- Élection du DR et BDR : dans une architecture Hub and Spot, on doit forcer le hub à être DR en modifiant la
priorité des autres routeurs
Configuration OSPF
R2(config) # interface serial 2/2
R2(config-if) # ip ospf priority 0
Configuration OSPF
R3(config) # interface serial 2/3
R3(config-if) # ip ospf priority 0
AREA 10
Pas d’élection DR/BDR et les relations de voisinage se font de manière automatique
Configuration OSPF
R1(config) # router ospf 1
R1(config-router) # network 172.16.10.1 0.0.0.0 area 10
Configuration OSPF
R4(config) # router ospf 1
R4(config-router) # router-id 4.4.4.4
R4(config-router) # network 172.16.10.4 0.0.0.0 area 10
R4(config-router) # network 10.10.0.0 0.0.3.255 area 10
Configuration OSPF
R5(config) # router ospf 1
R5(config-router) # router-id 5.5.5.5
R5(config-router) # network 172.16.10.5 0.0.0.0 area 10
Configuration OSPF
R1(config) # interface se0/0
R1(config-if) # ip ospf network point-to-multipoint
Configuration OSPF
R4(config) # interface se0/0
R4(config-if) # ip ospf network point-to-multipoint
Configuration OSPF
R5(config) # interface se0/0
R5(config-if) # ip ospf network point-to-multipoint
AREA 30
Configuration OSPF
R3(config) # router ospf 1
R3(config-router) # network 172.16.30.3 0.0.0.0 area 30
Configuration OSPF
R7(config) # router ospf 1
R7(config-router) # router-id 7.7.7.7
R7(config-router) # network 172.16.30.7 0.0.0.0 area 30
R7(config-router) # network 10.30.0.0 0.0.3.255 area 30
Configuration OSPF
R8(config) # router ospf 1
R8(config-router) # router-id 8.8.8.8
R8(config-router) # network 172.16.30.8 0.0.0.0 area 30
Configuration OSPF
R3(config) # interface serial 0/0.1
R3(config-subif) # ip ospf network broadcast
Configuration OSPF
R7(config) # interface serial 2/0.1
R7(config-subif) # ip ospf network broadcast
Configuration OSPF
R8(config) # interface serial 2/0.1
R8(config-subif) # ip ospf network broadcast
AREA 20
Configuration OSPF
R2(config) # router ospf 1
R2(config-router) # network 172.16.20.2 0.0.0.0 area 20
R6(config) # int se2/1
R2(config-if) # frame-relay interface-dlci 206
Configuration OSPF
R6(config) # router ospf 1
R6(config-router) # router-id 6.6.6.6
R6(config-router) # network 172.16.20.6 0.0.0.0 area 20
R6(config-router) # network 10.20.0.0 0.0.3.255 area 20